Professional Documents
Culture Documents
Manual SSG 140
Manual SSG 140
Volumen 1:
Vista general
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Network’s installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Volumen 1:
Vista general
Acerca del Manual de Referencia de ScreenOS: conceptos
y ejemplos xxxiii
Organización del volumen ......................................................................... xxxv
Convenciones del documento ........................................................................ xli
Convenciones de la interfaz de línea de comandos (CLI) ......................... xli
Convenciones para las ilustraciones ....................................................... xlii
Convenciones de nomenclatura y conjuntos de caracteres .................... xliii
Convenciones de la interfaz gráfica (WebUI) ......................................... xliv
Documentación de Juniper Networks ............................................................ xlv
Índice ........................................................................................................................IX-I
Volumen 2:
Fundamentos
Acerca de este volumen ix
Convenciones del documento .......................................................................... x
Convenciones de la interfaz de línea de comandos (CLI) ........................... x
Convenciones para las ilustraciones ......................................................... xi
Convenciones de nomenclatura y conjuntos de caracteres ...................... xii
Convenciones de la interfaz gráfica (WebUI) .......................................... xiii
Documentación de Juniper Networks ............................................................ xiv
Contenido iii
Concepts & Examples ScreenOS Reference Guide
Capítulo 2 Zonas 25
Visualizar las zonas preconfiguradas .............................................................. 26
Zonas de seguridad ........................................................................................ 28
Zona Global ............................................................................................. 28
Opciones SCREEN ................................................................................... 28
Enlazar una interfaz de túnel a una zona de túnel.......................................... 28
Configurar zonas de seguridad y zonas de túnel ............................................ 30
Crear una zona ........................................................................................ 30
Modificar una zona.................................................................................. 31
Eliminar una zona ................................................................................... 32
Zonas de función ........................................................................................... 32
Zona Null................................................................................................. 32
Zona MGT................................................................................................ 32
Zona HA .................................................................................................. 33
Zona de registro propio (Self) .................................................................. 33
Zona VLAN ..............................................................................................33
Modos de puerto ............................................................................................ 33
Modo Trust-Untrust.................................................................................. 34
Modo Home-Work ................................................................................... 35
Modo Dual Untrust .................................................................................. 36
Modo combinado (Combined) .................................................................37
Modo Trust/Untrust/DMZ (extendido) ...................................................... 38
Modo DMZ/Dual Untrust .......................................................................... 38
Modo Dual DMZ ...................................................................................... 39
Ajustar los modos de puertos ......................................................................... 40
Ejemplo: Modo de puerto Home-Work.............................................. 40
Zonas en los modos “Home-Work” y “Combined Port” ................................. 41
Ejemplo: Zonas Home-Work ............................................................. 42
Capítulo 3 Interfaces 45
Tipos de interfaces......................................................................................... 45
Interfaces de la zona de seguridad........................................................... 45
Interfaces físicas ............................................................................... 45
Subinterfaces .................................................................................... 46
Interfaces agregadas ......................................................................... 46
Interfaces redundantes...................................................................... 46
Interfaces de seguridad virtuales ....................................................... 47
Interfaces de zonas de función ................................................................ 47
Interfaces de administración ............................................................. 47
Interfaces de alta disponibilidad........................................................ 47
Interfaces de túnel................................................................................... 48
Eliminar interfaces de túnel .............................................................. 51
Visualizar interfaces ....................................................................................... 52
Configurar interfaces de la zona de seguridad................................................ 53
Asociar una interfaz a una zona de seguridad.......................................... 54
Desasociar una interfaz de una zona de seguridad .................................. 54
Direccionar una interfaz de la zona de seguridad L3 ............................... 54
Direcciones IP públicas ..................................................................... 55
Direcciones IP privadas..................................................................... 56
Direccionar una interfaz.................................................................... 56
Modificar los ajustes de la interfaz........................................................... 56
Crear una subinterfaz en el sistema raíz .................................................. 57
Eliminar una subinterfaz ......................................................................... 58
iv Contenido
Contenido
Contenido v
Concepts & Examples ScreenOS Reference Guide
vi Contenido
Contenido
Encapsulamiento L2TP....................................................................173
Deep Inspection ..............................................................................173
Colocación al principio de la lista de directivas ...............................173
Traducción de direcciones de origen ...............................................174
Traducción de direcciones de destino .............................................174
Autenticación de usuarios ...............................................................174
Respaldo HA de la sesión ................................................................176
Filtrado de Web ..............................................................................176
Registro...........................................................................................176
Recuento.........................................................................................177
Umbral de alarma de tráfico ...........................................................177
Tareas programadas........................................................................177
Análisis antivirus .............................................................................177
Asignación de tráfico.......................................................................178
Directivas aplicadas .....................................................................................179
Visualizar directivas ...............................................................................179
Crear directivas .....................................................................................179
Crear servicio de correo de directivas interzonales .........................179
Crear un conjunto de directivas interzonales...................................183
Crear directivas intrazonales ...........................................................187
Crear una directiva global ...............................................................189
Entrar al contexto de una directiva........................................................190
Varios elementos por componente de directiva .....................................190
Ajustar la denegación de direcciones .....................................................191
Modificar y desactivar directivas............................................................194
Verificar directivas.................................................................................194
Reordenar directivas..............................................................................195
Eliminar una directiva ...........................................................................196
Contenido vii
Concepts & Examples ScreenOS Reference Guide
Índice ........................................................................................................................IX-I
Volumen 3:
Administración
Acerca de este volumen vii
Convenciones del documento ........................................................................ vii
Convenciones CLI ................................................................................... viii
Convenciones para las ilustraciones ......................................................... ix
Convenciones de nomenclatura y conjuntos de caracteres ........................ x
Convenciones de la interfaz gráfica (WebUI) ............................................ xi
Documentación de Juniper Networks ............................................................. xii
Capítulo 1 Administración 1
Administración a través de la interfaz de usuario web ..................................... 2
Ayuda de la interfaz gráfica (WebUI) ......................................................... 2
Desvío de WebUI a la nueva ubicación de la ayuda............................. 3
Protocolo de transferencia de hipertexto ................................................... 3
Identificación de sesión ............................................................................. 4
viii Contenido
Contenido
Contenido ix
Concepts & Examples ScreenOS Reference Guide
x Contenido
Contenido
Índice ........................................................................................................................IX-I
Volumen 4:
Mecanismos de detección y defensa de ataques
Acerca de este volumen vii
Convenciones del documento ....................................................................... viii
Convenciones de la interfaz de línea de comandos (CLI) ........................ viii
Convenciones para las ilustraciones .......................................................... x
Convenciones de nomenclatura y conjuntos de caracteres ....................... xi
Convenciones de la interfaz gráfica (WebUI) ........................................... xii
Documentación de Juniper Networks ............................................................ xiii
Contenido xi
Concepts & Examples ScreenOS Reference Guide
xii Contenido
Contenido
Contenido xiii
Concepts & Examples ScreenOS Reference Guide
Índice ........................................................................................................................IX-I
Volumen 5:
Redes privadas virtuales
Acerca de este volumen vii
Convenciones del documento ....................................................................... viii
Convenciones de la interfaz de línea de comandos (CLI) ........................ viii
Convenciones para las ilustraciones ......................................................... ix
Convenciones de nomenclatura y conjuntos de caracteres ........................ x
Convenciones de la interfaz gráfica (WebUI) ............................................ xi
Documentación de Juniper Networks ............................................................. xii
xiv Contenido
Contenido
Contenido xv
Concepts & Examples ScreenOS Reference Guide
xvi Contenido
Contenido
Índice ........................................................................................................................IX-I
Volumen 6:
Voz sobre protocolo de Internet (VoIP)
Acerca de este volumen v
Convenciones del documento .......................................................................... v
Convenciones de la interfaz de línea de comandos (CLI) .......................... vi
Convenciones para las ilustraciones ........................................................ vii
Convenciones de nomenclatura y conjuntos de caracteres ..................... viii
Convenciones de la interfaz gráfica (WebUI) ............................................ ix
Documentación de Juniper Networks ............................................................... x
Contenido xvii
Concepts & Examples ScreenOS Reference Guide
Ejemplos ........................................................................................................ 32
Admisión de llamadas SIP entrantes utilizando el registrador SIP............ 33
Ejemplo: Llamada entrante (DIP de interfaz)..................................... 34
Ejemplo: Llamada entrante (conjunto de DIP) ................................... 37
Ejemplo: Llamada entrante con MIP ................................................. 39
Ejemplo: Proxy en la zona privada....................................................41
Ejemplo: Proxy en la zona pública ....................................................43
Ejemplo: Untrust intrazonal .............................................................. 49
Ejemplo: Trust intrazonal .................................................................. 53
Ejemplo: VPN de malla completa para SIP ........................................ 55
Administrar el ancho de banda para servicios de VoIP ............................ 60
Índice ........................................................................................................................IX-I
Volumen 7:
Enrutamiento
Acerca de este volumen ix
Convenciones del documento ......................................................................... ix
Convenciones de la interfaz de línea de comandos (CLI) ........................... x
Convenciones para las ilustraciones ......................................................... xi
Convenciones de nomenclatura y conjuntos de caracteres ...................... xii
Convenciones de la interfaz gráfica (WebUI) .......................................... xiii
Documentación de Juniper Networks ............................................................ xiv
xviii Contenido
Contenido
Capítulo 2 Enrutamiento 13
Vista general .................................................................................................. 14
Tablas de enrutamiento del enrutador virtual................................................. 15
Tabla de enrutamiento basada en destinos.............................................. 16
Tabla de enrutamiento basada en el origen ............................................. 17
Tabla de enrutamiento basada en la interfaz de origen ........................... 20
Crear y modificar enrutadores virtuales ......................................................... 22
Modificar enrutadores virtuales ............................................................... 22
Asignar una ID del enrutador virtual ........................................................ 23
Reenviar tráfico entre enrutadores virtuales ............................................ 23
Configurar dos enrutadores virtuales ....................................................... 24
Crear y eliminar enrutadores virtuales..................................................... 26
Crear un enrutador virtual personalizado .......................................... 27
Eliminar un enrutador virtual personalizado ..................................... 27
Enrutadores virtuales y sistemas virtuales ............................................... 27
Crear un enrutador virtual en un Vsys............................................... 28
Compartir rutas entre enrutadores virtuales...................................... 29
Limitar el número máximo de entradas de la tabla de enrutamiento ...... 30
Ejemplos y características del enrutamiento .................................................. 31
Seleccionar rutas ..................................................................................... 31
Establecer una preferencia de ruta ....................................................31
Métricas de ruta ................................................................................ 32
Cambiar la secuencia predeterminada de consulta de rutas .............. 33
Consultar rutas en múltiples enrutadores virtuales ............................ 36
Configurar el enrutamiento de rutas múltiples de igual coste................... 37
Redistribuir rutas ..................................................................................... 39
Configurar un mapa de rutas............................................................. 40
Filtrar rutas ....................................................................................... 42
Configurar una lista de acceso........................................................... 42
Redistribuir rutas en OSPF ................................................................ 43
Exportar e importar rutas entre enrutadores virtuales ............................. 44
Configurar una regla de exportación ................................................. 45
Configurar la exportación automática ............................................... 46
Contenido xix
Concepts & Examples ScreenOS Reference Guide
xx Contenido
Contenido
Contenido xxi
Concepts & Examples ScreenOS Reference Guide
xxii Contenido
Contenido
Comprobar la configuración.........................................................................189
Configurar puntos de encuentro...................................................................191
Configurar de un punto de encuentro estático .......................................191
Configurar de un punto de encuentro candidato....................................192
Consideraciones sobre seguridad .................................................................193
Restringir grupos multicast ....................................................................193
Restringir orígenes multicast .................................................................194
Restringir puntos de encuentro..............................................................195
Parámetros de la interfaz PIM-SM ................................................................196
Definir una directiva de vecindad ..........................................................196
Definir un borde bootstrap ....................................................................197
Configurar de un punto de encuentro del proxy...........................................198
PIM-SM e IGMPv3 ........................................................................................207
Índice ........................................................................................................................IX-I
Volumen 8:
Traducción de direcciones
Acerca de este volumen v
Convenciones del documento .......................................................................... v
Convenciones de la interfaz de línea de comandos (CLI) .......................... vi
Convenciones para las ilustraciones ........................................................ vii
Convenciones de nomenclatura y conjuntos de caracteres ..................... viii
Convenciones de la interfaz gráfica (WebUI) ............................................ ix
Documentación de Juniper Networks ............................................................... x
Contenido xxiii
Concepts & Examples ScreenOS Reference Guide
Índice ........................................................................................................................IX-I
Volumen 9:
Autenticación de usuarios
Acerca de este volumen v
Convenciones del documento .......................................................................... v
Convenciones de la interfaz de línea de comandos (CLI) .......................... vi
Convenciones para las ilustraciones ........................................................ vii
Convenciones de nomenclatura y conjuntos de caracteres ..................... viii
Convenciones de la interfaz gráfica (WebUI) ............................................ ix
Documentación de Juniper Networks ............................................................... x
xxiv Contenido
Contenido
Capítulo 1 Autenticación 1
Tipos de autenticaciones de usuarios ............................................................... 1
Usuarios con permisos de administrador ......................................................... 2
Usuarios de múltiples tipos .............................................................................. 4
Expresiones de grupos ..................................................................................... 5
Ejemplo: Expresiones de grupos (AND) ..................................................... 6
Ejemplo: Expresiones de grupos (OR)........................................................ 8
Ejemplo: Expresiones de grupos (NOT)......................................................9
Personalizar mensajes de bienvenida............................................................. 11
Ejemplo: Personalización de un mensaje de bienvenida de WebAuth ..... 11
Contenido xxv
Concepts & Examples ScreenOS Reference Guide
Índice ........................................................................................................................IX-I
Volumen 10:
Sistemas virtuales
Acerca de este volumen v
Convenciones del documento .......................................................................... v
Convenciones de la interfaz de línea de comandos (CLI) .......................... vi
Convenciones para las ilustraciones ........................................................ vii
Convenciones de nomenclatura y conjuntos de caracteres ..................... viii
Convenciones de la interfaz gráfica (WebUI) ............................................ ix
Documentación de Juniper Networks ............................................................... x
xxvi Contenido
Contenido
Índice ........................................................................................................................IX-I
Volumen 11:
Alta disponibilidad
Acerca de este volumen vii
Convenciones del documento ........................................................................ vii
Convenciones de la interfaz de línea de comandos (CLI) ........................ viii
Convenciones para las ilustraciones ......................................................... ix
Convenciones de nomenclatura y conjuntos de caracteres ........................ x
Convenciones de la interfaz gráfica (WebUI) ............................................ xi
Documentación de Juniper Networks ............................................................. xii
Contenido xxvii
Concepts & Examples ScreenOS Reference Guide
Capítulo 4 NSRP-Lite 99
Introducción al protocolo NSRP-Lite.............................................................100
Clústeres y grupos VSD..........................................................................102
Ajustes predeterminados .......................................................................103
Clústeres ......................................................................................................103
Nombres de clúster ...............................................................................105
Autenticación y encriptación .................................................................106
Grupos VSD..................................................................................................106
Estados de los miembros de un grupo VSD ...........................................107
Mensajes de latido .................................................................................108
Opción de prioridad ..............................................................................108
Cablear y configurar el protocolo NSRP-Lite .................................................109
xxviii Contenido
Contenido
Índice ........................................................................................................................IX-I
Volumen 12:
Métodos de conexión alternos
Acerca de este volumen v
Convenciones del documento .......................................................................... v
Convenciones de la interfaz de línea de comandos (CLI) .......................... vi
Convenciones para las ilustraciones ........................................................ vii
Convenciones de nomenclatura y conjuntos de caracteres ..................... viii
Convenciones de la interfaz gráfica (WebUI) ............................................ ix
Documentación de Juniper Networks ............................................................... x
Contenido xxix
Concepts & Examples ScreenOS Reference Guide
Índice ........................................................................................................................IX-I
Volumen 13:
Servicio general de radio por paquetes
Acerca de este volumen v
Convenciones del documento .......................................................................... v
Convenciones de la interfaz de línea de comandos (CLI) .......................... vi
Convenciones para las ilustraciones ........................................................ vii
Convenciones de nomenclatura y conjuntos de caracteres ..................... viii
Convenciones de la interfaz gráfica (WebUI) ............................................ ix
Documentación de Juniper Networks ............................................................... x
Capítulo 1 GPRS 1
El dispositivo de seguridad como cortafuegos de protocolo
de encapsulamiento de GPRS .................................................................... 3
Interfaces Gp y Gn ..................................................................................... 3
Interfaz Gi.................................................................................................. 4
Modos de funcionamiento ......................................................................... 5
Compatibilidad con el sistema virtual ........................................................ 6
Protocolo de encapsulamiento de GPRS mediante directivas ........................... 6
Ejemplo: Configuración de directivas para habilitar la inspección de GTP.. 7
Objeto de inspección en el protocolo de encapsulamiento de GPRS (GTP) ....... 8
Ejemplo: Creación de un objeto de inspección de GTP .............................. 8
Filtrar mensajes de GTP ................................................................................... 9
Comprobar la coherencia del paquete ....................................................... 9
Filtrar la longitud del mensaje .................................................................10
Filtrar el tipo de mensaje ......................................................................... 10
Ejemplo: Permiso y rechazo de los tipos de mensajes.......................11
Tipos de mensaje admitidos.............................................................. 11
Filtrar el nombre de punto de acceso ...................................................... 13
Ejemplo: Establecimiento de un APN y un Modo de selección .......... 14
Ejemplo: Configuración de un Filtro APN y prefijo
de IMSI combinado..................................................................... 14
Filtrar el prefijo de IMSI ........................................................................... 15
Desactivar el filtrado del prefijo de IMSI............................................ 16
xxx Contenido
Contenido
Índice ........................................................................................................................IX-I
Contenido xxxi
Concepts & Examples ScreenOS Reference Guide
xxxii Contenido
Acerca del Manual de Referencia de
ScreenOS: conceptos y ejemplos
VPN: una VPN ofrece un canal de comunicaciones seguro entre dos o más
dispositivos de red remotos.
NOTA: Para obtener más información sobre la conformidad de los productos Juniper
Networks con las normas FIPS (Federal Information Processing Standards) y para
acceder a las instrucciones de configuración de un dispositivo de seguridad
conforme a FIPS en modo FIPS, consulte el documento Cryptographic Module
Security Policy del CD de documentación.
xxxiii
Manual de referencia de ScreenOS: conceptos y ejemplos
Zona Untrust
LAN LAN
Internet
Redundancia: El dispositivo de
respaldo mantiene una
configuración y unas sesiones
idénticas a las del dispositivo
principal para asumir el puesto del
VPN: Túneles de comunicación dispositivo principal si es necesario.
segura entre dos puntos para el (Nota: las interfaces, las rutas de
tráfico que atraviesa Internet encaminamiento, las fuentes de
alimentación y los ventiladores
Dispositivo de también pueden ser redundantes).
respaldo
Cortafuegos: Análisis del tráfico
entre la LAN protegida e Internet
El sistema operativo ScreenOS ofrece todas las funciones necesarias para configurar
y gestionar cualquier dispositivo o sistema de seguridad. Este documento es un
manual de referencia para configurar y gestionar un dispositivo de seguridad de
Juniper Networks a través de ScreenOS.
xxxiv
Acerca del Manual de Referencia de ScreenOS: conceptos y ejemplos
Volumen 2: Fundamentos
En el Volumen 3: Administración
Volumen 7: Enrutamiento
El Capítulo 4, “Usuarios IKE, XAuth y L2TP,” explica cómo definir usuarios IKE,
XAuth y L2TP. Aunque la sección XAuth se centra sobre todo en el uso del
dispositivo de seguridad como servidor de XAuth, también incluye una
subsección sobre la configuración de determinados dispositivos de seguridad
actuando como clientes XAuth.
En ejemplos:
En texto:
NOTA: Para escribir palabras clave, basta con introducir los primeros caracteres que
permitan al sistema reconocer de forma inequívoca la palabra que se está
introduciendo. Por ejemplo, es suficiente introducir set adm u kath j12fmt54
para que el sistema reconozca el comando set admin user kathleen j12fmt54.
Aunque este método se puede utilizar para introducir comandos, en la presente
documentación todos ellos se representan con sus palabras completas.
Interfaz de túnel
Servidor
Túnel VPN
Concentrador (hub)
Enrutador
Teléfono IP
Conmutador
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles ( “ ); por ejemplo:
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de
diálogo apropiado, donde podrá definir objetos y establecer parámetros de ajuste.
El conjunto de instrucciones de cada tarea se divide en ruta de navegación y ajustes
de configuración:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
techpubs-comments@juniper.net
100BaseT Otro término para Fast Ethernet, un estándar actualizado para la conexión de
computadores en una LAN. Ethernet 100BaseT funciona igual que Ethernet, pero
puede transferir datos a una velocidad máxima de 100 Mbps. También es más caro
y menos común que su antecesor 10BaseT. Consulte también 10BaseT.
10BaseT También conocido como Par trenzado sin blindaje (UTP), 10BaseT es el cableado
estándar para líneas telefónicas y la forma más común de la conexión de Ethernet.
10BaseT lo que indica una velocidad de transmisión de 10 Megabits por segundo
(Mbps) utilizando un cable de par trenzado de cobre. Ethernet es una norma para la
conexión de equipos a una red de área local (LAN). La distancia de cable máxima
será de 100 metros (325 pies), el número máximo de dispositivos por segmento de
red será 1 y el de dispositivos por red, 1.024. Consulte también 100BaseT.
Acceso protegido de Una norma de Wi-Fi diseñada para mejorar las funciones de seguridad de la
Wi-Fi (WPA) privacidad equivalente a cableado (WEP).
Access-challenge Condición adicional necesaria para que un usuario de autenticación inicie una
(desafío de acceso): sesión Telnet correctamente a través de un servidor RADIUS.
Adaptador virtual Los ajustes TCP/IP [dirección del protocolo de Internet (IP), direcciones del servidor
de sistema de nombre de dominio (DNS) y direcciones de servidor de servicio de
denominación de Internet de Windows (WINS)] que un dispositivo de seguridad
asigna a un usuario remoto XAuth para uso en una conexión VPN.
A-I
Manual de referencia de ScreenOS: conceptos y ejemplos
Agregación Proceso de combinar varias rutas de modo que sólo se notifique una. Con esta
técnica se minimiza el tamaño de la tabla de enrutamiento para el enrutador.
Agregado atómico Objeto utilizado por un enrutador de protocolo de puerta de enlace de borde (BGP)
para informar a otros enrutadores BGP de que el sistema ha seleccionado una ruta
general.
Agregador Objeto utilizado para agrupar múltiples rutas bajo una ruta común general de
acuerdo con el valor de la máscara de red.
Algoritmo Hash Algoritmo que produce un hash de 160 bits a partir de un mensaje de longitud
seguro-1 (SHA-1) arbitraria. (Normalmente, se considera más seguro que MD5 debido al mayor
tamaño del hash que produce).
Análisis antivirus (AV) Un mecanismo para detectar y bloquear virus en tráfico FTP (“File Transfer
Protocol”), IMAP (“Internet Message Access Protocol”), SMTP (“Simple Mail Transfer
Protocol”), HTTP (“Hypertext Transfer Protocol”), incluyendo el tráfico HTTP
webmail y POP3 (“Post Office Protocol”). ScreenOS ofrece una solución interna de
análisis AV.
Árbol de distribución Un árbol de distribución multicast donde el origen transmite el tráfico multicast al
compartido punto de encuentro (RP), que a continuación reenvía el tráfico en sentido
descendente a los receptores del árbol de distribución.
Árbol de la ruta más Un árbol de distribución multicast donde el origen se encuentra en la raíz del árbol
corta (SPT) y reenvía datos multicast en sentido descendente a cada receptor. Denominado
también como árbol específico del origen.
A-II
Apéndice A: Glosario
Asignación de puertos La traducción del número de puerto de destino original en un paquete a otro
número de puerto predeterminado.
Asociación de Acuerdo unidireccional entre los participantes VPN por lo que respecta a los
seguridad (SA) métodos y parámetros empleados para garantizar la seguridad de un canal de
comunicaciones. Para comunicaciones bidireccionales requiere al menos dos SA,
una para cada dirección. Los participantes VPN negocian y acuerdan SA de fase 1 y
de fase 2 durante una negociación AutoKey IKE. Consulte también Índice de
parámetros de seguridad.
Cadena de ruta AS Cadena que funciona como identificador de una ruta a un sistema autónomo (AS).
Se configura junto con la ID de lista de acceso AS-path.
Clase de atributo de BGP proporciona cuatro clases de atributos de ruta: discrecionales bien conocidos,
ruta AS opcionales transitivos y opcionales no transitivos.
Código de país de móvil Uno de los tres elementos de una Identidad de estación móvil internacional (IMSI);
(MCC) los otros dos son el código de red móvil (MNC) y el número de identificación de
abonado móvil (MSIN). El MCC y el MNC combinados constituyen el prefijo de IMSI
e identifican la red local móvil del abonado o la red móvil terrestre pública (PLMN).
Consulte también Identidad de estación móvil internacional (IMSI); Red móvil terrestre
pública (PLMN).
Código de red de móvil Uno de los tres elementos de una Identidad de estación móvil internacional (IMSI);
(MNC) los otros dos son el código de país móvil (MCC) y el número de identificación de
abonado móvil (MSIN). El MCC y el MNC combinados constituyen el prefijo de IMSI
e identifican la red local móvil del abonado o la red móvil terrestre pública (PLMN).
Consulte también Identidad de estación móvil internacional (IMSI); Red móvil terrestre
pública (PLMN).
A-III
Manual de referencia de ScreenOS: conceptos y ejemplos
Comparación del Un atributo que se utiliza para determinar una conexión ideal para llegar a un
Discriminador de salida prefijo particular dentro o tras el sistema autónomo (AS) actual. El MED contiene
múltiple (MED) una métrica que expresa el grado de preferencia de entradas en el AS. Puede
establecer prioridad de una conexión sobre el resto configurando un valor MED
para una conexión menor que el del resto de conexiones. Cuando menor sea el
valor MED, mayor será la prioridad de la conexión. Esto sucede porque un AS
establece el valor MED y el otro AS utiliza el valor para elegir una ruta.
Conector de interfaz de Tipo de tarjeta modular de interfaz utilizada en ciertos dispositivos de seguridad
gigabit (GBIC) para conectar una red de fibra óptica.
Conexión virtual Ruta lógica desde un área OSPF remota hasta el área troncal.
Conjunto de servicios Cuando un punto de acceso (AP) está conectado a una red cableada y un grupo de
básicos (BSS) estaciones inalámbricas, se le conoce como un grupo de servicio básico.
Copia segura (SCP) Método de transferencia de archivos entre un cliente remoto y un dispositivo de
seguridad con protocolo SSH. El dispositivo de seguridad actúa como servidor de
SCP, aceptando conexiones de clientes de SCP en hosts remotos.
Cortafuegos Dispositivo que protege y controla la conexión de una red con otra, tanto para el
tráfico entrante como para el saliente. Los cortafuegos se utilizan en empresas que
desean proteger cualquier servidor conectado a la red frente a daños (intencionados
o no) por parte de quienes acceden a él. Puede tratarse de un equipo dedicado,
equipado con medidas de seguridad, o de un tipo de protección basada en
software.
A-IV
Apéndice A: Glosario
Deep Inspection (DI) Mecanismo para filtrar el tráfico permitido por el cortafuegos. Deep Inspection
examina los encabezados de los paquetes de las capas 3 y 4, así como las
características del protocolo y el contenido a nivel de aplicación de la capa 7 para
detectar e impedir cualquier ataque o comportamiento anómalo que pueda
presentarse.
Desplazamiento de Mecanismo para crear una asignación directa (1:1) entre una dirección original
direcciones cualquiera en un rango de direcciones y una dirección traducida específica en otro
rango.
Dirección de Control de Dirección que identifica de forma única la tarjeta de interfaz de red, por ejemplo,
acceso de medios un adaptador Ethernet. En el caso de Ethernet, la dirección MAC es una dirección
(MAC) de 6 octetos asignada por IEEE. En una LAN o cualquier otra red, la dirección MAC
es un número de hardware único del equipo (en una LAN Ethernet, la dirección
MAC será la misma que la dirección Ethernet). Cuando se conecte a Internet desde
su equipo (o host, tal y como lo identifica el protocolo de Internet), una tabla de
correspondencias relacionará su dirección IP a la dirección (MAC) física de su
equipo en la LAN. La dirección MAC se utiliza en la subcapa de control de acceso a
medios (MAC) de la capa de control de conexión de datos (DLC) en los protocolos de
comunicación. Existe una subcapa MAC distinta para cada tipo de dispositivo físico.
Dirección IP asignada Una asignación directa uno a uno a una dirección IP del tráfico destinado a otra
(MIP) dirección IP.
Dirección IP virtual Una dirección VIP asigna el tráfico recibido en una dirección IP a otra dirección
(VIP) basándose en el número del puerto de destino que figura en el encabezado del
paquete.
Directivas multicast Las directivas multicast permiten que el tráfico de control multicast, como
mensajes Internet Group Management Protocol (IGMP) o Protocol-Independent
Multicast (PIM), cruce los dispositivos de seguridad.
Discriminador de salida Atributo BGP que determina la preferencia relativa de los puntos de entrada a un
múltiple (MED) sistema autónomo (AS).
A-V
Manual de referencia de ScreenOS: conceptos y ejemplos
Encapsulado genérico Un protocolo que encapsula cualquier tipo de paquete dentro de los paquetes
de enrutamiento (GRE) unicast IPv4. Para obtener información adicional sobre GRE, consulte RFC 1701,
Encapsulado genérico de enrutamiento (GRE).
Encriptación El proceso de cambiar los datos de forma que sólo pueda leerlos el receptor
correspondiente. Para descifrar el mensaje, el receptor de los datos encriptados
debe disponer de la clave de desencriptación adecuada. En esquemas de
encriptación tradicionales, el emisor y el receptor utilizan la misma clave para
encriptar y desencriptar los datos. Los esquemas de encriptación de clave pública
utilizan dos claves: una clave pública, que puede utilizar cualquier usuario, y una
clave privada correspondiente, que sólo tiene la persona que la creó. Con este
método, cualquiera puede enviar un mensaje encriptado con la clave pública del
propietario, pero sólo él podrá desencriptarlo con su clave privada. Norma de
encriptación de datos (DES) y DES triple (3DES) son dos de los esquemas de
encriptación de clave pública más conocidos.
Enrutador Dispositivo virtual o de hardware (de un entorno de seguridad) que distribuye datos
entre todos los demás enrutadores y puntos de recepción situados dentro o fuera
del dominio de enrutamiento local. Los enrutadores también actúan como filtros,
permitiendo que sólo los dispositivos autorizados transmitan datos dentro de la red
local para que la información privada siga siendo segura. Además de dar soporte a
estas conexiones, los enrutadores también gestionan errores, mantienen
estadísticas de utilización de la red y se encargan de cuestiones de seguridad.
Enrutador de borde de Enrutador con al menos una interfaz en el área 0 y al menos una interfaz en otra
área (ABR) área.
Enrutador de límite de Enrutador que conecta un sistema autónomo (AS) ejecutado según un protocolo de
AS enrutamiento con otro AS ejecutado según un protocolo distinto.
Enrutador virtual El componente de ScreenOS que realiza las funciones de enrutamiento. De forma
predeterminada, un dispositivo de seguridad admite dos enrutadores virtuales:
Untrust-VR y Trust-VR.
A-VI
Apéndice A: Glosario
Enrutamiento dinámico Método de enrutamiento que se adapta a las circunstancias cambiantes de la red
analizando los mensajes entrantes de actualización de enrutamiento. Si el mensaje
indica que se ha producido un cambio en la red, el software de enrutamiento
volverá a calcular las rutas y a enviar nuevos mensajes de actualización de
enrutamiento. Estos mensajes alimentan la red, ordenando a los enrutadores que
vuelvan a ejecutar sus algoritmos y que realicen los cambios necesarios en sus
tablas de enrutamiento. Existen dos formas comunes de enrutamiento dinámico,
incluyendo el enrutamiento de vector distancia y el enrutamiento de estado de
conexión.
Enrutamiento estático Rutas definidas por el usuario que fuerzan a los paquetes que se desplazan entre un
origen y un destino a pasar por una ruta especificada. Los algoritmos de
enrutamiento estático son asignaciones de tabla establecidas por el administrador
de red antes de que comience el enrutamiento. Estas asignaciones no cambian
salvo que el administrador de red las modifique manualmente. Los algoritmos que
utilizan rutas estáticas son fáciles de diseñar y funcionan bien en entornos en los
que el tráfico de red es relativamente predecible y el diseño de la red es
relativamente sencillo.
El software recuerda las rutas estáticas hasta que el usuario las elimina. No
obstante, es posible anular rutas estáticas con información de enrutamiento
dinámico a través de la asignación sensata de valores de distancia administrativa.
Para ello, debe asegurarse de que la distancia administrativa de la ruta estática sea
mayor que la del protocolo dinámico.
Enrutamiento según el Puede configurar un enrutador virtual en un dispositivo de seguridad para que
origen (SBR) reenvíe el tráfico en función de la dirección de origen del paquete de datos en lugar
de en función de la dirección de destino.
Enrutamiento según la SIBR permite al dispositivo de seguridad reenviar tráfico en función de la interfaz
interfaz de origen de origen (la interfaz por la que el paquete de datos llega al dispositivo de
(SIBR) seguridad).
Enrutamiento sin clase Compatibilidad para el enrutamiento entre dominios, independientemente del
tamaño o la clase de la red. Las direcciones de red se dividen en tres clases, pero
éstas son transparentes en BGP, dando así a la red una mayor flexibilidad.
Envejecimiento Mecanismo para acelerar el proceso del tiempo de espera cuando el número de
agresivo sesiones en la tabla de sesiones sobrepasa un umbral superior especificado. Cuando
el número de sesiones en la tabla cae por debajo de un umbral inferior
especificado, el proceso del tiempo de espera vuelve a su estado normal.
A-VII
Manual de referencia de ScreenOS: conceptos y ejemplos
Estado agregado Un enrutador se encuentra en estado agregado cuando es una de las múltiples
instancias virtuales de enrutamiento BGP agrupadas en una sola dirección. Consulte
también Protocolo de puerta de enlace de borde (BGP).
Estados de conexión Cuando un paquete enviado desde un enrutador llega a otro, se produce una
negociación entre los enrutadores de origen y destino. La negociación pasa por seis
estados: Idle, Connect, Active, OpenSent, OpenConnect y Establish.
Ethernet Un sistema de mejor intento de entrega de la red de área local (LAN) que utiliza la
tecnología del acceso múltiple de detección de transportador con detección de
colisión (CSMA/CD). Ethernet se puede utilizar con distintos tipos de cable, como
cable coaxial (grueso o fino), cable de par trenzado o cable de fibra óptica. Ethernet
es una norma para la conexión de equipos a una LAN. La forma más común de
ethernet es 10BaseT, lo que se denomina Par trenzado sin blindaje (UTP), que indica
una velocidad de transmisión de 10 Mbps utilizando un cable de par trenzado de
cobre. Consulte también 100BaseT.
Extensión multiuso para Las extensiones que permiten a los usuarios descargar diferentes tipos de medios
correo de internet electrónicos, como vídeo, audio y gráficas.
(MIME)
Extranet Conexión de dos o más intranets. Una intranet es un sitio web interno que permite
a los usuarios de una empresa comunicarse e intercambiar información. Una
extranet conecta ese espacio virtual con la intranet de otra empresa, permitiendo
así que estas dos (o más) empresas compartan recursos y se comuniquen a través
de Internet en su propio espacio virtual. Esta tecnología mejora enormemente las
comunicaciones de empresa a empresa.
Filtrado dinámico Servicio IP que se puede utilizar dentro de túneles VPN. Los filtros son un método
que utilizan algunos dispositivos de seguridad para controlar el tráfico de una red a
otra. Cuando TCP/IP envía paquetes de datos al cortafuegos, la función de filtrado
del cortafuegos localiza la información de encabezado de los paquetes y los dirige
de acuerdo con ella. Los filtros funcionan según criterios tales como el rango de
direcciones IP de origen o de destino, puertos de protocolo de control de
transmisión (TCP), protocolo de datagrama de usuario (UDP), el protocolo de
mensaje de control de Internet (ICMP) o las respuestas TCP. Consulte también
Encapsulamiento; red privada virtual (VPN).
A-VIII
Apéndice A: Glosario
Flap Damping de ruta BGP ofrece una técnica, denominada flap damping, para bloquear la notificación de
la ruta en algún punto próximo al origen hasta que la ruta es estable. El flap
damping de ruta permite contener la inestabilidad de enrutamiento en un
enrutador de borde del sistema autónomo (AS) adyacente a la zona en la que se
está produciendo la inestabilidad. El impacto de la limitación de la propagación
innecesaria es mantener un tiempo de convergencia de cambio de ruta razonable a
medida que se desarrolla la topología de enrutamiento.
Identidad de estación Un nodo de soporte de GPRS (GSN) identifica una estación móvil por su IMSI, el
móvil internacional cual está compuesto de tres elementos: el MCC (Código móvil del país), el código de
(IMSI) red móvil (MNC) y el número de identificación móvil del abonado (MSIN). El MCC y
el MNC combinados constituyen el prefijo de IMSI e identifican la red local móvil
del abonado o la red móvil terrestre pública (PLMN). Consulte también Nodo de
soporte de GPRS (GSN); Red móvil terrestre pública (PLMN).
Identificador de punto Un índice del contexto de protocolo de datos de paquete (PDP) que utiliza los
de acceso de servicio servicios proporcionados por el protocolo de convergencia dependiente de la
de red (NSAPI) subred de capa más baja (SNDCP). Un PDP puede tener varios contextos de PDP y
NSAPI. Consulte también Protocolo de datos de paquete (PDP).
Identificador de punto Identifica de manera única al punto final del túnel en la entidad de protocolo de
final del túnel (TEID) recepción GTP-U o GTP-C. El lado del extremo de recepción de un protocolo de
encapsulamiento de GPRS (GTP) asigna localmente el valor de TEID que el lado de
transmisión debe utilizar. Los valores de TEID se intercambian entre los puntos
finales del túnel utilizando los mensajes GTP-C. Consulte también Protocolo de
encapsulamiento de GPRS (GTP); Mensaje de GTP-Control (GTP-C); Túnel de GTP;
Mensaje de GTP-Usuario (GTP-U).
A-IX
Manual de referencia de ScreenOS: conceptos y ejemplos
Identificador del túnel Los paquetes que viajan a través del troncal de GPRS están dentro de una capa de
(TID) direccionamiento adicional para formar los paquetes de protocolo de
encapsulamiento de GPRS (GTP). Cada GTP empaqueta y luego transporta un TID.
Consulte también Sistema global para comunicaciones móviles (GSM).
Indicador de fuerza de Los números se expresan en decibeles (dB) que indican la relación de señal y ruido
la señal recibida (RSSI) (SNR).
Índice de parámetro de Un valor hexadecimal que identifica de forma inequívoca cada túnel. También
seguridad (SPI) indica al dispositivo de seguridad qué clave debe utilizar para desencriptar los
paquetes.
Información de Cada sistema autónomo (AS) dispone de un plan de enrutamiento que indica los
accesibilidad de la capa destinos a los que se puede acceder a través de él. Este plan de enrutamiento se
de red (NLRI) conoce como el objeto NLRI. Los enrutadores BGP generan y reciben
periódicamente actualizaciones del objeto NLRI. Cada actualización contiene
información sobre la lista de sistemas autónomos que atraviesan las cápsulas de
información de accesibilidad. Los valores comunes descritos por una actualización
de NLRI incluyen un número de red, una lista de sistemas autónomos que atraviesa
la información y otros atributos de ruta.
Infranet Una red pública que combina la conectividad común de Internet con el rendimiento
asegurado y la seguridad de una red privada.
Intercambio de Ya que la interfaz de Gp está basada en IP, debe ser compatible con los protocolos
itinerancia de GPRS de seguridad y enrutamiento apropiados para permitir que un abonado acceda a
(GRX) sus servicios locales desde cualquiera de sus socios de itinerancia locales de PLMN.
Muchos portadores/operadores de GPRS asumen estas funciones a través del
intercambio de itinerancia de GPRS (GRX). Esta función generalmente la
proporciona una red IP de terceros que ofrece los servicios VPN para conectar los
socios de itinerancia. El proveedor de servicio GRX se asegura que todos los
aspectos de enrutamiento y seguridad entre las redes se optimicen para una
operación eficiente. Consulte también Servicio general de radio por paquetes (GPRS).
Interfaz de seguridad Una entidad lógica de capa 3 vinculada a múltiples interfaces físicas de capa 2 en
virtual (VSI) un grupo de dispositivo de seguridad virtual (VSD). La VSI se asocia a la interfaz
física del dispositivo que actúa como maestro del grupo VSD. La VSI se desplaza a la
interfaz física de otro dispositivo del grupo VSD si se produce una conmutación por
error y dicho dispositivo se convierte en el nuevo maestro.
Interfaz de túnel La abertura o la entrada a través de la que pasa el tráfico entrante o saliente de un
túnel VPN. Una interfaz de túnel puede estar numerada (es decir, asignada a una
dirección IP) o sin numerar. Una interfaz de túnel numerada puede encontrarse en
una zona de túnel o en una zona de seguridad. Una interfaz de túnel sin numerar
sólo puede encontrarse en una zona de seguridad que contenga al menos una
interfaz de zona de seguridad. La interfaz de túnel no numerada toma prestada la
dirección IP de la interfaz de la zona de seguridad.
Interfaz Gi La interfaz entre un GSN y una red externa o Internet. Consulte Nodo de soporte de
GPRS (GSN).
Interfaz Gn La interfaz entre dos GSN dentro de la misma red móvil terrestre pública (PLMN).
A-X
Apéndice A: Glosario
Interfaz Gp La interfaz entre dos GSN dentro de diferentes redes móviles terrestres públicas
(PLMN).
Interfaz loopback Una interfaz lógica que emula una interfaz física en el dispositivo de seguridad,
pero que permanece en estado activo siempre que esté activo el dispositivo. Se
debe asignar una dirección IP a una interfaz de bucle invertido y asociarla a una
zona de seguridad.
Intervalo de saludo: Tiempo que transcurre entre instancias de paquetes de saludo. Consulte Paquete de
saludo.
Intervalo muerto Tiempo transcurrido antes de que una instancia de enrutamiento determine que
otra instancia de enrutamiento no se está ejecutando.
Intranet Una intranet, término derivado de Internet, es una red de acceso restringido que
funciona como la Web, aunque no se encuentra en ella. Normalmente es propiedad
de una empresa, que también se encarga de su administración, permitiéndole
compartir sus recursos con sus empleados sin que la información confidencial
pueda quedar accesible a cualquier usuario con acceso a Internet.
Línea asimétrica de Una tecnología de línea de abonado digital (DSL) que permite que las líneas
abonado digital (ADSL) telefónicas transmitan servicios de telefonía de voz y transmisión digital de alta
velocidad. Cada vez más proveedores de servicios ofrecen ADSL a clientes
residenciales y comerciales.
Lista de acceso de la Lista de acceso utilizada por una instancia de enrutamiento de protocolo de puerta
ruta AS de enlace de borde (BGP) para permitir o denegar paquetes enviados por instancias
de enrutamiento vecinas a la instancia de enrutamiento virtual actual.
Lista de accesos Una lista de prefijos de red que se comparan con una ruta determinada. Si la ruta
coincide con un prefijo de red definido en la lista de acceso, la ruta se permitirá o
denegará.
Lista de clústeres Lista de rutas registradas a medida que el paquete pasa a través de un clúster
reflector de rutas BGP.
Lista de control de Identifica clientes por medio de sus direcciones MAC y especifica si el dispositivo
accesos (ACL) inalámbrico autoriza o niega el acceso a cada dirección.
Lista de filtrado Lista de direcciones IP que puede enviar paquetes al dominio de enrutamiento
actual.
Lista de redistribución Lista de rutas del dominio de enrutamiento actual importado a partir de otro
dominio de enrutamiento que utiliza un protocolo distinto.
A-XI
Manual de referencia de ScreenOS: conceptos y ejemplos
Localizador de recurso Método estándar desarrollado para especificar la ubicación de un recurso disponible
uniforme (URL) de forma electrónica. Una URL, también denominada ubicación o dirección, indica
la ubicación de archivos en servidores. Una URL general presenta la sintaxis
protocolo://dirección. Por ejemplo, http://www.juniper.net/support/manuals.html
indica que el protocolo es HTTP, y la dirección es
www.juniper.net/support/manuals.html.
Mapa de rutas Los mapas de rutas se utilizan en BGP para controlar y modificar la información de
enrutamiento y para definir las condiciones según las cuales las rutas se
redistribuyen entre los dominios de enrutamiento. Un mapa de rutas contiene una
lista de entradas de mapa de rutas; cada una de estas entradas contiene un número
de secuencia y un valor de consigna y otro de coincidencia. Las entradas de mapa
de rutas se evalúan por orden ascendente según el número de secuencia. Una vez
que una entrada proporciona una condición de coincidencia, no se evalúa ningún
mapa de rutas más. Una vez que se encuentra una coincidencia, el mapa de rutas
realiza una operación de permiso o denegación de la entrada. Si la entrada del
mapa de rutas no es una coincidencia, se evalúa la siguiente entrada según los
criterios de coincidencia.
Máscara de red Una máscara de red indica qué parte de una dirección IP corresponde a la
identificación de red, y qué parte corresponde a la identificación de host. Por
ejemplo, la dirección IP y máscara de red 10.20.30.1 255.255.255.0 (o
10.20.30.1/24) se refieren a todos los hosts de la subred 10.20.30.0. La dirección IP
y la máscara de red 10.20.30.1 255.255.255.255 (o 10.20.30.1/32) se refieren a un
único host. Consulte también Dirección IP; Máscara de subred.
Máscara de subred En redes de grandes dimensiones, la máscara de subred permite definir subredes.
Por ejemplo, si tiene una red de clase B, una máscara de subred de 255.255.255.0
indica que las dos primeras partes del formato de punto decimal son la ID de red, y
la tercera parte es la ID de subred. La cuarta parte es la ID de host. Si no desea tener
una subred en una red de clase B, deberá utilizar una máscara de subred de
255.255.0.0. Una red se puede dividir en una o más subredes físicas, que forman
un subconjunto dentro de la red principal. La máscara de subred es la parte de la
dirección IP que se utiliza para representar una subred dentro de una red. El uso de
máscaras de subred permite utilizar espacio de direccionamiento de red que
normalmente no está disponible y garantiza que el tráfico de red no se envíe a toda
la red a menos que esa sea la intención del emisor. Consulte también Dirección IP;
Máscara de red.
A-XII
Apéndice A: Glosario
Mensaje de GTP-Control Los mensajes de GTP-C se intercambian entre los pares de nodo de soporte de
(GTP-C) GPRS (GSN) en una ruta. Los mensajes de control se utilizan para transferir
información de capacidad de GSN entre los pares de GSN, para crear, actualizar y
eliminar los túneles del protocolo de encapsulamiento de GPRS (GTP) y para la
administración de rutas. Consulte también Protocolo de encapsulamiento de GPRS
(GTP); Túnel de GTP.
Mensaje de Los mensajes de GTP-U se intercambian entre los pares de nodo de soporte de
GTP-Usuario (GTP-U) GPRS (GSN) o pares de GSN/controlador de red de radio (RNC) en una ruta. Los
mensajes de GTP-U se utilizan para llevar los paquetes de datos de usuario y
señalizar los mensajes para una administración de ruta e indicación de error. Los
datos de usuario transportado pueden ser paquetes en cualquier formato de IPv4,
IPv6 o PPP.
Metrica Valor asociado a una ruta que utiliza el enrutador virtual para seleccionar la ruta
activa cuando hay varias rutas hacia la misma red de destino con el mismo valor de
preferencia. El valor de métrica de las rutas conectadas es siempre 0. La métrica
predeterminada de las rutas estáticas es 1, pero se puede especificar un valor
diferente cuando se definen estas rutas.
Miembro AS El nombre del sistema autónomo (AS) que se incluye en una confederación de
protocolo de puerta de enlace de borde (BGP).
MIME Consulte Extensión multiuso para correo de internet de varios propósitos (MIME).
Modo de puerto Función compatible con algunos dispositivos de seguridad Juniper Networks; el
modo de puerto permite seleccionar uno de entre varios conjuntos distintos de
asociaciones de zona, puerto e interfaz en el dispositivo. Cambiar el modo de
puerto elimina cualquier configuración existente en el dispositivo y requiere
reiniciar el sistema.
A-XIII
Manual de referencia de ScreenOS: conceptos y ejemplos
NAT-Traversal (NAT-T): Método que permite que el tráfico IPSec atraviese los dispositivos NAT situados a lo
largo de la ruta de datos de una red privada virtual (VPN) agregando una capa de
encapsulamiento de protocolo de datagrama de usuario (UDP). En primer lugar, el
método proporciona un medio para detectar dispositivos NAT durante intercambios
IKE de fase 1 y, a continuación, proporciona un medio para atravesarlos una vez
completadas las negociaciones IKE de fase 2.
Nodo de soporte de Un término que se utiliza para incluir tanto el nodo de soporte de GPRS de puerta
GPRS (GSN) de enlace (GGSN) como el nodo de soporte de GPRS de servicio (SGSN). Consulte
también Servicio general de radio por paquetes (GPRS).
Nodo de soporte de Un dispositivo que actúa como una interfaz entre la red troncal de GPRS y las redes
GPRS de puerta de de datos de paquetes externos (radio e IP). Entre otras cosas, una GGSN convierte
enlace (GGSN) los paquetes GPRS que vienen de una SGSN en el formato de protocolo de datos de
paquete (PDP) apropiado y los envía a la PDN correspondiente. Una GGSN también
lleva a cabo las funciones de carga y autenticación. Consulte también Servicio
general de radio por paquetes (GPRS).
Nodo de soporte de Conecta uno o más controladores de estación base (BSC) a la red troncal GPRS,
GPRS de servicio proporcionando la conectividad de IP al nodo de soporte de GPRS de puerta de
(SGSN) enlace (GGSN).
Norma de encriptación El texto del mensaje, y si es necesario, las firmas de mensaje se pueden encriptar
de datos – utilizando el algoritmo de Norma de encriptación de datos (DES9 en el modo de
Encadenamiento de operación de Encadenamiento de encriptación de datos (CBC). La cadena de
bloques de cifrado caracteres “DES-CBC” dentro del campo de encabezado de correo mejorado de
(DES-CBC) privacidad (PEM) encapsulado indica el uso de DES–CBC.
Notificación Método que utilizan los enrutadores para anunciarse a otros dispositivos en la red
transmitiéndoles información básica, como dirección IP, máscara de red y otros
datos.
A-XIV
Apéndice A: Glosario
Notificación de estado Medio que permite a los enrutadores OSPF poner la información sobre el
de conexiones dispositivo, la red y el enrutamiento a disposición de la base de datos de estado de
conexiones. Cada enrutador recupera información de las LSA enviadas por otros
enrutadores en la red para construir una imagen de toda la red de Internet a partir
de la cual cada instancia de enrutamiento destilará la información de ruta que
utilizará en su tabla de enrutamiento.
Número de AS Número de identificación del sistema autónomo (AS) local asignado a una instancia
de enrutamiento del protocolo de puerta de enlace de borde (BGP). El número de ID
puede ser cualquier número entero válido.
Número de Uno de los tres elementos de una Identidad de estación móvil internacional (IMSI);
identificación de los otros dos son el código de país móvil (MCC) y el código de red móvil (MNC).
abonado de móvil Consulte también Identidad de estación móvil internacional (IMSI).
(MSIN)
Paquete de saludo Paquete que anuncia a la red información, como su presencia y disponibilidad,
acerca del enrutador que generó el paquete.
Preferencia Valor asociado a una ruta que utiliza el enrutador virtual para seleccionar la ruta
activa cuando hay varias rutas hacia la misma red de destino. El valor de
preferencia está determinado por el protocolo o el origen de la ruta. Cuanto menor
sea el valor de preferencia de una ruta, más posibilidades existen que esa ruta se
seleccione como ruta activa.
Preferencia local Para proporcionar una información mejor que la que del valor MED (Multi-Exit
Discriminator) para seleccionar una ruta de paquete, BGP ofrece un atributo
conocido como LOCAL_PREF o valor de preferencia local. Puede configurar el
atributo LOCAL_PREF de modo que los prefijos recibidos desde un enrutador que
proporcione una ruta configurada como superior tengan un valor superior a los
A-XV
Manual de referencia de ScreenOS: conceptos y ejemplos
prefijos almacenados en el enrutador que ofrezca una ruta menos deseable. Cuanto
mayor sea el valor, más deseable será la ruta. El atributo LOCAL_PREF es la métrica
más utilizada en la práctica para expresar la preferencia de un conjunto de rutas
sobre otro.
Primera ruta más corta Protocolo de enrutamiento dinámico concebido para funcionar dentro de un único
abierta (OSPF) sistema autónomo (AS).
Privacidad equivalente Encripta y desencripta los datos a medida que pasan a través del enlace
a cableado (WEP) inalámbrico con el algoritmo de cifrado de secuencia Rivest Cipher 4 (RC4).
Protocolo de Protocolo que se ejecuta entre los hosts y los enrutadores para comunicar la
administración de información de miembros del grupo multicast.
grupos de Internet
(IGMP)
Protocolo de Un conjunto de reglas que permite que equipos con distintos sistemas operativos se
comunicaciones comuniquen entre sí.
Protocolo de Método para asignar automáticamente direcciones IP a hosts en una red. Según el
configuración dinámica modelo de dispositivo específico, los dispositivos de seguridad pueden asignar
de hosts (DHCP) direcciones IP dinámicas a hosts, recibir direcciones IP asignadas dinámicamente o
recibir información DHCP desde un servidor DHCP y reenviar la información a los
hosts.
Protocolo de control del RTCP ofrece información sobre los miembros de una sesión y la calidad de la
transporte en tiempo comunicación. Sincroniza secuencias multimedia asociando marcas de hora y un
real (RTCP) reloj en tiempo real.
Protocolo de datos de Los protocolos principales que se utilizan para las comunicaciones de datos en un
paquete (PDP) PDN, por ejemplo, TCP/IP en Internet.
A-XVI
Apéndice A: Glosario
Protocolo de Las descripciones de sesión SDP aparecen en numerosos mensajes SIP y ofrecen
descripción de la sesión información que puede utilizar un sistema para participar en una sesión
(SDP) multimedia. El protocolo SDP puede proporcionar datos como direcciones IP,
números de puerto, fechas y horas, o información sobre la secuencia multimedia.
Protocolo de Un protocolo basado en IP que se utiliza dentro de las redes del sistema global para
encapsulamiento de comunicaciones móviles (GSM) y sistema de telecomunicaciones móviles
GPRS (GTP) universales (UMTS). GTP está colocada en capas en la parte superior del protocolo
de datagrama de usuario (UDP). Actualmente existen tres protocolos separados:
GTP’, GTP-Control (GTP-C) y GTP User (GTP-U). Consulte también Servicio general de
radio por paquetes (GPRS); Mensaje de GTP-Control (GTP-C) ; Mensaje de GTP-User
(GTP-U).
Protocolo de equipo El protocolo patentado de Juniper Networks que utiliza el protocolo de control de
selector NetScreen transmisión (TCP) y supervisa la conectividad entre el cliente y el servidor al enviar
(NSGP) los mensajes de saludo en intervalos establecidos.
Protocolo de estado de Cuando un dispositivo de seguridad realiza una operación en la que se utiliza un
certificado en línea certificado, suele ser importante verificar su validez. Los certificados pueden
(OCSP) quedar invalidados por vencimiento o por revocación. La forma habitual de
comprobar el estado de los certificados es utilizar las listas de revocación de
certificados (CRL). El protocolo de estado de certificado en línea (OCSP) es otra
forma de comprobar el estado de los certificados. Este protocolo ofrece información
adicional sobre los certificados y realiza comprobaciones de estado periódicas.
Protocolo de inicio de SIP es un protocolo conforme a la norma del equipo de ingeniería para el desarrollo
sesión (SIP) de Internet (IETF) en el que se define cómo iniciar, modificar y finalizar sesiones
multimedia a través de Internet. Estas sesiones pueden ser de conferencias,
telefonía o transferencias de datos multimedia, con prestaciones como la
mensajería inmediata y la movilidad de aplicaciones en entornos de red.
Protocolo de Internet Protocolo estándar de Internet que define una unidad básica de datos denominada
(IP) un datagrama, el cual se utiliza en un sistema sin conexiones de entrega de mejor
esfuerzo. El protocolo IP define el modo en que la información pasa entre sistemas
a través de Internet.
Protocolo de mensajes En ocasiones, las puertas de enlace o los hosts de destino utilizan ICMP para
de control de Internet comunicarse con hosts de origen, por ejemplo, para informar de un error durante el
(ICMP) procesamiento de datagramas. ICMP utiliza el soporte básico del protocolo IP como
si se tratara de un protocolo de nivel superior; aunque en realidad, el protocolo
ICMP forma parte integral de IP, por lo que debe implementarlo cada módulo IP. Los
mensajes ICMP se envían en distintas situaciones: por ejemplo, cuando un
datagrama no puede llegar a su destino, cuando la puerta de enlace no tiene
capacidad de búfer suficiente para reenviar un datagrama o cuando la puerta de
enlace puede hacer que el host envíe tráfico por una ruta más corta. El protocolo de
Internet (IP) no se ha diseñado para que sea absolutamente fiable. El objetivo de
estos mensajes de control es informar sobre problemas en el entorno de
comunicaciones, no hacer de IP un protocolo fiable.
Protocolo de puerta de Protocolo de enrutamiento interno de un sistema autónomo. Los enrutadores BGP y
enlace de borde (BGP) los sistemas autónomos intercambian información de enrutamiento para Internet.
A-XVII
Manual de referencia de ScreenOS: conceptos y ejemplos
Protocolo de Protocolo patentado que ofrece redundancia de objetos en tiempo real (RTO) y
redundancia de configuración, así como un mecanismo de conmutación por error de dispositivos
NetScreen (NSRP) para unidades de seguridad en un clúster de alta disponibilidad (HA).
Protocolo de seguridad Los protocolos de seguridad en el nivel de IP (AH y ESP), fueron propuestos
de encapsulado/ originalmente por el Network Working Group centrándose en los mecanismos de
Encabezado de la seguridad IP, IPSec. El término IPSec se utiliza libremente para hacer referencia a
autenticación paquetes, claves y enrutadores asociados a estos protocolos. El protocolo IP AH
(ESP/AH) proporciona autenticación. ESP proporciona tanto autenticación como encriptación.
Protocolo de transporte RTP se utiliza para garantizar la recepción de paquetes en orden cronológico
en tiempo real (RTP) asignando marcas de hora y números de secuencia al encabezado del paquete.
Cada sesión RTP tiene una sesión RTCP correspondiente. Consulte Protocolo de
control de transporte en tiempo real (RTCP).
Protocolo punto a punto Permite que varios usuarios de un sitio compartan la misma línea de abonado
sobre Ethernet (PPPoE) digital, el mismo módem de cable o la misma conexión inalámbrica a Internet. Es
posible configurar instancias de cliente PPPoE, incluyendo nombre de usuario y
contraseña, en una o en todas las interfaces de algunos dispositivos de seguridad.
Proxy de circuito Los servidores de proxy se encuentran disponibles para los servicios comunes de
Internet, por ejemplo, un proxy http se utiliza para acceso de Web, un proxy FTP se
utiliza para la transferencia de archivos. Algunos proxies se denominan proxies a
nivel de de aplicación o puertas de enlace a nivel aplicación, ya que se dedican a un
protocolo y aplicación determinada y conocen el contenido de los paquetes a
enviar. Un proxy genérico, denominado un proxy de circuito, admite varias
aplicaciones. Por ejemplo, SOCKS es un servidor proxy genérico con base en IP que
admite las aplicaciones de TCP y UDP. Consulte también Servidor proxy.
Puente Dispositivo que reenvía tráfico entre segmentos de red de acuerdo con la
información de la capa de enlace de datos. Estos segmentos comparten un espacio
de direcciones de capa de red en común.
Puerto troncal Un puerto troncal permite a un conmutador agrupar tráfico de varias VLAN por un
único puerto físico, clasificando los paquetes por la identidad de VLAN (VID) de los
encabezados de las tramas.
A-XVIII
Apéndice A: Glosario
Punto de acceso Conecta una red inalámbrica con una red cableada o conecta redes inalámbricas
inalámbrico (WAP) múltiples entre sí. También se puede referir al dispositivo inalámbrico
NetScreen-5GT como WAP.
Punto de encuentro Un enrutador en la raíz del árbol de distribución multicast. Todos los orígenes de un
(RP) grupo envían sus paquetes al RP, y el RP envía datos en dirección descendente por
el árbol de distribución compartido a todos los receptores de la red.
Rango de áreas Secuencia de direcciones IP definidas por un límite inferior y otro superior que
indica una serie de direcciones de dispositivos existentes dentro de un área.
Red de área local (LAN) Cualquier tecnología de red que interconecta recursos dentro de un entorno de
oficina, normalmente a alta velocidad, como p. ej. Ethernet. Una LAN es una red de
corta distancia utilizada para enlazar un grupo de equipos entre sí dentro de un
edificio. Ethernet 10BaseT es la forma más común de LAN. Un dispositivo de
hardware llamado concentrador (hub) sirve como punto de cableado común,
permitiendo el envío de datos de una máquina a otra dentro de la red. Las LAN
suelen estar limitadas a distancias de menos de 500 metros y ofrecen capacidades
de red de bajo coste y banda ancha dentro de un área geográfica pequeña.
Red de área local Agrupación de dispositivos más lógica que física que constituye un único dominio
virtual (VLAN) de difusión. Los miembros VLAN no se identifican por su ubicación en una subred
física, sino por el uso de etiquetas en los encabezados de las tramas de sus datos
transmitidos. Las VLAN se describen en la norma IEEE 802.1Q.
Red de difusión Una red que admite varios enrutadores con capacidad para comunicarse
directamente entre sí. Ethernet es un ejemplo de red de difusión.
Red móvil terrestre Una red pública dedicada a la operación de comunicaciones de radio móviles.
pública (PLMN)
Red privada virtual Un medio sencillo, rentable y seguro para las empresas que permite ofrecer a los
(VPN) teletrabajadores un acceso telefónico local a la red de la empresa o a otro proveedor
de servicios de Internet (ISP). Las conexiones privadas seguras a través de Internet
son más económicas que las líneas privadas especializadas. Las VPN son posibles
gracias a tecnologías y normas como el encapsulado, el análisis, la encriptación e
IPSec.
Reenvío por rutas Un método utilizado por los enrutadores multicast para comprobar la validez de los
inversas paquetes multicast. Un enrutador realiza operaciones de búsqueda de rutas en la
tabla de rutas unicast para comprobar si la interfaz en la cual recibió el paquete
(interfaz de entrada) es la misma interfaz que debe utilizar para enviar los paquetes
de vuelta al remitente. Si lo es, el enrutador crea la entrada de la ruta multicast y
reenvía el paquete al enrutador del salto siguiente. Si no lo es, el enrutador descarta
el paquete.
A-XIX
Manual de referencia de ScreenOS: conceptos y ejemplos
Reflector de ruta Enrutador cuya configuración del protocolo de puerta de enlace de borde (BGP)
permite volver a notificar rutas entre vecinos BGP internos (IBGP) o vecinos
ubicados en el mismo sistema autónomo (AS) BGP. Un cliente reflector de rutas es
un dispositivo que utiliza un reflector de rutas para volver a notificar sus rutas a
todo el AS. También depende de dicho reflector de rutas para averiguar información
sobre las rutas del resto de la red.
Registro de ubicación Un túnel GTP se identifica en cada modo con un identificador de punto final de
local (HLR) túnel (TEID), una dirección de IP y un número de puerto UDP.
Reglas de exportación Cuando tenemos dos o más enrutadores virtuales en un dispositivo de seguridad,
podemos configurar reglas de exportación que definirán las rutas de un enrutador
virtual que puede reconocer y memorizar otro enrutador virtual. Consulte también
Reglas de importación.
Reglas de importación Cuando tenemos dos o más enrutadores virtuales en un dispositivo de seguridad,
podemos configurar reglas de importación que definirán las rutas que un enrutador
virtual puede reconocer y memorizar. Si no se configuran reglas de importación
para un enrutador virtual, se aceptarán todos los enrutadores que se exporten a ese
enrutador virtual. Consulte también Reglas de exportación.
Relación de señal y La relación de la amplitud de una señal deseada de datos digitales o análogos a la
ruido (SNR) amplitud de ruido en un canal de transmisión en un punto específico en el tiempo.
SNR se expresa generalmente de manera logarítmica en decibeles (dB).
Ruta AS Lista de todos los sistemas autónomos que una actualización de enrutador ha
atravesado durante la transmisión actual.
Ruta multidireccional ECMP asiste con equilibrio de cargas entre dos a cuatro rutas al mismo destino o
de igual coste (ECMP) aumenta la eficacia de utilización del ancho de banda entre dos o más destinos.
Cuando están habilitados, los dispositivos de seguridad utilizan las rutas definidas
estáticamente o memorizan dinámicamente varias rutas al mismo destino
mediante un protocolo de enrutamiento. El dispositivo sde eguridad asigna rutas de
igual coste en el modo de ronda recíproca. Valor predeterminado: desactivado
Ruta predeterminada Una entrada de tabla de enrutamiento comodín que define el reenvío de tráfico
para redes de destino que no están definidas de forma explícita en la tabla de
enrutamiento. La red de destino para la ruta predeterminada se representa con la
dirección de red 0.0.0.0/0.
A-XX
Apéndice A: Glosario
Seguridad IP (IPSec) Norma de seguridad desarrollada por el equipo de ingeniería para el desarrollo de
Internet (IETF). Se trata de un conjunto de protocolos que ofrece autenticación,
integridad y confidencialidad para asegurar las comunicaciones y soportar los
intercambios de claves en redes aún más grandes. Consulte también Norma de
encriptación de datos – Encadenamiento de bloque de cifrado (DES-CBC); Protocolo de
seguridad de encapsulamiento/Encabezado de autenticación (ESP/AH).
Servicio de nombres de Un servicio para asignar direcciones de protocolo de Internet (IP) a nombres de
Internet de Windows equipos NetBIOS en redes basadas en servidores Windows NT. Los servidores WINS
(WINS) asignan un nombre NetBIOS utilizado en un entorno de red Windows a una
dirección IP utilizada en una red basada en IP.
Servicio general de Un servicio de datos móviles disponibles a los usuarios de teléfonos móviles del
radio por paquetes sistema global para comunicaciones móviles (GSM). Generalmente se describe
(GPRS) como 2.5G, quiere decir, una tecnología entre la telefonía móvil de segunda
generación (2G) y tercera generación (3G). GPRS proporciona la transferencia de
datos de velocidad moderada al utilizar los canales de Acceso múltiple de división
de tiempo (TDMA) en la red de GSM.
Servicio general de Una tecnología con base en paquetes que permite Internet inalámbrica de alta
radio por paquetes velocidad y otras comunicaciones de datos. GPRS proporciona de tres a cuatro
(GPRS) veces más velocidad que los sistemas del sistema global para comunicaciones
móviles (GSM) convencionales.
Servidor proxy También denominado proxy, un servidor proxy es una técnica utilizada para captar
información en un servidor Web y actuar como un intermediario entre el cliente
Web y ese servidor Web. Almacena el contenido de Web utilizado más
recientemente y más comúnmente para proporcionar un acceso más rápido y para
aumentar la seguridad del servidor. Esto suele aplicarse a un ISP específicamente si
su conexión a Internet es lenta. Consulte también Proxy de circuito.
Shell seguro (SSH) Protocolo que permite a los administradores del dispositivo gestionar de forma
remota el dispositivo de modo seguro. En el dispositivo de seguridad se puede
ejecutar un servidor SSH de versión 1 o de versión 2.
Siguiente salto En la tabla de enrutamiento, una dirección IP a la que se reenvía el tráfico para la
red de destino. El siguiente salto también puede ser otro enrutador virtual en el
mismo dispositivo de seguridad.
Síntesis de mensaje 5 La síntesis de mensaje [versión] 5, algoritmo que produce una codificación de
(Message Digest, MD5) mensaje de 128 bits (o hash) a partir de un mensaje de longitud arbitraria. El hash
resultante se utiliza a modo de huella dactilar de la entrada, para verificar su
autenticidad.
Sistema autónomo (AS) Un conjunto de enrutadores independientes del resto de la red y gobernados por
una única administración técnica. Este grupo de enrutadores utiliza uno o varios
protocolos de puerta de enlace interior (IGP) y métricas comunes para enrutar
paquetes dentro del grupo. El grupo también utiliza un protocolo de puerta de
enlace exterior (EGP) para enrutar paquetes a otros sistemas autónomos. Cada AS
dispone de un plan de enrutamiento que indica los destinos a los que se puede
acceder a través de él. Este plan se conoce como objeto NLRI (“Network Layer
Reachability Information”). Los enrutadores de protocolo de puerta de enlace de
borde (BGP) generan y reciben periódicamente actualizaciones del objeto NLRI.
A-XXI
Manual de referencia de ScreenOS: conceptos y ejemplos
Sistema de nombres de Almacena información sobre los nombres de host y los nombres de dominio en un
dominio (DNS) tipo de base de datos distribuidos en redes como Internet. De los muchos tipos de
información que se pueden almacenar, DNS proporciona con más importancia una
ubicación física (dirección IP) para cada nombre de dominio y enumera los
servidores de cambio de correo aceptando el correo electrónico para cada dominio.
Sistema global para Una norma globalmente aceptaba para la comunicación celular digital. GSM es el
comunicaciones nombre de un grupo de normalización establecido en 1982 para crear una norma
móviles (GSM). de teléfonos móviles de Europa común que formula las especificaciones para un
sistema de radio celular móvil paneuropeo que opera a 900 MHz.
Sistema virtual (vsys) Una subdivisión del sistema principal que para el usuario aparece como una
entidad independiente. Los sistemas virtuales residen de forma independiente
entre sí en el mismo dispositivo de seguridad. Cada uno puede estar gestionado por
su propio administrador de sistema virtual.
Subinterfaz Una división lógica de una interfaz física que ocupa el ancho de banda que necesita
de la interfaz física de la que procede. Una subinterfaz es un elemento abstracto con
funciones idénticas a las de una interfaz de un puerto con presencia física, de la que
se diferencia por el etiquetado VLAN 802.1Q.
Syslog Protocolo que permite a un dispositivo enviar mensajes de registro a un host donde
se esté ejecutando el demonio syslog (servidor syslog). El servidor syslog recopila y
almacena estos mensajes de registro de forma local.
Tabla de enrutamiento Lista almacenada en la memoria de un enrutador virtual que contiene una vista en
tiempo real de todas las redes conectadas y remotas hacia las que un enrutador está
encaminando paquetes en ese momento.
Tiempo de espera En OSPF, tiempo máximo entre instancias para iniciar cálculos SPF (Shortest Path
First, iniciar primero la ruta más corta). En BGP, el tiempo máximo que transcurre
entre transmisiones de mensajes entre un interlocutor BGP y su vecino.
A-XXII
Apéndice A: Glosario
Unidad de datos de 1. Información que se entrega como una unidad entre entidades homólogas de una
protocolo (PDU) red y que puede contener información de control, información de dirección o datos.
Unidad de datos de Cualquier mensaje GTP-C o GTP-U. Consulte también Protocolo de encapsulamiento
protocolo de GTP de GPRS (GTP).
(GTP-PDU)
A-XXIII
Manual de referencia de ScreenOS: conceptos y ejemplos
Vecino Para comenzar a configurar una red BGP, primero hay que establecer una conexión
entre el dispositivo actual y otro dispositivo adyacente homólogo denominado
vecino o interlocutor. Aunque este dispositivo homólogo puede parecer información
innecesaria al principio, en realidad es un componente central para el
funcionamiento de BGP. Al contrario que en RIP u OSPF, deberá configurar dos
dispositivos (el enrutador actual y su vecino) para que BGP funcione. Aunque este
método requiere un mayor esfuerzo, permite una conexión en red a gran escala ya
que BGP evita la implementación de las técnicas de notificación limitadas
inherentes a los estándares de red interior.
Hay dos tipos de vecinos BGP: vecinos internos, que se encuentran en el mismo
sistema autónomo (AS), y vecinos externos, que se encuentran en sistemas
autónomos distintos. Entre los vecinos se requiere una conexión fiable, que se
consigue creando una conexión TCP entre los dos dispositivos. El establecimiento
de comunicación que ocurre entre los dos vecinos potenciales pasa por una serie de
fases o estados antes de que sea posible realizar una verdadera conexión. Consulte
también Estados de conexión.
Vecinos externos Dos enrutadores de protocolo de puerta de enlace de borde (BGP) que residen en
dos sistemas autónomos diferentes. Consulte Protocolo de puerta de enlace de borde
(BGP).
Vector distancia Estrategia de enrutamiento basada en un algoritmo que funciona con una serie de
enrutadores que difunden esporádicamente copias enteras de su propia tabla de
enrutamiento a todos los vecinos conectados directamente. Esta actualización
identifica las redes que conoce cada enrutador y la distancia entre cada una de esas
redes. La distancia se mide en número de saltos o en el número de dominios de
enrutamiento que un paquete debe atravesar entre el dispositivo de origen y el
dispositivo al que intenta acceder.
WebTrends Producto ofrecido por NetIQ que admite la creación de informes personalizados
basados en los registros generados por un dispositivo de seguridad. WebTrends
permite que la información se visualice gráficamente.
Zona Un segmento del espacio de red al que se aplican medidas de seguridad (zona de
seguridad), un segmento lógico que tiene asociada una interfaz de túnel VPN (zona
de túnel) o una entidad física o lógica que realiza una función específica (zona de
función).
Zona de seguridad Una zona de seguridad es un conjunto de uno o varios segmentos de red, lo que
requiere regular el tráfico entrante y saliente por medio de directivas.
Zona de túnel Una zona de túnel es un segmento lógico que contiene al menos una interfaz de
túnel. Una zona de túnel está asociada a una zona de seguridad que actúa como su
portadora.
A-XXIV
Apéndice A: Glosario
Zona desmilitarizada Término militar que designa un área entre dos oponentes donde se evita la lucha.
(DMZ) Las redes Ethernets de zonas DMZ conectan redes y equipos controlados por
diferentes entidades. Pueden ser externas o internas. Las redes Ethernet DMZ
externas conectan redes regionales con enrutadores.
Zona Trust Una de las dos zonas de seguridad que impide que los paquetes sean visibles para
los dispositivos externos al dominio de seguridad actual.
Zona Untrust Una de las dos zonas de seguridad que permite que los paquetes sean visibles para
los dispositivos externos al dominio de seguridad actual.
A-XXV
Manual de referencia de ScreenOS: conceptos y ejemplos
A-XXVI
Índice
Numerics ajustes de configuración, requisitos
3DES ............................................................................. 5-6 del explorador ........................................................... 3-2
Ajustes de L2TP, DNS .............................................. 5-211
A alarmas
acciones de ataque .....................................4-130 a 4-137 alerta de correo electrónico ............................... 3-64
close .................................................................... 4-130 comunicar a NetScreen-Security Manager ....... 3-23
close client ......................................................... 4-130 tráfico .........................................................3-64 a 3-67
close server ........................................................ 4-130 umbrales ............................................................... 3-64
drop .................................................................... 4-130 alarmas de tráfico ...........................................3-64 a 3-67
drop packet ........................................................ 4-130 alarmas, umbrales de .............................................. 2-177
ignore.................................................................. 4-131 ALG .................................................................... 4-61, 6-17
none .................................................................... 4-131 MS RPC ............................................................... 2-133
ACL ............................................................................ 12-45 para servicios personalizados .......................... 2-172
adaptadores virtuales ................................................ 9-65 RTSP.................................................................... 2-134
administración SIP ......................................................................... 6-13
Interfaz de línea de comandos (CLI) ................... 3-9 SIP NAT................................................................. 6-24
restringir ............................................................... 3-41 Sun RPC .............................................................. 2-131
WebUI ..................................................................... 3-2 almacenamiento en segundo plano ........................ 3-90
administración, vsys ................................................. 10-6 almacenamiento flash interno ................................. 3-54
administrador fiduciario ......................................... 12-59 alta disponibilidad
administrador raíz, inicio de sesión ........................ 3-41 cableado ................................................11-34 a 11-36
administradores ......................................................... 10-1 conexión de datos ............................................. 11-31
cambiar contraseñas..................................10-3, 10-7 interfaces virtuales ............................................ 11-35
tipos ...................................................................... 10-3 LED...................................................................... 11-20
ADSL mensajes ............................................................ 11-30
acceso del servidor local .................................. 12-17 seguimiento de IP................................ 11-88, 11-117
conexión del cable .............................................. 12-2 sondeo de conexiones ...................................... 11-32
PPPoA ................................................................... 12-6 supervisión de rutas ........................................ 11-117
respaldo de acceso telefónico .......................... 12-10 véase HA
respaldo de ethernet ......................................... 12-15 alta disponibilidad (HA)................................. 13-5, 13-20
Túnel VPN .......................................................... 12-20 análisis antivirus .............................................4-63 a 4-79
túnel VPN secundario ....................................... 12-24 correo web de HTTP ........................................... 4-67
vista general ......................................................... 12-1 descompresión .................................................... 4-82
ADSL 1483 extensiones de archivo ....................................... 4-82
bridging ................................................................ 12-8 FTP ........................................................................ 4-64
enrutamiento ..................................................... 12-30 goteo HTTP .......................................................... 4-78
Advanced Encryption Standard (AES) ....................... 5-7 HTTP ..................................................................... 4-65
AES ................................................................................ 5-7 HTTP “keep-alive” ............................................... 4-77
Agente de NSM .......................................................... 3-21 IMAP ..................................................................... 4-68
comunicar eventos .............................................. 3-23 MIME ..................................................................... 4-66
habilitar ................................................................ 3-22 modo de fallo ....................................................... 4-76
agente zombie ..................................................4-32, 4-34 POP3 ..................................................................... 4-68
AH...........................................................................5-3, 5-6 recursos de AV por cliente ................................. 4-76
AIM ............................................................................ 4-122 SMTP ..................................................................... 4-69
suscripción ........................................................... 4-71
Índice IX-I
Concepts & Examples ScreenOS Reference Guide
IX-II Índice
Índice
Índice IX-III
Concepts & Examples ScreenOS Reference Guide
comunidad SNMP D
privadas ................................................................ 3-72 Datos de NSRP
públicas ................................................................ 3-72 conexión............................................................. 11-31
conexión principal ..................................................... 3-92 mensajes ............................................................ 11-31
confidencialidad directa perfecta DDoS ........................................................................... 4-32
véase PFS Deep Inspection (DI) ..................................4-127 a 4-151
configuración en malla completa .......................... 11-94 acciones de ataque...............................4-130 a 4-137
configuración punto a multipunto anomalías del protocolo ................................... 4-125
OSPF ..................................................................... 7-72 base de datos de objetos
configuraciones de ataque ............................................4-110 a 4-118
ISP para las interfaces serie ............................. 11-75 cambiar gravedad ............................................. 4-126
malla completa .................................................. 11-94 claves de licencia .............................................. 4-108
módem para las interfaces serie ..................... 11-74 contexto .................................................................. 4-I
configurar modo ........................................................ 9-66 desactivar objetos de ataque ........................... 4-129
Conjunto de servicios básicos expresiones regulares ..........................4-147 a 4-148
véase BSS firmas completas ............................................... 4-124
conjuntos de DIP firmas de secuencias ........................................ 4-125
consideraciones sobre direcciones ................... 8-16 firmas personalizadas ..........................4-147 a 4-151
interfaces extendidas ....................................... 5-141 grupos de objetos de ataque ............................ 4-126
NAT para VPNs .................................................. 5-141 negación de objetos de ataque ........................ 4-154
NAT-src ................................................................... 8-1 objetos de ataque .............................................. 4-107
tamaño ................................................................. 8-16 objetos de ataque personalizados ................... 4-146
Conjuntos de direcciones IP paquetes de firmas ........................................... 4-110
véase Conjuntos de DIP registrar grupos de objetos de ataque ............ 4-140
Conjuntos de IP dinámico (DIP) ............................ 2-174 servicios personalizados ......................4-142 a 4-146
Conjuntos de servicios básicos (BSS) .................... 12-34 vista general ....................................................... 4-106
conmutación de disponibilidad alta volver a habilitar objetos de ataque ................ 4-129
activa/activa ......................................................... 11-5 denegación de direcciones ..................................... 2-191
activa/pasiva ........................................................ 11-4 Denegación de servicio
conmutación por error véase DoS
dispositivos ........................................................ 11-83 DES ................................................................................ 5-6
grupos VSD ........................................................ 11-84 descompresión, análisis antivirus............................ 4-82
interfaces Dual Untrust .........................11-51, 11-52 DHCP ....................................... 2-98, 2-102, 2-246, 4-120
interfaces serie .................................................. 11-77 agente de retransmisión .................................. 2-229
sistemas virtuales .............................................. 11-93 cliente ................................................................. 2-229
supervisión de objetos ...................................... 11-85 HA ....................................................................... 2-236
conmutación por error del dispositivo .................. 11-83 servidor .............................................................. 2-229
consola........................................................................ 3-54 Diffie-Hellman ............................................................ 5-10
consulta de rutas DiffServ ..........................................................2-178, 2-204
múltiple VR .......................................................... 7-36 véase también DS Codepoint Marking
secuencia ............................................................. 7-33 DIP...........................................2-101, 2-144 a 2-148, 3-92
contenedores ........................................................... 5-187 conjuntos ............................................................ 2-174
contraseña conjuntos, modificar ......................................... 2-147
administrador raíz .............................................. 3-39 grupos ....................................................2-157 a 2-159
contraseñas PAT ..........................................................2-145, 2-146
olvidada ................................................................ 3-37 puerto fijo ........................................................... 2-147
contraseñas del administrador, cambiar .......10-3, 10-7 dirección IP asignada
controles ActiveX, bloqueo ..................................... 4-160 Véase MIP
Cookies SYN ............................................................... 4-50 direcciones
CRL asignaciones L2TP............................................... 9-82
véase Lista de revocación de certificados definición ........................................................... 2-170
en directivas ...................................................... 2-170
entradas en la libreta
de direcciones ....................................2-106 a 2-110
IX-IV Índice
Índice
Índice IX-V
Concepts & Examples ScreenOS Reference Guide
IX-VI Índice
Índice
Índice IX-VII
Concepts & Examples ScreenOS Reference Guide
IX-VIII Índice
Índice
Índice IX-IX
Concepts & Examples ScreenOS Reference Guide
IX-X Índice
Índice
Índice IX-XI
Concepts & Examples ScreenOS Reference Guide
IX-XII Índice
Índice
Índice IX-XIII
Concepts & Examples ScreenOS Reference Guide
IX-XIV Índice
Índice
Índice IX-XV
Concepts & Examples ScreenOS Reference Guide
IX-XVI Índice
Índice
Índice IX-XVII
Concepts & Examples ScreenOS Reference Guide
IX-XVIII Índice
Índice
Índice IX-XIX
Concepts & Examples ScreenOS Reference Guide
IX-XX Índice
Índice
Índice IX-XXI
Concepts & Examples ScreenOS Reference Guide
IX-XXII Índice
Índice
Índice IX-XXIII
Concepts & Examples ScreenOS Reference Guide
IX-XXIV Índice
Conceptos y ejemplos
Manual de Referencia de ScreenOS
Volumen 2:
Fundamentos
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Network’s installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen ix
Convenciones del documento .......................................................................... x
Convenciones de la interfaz de línea de comandos (CLI) ........................... x
Convenciones para las ilustraciones ......................................................... xi
Convenciones de nomenclatura y conjuntos de caracteres ...................... xii
Convenciones de la interfaz gráfica (WebUI) .......................................... xiii
Documentación de Juniper Networks ............................................................ xiv
Capítulo 2 Zonas 25
Visualizar las zonas preconfiguradas .............................................................. 26
Zonas de seguridad ........................................................................................ 28
Zona Global ............................................................................................. 28
Opciones SCREEN ................................................................................... 28
Enlazar una interfaz de túnel a una zona de túnel.......................................... 28
Configurar zonas de seguridad y zonas de túnel ............................................ 30
Crear una zona ........................................................................................ 30
Modificar una zona.................................................................................. 31
Eliminar una zona ................................................................................... 32
Zonas de función ........................................................................................... 32
Zona Null................................................................................................. 32
Zona MGT................................................................................................ 32
Zona HA .................................................................................................. 33
Zona de registro propio (Self) .................................................................. 33
Zona VLAN ..............................................................................................33
Modos de puerto ............................................................................................ 33
Modo Trust-Untrust.................................................................................. 34
Modo Home-Work ................................................................................... 35
Modo Dual Untrust .................................................................................. 36
Contenido iii
Manual de referencia de ScreenOS: conceptos y ejemplos
Capítulo 3 Interfaces 45
Tipos de interfaces......................................................................................... 45
Interfaces de la zona de seguridad........................................................... 45
Interfaces físicas ............................................................................... 45
Subinterfaces .................................................................................... 46
Interfaces agregadas ......................................................................... 46
Interfaces redundantes...................................................................... 46
Interfaces de seguridad virtuales ....................................................... 47
Interfaces de zonas de función ................................................................ 47
Interfaces de administración ............................................................. 47
Interfaces de alta disponibilidad........................................................ 47
Interfaces de túnel................................................................................... 48
Eliminar interfaces de túnel .............................................................. 51
Visualizar interfaces ....................................................................................... 52
Configurar interfaces de la zona de seguridad................................................ 53
Asociar una interfaz a una zona de seguridad.......................................... 54
Desasociar una interfaz de una zona de seguridad .................................. 54
Direccionar una interfaz de la zona de seguridad L3 ............................... 54
Direcciones IP públicas ..................................................................... 55
Direcciones IP privadas..................................................................... 56
Direccionar una interfaz.................................................................... 56
Modificar los ajustes de la interfaz........................................................... 56
Crear una subinterfaz en el sistema raíz .................................................. 57
Eliminar una subinterfaz ......................................................................... 58
Crear una dirección IP secundaria.................................................................. 59
Interfaces de bucle invertido (loopback)......................................................... 60
Crear una interfaz de bucle invertido....................................................... 60
Ajustar la interfaz de bucle invertido para administración .......................61
Ajustar BGP en una interfaz de bucle invertido ........................................ 61
Ajustar VSI en una interfaz de bucle invertido ......................................... 62
Ajustar la interfaz de bucle invertido como interfaz de origen ................. 62
Cambios de estado de la interfaz ................................................................... 62
Supervisar la conexión física ................................................................... 64
Dar seguimiento a direcciones IP ............................................................ 65
Supervisar interfaces ............................................................................... 70
Supervisar dos interfaces .................................................................. 71
Supervisar un bucle de interfaz ......................................................... 72
Supervisar zonas de seguridad.................................................................75
Interfaces inactivas y flujo de tráfico ....................................................... 75
Fallo en la interfaz de salida.............................................................. 76
Fallo en la interfaz de entrada........................................................... 78
iv Contenido
Contenido
Contenido v
Manual de referencia de ScreenOS: conceptos y ejemplos
vi Contenido
Contenido
Contenido vii
Manual de referencia de ScreenOS: conceptos y ejemplos
Claves de licencia.........................................................................................253
Registrar y activar los servicios de suscripción .............................................254
Servicio de prueba.................................................................................254
Actualizar claves de suscripción.............................................................255
Agregar antivirus, filtrado web, antispam y DI a un dispositivo .............255
Reloj del sistema ..........................................................................................256
Fecha y hora..........................................................................................256
Huso horario..........................................................................................256
Protocolo de hora de la red....................................................................257
Configurar múltiples servidores NTP ...............................................257
Configurar un servidor de respaldo del protocolo
de hora de la red ......................................................................257
Desfase temporal máximo ..............................................................258
Protocolos NTP y NSRP ...................................................................259
Ajustar un valor de desfase horario máximo en un servidor NTP ....259
Asegurar los servidores NTP............................................................260
Índice ........................................................................................................................IX-I
viii Contenido
Acerca de este volumen
ix
Manual de referencia de ScreenOS: conceptos y ejemplos
En ejemplos:
En texto:
NOTA: Para escribir palabras clave, basta con introducir los primeros caracteres que
permitan al sistema reconocer de forma inequívoca la palabra que se está
introduciendo. Por ejemplo, es suficiente introducir set adm u kath j12fmt54
para que el sistema reconozca el comando set admin user kathleen j12fmt54.
Aunque este método se puede utilizar para introducir comandos, en la presente
documentación todos ellos se representan con sus palabras completas.
Interfaz de túnel
Servidor
Túnel VPN
Concentrador (hub)
Enrutador
Teléfono IP
Conmutador
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles ( “ ); por ejemplo:
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de
diálogo apropiado, donde podrá definir objetos y establecer parámetros de ajuste.
El conjunto de instrucciones de cada tarea se divide en ruta de navegación y ajustes
de configuración:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
techpubs-comments@juniper.net
“Directivas” en la página 5
1
Manual de referencia de ScreenOS: conceptos y ejemplos
Zonas de seguridad
Una zona de seguridad es un conjunto de uno o varios segmentos de red, lo que
requiere regular el tráfico entrante y saliente por medio de directivas (consulte
“Directivas” en la página 5). Las zonas de seguridad son entidades lógicas que
tienen asociadas una o varias interfaces. Si dispone de distintos tipos de
dispositivos de seguridad de Juniper Networks, podrá definir múltiples zonas de
seguridad, dependiendo su número exacto de las necesidades de su red. Además de
las zonas definidas por el usuario, también puede utilizar las zonas predefinidas:
Trust, Untrust y DMZ (para el funcionamiento de la capa 3), o V1-Trust, V1-Untrust y
V1-DMZ (para el funcionamiento de la capa 2). Si lo desea, puede seguir utilizando
sólo las zonas predefinidas. También puede ignorar las zonas predefinidas y utilizar
exclusivamente las zonas definidas por el usuario. También es posible utilizar los
dos tipos de zonas (predefinidas y definidas por el usuario) simultáneamente. Esta
flexibilidad en la configuración de las zonas permite diseñar la red que mejor
responda a sus necesidades específicas. Consulte la Figura 4.
NOTA: La única zona de seguridad que no necesita ningún segmento de red es la zona
global. (Para obtener más información, consulte “Zona Global” en la página 28). A
efectos prácticos, se considera que una zona sin interfaces asociadas y sin
entradas de libreta de direcciones no contiene segmentos de red.
Eng DMZ
2 Zonas de seguridad
Capítulo 1: Arquitectura de ScreenOS
Mediante las directivas que usted defina, podrá permitir que el tráfico entre zonas
fluya en un solo sentido o en ambos. Al definir las rutas, estará especificando las
interfaces que el tráfico tendrá que utilizar para pasar de una zona a otra. Como es
posible asociar múltiples interfaces a una zona, las rutas diseñadas tienen una gran
importancia a la hora de dirigir el tráfico a las interfaces deseadas.
NOTA: Para intercambiar tráfico entre dos interfaces asociadas a una misma zona no se
requiere ninguna directiva, ya que ambas tendrán el mismo nivel de seguridad.
ScreenOS necesita directivas para controlar el tráfico entre zonas, no dentro de
ellas.
Para permitir que el tráfico pase de una zona a otra, debe asociar una interfaz a la
zona y, en el caso de una interfaz en modo de ruta o en modo NAT (consulte
“Modos de las interfaces” en la página 81), asignar una dirección IP a la interfaz.
Dos tipos de interfaz comúnmente utilizados son las interfaces físicas y, en
dispositivos que admitan sistemas virtuales, las subinterfaces (es decir, la
realización de una interfaz física en la capa 2). Para obtener más información,
consulte “Interfaces” en la página 45.
Interfaces físicas
Una interfaz física se refiere a los componentes físicamente presentes en el
dispositivo de seguridad. Las convenciones de nomenclatura de interfaces difieren
de un dispositivo a otro. En el dispositivo NetScreen-500, por ejemplo, una interfaz
física se identifica por la posición de un módulo de interfaz y un puerto Ethernet en
ese módulo. Por ejemplo, la interfaz ethernet1/2 designa el módulo de interfaz
situado en el primer bastidor (ethernet1/2) y en el segundo puerto (ethernet1/2).
Consulte la Figura 5.
Subinterfaces
En los dispositivos que admiten redes LAN virtuales (VLAN), una interfaz física se
puede dividir lógicamente en varias subinterfaces virtuales, que ocupan el ancho de
banda que precisan en cada momento de la interfaz física de la que proceden. Una
subinterfaz es un elemento abstracto con funciones idénticas a las de una interfaz
física, de la que se diferencia por el etiquetado VLAN 802.1Q. El dispositivo de
seguridad dirige el tráfico desde o hacia una zona con subinterfaz a través de su
dirección IP y su etiqueta VLAN. Por razones prácticas, los administradores
normalmente utilizan el mismo número para la etiqueta VLAN y para la subinterfaz.
Por ejemplo, la interfaz ethernet1/2 con la etiqueta VLAN 3 se llamará ethernet1/2.3.
Así se identifica el módulo de interfaz que se encuentra en el primer bastidor, el
segundo puerto del módulo y la subinterfaz número 3 (ethernet1/2.3).
NOTA: 802.1Q es una norma IEEE que define los mecanismos para implementar redes
LAN virtuales enlazadas y los formatos de trama Ethernet utilizados para indicar la
pertenencia a una VLAN mediante etiquetas VLAN.
Observe que aunque una subinterfaz comparte parte de su identidad con una
interfaz física, la zona a la que se asocia es independiente de la zona a la que se
asocia la interfaz física. Puede asociar la subinterfaz ethernet1/2.3 a una zona
distinta de la utilizada para la interfaz física ethernet1/2 o a la que desee asociar
ethernet1/2.2. Asimismo, no hay restricciones en cuanto a la asignación de
direcciones IP. El término subinterfaz no implica que su dirección se encuentre en
una subred dentro del espacio de direcciones de la interfaz física. Consulte la
Figura 6.
3/1.1 3/2.1
1/1.1 1/2.1 3/1.2 3/2.2
1/1.2 1/2.2 3/1.3 3/2.3
Enrutadores virtuales
Un enrutador virtual (VR) funciona como un enrutador. Dispone de sus propias
interfaces y de sus propias tablas de enrutamiento unicast y multicast. En
ScreenOS, un dispositivo de seguridad admite dos enrutadores virtuales
predefinidos. Esto permite al dispositivo de seguridad mantener dos tablas de
enrutamiento unicast y multicast independientes y ocultar la información de
enrutamiento de un enrutador al otro. Por ejemplo, untrust-vr se suele utilizar para
la comunicación con interlocutores sin confianza, por lo que no contiene
4 Enrutadores virtuales
Capítulo 1: Arquitectura de ScreenOS
Finance
Untrust
Trust
Reenvío de rutas
Cuando hay dos enrutadores virtuales en un dispositivo de seguridad, el tráfico no
se reenvía automáticamente entre las zonas que se encuentran en distintos VR,
incluso aunque existan directivas que permitan el tráfico. Si desea intercambiar
tráfico de datos entre enrutadores virtuales, tendrá que exportar las rutas entre los
VR o configurar una ruta estática en un VR que defina el otro VR como siguiente
salto ("next-hop"). Para más información sobre el uso de enrutadores virtuales,
consulte el Volumen 7: Enrutamiento.
Directivas
Los dispositivos de seguridad de Juniper Networks aseguran la red inspeccionando,
y luego permitiendo o denegando, todo intento de conexión que necesite pasar de
una zona de seguridad a otra.
Directivas 5
Manual de referencia de ScreenOS: conceptos y ejemplos
Acceso a Internet permisivo: cualquier servicio desde Acceso a Internet restrictivo: servicio SMTP desde un servidor de
cualquier punto de la zona Trust hacia cualquier punto correo en la zona Trust a un servidor de correo en la zona Untrust
de la zona Untrust en cualquier momento de las 7:00 a las 23:00.
Zona Zona
Untrust Untrust
Zona Zona
Trust Trust
Cada vez que un paquete intenta pasar de una zona a otra, o entre dos interfaces
enlazadas a la misma zona, el dispositivo de seguridad comprueba si en su lista de
directivas existe alguna que permita ese tipo de tráfico (consulte “Listas de
conjuntos de directivas” en la página 167). Para que el tráfico pueda pasar de una
zona de seguridad a otra (p. ej., de la zona A a la zona B), es necesario configurar
una directiva que permita que la zona A envíe tráfico a la zona B. Para que el tráfico
pueda pasar en sentido inverso, se debe configurar otra directiva que permita el
tráfico de la zona B a la zona A. Para que cualquier tipo de tráfico pase de una zona
a otra, debe haber una directiva que lo permita. Asimismo, cuando está habilitado
el bloqueo intrazonal (bloqueo del interior de una zona), deberá existir una directiva
que permita que el tráfico pase de una interfaz a otra dentro de esa misma zona.
Consulte la Figura 9 en la página 7.
6 Directivas
Capítulo 1: Arquitectura de ScreenOS
Finance
Untrust
Motor de
Trust directivas
Reenvío de rutas
NOTA: Para obtener más información sobre las directivas, consulte “Directivas” en la
página 163.
VPN basada en rutas: mediante una consulta de rutas se determina qué tráfico
encapsulará el dispositivo de seguridad. Las directivas permiten o deniegan el
tráfico hacia el destino especificado en la ruta. Si la directiva permite el tráfico y
la ruta hace referencia a una interfaz de túnel asociada a un túnel VPN, el
dispositivo de seguridad también encapsulará dicho tráfico. Esta configuración
gestiona por separado la aplicación de directivas de la aplicación de túneles
VPN. Una vez configurados, estos túneles estarán disponibles como recursos
para asegurar el tráfico que circula entre una zona de seguridad y otra.
Una VPN basada en rutas es la opción adecuada para configuraciones VPN punto a
punto, ya que es posible aplicar múltiples directivas al tráfico que pasa a través de
un único túnel VPN. La VPN basada en directivas resulta adecuada para
configuraciones VPN de acceso telefónico, ya que el cliente de acceso telefónico
probablemente no dispone de una dirección IP interna hacia la que establecer una
ruta. Consulte la Figura 10.
2. Cree una interfaz de túnel (por ejemplo, tunnel.1) y asóciela a una zona de
seguridad.
4. Para dirigir el tráfico a través de este túnel, configure una ruta indicando que el
tráfico hacia SF debe utilizar tunnel.1.
Motor de Interfaz
directivas de túnel Túnel VPN Zona de destino
Zona de origen
Tabla de
enrutamiento
tunnel.1 vpn-to-SF
Paquete enviado Llega el paquete
Llegados a este punto, el túnel está listo para el tráfico dirigido a SF. Ahora puede
crear entradas en la libreta de direcciones, como “Trust LAN” (10.1.1.0/24) y “SF
LAN” (10.2.2.0/24), y configurar directivas para permitir o bloquear distintos tipos
de tráfico desde un origen especificado, como “Trust LAN”, y hacia un destino
especificado, como “SF LAN”. Consulte la Figura 11 en la página 9.
El dispositivo de seguridad local enruta el tráfico desde la zona Trust a “SF LAN”, que se
encuentra en la zona Untrust, a través de la interfaz tunnel.1. Como la interfaz tunnel.1 está
asociada al túnel VPN “vpn-to-SF”, el dispositivo encripta el tráfico y lo envía a través de ese túnel
al interlocutor remoto.
NOTA: Para obtener información detallada sobre las VPN, consulte el Volumen 5:
Redes privadas virtuales.
Sistemas virtuales
Algunos dispositivos de seguridad de Juniper Networks admiten sistemas virtuales
(vsys). Un sistema virtual es una subdivisión del sistema principal que para el
usuario aparece como una entidad independiente. Los sistemas virtuales se
encuentran separados del sistema raíz y entre sí dentro de un mismo dispositivo de
seguridad. La aplicación de ScreenOS a los sistemas virtuales implica la
coordinación de tres componentes principales: zonas, interfaces y rutas virtuales.
La Figura 12 en la página 10 presenta una vista conceptual de cómo ScreenOS
integra estos componentes en los niveles raíz y de sistema virtual.
untrust-vr Finance
DMZ
Interfaz compartida
por vsys1 y raíz
sistema raíz vsys1-vr
Untrust Trust-vsys1
vsys1
Subinterfaz
dedicada para vsys2-vr
vsys2 vsys2
Trust-vsys2
vsys3
Interfaz física
dedicada para vsys3 vsys3-vr
Trust-vsys3
NOTA: Para obtener más información sobre sistemas virtuales y la aplicación de zonas,
interfaces y enrutadores virtuales en el contexto de sistemas virtuales, consulte el
Volumen 10: Sistemas virtuales.
10 Sistemas virtuales
Capítulo 1: Arquitectura de ScreenOS
Paquete
entrante
Finance
Trust
Eng
Untrust
DMZ
Las zonas Trust, Untrust y DMZ están preconfiguradas. Usted definirá las zonas
Finance, Eng y Mail. De forma predeterminada, las zonas definidas por el usuario
se ubican en el dominio de enrutamiento trust-vr. Por lo tanto, no es necesario
especificar un enrutador virtual para las zonas Finance y Eng. Sin embargo, además
de configurar la zona Mail, también deberá especificar que se encuentre en el
dominio de enrutamiento untrust-vr. También se deben transferir los enlaces de los
enrutadores virtuales de las zonas DMZ y Untrust de trust-vr a untrust-vr . Consulte
la Figura 14 en la página 14.
NOTA: Para obtener más información sobre enrutadores virtuales y sus dominios de
enrutamiento, consulte el Volumen 7: Enrutamiento.
Finance Mail
Trust Untrust
Eng DMZ
WebUI
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Network > Zones > Edit (para Untrust): Seleccione untrust-vr en la lista
desplegable Virtual Router Name, después haga clic en OK.
Network > Zones > Edit (para DMZ): Seleccione untrust-vr en la lista
desplegable Virtual Router Name, después haga clic en OK.
CLI
set zone name finance
set zone name eng
set zone name mail
set zone mail vrouter untrust-vr
set zone untrust vrouter untrust-vr
set zone dmz vrouter untrust-vr
save
1.3.3.1/24
eth1/1
Finance
10.1.2.1/24
Etiqueta VLAN 1 Mail
eth3/2.1 1.4.4.1/24
Etiqueta VLAN 2
eth1/1.2
Eng DMZ
10.1.3.1/24 1.2.2.1/24
eth3/1 eth2/2
WebUI
1. Interfaz ethernet3/2
Network > Interfaces > Edit (para ethernet3/2): Introduzca los siguientes
datos y haga clic en OK:
3. Interfaz ethernet3/1
Network > Interfaces > Edit (para ethernet3/1): Introduzca los siguientes
datos y haga clic en OK:
CLI
1. Interfaz ethernet3/2
set interface ethernet3/2 zone trust
set interface ethernet3/2 ip 10.1.1.1/24
set interface ethernet3/2 manage ping
set interface ethernet3/2 manage webui
set interface ethernet3/2 manage telnet
set interface ethernet3/2 manage snmp
set interface ethernet3/2 manage ssh
2. Interfaz ethernet3/2.1
set interface ethernet3/2.1 tag 1 zone finance
set interface ethernet3/2.1 ip 10.1.2.1/24
set interface ethernet3/2.1 manage ping
3. Interfaz ethernet3/1
set interface ethernet3/1 zone eng
set interface ethernet3/1 ip 10.1.3.1/24
set interface ethernet3/1 manage ping
4. Interfaz ethernet1/1
set interface ethernet1/1 zone mail
set interface ethernet1/1 ip 1.3.3.1/24
5. Interfaz ethernet1/1.2
set interface ethernet1/1.2 tag 2 zone mail
set interface ethernet1/1.2 ip 1.4.4.1 /24
6. Interfaz ethernet1/2
set interface ethernet1/2 zone untrust
set interface ethernet1/2 ip 1.1.1.1/24
set interface ethernet1/2 manage snmp
7. Interfaz ethernet2/2
set interface ethernet2/2 zone dmz
set interface ethernet2/2 ip 1.2.2.1/24
save
Finance
10.1.2.1/24 1.3.3.1/24
Etiqueta VLAN 1 eth1/1, ruta Mail
eth3/2.1, NAT
1.4.4.1/24
Etiqueta VLAN 2
eth1/1.2, ruta
Trust Untrust
10.1.1.1/24 1.1.1.1/24
eth3/2, NAT eth1/2, ruta
Eng DMZ
10.1.3.1/24 1.2.2.1/24
eth3/1, NAT eth2/2, ruta
Reenvío de rutas
WebUI
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr
set vrouter untrust-vr route 0.0.0.0/0 interface eth1/2 gateway 1.1.1.254
save
Finance
Mail
Motor de
Trust directivas Untrust
Eng
DMZ
Reenvío de rutas
Para que este ejemplo funcione, antes de comenzar a configurar nuevas directivas
es necesario crear nuevos grupos de servicios.
WebUI
1. Grupos de servicios
Objects > Services > Groups > New: Introduzca los siguientes datos y haga
clic en OK:
Objects > Services > Groups > New: Introduzca los siguientes datos y haga
clic en OK:
2. Directivas
Policies > (From: Finance, To: Mail) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit
Policies > (From: Trust, To: Mail) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit
Policies > (From: Eng, To: Mail) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail-Pop3
Action: Permit
Policies > (From: Untrust, To: Mail) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Mail
Action: Permit
Policies > (From: Finance, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Policies > (From: Finance, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Policies > (From: Eng, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
Policies > (From: Eng, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: FTP-Put
Action: Permit
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP-FTPGet
Action: Permit
CLI
1. Grupos de servicios
set group service mail-pop3 add mail
set group service mail-pop3 add pop3
set group service http-ftpget add http
set group service http-ftpget add ftp-get
2. Directivas
set policy from finance to mail any any mail-pop3 permit
set policy from trust to mail any any mail-pop3 permit
set policy from eng to mail any any mail-pop3 permit
set policy from untrust to mail any any mail permit
set policy from finance to untrust any any http-ftpget permit
set policy from finance to dmz any any http-ftpget permit
set policy from trust to untrust any any http-ftpget permit
set policy from trust to dmz any any http-ftpget permit
set policy from eng to untrust any any http-ftpget permit
set policy from eng to dmz any any http-ftpget permit
set policy from eng to dmz any any ftp-put permit
set policy from untrust to dmz any any http-ftpget permit
save
Una zona puede ser un segmento del espacio de red al que se aplican medidas de
seguridad (zona de seguridad), un segmento lógico que tiene asociada una interfaz
de túnel VPN (zona de túnel), o una entidad física o lógica que realiza una función
específica (zona de función).
Este capítulo examina cada uno de los tipos de zonas, poniendo un especial énfasis
en la zona de seguridad, y describe los modos de puerto. El capítulo incluye las
siguientes secciones:
25
Manual de referencia de ScreenOS: conceptos y ejemplos
Para visualizar estas zonas utilizando la CLI, utilice el comando get zone. Consulte la
Figura 19 en la página 27.
ID Name) Type) Attr) VR) Default-IF) VSYS) Estas zonas (ID 0 y 10) no tienen ni
0) Null) Null) Shared) untrust-vr) null) Root) pueden tener una interfaz.
1) Untrust) Sec(L3)) Shared) trust-vr) ethernet1/2) Root)
2) Trust) Sec(L3)) ) trust-vr) ethernet3/2) Root)
3) DMZ) Sec(L3)) ) trust-vr) ethernet2/2) Root) Estas zonas (ID 1-3 y 11-14) proporcionan
4) Self) Func) ) trust-vr) self) Root) compatibilidad con versiones anteriores al actualizar
5) MGT) Func) ) trust-vr) mgt) Root) de una versión anterior a ScreenOS 3.1.0. Las 3
6) HA) Func) ) trust-vr) ha) Root) superiores para dispositivos en modo NAT o de
10) Global) Sec(L3)) ) trust-vr) null) Root) rutas, las 3 inferiores para dispositivos en modo
11) V1-Untrust) Sec(L2))) trust-vr) v1-untrust) Root) transparente.
12) V1-Trust) Sec(L2)) ) trust-vr) v1-trust) Root)
13) V1-DMZ) Sec(L2)) ) trust-vr) v1-dmz) Root)
14) VLAN) Func) ) trust-vr vlan) Root)
16) Untrust-Tun) Tun)) trust-vr) null) Root)
-----------------------------------------------------------------------
Zonas de seguridad
En un solo dispositivo de seguridad se pueden configurar varias zonas de seguridad,
dividiendo la red en segmentos a los que se pueden aplicar diversas opciones de
seguridad para satisfacer las necesidades de cada segmento. Deben definirse como
mínimo dos zonas de seguridad, básicamente para proteger un área de la red de la
otra. En algunas plataformas de seguridad se pueden definir muchas zonas de
seguridad, lo que refina aún más la granularidad del diseño de seguridad de la red,
evitando la necesidad de distribuir múltiples dispositivos de seguridad para
conseguir el mismo fin.
Zona Global
Puede identificar una zona de seguridad porque tiene una libreta de direcciones y
se puede hacer referencia a ella en directivas. La zona Global satisface estos
criterios. Sin embargo, le falta un elemento del que sí disponen las demás zonas de
seguridad: una interfaz. La zona Global sirve como área de almacenamiento de
direcciones IP asignadas (MIP) y direcciones IP virtuales (VIP). La dirección
predefinida “Any” de la zona Global puede aplicarse a todas las MIP, VIP y a otras
direcciones definidas por el usuario establecidas en la zona Global. Dado que el
tráfico dirigido a estas direcciones se asigna a otras direcciones, la zona Global no
requiere una interfaz para que el tráfico fluya a través de ella.
NOTA: Cualquier directiva que utilice la zona Global como su destino no puede admitir
NAT ni asignación de tráfico.
Opciones SCREEN
Un cortafuegos de Juniper Networks asegura una red inspeccionando, y luego
permitiendo o denegando, todo intento de conexión que necesite pasar de una
zona de seguridad a otra. Por cada zona de seguridad y zona MGT, puede habilitar
un conjunto de opciones SCREEN predefinidas que detecten y bloqueen los
diversos tipos de tráfico que el dispositivo de seguridad identifica como
potencialmente dañinos.
Para obtener más información sobre las opciones SCREEN disponibles, consulte el
Volumen 4: Mecanismos de detección y defensa de ataques.
28 Zonas de seguridad
Capítulo 2: Zonas
NOTA: El sistema raíz y todos los sistemas virtuales pueden compartir la zona Untrust.
Sin embargo, cada sistema tiene su propia zona Untrust-Tun separada.
El tráfico saliente penetra en la zona de túnel a través de la interfaz de túnel, es encapsulado y sale a través de la interfaz de la zona de seguridad.
El tráfico entrante accede a través de la interfaz de la zona de seguridad, es desencapsulado en la zona de túnel, y sale a través de la interfaz de túnel.
WebUI
1. Interfaz de túnel
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
CLI
1. Interfaz de túnel
set interface tunnel.3 zone Untrust-Tun
set interface tunnel.3 ip 3.3.3.3/24
2. MIP
set interface tunnel.3 mip 3.3.3.5 host 10.1.1.5
save
WebUI
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Type:
Seleccione Tunnel Out Zone cuando cree una zona de túnel y la asocie
a una zona portadora, luego seleccione una zona portadora específica
en la lista desplegable.
NOTA: El nombre de una zona de seguridad de capa 2 ("Layer 2") debe comenzar con
“L2-”; por ejemplo, “L2-Corp” o “L2-XNet”.
CLI
set zone name zone [ l2 vlan_id_num | tunnel sec_zone ]
set zone zone block
set zone zone vrouter name_str
NOTA: Al crear una zona de seguridad de capa 2 ("Layer 2"), el número de identificación
VLAN-ID debe ser 1 (para el VLAN1).
NOTA: Antes de poder eliminar una zona, primero debe desasociar todas las interfaces
asociadas a ella.
Antes de poder cambiar el enrutador virtual de una zona, primero debe eliminar
todas las interfaces asociadas a ella.
WebUI
1. Modificar el nombre de una zona
Network > Zones: Haga clic en Remove (para la zona de seguridad o zona de
túnel cuyo nombre desea cambiar, o para la zona de túnel cuya zona portadora
desea cambiar).
Network > Zones > New: Introduzca los ajustes de zona con sus cambios,
después haga clic en OK.
CLI
1. Modificar el nombre de una zona
unset zone zona
set zone name zona [ l2 vlan_id_num | tunnel sec_zone ]
2. Cambiar la opción de bloqueo intrazonal o el enrutador virtual
{ set | unset } zone zone block
set zone zone vrouter name_str
WebUI
Network > Zones: Haga clic en Remove (para la zona que desee eliminar).
CLI
unset zone zone
NOTA: Antes de poder eliminar una zona, primero debe desasociar todas las interfaces
asociadas a ella. Para desasociar una interfaz de una zona, consulte “Asociar una
interfaz a una zona de seguridad” en la página 54.
Zonas de función
Las cinco zonas de función son Null, MGT, HA, Self y VLAN. Cada zona existe con un
solo propósito, según se explica en la subsección siguiente.
Zona Null
Esta zona sirve como almacenamiento temporal para cualquier interfaz que no esté
asociada a ninguna otra zona.
Zona MGT
Esta zona contiene la interfaz de administración de fuera de banda, MGT. Puede
establecer opciones de cortafuegos en esta zona para proteger la interfaz de
administración contra diversos tipos de ataques. Para obtener más información
sobre opciones del cortafuegos, consulte el Volumen 4: Mecanismos
de detección y defensa de ataques.
32 Zonas de función
Capítulo 2: Zonas
Zona HA
Esta zona contiene las interfaces de alta disponibilidad, HA1 y HA2. Aunque puede
configurar interfaces para la zona HA, la zona propiamente dicha no es
configurable.
Zona VLAN
Esta zona contiene la interfaz VLAN1, que se utiliza para administrar el dispositivo y
terminar el tráfico VPN cuando el dispositivo está en modo transparente. También
puede establecer opciones del cortafuegos en esta zona para proteger la interfaz
VLAN1 de diversos ataques.
Modos de puerto
Puede seleccionar un modo de puerto para ciertos dispositivos de seguridad de
Juniper Networks. El modo de puerto establece automáticamente diversas
asociaciones de puertos, interfaces y zonas para el dispositivo.
Untrusted
1-4
Console
Modem
El término interfaz se refiere a una interfaz lógica que se puede configurar con
WebUI o CLI. Cada puerto se puede asociar a una sola interfaz, pero a cada interfaz
se le pueden asociar múltiples puertos.
La Tabla 3 muestra los modos disponibles en los dos dispositivos de seguridad. Para
visualizar las asociaciones de interfaz inalámbrica a zona, consulte “Red de área
local inalámbrica” en la página 12 -33.
Modos de puerto 33
Manual de referencia de ScreenOS: conceptos y ejemplos
Modo Trust-Untrust
El modo Trust-Untrust es el modo de puerto predeterminado. Consulte la Figura 21.
Zona Trust
Zona Untrust
34 Modos de puerto
Capítulo 2: Zonas
Modo Home-Work
El modo Home-Work asocia interfaces a la zona de seguridad Untrust y a las zonas
de seguridad Home y Work. Las zonas “Work” y “Home” permiten segregar
usuarios y recursos en cada zona. En este modo, las directivas predeterminadas
permiten el flujo de tráfico y conexiones entre las zonas Work y Home pero no
permiten tráfico de la zona Home a la zona Work. Es posible personalizar las
directivas que aplican al tráfico transmitido de la zona Home a la zona Work.
Consulte la Figura 22. De forma predeterminada, no hay ninguna restricción para el
tráfico de la zona Home a la zona Untrust. La zona Home responde a los comandos
ping.
Figura 22: Enlaces de interfaz a zona del modo de puerto Home-Work
ethernet1
ethernet3
ethernet2
Modos de puerto 35
Manual de referencia de ScreenOS: conceptos y ejemplos
Figura 23: Enlaces de interfaz a zona del modo de puerto Dual Untrust
La Tabla 6 proporciona los enlaces de interfaz a zona del modo Dual Untrust.
Para obtener información adicional sobre cómo configurar y utilizar el modo Dual
Untrust, consulte el Volumen 11: Alta disponibilidad.
36 Modos de puerto
Capítulo 2: Zonas
ethernet2
ethernet4 ethernet3
ethernet1
Para obtener más información sobre cómo configurar y utilizar el modo Combined,
consulte el Volumen 11: Alta disponibilidad y “Zonas en los modos “Home-Work” y
“Combined Port”” en la página 41.
Modos de puerto 37
Manual de referencia de ScreenOS: conceptos y ejemplos
Figura 26: Enlaces de interfaz a zona del modo de puerto DMZ/Dual Untrust
38 Modos de puerto
Capítulo 2: Zonas
La Tabla 9 proporciona los enlaces de interfaz a zona del modo DMZ/Dual Untrust.
NOTA: La interfaz serie no está disponible en el modo de puerto DMZ/Dual Untrust. Para
habilitar la conmutación por fallo, en lugar de entregar tráfico simultáneamente,
utilice el comando set failover enable.
Figura 27: Enlaces de interfaz a zona del modo de puerto Dual DMZ
ethernet1
ethernet4
ethernet3 ethernet2
Modos de puerto 39
Manual de referencia de ScreenOS: conceptos y ejemplos
Tabla 10 proporciona los enlaces de interfaz a zona del modo Dual DMZ.
Ejecutar el comando CLI unset all no afecta al ajuste del modo de puerto del
dispositivo. Por ejemplo, si desea cambiar el modo de puerto de Combined al
modo predeterminado Trust-Untrust, ejecutar el comando unset all eliminará
la configuración existente, pero no pondrá el dispositivo en el modo
Trust-Untrust.
WebUI
Configuration > Port Mode > Port Mode: Seleccione Home-Work en la lista
desplegable y haga clic en Apply.
Operational mode change will erase current configuration and reset the
device, continue?
CLI
exec port-mode home-work
WebUI
Configuration > Port Mode
CLI
get system
Home-Work
Combined
Bloquear todo el tráfico desde la zona Home a la zona Work (esta directiva no
se puede eliminar)
Puede crear nuevas directivas para el tráfico de la zona Work a la zona Untrust, de
la zona Home a la zona Untrust y de la zona Work a la zona Home. También puede
eliminar las directivas predeterminadas que permiten todo el tráfico desde la zona
Work a la zona Untrust, desde la zona Home a la zona Untrust y desde la zona Work
a la zona Home.
WebUI
Configuration > Port Mode > Port Mode: Seleccione Home-Work en la lista
desplegable y haga clic en Apply.
Operational mode change will erase current configuration and reset the
device, continue?
Policies > (From: Home, To: Untrust) > New: Introduzca los siguientes datos y
haga clic en OK.
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: FTP
Action: Permit
CLI
exec port-mode home-work
Cuando aparezca la pregunta siguiente, teclee y (respuesta afirmativa):
Las interfaces y subinterfaces físicas permiten que entre y salga tráfico de una zona
de seguridad. Para permitir que el tráfico de una red fluya dentro y fuera de una
zona de seguridad, ésta debe tener asociada una interfaz y, si se trata de una zona
de capa 3, deberá asignársele una dirección IP. A continuación se deberán
configurar directivas para permitir que el tráfico pase de interfaz en interfaz entre
las diferentes zonas. Se pueden asignar varias interfaces a una zona, pero una
misma interfaz no se puede asignar a varias zonas.
Tipos de interfaces
En esta sección se describen la zona de seguridad, la zona de función y las
interfaces de túnel. Para obtener más información sobre cómo visualizar una tabla
de todas estas interfaces, consulte “Visualizar interfaces” en la página 52.
Interfaces físicas
Cada puerto de su dispositivo de seguridad representa una interfaz física, estando el
nombre de la interfaz predefinido. El nombre de una interfaz física se compone del
tipo de medio, número de la ranura (en algunos dispositivos de seguridad) y
número de puerto, por ejemplo, ethernet3/2 o ethernet2 (consulte también
Tipos de interfaces 45
Manual de referencia de ScreenOS: conceptos y ejemplos
“Interfaces de zonas de seguridad” en la página 3). Puede asociar una interfaz física
a cualquier zona de seguridad en la que actúe como entrada a través de la que el
tráfico entre y salga de la zona. Sin una interfaz, ningún tráfico puede entrar ni salir
de la zona.
Subinterfaces
Una subinterfaz, como una interfaz física, actúa como puerta por la que entra y sale
el tráfico de una zona de seguridad. Una interfaz física se puede dividir lógicamente
en varias subinterfaces virtuales. Cada subinterfaz virtual toma prestado el ancho
de banda que necesita de la interfaz física de la que procede, por lo que su nombre
es una extensión del nombre de la interfaz física, por ejemplo, ethernet3/2.1 o
ethernet2.1. (Consulte “Interfaces de zonas de seguridad” en la página 3).
Interfaces agregadas
Los dispositivos de la serie NetScreen-5000 admiten interfaces agregadas. Una
interfaz agregada es la acumulación de dos o más interfaces físicas, entre las que se
reparte equitativamente la carga de tráfico dirigida a la dirección IP de la interfaz
agregada. Utilizando interfaces agregadas se puede aumentar el ancho de banda
disponible para una dirección IP determinada. Asimismo, si falla algún miembro de
una interfaz agregada, los otros miembros pueden seguir procesando tráfico,
aunque con menos ancho de banda que el disponible anteriormente.
NOTA: Para obtener más información sobre interfaces agregadas, consulte “Redundancia
de interfaces” en la página 11-43.
Interfaces redundantes
Dos interfaces físicas se pueden asociar para crear una interfaz redundante, que
entonces se puede asociar a una zona de seguridad. Una de las dos interfaces
físicas actúa como interfaz principal y gestiona todo el tráfico dirigido a la interfaz
redundante. La otra interfaz física actúa como interfaz secundaria y permanece en
estado de espera por si la interfaz activa experimenta algún fallo. En ese caso, el
tráfico dirigido a la interfaz redundante se desvía a la interfaz secundaria, que se
convierte en la nueva interfaz principal. El uso de interfaces redundantes
proporciona un primer frente de redundancia antes de que el fallo sea comunicado
como error al nivel de dispositivo.
46 Tipos de interfaces
Capítulo 3: Interfaces
NOTA: Para obtener más información sobre VSI y cómo funcionan con VSD en un clúster
HA, consulte Volumen 11: Alta disponibilidad.
Interfaces de administración
En algunos dispositivos de seguridad, el dispositivo se puede administrar a través
de una interfaz física separada (la interfaz de administración o MGT) sacando el
tráfico administrativo fuera del tráfico de usuario de red habitual. Separando el
tráfico administrativo del tráfico de los usuarios de red se aumenta
significativamente la seguridad y se garantiza un ancho de banda de administración
constante.
NOTA: Para obtener más información sobre cómo configurar el dispositivo para la
administración, consulte “Administración” en la página 3-1.
Tipos de interfaces 47
Manual de referencia de ScreenOS: conceptos y ejemplos
red a la zona de HA se utiliza el mismo procedimiento que para asociar una interfaz
de red a una zona de seguridad (consulte “Asociar una interfaz a una zona de
seguridad” en la página 54).
NOTA: Para obtener más información sobre interfaces de HA, consulte “Interfaces de alta
disponibilidad dobles” en la página 11-28.
Interfaces de túnel
Una interfaz de túnel actúa como entrada a un túnel VPN. El tráfico entra y sale por
el túnel VPN a través de una interfaz de túnel.
Cuando se asocia una interfaz de túnel a un túnel VPN, se puede establecer una
referencia a esa interfaz de túnel en una ruta hacia un destino determinado y
después hacer referencia a ese destino en una o más directivas. Este método
permite un control muy detallado del flujo de tráfico a través del túnel. También
permite el enrutamiento dinámico para el tráfico VPN. Cuando no hay ninguna
interfaz de túnel asociada a un túnel VPN, se debe especificar el túnel mismo en la
directiva y elegir tunnel como acción. Dado que la acción tunnel lleva implícito un
permiso, no se puede rechazar específicamente el tráfico procedente de un túnel
VPN.
Un túnel VPN basado en rutas debe asociarse a una interfaz de túnel para que el
dispositivo de seguridad pueda enrutar el tráfico entrante y saliente. Un túnel VPN
basado en rutas se puede asociar a una interfaz de túnel numerada (con dirección
IP y máscara de red) o no numerada (sin dirección IP y máscara de red). Si la
interfaz de túnel no está numerada, debe especificar una interfaz que preste a la
interfaz de túnel una dirección IP. El dispositivo de seguridad solamente utiliza la
dirección IP prestada como dirección de origen cuando el dispositivo de seguridad
mismo genera tráfico (como el de los mensajes OSPF) a través del túnel. La interfaz
de túnel puede tomar prestada la dirección IP de otra interfaz en la misma zona de
seguridad, o bien de una interfaz en otra zona, siempre que ambas zonas se
encuentren en el mismo dominio de enrutamiento.
Se puede alcanzar un control muy fiable del enrutamiento del tráfico VPN
asociando todas las interfaces de túnel no numeradas a una zona, que se encuentra
en su propio dominio de enrutamiento virtual, y tomando la dirección IP de una
interfaz loopback asociada a la misma zona. Por ejemplo, se pueden asociar todas
las interfaces de túnel no numeradas a una zona definida por el usuario llamada
“VPN” y configurarlas para que tomen su dirección IP de la interfaz loopback.1,
también asociada a la zona VPN. La zona VPN se encuentra en un dominio de
enrutamiento definido por el usuario llamado “vpn-vr”. Usted pondrá todas las
direcciones de destino a las que conducen los túneles en la zona VPN. Sus rutas a
estas direcciones apuntan a las interfaces de túnel, y sus directivas controlan el
tráfico VPN entre otras zonas y la zona VPN. Consulte la Figura 29 en la página 49.
48 Tipos de interfaces
Capítulo 3: Interfaces
Poner todas las interfaces de túnel en una zona de estas características es muy
seguro porque no hay posibilidad de que, por un fallo de la VPN (que provocaría la
desactivación de la ruta hacia la interfaz de túnel asociada), el tráfico destinado al
túnel sea desviado hacia una ruta sin túnel, como la ruta predeterminada. (Para ver
varias sugerencias sobre cómo evitar este problema, consulte “Consideraciones de
seguridad en VPN basadas en rutas” en la página 5-72).
También puede asociar una interfaz de túnel a una zona de túnel. En tal caso, debe
tener una dirección IP. La finalidad de asociar una interfaz de túnel a una zona de
túnel es que los servicios de NAT estén disponibles para los túneles VPN basados en
directivas. Consulte la Figura 30 en la página 50.
Tipos de interfaces 49
Manual de referencia de ScreenOS: conceptos y ejemplos
Interfaces Interfaces de
de túnel zona de seguridad
Cuando una interfaz de túnel se encuentra en una zona de seguridad, debe asociarse un túnel
Túnel VPN VPN a la interfaz de túnel. Esto permite crear una configuración de VPN basada en rutas. La
Numerada o interfaz de túnel puede estar numerada o no numerada. Si no está numerada, la interfaz de túnel
no numerada Zona toma prestada la dirección IP de la interfaz predeterminada de la zona de seguridad en la que fue
creada.
Nota: Sólo una interfaz de túnel con una dirección IP y una máscara de red puede admitir NAT
basada en directivas.
Seguridad Cuando una interfaz de túnel numerada se encuentra en una zona de seguridad y es la única
Túnel VPN
Numerada interfaz en esa zona, no es necesario crear una interfaz de zona de seguridad. En este caso, la
Zona zona de seguridad admite tráfico de VPN a través de la interfaz de túnel, pero ningún otro tipo de
tráfico.
Cuando una interfaz de túnel está asociada a una zona de túnel, la interfaz de túnel debe tener
Túnel Túnel VPN
Numerada una dirección IP y una máscara de red. Esto permite definir conjuntos de DIP y direcciones MIP
Zona en esa interfaz. Si usted asocia un túnel VPN a una zona de túnel, no puede asociarlo también a
una interfaz de túnel. En tales casos, debe crear una configuración de VPN basada en directivas.
NOTA: Para ver cómo asociar una interfaz de túnel a un túnel, consulte los ejemplos de
VPN basada en rutas en “Redes privadas virtuales de punto a punto” en la
página 5-81 y “Redes privadas virtuales de acceso telefónico” en la página 5-159.
50 Tipos de interfaces
Capítulo 3: Interfaces
WebUI
1. Eliminar la directiva 10, con referencias al conjunto de DIP 8
Policies (From: Trust, To: Untrust): Haga clic en Remove para la directiva con ID
10.
4. Eliminar tunnel.2
Network > Interfaces: Haga clic en Remove para tunnel.2.
CLI
1. Eliminar la directiva 10, con referencias al conjunto de DIP 8
unset policy 10
2. Eliminar el conjunto de DIP 8, vinculado a tunnel.2
unset interface tunnel.2 dip 8
3. Desasociar tunnel.2 de vpn1
unset vpn vpn1 bind interface
4. Eliminar tunnel.2
unset interface tunnel.2
save
Tipos de interfaces 51
Manual de referencia de ScreenOS: conceptos y ejemplos
Visualizar interfaces
Puede visualizar una tabla que muestre todas las interfaces existentes en su
dispositivo de seguridad. Al estar predefinidas, las interfaces físicas aparecen en la
lista tanto si se configuran como si no. Las subinterfaces e interfaces de túnel
solamente aparecen después de crearlas y configurarlas.
Para visualizar la tabla de interfaces en WebUI, haga clic en Network > Interfaces.
Puede especificar los tipos de interfaces a mostrar en la lista desplegable List
Interfaces.
Zone: Este campo identifica las zonas a las que está asociada la interfaz.
Type: Este campo indica el tipo de interfaz: capa 2 (“Layer 2”), capa 3 (“Layer
3”), túnel (“tunnel”), redundante (“redundant”), agregada (“aggregate”), VSI.
Link: Este campo identifica si la interfaz está activa (“up”) o inactiva (“down”).
52 Visualizar interfaces
Capítulo 3: Interfaces
Crear subinterfaces
Eliminar subinterfaces
NOTA: Para obtener más información sobre cómo establecer el ancho de banda para el
tráfico de una interfaz, consulte “Asignar tráfico” en la página 197. Para obtener
más información sobre las opciones de administración y otras opciones de
servicios disponibles para cada interfaz, consulte “Controlar el tráfico
administrativo” en la página 3-26.
WebUI
Network > Interfaces > Edit (para ethernet5): Seleccione Trust en la lista
desplegable Zone Name, luego haga clic en OK.
CLI
set interface ethernet5 zone trust
save
WebUI
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
CLI
set interface ethernet3 ip 0.0.0.0/0
set interface ethernet3 zone null
save
NOTA: Para ver ejemplos de configuración de los modos NAT y Route, consulte “Modos
de las interfaces” en la página 81.
Los dos tipos básicos de direcciones IP que pueden utilizarse para asignar
direcciones de interfaces son:
Direcciones IP públicas
Si una interfaz se conecta a una red pública, debe tener una dirección IP pública.
Asimismo, si una zona de seguridad L3 en untrust-vr se conecta a una red pública y
las interfaces de las zonas en trust-vr están en modo de ruta, todas las direcciones
de las zonas en trust-vr (para las interfaces y para los hosts) también deben ser
direcciones públicas. Las direcciones IP públicas se dividen en tres clases: A, B, y C,
según se muestra en la Tabla 11.
Tabla 11: Rangos de direcciones públicas
NOTA: También existen direcciones de las clases D y E, reservadas para fines especiales.
Una dirección IP se compone de cuatro octetos, cada uno compuesto por 8 bits. En
una dirección de clase A, los primeros 8 bits indican la identificación de la red y los
24 bits finales indican la identificación del host (nnn.hhh.hhh.hhh). En una
dirección de clase B, los primeros 16 bits indican la identificación de la red y los 16
bits finales indican la identificación del host (nnn.nnn.hhh.hhh). En una dirección
de clase C, los primeros 24 bits indican la identificación de la red y los 8 bits finales
indican la identificación del host (nnn.nnn.nnn.hhh).
Direcciones IP privadas
Si una interfaz se conecta a una red privada, un administrador de la red local puede
asignarle cualquier dirección, aunque según la convención se suele utilizar una
dirección del rango de direcciones reservado para uso privado (10.0.0.0/8,
172.16.0.0 – 172.31.255.255, 192.168.0.0/16) según se define en RFC 1918,
Address Allocation for Private Internets.
WebUI
Network > Interfaces > Edit (para ethernet5): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 210.1.1.1/24
Manage IP: 210.1.1.5
CLI
set interface ethernet5 ip 210.1.1.1/24
set interface ethernet5 manage-ip 210.1.1.5
save
Dirección IP de administración.
(Interfaz física) Ajustes del ancho de banda del tráfico (consulte “Asignar
tráfico” en la página 197).
(Interfaces L3) Impedir que el tráfico entre y salga por la misma interfaz,
incluyendo el tráfico entre una subred principal y una secundaria o entre
subredes secundarias (esto se realiza mediante el comando CLI set interface
con la opción route-deny).
WebUI
Network > Interfaces > Edit (para ethernet1): Realice las modificaciones
siguientes; a continuación, haga clic en OK:
CLI
set interface ethernet1 manage-ip 10.1.1.12
set interface ethernet1 manage ssh
set interface ethernet1 manage ssl
unset interface ethernet1 manage telnet
unset interface ethernet1 manage web
save
NOTA: También puede configurar subinterfaces en interfaces redundantes y VSI. Para ver
un ejemplo que contenga la configuración de una subinterfaz en una interfaz
redundante, consulte “Conmutación por error del sistema virtual” en la
página 11-93.
En este ejemplo creará una subinterfaz para la zona Trust en el sistema raíz.
Configurará la subinterfaz en ethernet1, que está asociada a la zona Trust. Asociará
la subinterfaz a una zona definida por el usuario llamada “accounting”, que se
encuentra en el trust-vr. Le asignará la identificación de subinterfaz 3, dirección IP
10.2.1.1/24 e identificación 3 de etiqueta VLAN. El modo de la interfaz es NAT.
WebUI
Network > Interfaces > New Sub-IF: Introduzca los siguientes datos y haga clic
en OK:
CLI
set interface ethernet1.3 zone accounting
set interface ethernet1.3 ip 10.2.1.1/24 tag 3
save
WebUI
Network > Interfaces: Haga clic en Remove para ethernet1:1.
CLI
unset interface ethernet1:1
save
WebUI
Network > Interfaces > Edit (para ethernet1) > Secondary IP: Introduzca los
siguientes datos y haga clic en Add:
IP Address/Netmask: 192.168.2.1/24
CLI
set interface ethernet1 ip 192.168.2.1/24 secondary
save
Crear una dirección IP secundaria 59
Manual de referencia de ScreenOS: conceptos y ejemplos
NOTA: El valor máximo de id_num que se puede especificar depende de cada plataforma.
Después de definir una interfaz de bucle invertido, puede definir otras interfaces
como miembros de su grupo. El tráfico puede alcanzar una interfaz de bucle
invertido si llega a través de una de las interfaces de su grupo. Cualquier tipo de
interfaz puede ser miembro de un grupo de interfaces de bucle invertido: interfaz
física, subinterfaz, interfaz de túnel, interfaz redundante o VSI.
NOTA: No se puede asociar una interfaz de bucle invertido a una zona HA ni configurar
una interfaz de bucle invertido para el funcionamiento de la capa 2, ni como
interfaz redundante/agregada. En interfaces de bucle invertido no se pueden
configurar las siguientes características: NTP, DNS, VIP, IP secundaria, seguimiento
de IP o WebAuth.
Puede definir una MIP en una interfaz de bucle invertido. Esto permite que la MIP
sea accesible por un grupo de interfaces; esta capacidad es exclusiva de las
interfaces de bucle invertido. Para obtener más información sobre cómo usar la
interfaz de bucle invertido con MIP, consulte “MIP y la interfaz de bucle invertido
(loopback)” en la página 8-76.
WebUI
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y
haga clic en OK:
CLI
set interface loopback.1 zone untrust
set interface loopback.1 ip 1.1.1.27
save
WebUI
Network > Interfaces > loopback.1 > Edit: Seleccione todas las opciones de
administración; a continuación, haga clic en OK.
CLI
set interface loopback.1 manage
save
NOTA: Para habilitar BGP en la interfaz loopback, primero debe crear una instancia de
BGP para el enrutador virtual al que planea asociar la interfaz. Para obtener más
información sobre cómo configurar BGP en dispositivos de seguridad de Juniper
Networks, consulte el Volumen 7: Enrutamiento.
WebUI
Network > Interfaces > loopback.1 > Edit: Seleccione Protocol BGP; a
continuación, haga clic en OK.
CLI
set interface loopback.1 protocol bgp
save
WebUI
Network > Interfaces > New VSI IF: Introduzca los siguientes datos y haga clic
en OK:
CLI
set interface loopback.1:1 ip 1.1.1.1/24
save
WebUI
Configuration > Report Settings > Syslog: Introduzca los siguientes datos y
haga clic en Apply:
CLI
set syslog config 10.1.1.1 log all
set syslog src-interface loopback.1
set syslog enable
save
Lógicamente activas: Tanto para interfaces físicas como para interfaces lógicas
(subinterfaces, interfaces redundantes e interfaces agregadas). Una interfaz
está lógicamente activa cuando el tráfico que la atraviesa puede alcanzar los
dispositivos especificados (en las direcciones IP supervisadas) de una red.
El estado físico de una interfaz tiene prioridad sobre su estado lógico. Una interfaz
puede estar físicamente activa y, al mismo tiempo, lógicamente activa o inactiva.
Cuando una interfaz está físicamente inactiva, su estado lógico es irrelevante.
Cuando el estado de una interfaz es activo, todas las rutas que utilizan esa interfaz
permanecen activas y utilizables. Cuando el estado de una interfaz es inactivo, el
dispositivo de seguridad desactiva todas las rutas que utilizan esa interfaz aunque,
dependiendo de si la interfaz está físicamente o lógicamente inactiva, el tráfico
podría seguir atravesando una interfaz en estado inactivo (consulte “Interfaces
inactivas y flujo de tráfico” en la página 75). Para compensar la pérdida de rutas
que implica la pérdida de una interfaz, puede configurar rutas alternativas
utilizando una interfaz alternativa.
Una interfaz puede supervisar objetos en cuanto al menos uno de los eventos
siguientes. Consulte la Figura 33 en la página 64. Cada uno de estos eventos,
individual o combinado, puede provocar que el estado de la interfaz supervisora
cambie de activo a inactivo o viceversa:
Desconexión/reconexión física
Desconexión
física
...y la acción se establece como
La interfaz se desconecta. desactivar…
Fallo del
seguimiento de IP
…entonces la interfaz
supervisora se desactiva.
Ninguna respuesta a las peticiones de eco
ICMP.
Fallo de la Interfaz
supervisada
Interfaz
supervisora
Los fallos de seguimiento de IP exceden
el umbral.
Zona de seguridad
Fallo de la zona
supervisada
Cada uno de los eventos antes indicados se presenta en las secciones siguientes.
Puede consultar el estado de una interfaz en la columna “State” del resultado del
comando get interface y en la columna “Link” de la página “Network > Interfaces”
de WebUI. Puede estar activo (“up”) o inactivo (“down”).
Puede consultar el estado de una ruta en el campo de estado del comando get
route id number y en la página “Network > Routing > Routing Entries” de WebUI.
Un asterisco indica que la ruta está activa. Si no hay asterisco, está inactiva.
NOTA: En ciertos dispositivos con ScreenOS, esta acción también hace que se conmute
por error a la interfaz de respaldo asociada a la misma zona que la interfaz en la
que se configuró el seguimiento de IP (consulte “Definir la conmutación por error
de interfaces” en la página 11-52).
Puede definir el seguimiento de IP en las siguientes interfaces para las que haya
configurado una dirección IP de administración:
Interfaz física asociada a una zona de seguridad (no las zonas funcionales HA o
MGT)
Subinterfaz
Interfaz redundante
Interfaz agregada
NOTA: Aunque la interfaz puede ser una interfaz redundante o una interfaz agregada, no
puede ser un miembro de una interfaz redundante o agregada.
NOTA: Desde un vsys, puede establecer la supervisión de una interfaz compartida desde
una interfaz que pertenezca al vsys. Sin embargo, desde dentro del vsys no se
puede establecer la supervisión de interfaces desde una interfaz compartida. Para
obtener más información, consulte “Supervisar interfaces” en la página 70.
Las direcciones IP de seguimiento no tienen por qué estar en la misma subred que
la interfaz. Por cada dirección IP que desee someter a seguimiento, se puede
especificar lo siguiente:
Peso de la conexión IP fallida (una vez que la suma de pesos de todas las
conexiones IP fallidas supera un umbral determinado, se desactivan las rutas
asociadas a la interfaz).
Enrutador
1.1.1.250
ethernet1 ethernet3
10.1.1.1/24 1.1.1.1/24
10.1.1.0/24 Internet
ethernet4
2.2.2.1/24
Enrutador
2.2.2.250
WebUI
Network > Interfaces > Edit (para ethernet3) > Monitor: Introduzca los
siguientes datos y haga clic en Apply:
CLI
set interface ethernet3 monitor track-ip ip 1.1.1.250 weight 10
set interface ethernet3 monitor track-ip threshold 5
set interface ethernet3 monitor track-ip
save
El comando get route indica que la ruta predeterminada que atraviesa ethernet4
está activa en estos momentos; todas las rutas que pasan por ethernet3 han dejado
de estar activas.
Recuerde que aunque las rutas que pasan por ethernet3 no estén activas, el
seguimiento de IP utiliza las rutas asociadas a ethernet3 para continuar enviando
peticiones de eco a la dirección IP de destino. Cuando el seguimiento de IP puede
acceder de nuevo a 1.1.1.250, la ruta predeterminada que atraviesa ethernet3 se
vuelve a convertir en la ruta activa del dispositivo de seguridad. Al mismo tiempo,
la ruta predeterminada que pasa por ethernet4 se convierte en ruta inactiva, ya que
su nivel de prioridad es inferior al de la ruta predeterminada que pasa por
ethernet3.
Supervisar interfaces
Un dispositivo de seguridad puede supervisar el estado físico y lógico de las
interfaces y ejecutar una determinada acción en función de los cambios
observados. Consulte la Figura 38. Por ejemplo, si el estado de una interfaz
supervisada cambia de activo a inactivo, puede ocurrir lo siguiente, según se
muestra en la Tabla 12.
Si: Después:
El estado físico de una El cambio de estado puede provocar que otra interfaz que esté
interfaz cambia de activo supervisando a la que acaba de desactivarse también se desactive.
a inactivo Puede especificar si la segunda interfaz debe quedar física o
lógicamente desactivada.
El cambio de estado de la interfaz que se está desactivando
físicamente, o el peso combinado de ambas interfaces desactivándose
físicamente juntas, puede desencadenar un fallo de NSRP. Un fallo del
dispositivo NSRP o de un grupo VSD sólo puede producirse como
resultado de un cambio en el estado físico de una interfaz.
El estado lógico de una El cambio de estado puede provocar que otra interfaz que esté
interfaz cambia de activo supervisando a la que acaba de desactivarse también se desactive.
a inactivo como Aunque la primera interfaz esté lógicamente inactiva, puede
resultado de un fallo de especificar si el estado inactivo de la segunda interfaz debe ser lógico
seguimiento de IP o físico.
ethernet3 ethernet2
IP 1.1.1.1 IP 2.1.1.1
Para establecer la supervisión de interfaces, ejecute cualquiera de los siguientes
procedimientos:
WebUI
Network > Interfaces > Edit (para la interfaz que desee supervisar) > Monitor
> Edit Interface: Introduzca los siguientes datos y haga clic en Apply:
CLI
set interface interface1 monitor interface interface2 [ weight number ]
Si no indica un peso, el dispositivo de seguridad aplica el valor predeterminado,
255
NOTA: Este ejemplo omite la configuración del seguimiento de IP en las interfaces ethernet1 y
ethernet2 (consulte “Dar seguimiento a direcciones IP” en la página 65). Sin
seguimiento de IP, la única manera de que ethernet1 y ethernet2 puedan fallar es que
sean desconectadas físicamente de otros dispositivos de la red o que no puedan
mantener enlaces con esos dispositivos.
Interfaces de dispositivo de
seguridad
ethernet1 – ethernet8
1 2 3 4 5 6 7 8
Interfaces supervisadas:
ethernet1, peso 8
ethernet2, peso 8
Umbral de fallos de supervisión: 16
Cambios de estado de la interfaz 71
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
Network > Interfaces > Edit (para ethernet3) > Monitor > Edit Interface:
Introduzca los siguientes datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet3) > Monitor: Escriba 16 en el
campo “Monitor Threshold”; a continuación, haga clic en Apply.
CLI
set interface ethernet3 monitor interface ethernet1 weight 8
set interface ethernet3 monitor interface ethernet2 weight 8
set interface ethernet3 monitor threshold 16
save
Interfaces de
dispositivo de
seguridad
ethernet1 – ethernet8 1 2 3 4 5 6 7 8
ethernet1 y ethernet3 se Si ethernet1 y ethernet3 se desactivan, las rutas que se refieren a esas
supervisan mutuamente. interfaces también quedan inactivas. Entonces, el dispositivo de
Dado que el peso de la Bucle de interfaz supervisora: seguridad redirige el tráfico a través de ethernet2 y ethernet4.
interfaz supervisada es ethernet1 y ethernet3
igual al umbral de fallos de Rutas
supervisión, el fallo de Peso de la interfaz supervisada: 8 set route 10.1.0.0/16 interface ethernet1 gateway 10.1.1.250 metric
cualquier interfaz hace Umbral de fallos de supervisión: 8 set route 10.1.0.0/16 interface ethernet2 gateway 10.1.2.250 metric
set route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 metric 10
que la otra falle también. set route 0.0.0.0/0 interface ethernet4 gateway 1.1.2.250 metric 12
WebUI
1. Seguimiento de IP
Network > Interfaces > Edit (para ethernet1) > Monitor: Introduzca los
siguientes datos y haga clic en Apply.
NOTA: Para controlar si el estado de una interfaz se vuelve lógica o físicamente inactivo (o
activo), debe utilizar el comando CLI set interface interface monitor threshold
number action { down | up } { logically | physically }. Sólo se pueden activar o
desactivar interfaces físicas asociadas a cualquier zona de seguridad distinta de la
zona Null.
> Monitor Track IP ADD: Introduzca los siguientes datos y haga clic en
Add:
Static: (seleccione)
Track IP: 10.1.1.250
Weight: 8
Interval: 3 seconds
Threshold: 10
Network > Interfaces > Edit (para ethernet3) > Monitor: Introduzca los
siguientes datos y haga clic en Apply.
> Monitor Track IP ADD: Introduzca los siguientes datos y haga clic en
Add:
Static: (seleccione)
Track IP: 1.1.1.250
Weight: 8
Interval: 3 seconds
Threshold: 10
2. Supervisión de interfaces
Network > Interfaces > Edit (para ethernet1) > Monitor > Edit Interface:
Introduzca los siguientes datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet3) > Monitor > Edit Interface:
Introduzca los siguientes datos y haga clic en Apply:
3. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
CLI
1. Seguimiento de IP
set interface ethernet1 track-ip ip 10.1.1.250 weight 8
set interface ethernet1 track-ip threshold 8
set interface ethernet1 track-ip weight 8
set interface ethernet1 track-ip
set interface ethernet3 track-ip ip 1.1.1.250 weight 8
set interface ethernet3 track-ip threshold 8
set interface ethernet3 track-ip weight 8
set interface ethernet3 track-ip
2. Supervisión de interfaces
set interface ethernet1 monitor interface ethernet3 weight 8
set interface ethernet1 monitor threshold 8 action down physically
set interface ethernet3 monitor interface ethernet1 weight 8
set interface ethernet3 monitor threshold 8 action down physically
3. Rutas
set vrouter trust-vr route 10.1.0.0/16 interface ethernet1 gateway 10.1.1.250
metric 10
set vrouter trust-vr route 10.1.0.0/16 interface ethernet2 gateway 10.1.2.250
metric 12
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 metric
10
set vrouter trust-vr route 0.0.0.0/0 interface ethernet4 gateway 1.1.2.250 metric
12
save
Para configurar una interfaz de modo que supervise una zona de seguridad, ejecute
cualquiera de los siguientes procedimientos:
WebUI
Network > Interfaces > Edit (para la interfaz que desee supervisar) > Monitor
> Edit Zone: Introduzca los siguientes datos y haga clic en Apply:
CLI
set interface interface monitor zone zone [ weight number ]
NOTA: Primero hay que crear dos rutas que conduzcan al host B y ambas interfaces de
salida deben encontrarse en la misma zona para que se aplique la misma directiva
al tráfico antes y después del redireccionamiento.
2
Zona Untrust
Zona Trust Consulta de Consulta Consulta de
sesiones de rutas directivas 3
10.1.1.0/24
10.1.1.1/24 Host B
2.2.2.2
4
1
Host A Respondedor
10.1.1.5 Iniciador
Cuando el host B responde al host A, el tráfico de retorno sigue una ruta de regreso
similar a través del dispositivo de seguridad, como se indica en la Figura 43.
Zona Untrust
Zona Trust Actualización
de sesión
10.1.1.0/24 Host B
2.2.2.2
Host A Respondedor
10.1.1.5 Iniciador
1
Zona Untrust
Zona Trust Cambio Actualización
de ruta de sesión
10.1.1.1/24 3
10.1.1.0/24 4 Host B
2.2.2.2
2
Host A
10.1.1.5 Iniciador Respondedor
Puertas de
Segunda interfaz de salida enlace:
ethernet3 1.1.1.254
1.1.2.1/24 1.1.2.254
Zona Untrust
Zona Trust Consulta de Consulta de Consulta de
directivas rutas sesiones
10.1.1.1/24 Host B
10.1.1.0/24
1 2.2.2.2
Host A 3
10.1.1.5
Iniciador
Respondedor Puertas de enlace:
1.1.1.254
Segunda interfaz de salida
1.1.2.254
ethernet3
1.1.2.1/24
Cuando el host A responde al host B, el tráfico de retorno sigue una ruta de regreso
similar a través del dispositivo de seguridad, como se indica en la Figura 46.
2 Zona Untrust
Zona Trust Consulta de
sesiones
10.1.1.1/24
10.1.1.0/24
3 Host B
4 2.2.2.2
1
Host A
10.1.1.5 Iniciador
Respondedor
1. El host A en 10.1.1.5 envía un paquete de respuesta a ethernet1 en 10.1.1.1 destinado al host B (2.2.2.2).
2. El dispositivo de seguridad realiza una consulta de sesiones. Como se trata de una respuesta, el dispositivo la relaciona con una sesión existente y
actualiza la entrada en la tabla de la sesión.
3. Utilizando la dirección MAC de la puerta de enlace en 1.1.1.254 guardada en caché o realizando una búsqueda ARP para averiguar la dirección MAC, el
dispositivo reenvía el paquete a la puerta de enlace por medio de ethernet2.
4. Cuando la puerta de enlace en 1.1.1.254 recibe la respuesta, la reenvía al siguiente salto. El enrutamiento continúa hasta que el host B recibe el paquete.
1 2
Zona Untrust
Zona Trust Cambio Actualización
de ruta de sesión
10.1.1.1/24
10.1.1.0/24 Host B
2.2.2.2
3
Host A
10.1.1.5 Iniciador
Respondedor
Puertas de enlace:
1.1.1.254
Segunda interfaz de salida 1.1.2.254
ethernet3
1.1.2.1/24
2
Zona Untrust
Zona Trust Búsqueda
de sesión
10.1.1.1/24
10.1.1.0/24 3
4 Host B
2.2.2.2
1
Host A
10.1.1.5 Respondedor Iniciador
81
Manual de referencia de ScreenOS: conceptos y ejemplos
Modo transparente
Cuando una interfaz está en modo transparente, el dispositivo de seguridad filtra
los paquetes que atraviesan el cortafuegos sin modificar ninguna información de
origen ni de destino en el encabezado de los paquetes IP. Todas las interfaces se
comportan como si fuesen parte de la misma red, con el dispositivo de seguridad
actuando en gran medida como conmutador o puente de capa 2 (“Layer 2”). En el
modo transparente, las direcciones IP de las interfaces se establecen en 0.0.0.0,
haciendo que el dispositivo de seguridad parezca “transparente” (o “invisible”) a los
usuarios. Consulte la Figura 49.
209.122.30.3
209.122.30.2
209.122.30.2 209.122.30.4
209.122.30.1
209.122.30.5
Zona Trust
Conmutador
Espacio de
direcciones
público
Zona Untrust
Enrutador externo
A Internet
82 Modo transparente
Capítulo 4: Modos de las interfaces
Ajustes de zona
De forma predeterminada, ScreenOS crea una zona de función, la zona VLAN, y
tres zonas de seguridad L2: V1-Trust, V1-Untrust y V1-DMZ.
Zona VLAN
La zona VLAN contiene la interfaz VLAN1, que tiene la misma configuración y las
mismas posibilidades de administración que una interfaz física. Cuando el
dispositivo de seguridad está en modo transparente, utiliza la interfaz VLAN1 para
administrar el dispositivo y terminar el tráfico VPN. Puede configurar la interfaz
VLAN1 para permitir que los hosts en las zonas de seguridad L2 puedan administrar
el dispositivo. Para ello, debe establecer la dirección IP de la interfaz VLAN1 en la
misma subred que los hosts de las zonas de seguridad L2.
NOTA: Para ver qué interfaces físicas están preasociadas a las zonas L2 de cada
plataforma de seguridad de Juniper Networks, consulte el manual del instalador de
cada plataforma.
Reenviar tráfico
Un dispositivo de seguridad que opera en la capa 2 (“Layer 2” o “L2”) no permiten
ningún tráfico interzonal ni intrazonal a menos que haya una directiva configurada
en el dispositivo. Para obtener más información sobre cómo establecer directivas,
consulte “Directivas” en la página 2-163. Una vez configurada en el dispositivo de
seguridad, una directiva hace lo siguiente:
Modo transparente 83
Manual de referencia de ScreenOS: conceptos y ejemplos
Para permitir que todo el tráfico L2 no IP pueda pasar por el dispositivo, ejecute
el comando set interface vlan1 bypass-non-ip.
84 Modo transparente
Capítulo 4: Modos de las interfaces
Puede ocurrir que un dispositivo envíe un paquete unicast con una dirección MAC
de destino tomada de su caché ARP, pero que el dispositivo de seguridad no tenga
registrada en su tabla de reenvíos. Por ejemplo, el dispositivo de seguridad borra su
tabla de reenvíos cada vez que se reinicia. (También el usuario podría haber
borrado la tabla de reenvíos con el comando CLI clear arp.) Cuando un dispositivo
de seguridad en modo transparente recibe un paquete unicast para el cual no
contiene ninguna entrada en su tabla de reenvíos, puede tomar una de estas dos
decisiones:
NOTA: De los dos métodos (“flood” y “ARP/trace-route”), ARP es más seguro porque el
dispositivo de seguridad inunda con preguntas ARP y paquetes trace-route (no el
paquete inicial) saliendo por todas las interfaces.
Método de inundación
El método de inundación reenvía paquetes del mismo modo que la mayoría de
conmutadores (“switches”) de la capa 2. Un conmutador mantiene una tabla de
reenvíos que contiene direcciones MAC y sus puertos asociados para cada dominio
de capa 2. La tabla también contiene la interfaz correspondiente a través de la cual
el conmutador puede reenviar tráfico a cada dispositivo. Cada vez que un paquete
llega con una nueva dirección MAC de origen en su encabezado de trama, el
conmutador agrega la dirección MAC a su tabla de reenvíos. También detecta a
través de qué interfaz llegó el paquete. Si la dirección MAC de destino es
desconocida para el conmutador, éste duplica el paquete y lo inunda saliendo por
Modo transparente 85
Manual de referencia de ScreenOS: conceptos y ejemplos
ethernet1 ethernet4
IP 0.0.0.0/0 IP 0.0.0.0/0
El paquete llega a
ethernet1. Zona
Enrutador V1-DMZ
Zona V1-Trust
ethernet2 ethernet3
IP 0.0.0.0/0 IP 0.0.0.0/0
Zona V1-Untrust
Zona
L2-Finance
WebUI
Network > Interface > Edit (para VLAN1): Para las opciones de broadcast,
seleccione Flood, después haga clic en OK.
CLI
set interface vlan1 broadcast flood
save
Método ARP/Trace-Route
Cuando se habilita el método ARP con la opción “trace-route” y el dispositivo de
seguridad recibe una trama de Ethernet con una dirección MAC de destino que no
consta en su tabla de MAC, el dispositivo de seguridad realiza la siguiente serie de
acciones:
86 Modo transparente
Capítulo 4: Modos de las interfaces
NOTA: De hecho, trace-route devuelve las direcciones IP y MAC de todos los enrutadores
en la subred. A continuación, el dispositivo de seguridad compara la dirección
MAC de destino del paquete inicial con la dirección MAC de origen en los paquetes
arp-r para determinar a qué enrutador apuntar, y por lo tanto, qué interfaz utilizar
para alcanzar ese destino.
Modo transparente 87
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
Network > Interface > Edit (para VLAN1): Para las opciones de broadcast,
seleccione ARP, después haga clic en OK.
CLI
set interface vlan1 broadcast arp
save
88 Modo transparente
Capítulo 4: Modos de las interfaces
Habilitará Web, Telnet, SSH y Ping tanto en la interfaz VLAN1 como en la zona
de seguridad V1-Trust.
Para administrar el dispositivo desde una zona de seguridad de capa 2 (“Layer 2”), debe
establecer las mismas opciones de administración para la interfaz VLAN1 que para la zona
de seguridad de capa 2.
Modo transparente 89
Manual de referencia de ScreenOS: conceptos y ejemplos
Agregará una ruta en el enrutador virtual trust (todas las zonas de seguridad de
capa 2 están en el dominio de enrutamiento trust-vr) para permitir que el
tráfico administrativo fluya entre el dispositivo de seguridad y una estación de
trabajo administrativa situada más allá de la subred inmediata del dispositivo
de seguridad. Todas las zonas de seguridad se encuentran en el dominio de
enrutamiento trust-vr.
Internet
IP de VLAN1
Zona V1-Trust 1.1.1.1/24 Zona V1-Untrust
WebUI
1. Interfaz VLAN1
Network > Interfaces > Edit (para VLAN1): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 1.1.1.1/24
Management Services: WebUI, Telnet, SSH (seleccione)
Other Services: Ping (seleccione)
2. Zona V1-Trust
Network > Zones > Edit (para V1-Trust): Introduzca los siguientes datos y haga
clic en OK:
CLI
1. Interfaz VLAN1
set interface vlan1 ip 1.1.1.1/24
set interface vlan1 manage web
set interface vlan1 manage telnet
set interface vlan1 manage ssh
set interface vlan1 manage ping
90 Modo transparente
Capítulo 4: Modos de las interfaces
2. Zona V1-Trust
set zone v1-trust manage web
set zone v1-trust manage telnet
set zone v1-trust manage ssh
set zone v1-trust manage ping
3. Ruta
set vrouter trust-vr route 1.1.2.0/24 interface vlan1 gateway 1.1.1.251 metric 1
save
Espacio de direcciones
1.1.1.0/24
Internet
IP de VLAN1
Zona V1-Trust 1.1.1.1/24 Zona V1-Untrust
Modo transparente 91
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
1. Interfaz VLAN1
Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguientes
datos y haga clic en OK:
IP Address/Netmask: 1.1.1.1/24
Management Services: WebUI, Telnet (seleccione)
Other Services: Ping (seleccione)
2. Puerto HTTP
Configuration > Admin > Management: En el campo HTTP Port, escriba 5555
y después haga clic en Apply.
3. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
92 Modo transparente
Capítulo 4: Modos de las interfaces
6. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
Policies > (From: V1-Untrust, To: V1-Trust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Mail_Server
Service: Mail
Action: Permit
Policies > (From: V1-Untrust, To: V1-Trust) New: Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), FTP_Server
Service: FTP-GET
Action: Permit
CLI
1. VLAN1
set interface vlan1 ip 1.1.1.1/24
set interface vlan1 manage web
set interface vlan1 manage telnet
set interface vlan1 manage ping
2. Telnet
set admin telnet port 4646
Modo transparente 93
Manual de referencia de ScreenOS: conceptos y ejemplos
3. Interfaces
set interface ethernet1 ip 0.0.0.0/0
set interface ethernet1 zone v1-trust
set interface ethernet3 ip 0.0.0.0/0
set interface ethernet3 zone v1-untrust
4. Zona V1-Trust
set zone v1-trust manage web
set zone v1-trust manage telnet
set zone v1-trust manage ping
5. Direcciones
set address v1-trust FTP_Server 1.1.1.5/32
set address v1-trust Mail_Server 1.1.1.10/32
6. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 1.1.1.250 metric 1
7. Directivas
set policy from v1-trust to v1-untrust any any any permit
set policy from v1-untrust to v1-trust any Mail_Server mail permit
set policy from v1-untrust to v1-trust any FTP_Server ftp-get permit
save
Modo NAT
Cuando una interfaz de entrada está en el modo de traducción de direcciones de
red (NAT), el dispositivo de seguridad, actuando como conmutador (o enrutador) de
capa 3, traduce dos componentes del encabezado de un paquete IP saliente
destinado a la zona Untrust: su dirección IP de origen y el número del puerto de
origen. El dispositivo de seguridad reemplaza la dirección IP de origen del host de
origen con la dirección IP de la interfaz de la zona Untrust. También reemplaza el
número del puerto de origen con otro número de puerto generado aleatoriamente
por el dispositivo de seguridad.
94 Modo NAT
Capítulo 4: Modos de las interfaces
10.1.1.15
10.1.1.10 10.1.1.20
10.1.1.5
10.1.1.25
Zona Trust
Espacio de Interfaz de la
direcciones privado zona Trust
10.1.1.1/24
Interfaz de la
Espacio de zona Untrust
direcciones público 1.1.1.1/24
Enrutador externo
1.1.1.250
Zona Untrust
Internet
Modo NAT 95
Manual de referencia de ScreenOS: conceptos y ejemplos
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
NOTA: Sólo se puede definir una dirección IP virtual (VIP) en una interfaz asociada a la
zona Untrust.
NOTA: Para obtener más información sobre MIP, consulte “Direcciones IP asignadas” en
la página 8-65. Para obtener más información sobre VIP, consulte “Direcciones IP
virtuales” en la página 8-83.
96 Modo NAT
Capítulo 4: Modos de las interfaces
Ajustes de interfaz
Para el modo NAT, defina los siguientes ajustes de interfaz, donde ip_addr1 y
ip_addr2 representan los números de una dirección IP, mask representa los números
de una máscara de red, vlan_id_num representa el número de una etiqueta VLAN,
zone representa el nombre de una zona y number representa el tamaño del ancho
de banda en kbps:
NOTA: Compare la Figura 57 con el del modo ruta en la Figura 59, “Dispositivo en modo
de ruta,” en la página 102.
Modo NAT 97
Manual de referencia de ScreenOS: conceptos y ejemplos
Enrutador externo
1.1.1.250
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
NOTA: De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará
en modo NAT. Por lo tanto, esta opción ya está habilitada para las interfaces
asociadas a la zona Trust.
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
2. VIP
Network > Interfaces > Edit (para ethernet3) > VIP: Introduzca los siguientes
datos y haga clic en Add:
Network > Interfaces > Edit (para ethernet3) > VIP > New VIP Service:
Introduzca los siguientes datos y haga clic en OK:
Virtual Port: 25
Map to Service: Mail
Map to IP: 10.1.1.5
98 Modo NAT
Capítulo 4: Modos de las interfaces
NOTA: Para obtener más información sobre direcciones IP virtuales (VIP), consulte
“Direcciones IP virtuales” en la página 8-83.
3. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Policies > (From: Untrust, To: Global) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.1.5)
Service: MAIL
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
Modo NAT 99
Manual de referencia de ScreenOS: conceptos y ejemplos
2. VIP
set interface ethernet3 vip 1.1.1.5 25 mail 10.1.1.5
3. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
4. Directivas
set policy from trust to untrust any any any permit
set policy from untrust to global any vip(1.1.1.5) mail permit
save
Modo de ruta
Cuando una interfaz está en modo de ruta (“Route”), el dispositivo de seguridad
enruta el tráfico entre diferentes zonas sin ejecutar NAT de origen (NAT-src); es
decir, la dirección de origen y el número de puerto en el encabezado del paquete IP
permanecen invariables mientras atraviesan el dispositivo de seguridad. A
diferencia de NAT-src, no es necesario establecer direcciones IP asignadas (MIP) e IP
virtuales (VIP) para permitir que tráfico entrante llegue a los hosts cuando la
interfaz de la zona de destino está en modo de ruta. A diferencia del modo
transparente, las interfaces de cada zona se encuentran en subredes diferentes.
10.1.1.15
10.1.1.10 10.1.1.20
10.1.1.5
10.1.1.25
Zona Trust
Espacio de
direcciones privado Interfaz de la
zona Trust
10.1.1.1/24
Interfaz de la
Espacio de zona Untrust
direcciones público 1.1.1.1/24
Enrutador externo
1.1.1.250
Zona Untrust
Internet
NOTA: Para obtener más información sobre cómo configurar NAT-src basada en
directivas, consulte “Traducción de direcciones de red de origen” en la
página 8-15.
Ajustes de interfaz
Para el modo de ruta, defina los siguientes ajustes de interfaz, donde ip_addr1 y
ip_addr2 representan los números de una dirección IP, mask representa los números
de una máscara de red, vlan_id_num representa el número de una etiqueta VLAN,
zone representa el nombre de una zona y number representa el tamaño del ancho
de banda en kbps:
Enrutador externo
1.1.1.250
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
2. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
3. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Mail Server
Service: MAIL
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 1.2.2.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
2. Dirección
set address trust mail_server 1.2.2.5/24
3. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
4. Directivas
set policy from trust to untrust any any any permit
set policy from untrust to trust any mail_server mail permit
save
Este capítulo explica los componentes, o bloques de construcción, a los que puede
hacerse referencia en las directivas. Contiene las siguientes secciones:
105
Manual de referencia de ScreenOS: conceptos y ejemplos
Direcciones
ScreenOS clasifica las direcciones de todos los demás dispositivos según su
ubicación y máscara de red. Cada zona posee su propia lista de direcciones y sus
grupos de direcciones.
Los hosts individuales solamente tienen definida una dirección IP, por lo que su
máscara de red debe tener el valor 255.255.255.255 (que enmascara todos los
hosts salvo el propio).
Las subredes tienen una dirección IP y una máscara de red (por ejemplo,
255.255.255.0 o 255.255.0.0).
NOTA: Para “Any” no es necesario crear entradas de direcciones. Este término se aplica
automáticamente a todos los dispositivos situados físicamente dentro de sus
zonas respectivas.
Entradas de direcciones
Para poder establecer muchas de las opciones de configuración del cortafuegos de
Juniper, de VPN y de asignación del tráfico, es necesario definir direcciones en unas
o varias listas de direcciones. La lista de direcciones de una zona de seguridad
contiene las direcciones IP o nombres de dominios de los hosts o subredes cuyo
tráfico está permitido, bloqueado, encriptado o autenticado por el usuario.
NOTA: Para poder utilizar nombres de dominios para las entradas de direcciones, es
necesario configurar el dispositivo de seguridad para los servicios del sistema de
nombres de dominios (“Domain Name System” o “DNS”). Para obtener más
información sobre la configuración de DNS, consulte “Compatibilidad con DNS”
en la página 221.
106 Direcciones
Capítulo 5: Bloques para la construcción de directivas
WebUI
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
CLI
set address trust Sunnyvale_Eng 10.1.10.0/24
set address untrust Juniper www.juniper.net
save
WebUI
Objects > Addresses > List > Edit (para Sunnyvale_Eng): Cambie el nombre y
la dirección IP por los siguientes datos y haga clic en OK:
CLI
unset address trust Sunnyvale_Eng
set address trust Sunnyvale_SW_Eng 10.1.40.0/24
save
Direcciones 107
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
Objects > Addresses > List: Haga clic en Remove en la columna “Configure”
para “Sunnyvale_SW_Eng”.
CLI
unset address trust “Sunnyvale_SW_Eng”
save
Grupos de direcciones
En “Entradas de direcciones” en la página 106 se explica cómo crear, modificar y
eliminar las entradas en la libreta de direcciones correspondientes a los diferentes
hosts y subredes. Según se vayan agregando direcciones a una lista de direcciones,
se hará más difícil controlar cómo las directivas afectan a cada entrada de
dirección. ScreenOS permite crear grupos de direcciones. En lugar de administrar
un gran número de entradas de direcciones, puede administrar un pequeño
número de grupos. Los cambios que efectúe al grupo se aplicarán a todas las
entradas de direcciones que lo componen.
Name Access
Address Policy
Name Access
Name
Access Address
Name Policy
Name Address
Policy Address
Address
Name Access
Address Policy
Puede crear grupos de direcciones con los usuarios existentes, o bien crear
grupos de direcciones vacíos e introducir posteriormente los usuarios.
108 Direcciones
Capítulo 5: Bloques para la construcción de directivas
ScreenOS aplica las directivas a cada miembro del grupo y creando directivas
individuales internas para cada miembro del grupo. Aunque usted solamente
tiene que crear una directiva para un grupo, en realidad ScreenOS crea una
directiva interna para cada miembro del grupo (así como para cada servicio
configurado para cada usuario).
Direcciones 109
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
Objects > Addresses > Groups > (para la zona: Trust) New: Introduzca el
siguiente nombre de grupo, mueva las siguientes direcciones y haga clic en OK:
CLI
set group address trust “HQ 2nd Floor” add “Santa Clara Eng”
set group address trust “HQ 2nd Floor” add “Tech Pubs”
save
WebUI
Objects > Addresses > Groups > (para la zona: Trust) Edit (para “HQ 2nd
Floor”): Mueva la siguiente dirección, luego haga clic en OK:
CLI
set group address trust “HQ 2nd Floor” add Support
save
WebUI
Objects > Addresses > Groups > (para la zona: Trust) Edit (“HQ 2nd Floor”):
Mueva la siguiente dirección, luego haga clic en OK:
Objects > Addresses > Groups > (para la zona: Trust): Haga clic en Remove
en la columna “Configure” para “Sales”.
110 Direcciones
Capítulo 5: Bloques para la construcción de directivas
CLI
unset group address trust “HQ 2nd Floor” remove Support
unset group address trust Sales
save
Servicios
Los servicios son tipos de tráfico para los que existen normas de protocolos. Cada
servicio tiene asociados un protocolo de transporte y uno o varios números de
puertos de destino, como el puerto TCP nº 21 para FTP y el puerto TCP nº 23 para
Telnet. Al crear una directiva se debe especificar un servicio para ella. Puede
seleccionar uno de los servicios predefinidos del libro de servicios, o bien un
servicio personalizado o grupo de servicios que haya creado. Para consultar qué
servicio puede utilizar en una directiva, visualice la lista desplegable Service de la
página “Policy Configuration” (WebUI) o ejecute el comando get service (CLI).
Servicios predefinidos
Puede visualizar la lista de servicios predefinidos o personalizados, o bien los
grupos de servicios en el dispositivo de seguridad mediante WebUI o CLI.
Mediante WebUI:
Mediante CLI:
NOTA: Cada servicio predefinido tiene un rango de puertos de origen entre 1 y 65535,
que abarca todo el conjunto de números de puerto válidos. Esto evita que posibles
atacantes obtengan acceso a través de un puerto de origen que se encuentre fuera
del rango. Si necesita utilizar un rango de puertos de origen distinto para cualquier
servicio predefinido, cree un servicio personalizado. Para obtener información,
consulte “Servicios personalizados” en la página 125.
Servicios 111
Manual de referencia de ScreenOS: conceptos y ejemplos
112 Servicios
Capítulo 5: Bloques para la construcción de directivas
Servicios 113
Manual de referencia de ScreenOS: conceptos y ejemplos
114 Servicios
Capítulo 5: Bloques para la construcción de directivas
Servicios 115
Manual de referencia de ScreenOS: conceptos y ejemplos
116 Servicios
Capítulo 5: Bloques para la construcción de directivas
Servicios 117
Manual de referencia de ScreenOS: conceptos y ejemplos
118 Servicios
Capítulo 5: Bloques para la construcción de directivas
1088a980-eae5-11d0-8d9b-00a02453c33
5b5b3580-b0e0-11d1-b92d-0060081e87f0
41208ee0-e970-11d1-9b9e-00e02c064c39
MS-NETLOGON 12345678-1234-abcd-ef00-01234567cffb Microsoft Netlogon Service
MS-SCHEDULER 1ff70682-0a51-30e8-076d-740be8cee98b Microsoft Scheduler Service
378e52b0-c0a9-11cf-822d-00aa0051e40f
0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53
MS-WIN-DNS 50abc2a4-574d-40b3-9d66-ee4fd5fba076 Servidor DNS de Microsoft Windows
MS-WINS 45f52c28-7f9f-101a-b52b-08002b2efabe WINS de Microsoft Service
811109bf-a4e1-11d1-ab54-00a0c91e9b45
Protocolo de enrutamiento
dinámico Puerto Descripción
RIP 520 RIP es un protocolo de enrutamiento de vector de
distancia común.
OSPF 89 OSPF es un protocolo de enrutamiento de conexiones
de estado común.
BGP 179 BGP es un protocolo de enrutamiento entre
dominios/exterior.
Vídeo de secuencia
La siguiente tabla enumera cada servicio de vídeo de secuencia compatible por
nombre e incluye el puerto predeterminado y la descripción. Dependiendo de los
requisitos de su red, puede seleccionar permitir o denegar alguno o todos estos
servicios.
Servicios 119
Manual de referencia de ScreenOS: conceptos y ejemplos
Números del
Servicio programa Nombre completo
SUN-RPC-PORTMAPPER 111 Protocolo de asignación de puertos Sun
100000 RPC
SUN-RPC-ANY ANY Cualquier servicio Sun RPC
SUN-RPC-PROGRAM-MOUNTD 100005 Demonio de montaje Sun RPC Mount
Daemon
SUN-RPC-PROGRAM-NFS 100003 Sistema de archivos en red Sun RPC
100227 Network File System
120 Servicios
Capítulo 5: Bloques para la construcción de directivas
Números del
Servicio programa Nombre completo
SUN-RPC-PROGRAM-RUSERD 100002 Demonio de usuarios remotos Sun RPC
Remote User Daemon
SUN-RPC-PROGRAM-SADMIND 100232 Demonio de administración del sistema
Sun RPC System Administration Daemon
SUN-RPC-PROGRAM-SPRAYD 100012 Demonio Sun RPC SPRAY Daemon
SUN-RPC-PROGRAM-STATUS 100024 Sun RPC STATUS
SUN-RPC-PROGRAM-WALLD 100008 Demonio Sun RPC WALL Daemon
SUN-RPC-PROGRAM-YPBIND 100007 Servicio de asignación de página amarilla
SUN RPC Yellow Page Bind Service
Servicios 121
Manual de referencia de ScreenOS: conceptos y ejemplos
Servicios de administración
La siguiente tabla enumera los servicios predefinidos de administración. Cada
entrada incluye el nombre del servicio, el puerto asignado o predeterminado y una
descripción del servicio.
122 Servicios
Capítulo 5: Bloques para la construcción de directivas
Servicios de correo
La siguiente tabla enumera los servicios predefinidos de correo. Cada uno incluye el
nombre del servicio, el número de puerto asignado o predeterminado y una
descripción del servicio.
Servicios 123
Manual de referencia de ScreenOS: conceptos y ejemplos
Servicios de UNIX
La siguiente tabla enumera los servicios predefinidos de UNIX. Cada entrada
incluye el nombre del servicio, el puerto asignado o predeterminado y una
descripción del servicio.
Servicios varios
La siguiente tabla enumera los servicios varios predefinidos. Cada entrada incluye el
nombre del servicio, el puerto asignado o predeterminado y una descripción del
servicio.
124 Servicios
Capítulo 5: Bloques para la construcción de directivas
Servicios personalizados
En lugar de utilizar servicios predefinidos, puede crear fácilmente servicios
personalizados. Puede asignar a cada servicio personalizado los atributos
siguientes:
Nombre
Protocolo de transporte
Números de los puertos de origen y de destino para los servicios que utilizan
TCP o UDP
Servicios 125
Manual de referencia de ScreenOS: conceptos y ejemplos
Si el servicio utiliza el protocolo TCP o UDP u otro protocolo compatible con las
especificaciones de Internet. En este ejemplo, el protocolo es TCP.
WebUI
Objects > Services > Custom > New: Introduzca los siguientes datos y haga
clic en OK:
CLI
set service cust-telnet protocol tcp src-port 1-65535 dst-port 23000-23000
set service cust-telnet timeout 30
save
126 Servicios
Capítulo 5: Bloques para la construcción de directivas
WebUI
Objects > Services > Custom > Edit (para cust-telnet): Introduzca los
siguientes datos y haga clic en OK:
CLI
set service cust-telnet clear
set service cust-telnet + tcp src-port 1-65535 dst-port 23230-23230
save
WebUI
Objects > Services > Custom: Haga clic en Remove en la columna “Configure”
para “cust-telnet”.
CLI
unset service cust-telnet
save
Los servicios con entradas de reglas múltiples comparten el mismo valor de tiempo
de espera. Si varios servicios comparten el mismo rango de de puerto de destino y
protocolo, todos los servicios comparten el último valor de tiempo de espera
configurado.
Servicios 127
Manual de referencia de ScreenOS: conceptos y ejemplos
Tiempo de espera
Protocolo predeterminado (minutos)
TCP 30
UDP 1
ICMP 1
OSPF 1
Otros 30
Para los grupos de servicio, incluso los grupos ocultos creados en configuraciones
de directivas de varias celdas y para el servicio predefinido “ANY” (si no está
establecido el tiempo de espera), la búsqueda de tiempo de espera de servicio se
realiza como se muestra a continuación:
1. La tabla de tiempo de espera con base en puerto UDP y TCP de vsys, si está
establecido el tiempo de espera.
Contingencias
Cuando se establecen los tiempos de espera, esté al tanto de lo siguiente:
set service ftp-1 protocol tcp src 0-65535 dst 2121-2121 timeout 10
set service telnet-1 protocol tcp src 0-65535 dst 2100-2148 timeout 20
128 Servicios
Capítulo 5: Bloques para la construcción de directivas
Ejemplo
En el siguiente ejemplo cambiará el umbral del tiempo de espera para el
servicio predefinido FTP a 75 minutos:
WebUI
Objects > Services > Predefined > Edit (FTP): Introduzca los siguientes datos
y haga clic en OK:
CLI
set service FTP timeout 75
save
NOTA: Para obtener más información sobre los tipos y códigos de ICMP, consulte
RFC 792, Internet Control Message Protocol.
Los tipos de mensajes ICMP también pueden tener un código de mensaje. El código
proporciona información más específica sobre el mensaje, como se muestra en la
Tabla 14.
130 Servicios
Capítulo 5: Bloques para la construcción de directivas
WebUI
Objects > Services > Custom: Introduzca los siguientes datos y haga clic en
OK:
CLI
set service host-unreachable protocol icmp type 5 code 0
set service host-unreachable timeout 2
save
Los dispositivos de seguridad de Juniper Networks admiten Sun RPC como servicio
predefinido, permitiendo y denegando el tráfico según una directiva que usted
configure. La puerta de enlace de la capa de aplicación (ALG) proporciona la
funcionalidad necesaria para que los dispositivos de seguridad puedan manejar el
mecanismo dinámico de negociación de direcciones de transporte de Sun RPC y
para asegurar el cumplimiento de las directivas de cortafuegos basadas en el
número de programa. Se puede definir una directiva de cortafuegos para permitir o
denegar todas las peticiones RPC, o bien para permitir o denegar determinados
números de programa. La ALG también admite el modo de rutas y NAT para las
peticiones entrantes y salientes.
Servicios 131
Manual de referencia de ScreenOS: conceptos y ejemplos
Un cliente también puede utilizar el mensaje CALLIT para llamar al servicio remoto
directamente sin conocer el número de puerto del servicio. En este caso, el
procedimiento es el siguiente:
WebUI
Objects > Services > Sun RPC Services > New: Introduzca los siguientes
datos y haga clic en Apply:
CLI
set service my-sunrpc-nfs protocol sun-rpc program 100003-100003
set service my-sunrpc-nfs + sun-rpc program 100227-100227
save
132 Servicios
Capítulo 5: Bloques para la construcción de directivas
0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
1453c42c-0fa6-11d2-a910-00c04f990f3b
10f24e8e-0fa6-11d2-a910-00c04f990f3b
1544f5e0-613c-11d1-93df-00c04fd7bd09
WebUI
Objects > Services > MS RPC: Introduzca los siguientes datos y haga clic en
Apply:
Servicios 133
Manual de referencia de ScreenOS: conceptos y ejemplos
UUID: 10f24e8e-0fa6-11d2-a910-00c04f990f3b
UUID: 1544f5e0-613c-11d1-93df-00c04fd7bd09
CLI
set service my-ex-info-store protocol ms-rpc uuid
0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
set service my-ex-info-store + ms-rpc uuid
1453c42c-0fa6-11d2-a910-00c04f990f3b
set service my-ex-info-store + ms-rpc uuid
10f24e8e-0fa6-11d2-a910-00c04f990f3b
set service my-ex-info-store + ms-rpc uuid
1544f5e0-613c-11d1-93df-00c04fd7bd09
save
134 Servicios
Capítulo 5: Bloques para la construcción de directivas
medios aceptables para el cliente, por ejemplo RTP/RTCP o RDT, y los puertos en los
que recibirá los medios. Con NAT, el ALG RTSP supervisa estos puertos y los traduce
cuando sea necesario. El servidor responde al método SETUP seleccionando uno de
los protocolos de transporte, lo que pone de acuerdo al cliente y al servidor en
cuanto al mecanismo para el transporte de los medios. A continuación, el cliente
envía el método PLAY y el servidor comienza a enviar la secuencia multimedia al
cliente.
Servicios 135
Manual de referencia de ScreenOS: conceptos y ejemplos
136 Servicios
Capítulo 5: Bloques para la construcción de directivas
Error del servidor (500 a 599): el servidor no pudo cumplir una petición
aparentemente válida
Servicios 137
Manual de referencia de ScreenOS: conceptos y ejemplos
La tabla siguiente enumera todos los códigos de estado definidos para RTSP 1.0 y
las frases de motivo recomendadas. Las frases de motivo se pueden revisar o
redefinir sin que ello afecte al funcionamiento del protocolo.
Código de Código de
estado Frase del motivo estado Frase del motivo
100 Continue 414 Request-URI Too Large
200 OK 415 Unsupported Media Type
201 Created 451 Unsupported Media Type
250 Low on Storage Space 452 Conference Not Found
300 Multiple Choices 453 Not Enough Bandwidth
301 Moved Permanently 454 Session Not Found
303 See Other 455 Method Not Valid in This State
304 Not Modified 456 Header Field Not Valid for Resource
305 Use Proxy 457 Invalid Range
400 Bad Request 458 Parameter is Read-Only
401 Unauthorized 459 Aggregate operation not allowed
402 Payment Required 460 Only aggregate operation allowed
403 Forbidden 461 Unsupported transport
404 Not Found 462 Destination unreachable
405 Method Not Allowed 500 Internal Server Error
406 Not Acceptable 501 Not Implemented
407 Proxy Authentication 502 Bad Gateway
Required
408 Request Time-out 503 Service Unavailable
410 Gone 504 Gateway Time-out
411 Length Required 505 RTSP Version not supported
412 Precondition Failed 551 Option not supported
413 Request Entity Too Large
NOTA: Para ver las definiciones completas de los códigos de estado, consulte RFC 2326,
Real Time Streaming Protocol (RTSP).
138 Servicios
Capítulo 5: Bloques para la construcción de directivas
ethernet1 ethernet3
10.1.1.1 1.1.1.1
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Servicios 139
Manual de referencia de ScreenOS: conceptos y ejemplos
3. MIP
Network > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), cliente
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.3)
Service: RTSP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 trust
set interface ethernet1 ip 10.1.1.1
set interface ethernet3 untrust
set interface ethernet3 ip 1.1.1.1
2. Direcciones
set address trust media_server 10.1.1.3/24
set address untrust client 1.1.1.5
3. MIP
set interface ethernet3 mip (1.1.1.3) host 10.1.1.3
4. Directiva
set policy from untrust to trust client mip(1.1.1.3) rtsp permit
save
ethernet1 ethernet3
Zona Trust 10.1.1.1 1.1.1.1 Zona Untrust
Dispositivo de seguridad
LAN LAN
Conjunto de DIP
Cliente en ethernet3 Servidor de medios
10.1.1.3 1.1.1.5 a 1.1.1.50 1.1.1.3
140 Servicios
Capítulo 5: Bloques para la construcción de directivas
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
ID: 5
IP Address Range: (seleccione) 1.1.1.5 ~ 1.1.1.50
Port Translation: (seleccione)
4. Directiva
Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry (seleccione): client
Destination Address:
Address Book Entry (seleccione): media_server
Service: RTSP
Action: Permit
Servicios 141
Manual de referencia de ScreenOS: conceptos y ejemplos
NAT:
Source Translation: (seleccione)
(DIP on): 5 (1.1.1.5-1.1.1.50)/port-xlate
CLI
1. Interface
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust client ip 10.1.1.3/24
set address untrust media_server ip 1.1.1.3/24
3. Conjunto de DIP
set interface ethernet3 dip 5 1.1.5 1.1.1.50
4. Directiva
set policy from trust to untrust client media_server rtsp nat dip 5 permit
save
Grupos de servicios
Un grupo de servicios es un conjunto de servicios agrupados bajo un nombre. Una
vez creado un grupo que contenga varios servicios, se pueden aplicar servicios a las
directivas a nivel de grupo, simplificando la administración.
Se puede hacer referencia a cada entrada del libro de servicios en uno o más
grupos de servicios.
Los grupos de servicios no pueden llamarse igual que los servicios; por ejemplo,
si existe un servicio llamado “FTP”, no puede existir un grupo de servicios con
el mismo nombre.
142 Servicios
Capítulo 5: Bloques para la construcción de directivas
WebUI
Objects > Services > Groups > New: Introduzca el siguiente nombre de
grupo, mueva los siguientes servicios y haga clic en OK:
CLI
set group service grp1
set group service grp1 add ike
set group service grp1 add ftp
set group service grp1 add ldap
save
WebUI
Objects > Services > Groups > Edit (para grp1): Mueva los siguientes
servicios, luego haga clic en OK:
Servicios 143
Manual de referencia de ScreenOS: conceptos y ejemplos
CLI
unset group service grp1 clear
set group service grp1 add http
set group service grp1 add finger
set group service grp1 add imap
save
WebUI
Objects > Services > Groups: Haga clic en Remove (para grp1).
CLI
unset group service grp1
save
Conjuntos de IP dinámicas
Un conjunto de IP dinámicas (DIP) es un rango de direcciones IP del cual el
dispositivo de seguridad toma direcciones de forma dinámica o determinista para
aplicar la traducción de direcciones de red a la dirección IP de origen (NAT-src) en
los encabezados de paquetes IP. (Para obtener más información sobre la traducción
determinista de direcciones de origen, consulte “NAT-Src desde un conjunto de DIP
con desplazamiento de direcciones” en la página 8-22). Si el rango de direcciones
de un conjunto de DIP pertenece a la misma subred que la dirección IP de la
interfaz, el conjunto debe excluir la dirección IP de la interfaz, las direcciones IP del
enrutador y cualquier dirección IP asignada (MIP) o virtual (VIP) que pueda haber
en esa misma subred. Si el conjunto de direcciones se encuentra en la subred de
una interfaz extendida, el conjunto debe excluir la dirección IP extendida de la
interfaz.
A la zona DMZ
A la zona Untrust
Túneles VPN
A la zona Trust
Cortafuegos
Conjuntos de DIP
Interfaces
Los administradores del sitio remoto también deberán crear una interfaz de túnel
con una dirección IP en un espacio de direcciones neutral, tal como 10.20.2.1/24, y
configurar una dirección IP asignada (MIP) a su servidor FTP, como 10.20.2.5 hacia
el host 10.1.1.5.
WebUI
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 10.10.1.2 ~ 10.10.1.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
CLI
set interface tunnel.1 zone untrust-tun
set interface tunnel.1 ip 10.10.1.1/24
set interface tunnel.1 dip 5 10.10.1.2 10.10.1.2
save
NOTA: Dado que PAT está habilitada de forma predeterminada, no existe ningún
argumento para habilitarla. Para crear el mismo conjunto de DIP según lo definido
anteriormente, pero sin PAT (es decir, con números de puerto fijos), haga lo
siguiente:
(WebUI) Network > Interfaces > Edit (for tunnel.1) > DIP > New: Elimine la
selección de la casilla de verificación Port Translation, luego haga clic en OK.
NOTA: No hay directivas que utilicen este conjunto de DIP en particular. Para que una
directiva utilice un conjunto de DIP, primero debe eliminar la directiva o
modificarla para que no pueda utilizar el conjunto de DIP antes de que usted lo
haya modificado.
WebUI
Network > Interfaces > Edit (for tunnel.1) > DIP > Edit (for ID 5): Introduzca
los siguientes datos y haga clic en OK:
CLI
unset interface tunnel.1 dip 5
set interface tunnel.1 dip 5 10.20.1.2 10.20.1.10
save
NOTA: Para los conjuntos de DIP que no realizan la traducción de puertos, el dispositivo
de seguridad asigna una dirección IP a todas las sesiones simultáneas del mismo
host.
Por ejemplo, es importante tener la misma dirección IP para varias sesiones cuando
se utiliza el cliente AOL Instant Messaging (AIM). Creará una sesión durante el inicio
de su sesión y otra por cada chat. Para que el servidor AIM pueda verificar que un
nuevo chat pertenece a un usuario autenticado, debe comparar la dirección IP de
origen del inicio de sesión con la dirección de la sesión de chat. Si son diferentes
(posiblemente porque hubiesen sido asignadas aleatoriamente desde un conjunto
de DIP durante el proceso NAT), el servidor AIM rechazará la sesión de chat.
En este ejemplo, dos sucursales tienen líneas punto a punto con la sede central. La
oficina central les exige utilizar solamente las direcciones IP autorizadas que les ha
asignado. Sin embargo, las oficinas reciben de su proveedor de servicios (“ISP”)
otras direcciones IP para el tráfico de Internet. Para la comunicación con la oficina
central, utilizará la opción de interfaz extendida para configurar el dispositivo de
seguridad en cada sucursal de modo que traduzca la dirección IP de origen a la
dirección autorizada en todos los paquetes enviados a la oficina central. Las
direcciones IP autorizadas y asignadas para las sucursales A y B son las siguientes:
En ambos sitios, los dispositivos de seguridad tienen una zona Trust y una zona
Untrust. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento
trust-vr. Enlazará ethernet1 a la zona Trust y le asignará la dirección IP 10.1.1.1/24.
Enlazará ethernet3 a la zona Untrust y le asignará la dirección IP generada por los
correspondientes ISP: 195.1.1.1/24 para la Oficina A y 201.1.1.1/24 para la Oficina
B. A continuación, creará una interfaz extendida con un conjunto de DIP que
contendrá la dirección IP autorizada en ethernet3:
Sede central
(HQ)
Nota: Las líneas arrendadas conectan las
sucursales A y B directamente a la sede central.
200.1.1.1 Zona Untrust
Zona Untrust
ISP
Línea punto Línea punto
a punto a punto
Internet
Zona Untrust, ethernet3
Zona Untrust, ethernet3 El ISP asigna 201.1.1.1/24
El ISP asigna 195.1.1.1/24 (interfaz física)
(interfaz física) ISP ISP
HQ autoriza 211.20.1.1/24
HQ autoriza 211.10.1.1/24 (interfaz extendida)
(interfaz extendida)
Puerta de enlace
Puerta de enlace predeterminada 201.1.1.254
predeterminada 195.1.1.254
Zona Trust, ethernet1 Oficina A Oficina B Zona Trust, ethernet1
10.1.1.1/24 Zona Trust Zona Untrust 10.1.1.1/24
NOTA: Para poder utilizar una línea punto a punto, cada ISP debe establecer una ruta para
el tráfico destinado al sitio que se encuentra en el extremo de esa línea. Los ISP
desviarán a Internet cualquier otro tráfico que reciban de un dispositivo de
seguridad local.
WebUI (Sucursal A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 211.10.1.1 ~ 211.10.1.1
Port Translation: (seleccione)
Extended IP/Netmask: 211.10.1.10/255.255.255.0
2. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: HQ
IP Address/Domain Name:
IP/Netmask: (seleccione), 200.1.1.1/32
Zone: Untrust
3. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), HQ
Service: ANY
Action: Permit
Position at Top: (seleccione)
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): 5 (211.10.1.1-211.10.1.1)/X-late
WebUI (Sucursal B)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 211.20.1.1 ~ 211.20.1.1
Port Translation: (seleccione)
Extended IP/Netmask: 211.20.1.10/255.255.255.0
2. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: HQ
IP Address/Domain Name:
IP/Netmask: (seleccione), 200.1.1.1/32
Zone: Untrust
3. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), HQ
Service: ANY
Action: Permit
Position at Top: (seleccione)
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
DIP On: (seleccione), 5 (211.20.1.1-211.20.1.1)/X-late
CLI (Sucursal A)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 195.1.1.1/24
set interface ethernet3 route
set interface ethernet3 ext ip 211.10.1.10 255.255.255.0 dip 5 211.10.1.1
2. Dirección
set address untrust hq 200.1.1.1/32
3. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 195.1.1.254
4. Directivas
set policy from trust to untrust any any any permit
set policy top from trust to untrust any hq any nat src dip 5 permit
save
CLI (Sucursal B)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 201.1.1.1/24
set interface ethernet3 route
set interface ethernet3 ext ip 211.20.1.10 255.255.255.0 dip 5 211.20.1.1
2. Dirección
set address untrust hq 200.1.1.1/32
3. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 201.1.1.254
4. Directivas
set policy from trust to untrust any any any permit
set policy top from trust to untrust any hq any nat src dip 5 permit
save
NOTA: Para obtener más información sobre interfaces loopback, consulte “Interfaces de
bucle invertido (loopback)” en la página 60.
Host A Host B
IP de origen IP de destino 10.1.1.6 IP de origen IP de destino
DATOS 10.1.1.5 DATOS
10.1.1.5 2.2.2.2 10.1.1.6 2.2.2.2
Asociará estas interfaces a la zona Untrust y después les asignará las direcciones IP
indicadas anteriormente. También asociará ethernet1 a la zona Trust y le asignará la
dirección IP 10.1.1.1/24.
Definirá rutas a dos puertas de enlace para que el tráfico saliente las utilice. Dado
que no tiene ninguna preferencia por una ruta u otra, no incluirá ninguna métrica
en ninguna de ellas. El tráfico saliente podrá seguir cualquiera de las dos rutas.
NOTA: Para indicar una ruta preferente, incluya métricas en ambas rutas y asigne a su
ruta preferida una métrica más alta, es decir, un valor más cercano a 1.
Por último, creará una directiva que aplicará la traducción de direcciones de red de
origen (NAT-src) al tráfico saliente hacia la oficina remota. La directiva hará
referencia al conjunto de DIP con la identificación 10.
r-office
2.2.2.2
IP de origen IP de destino DATOS
1.3.3.2 2.2.2.2
WebUI
1. Interfaces
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
ID: 5
IP Address Range: 1.3.3.2 ~ 1.3.3.2
Port Translation: (seleccione)
3. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
4. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), r-office
Service: ANY
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
DIP On: (seleccione), 10 (1.3.3.2-1.3.3.2)/port-xlate
CLI
1. Interfaces
set interface loopback.1 zone untrust
set interface loopback.1 ip 1.3.3.1/30
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
set interface ethernet2 loopback-group loopback.1
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.2.2.1/24
set interface ethernet3 loopback-group loopback.1
2. Conjunto de DIP
set interface loopback.1 dip 10 1.3.3.2 1.3.3.2
3. Dirección
set address untrust r-office 2.2.2.2/32
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet2 gateway 1.1.1.250
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.2.2.250
5. Directiva
set policy from trust to untrust any r-office any nat src dip-id 10 permit
save
Zona Untrust
VSD VSD de
maestro 0 Dispositivo ATX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK
respaldo 1
Clúster NSRP Grupo VSD: 0 Grupo VSD: 1
VSD de VSD
respaldo 0 Dispositivo BTX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK
maestro 1
Para solucionar este problema, cree dos conjuntos de DIP (uno en la VSI de la zona
Untrust por cada grupo VSD) y combine ambos conjuntos de DIP en un grupo de
DIP, al que luego hará referencia en la directiva. Cada VSI utiliza su propio conjunto
de VSD aunque en la directiva se especifique el grupo de DIP.
Zona Untrust
Conjunto de DIP con ID 8 ID de conjunto de DIP
1.1.1.151 – 210.1.1.200 1.1.1.101 – 1.1.1.150
ethernet3 ethernet3:1
VSI de la zona Untrust 1.1.1.1/24 1.1.1.2/24
Grupo de DIP 9
VSD VSD de
Dispositivo A respaldo 1
maestro 0
TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK
VSD de VSD
respaldo 0 Dispositivo B TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK TX/RX LINK
maestro 1
WebUI
1. Conjuntos de DIP
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: 1.1.1.20 – 1.1.1.29
Port Translation: (seleccione)
Network > Interfaces > Edit (para ethernet3:1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 6
IP Address Range: 1.1.1.30 – 1.1.1.39
Port Translation: (seleccione)
NOTA: En el momento de publicar esta versión, con CLI solamente se puede definir un
grupo de DIP.
2. Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
DIP On: (seleccione), 7
CLI
1. Conjuntos de DIP
set interface ethernet3 dip 5 1.1.1.20 1.1.1.29
set interface ethernet3:1 dip 6 1.1.1.30 1.1.1.39
2. Grupos de DIP
set dip group 7 member 5
set dip group 7 member 6
3. Directivas
set policy from trust to untrust any any any nat src dip-id 7 permit
save
Para definir una programación, introduzca los valores de los parámetros siguientes:
Recurring: Habilite esta opción cuando desee que el programa se repita con
una periodicidad semanal.
Start and End Times: Debe configurar tanto la hora de comienzo como de fin.
Puede especificar hasta dos periodos de un mismo día.
En este ejemplo hay un empleado a tiempo parcial llamado Tom que utiliza el
acceso a Internet de la empresa para asuntos personales después del trabajo. Usted
creará una programación para el horario no comercial que asociará a una directiva
para denegar el tráfico TCP/IP saliente generado por el equipo de ese trabajador
(10.1.1.5/32) fuera del horario de oficina normal.
WebUI
1. Programación
Objects > Schedules > New: Introduzca los siguientes datos y haga clic en OK:
Periodo 2:
2. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Name: No Net
Source Address:
Address Book Entry: (seleccione), Tom
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Action: Deny
Schedule: After Hours
CLI
1. Programación
set schedule “after hours” recurrent sunday start 00:00 stop 23:59
set schedule “after hours” recurrent monday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule “after hours” recurrent tuesday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule “after hours” recurrent wednesday start 00:00 stop 06:00 start
17:00 stop 23:59
set schedule “after hours” recurrent thursday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule “after hours” recurrent friday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule “after hours” recurrent saturday start 00:00 stop 23:59 comment
“for non-business hours”
2. Dirección
set address trust tom 10.1.1.5/32 “temp”
3. Directiva
set policy from trust to untrust tom any http deny schedule “after hours”
save
163
Manual de referencia de ScreenOS: conceptos y ejemplos
Elementos básicos
Una directiva permite, deniega o canaliza por un túnel los tipos de tráfico
especificados de forma unidireccional entre dos puntos. El tipo de tráfico (o
“servicio”), la ubicación de los dos puntos finales y la acción invocada componen
los elementos básicos de una directiva. Aunque puede haber otros componentes,
los elementos requeridos, que juntos constituyen el núcleo de una directiva, son los
siguientes:
Sentido: La dirección del tráfico entre dos zonas de seguridad (desde una zona
de origen a una zona de destino)
Directivas interzonales
Las directivas interzonales permiten controlar el tráfico entre zonas de seguridad.
Puede establecer directivas interzonales para denegar, permitir, rechazar o
encapsular el tráfico desde una zona a otra. Aplicando técnicas de inspección de
estado, un dispositivo de seguridad mantiene una tabla de sesiones TCP activas y
de “pseudosesiones” UDP activas para poder permitir respuestas a las peticiones de
servicio. Por ejemplo, si tiene una directiva que permite enviar peticiones HTTP del
host A de la zona Trust al servidor B de la zona Untrust, cuando el dispositivo de
seguridad recibe respuestas HTTP del servidor B para el host A, el dispositivo de
seguridad comprueba el paquete recibido con el contenido de su tabla. Si detecta
que el paquete es una respuesta a una petición HTTP aprobada, el dispositivo de
seguridad permite al paquete del servidor B de la zona Untrust cruzar el cortafuegos
hacia host A en la zona Trust. Para permitir el tráfico iniciado por el servidor B hacia
el host A (no sólo respuestas al tráfico iniciado por el host A), debe crear una
segunda directiva del servidor B en la zona Untrust al host A en la zona Trust.
Nota: El dispositivo de seguridad deniega la petición HTTP del servidor B porque no hay ninguna directiva que lo permita.
Directivas intrazonales
Las directivas intrazonales permiten controlar el tráfico entre interfaces asociadas a
la misma zona de seguridad. Las direcciones de origen y de destino se encuentran
en la misma zona de seguridad, pero se llega a ellas a través de diferentes interfaces
del dispositivo de seguridad. Igual que las directivas interzonales, las directivas
intrazonales controlan el tráfico que fluye unidireccionalmente. Para permitir el
tráfico iniciado en cualquier extremo de una ruta de datos, debe crear dos
directivas, una para cada sentido.
set policy from trust to trust “host A” “servidor B” any permit ethernet1 ethernet4
set policy from trust to trust “servidor B” “host A” any permit 10.1.1.1/24 10.1.2.1/24
Conmutadores de capa 2
Host A Servidor B
10.1.1.5 LAN 1 LAN
10.1.1.0/24 10.1.2.0/24 10.1.2.30
Zona Trust
Directivas globales
A diferencia de las directivas interzonales e intrazonales, las directivas globales no
hacen referencia a zonas de origen y de destino específicas. Las directivas globales
hacen referencia a direcciones de la zona Global definidas por el usuario o a la
dirección “any” de la zona predefinida Global. Estas direcciones pueden pasar por
varias zonas de seguridad. Por ejemplo, si desea proporcionar acceso hacia o desde
varias zonas, puede crear una directiva global con la dirección “any” de la zona
Global, que abarca todas las direcciones de todas las zonas.
Directivas interzonales
Directivas intrazonales
Directivas globales
(o bien)
(o bien)
Definición de directivas
Un cortafuegos representa el límite de una red con un solo punto de entrada y de
salida. Como todo el tráfico debe pasar a través de este punto, puede supervisarlo y
dirigirlo implementando listas de conjuntos de directivas (para directivas
interzonales, directivas intrazonales y directivas globales).
NOTA: Para los dispositivos de seguridad que admiten sistemas virtuales, las directivas
establecidas en el sistema raíz no afectan a las directivas establecidas en sistemas
virtuales.
Directivas y reglas
Una sola directiva definida por el usuario produce internamente una o más reglas
lógicas, y cada regla lógica consta de un conjunto de componentes: la dirección de
origen, la dirección de destino y el servicio. Los componentes consumen recursos
de memoria; las reglas lógicas que se refieren a los componentes no.
Estos 15 componentes se combinan de varias maneras para producir las 125 reglas
lógicas generadas por la directiva única. Permitiendo que múltiples reglas lógicas
utilicen el mismo conjunto de componentes en diferentes combinaciones, el
dispositivo de seguridad consume muchos menos recursos que si cada regla lógica
tuviera una relación “uno a uno” con sus componentes.
Servicios
Aplicación
Nombre
Encapsulamiento VPN
Encapsulamiento L2TP
Deep Inspection
Autenticación de usuarios
Respaldo HA de la sesión
Filtrado de Web
Registro
Recuento
Tareas programadas
Análisis antivirus
Asignación de tráfico
ID
Cada directiva tiene un número de identificación, tanto si el usuario define uno
como si el dispositivo de seguridad lo asigna automáticamente. Solamente se puede
definir un número de identificación para una directiva ejecutando el comando “set
policy” de CLI: set policy id number … Una vez conocido el número de
identificación, puede entrar en el contexto de la directiva para ejecutar otros
comandos con el fin de modificarla. (Para obtener más información sobre
contextos de directivas, consulte “Entrar al contexto de una directiva” en la
página 190).
Zonas
Una zona puede ser un segmento del espacio de red al que se aplican medidas de
seguridad (zona de seguridad), un segmento lógico que tiene asociada una interfaz
de túnel VPN (zona de túnel), o una entidad física o lógica que realiza una función
específica (zona de función). Una directiva permite que el tráfico fluya entre dos
zonas de seguridad (directiva interzonales) o entre dos interfaces asociadas a la
misma zona (directiva intrazonal). (Para obtener más información, consulte
“Zonas” en la página 25, “Directivas interzonales” en la página 165 y “Directivas
intrazonales” en la página 165).
Direcciones
Las direcciones son objetos que identifican dispositivos de red tales como hosts y
redes por su ubicación respecto al cortafuegos (en una de las zonas de seguridad).
Los hosts individuales se especifican utilizando la máscara 255.255.255.255, que
indica que los 32 bits de la dirección son significativos. Las redes se especifican
utilizando su máscara de subred para indicar qué bits son significativos. Para crear
una directiva para direcciones específicas, primero debe crear entradas para los
hosts y redes correspondientes en la libreta de direcciones.
También puede crear grupos de direcciones y aplicarles directivas como haría con
otras entradas en la libreta de direcciones. Cuando utilice grupos de direcciones
como elementos de directivas, tenga presente que, debido a que el dispositivo de
seguridad aplica la directiva a cada dirección en el grupo, el número disponibles de
reglas lógicas internas y de componentes que componen esas reglas se puede
agotar más rápidamente de lo esperado. Esto supone un peligro, especialmente
cuando se utilizan grupos de direcciones tanto para el origen como para el destino.
(Para obtener más información, consulte “Directivas y reglas” en la página 168).
Servicios
Los servicios son objetos que identifican los protocolos de aplicación usando
información de la capa 4, como los números de puerto TCP y UDP estándar y
universalmente aceptados para los servicios de aplicaciones como Telnet, FTP,
SMTP y HTTP. ScreenOS incluye servicios básicos de Internet predefinidos. También
se pueden definir servicios personalizados.
Acción
Una acción es un objeto que describe el tratamiento que el cortafuegos debe dar al
tráfico que recibe.
NOTA: Para L2TP sobre IPSec, las direcciones de origen y de destino del túnel VPN IPSec
deben ser iguales que las del túnel L2TP.
Aplicación
La opción de la aplicación especifica la aplicación de la capa 7 que apunta al
servicio de capa 4 al que se hace referencia en una directiva. Los servicios
predefinidos ya disponen de una asignación a una aplicación de capa 7. Sin
embargo, para los servicios personalizados es necesario vincular explícitamente el
servicio a una aplicación, especialmente si se desea que la directiva aplique una
puerta de enlace de la capa de aplicación (ALG) o Deep Inspection al servicio
personalizado.
NOTA: ScreenOS admite ALG para numerosos servicios, a saber: DNS, FTP, H.323, HTTP,
RSH, SIP, Telnet y TFTP.
Para obtener más información sobre cómo aplicar Deep Inspection a un servicio
personalizado, consulte “Asignar servicios personalizados a aplicaciones” en la
página 4-142.
Nombre
Puede dar a una directiva un nombre descriptivo para permitir identificar
fácilmente su finalidad.
Encapsulamiento VPN
Puede aplicar una sola o varias directivas a cualquier túnel VPN que tenga
configurado. En WebUI, la opción “VPN Tunnel” abre una lista desplegable de todos
esos túneles. En CLI puede consultar todos los túneles disponibles ejecutando el
comando get vpn. (Para obtener más información, consulte “Redes privadas
virtuales de punto a punto” en la página 5-81 y “Redes privadas virtuales de acceso
telefónico” en la página 5-159).
Cuando las configuraciones VPN de ambos extremos de un túnel VPN utilizan NAT
basada en directivas, los administradores de ambos dispositivos de puerta de
enlace necesitan crear una directiva de tráfico saliente y otra de tráfico entrante
(cuatro directivas en total). Cuando las directivas de VPN constituyen un par
coincidente (es decir, las configuraciones de las directivas de tráfico entrante y de
tráfico saliente son iguales, salvo que las direcciones de origen y de destino están
invertidas), puede configurar una directiva y seleccionar la casilla de verificación
Modify matching bidirectional VPN policy para crear automáticamente una
segunda directiva para el sentido opuesto. Para la configuración de una nueva
directiva, la casilla de verificación “Matching VPN Policy” está desactivada de forma
NOTA: Esta opción solamente está disponible a través de WebUI. No puede haber
múltiples entradas para ninguno de los siguientes componentes de directiva:
dirección de origen, dirección de destino o servicio.
Encapsulamiento L2TP
Puede aplicar una sola directiva o varias a cualquier túnel del protocolo de
encapsulamiento de capa 2 (L2TP) que haya configurado. En WebUI, la opción de
L2TP proporciona una lista desplegable de todos esos túneles. En la interfaz CLI,
puede visualizar el estado de los túneles L2TP activos mediante el comando get
l2tp tunn_str active y ver todos los túneles disponibles mediante el comando get
l2tp all. También puede combinar un túnel VPN con un túnel L2TP (si ambos tienen
el mismo punto final) para crear un túnel que combine las características de cada
uno. Esto se llama “L2TP-over-IPSec” (L2TP sobre IPSec).
Deep Inspection
Deep Inspection (DI) es un mecanismo para filtrar el tráfico permitido en las capas
Network y Transport, al examinar no solamente estas capas, sino las características
de contenido y protocolo en la capa de aplicación. El objetivo de DI es detectar y
prevenir cualquier ataque o comportamiento anómalo que pudiera existir en el
tráfico permitido por el cortafuegos de Juniper Networks.
Para configurar una directiva para la protección frente a ataques, debe elegir dos
opciones: qué grupo (o grupos) de ataque utilizar y qué acción tomar si se detecta
un ataque. (Para obtener más información, consulte “Deep Inspection” en la
página 4-105).
Autenticación de usuarios
Seleccionar esta opción requiere que el usuario de autenticación en la dirección de
origen autentique su identidad proporcionando un nombre de usuario y la
contraseña antes de permitir al tráfico atravesar el cortafuegos o introducirse en el
túnel VPN. El dispositivo de seguridad puede utilizar la base de datos local o un
servidor externo de autenticación RADIUS, SecurID o LDAP para realizar la
comprobación de la autenticación.
NOTA: Si una directiva que requiere autenticación puede aplicarse a una subred de
direcciones IP, se requerirá autenticación para cada dirección IP de esa subred.
Para la petición de conexión inicial, la directiva debe incluir uno o todos los
servicios siguientes: Telnet, HTTP o FTP. Sólo una directiva con uno o todos estos
servicios puede iniciar el proceso de autenticación. En una directiva que implique
autenticación de usuario se puede utilizar cualquiera de los siguientes servicios:
Un grupo de servicios que incluye el servicio o los servicios que desea, más
como mínimo uno de los tres servicios requeridos para iniciar el proceso de
autenticación (Telnet, FTP o HTTP). Por ejemplo, puede crear un grupo de
servicios personalizado llamado “Login” que proporcione los servicios FTP,
NetMeeting y H.323. Luego, cuando cree la directiva, especifique “Login” como
el servicio.
Para cualquier conexión que sigue a una autenticación correcta, todos los servicios
especificados en la directiva son válidos.
NOTA: Una directiva con la autenticación habilitada no admite DNS (puerto 53) como
servicio.
NOTA: Para obtener más información sobre estos dos métodos de autenticación de
usuarios, consulte “Referencias a usuarios autenticados en directivas” en la
página 9-40.
NOTA: ScreenOS vincula los privilegios de autenticación a la dirección IP del host desde
el que se conecta el usuario de autenticación. Si el dispositivo de seguridad
autentica a un usuario de un host situado detrás de un dispositivo NAT que utilice
una sola dirección IP para todas las asignaciones NAT, los usuarios de otros hosts
situados detrás de ese dispositivo NAT recibirán automáticamente los mismos
privilegios.
Respaldo HA de la sesión
Cuando dos dispositivos de seguridad se encuentran en un clúster NSRP para alta
disponibilidad (HA), puede especificar qué sesiones respaldar y cuáles no. Para el
tráfico cuyas sesiones no desee respaldar, aplique una directiva con la opción HA
session backup desactivada. En WebUI, desactive la casilla de verificación HA
Session Backup. En CLI, utilice el argumento no-session-backup en el comando
set policy. De forma predeterminada, los dispositivos de seguridad de un clúster
NSRP respaldan las sesiones.
Filtrado de Web
El filtrado de Web, denominado también “filtrado de URL”, permite administrar los
accesos a Internet e impedir el acceso a contenidos no apropiados. Para obtener
más información, consulte “Filtrado de Web” en la página 4-88.
Registro
Cuando se habilita el registro en una directiva, el dispositivo de seguridad registra
todas las conexiones a las que esa directiva en particular sea aplicable. Los registros
se pueden visualizar con WebUI o CLI. En la WebUI, haga clic en Reports > Policies
> Logging (para la directiva cuyo registro desee consultar). En CLI, utilice el
comando get log traffic policy id_num.
NOTA: Para obtener más información sobre cómo visualizar registros y gráficos, consulte
“Supervisar dispositivos de seguridad” en la página 3-53.
Recuento
Cuando se habilita el recuento en una directiva, el dispositivo de seguridad cuenta
el número total de bytes de tráfico para los que esa directiva es aplicable y registra
la información en gráficos de historial. Para visualizar los gráficos de historial de
una directiva en la WebUI, haga clic en Reports > Policies > Counting (para la
directiva cuyo recuento de tráfico desea consultar).
NOTA: Para obtener más información sobre alarmas de tráfico, consulte “Alarmas de
tráfico” en la página 3-64.
Tareas programadas
Asociando una programación a una directiva, se puede determinar cuándo debe
activarse esa directiva. Puede configurar programaciones repetitivas o como evento
único. Las programaciones proporcionan una potente herramienta para controlar el
flujo de tráfico de la red e implementar seguridad en ésta. Como ejemplo de esto
último, si le preocupa que algunos empleados puedan transmitir datos importantes
fuera de la empresa, puede establecer una directiva que bloquee los tipos de tráfico
saliente FTP-Put y MAIL después del horario de oficina normal.
NOTA: En WebUI, las directivas programadas aparecen con un fondo gris para indicar que
la hora actual no está dentro de la programación definida. Cuando una directiva
programada se activa, aparece con un fondo blanco.
Análisis antivirus
Algunos dispositivos de Juniper Networks admiten un analizador antivirus interno
que se puede configurar para filtrar tráfico FTP, HTTP, IMAP, POP3 y SMTP. Si el
analizador AV incorporado detecta un virus, descarta el paquete y envía un mensaje
al cliente que inició el tráfico para informarle sobre dicho virus.
NOTA: Para obtener más información sobre el análisis antivirus, consulte “Análisis
antivirus” en la página 2-177.
Asignación de tráfico
Puede establecer los parámetros de control y asignación del tráfico para cada
directiva. Los parámetros de asignación de tráfico son:
NOTA: Se aconseja no utilizar tasas inferiores a 10 kbps. Las tasas inferiores a este umbral
conducen al descarte de paquetes y a un número excesivo de reintentos que
contravienen el objetivo de la administración del tráfico.
Traffic Priority: Cuando el ancho de banda del tráfico se encuentra entre los
ajustes garantizado y máximo, el dispositivo de seguridad permite pasar
primero el tráfico de mayor prioridad, y el tráfico de menor prioridad sólo
cuando no hay otro tráfico de prioridad superior. Existen ocho niveles de
prioridad.
NOTA: Para averiguar más sobre la administración y asignación del tráfico, consulte
“Asignar tráfico” en la página 197.
Directivas aplicadas
Esta sección describe la administración de directivas: visualización, creación,
modificación, ordenación y reordenación y eliminación de directivas.
Visualizar directivas
Para visualizar las directivas a través de WebUI, haga clic en Policies. Puede
clasificar las directivas mostradas por zonas de origen y de destino, eligiendo
nombres de zonas en las listas desplegables From y To, y haciendo clic en Go. En
CLI, utilice el comando get policy [ all | from zone to zone | global | id number ].
Crear directivas
Para permitir el flujo de tráfico entre dos zonas, debe crear directivas para permitir,
denegar, rechazar o tunelizar el tráfico entre esas zonas. También puede crear
directivas para controlar el tráfico dentro de la misma zona si el dispositivo de
seguridad es el único dispositivo de red capaz de enrutar el tráfico intrazonal entre
las direcciones de origen y de destino referidas en la directiva. También puede crear
directivas globales que utilizan direcciones de origen y de destino en la libreta de
direcciones de la zona Global.
Para permitir tráfico bidireccional entre dos zonas (por ejemplo, entre la zona Trust
y la zona Untrust) se necesita crear una directiva para el tráfico de Trust a Untrust y
otra para el tráfico de Untrust a Trust. Dependiendo de sus necesidades, las
directivas pueden utilizar la misma dirección IP o bien direcciones diferentes,
invirtiendo las direcciones de origen y destino.
Se pueden definir directivas entre cualesquiera zonas situadas dentro del mismo
sistema, ya sea raíz o virtual. Para definir una directiva entre el sistema raíz y un
sistema virtual (vsys), una de las zonas debe ser compartida. (Para obtener más
información sobre zonas compartidas en lo referente a sistemas virtuales, consulte
el Volumen 10: Sistemas virtuales.)
Una vez completados los pasos 1 a 4, podrá crear las directivas necesarias para
permitir la transmisión, recuperación y entrega de correo electrónico dentro y fuera
de su red protegida.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
4. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp_net
Destination Address:
Address Book Entry: (seleccione), mail_svr
Service: Mail-POP3
Action: Permit
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), mail_svr
Destination Address:
Address Book Entry: (seleccione), r-mail_svr
Service: MAIL
Action: Permit
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), r-mail_svr
Destination Address:
Address Book Entry: (seleccione), mail_svr
Service: MAIL
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet2 zone dmz
set interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust corp_net 10.1.1.0/24
set address dmz mail_svr 1.2.2.5/32
set address untrust r-mail_svr 2.2.2.5/32
3. Grupo de servicios
set group service MAIL-POP3
set group service MAIL-POP3 add mail
set group service MAIL-POP3 add pop3
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
5. Directivas
set policy from trust to dmz corp_net mail_svr MAIL-POP3 permit
set policy from dmz to untrust mail_svr r-mail_svr MAIL permit
set policy from untrust to dmz r-mail_svr mail_svr MAIL permit
save
También tiene una zona DMZ para sus servidores de web y correo electrónico.
“Eng” puede utilizar todos los servicios de tráfico saliente salvo FTP-Put, IMAP,
MAIL y POP3.
Cada usuario de la zona Trust puede acceder a los servidores de web y correo
electrónico en la zona DMZ.
Zona Untrust
Internet
www.abc.com
mail.abc.com
Enrutador externo
Dispositivo de seguridad
Enrutador interno
Zona DMZ
Zona Trust
WebUI
1. De Trust a Untrust
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Eng
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Office
Destination Address:
Address Book Entry: (seleccione), Any
Service: Internet
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Authentication: (seleccione)
WebAuth: (seleccione)
NOTA: “Internet” es un grupo de servicios con los siguientes miembros: FTP-Get, HTTP y
HTTPS.
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: Com
Action: Reject
Position at Top: (seleccione)
NOTA: “Com” es un grupo de servicios con los siguientes miembros: FTP-Put, MAIL,
IMAP y POP3.
2. De Untrust a DMZ
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), mail.abc.com
Service: MAIL
Action: Permit
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), www.abc.com
Service: Web
Action: Permit
NOTA: “Web” es un grupo de servicios con los siguientes miembros: HTTP y HTTPS.
3. De Trust a DMZ
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), mail.abc.com
Service: correo electrónico
Action: Permit
NOTA: “e-mail” es un grupo de servicios con los siguientes miembros: MAIL, IMAP y
POP3.
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), www.abc.com
Service: Internet
Action: Permit
Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), sys-admins
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
4. De DMZ a Untrust
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), mail.abc.com
Destination Address:
Address Book Entry: (seleccione), Any
Service: MAIL
Action: Permit
CLI
1. De Trust a Untrust
set policy from trust to untrust eng any any permit
set policy from trust to untrust office any Internet permit webauth
set policy top from trust to untrust any any Com reject
NOTA: “Internet” es un grupo de servicios con los siguientes miembros: FTP-Get, HTTP y
HTTPS.
2. De Untrust a DMZ
set policy from untrust to dmz any mail.abc.com mail permit
set policy from untrust to dmz any www.abc.com Web permit
NOTA: “Web” es un grupo de servicios con los siguientes miembros: HTTP y HTTPS.
3. De Trust a DMZ
set policy from trust to dmz any mail.abc.com e-mail permit
set policy from trust to dmz any www.abc.com Internet permit
set policy from trust to dmz sys-admins any any permit
NOTA: “e-mail” es un grupo de servicios con los siguientes miembros: MAIL, IMAP y
POP3.
4. De DMZ a Untrust
set policy from dmz to untrust mail.abc.com any mail permit
save
WebUI
1. Zona Trust: Interfaces y bloqueo
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Zones > Edit (para Trust): Introduzca los siguientes datos y haga
clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione), accounting
Destination Address:
Address Book Entry: (seleccione), Hamilton
Service: ANY
Action: Permit
CLI
1. Zona Trust: Interfaces y bloqueo
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
NOTA: Para utilizar un nombre de dominio en lugar de una dirección IP, asegúrese de
tener configurado el servicio DNS en el dispositivo de seguridad.
WebUI
1. Dirección global
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), server1
Service: HTTP
Action: Permit
CLI
1. Dirección global
set address global server1 www.juniper.net
2. Directiva
set policy global any server1 http permit
save
set policy id 1 from trust to untrust host1 server1 HTTP permit attack
HIGH:HTTP:SIGS action close
set policy id 1
ns(policy:1)-> set src-address host2
ns(policy:1)-> set dst-address server2
ns(policy:1)-> set service FTP
ns(policy:1)-> set attack CRITICAL:HTTP:SIGS
Dirección de origen
Dirección de destino
Servicio
Grupo de ataques
WebUI
Para agregar más direcciones y servicios, haga clic en el botón Multiple
contiguo al componente al cual desea agregar más elementos. Para agregar
más grupos de ataque, haga clic en el botón Attack Protection. Seleccione un
elemento en la columna “Available Members” y utilice la tecla << para
moverlo a la columna “Active Members”. Puede repetir esta acción con otros
elementos. Cuando haya terminado, haga clic en OK para regresar a la página
de configuración de directivas.
CLI
Entre al contexto de la directiva con el comando siguiente:
En este ejemplo creará una directiva intrazonal que permitirá a todas las
direcciones de la zona Trust acceder a todos los servidores FTP salvo a un
determinado servidor FTP llamado “vulcan”, que los miembros del departamento
de ingeniería utilizan para intercambiar especificaciones funcionales entre sí.
Sin embargo, antes de crear la directiva deberá diseñar el entorno en el cual desea
aplicarlo. Primero habilitará el bloqueo intrazonal para la zona Trust. El bloqueo
intrazonal requiere efectuar una consulta de directivas antes de que el dispositivo
de seguridad pueda pasar tráfico entre dos interfaces asociadas a la misma zona.
En segundo lugar, asociará dos interfaces a la zona Trust y les asignará direcciones
IP:
En tercer lugar, creará una dirección (10.1.2.5/32) para el servidor FTP llamado
“vulcan” en la zona Trust.
Después de completar estos dos pasos, podrá crear las directivas intrazonales.
NOTA: No es necesario crear una directiva para que el departamento de ingeniería pueda
alcanzar su servidor FTP, ya que los ingenieros también se encuentran en la
subred 10.1.2.0/24 y no necesitan traspasar el cortafuegos de Juniper Networks
para alcanzar su propio servidor.
ethernet1 ethernet4
10.1.1.1/24 10.1.2.1/24
Conmutadores internos
10.1.1.0/24 10.1.2.0/24
(Resto de la (Ingeniería)
empresa)
Zona Trust
Bloqueo intrazonal habilitado Servidor FTP
“vulcan”
10.1.2.5
WebUI
1. Bloqueo intrazonal
Network > Zones > Edit (para Trust): Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en Apply:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), vulcan
Service: FTP
Action: Permit
CLI
1. Bloqueo intrazonal
set zone trust block
2. Interfaces de la zona Trust
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet4 zone trust
set interface ethernet4 ip 10.1.2.1/24
set interface ethernet1 nat
3. Dirección
set address trust vulcan 10.1.2.5/32
4. Directiva
set policy from trust to trust any !vulcan ftp permit
save
WebUI
Policies: Desactive la casilla de verificación Enable de la columna “Configure”
para la directiva que desee desactivar.
CLI
set policy id id_num disable
save
Verificar directivas
ScreenOS ofrece una herramienta para verificar si el orden de las directivas dentro
de la lista de directivas es válido. Una directiva puede eclipsar (“ocultar”), otra
directiva. Considere el ejemplo siguiente:
Para corregir el ejemplo antedicho, basta con invertir el orden de las directivas,
poniendo la más específica en primer lugar:
Por supuesto, este ejemplo tan simple sólo pretende ilustrar el concepto básico. En
casos donde hay docenas o incluso centenares de directivas, la detección de
directivas eclipsadas por otras directivas puede no resultar tan sencilla. Para
comprobar si hay alguna directiva oculta en su lista de directivas, ejecute el
comando CLI siguiente:
Reordenar directivas
El dispositivo de seguridad compara las directivas para ver todos los intentos de
atravesar el cortafuegos, comenzando por la primera directiva que aparece en el
conjunto de directivas de la lista correspondiente (consulte “Listas de conjuntos de
directivas” en la página 167) y avanzando en la lista. Debido a que el dispositivo de
seguridad aplica la acción especificada en la directiva a la primera directiva que
coincide en la lista, es necesario reordenar las directivas desde la más específica a
la más general. (Aunque una directiva específica no impide la aplicación de una
directiva más general situada más abajo en la lista, una directiva general situada
más arriba en la lista que una específica sí lo impide).
Para mover una directiva a otra posición dentro de la lista, ejecute cualquiera de los
siguientes procedimientos:
WebUI
Hay dos maneras de reordenar directivas en WebUI: haciendo clic en las flechas
circulares o haciendo clic en la flecha única de la columna “Configure”
correspondiente a la directiva que desee mover.
CLI
set policy move id_num { before | after } number
save
Internet
Enrutador Enrutador
Sales: 5 Mbps de entrada,
10 Mbps de salida
DMZ para
servidores Zona DMZ
Soporte: 5 Mbps de entrada,
5 Mbps de salida
WebUI
1. Ancho de banda en interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
CLI
Para habilitar la asignación de tráfico por cada directiva, haga lo siguiente:
Tráfico
Tráfico saliente Tráfico entrante combinado
garantizado garantizado garantizado Prioridad
Support 5 5 10 Alta
Sales 2.5 3.5 6 2
Marketing 2.5 1.5 4 3
Total 10 10 20
Internet
Enrutador Enrutador
Sales: 2,5 Mbps de salida, 3,5 Mbps
de entrada, prioridad 2
DMZ para
servidores Zona DMZ
Marketing: 2,5 Mbps de salida, 1,5 Mbps de entrada,
prioridad 3
WebUI
1. Ancho de banda en interfaces
Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic
en OK:
Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic
en OK:
Name: Sup-out
Source Address:
Address Book Entry: (seleccione), Support
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 40000
Traffic Priority: High priority
DiffServ Codepoint Marking: (seleccione)
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: Sal-out
Source Address:
Address Book Entry: (seleccione), Sales
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 2500
Maximum Bandwidth: 40000
Traffic Priority: 2nd priority
DiffServ Codepoint Marking: Enable
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: Mar-out
Source Address:
Address Book Entry: (seleccione), Marketing
Destination Address:
Address Book Entry: (seleccione), Any
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 2500
Maximum Bandwidth: 40000
Traffic Priority: 3rd priority
DiffServ Codepoint Marking: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: Sup-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Support
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 5000
Maximum Bandwidth: 40000
Traffic Priority: High priority
DiffServ Codepoint Marking: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: Sal-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Sales
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 3500
Maximum Bandwidth: 40000
Traffic Priority: 2nd priority
DiffServ Codepoint Marking: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: Mar-in
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Marketing
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
CLI
1. Ancho de banda en interfaces
set interface ethernet1 bandwidth 40000
set interface ethernet3 bandwidth 40000
2. Ancho de banda en directivas
set policy name sup-out from trust to untrust support any any permit traffic gbw
5000 priority 0 mbw 40000 dscp enable
set policy name sal-out from trust to untrust sales any any permit traffic gbw 2500
priority 2 mbw 40000 dscp enable
set policy name mar-out from trust to untrust marketing any any permit traffic gbw
2500 priority 3 mbw 40000 dscp enable
set policy name sup-in from untrust to trust any support any permit traffic gbw
5000 priority 0 mbw 40000 dscp enable
set policy name sal-in from untrust to trust any sales any permit traffic gbw 3500
priority 2 mbw 40000 dscp enable
set policy name mar-in from untrust to trust any marketing any permit traffic gbw
1500 priority 3 mbw 40000 dscp enable
save
Directivas de entrada
Las directivas de entrada controlan el tráfico en el lado de entrada del dispositivo de
seguridad. Al restringir el flujo de tráfico en el punto de entrada, el tráfico que
supera el ajuste del ancho de banda se descarta mediante un procesamiento
mínimo, conservando los recursos del sistema. Las directivas de entrada se pueden
configurar en el nivel de la interfaz y en las directivas de seguridad.
Para aplicar las directivas de entrada en una aplicación específica, sin embargo, se
requiere una directiva. El siguiente comando crea una directiva llamada my_ftp que
establece el límite del ancho de banda FTP en el lado de entrada del dispositivo de
seguridad a 10 Mbps:
set policy my_ftp from untrust to trust any any ftp permit traffic pbw 10000
Se descarta el tráfico FTP entrante que supera el ancho de banda de las directivas
configuradas (la palabra clave es pbw). También puede ajustar el mbw en la
directiva, pero el nivel de directiva mbw se aplica únicamente en el lado de entrada
de flujo de tráfico, y el tráfico que supera la tasa configurada también se procesa y
se descarta únicamente en el lado de salida (consulte la Figura 78, “Flujo de
paquetes de asignación de tráfico”, en la página 210). En una directiva se puede
configurar mbw o pbw, pero no las dos.
NOTA: Las directivas de entrada en interfaces de túnel se refuerza después que el motor
VPN desencripta los paquetes encriptados.
Ethernet1
mbw 10000
Cuando se trabaja con interfaces virtuales, hay que tener presentes las siguientes
reglas sobre jerarquías de interfaces:
El ancho de banda que se asignó a las subinterfaces no puede ser mayor que la
capacidad de transmisión de la interfaz física a la que está asociado. En la
Figura 77, por ejemplo, la combinación de gbw de ethernet1.1 y ethernet1.2 es
9000 Kbps, 1000 Kbps por abajo del mbw de ethernet1. Observe que, sin
embargo, el ancho de banda máximo combinado de estas dos subinterfaces
supera la capacidad de transmisión de la interfaz física a la que se asocian por
2000 Kbps. Lo que es aceptable, ya que la palabra clave mbw se utiliza
únicamente para limitar el tráfico a una tasa máxima. Si el tráfico se encuentra
abajo del ajuste máximo en una subinterfaz, dicho ancho de banda está
disponible para cualquier otra subintefaz asociada a la misma interfaz física.
El ancho de banda que se asignó a las interfaces de túnel no puede ser mayor
que el ancho de banda garantizado de la subinterfaz a la que está asociado.
El ancho de banda garantizado total de las interfaces que actúan como “hijas”
no pueden superar el ancho de banda garantizado del “padre”.
set interface ethernet4.1 bandwidth egress gbw 1000 mbw 2000 ingress mbw
2000
set policy my_ftp from untrust to trust any any ftp permit traffic pbw 1000
Observe que este comando utiliza la palabra clave del ancho de banda de las
directivas (pbw). En una directiva se puede utilizar pbw o mbw, pero no las dos. El
beneficio de utilizar pbw es que el tráfico se descarta en el lado de entrada del
dispositivo de seguridad, reduciendo el gasto de procesamiento y conservando los
recursos del sistema. (Consulte Directivas de entrada en la página 206).
En la WebUI, después de crear una directiva, haga clic en el botón Advanced para
configurar los parámetros de asignación de tráfico.
Flujo de paquetes
La Figura 78 ilustra la parte del flujo de paquetes a través del dispositivo de
seguridad que afecta a la asignación del tráfico y las directivas. (Consulte
“Secuencia de flujo de paquetes” en la página 11 para obtener una ilustración
completa del flujo de paquetes). Los paquetes que superan el pbw (o el mbw
configurado en la interfaz) se descartan en el paso 9; la asignación y marcado de
DSCP se lleva a cabo en el paso 10 y los paquetes que superan el mbw (configurado
en una directiva) se descarta en el paso 11.
Paquete
entrante 8 9 10 11
Tabla de sesiones
d 977 vsys id 0, flag 000040/00, Interfaz de entrada La asignación y DSCP Continuar con con todas las interfaces
pid -1, did 0, time 180 marcan el paquete, luego de salida del dispositivo y transmitir los
13 (01) 10.10.10.1/1168 -> o bien
lo colocan en cola en la paquetes situados en la cola
211.68.1.2/80, 6, 002be0c0066b,
Directiva interfaz de salida
subif 0, tun 0
Clientes
Servidor
IP Address/Netmask: 10.1.1.1/24
Zona: Trust
Network > Interfaces > Sub-IF > New: Introduzca los siguientes datos y haga
clic en Apply:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
VPN > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
IP Address/Netmask: 10.2.0.2/24
Zone: Trust
Network > Interfaces > Sub-IF > New: Introduzca los siguientes datos y haga
clic en Apply:
Network > Interfaces > Tunnel IF > New: Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para tunnel.1): Introduzca los siguientes datos y
haga clic en OK:
3. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
4. IKE
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
VPN > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
Service: Any
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Service: Any
Action: Permit
Clientes
Servidor
IP Address/Netmask: 10.1.1.1/24
Zone: Trust
Interface mode: (seleccione) NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 2.1.1.1/24
Zone: Untrust
Interface Mode: (seleccione) Route
2. VPN IKE
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
VPN > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
4. Enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en OK:
Name: 1
Service: FTP
Action: Tunnel
Tunnel VPN: (seleccione), device2_vpn
Modify matching bidirectional VPN policy: (seleccione)
3. Enrutamiento
set route 10.2.1.0/24 interface ethernet2 gateway 2.2.2.2
4. Directivas
set policy from trust to untrust any any ftp tunnel vpn device2_vpn pair-policy 2
traffic pbw 5000
set policy from untrust to trust any any ftp tunnel vpn netscreeen2_vpn pair-policy
1 traffic pbw 5000
5. Directivas basadas en interfaces
set interface ethernet1 bandwidth ingress mbw 20000
IP Address/Netmask: 1.1.1.1/24
Zone: Trust
Interface mode: (seleccione) Route
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 10.2.2.1/24
Zone: Untrust
Interface Mode: (seleccione) NAT
2. VPN IKE
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
VPN > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
Name: 1
Service: FTP
Action: Tunnel
Tunnel VPN: (seleccione), device1_vpn
Modify matching bidirectional VPN policy: (seleccione)
set policy from trust to untrust any any any permit traffic priority 2 dscp enable
set policy from trust to untrust any any any permit traffic priority 2 dscp enable
value 46
Syslog
Correo electrónico
WebTrends
Websense
LDAP
SecurID
RADIUS
NetScreen-Security Manager
Consulta DNS
El dispositivo de seguridad actualiza todas las entradas de su tabla DNS y las
comprueba en un servidor DNS especificado en los momentos siguientes:
Además del método existente de establecer una hora para la actualización diaria y
automática de la tabla DNS, también puede definir un intervalo de tiempo entre 4 y
24 horas.
El dispositivo de seguridad debe realizar una nueva consulta cada día, que se puede
programar para que la realice a una hora determinada:
WebUI
Network > DNS: Introduzca los siguientes datos y haga clic en Apply:
CLI
set dns host schedule time_str
WebUI
Network > DNS > Show DNS Table
CLI
get dns host report
Servidor DNS
secundario 24.1.64.38
Servidor DNS
Zona Trust Zona Untrust principal 24.0.0.3
Internet
WebUI
Network > DNS: Introduzca los siguientes datos y haga clic en Apply:
CLI
set dns host dns1 24.0.0.3
set dns host dns2 24.1.64.38
set dns host schedule 23:00
save
WebUI
Network > DNS: Introduzca los siguientes datos y haga clic en Apply:
CLI
set dns host schedule 00:01:00 interval 4
save
CPE (como un dispositivo de seguridad) que proteja un servidor web. Los clientes
procedentes de Internet pueden acceder el servidor web usando un nombre de
dominio, aunque la dirección IP del enrutador CPE haya cambiado previamente.
Este cambio es posible gracias a un servidor DDNS como dyndns.org o ddo.jp, que
contienen las direcciones cambiadas dinámicamente y sus nombres de dominio
asociados. El CPE actualiza los servidores DDNS con esta información,
periódicamente o en respuesta a cambios de direcciones IP.
Dispositivo de seguridad
(enrutador CPE)
Internet Zona Trust
Servidor DDNS
ethernet7
dyndns.org o ddo.jp
En la Figura 83, la dirección IP de la interfaz ethernet7 puede haber cambiado.
Cuando se produce algún cambio, el cliente todavía puede acceder al servidor web
protegido indicando el nombre de host (www.my_host.com), a través del servidor
de dyndns.org o del servidor de ddo.jp. Cada uno de estos servidores requiere
configuraciones diferentes en el dispositivo de seguridad.
WebUI
Network > DNS > DDNS > New: Introduzca los siguientes datos y haga clic
en OK:
ID: 12
Server Settings
Server Type: dyndns
Server Name: dyndns.org
Refresh Interval: 24
Minimum Update Interval: 15
Account Settings
Username: swordfish
Password: ad93lvb
CLI
set dns ddns
set dns ddns enable
set dns ddns id 12 server dyndns.org server-type dyndns refresh-interval 24
minimum-update-interval 15
set dns ddns id 12 src-interface ethernet7 host-name www.my_host.com
set dns ddns id 12 username swordfish password ad93lvb
save
WebUI
Network > DNS > DDNS > New: Introduzca los siguientes datos y haga clic
en OK:
ID: 25
Server Settings
Server Type: ddo
Server Name: juniper.net
Refresh Interval: 24
Minimum Update Interval: 15
Account Settings
Username: my_host
Password: ad93lvb
Bind to Interface: ethernet7
CLI
set dns ddns
set dns ddns enable
set dns ddns id 25 server ddo.jp server-type ddo refresh-interval 24
minimum-update-interval 15
set dns ddns id 25 src-interface ethernet7
set dns ddns id 25 username my_host password ad93lvb
save
Los comandos siguientes crean dos entradas DNS por proxy que reenvían
selectivamente las consultas DNS a diferentes servidores.
tunnel.1
Servidores DNS
de la empresa
*
acme.com
2.1.1.21
2.1.1.34
acme_eng.com
Por ejemplo, si un host envía una consulta DNS para resolver www.acme.com,
el dispositivo dirige automáticamente la consulta a este servidor. (Se presupone
que el servidor resuelve la consulta devolviendo la dirección IP 3.1.1.2).
Todas las demás consultas DNS (marcadas con un asterisco) evitan a los
servidores corporativos y salen a través de la interfaz ethernet3 al servidor DNS
en la dirección IP 1.1.1.23.
WebUI
1. Network > DNS > Proxy: Introduzca los siguientes datos y haga clic en Apply:
Initialize DNS Proxy: Enable
Enable DNS Proxy: Enable
2. Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic en OK:
Domain Name: acme.com
Outgoing Interface: tunnel.1
Primary DNS Server: 2.1.1.21
3. Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic en OK:
Domain Name: acme_eng.com
Outgoing Interface: tunnel.1
Primary DNS Server: 2.1.1.34
4. Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic en OK:
Domain Name: *
Outgoing Interface: ethernet3
Primary DNS Server: 1.1.1.23
CLI
set dns proxy
set dns proxy enable
set interface ethernet3 proxy dns
set dns server-select domain acme.com outgoing-interface tunnel.1 primary-server
2.1.1.21
set dns server-select domain acme_eng.com outgoing-interface tunnel.1
primary-server 2.1.1.34
set dns server-select domain * outgoing-interface ethernet3 primary-server
1.1.1.23
save
NOTA: Aunque utilice el módulo del servidor DHCP para asignar direcciones a hosts tales
como las estaciones de trabajo de una zona, también puede utilizar direcciones IP
fijas para otros equipos, como servidores de correo y servidores WINS.
NOTA: En los dispositivos que pueden tener varias interfaces asociadas a la zona Trust, la
interfaz predeterminada es la primera interfaz asociada a esa zona a la que se
haya asignado una dirección IP.
El servidor DHCP admite hasta 64 entradas, entre las que se pueden incluir los
rangos de direcciones de IP y direcciones IP a una sola dirección, para las
direcciones IP dinámicas y reservadas.
172.16.10.10 a 172.16.10.19
172.16.10.120 a 172.16.10.129
172.16.10.210 a 172.16.10.219
Direcciones IP fijas
de servidores DNS
172.16.10.240
Zona Trust 172.16.10.241
ethernet1
172.16.10.1/24 (NAT)
Direcciones IP fijas
de servidores SMTP y POP3
IP reservada 172.16.10.25 y 172.16.10.10
172.16.10.112
MAC: ab:cd:12:34:ef:gh
WebUI
1. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
NOTA: Si deja los campos “Gateway” y “Netmask” como 0.0.0.0, el módulo de servidor
DHCP envía la dirección IP y máscara de red establecida para ethernet1 a sus
clientes (172.16.10.1 y 255.255.255.0 en este ejemplo). Sin embargo, si habilita el
módulo de cliente DHCP para que reenvíe ajustes de TCP/IP al módulo del
servidor DHCP (consulte “Propagar ajustes TCP/IP” en la página 243), deberá
introducir manualmente 172.16.10.1 y 255.255.255.0 en los campos “Gateway” y
“Netmask”.
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
WINS#2: 0.0.0.0
DNS#2: 172.16.10.241
DNS#3: 0.0.0.0
SMTP: 172.16.10.25
POP3: 172.16.10.110
NEWS: 0.0.0.0
NetInfo Server # 1: 0.0.0.0
NetInfo Server # 2: 0.0.0.0
NetInfo Tag: (deje el campo vacío)
Domain Name: dynamic.com
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.10.10
IP Address End: 172.16.10.19
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.10.120
IP Address End: 172.16.10.129
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.10.210
IP Address End: 172.16.10.219
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Reserved: (seleccione)
IP Address: 172.16.10.11
Ethernet Address: 1234 abcd 5678
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Reserved: (seleccione)
IP Address: 172.16.10.112
Ethernet Address: abcd 1234 efgh
CLI
1. Direcciones
set address trust dns1 172.16.10.240/32 “primary dns server”
set address trust dns2 172.16.10.241/32 “secondary dns server”
set address trust snmp 172.16.10.25/32 “snmp server”
set address trust pop3 172.16.10.110/32 “pop3 server”
2. Servidor DHCP
set interface ethernet1 dhcp server option domainname dynamic.com
set interface ethernet1 dhcp server option lease 0
set interface ethernet1 dhcp server option dns1 172.16.10.240
set interface ethernet1 dhcp server option dns2 172.16.10.241
set interface ethernet1 dhcp server option smtp 172.16.10.25
set interface ethernet1 dhcp server option pop3 172.16.10.110
NOTA: Si no establece una dirección IP para la puerta de enlace o una máscara de red, el
módulo del servidor DHCP envía a sus clientes la dirección IP y máscara de red
para ethernet1 (172.16.10.1 y 255.255.255.0 en este ejemplo). Sin embargo, si
habilita el módulo de cliente DHCP para reenviar ajustes TCP/IP al módulo del
servidor DHCP (consulte “Propagar ajustes TCP/IP” en la página 243), deberá
establecer manualmente estas opciones: set interface ethernet1 dhcp server
option gateway 172.16.10.1 y set interface ethernet1 dhcp server option
netmask 255.255.255.0.
Los siguientes son servicios DHCP predefinidos, según se describe en RFC 2132,
DHCP Options and BOOTP Vendor Extensions.
Terminología de la CLI de
Terminología ScreenOS Código de opción
Máscara de subred netmask 1
Opción del enrutador gateway 3
Servidor del sistema de dns1, dns2, dns3 6
nombre de dominio (DNS)
Nombre de dominio domainname 15
Opción de NetBIOS a través wins1, wins2 44
de TCP/IP en el servidor de
nombres
Tiempo de arrendamiento de lease 51
la dirección IP
Opción del servidor SMTP smtp 69
Opción del servidor POP3 pop3 70
Opción del servidor NNTP news 71
(N/D) nis1, nis2 112
(N/D) nistag 113
CLI
1. Direcciones
set address trust dns1 172.16.10.240/32 “primary dns server”
set address trust dns2 172.16.10.241/32 “secondary dns server”
2. Servidor DHCP
set interface ethernet1 dhcp server option domainname dynamic.com
set interface ethernet1 dhcp server option lease 0
set interface ethernet1 dhcp server option dns1 172.16.10.240
set interface ethernet1 dhcp server option dns2 172.16.10.241
set interface ethernet1 dhcp server option custom 444 string “Server 4”
set interface ethernet1 dhcp server option custom 66 ip 1.1.1.1
set interface ethernet1 dhcp server option custom 160 integer 2004
set interface ethernet1 dhcp server ip 172.16.10.10 to 172.16.10.19
WebUI
Network > DHCP > Edit (para ethernet1) > DHCP Server: Introduzca los
siguientes datos y haga clic en OK:
CLI
set interface ethernet1 dhcp server auto
save
WebUI
Network > DHCP > Edit (para ethernet1) > DHCP Server: Introduzca los
siguientes datos y haga clic en OK:
CLI
set interface ethernet1 dhcp server enable
save
NOTA: El servidor DHCP se puede activar ejecutando el comando CLI set interface
interface dhcp server service. Si el modo de detección del servidor DHCP
establecido para la interfaz es “Auto”, el servidor DHCP del dispositivo de
seguridad solamente se inicia si no encuentra un servidor existente en la red. Con
el comando unset interface interface dhcp server service se desactiva el servidor
DHCP en el dispositivo NetScreen y también se elimina cualquier configuración
DHCP.
Petición Petición
Host DHCP
Servidor
Asignación Asignación
Host DHCP
Servidor
Petición Petición
Dispositivo de seguridad
Agente de retransmisión
de DHCP
Conjunto de direcciones IP
180.10.10.2-
180.10.10.254
WebUI
1. Interfaces
Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic
en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 180.10.10.1/24
Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic
en OK:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
2. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
3. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Security Level:
User Defined: Custom (seleccione)
Phase1 Proposal: rsa-g2-3des-sha
Mode (Initiator): Main (ID Protection)
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NOTA: Establecer una ruta al enrutador externo designado como puerta de enlace
predeterminada es esencial tanto para el tráfico VPN saliente como para el de red.
En este ejemplo, el dispositivo de seguridad envía tráfico VPN encapsulado a este
enrutador como primer salto a lo largo de su ruta al dispositivo de seguridad
remoto. En la ilustración de este ejemplo, el concepto aparece representando
como túnel atravesando el enrutador.
6. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), DHCP Server
Service: DHCP-Relay
Action: Tunnel
Tunnel VPN: to_dhcp
Modify matching outgoing VPN policy: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 180.10.10.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address untrust dhcp_server 194.2.9.10/32
3. VPN
set ike gateway “dhcp server” ip 2.2.2.2 main outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set vpn to_dhcp gateway “dhcp server” proposal g2-esp-3des-sha
4. Agente de retransmisión de DHCP
set interface ethernet1 dhcp relay server-name 194.2.9.10
set interface ethernet1 dhcp relay vpn
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
6. Directivas
set policy from trust to untrust any dhcp_server dhcp-relay tunnel vpn to_dhcp
set policy from untrust to trust dhcp_server any dhcp-relay tunnel vpn to_dhcp
save
NOTA: Aunque algunos dispositivos de seguridad pueden actuar como servidor DHCP,
agente de retransmisión de DHCP o cliente DHCP al mismo tiempo, en una
misma interfaz no se puede configurar más de un papel de DHCP.
Zona Trust
LAN interna
2. Dirección IP asignada
ISP
(servidor DHCP)
2.2.2.5
Internet
Zona Untrust
NOTA: Antes de poder configurar un sitio para el servicio DHCP, debe disponer de una
línea de abonado digital (DSL) y una cuenta con un proveedor de servicios de
Internet (ISP).
WebUI
Network > Interfaces > Edit (para ethernet3): Seleccione Obtain IP using
DHCP, después haga clic en OK.
CLI
set interface ethernet3 dhcp client
set interface ethernet3 dhcp settings server 2.2.2.5
save
DNS (3)
WINS (2)
NetInfo (2)
SMTP (1)
POP3 (1)
News (1)
NOTA: Si bien es posible configurar hasta ocho servidores DHCP en cualquier interfaz
física o interfaz VLAN, el servidor DHCP predeterminado del dispositivo reside en
una interfaz específica en cada plataforma. En el dispositivo NetScreen-5XP, el
servidor DHCP predeterminado reside en la interfaz de la zona Trust. En el
dispositivo NetScreen-5XT, el servidor DHCP predeterminado reside en la interfaz
de la zona Trust para el modo de puerto “Trust-Untrust”, en la interfaz ethernet1
para el modo de puerto “Dual-Untrust” y en la interfaz ethernet2 para los modos
de puerto “Home-Work” y “Combined”. Para otros dispositivos, el servidor DHCP
predeterminado reside en la interfaz ethernet1.
Zona Untrust
ISP
Servidor DHCP
Ajustes TCP/IP y dirección IP
de la interfaz de la zona
Untrust
Clientes de DHCP
Zona Trust
Para propagar todos los ajustes TCP/IP que reciba del módulo de cliente DHCP,
puede configurar el módulo del servidor DHCP ejecutando el comando set
interface interface dhcp-client settings update-dhcpserver. También puede dar
preferencia a cualquier ajuste sobre otro.
Configurará el módulo de servidor DHCP para hacer lo siguiente con los ajustes
TCP/IP que reciba del módulo de cliente DHCP:
SMTP: 211.1.8.150
POP3: 211.1.8.172
WebUI
CLI
1. Cliente DHCP
set interface ethernet3 dhcp-client settings server 211.3.1.6
set interface ethernet3 dhcp-client settings update-dhcpserver
set interface ethernet3 dhcp-client settings autoconfig
set interface ethernet3 dhcp-client enable
2. Servidor DHCP
set interface ethernet1 dhcp server option gateway 10.1.1.1
set interface ethernet1 dhcp server option netmask 255.255.255.0
set interface ethernet1 dhcp server option wins1 10.1.2.42
set interface ethernet1 dhcp server option wins2 10.1.5.90
set interface ethernet1 dhcp server option pop3 211.1.8.172
set interface ethernet1 dhcp server option smtp 211.1.8.150
set interface ethernet1 dhcp server ip 10.1.1.50 to 10.1.1.200
set interface ethernet1 dhcp server service
save
Configurar PPPoE
El ejemplo siguiente ilustra cómo definir la interfaz no fiable de un dispositivo de
seguridad para conexiones de PPPoE, y cómo iniciar el servicio PPPoE.
Dispositivo de seguridad
Módem DSL
ISP
DSLAM
Concentrador AC Internet
(hub) Línea DSL
Servidor DNS
Principal
Antes de configurar el sitio de este ejemplo para el servicio PPPoE, debe disponer
de los siguientes medios:
WebUI
1. Interfaces y PPPoE
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 172.16.30.10/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
Obtain IP using PPPoE: (seleccione)
User Name/Password: <name>/<password>
Network > Interfaces > Edit (para ethernet3): Para verificar su conexión
PPPoE, haga clic en Connect.
NOTA: Cuando se inicia una conexión PPPoE, el proveedor de servicios de Internet (ISP)
proporciona automáticamente las direcciones IP para la interfaz de la zona
Untrust y las direcciones IP para los servidores del sistema de nombres de
dominio (DNS). Cuando el dispositivo de seguridad recibe direcciones DNS a
través de PPPoE, los nuevos ajustes de DNS sobrescriben de forma
predeterminada los ajustes locales. Si no desea que los nuevos ajustes de DNS
reemplacen los ajustes locales, puede utilizar el comando CLI unset pppoe
dhcp-updateserver para desactivar este comportamiento.
Si utiliza una dirección IP estática para la interfaz de la zona Untrust, debe obtener
las direcciones IP de los servidores DNS e introducirlos manualmente en el
dispositivo de seguridad y en los hosts de la zona Trust.
2. Servidor DHCP
Network > Interfaces > Edit (para ethernet1) > DHCP: Seleccione DHCP
Server, después haga clic en Apply.
Network > Interfaces > Edit (para ethernet1) > DHCP: Introduzca los
siguientes datos y haga clic en Apply:
Lease: 1 hour
Gateway: 0.0.0.0
Netmask: 0.0.0.0
DNS#1: 0.0.0.0
DNS#2: 0.0.0.0
Domain Name: (dejar en blanco)
Network > Interfaces > DHCP (para ethernet1) > New Address: Introduzca los
siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.30.2
IP Address End: 172.16.30.5
NOTA: Cuando se utiliza DHCP para asignar direcciones IP a los hosts de la zona Trust, el
dispositivo de seguridad reenvía automáticamente las direcciones IP de los
servidores DNS que recibe del ISP a los hosts.
Cada conexión TCP/IP que establece un host de la zona Trust hacia la zona
Untrust pasa automáticamente por el proceso de encapsulado PPPoE.
CLI
1. Interfaces y PPPoE
set interface ethernet1 zone trust
set interface ethernet1 ip 172.16.30.10/24
set interface ethernet3 zone untrust
set pppoe interface ethernet3
set pppoe username name_str password pswd_str
Cada conexión TCP/IP que establece un host de la zona Trust hacia la zona
Untrust pasa automáticamente por el proceso de encapsulado PPPoE.
WebUI
Configuración de PPPoE para la interfaz ethernet3
Network > PPPoE > New: Introduzca los siguientes datos y haga clic en OK:
CLI
1. Configuración de PPPoE para la interfaz ethernet3
set pppoe name eth3-pppoe username user1 password 123456
set pppoe name eth3-pppoe ac ac-11
set pppoe name eth3-pppoe authentication any
set pppoe name eth3-pppoe interface ethernet3
2. Configuración de PPPoE para la interfaz ethernet2
set pppoe name eth2-pppoe username user2 password 654321
set pppoe name eth2-pppoe ac ac-22
set pppoe name eth2-pppoe authentication any
set pppoe name eth2-pppoe interface ethernet2
save
Para admitir una sesión PPPoE, la subinterfaz no debe estar etiquetada. Una
interfaz no etiquetada no utiliza una etiqueta de LAN virtual para identificar la VLAN
correspondiente a una subinterfaz. La característica “Encap” asocia la subinterfaz a
la encapsulación PPPoE. Al hospedar múltiples subinterfaces, una sola interfaz
física puede hospedar múltiples instancias de PPPoE. Puede configurar cada
instancia de modo que acceda al concentrador de accesos (AC) especificado,
permitiendo que entidades independientes como ISP administren sesiones de
PPPoE a través de una sola interfaz. Para obtener más información sobre VLAN y
etiquetas VLAN, consulte Volumen 10: Sistemas virtuales.
isp_1 e7 isp_1ac
Tres instancias de PPPoE isp_2 e7.1 isp_2ac
Tres sesiones de PPPoE
isp_3 e7.2 isp_3ac
isp_2ac
isp_3ac
WebUI
Interfaz y subinterfaces
1. Network > Interfaces > Edit (para ethernet7):
Introduzca los siguientes datos y haga clic en OK:
CLI
1. Interfaz y subinterfaces
set interface ethernet7 zone untrust
set interface ethernet7.1 encap pppoe zone untrust
set interface ethernet7.2 encap pppoe zone untrust
2. Instancias de PPPoE y CAs
set pppoe name isp_1 username user1@domain1 password swordfish
set pppoe name isp_1 interface ethernet7
set pppoe name isp_1 ac isp_1ac
set pppoe name isp_2 username user2@domain2 password marlin
set pppoe name isp_2 interface ethernet7.1
set pppoe name isp_2 ac isp_2ac
set pppoe name isp_3 username user3@domain3 password trout
set pppoe name isp_3 interface ethernet7.2
set pppoe name isp_3 ac isp_3ac
save
3. Iniciación del protocolo PPPoE
exec pppoe name isp_1 connect
exec pppoe name isp_2 connect
exec pppoe name isp_3 connect
Claves de licencia
La característica de la clave de licencia permite ampliar las prestaciones del
dispositivo de seguridad de Juniper Networks sin tener que actualizar a otro
dispositivo o imagen del sistema. Se pueden comprar los siguientes tipos de claves:
Avanzada
Capacidad
Extendido
Virtualización
GTP
Vsys
IDP
WebUI
Elija Configuration > Update > ScreenOS/Keys >, seleccione License Key
Update (características) >, haga clic en Browse >, seleccione el archivo con
su clave de licencia y después haga clic en Apply.
CLI
exec license-key key_num
Registrar la suscripción
Servicio de prueba
Para que usted pueda utilizar los servicio de AV, DI, antispam o filtrado de web, el
dispositivo de seguridad le otorga un periodo de prueba. Durante este tiempo, el
dispositivo puede obtener servicios temporalmente. Para descargar las claves de
licencia de prueba que se pueden elegir del servidor de autorización, utilice el
comando CLI exec license-key update trials.
La clave caduca
NOTA: Para borrar una sola clave de licencia del archivo de claves, utilice el comando CLI
exec license-key delete name_str.
http://tools.juniper.net/subreg
Ahora puede configurar el dispositivo para que realice la descarga de los servicios
de firma de forma automática o manual. Para obtener instrucciones sobre cómo
configurar su dispositivo de seguridad para estos servicios, consulte las siguientes
secciones:
Fecha y hora
Para poner el reloj en hora con la fecha y hora actuales, puede utilizar WebUI o CLI.
A través de WebUI, esta operación se efectúa sincronizando el reloj del sistema con
el reloj de su computadora:
1. Configuration > Date/Time: Haga clic en el botón Sync Clock with Client.
2. Haga clic en Yes para sincronizar el reloj del sistema y ajustarlo según el horario
de verano o invierno, o bien en No para sincronizarlo sin el ajuste de horario de
verano.
Huso horario
El huso horario se establece especificando el número de horas de adelanto o de
retraso de la hora local del dispositivo de seguridad con respecto a GMT
(“Greenwich Mean Time”, hora media de Greenwich). Por ejemplo, si el huso
horario local del dispositivo es la hora estándar del Pacífico (“Pacific Standard Time”
o “PST”), tendrá un retraso de 8 horas con respecto a GMT. Por lo tanto, deberá
poner el reloj en -8.
o bien
La sincronización manual del reloj del sistema solamente se puede hacer mediante
CLI, pudiendo especificarse un servidor NTP determinado o ninguno. Si especifica
un servidor NTP, el dispositivo de seguridad únicamente consultará a ese servidor.
Si no especifica ningún servidor NTP, el dispositivo consultará, uno por uno, a cada
servidor NTP configurado en el dispositivo. Puede especificar un servidor NTP
utilizando su dirección IP o su nombre de dominio.
WebUI
Configuration > Date/Time: Introduzca los siguientes datos y haga clic en
Apply:
CLI
set ntp server 1.1.1.1
set ntp server backup1 1.1.1.2
set ntp server backup2 1.1.1.3
set ntp server src-interface trust
set ntp server backup1 src-interface trust
set ntp server backup2 src-interface trust
set ntp server key-id 10 pre-share-key !2005abc
set ntp server backup1 key-id 10 pre-share-key !2005abc
set ntp server backup2 key-id 10 pre-share-key !2005abc
save
NOTA: Al enviar consultas mediante CLI, puede cancelar la petición actual presionando
Ctrl-C en el teclado.
WebUI
Configuration > Date/Time: Introduzca los siguientes datos y haga clic en
Apply:
CLI
set clock ntp
set ntp server 1.1.1.1
set ntp server backup1 1.1.1.2
set ntp server backup2 1.1.1.3
set ntp interval 5
set ntp max-adjustment 2
save
Para habilitar la autenticación del tráfico NTP, debe asignar una identificación de
clave y una clave previamente compartida únicas a cada servidor NTP que
configure en un dispositivo de seguridad. La identificación de clave y la clave
previamente compartida sirven para generar una suma de comprobación con la
que el dispositivo de seguridad y el servidor NTP pueden autenticar los datos.
Required (requerida)
Preferred (preferida)
Índice IX-I
Manual de referencia de ScreenOS: conceptos y ejemplos
IX-II Índice
Índice
Índice IX-III
Manual de referencia de ScreenOS: conceptos y ejemplos
IX-IV Índice
Índice
V
VIP ...................................................................................12
VIP, a una zona con NAT basada en interfaces ..........96
VLAN1
interfaz ...............................................................83, 89
zonas.........................................................................83
VPN
a una zona con NAT basada en interfaces ...........96
directivas ................................................................172
zonas de túnel .........................................................28
VR
introducción ...............................................................4
reenviar tráfico entre dos .........................................5
W
WebAuth, proceso de autenticación previo a directivas
175
Z
zona VLAN ......................................................................83
zonas ....................................................................... 25 a 33
capa 2 .......................................................................83
definición .................................................................30
edición ......................................................................31
función .....................................................................32
función, interfaz MGT .............................................47
global ........................................................................28
interfaces de seguridad ..........................................45
Índice IX-V
Manual de referencia de ScreenOS: conceptos y ejemplos
IX-VI Índice
Conceptos y ejemplos
Manual de Referencia de ScreenOS
Volumen 3:
Administración
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Network’s installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen vii
Convenciones del documento ........................................................................ vii
Convenciones CLI ................................................................................... viii
Convenciones para las ilustraciones ......................................................... ix
Convenciones de nomenclatura y conjuntos de caracteres ........................ x
Convenciones de la interfaz gráfica (WebUI) ............................................ xi
Documentación de Juniper Networks ............................................................. xii
Capítulo 1 Administración 1
Administración a través de la interfaz de usuario web ..................................... 2
Ayuda de la interfaz gráfica (WebUI) ......................................................... 2
Copiar los archivos de ayuda en una unidad local ............................... 3
Desvío de WebUI a la nueva ubicación de la ayuda............................. 3
Protocolo de transferencia de hipertexto ................................................... 3
Identificación de sesión ............................................................................. 4
Secure Sockets Layer ................................................................................. 5
Configurar SSL .................................................................................... 7
Reenviar HTTP a SSL........................................................................... 8
Administración a través de la interfaz de línea de comandos........................... 9
Telnet ........................................................................................................ 9
Asegurar las conexiones Telnet ............................................................... 10
Secure Shell ............................................................................................. 11
Requisitos del cliente ........................................................................ 12
Configuración básica de SSH en el dispositivo................................... 12
Autenticación .................................................................................... 14
SSH y Vsys ........................................................................................ 16
Clave del host.................................................................................... 16
Ejemplo: SSHv1 con PKA para inicios de sesión de automatizados ... 17
Secure Copy ............................................................................................ 18
Consola serie ........................................................................................... 19
Puerto de módem.................................................................................... 20
Administración a través de NetScreen-Security Manager................................ 20
Iniciar la conectividad entre el agente de NSM y el sistema MGT............. 21
Habilitar, inhabilitar y desactivar el agente de NSM ................................. 22
Ajustar la dirección IP del servidor principal del sistema
de administración ............................................................................. 23
Ajustar la generación de informes de alarmas y de estadísticas............... 23
Sincronizar la configuración .................................................................... 24
Ejemplo: Visualización del estado de la configuración.......................25
Ejemplo: Consulta del hash de la configuración ................................ 25
Consultar la marca de hora de configuración........................................... 26
Controlar el tráfico administrativo.................................................................. 26
Interfaces MGT y VLAN1.......................................................................... 27
Contenido iii
Manual de referencia de ScreenOS: conceptos y ejemplos
iv Contenido
Contenido
Índice ........................................................................................................................IX-I
Contenido v
Manual de referencia de ScreenOS: conceptos y ejemplos
vi Contenido
Acerca de este volumen
Convenciones CLI
Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos
de CLI en ejemplos y en texto.
En ejemplos:
En texto:
NOTA: Para escribir palabras clave, basta con introducir los primeros caracteres que
permitan al sistema reconocer de forma inequívoca la palabra que se está
introduciendo. Por ejemplo, es suficiente introducir set adm u kath j12fmt54
para que el sistema reconozca el comando set admin user kathleen j12fmt54.
Aunque este método se puede utilizar para introducir comandos, en la presente
documentación todos ellos se representan con sus palabras completas.
Interfaz de túnel
Servidor
Túnel VPN
Concentrador (hub)
Enrutador
Teléfono IP
Conmutador
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles ( “ ); por ejemplo:
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de
diálogo apropiado, donde podrá definir objetos y establecer parámetros de ajuste.
El conjunto de instrucciones de cada tarea se divide en ruta de navegación y ajustes
de configuración:
Objects > Addresses > List > New: Ingrese los siguientes datos y haga clic
en OK:
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
techpubs-comments@juniper.net
1
Manual de referencia de ScreenOS: conceptos y ejemplos
Figura 4: WebUI
También tiene la opción de guardar los archivos de ayuda en otra ubicación. Puede
guardarlos localmente y hacer que WebUI los busque en la estación de trabajo del
administrador o en un servidor seguro de la red local. Si no dispone de acceso a
Internet, almacenar los archivos de ayuda localmente proporciona una
accesibilidad a los mismos que de lo contrario no tendría.
http://help.juniper.net/help/english/screenos_version
por
o bien
NOTA: Para obtener más información, consulte “Secure Sockets Layer” en la página 5,
“Túneles de VPN para tráfico administrativo” en la página 42 e “Interfaces MGT y
VLAN1” en la página 27.
Identificación de sesión
El dispositivo de seguridad asigna a cada sesión administrativa de HTTP un
identificador de sesión único. En los dispositivos de seguridad que admiten
sistemas virtuales (vsys), el identificador es globalmente único en todos los
sistemas: raíz (root) y virtuales (vsys).
Al ser independiente del protocolo de aplicación, SSL utiliza TCP para proporcionar
servicios seguros (consulte la Figura 7). SSL utiliza certificados para autenticar
primero el servidor o bien el cliente y el servidor, y luego para encriptar el tráfico
enviado durante la sesión. ScreenOS solamente admite autenticarse desde el
servidor (dispositivo de seguridad), no desde el cliente (administrador intentando
conectarse al dispositivo de seguridad a través de SSL).
NOTA: Para obtener información sobre la redirección del tráfico HTTP administrativo a
SSL, consulte “Reenviar HTTP a SSL” en la página 8. Para obtener información
sobre certificados autofirmados, consulte “Certificados autofirmados” en la
página 5-37). Para más información sobre la obtención de certificados, consulte
“Certificados y CRL” en la página 5-24.
Los algoritmos de autenticación son los mismos para SSL que para VPN:
NOTA: Los algoritmos RC4 siempre van emparejados con MD5, mientras que DES y 3DES
van con SHA-1.
Configurar SSL
Los pasos básicos para configurar SSL son los siguientes:
WebUI
Configuration > Admin > Management: Introduzca los siguientes datos y haga
clic en Apply:
SSL: (seleccione)
Port: Utilice el número de puerto predeterminado (443) o cámbielo por otro.
Certificate: Seleccione en la lista desplegable el certificado que desea utilizar.
Cipher: Seleccione en la lista desplegable la encriptación que desea utilizar.
CLI
set ssl port num
set ssl cert id_num
set ssl encrypt { { 3des | des } sha-1 | { rc4 | rc4-40 } | md5 }
set ssl enable
save
WebUI
Network > Interfaces > Edit (para la interfaz que desea administrar): Active la
casilla de verificación del servicio de administración de SSL, después haga clic
en OK.
CLI
set interface interface manage ssl
save
Texto puro
Dispositivo
HTTP-Reply de seguridad
Alicia
(NetScreen Instrucciones para reenviar
Admin) de HTTP a HTTPS
Conexión de SSL
Encriptado
WebUI
Configuration > Admin > Management: Introduzca los siguientes datos y haga
clic en Apply:
CLI
set admin http redirect
save
NOTA: No tiene que introducir un comando CLI para aplicar el certificado autofirmado
generado automáticamente para su uso con SSL porque el dispositivo de
seguridad lo aplica a SSL de forma predeterminada. Si previamente ha asignado
otro certificado para su uso con SSL y ahora desea utilizar el certificado
predeterminado en su lugar, debe desactivar el certificado anterior con el siguiente
comando: unset ssl cert id_num, donde id_num es el número de identificación del
certificado asignado previamente.
NOTA: Para obtener un listado completo de los comandos de ScreenOS CLI, consulte
ScreenOS CLI Reference Guide Ipv4 Command Descriptions(Manual de referencia de
la CLI de ScreenOS: descripciones de comandos IPv4).
Telnet
Telnet es un protocolo de inicio de sesión y de emulación de terminales que utiliza
una relación cliente/servidor para conectarse y configurar remotamente los
dispositivos de una red TCP/IP. El administrador ejecuta un programa cliente de
Telnet en la estación de trabajo de administración y crea una conexión con el
programa servidor de Telnet instalado en el dispositivo de seguridad. Después de
iniciar la sesión, el administrador puede enviar comandos de la CLI, que se
NOTA: Para obtener información sobre los túneles de VPN, consulte el Volumen 5:
Redes privadas virtuales.
Secure Shell
El servidor Secure Shell (SSH) integrado en un dispositivo de seguridad de Juniper
Networks proporciona a los administradores un medio seguro para la
administración remota de dispositivos utilizando las aplicaciones basadas en Secure
Shell (SSH). SSH permite abrir de forma segura un entorno de comandos remoto y
ejecutar comandos. SSH proporciona protección contra los ataques de simulación
de IP o DNS (“spoofing”) y contra la interceptación de contraseñas y datos.
Puede elegir entre ejecutar un servidor SSH versión 1 (SSHv1) o SSH versión 2
(SSHv2) en el dispositivo. SSHv2 se considera más seguro que SSHv1 y está siendo
desarrollado actualmente como estándar del IETF. Sin embargo, SSHv1 está
ampliamente difundido y se utiliza comúnmente. Observe que SSHv1 y SSHv2 no
son compatibles entre sí. Es decir, no se puede conectar un cliente SSHv1 a un
servidor SSHv2 en el dispositivo de seguridad, ni viceversa. La consola o aplicación
de terminal del cliente debe ejecutar la misma versión de SSH que el servidor. La
Figura 10 en la página 11 ilustra el flujo de tráfico SSH.
NOTA: También puede utilizar WebUI para cambiar el número de puerto y habilitar SSHv2
y SCP en la página Configuration > Admin > Management.
4. Habilite SSH para el sistema raíz o para el sistema virtual. Consulte “SSH y
Vsys” en la página 16 para obtener más información sobre cómo habilitar y
utilizar SSH en cada sistema virtual vsys.
Si desea habilitar SSH para un vsys, primero debe entrar en dicho vsys y
habilitar SSH:
Autenticación
Un administrador puede conectarse a un dispositivo de seguridad de Juniper
Networks mediante SSH usando uno de los dos métodos de autenticación:
NOTA: Los algoritmos de autenticación admisibles son RSA para SSHv1 y DSA para
SSHv2.
Por otra parte, los preparativos para PKA consisten en las siguientes tareas
preliminares:
1. En el cliente de SSH, genere una par de claves (una pública y una privada)
usando un programa de generación de claves. (El par de claves debe ser RSA
para SSHv1 o DSA para SSHv2. Para obtener más información, consulte la
documentación de la aplicación cliente de SSH).
NOTA: Si desea utilizar PKA para realizar inicios de sesión automatizados, también debe
cargar un agente en el equipo cliente de SSH para desencriptar el componente
privado del par de claves pública/privada PKA y mantener en memoria la versión
desencriptada de la clave privada.
Para SSHv1:
Para SSHv2:
NOTA: El dispositivo admite hasta cuatro claves públicas PKA por cada usuario con
permisos de administrador.
Cuando un administrador intenta iniciar una sesión a través de SSH en una interfaz
que tiene habilitada la gestión de SSH, el dispositivo NetScreen comprueba primero
si ese administrador tiene asociada una clave pública. En caso afirmativo, el
dispositivo autentica al administrador mediante PKA. Si no hay ninguna clave
pública asociada al administrador, el dispositivo pide un nombre de usuario y una
contraseña. (Puede utilizar el siguiente comando para obligar a un administrador a
utilizar únicamente el método PKA: set admin ssh password disable username
name_str.) Sin tener en cuenta el método de autenticación que desee imponer al
administrador, al definir inicialmente su cuenta deberá incluir de todos modos una
contraseña, aunque en el futuro ésta pase a ser irrelevante si asocia una clave
pública a ese usuario.
SSH y Vsys
Para los dispositivos de seguridad que admitan vsys, puede habilitar y configurar
SSH en cada vsys individualmente. Cada vsys tiene su propia clave de host (consulte
“Clave del host” en la página 16) y mantiene y administra una clave de PKA para el
administrador del sistema.
La clave de host del dispositivo se debe distribuir al cliente de SSH mediante uno de
los dos métodos siguientes:
Defina una cuenta de usuario con permisos de administrador denominada cfg, con
la contraseña cfg y privilegios de lectura/escritura. Habilite la posibilidad de gestión
de SSH en la interfaz “ethernet1”, asociada a la zona “Untrust”.
WebUI
Configuration > Admin > Administrators > New: Introduzca los siguientes
datos y haga clic en OK:
Name: cfg
New Password: cfg
Confirm Password: cfg
Privileges: Read-Write (seleccione)
SSH Password Authentication: (seleccione)
Network > Interfaces > Edit (para ethernet1): Seleccione SSH en Service
Options y después haga clic en OK.
NOTA: Únicamente es posible cargar un archivo de claves públicas para SSH desde un
servidor TFTP por medio del comando exec ssh.
CLI
set admin user cfg password cfg privilege all
set interface ethernet1 manage ssh
exec ssh tftp pka-rsa username cfg file-name idnt_cfg.pub ip-addr 10.1.1.5
save
Secure Copy
Secure Copy (SCP) es un método de transferencia de archivos entre un cliente
remoto y el dispositivo de seguridad utilizando el protocolo SSH. (El protocolo SSH
proporciona la autenticación, la encriptación y la integridad de datos a la conexión
SCP). El dispositivo actúa como servidor de SCP para aceptar conexiones de
clientes de SCP en hosts remotos.
SCP requiere que el cliente remoto se haya autenticado antes de poder comenzar la
transferencia de archivos. La autenticación de SCP sigue exactamente el mismo
proceso utilizado para autenticar clientes de SSH. El cliente de SCP se puede
autenticar con una contraseña o con una clave de PKA. Una vez autenticado el
cliente de SCP, pueden transferirse uno o más archivos hacia o desde el dispositivo.
La aplicación cliente de SCP determina el método exacto para especificar los
nombres de archivo de origen y de destino; consulte la documentación de la
aplicación cliente de SCP.
WebUI
Configuration > Admin > Management: Seleccione los siguientes datos y haga
clic en Apply:
CLI
set ssh enable
set scp enable
save
Lo que sigue es un ejemplo de un comando del cliente de SCP para copiar el archivo
de configuración desde la memoria flash de un dispositivo NetScreen (el nombre
del administrador es “juniper” y la dirección IP es 10.1.1.1) al archivo
“ns_sys_config_backup” del sistema cliente:
Para copiar una imagen ScreenOS desde un dispositivo a un cliente SCP y para
nombrar la imagen guardada “current_image_backup”, introduzca el siguiente
comando del cliente SCP:
Consola serie
Puede administrar un dispositivo de seguridad por medio de una conexión serie
directa entre la estación de trabajo del administrador y el dispositivo a través del
puerto de consola. Aunque no siempre es posible establecer una conexión directa,
éste es el método más seguro para administrar el dispositivo, siempre que el
entorno donde se encuentre el dispositivo también sea seguro.
NOTA: Para impedir que usuarios no autorizados puedan iniciar sesiones remotamente
como administrador raíz, puede obligar a éste a iniciar sus sesiones en el
dispositivo exclusivamente a través de la consola. Para obtener más información
sobre esta restricción, consulte “Restringir el acceso del administrador raíz desde
la consola” en la página 41.
Un cable serie directo con un conector hembra DB-9 y un conector macho DB-9
8 bits
Sin paridad
1 bit de parada
NOTA: Para obtener una información más detallada sobre el uso de HyperTerminal,
consulte ScreenOS CLI Reference Guide IPv4 Command Descriptions (Manual de
referencia de la CLI de ScreenOS: descripciones de comandos IPv4) o los
documentos de su dispositivo.
Puerto de módem
El dispositivo de seguridad también se puede administrar conectando la estación de
trabajo del administrador al puerto de módem del dispositivo. El puerto de módem
funciona de forma similar al puerto de consola, salvo que no se pueden definir sus
parámetros ni utilizar esta conexión para transferir una imagen.
Management System
NetScreen-Security
Manager UI
Servidor principal
El servidor principal
contiene un servidor
de dispositivos y el
servidor de GUI.
Agente de NSM:
El dispositivo de seguridad utiliza su
agente incorporado para comunicarse Servidores de dispositivos y GUI: El administrador
con el servidor de dispositivos. El servidor de dispositivos envía cambios de NetScreen-Security Manager
configuración al dispositivo de seguridad y recibe opera el sistema de
informes operativos y estadísticos del mismo. administración a través del client
WebUI
Configuration > Admin > NSM: Seleccione Enable Communication with
NetScreen Security Manager (NSM) y después haga clic en Apply.
CLI
set nsmgt enable
save
WebUI
Configuration > Admin > NSM: Desactive Enable Communication with
NetScreen Security Manager (NSM) y después haga clic en Apply.
CLI
unset nsmgt enable
save
WebUI
Configuration > Admin > NSM: Introduzca los siguientes datos y haga clic en
Apply:
CLI
set nsmgmt server primary 1.1.1.100
save
Los eventos registrados por el agente NSM se dividen en las siguientes categorías:
Log Events, que informan sobre cambios en una configuración del dispositivo y
cambios de escasa relevancia que se producen en el mismo.
Protocol distribution, eventos que comunican los mensajes generados por los
siguientes protocolos:
Estadísticas de ataques
Estadísticas de Ethernet
Estadísticas de directivas
WebUI
Configuration > Admin > NSM: Introduzca los siguientes datos y haga clic en
Apply:
CLI
set nsmgmt report statistics attack enable
set nsmgmt report statistics policy enable
set nsmgmt report alarm attack enable
set nsmgmt report alarm traffic enable
set nsmgmt report statistics flow enable
set nsmgmt report statistics ethernet enable
set nsmgmt report alarm idp enable
set nsmgmt report alarm other enable
save
Sincronizar la configuración
Si la configuración de ScreenOS sufre modificaciones desde la última vez que se
sincronizó con NetScreen-Security Manager, el dispositivo de seguridad notifica al
administrador del NetScreen-Security Manager el cambio. Por ejemplo, el
dispositivo envía un mensaje cuando un administrador de dispositivo utiliza la
WebUI
CLI
get config nsmgmt-dirty
WebUI
CLI
ns-> enter vsys vsys1
ns(vsys1)-> get config hash
a26a16cd6b8ef40dc79d5b2ec9e1ab4f
ns(vsys1)->
ns(vsys1)-> exit
WebUI
NOTA: Debe utilizar el comando CLI para consultar las marcas de hora de configuración
que se ejecutaron y se guardaron.
CLI
get config timestamp vsys vsys1
get config saved timestamp
Para mantener el nivel más alto de seguridad, Juniper Networks recomienda limitar
el tráfico administrativo exclusivamente a las interfaces VLAN1 o MGT y el tráfico
de usuarios a las interfaces de la zona de seguridad. Al separar el tráfico
administrativo del tráfico de los usuarios de la red se aumenta significativamente la
seguridad administrativa y se asegura un ancho de banda constante para la
administración.
WebUI
Network > Interfaces > Edit (para mgt): Introduzca los siguientes datos y haga
clic en OK:
IP Address/Netmask: 10.1.1.2/24
Management Services: WebUI, SSH: (seleccione)
CLI
set interface mgt ip 10.1.1.2/24
set interface mgt manage web
set interface mgt manage ssh
save
WebUI
Network > Interfaces > Edit (para VLAN1): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 10.1.1.1/24
Management Services: WebUI, Telnet: (seleccione)
Network > Zones > Edit (para V1-Trust): Introduzca los siguientes datos y haga
clic en OK:
CLI
set interface vlan1 ip 10.1.1.1/24
set interface vlan1 manage web
set interface vlan1 manage telnet
set zone v1-trust manage web
set zone v1-trust manage telnet
save
En este ejemplo se enlaza ethernet1 a la zona fiable Trust y ethernet3 a la zona sin
confianza Untrust. Se asigna a ethernet1 la dirección IP 10.1.1.1/24 y la dirección IP
de administración 10.1.1.2. (Recuerde que la dirección IP de administración debe
encontrarse en la misma subred que la dirección IP de la interfaz de la zona de
seguridad). También permitirá a ethernet1 recibir tráfico web y Telnet. A
continuación, asignará a ethernet3 la dirección IP 1.1.1.1/24 y bloqueará todo el
tráfico administrativo hacia dicha interfaz.
WebUI
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Management Services:
WebUI: (seleccione)
SNMP: (anule la selección)
Telnet: (seleccione)
SSL: (anule la selección)
SSH: (anule la selección)
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
CLI
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 manage-ip 10.1.1.2
set interface ethernet1 manage web
unset interface ethernet1 manage snmp
set interface ethernet1 manage telnet
unset interface ethernet1 manage ssl
unset interface ethernet1 manage ssh
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
save
NOTA: Cuando se asocia una interfaz a cualquier zona de seguridad que no sean las
zonas Trust y V1-Trust, todas las opciones de administración se inhabilitan de
forma predeterminada. Por lo tanto, en este ejemplo, no tiene que inhabilitar las
opciones de administración en ethernet3.
Zona Untrust
ethernet3
IP: 1.1.1.1/24
IP de administración: SNMP
1.1.1.2 Internet
Estación de
administración
Enrutador
1.1.1.250
Administradores
locales Zona DMZ
ethernet2
IP: 1.2.2.1/24
IP gestión: 1.2.2.2
LAN
Zona Trust
WebUI
Network > Interfaces > Edit (ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (ethernet3): Introduzca los siguientes datos y
haga clic en OK:
CLI
set interface ethernet2 zone dmz
set interface ethernet2 ip 1.2.2.1/24
set interface ethernet2 manage-ip 1.2.2.2
set interface ethernet2 manage web
set interface ethernet2 manage telnet
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 manage-ip 1.1.1.2
set interface ethernet3 manage snmp
save
Niveles de administración
Los dispositivos de seguridad de Juniper Networks admiten múltiples usuarios
administrativos. Cualquier cambio en la configuración realizado por un
administrador queda registrado por el dispositivo de seguridad con la siguiente
información:
Niveles de administración 31
Manual de referencia de ScreenOS: conceptos y ejemplos
Administrador raíz
El administrador raíz tiene privilegios administrativos completos. Hay solamente un
administrador raíz por cada dispositivo de seguridad. El administrador raíz tiene los
siguientes privilegios:
Administra el sistema raíz del dispositivo de seguridad
Actualiza el firmware
Administrador de lectura/escritura
El administrador de lectura/escritura tiene los mismos privilegios que el
administrador raíz, pero no puede crear, modificar ni eliminar otros usuarios con
permisos de administrador. El administrador de lectura/escritura tiene los
privilegios siguientes:
Crea sistemas virtuales y asigna a cada uno un administrador del sistema
virtual
32 Niveles de administración
Capítulo 1: Administración
Crea y edita usuarios auth, IKE, L2TP, XAuth y usuarios de clave manual
NOTA: Para obtener más información sobre sistemas virtuales, consulte “Sistemas
virtuales” en la página 10-1.
WebUI
Configuration > Admin > Administrators > New: Introduzca los siguientes
datos y haga clic en OK:
Name: Roger
New Password: 2bd21wG7
Confirm New Password: 2bd21wG7
Privileges: Read-Only (seleccione)
CLI
set admin user Roger password 2bd21wG7 privilege read-only
save
WebUI
Configuration > Admin > Administrators > Edit (para Roger): Introduzca los
siguientes datos y haga clic en OK:
Name: Roger
New Password: 2bd21wG7
Confirm New Password: 2bd21wG7
Privileges: Read-Write (seleccione)
CLI
unset admin user Roger
set admin user Roger password 2bd21wG7 privilege all
save
WebUI
Configuration > Admin > Administrators: Haga clic en Remove para Roger en
la columna Configure.
CLI
unset admin user Roger
save
Interfaz fiduciaria
Para dispositivos con interfaces ADSL, una interfaz fiduciaria tiene control
sobre las siguientes características:
Módem fiduciario
Puede visualizar todas las cuentas del administrador al introducir el comando get
admin user o puede visualizar únicamente las cuentas fiduciarias al introducir el
comando get admin user trustee.
WebUI
Configuration > Admin > Administrators
CLI
set admin user rbrockie password !23fb privilege all
set admin user rbrockie trustee modem
WebUI
NOTA: Debe utilizar la interfaz CLI para eliminar las sesiones de administración.
CLI
clear admin name Roger
save
WebUI
Network > Interfaces > Edit (para la interfaz que desee editar): Introduzca las
siguientes opciones de servicio, después haga clic en OK:
CLI
unset interface interface manage ping
unset interface interface manage ident-reset
WebUI
Configuration > Admin > Management: En el campo HTTP Port, introduzca
15522 y después haga clic en Apply.
CLI
set admin port 15522
save
NOTA: En lugar de utilizar palabras reales como contraseñas, que resultan fáciles de
acertar o descubrir mediante un ataque de diccionario, puede utilizar una cadena
aparentemente aleatoria de números y letras. Para crear tal cadena que pueda
recordar fácilmente, componga una oración y utilice la primera letra de cada
palabra. Por ejemplo, la frase “Carlos cumplirá 6 años el 21 de noviembre”
resultará en la contraseña “Cwb6yooN21”.
WebUI
Configuration > Admin > Administrators > Edit (para John): Introduzca los
siguientes datos y haga clic en OK:
Name: Smith
New Password: 3MAb99j2
Confirm New Password: 3MAb99j2
CLI
unset admin user John
set admin user Smith password 3MAb99j2 privilege all
save
WebUI
Configuration > Admin > Administrators > Edit (para la primera entrada):
Introduzca los siguientes datos y haga clic en OK:
Name: Smith
New Password: ru494Vq5
Confirm New Password: ru494Vq5
CLI
set admin password ru494Vq5
save
Para especificar una longitud mínima para la contraseña del administrador raíz,
escriba el siguiente comando CLI:
!!!! Lost Password Reset !!!! You have initiated a command to reset the device
to factory defaults, clearing all current configuration, keys and settings. Would
you like to continue? y/n
3. Presione la tecla y.
WebUI
Configuration > Admin > Permitted IPs: Introduzca los siguientes datos y haga
clic en Add:
IP Address/Netmask: 172.16.40.42/32
CLI
set admin manager-ip 172.16.40.42/32
save
WebUI
Configuration > Admin > Permitted IPs: Introduzca los siguientes datos y haga
clic en Add:
IP Address/Netmask: 172.16.40.0/24
CLI
set admin manager-ip 172.16.40.0 255.255.255.0
save
Por cada tipo de configuración de túnel VPN existen los siguientes tipos de
túnel VPN:
AutoKey IKE con clave previamente compartida: Una o dos claves secretas
previamente compartidas (una para la autenticación y otra para la encriptación)
funcionan como valores de inicialización. El protocolo IKE genera con ellas un
juego de claves simétricas en ambos extremos del túnel; es decir, se utiliza la
misma clave para encriptar y desencriptar. Estas claves se regeneran
automáticamente a intervalos predeterminados.
NOTA: Para obtener una descripción completa de los túneles VPN, consulte el Volumen 5:
Redes privadas virtuales. Para obtener más información sobre NetScreen-Remote,
consulte el NetScreen-Remote VPN Client Administrator Guide (Manual del
administrador de Cliente VPN de NetScreen-Remote).
Si utiliza una configuración de VPN basada en directivas, debe crear una entrada en
la libreta de direcciones con la dirección IP de una interfaz de cualquier zona, salvo
la que está asociada a la interfaz de salida. Puede entonces utilizarla como dirección
de origen en las directivas que se refieren al túnel VPN. Esta dirección también sirve
como dirección de entidad final para el interlocutor IPSec remoto. Si está utilizando
una configuración VPN basada en rutas, esta entrada en la libreta de direcciones es
innecesaria.
Se trata de una VPN basada en rutas, lo que significa que la consulta de rutas
(no la consulta de directivas) vincula la dirección de destino a la interfaz del
túnel, que está asociada al túnel VPN correspondiente.
NOTA: Compare este ejemplo con “Administración a través de un túnel VPN de clave
manual basado en directivas” en la página 47.
Figura 14: Administración a través de un túnel VPN de clave manual basado en rutas
VPN de clave
manual
Túnel “tunnel-adm”
Admin tunnel.1
10.1.1.56 no numerada
(dirección IP estática)
10.10.10.1/32
(dirección IP interna)
WebUI
1. Interfaces
Network > Interfaces > Edit (ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
2. VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
3. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone trust
set interface tunnel.1 ip unnumbered interface ethernet1
2. VPN
set vpn tunnel-adm manual 5555 5555 gateway 10.1.1.56 outgoing ethernet1 esp
des password netscreen1 auth md5 password netscreen2
set vpn tunnel-adm bind interface tunnel.1
3. Ruta
set vrouter trust-vr route 10.10.10.1/32 interface tunnel.1
save
3. Haga clic en Add a new connection y escriba Admin junto al icono de nueva
conexión que aparece.
5. Haga clic en el signo MÁS situado a la izquierda del icono de UNIX para ampliar
la directiva de la conexión.
8. Haga clic en el símbolo MÁS situado a la izquierda del icono “Security Policy” y
luego en el símbolo MÁS a la izquierda de “Key Exchange (Phase 2)” para
ampliar más aún la directiva.
10. Haga clic en Inbound Keys y escriba 5555 en el campo “Security Parameters
Index”.
11. Haga clic en Enter Key, escriba lo siguiente y después haga clic en OK:
NOTA: Éstas son las dos claves generadas que copió después de configurar el dispositivo
de seguridad.
12. Haga clic en Outbound Keys y escriba 5555 en el campo “Security Parameters
Index”.
13. Haga clic en Enter Key, escriba lo siguiente y después haga clic en OK:
NOTA: Compare este ejemplo con “Administración a través de un túnel VPN de clave
manual basado en rutas” en la página 43.
Figura 15: Administración a través de un túnel VPN de clave manual basado en directivas
Admin LAN
10.1.1.56 Internet
(dirección IP VPN de clave manual
estática) Túnel “tunnel-adm”
WebUI
1. Interfaces
Network > Interfaces > Edit (ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
ESP-CBC: (seleccione)
Encryption Algorithm: DES-CBC
Generate Key by Password: netscreen1
Authentication Algorithm: MD5
Generate Key by Password: netscreen2
4. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), admin
Destination Address:
Address Book Entry: (seleccione), Untrust-IF
Service: Any
Action: Tunnel
Tunnel:
VPN: tunnel-adm
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust admin 10.10.10.1/32
set address untrust Untrust-IF 1.1.1.1/32
3. VPN
set vpn tunnel-adm manual 5555 5555 gateway 10.1.1.56 outgoing ethernet1 esp
des password netscreen1 auth md5 password netscreen2
4. Ruta
set vrouter trust-vr route 10.10.10.1/32 interface ethernet1
5. Directivas
set policy top from trust to untrust admin Untrust-IF any tunnel vpn tunnel-adm
set policy top from untrust to trust Untrust-IF admin any tunnel vpn tunnel-adm
save
2. Haga clic en Add a new connection y escriba Admin junto al icono de nueva
conexión que aparece.
4. Haga clic en el signo MÁS, que se ubica a la izquierda del icono de UNIX para
ampliar la directiva de conexión.
7. Haga clic en el símbolo MÁS situado a la izquierda del icono “Security Policy” y
luego en el símbolo MÁS a la izquierda de “Key Exchange (Phase 2)” para
ampliar más aún la directiva.
10. Haga clic en Enter Key, escriba lo siguiente y después haga clic en OK:
NOTA: Éstas son las dos claves generadas que copió después de configurar el dispositivo
de seguridad.
11. Haga clic en Outbound Keys y escriba 5555 en el campo “Security Parameters
Index”.
12. Haga clic en Enter Key, escriba lo siguiente y después haga clic en OK:
“Syslog” en la página 67
Console: Un destino muy útil para que todas las entradas del registro estén
disponibles cuando se están resolviendo problemas en un dispositivo de
seguridad a través de la consola. Opcionalmente, puede elegir que aquí
solamente aparezcan mensajes de alarma (crítico, alerta, emergencia) para
alertarle inmediatamente si se desencadena alguna alarma mientras usted está
utilizando la consola.
Syslog: Todas las entradas del registro de eventos y tráfico que un dispositivo
de seguridad puede almacenar internamente, también puede enviarlas a un
servidor syslog. Dado que los servidores syslog tienen una capacidad de
almacenamiento mucho mayor que las memorias flash internas de un
dispositivo de seguridad, el envío de datos a un servidor syslog puede
minimizar la pérdida de datos que podría producirse cuando el número de
entradas del registro supera la capacidad máxima de almacenamiento interno.
Syslog almacena eventos de los niveles de alerta y emergencia en la utilidad de
seguridad que usted especifique, y los demás eventos (incluyendo los datos de
tráfico) en otro equipo que también se puede especificar.
WebTrends: Permite visualizar los datos del registro de los niveles crítico, alerta
y emergencia en un formato más gráfico que syslog, que es una herramienta de
visualización en modo texto.
Registro de eventos
ScreenOS proporciona un registro de eventos para la supervisión de los eventos del
sistema, tales como cambios de configuración efectuados por administradores y
mensajes y alarmas autogenerados en relación con el comportamiento operativo y
los ataques recibidos. El dispositivo de seguridad categoriza los eventos del sistema
según los siguientes niveles de gravedad:
Emergency: Mensajes sobre ataques de tipo SYN, Tear Drop y Ping of Death.
Para obtener más información sobre estos tipos de ataques, consulte el
Volumen 4: Mecanismos de detección y defensa de ataques.
54 Registro de eventos
Capítulo 2: Supervisar dispositivos de seguridad
NOTA: Para obtener información detallada sobre los mensajes que aparecen en el registro
de eventos, consulte el manual NetScreen Message Log Reference Guide (manual de
consulta del registro de mensajes de NetScreen).
WebUI
Reports > System Log > Event: Seleccione un nivel de gravedad en la lista
desplegable “Log Level”.
CLI
get event level { emergency | alert | critical | error | warning | notification |
information | debugging }
Para buscar en el registro de eventos por palabras clave, ejecute cualquiera de los
siguientes procedimientos:
WebUI
Reports > System Log > Event: Escriba una palabra o una frase de hasta 15
caracteres en el campo de búsqueda y haga clic en Search.
Registro de eventos 55
Manual de referencia de ScreenOS: conceptos y ejemplos
CLI
get event include word_string
WebUI
Reports > System Log > Event:
CLI
get event level warning include av
56 Registro de eventos
Capítulo 2: Supervisar dispositivos de seguridad
Hora: Al clasificar registros por hora, el dispositivo muestra las entradas del
registro en orden descendente según su hora, sin importar la fecha. Si se
especifica una hora de comienzo, el dispositivo muestra las entradas del
registro cuyas marcas de hora sean posteriores a la hora de comienzo
especificada, sin importar la fecha. Si se especifica una hora de final, el
dispositivo muestra las entradas del registro cuyas marcas de hora sean
anteriores a la hora de final especificada, sin importar la fecha. Si se especifica
una hora de comienzo y otra de final, el dispositivo muestra las entradas del
registro cuyas marcas de hora se encuentren dentro del periodo de tiempo
especificado.
En este ejemplo podrá ver las entradas del registro de eventos que contienen
direcciones IP de origen en el rango 10.100.0.0 a 10.200.0.0. Las entradas del
registro también están clasificadas por direcciones IP de origen.
WebUI
NOTA: Debe utilizar la CLI para clasificar el registro de eventos según las entradas de
direcciones.
CLI
get event sort-by src-ip 10.100.0.0-10.200.0.0
WebUI
1. Reports > System Log > Event: Haga clic en Save.
Registro de eventos 57
Manual de referencia de ScreenOS: conceptos y ejemplos
CLI
get event > tftp 10.1.1.5 evnt07-02.txt
WebUI
NOTA: Debe utilizar la CLI para descargar entradas según el nivel de gravedad.
CLI
get event level critical > tftp 10.1.1.5 crt_evnt07-02.txt
Registro de tráfico
El dispositivo de seguridad Juniper Networks puede supervisar y registrar el tráfico
que autoriza o deniega basándose en directivas previamente configuradas. Puede
habilitar la opción de registro para cada directiva que configure. Al habilitar la
opción de registro para una directiva de autorización de tráfico, el dispositivo
registra el tráfico autorizado por esa directiva. Al habilitar la opción de registro para
una directiva de denegación de tráfico, el dispositivo registra el tráfico que intenta
pasar a través del dispositivo pero que resulta anulado por esa directiva.
La duración de la sesión
58 Registro de tráfico
Capítulo 2: Supervisar dispositivos de seguridad
WebUI
Policies > (From: src_zone, To: dst_zone) New : Seleccione Logging y haga clic
en OK.
CLI
set policy from src_zone to dst_zone src_addr dst_addr service action log
WebUI
Policies > (From: src_zone, To: dst_zone) New > Advanced: Seleccione
Counting, haga clic en Return y luego haga clic en OK.
CLI
set policy from src_zone to dst_zone src_addr dst_addr service action log count
WebUI
Policies > Logging (para el number de ID de directiva)
o bien
CLI
get log traffic policy number
WebUI
Directivas: Haga clic en el icono de registro para la directiva con el número de
identificación 3.
Registro de tráfico 59
Manual de referencia de ScreenOS: conceptos y ejemplos
Dirección de Dirección de
Dirección de Dirección de origen destino
origen/ destino/ traducida/ traducida/ Bytes Bytes
Fecha/Hora Puerto Puerto Puerto Puerto Servicio Duración enviados recibidos
2003-01-09 1.1.1.1:1046 10.1.1.5:80 1.1.1.1:1046 10.1.1.5:80 HTTP 1800 seg. 326452 289207
21:33:43
CLI
get log traffic policy 3
Fecha: El registro de tráfico se puede clasificar por fechas solamente, o bien por
fecha y hora. El dispositivo muestra las entradas del registro en orden
descendente por fecha y hora.
WebUI
60 Registro de tráfico
Capítulo 2: Supervisar dispositivos de seguridad
CLI
get log traffic sort-by time start-time 01:00:00
WebUI
1. Reports > Policies > Logging (para policy ID 12): Haga clic en Save.
CLI
get log traffic policy 12 > tftp 10.10.20.200 traf_log11-21-02.txt
Registro propio
ScreenOS proporciona un registro propio para supervisar y registrar todos los
paquetes llegados al dispositivo de seguridad. Por ejemplo, al desactivar algunas
opciones de administración en una interfaz, como WebUI, SNMP y el comando
ping, y se envía tráfico HTTP, SNMP o ICMP a esa interfaz, en el registro propio se
generan entradas por cada paquete descartado.
WebUI
Configuration > Report Settings > Log Settings: Active la casilla de verificación
Log Packets Terminated to Self y haga clic en Apply.
Registro propio 61
Manual de referencia de ScreenOS: conceptos y ejemplos
CLI
set firewall log-self
WebUI
Reports > System Log > Self
CLI
get log self
Fecha: El registro propio se puede clasificar por fecha solamente, o bien por
fecha y hora. El dispositivo muestra las entradas del registro en orden
descendente por fecha y hora.
También se pueden filtrar las entradas del registro propio especificando una
fecha de comienzo, una fecha de final, o bien un intervalo de fechas. Cuando se
especifica una fecha de comienzo, el dispositivo muestra las entradas del
registro que tengan marcas de fecha/hora posteriores a la fecha de comienzo. Si
se especifica una fecha de final, el dispositivo muestra las entradas del registro
que tengan marcas de fecha/hora anteriores a la misma.
62 Registro propio
Capítulo 2: Supervisar dispositivos de seguridad
WebUI
CLI
get log self end-time 16:32:57
WebUI
1. Reports > System Log > Self: Haga clic en Save.
CLI
get log self > tftp 10.1.1.5 self_log07-03-02.txt
WebUI
1. Reports > System Log > Asset Recovery: Haga clic en Save.
CLI
get log asset-recovery > tftp 10.1.1.5 sys_rst.txt
Alarmas de tráfico
El dispositivo de seguridad permite la generación de alarmas de tráfico cuando éste
supera los umbrales definidos mediante directivas. El dispositivo de seguridad se
puede configurar para alertar mediante uno o varios de los métodos siguientes
cuando genere una alarma de tráfico:
Consola
Correo electrónico
SNMP
Syslog
WebTrends
NetScreen-Global PRO
WebUI
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), web1
Service: Telnet
Action: Deny
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Counting: (seleccione)
Alarm Threshold: 64 Bytes/Sec, 0 Kbytes/Min
CLI
set address dmz web1 211.20.1.5/32
set policy from untrust to dmz any web1 telnet deny count alarm 64 0
save
Alarmas de tráfico 65
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Policies > (From: Global, To: Global) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), ftp1
Service: FTP-Get
Action: Permit
Policies > (From: Global, To: Global) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), ftp1
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Deny
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
Counting: (seleccione)
Alarm Threshold: 64 Bytes/Sec, 0 Kbytes/Min
CLI
set address global ftp1 211.20.1.10/32
set policy global any ftp1 ftp-get permit
set policy global ftp1 any any deny count alarm 64 0
save
WebUI
Configuration > Report Settings > Email: Introduzca los siguientes datos y
haga clic en Apply:
66 Alarmas de tráfico
Capítulo 2: Supervisar dispositivos de seguridad
NOTA: Si tiene DNS habilitado, también puede utilizar un nombre de host para referirse al
servidor de correo, como por ejemplo mail.juniper.net.
CLI
set admin mail alert
set admin mail mail-addr1 jharker@juniper.net
set admin mail mail-addr2 driggs@juniper.net
set admin mail server-name 172.16.10.254
set admin mail traffic-log
save
Syslog
Un dispositivo de seguridad puede generar mensajes syslog para eventos del
sistema según niveles de gravedad predefinidos (consulte la lista de niveles de
gravedad en “Registro de eventos” en la página 54) y, opcionalmente, para el tráfico
que las directivas permiten pasar a través del cortafuegos. Envía estos mensajes
hasta a cuatro hosts syslog determinados que se estén ejecutando en sistemas
UNIX/Linux. Por cada host syslog se puede especificar lo siguiente:
Puede utilizar mensajes de syslog para crear alertas de correo electrónico para el
administrador del sistema o para mostrar mensajes en la consola del host
designado siguiendo las convenciones syslog de UNIX.
Syslog 67
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
Configuration > Report Settings > Syslog: Introduzca los siguientes datos y
haga clic en Apply:
Enable syslog messages: Seleccione esta opción para enviar registros a los
servidores syslog especificados.
No.: Seleccione 1, 2 y 3 para indicar que está agregando 3 servidores syslog.
IP/Hostname: 1.1.1.1, 2.2.2.1, 3.3.3.1
Port: 1514, 2514, 3514
Security Facility: Local0, Local0, Local0
Facility: Local0, Local0, Local0
Event Log: (seleccione)
Traffic Log: (seleccione)
TCP: (seleccione)
CLI
set syslog config 1.1.1.1 port 1514
set syslog config 1.1.1.1 log all
set syslog config 1.1.1.1 facilities local0 local0
set syslog config 1.1.1.1 transport tcp
set syslog config 2.2.2.1 port 2514
set syslog config 2.2.2.1 log all
set syslog config 2.2.2.1 facilities local0 local0
set syslog config 2.2.2.1 transport tcp
set syslog config 3.3.3.1 port 3514
set syslog config 3.3.3.1 log all
set syslog config 3.3.3.1 facilities local0 local0
set syslog config 2.2.2.1 transport tcp
set syslog enable
save
68 Syslog
Capítulo 2: Supervisar dispositivos de seguridad
WebUI
1. Ajustes de WebTrends
Configuration > Report Settings > WebTrends: Introduzca los siguientes datos
y haga clic en Apply:
CLI
3. Ajustes de WebTrends
set webtrends host-name 172.10.16.25
set webtrends port 514
set webtrends enable
4. Niveles de gravedad
set log module system level notification destination webtrends
save
Los dispositivos de seguridad también son compatibles con todos los grupos de
Management Information Base II (MIB II) relevantes definidos en la RFC-1213,
Management Information Base for Network Management of TCP/IP-based internets:
MIB-II. Los dispositivos también disponen de archivos MIB corporativos privados,
que se pueden cargar en un explorador MIB SNMP. Se incluye una lista de MIB en el
Apéndice A, “Archivos MIB para SNMP.”
Por lo tanto, el agente SNMP de Juniper Networks genera las siguientes capturas, o
notificaciones, cuando se producen las condiciones o eventos especificados:
Captura de ID
corporativa Descripción
100 Problemas de hardware
200 Problemas de cortafuegos
300 Problemas de software
400 Problemas de tráfico
500 Problemas de VPN
600 Problemas de NSRP
800 Problemas de DRP
900 Problemas de
conmutación por error de
interfaces
1000 Ataques al cortafuegos
Cada comunidad puede trabajar con SNMPv1, SNMPv2c o con ambos. Si una
comunidad SNMP admite ambas versiones de SNMP, debe especificarse una
versión para las capturas por cada miembro de la comunidad.
Cada alarma del sistema (un evento del sistema clasificado con un nivel de
gravedad crítico, de alerta o de emergencia) genera una sola captura
corporativa SNMP a cada uno de los host de cada comunidad configurados para
recibir capturas.
También habilitará el agente SNMP para generar capturas siempre que alguien
intente establecer una conexión SNMP ilegítima con el dispositivo de seguridad. Las
capturas por fallo de autenticación son un ajuste global aplicable a todas las
comunidades SNMP y están inhabilitadas de forma predeterminada.
WebUI
Configuration > Report Settings > SNMP: Introduzca los siguientes ajustes y
haga clic en Apply:
Configuration > Report Settings > SNMP > New Community: Introduzca los
siguientes ajustes y haga clic en OK:
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes ajustes
y haga clic en OK:
Service Options:
Management Services: SNMP
CLI
set snmp contact al_baker@mage.com
set snmp location 3-15-2
set snmp auth-trap enable
set snmp community MAge11 read-write trap-on version any
set snmp host Mage 1.1.1.5/32 trap v1
set snmp host Mage 1.1.1.6/32 trap v2
set interface ethernet1 manage snmp
save
Para enviar tráfico tal como entradas del registro de eventos, informes de
NetScreen-Global PRO o capturas SNMP generadas por el dispositivo de
seguridad a través de un túnel VPN basado en rutas, se debe introducir
manualmente la ruta de destino apropiada. La ruta debe apuntar a la interfaz
de túnel asociada al túnel VPN por el que usted desea que el dispositivo de
seguridad dirija el tráfico. No se requieren directivas.
Por cada tipo de configuración de túnel VPN es posible utilizar los siguientes tipos
de túnel VPN:
AutoKey IKE con clave compartida: Una o dos claves secretas compartidas
(una para la autenticación y otra para la encriptación) funcionan como valores
de inicialización. El protocolo IKE genera con ellas un juego de claves simétricas
en ambos extremos del túnel; es decir, se utiliza la misma clave para encriptar y
desencriptar. Estas claves se regeneran automáticamente a intervalos
predeterminados.
NOTA: Para obtener una descripción completa de los túneles VPN, consulte el Volumen 5:
Redes privadas virtuales. Para obtener más información sobre NetScreen-Remote,
consulte NetScreen-Remote VPN Client Administrator Guide (manual de
administrador de clientes de VPN de NetScreen-Remote).
Dispositivo A Dispositivo B
IP local 10.1.1.1/32 IP local 10.2.2.2/32
IP remota 10.2.2.2/32 IP remota 10.1.1.1/32
Servicio Any Servicio Any
Zona Untrust
Ubicación
Zona Trust local
Dispositivo A Internet
LAN LAN
10.1.1.0/24 10.2.2.0/24
TÚNEL: VPN1 Dispositivo B
Ubicación
Zona Untrust remota Zona Trust
El administrador remoto del dispositivo B utiliza ajustes similares para definir aquel
extremo del túnel de VPN AutoKey IKE, de forma que la clave compartida, las
propuestas y las ID de proxy coinciden.
WebUI (dispositivo A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
NOTA: De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará
en modo NAT. Por lo tanto, esta opción ya está habilitada para las interfaces
asociadas a la zona Trust.
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Configuration > Report Settings > SNMP > New Community: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
CLI (dispositivo A)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 manage snmp
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet1
2. VPN
set ike gateway to_admin address 2.2.2.2 outgoing-interface ethernet3 preshare
Ci5y0a1aAG sec-level compatible
set vpn vpn1 gateway to_admin sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 10.1.1.1/32 remote-ip 10.2.2.2/32 any
3. Syslog y SNMP
set syslog config 10.2.2.2 auth/sec local0
set syslog enable
set snmp community remote_admin read-write trap-on version v1
set snmp host remote_admin 10.2.2.2/32
4. Rutas
set vrouter trust-vr route 10.2.2.2/32 interface tunnel.1
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
save
WebUI (dispositivo B)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
3. Grupo de servicios
Objects > Services > Groups > New: Introduzca el siguiente nombre de
grupo, mueva los siguientes servicios y haga clic en OK:
4. VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return
para regresar a la página de configuración básica de AutoKey IKE:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), addr1
Destination Address:
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), ns-a
Destination Address:
Address Book Entry: (seleccione), addr1
Service: s-grp1
Action: Permit
Position at Top: (seleccione)
CLI (dispositivo B)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet1
2. Direcciones
set address trust addr1 10.2.2.2/32
set address untrust ns-a 10.1.1.1/32
3. Grupo de servicios
set group service s-grp1
set group service s-grp1 add syslog
set group service s-grp1 add snmp
4. VPN
set ike gateway to_admin address 1.1.1.1 outgoing-interface ethernet3 preshare
Ci5y0a1aAG sec-level compatible
set vpn vpn1 gateway to_admin sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 10.2.2.2/32 remote-ip 10.1.1.1/32 any
5. Rutas
set vrouter trust-vr route 10.1.1.1/32 interface tunnel.1
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
6. Directivas
set policy top from trust to untrust addr1 ns-a s-grp1 permit
set policy top from untrust to trust ns-a addr1 s-grp1 permit
save
Gestor de SNMP y
ethernet1 servidor Syslog
10.1.1.1/24 ethernet3, 1.1.1.1/24 10.2.2.2
NAT
Puerta de enlace, 1.1.1.250
Dispositivo A Internet
LAN LAN
10.1.1.0/24 10.2.2.0/24
TÚNEL: VPN1 Dispositivo B
Las directivas de entrada y salida del dispositivo A coinciden con las del dispositivo
B. Las direcciones y servicios utilizados en las directivas son:
Grupo de servicios llamado “s-grp1”, que contiene los servicios SNMP y syslog
A partir de las directivas creadas para el dispositivo B por su parte y por parte de la
administración, los dos dispositivos NetScreen derivarán las siguientes ID de proxy
para vpn1:
Dispositivo A Dispositivo B
IP local 10.1.1.1/32 IP local 10.2.2.2/32
IP remota 10.2.2.2/32 IP remota 10.1.1.1/32
Servicio Any Servicio Any
NOTA: El dispositivo de seguridad trata cada grupo de servicios como “any” en las ID
de proxy.
WebUI (dispositivo A)
1. Interfaces: Zonas de seguridad
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
2. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
4. VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Configuration > Report Settings > SNMP > New Community: Introduzca los
siguientes datos y haga clic en OK:
Write: (seleccione)
Trap: (seleccione)
Including Traffic Alarms: (anule la selección)
Version: V2C
Hosts IP Address/Netmask:
10.2.2.2/32 V2C
Trap Version:
V2C
Source Interface:
ethernet1 (seleccione)
Configuration > Report Settings > SNMP: Introduzca los siguientes datos y
haga clic en Apply:
Source Address:
Address Book Entry: (seleccione), trust_int
Destination Address:
Address Book Entry: (seleccione), remote_admin
Service: s-grp1
Action: Tunnel
Tunnel VPN: vpn1
Modify matching outgoing VPN policy: (seleccione)
Position at Top: (seleccione)
CLI (dispositivo A)
1. Interfaces—Zonas de seguridad
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 manage snmp
NOTA: De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará
en modo NAT. Por lo tanto, esta opción ya está habilitada para las interfaces
asociadas a la zona Trust.
2. Direcciones
set address trust trust_int 10.1.1.1/32
set address untrust remote_admin 10.2.2.2/32
3. Grupo de servicios
set group service s-grp1
set group service s-grp1 add syslog
set group service s-grp1 add snmp
4. VPN
set ike gateway to_admin address 2.2.2.2 outgoing-interface ethernet3 preshare
Ci5y0a1aAG sec-level compatible
set vpn vpn1 gateway to_admin sec-level compatible
5. Syslog y SNMP
set syslog config 10.2.2.2 auth/sec local0
set syslog src-interface ethernet1
set syslog enable
set snmp community remote_admin read-write trap-on version v2c
set snmp host remote_admin 10.2.2.2/32 src-interface ethernet1
6. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
7. Directivas
set policy top from trust to untrust trust_int remote_admin s-grp1 tunnel vpn vpn1
set policy top from untrust to trust remote_admin trust_int s-grp1 tunnel vpn vpn1
save
WebUI (Dispositivo B)
1. Interfaces—Zonas de seguridad
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
IP/Netmask: 10.1.1.1/32
Zone: Untrust
3. Grupo de servicios
Objects > Services > Groups: Introduzca el siguiente nombre de grupo, mueva
los siguientes servicios y haga clic en OK:
4. VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), addr1
Destination Address:
Address Book Entry: (seleccione), ns-a
Service: s-grp1
Action: Tunnel
Tunnel VPN: vpn1
Modify matching outgoing VPN policy: (seleccione)
Position at Top: (seleccione)
CLI (Dispositivo B)
1. Interfaces—Zonas de seguridad
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
2. Direcciones
set address trust addr1 10.2.2.2/32
set address untrust ns-a 10.1.1.1/32
3. Grupo de servicios
set group service s-grp1
set group service s-grp1 add syslog
set group service s-grp1 add snmp
4. VPN
set ike gateway to_admin address 1.1.1.1 outgoing-interface ethernet3 preshare
Ci5y0a1sec-level compatible
set vpn vpn1 gateway to_admin sec-level compatible
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
6. Directivas
set policy top from trust to untrust addr1 ns-a s-grp1 tunnel vpn vpn1
set policy top from untrust to trust ns-a addr1 s-grp1 tunnel vpn vpn1
save
Contador Descripción
Bad IP Option Protection Número de tramas desechadaos debido a las opciones IP mal formadas o
incompletas
Dst IP-based session limiting Número de sesiones descartadas después de alcanzar el umbral de sesión
FIN bit with no ACK bit Número de paquetes detectados y descartados con una combinación de flags no
permitida
Fragmented packet protection Número de fragmentos de paquetes de IP bloqueados
Fragmento ICMP Número de tramas ICMP con el flag de más fragmentos ajustado o con un offset
indicado en el campo de offset.
HTTP Component Blocked Número de paquetes bloqueados con componentes de HTTP
HTTP Component Blocking for .exe files Número de paquetes HTTP bloqueados con archivos .exe
HTTP Component Blocking for .zip files Número de paquetes HTTP bloqueados con archivos .zip
HTTP Component Blocking for ActiveX Número de componentes de ActiveX bloqueados
controls
HTTP Component Blocking for Java Número de componentes Java bloqueados
applets
ICMP Flood Protection Número de paquetes ICMP bloqueados como parte de una inundación ICMP
Contador Descripción
IP Spoofing Attack Protection Número de direcciones IP bloqueadas como parte de un ataque de simulación
de IP
IP Sweep Protection Número de paquetes de ataque de limpieza de IP detectados y bloqueados
Land Attack Protection Número de paquetes bloqueados como parte de una sospecha de ataque terrestre
Large ICMP Packet Número de tramas ICMP detectadas con una longitud de IP superior a 1024
Limit Session Número de paquetes no entregados por haberse alcanzado el límite de sesión
Loose Src Route IP Option Número de paquetes de IP detectados con la opción ruta de origen variable
habilitada
Malicious URL Protection Número de direcciones URL bloqueadas por existir la sospecha de que son
maliciosas
Ping-of-Death Protection Número de paquetes ICMP sospechosos y rechazados por su tamaño excesivo
o irregular
Port Scan Protection Número de análisis de puerto detectados y bloqueados
Record Route IP Option Número de tramas detectadas con la opción de registro de rutahabilitada
Security IP Option Número de tramas descartadas con la opción de seguridad de IP ajustada
Source Route IP Option Filter Número de rutas de origen IP filtradas
Src IP-based session limiting Número de sesiones descartadas después de alcanzar el umbral de sesión
Stream IP Option Número de paquetes descartados con la opción de identificador de secuencia de
IP ajustada
Strict Src Route IP Option Número de paquetes detectados con la opción de ruta de origen estricta
habilitada
SYN and FIN bits set Número de paquetes detectados con una combinación de flags no permitida
SYN Flood Protection Número de paquetes SYN detectados cuando se sospecha de una inundación SYN
SYN Fragment Detection Número de fragmentos de paquete descartados como parte de una sospecha de
ataque de fragmentos SYN
SYN-ACK-ACK-Proxy DoS Número de paquetes bloqueados debido a la opción SYN-ACK-ACK-proxy DoS
SCREEN
TCP Packet without Flag Número de paquetes no permitidos descartados sin campo de flags o con el
campo mal formado
Teardrop Attack Protection Número de paquetes bloqueados como parte de un ataque Teardrop
Timestamp IP Option Número de paquetes IP descartados con la opción de marca de fecha y hora de
Internet ajustada
UDP Flood Protection Número de paquetes UDP descartados cuando se sospecha de una inundación
UDP
Unknown Protocol Protection Número de paquetes bloqueados como parte de un protocolo desconocido
WinNuke Attack Protection Número de paquetes detectados como parte de una sospecha de ataque WinNuke
Contador Descripción
drop vlan Número de paquetes descartados por falta de etiquetas VLAN, una subinterfaz no definida o porque
no se habilitó el truncamiento de VLAN mientras el dispositivo de seguridad estaba en modo
transparente.
early frame Número de contadores utilizados en una administración de descriptores de búfer de controlador
Ethernet.
in align err Número de paquetes entrantes con un error de alineación en la secuencia de bits
in bytes Número de bytes recibidos
in coll err Número de paquetes de colisión entrantes
in crc err Número de paquetes entrantes con un error de comprobación de redundancia cíclica (CRC)
in dma err Número de paquetes entrantes con un error de acceso directo de memoria (DMA)
in misc err Número de paquetes entrantes con errores de otro tipo
in no buffer Número de paquetes no recibidos porque los búferes no están disponibles
in overrun Número de paquetes transmitidos por exceso (desbordamiento de búfer)
in packets Número de paquetes recibidos
in short frame Número de paquetes entrantes con una trama Ethernet menor de 64 bytes (incluyendo la suma de
comprobación de trama)
in underrun Número de paquetes transmitidos por defecto
late frame Número de contadores utilizados en una administración de descriptores de búfer de controlador
Ethernet.
out bs pak Número de paquetes retenido en almacenamiento en segundo plano mientras busca una dirección
MAC desconocida.
Cuando el dispositivo de seguridad reenvía un paquete, primero comprueba si la dirección MAC de
destino se encuentra en la tabla ARP. Si no encuentra la dirección MAC de destino en la tabla ARP, el
dispositivo de seguridad envía una petición ARP a la red. Si el dispositivo de seguridad recibe otro
paquete con la misma dirección MAC de destino antes de recibir una respuesta a la primera petición
ARP, aumenta el contador out bs pak en uno.
out bytes Número de bytes enviados
out coll err Número de paquetes de colisión salientes
out cs lost Número de paquetes salientes descartados porque el protocolo de acceso múltiple/detección de
colisiones de sentido de portadora (CSMA/CD) perdió la señal.
out defer Número de paquetes salientes aplazados
out discard Número de paquetes salientes descartados
out heartbeat Número de paquetes de latido salientes
out misc err Número de paquetes salientes con errores de otro tipo
out no buffer Número de paquetes no enviados porque los búferes no están disponibles
out packets Número de paquetes enviados
re xmt limit Número de paquetes descartados al exceder el límite de retransmisión mientras una interfaz estaba
funcionando en semidúplex.
Contador Descripción
address spoof Número de paquetes sospechosos de ataque de simulación de dirección recibidos
auth deny Número de veces que se ha rechazado la autenticación de usuario
auth fail Número de veces que ha fallado la autenticación de usuario
big bkstr Número de paquetes que son demasiado grandes para el búfer en el almacenamiento en segundo
plano ARP mientras se espera la resolución de la dirección MAC a IP.
connections Número de sesiones establecidas desde el último arranque
encrypt fail Número de paquetes de protocolo de encapsulamiento punto a punto (PPTP) con errores
*icmp broadcast Número de difusiones ICMP recibidas
icmp flood Número de paquetes ICMP contabilizados justo por debajo del umbral de inundación ICMP
illegal pak Número de paquetes descartados porque no cumplen las normas de protocolo.
in arp req Número de paquetes de petición ARP entrantes
in arp resp Número de paquetes de petición ARP salientes
in bytes Número de bytes recibidos
in icmp Número de paquetes de protocolo de mensajes de control de Internet (ICMP) recibidos
in other Número de paquetes entrantes con un tipo Ethernet distinto
in packets Número de paquetes recibidos
in self Número de paquetes dirigidos a la dirección IP de administración
*in un auth Número de paquetes TCP, UDP e ICMP entrantes no autorizados
*in unk prot Número de paquetes entrantes que utilizan un protocolo Ethernet desconocido
in vlan Número de paquetes vlan entrantes
in vpn Número de paquetes IPSec recibidos
invalid zone Número de paquetes destinados a una zona de seguridad no válida
ip sweep Número de paquetes recibidos y descartados más allá del umbral de limpieza de IP especificado
land attack Número de paquetes sospechosos de ataque terrestre recibidos
loopback drop Número de paquetes descartados porque no se pueden someter a un bucle invertido a través de un
dispositivo de seguridad. Un ejemplo de sesión de bucle invertido sería cuando un host en la zona
Trust envía datos a una dirección MIP o VIP asignada a un servidor que también se encuentra en la
zona Trust. El dispositivo de seguridad crea una sesión de bucle invertido que dirige este tráfico
desde el host al servidor MIP o VIP.
mac relearn Número de veces que la tabla de aprendizaje de direcciones MAC tuvo que volver a memorizar la
interfaz asociada a una dirección MAC porque la ubicación de dicha dirección cambió
mac tbl full Número de veces que la tabla de aprendizaje de direcciones MAC se llenó completamente
mal url Número de paquetes bloqueados destinados a una dirección URL que se considera maliciosa
*misc prot Número de paquetes que utilizan un protocolo distinto de TCP, UDP o ICMP.
mp fail Número de veces que se produjo un problema al enviar un mensaje PCI entre el módulo procesador
maestro y el módulo procesador
no conn Número de paquetes descartados porque las conexiones de traducción de direcciones de red (NAT)
no estaban disponibles
Contador Descripción
no dip Número de paquetes descartados porque las direcciones de IP dinámica (DIP) no estaban disponibles
no frag netpak Número de veces que el espacio disponible en el búfer netpak ha caído por debajo del 70%
*no frag sess Número de veces que las sesiones fragmentadas han superado la mitad del número máximo de
sesiones NAT
no g-parent Número de paquetes descartados debido a que no se encontró la conexión principal
no gate Número de paquetes descartados porque no había puerta de enlace disponible
no gate sess Número de sesiones terminadas porque no había puertas de enlace para ellas en el cortafuegos
no map Número de paquetes descartados debido a que no había una asignación a la zona fiable
no nat vector Número de paquetes descartados porque la traducción de direcciones de red (NAT) no estaba
disponible para la puerta
*no nsp tunnel Número de paquetes descartados enviados a una interfaz de túnel sin túnel de VPN asociado
no route Número de paquetes que no se pueden enrutar recibidos
no sa Número de paquetes descartados porque no hay definidas asociaciones de seguridad (SA)
no sa policy Número de paquetes descartados debido a que no había ninguna directiva asociada con una SA
*no xmit vpnf Número de paquetes VPN descartados debido a la fragmentación
null zone Número de paquetes descartados enviados erróneamente a una interfaz asociada a la zona Null
nvec err Número de paquetes descartados debido a un error de vector NAT
out bytes Número de bytes enviados
out packets Número de paquetes enviados
out vlan Número de paquetes de vlan salientes
ping of death Número de paquetes recibidos sospechosos de ataque tipo Ping of Death
policy deny Número de paquetes rechazados por una directiva definida
port scan Número de paquetes contabilizados como intentos de análisis de puerto
proc sess Número de veces que las sesiones totales en un módulo procesador excedieron el umbral máximo
sa inactive Número de paquetes descartados por una SA inactiva
sa policy deny Número de paquetes rechazados por una directiva de SA
sessn thresh El umbral para el número máximo de sesiones
*slow mac Número de tramas cuyas direcciones MAC eran lentas de resolver
src route Número de paquetes descartados debido a la opción de filtro de ruta de origen
syn frag Número de paquetes SYN descartados por causa de la fragmentación
tcp out of seq Número de segmentos TCP recibidos cuyo número de secuencia se encuentra fuera de un rango
aceptable
tcp proxy Número de paquetes descartados por haber utilizado un proxy TCP, como la opción de protección
contra inundación SYN o autenticación de usuario
tear drop Número de paquetes bloqueados como parte de una sospecha de ataque Teardrop
tiny frag Número de paquetes pequeños fragmentados recibidos
trmn drop Número de paquetes descartados por la administración de tráfico
trmng queue Número de paquetes que esperan en cola
udp flood Número de paquetes UDP contabilizados hacia el umbral de inundación UDP
url block Número de peticiones HTTP que han sido bloqueadas
Contador Descripción
winnuke Número de paquetes WinNuke recibidos
wrong intf Número de mensajes de creación de sesión enviados desde un módulo procesador al módulo
procesador master
wrong slot Número de paquetes enviados erróneamente a un modulo de procesador incorrecto
En este ejemplo veremos los contadores de pantalla del dispositivo para la zona
Trust.
WebUI
Reports > Counters > Zone Screen: Seleccione Trust en la lista desplegable
Zone.
CLI
get counter screen zone trust
A-I
Manual de referencia de ScreenOS: conceptos y ejemplos
A-II
Apéndice A: Archivos MIB para SNMP
A-III
Manual de referencia de ScreenOS: conceptos y ejemplos
netscreenProducts
netScreenIds
netscreenVpn
netscreenQos
A-IV
Apéndice A: Archivos MIB para SNMP
netscreenSetting
netscreenZone
netscreenPolicy
netscreenNAT
netscreenAddr
netscreenService
A-V
Manual de referencia de ScreenOS: conceptos y ejemplos
netscreenSchedule
netscreenVsys
netscreenResource
netscreenIp
netscreenVR
A-VI
Índice
A D
administración DIP ...................................................................................92
Interfaz de línea de comandos (CLI) .......................9 Direcciones IP
restringir ...................................................................41 IP administrativa .....................................................30
WebUI .........................................................................2 Servidores de NetScreen-Security Manager .........23
administrador raíz, inicio de sesión ............................41 direcciones IP de cliente de administración ...............41
Agente de NSM ..............................................................21 directiva de SA ...............................................................92
comunicar eventos ..................................................23 dispositivos, restablecer a los ajustes
habilitar ....................................................................22 predeterminados de fábrica ......................................40
ajustes de configuración, requisitos del distribución del protocolo, comunicar a
explorador .....................................................................2 NetScreen-Security Manager .....................................23
alarmas
alerta de correo electrónico ...................................64 E
comunicar a NetScreen-Security Manager ...........23 email alert notification ..................................................69
tráfico ............................................................... 64 a 67 error de vector NAT .......................................................92
umbrales ..................................................................64 error in-short ..................................................................90
alarmas de tráfico .................................................. 64 a 67 estadísticas, comunicar a NetScreen-Security
almacenamiento en segundo plano ............................90 Manager .......................................................................24
almacenamiento flash interno .....................................54
Archivos de ayuda ...........................................................2 F
Asociaciones de seguridad (SA) ...................................92 filtrar ruta de origen ......................................................92
C H
cables serie .....................................................................19 HTTP, ID de sesión ..........................................................4
capturas SNMP
100, problemas de hardware ................................70
200, problemas de cortafuegos .............................70
I
ID de sesión ......................................................................4
300, problemas de software ..................................70 Ident-Reset......................................................................27
400, problemas de tráfico ......................................70 iniciar sesión ..........................................................53 a 64
500, problemas de VPN .........................................70
CompactFlash (PCMCIA).........................................54
alarma de tráfico .....................................................70
consola......................................................................54
alarma del sistema ..................................................70 correo electrónico ...................................................54
permitir o denegar ..................................................72
interno ......................................................................54
tipos ..........................................................................70
registro de eventos ..................................................54
claves manuales, VPN .............................................42, 74 registro de recuperación de equipos .....................63
CLI .....................................................................................9
registro propio .........................................................61
CompactFlash ................................................................54
SNMP ..................................................................54, 69
comunidad SNMP syslog ..................................................................54, 67
privadas ....................................................................72
WebTrends .........................................................54, 68
públicas ....................................................................72 inicio de sesión
conexión principal .........................................................92 administrador raíz ...................................................41
consola ............................................................................54
Telnet ........................................................................10
contraseña interfaces
administrador raíz ...................................................39 gestionables .............................................................30
contraseñas
opciones de administración ...................................26
olvidada ....................................................................37
Índice IX-I
Manual de referencia de ScreenOS: conceptos y ejemplos
IX-II Índice
Índice
S U
SA inactiva ......................................................................92 usuarios, múltiples administrativos .............................31
SCP
ejemplo de comando del cliente ...........................18 V
habilitar ....................................................................18 VLAN1, opciones de administración ...........................27
secuencia de bits ...........................................................90 VPN
Secure Copy AutoKey IKE .......................................................42, 75
Consulte SCP clave manual ............................................................74
véase SCP claves manuales ......................................................42
Secure Shell para tráfico administrativo .....................................74
véase SSH VPN AutoKey IKE .....................................................42, 75
Secure Sockets Layer
véase SSL W
serie, cables ....................................................................19 WebTrends ................................................................54, 68
sistemas virtuales encriptación .......................................................68, 74
administradores ......................................................33 mensajes ..................................................................69
administradores de sólo lectura ............................32 WebUI................................................................................2
SMTP server IP ...............................................................67 Archivos de ayuda .....................................................2
SNMP ........................................................................26, 69 opciones de administración ...................................26
captura de inicio en frío .........................................70
configuración ...........................................................72
encriptación .......................................................72, 74
opciones de administración ...................................26
SSH .......................................................................... 11 a 16
autenticación mediante contraseña ......................14
autenticación mediante PKA .................................14
cargar claves públicas, CLI .....................................15
cargar claves públicas, TFTP ............................15, 17
cargar claves públicas, WebUI ...............................15
forzar la autenticación mediante PKA
exclusivamente .....................................................16
inicios de sesión automatizados ............................17
opciones de administración ...................................26
PKA ...........................................................................15
prioridad del método de autenticación ................16
procedimiento de conexión ...................................12
SSL .....................................................................................5
SSL, protocolo de saludo
véase SSLHP
SSLHP................................................................................5
syslog ..............................................................................54
encriptación .............................................................74
host ...........................................................................67
mensajes ..................................................................67
nombre de host .....................................68, 69, 77, 84
puerto ...........................................................68, 77, 84
servicio de seguridad ..................................68, 77, 84
utilidad ..........................................................68, 77, 84
T
TCP proxy .......................................................................92
Telnet ................................................................................9
Traducción de direcciones de red (NAT) .....................91
tráfico administrativo ....................................................27
Índice IX-III
Manual de referencia de ScreenOS: conceptos y ejemplos
IX-IV Índice
Conceptos y ejemplos
Manual de Referencia de ScreenOS
Volumen 4:
Mecanismos de detección y defensa de ataques
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Network’s installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen vii
Convenciones del documento ....................................................................... viii
Convenciones de la interfaz de línea de comandos (CLI) ........................ viii
Convenciones para las ilustraciones .......................................................... x
Convenciones de nomenclatura y conjuntos de caracteres ....................... xi
Convenciones de la interfaz gráfica (WebUI) ........................................... xii
Documentación de Juniper Networks ............................................................ xiii
Capítulo 1 Protección de una red 1
Etapas de un ataque......................................................................................... 2
Mecanismos de detección y defensa ................................................................ 2
Supervisar explotaciones de vulnerabilidades .................................................. 5
Ejemplo: Supervisión de ataques desde la zona Untrust ...................... 5
Capítulo 2 Disuasión de reconocimiento 6
Barrido de direcciones IP ................................................................................. 7
Análisis de puertos........................................................................................... 8
Reconocimiento de red mediante opciones IP ................................................. 9
Sondeo del sistema operativo ........................................................................ 11
Flags SYN y FIN activados ....................................................................... 11
Flag FIN sin flag ACK ............................................................................... 12
Encabezado TCP sin flags activados ........................................................ 13
Técnicas de evasión ....................................................................................... 14
Análisis FIN ............................................................................................. 14
Flags no SYN ........................................................................................... 15
Simulación de IP...................................................................................... 18
Ejemplo: Protección contra simulación de IP en la capa 3................. 20
Ejemplo: Protección contra simulación de IP en la capa 2................. 23
Opciones IP de ruta de origen .................................................................24
Capítulo 3 Defensas contra los ataques de denegación de servicio (DoS) 28
Ataques de DoS contra el cortafuegos ............................................................ 29
Inundación de la tabla de sesiones .......................................................... 29
Límites de sesiones basadas en sus orígenes y destinos.................... 29
Ejemplo: Limitación de sesiones según su origen.............................. 31
Ejemplo: Limitación de sesiones según su destino ............................ 31
Envejecimiento agresivo ................................................................... 32
Ejemplo: Forzar el envejecimiento agresivo de sesiones ................... 33
Inundación proxy SYN-ACK-ACK ............................................................. 34
Ataques DoS contra la red.............................................................................. 36
Inundación SYN....................................................................................... 36
Cookie SYN..............................................................................................46
Inundación ICMP ..................................................................................... 48
Contenido iii
Manual de referencia de ScreenOS: conceptos y ejemplos
iv Contenido
Contenido
Contenido v
Manual de referencia de ScreenOS: conceptos y ejemplos
Índice ........................................................................................................................IX-I
vi Contenido
Acerca de este volumen
NOTA: El objeto de las directivas sólo se presenta en este volumen de forma periférica, tal
como se aplica a las opciones de seguridad de red que se pueden activar a nivel de
directivas. Para examinar las directivas de forma completa, consulte “Directivas”
en la página 163.
vii
Manual de referencia de ScreenOS: conceptos y ejemplos
En ejemplos:
En texto:
NOTA: Para escribir palabras clave, basta con introducir los primeros caracteres que
permitan al sistema reconocer de forma inequívoca la palabra que se está
introduciendo. Por ejemplo, es suficiente introducir set adm u kath j12fmt54
para que el sistema reconozca el comando set admin user kathleen j12fmt54.
Aunque este método se puede utilizar para introducir comandos, en la presente
documentación todos ellos se representan con sus palabras completas.
Interfaz de túnel
Servidor
Túnel VPN
Concentrador (hub)
Enrutador
Teléfono IP
Conmutador
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles ( “ ); por ejemplo:
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de
diálogo apropiado, donde podrá definir objetos y establecer parámetros de ajuste.
El conjunto de instrucciones de cada tarea se divide en ruta de navegación y ajustes
de configuración:
Objects > Addresses > List > New: Ingrese los siguientes datos y haga clic en
OK:
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
techpubs-comments@juniper.net
Puede haber numerosos motivos para penetrar en una red protegida. La siguiente
lista contiene algunos objetivos comunes:
Topología
Colapsar un host de una red protegida con tráfico fantasma para inducir una
denegación de servicio (DoS)
Colapsar una red protegida con tráfico fantasma para inducir un DoS en toda la
red
Este capítulo proporciona una vista general de las principales etapas de un ataque y
de los diversos mecanismos de defensa que se pueden emplear para frustrar un
ataque en cualquier etapa:
1
Manual de referencia de ScreenOS: conceptos y ejemplos
Etapas de un ataque
Normalmente, los ataques se desarrollan en dos etapas principales. En la primera
etapa, el atacante recopila información; en la segunda etapa, lanza el ataque
propiamente dicho.
1. Realizar el reconocimiento.
2. Lanzar el ataque.
b. Realizar el ataque.
2 Etapas de un ataque
Capítulo 1: Protección de una red
NOTA: Aunque las zonas VLAN y MGT son zonas de función y no zonas de seguridad, es
posible ajustar opciones SCREEN para ellas. La zona VLAN admite el mismo
conjunto de opciones SCREEN que una zona de seguridad de capa 3. (Las zonas
de seguridad de capa 2 admiten una opción adicional de inundación SYN que las
zonas de capa 3 no admiten: descartar direcciones MAC desconocidas). Como las
siguientes opciones SCREEN no se aplican a la zona MGT, no están disponibles
para dicha zona: protección contra inundaciones SYN, protección contra la
inundación SYN-ACK-ACK del proxy, bloqueo de componentes HTTP y protección
frente a ataques de WinNuke.
Para ofrecer protección contra todos los intentos de conexión, los dispositivos de
seguridad Juniper Networks utilizan un método de filtrado de paquetes dinámico
conocido como inspección de estado. Mediante este método, el dispositivo de
seguridad detecta los diversos componentes del paquete IP y de los encabezados de
segmentos TCP (direcciones IP de origen y de destino, números de puertos de
origen y de destino y números de secuencias de paquetes) y mantiene el estado de
cada sesión TCP y seudo-sesión UDP que atraviese el cortafuegos. (El dispositivo
también modifica los estados de sesión basados en elementos cambiantes, como
cambios de puertos dinámicos o terminación de sesión). Cuando llega un paquete
TCP de respuesta, el dispositivo compara la información incluida en su encabezado
con el estado de la sesión asociada almacenada en la tabla de inspección. Si
coinciden, se permite que el paquete de respuesta atraviese el cortafuegos. De lo
contrario, el paquete se descarta.
Disuasión de reconocimiento
Barrido de direcciones IP
Análisis de puertos
Técnicas de evasión
Reensamblaje de fragmentos
Análisis antivirus
Filtrado anti-spam
Filtrado de Web
Deep Inspection
Firmas completas
Anomalías en el protocolo
Inundación SYN
Inundación ICMP
Inundación UDP
Ping of death
Ataque “Teardrop”
WinNuke
Fragmentos ICMP
Opciones IP incorrectas
Protocolos desconocidos
Fragmentos de paquetes IP
Fragmentos SYN
WebUI
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga clic
en Apply:
CLI
set zone untrust screen alarm-without-drop
set zone untrust screen ip-spoofing
save
Los atacantes pueden planificar mejor sus ataques si antes conocen el diseño de la
red objetivo del ataque (qué direcciones IP tienen los hosts activos), los puntos de
entrada posibles (qué números de puertos están activos en los hosts activos) y la
constitución de sus víctimas (qué sistema operativo se está ejecutando en los hosts
activos). Para obtener esta información, es necesario realizar un reconocimiento.
Juniper Networks ofrece varias opciones SCREEN para frustrar los intentos de
reconocimiento de los atacantes e impedir que obtengan información valiosa sobre
la red y los recursos de red protegidos.
6
Capítulo 2: Disuasión de reconocimiento
Barrido de direcciones IP
Se produce un barrido de direcciones cuando una dirección IP de origen envía 10
paquetes ICMP a distintos hosts en un intervalo definido (el valor predeterminado
es 5000 microsegundos). El objetivo de este sistema es enviar paquetes ICMP,
normalmente peticiones de eco, a varios hosts con la esperanza de que al menos
uno responda, dejando al descubierto una dirección a la que dirigirse. El dispositivo
de seguridad registra de forma interna el número de paquetes ICMP enviados a
diversas direcciones desde un origen remoto. Mediante los ajustes
predeterminados, si un host remoto envía tráfico ICMP a 10 direcciones en 0,005
segundos (5000 microsegundos), el dispositivo de seguridad lo marcará como un
ataque de barrido de direcciones y rechazará todas las peticiones de eco de ICMP
siguientes procedentes de dicho host hasta que transcurra el tiempo del umbral
especificado. El dispositivo detecta y descarta el décimo paquete que cumple con
los criterios de ataque de barrido de direcciones.
Origen: 2.2.2.5
(Probablemente una dirección
suplantada o un agente zombie) ethernet3 ethernet2
Untrust 1.1.1.1/24 1.2.2.1/24
DMZ
Paquetes ICMP
El dispositivo de seguridad realiza una
Dir. Dir. entrada en su tabla de sesiones para
origen destino los 10 primeros paquetes ICMP
11 paquetes ICMP 2.2.2.5 1.2.2.5 procedentes de 2.2.2.5 y realiza una
en 0.005 segundos 2.2.2.5 1.2.2.160 consulta de rutas y una consulta de
2.2.2.5 1.2.2.84 directivas para ellos. Si ninguna
2.2.2.5 1.2.2.211 directiva permite estos paquetes, el
Nota: Después de la recepción 2.2.2.5 1.2.2.10 dispositivo los marca como no válidos
de los 10 paquetes ICMP, el 2.2.2.5 1.2.2.20 y los elimina de la tabla de sesiones
dispositivo de seguridad registra 2.2.2.5 1.2.2.21 en el siguiente “barrido de basura”,
esto como un barrido de 2.2.2.5 1.2.2.240 que se realiza cada dos segundos. A
direcciones de IP y rechaza el 2.2.2.5 1.2.2.17 partir del décimo paquete, el
Rechazado 2.2.2.5 1.2.2.123 dispositivo rechaza todo el tráfico
paquete undécimo.
2.2.2.5 1.2.2.6 ICMP procedente de 2.2.2.5.
Estudie la activación de esta opción SCREEN para una zona de seguridad sólo si
existe una directiva que permita el tráfico ICMP procedente de dicha zona. De lo
contrario, no es necesario activarla. Si no existe tal directiva, se rechaza todo el
tráfico ICMP procedente de la zona, impidiendo a los atacantes que realicen un
barrido de direcciones IP con éxito.
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos y haga clic en Apply:
Barrido de direcciones IP 7
Manual de referencia de ScreenOS: conceptos y ejemplos
CLI
set zone zone screen port-scan threshold number
set zone zone screen ip-sweep
Análisis de puertos
Un análisis de puertos se produce cuando una dirección IP de origen envía paquetes
IP con segmentos TCP SYN a 10 puertos distintos en la misma dirección IP de
destino en un intervalo definido (5000 microsegundos es el valor predeterminado).
El objetivo de este esquema es analizar los servicios disponibles con la esperanza
de que al menos un puerto responda, identificando un servicio al que dirigir su
ataque. El dispositivo de seguridad registra de forma interna el número de los
diversos puertos analizados desde un origen remoto. Mediante los ajustes
predeterminados, si un host remoto analiza 10 puertos en 0,005 segundos (5000
microsegundos), el dispositivo lo marcará como un ataque de análisis de puertos y
rechazará todos los paquetes procedentes del origen remoto (independientemente
de la dirección IP de destino) hasta que transcurra el resto del tiempo de espera
especificado. El dispositivo detecta y descarta el décimo paquete que cumple con
los criterios de ataque de análisis de puertos.
Origen: 2.2.2.5
(Probablemente una dirección
suplantada o un agente zombie) ethernet3 ethernet2
1.1.1.1/24 1.2.2.1/24
Untrust DMZ
Destino: 1.2.2.5
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos y haga clic en Apply:
8 Análisis de puertos
Capítulo 2: Disuasión de reconocimiento
CLI
set zone zone screen port-scan threshold number
set zone zone screen port-scan
Identificación 0 D M Desplazamiento
Dirección de origen
Dirección de destino
Opciones
Carga de datos
La norma RFC 791 establece que estas opciones “no son necesarias para las
comunicaciones más comunes” y, en realidad, rara vez aparecen en encabezados
de paquetes IP. Cuando aparecen, con frecuencia se colocan para algún uso
ilegítimo. La Tabla 1 enumera las opciones IP y sus atributos conjuntos.
1.La clase de opciones identificada como “0” estaba diseñada para proporcionar control de red o paquetes adicionales.
2.La clase de opciones identificada como “2” se diseñó para el diagnóstico, la depuración y la medición.
3.La marca de hora utiliza el número de milisegundos desde la media noche en horario universal (UT). Este horario también se
denomina “horario medio de Greenwich” (GMT) y es la base para la norma horaria internacional.
Las siguientes opciones SCREEN detectan las opciones IP que un atacante puede
utilizar para el reconocimiento o cualquier otro propósito desconocido, pero
sospechoso:
Para detectar paquetes con las opciones IP anteriores ajustadas, utilice uno de los
siguientes métodos (la zona de seguridad especificada es la zona en la que se
originó el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos y haga clic en Apply:
CLI
set zone zone screen ip-record-route
set zone zone screen ip-timestamp-opt
set zone zone screen ip-security-opt
set zone zone screen ip-stream-opt
Un atacante puede enviar un segmento con ambos flags activados para ver qué tipo
de respuesta de sistema se devuelve y determinar de este modo qué tipo de OS se
utiliza en el punto de destino. A continuación, el atacante puede emplear cualquier
vulnerabilidad conocida del sistema para futuros ataques.
Para bloquear paquetes con los flags SYN y FIN activados, utilice uno de los
siguientes métodos (la zona de seguridad especificada es la zona en la que se
originó el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione SYN
and FIN Bits Set Protection y haga clic en Apply.
CLI
set zone zone screen syn-fin
NOTA: Los proveedores han interpretado la norma RFC 793, Transmission Control
Protocol de diversas formas a la hora de diseñar las implementaciones TCP/IP.
Cuando se recibe un segmento TCP con el flag FIN activado y el flag ACK sin
activar, determinadas implementaciones envían segmentos RST. Otras descartan
el paquete sin enviar ningún segmento RST.
Para bloquear paquetes con el flag FIN activado y el flag ACK desactivado, utilice
uno de los siguientes métodos (la zona de seguridad especificada es la zona en la
que se originó el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione FIN Bit
with No ACK Bit in Flags Protection y haga clic en Apply.
CLI
set zone zone screen fin-no-ack
Encabezado TCP Número de puerto de origen de 16 bits Número de puerto de destino de 16 bits
Número de secuencia de 32 bits
Número de reconocimiento de 32 bits
Longitud de Reservado U A P R S F
encabezado de (6 bits) R C S S Y I Tamaño de ventana de 16 bits
4 bits G K H T N N
Suma de comprobación de TCP de 16 bits Puntero urgente de 16 bits
Para bloquear los paquetes que no tengan ningún flag activado, utilice uno de los
siguientes métodos (la zona de seguridad especificada es la zona en la que se
originó el paquete):
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione TCP
Packet without Flag Protection y haga clic en Apply.
CLI
set zone zone screen tcp-no-flag
Técnicas de evasión
Ya sea mientras recopila información o lanza un ataque, el atacante normalmente
espera evitar que lo detecten. Aunque ciertos análisis de direcciones IP y puertos
son tan descarados que se pueden detectar fácilmente, algunos atacantes con
mayores recursos utilizar una gran cantidad de medios para ocultar su actividad.
Técnicas tales como la utilización de análisis FIN en lugar de análisis SYN (que los
atacantes saben que la mayoría de cortafuegos y programas de detección de
intrusiones detectan) indican una evolución en las técnicas de reconocimiento y
explotación de vulnerabilidades con el objetivo de eludir la detección y llevar a cabo
sus acciones.
Análisis FIN
Un análisis FIN envía segmentos TCP con el flag FIN activado para intentar provocar
una respuesta (un segmento TCP con el flag RST activado) y así descubrir un host
activo o un puerto activo en un host. El atacante puede utilizar este método no para
realizar un barrido de direcciones con peticiones de eco ICMP o un análisis de
direcciones con segmentos SYN, sino porque sabe que muchos cortafuegos se
defienden contra estos dos últimos, pero no necesariamente contra los segmentos
FIN. Si se utilizan segmentos TCP con el flag FIN activado se puede evadir la
detección, permitiendo así que el atacante tenga éxito en su intento de
reconocimiento.
14 Técnicas de evasión
Capítulo 2: Disuasión de reconocimiento
Para frustrar un análisis FIN, puede ejecutar cualquiera de las siguientes acciones o
ambas:
WebUI: Screening > Screen: Seleccione la zona a la que desea aplicar esta
opción SCREEN en la lista desplegable “Zone” y seleccione FIN Bit With No
ACK Bit in Flags Protection.
NOTA: Cambiando el flujo de paquetes para comprobar que el flag SYN está activado
para los paquetes no pertenecientes a sesiones existentes también se frustran
otros tipos de análisis no SYN, tales como los análisis nulos (“null scan”, es decir,
cuando no hay ningún flag de TCP activo).
Flags no SYN
De forma predeterminada, el dispositivo de seguridad revisa si hay flags SYN en el
primer paquete de una sesión y rechaza cualquier segmento TCP que tenga flags
que no sean SYN intentando iniciar una sesión. Puede dejar fluir este paquete tal y
como está o cambiarlo para que el dispositivo no aumente la revisión de flag SYN
antes de crear una sesión. La Figura 10 en la página 16 muestra las secuencias del
flujo de paquetes cuando está activada la revisión del flag SYN y cuando está
desactivada.
NOTA: De forma predeterminada, la revisión del flag TCP SYN en el paquete inicial de
una sesión está activa cuando instala el dispositivo de seguridad Juniper Networks
con ejecución de ScreenOS 5.1.0 o superior. Si actualiza de una versión anterior a
ScreenOS 5.1.0, la revisión SYN permanece desactivada de forma
predeterminada, a menos que haya cambiado previamente el comportamiento
predeterminado.
Técnicas de evasión 15
Manual de referencia de ScreenOS: conceptos y ejemplos
Con la comprobación de flag SYN habilitada Con la comprobación de flag SYN inhabilitada
En En
Consulta sesión Consulta sesión
Actualización de Actualización ADELANTE
de ADELANTE
sesiones de sesión sesiones de sesión
No en No en
sesión sesión
Rechazar No Rechazar
No comprobar el flag SYN en los primeros paquetes ofrece las siguientes ventajas:
16 Técnicas de evasión
Capítulo 2: Disuasión de reconocimiento
Sin embargo, observe que las ventajas indicadas requieren los siguientes sacrificios
en seguridad:
Técnicas de evasión 17
Manual de referencia de ScreenOS: conceptos y ejemplos
NOTA: Para obtener información sobre las inundaciones de la tabla de sesiones, consulte
“Inundación de la tabla de sesiones” en la página 33. Para obtener más
información sobre inundaciones SYN, consulte “Inundación SYN” en la página 40.
Simulación de IP
Un método para intentar acceder a un área restringida de la red es insertar una
dirección de origen falsa en el encabezado del paquete para que parezca que
procede de un lugar de origen confiable. Esta técnica se conoce como simulación
de IP (IP Spoofing). Para detectar esta técnica, ScreenOS dispone de dos métodos
con el mismo objetivo: determinar si el paquete procede de una ubicación distinta
de la indicada en el encabezado. El método que utilizará el dispositivo de seguridad
Juniper Networks dependerá de si funciona en la capa 3 (Layer 3) o capa 2 (Layer 2)
del modelo OSI.
18 Técnicas de evasión
Capítulo 2: Disuasión de reconocimiento
ethernet3
1.1.1.1/24
X Tabla de rutas
3. Si al consultar la tabla de rutas ID Prefijo IP Interfaz Puerta de
enlace P
observa que 10.1.1.6 no es una
dirección IP de origen válida para 1 10.1.10/24 eth 1 0.0.0.0 C
un paquete que llega a ethernet3, el
dispositivo rechazará el paquete. ethernet1
Zona Trust
10.1.1.1/24
Subred: 10.1.1.0/24
Técnicas de evasión 19
Manual de referencia de ScreenOS: conceptos y ejemplos
Zona V1-DMZ
Tenga cuidado al definir direcciones para la subred que abarca múltiples zonas
de seguridad. En la Figura 12, 1.2.2.0/24 pertenece tanto a la zona V1-Untrust
como a la zona V1-DMZ. Si configura el dispositivo de seguridad tal y como se
describe a continuación, bloqueará el tráfico procedente de la zona V1-DMZ
cuyo paso desea permitir:
20 Técnicas de evasión
Capítulo 2: Disuasión de reconocimiento
ethernet2
1.2.2.1/24
1.2.3.0/24
Zona
DMZ
Enrutador
1.2.2.250
Técnicas de evasión 21
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
22 Técnicas de evasión
Capítulo 2: Disuasión de reconocimiento
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone dmz
set interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Rutas
set vrouter trust-vr route 10.1.2.0/24 interface ethernet1 gateway 10.1.1.250
set vrouter trust-vr route 1.2.3.0/24 interface ethernet2 gateway 1.2.2.250
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
3. Protección contra simulación de IP
set zone trust screen ip-spoofing
set zone dmz screen ip-spoofing
set zone untrust screen ip-spoofing
save
servA: 1.2.2.10
servB: 1.2.2.20
servC: 1.2.2.30
Técnicas de evasión 23
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
1. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
CLI
1. Direcciones
set address v1-dmz servA 1.2.2.10/32
set address v1-dmz servB 1.2.2.20/32
set address v1-dmz servC 1.2.2.30/32
2. Protección contra simulación de IP
set zone v1-untrust screen ip-spoofing
save
24 Técnicas de evasión
Capítulo 2: Disuasión de reconocimiento
enviando diversos paquetes por distintos itinerarios puede tomar nota de los
cambios que contribuyen a aumentar o reducir las posibilidades de éxito. Mediante
el análisis y un proceso de eliminación, es posible que pueda deducir dónde reside
el problema.
Opciones IP de ruta de
origen para diagnóstico Cuatro
1 enrutadores 3
A Itinerario del paquete B
La transmisión de A a B mediante los enrutadores
1 y 3 se realiza con éxito el 50% de las ocasiones.
2 4
1 3
A B
Mediante el enrutamiento de origen IP, A envía
tráfico a través de los enrutadores 2 y 3. La
2 4 transmisión de A a B se realiza con éxito el
50% de las ocasiones.
1 3
A B Mediante el enrutamiento de origen IP, A
envía tráfico a través de los enrutadores 1
y 4. La transmisión de A a B se realiza con
2 4 éxito el 100% de las ocasiones. Por lo
tanto, podemos suponer que el problema
reside en el enrutador 3.
2.2.2.0/24 10.1.1.0/24
2 4
Técnicas de evasión 25
Manual de referencia de ScreenOS: conceptos y ejemplos
Deny IP Source Route Option: Active esta opción para bloquear todo el tráfico
IP que emplee la opción de rutas de origen abierta o estricta. Las opciones de
ruta de origen pueden llegar a permitir a un atacante entrar en una red con una
dirección IP falsa.
(Para obtener más información sobre todas las opciones IP, consulte
“Reconocimiento de red mediante opciones IP” en la página 9).
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione IP
Source Route Option Filter y haga clic en Apply.
CLI
set zone zone screen ip-filter-src
26 Técnicas de evasión
Capítulo 2: Disuasión de reconocimiento
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos y haga clic en Apply:
CLI
set zone zone screen ip-loose-src-route
set zone zone screen ip-strict-src-route
Técnicas de evasión 27
Manual de referencia de ScreenOS: conceptos y ejemplos
28 Técnicas de evasión
Capítulo 2: Disuasión de reconocimiento
Técnicas de evasión 29
Manual de referencia de ScreenOS: conceptos y ejemplos
30 Técnicas de evasión
Capítulo 2: Disuasión de reconocimiento
Técnicas de evasión 31
Capítulo 3
Defensas contra los ataques de
denegación de servicio (DoS)
32
Capítulo 3: Defensas contra los ataques de denegación de servicio (DoS)
“WinNuke” en la página 57
Envejecimiento agresivo
IP de origen de
host inexistente: Agentes
6.6.6.6 zombie
Zona Untrust Zona Untrust
Cuando el número de sesiones simultáneas procedentes de Cuando el número de sesiones simultáneas al servidor web
6.6.6.6 sobrepasa el límite máximo, el dispositivo de seguridad sobrepasa el límite máximo, el dispositivo de seguridad bloquea
bloquea cualquier conexión subsiguiente de esa dirección IP. cualquier intento de conexión subsiguiente a esa dirección IP.
WebUI
Screening > Screen (Zone: DMZ): Introduzca los siguientes datos y haga clic en
OK:
Screening > Screen (Zone: Trust): Introduzca los siguientes datos y haga clic en
OK:
CLI
set zone dmz screen limit-session source-ip-based 1
set zone dmz screen limit-session source-ip-based
set zone trust screen limit-session source-ip-based 80
set zone trust screen limit-session source-ip-based
save
WebUI
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga clic
en OK:
CLI
set zone untrust screen limit-session destination-ip-based 4000
set zone untrust screen limit-session destination-ip-based
save
Envejecimiento agresivo
De forma predeterminada, el establecimiento de comunicación inicial en 3 fases de
una sesión TCP tarda 20 segundos en caducar (es decir, expirar por inactividad).
Una vez establecida una sesión TCP, el valor del tiempo de espera cambia a 30
minutos. Para sesiones HTTP y UDP, los tiempos de espera son de 5 minutos y 1
minuto, respectivamente. El contador de tiempo de espera de cada sesión se inicia
al comenzar ésta y se actualiza cada 10 segundos mientras la sesión permanece
activa. Si una sesión queda inactiva durante más de 10 segundos, el contador de
tiempo de espera comienza la cuenta atrás.
NOTA: Esta función no está disponible en los sistemas de las series NetScreen-5000 o
ISG.
TCP: El valor del tiempo de espera de la sesión se acorta de 1800 segundos (30
minutos) a 1700 segundos (28:20 minutos) mientras el proceso de
envejecimiento agresivo está activo. Durante ese periodo, el dispositivo de
seguridad elimina automáticamente todas las sesiones TCP cuyo valor de
tiempo de espera haya superado los 1700 segundos, comenzando por las
sesiones más antiguas.
Min 30 25 20 15 10 5 0
Tiempo de espera predeterminado de la sesión TCP: 30 min
(1800 seg)
Envejecimiento agresivo = 10 (predeterminado - 100 seg):
28:20 min (1700 seg) Seg 1800 1500 1200 900 600 300 0
Min 5 4 3 2 1 0
Tiempo de espera predeterminado de la sesión HTTP: 5 min (300 seg)
Envejecimiento agresivo = 10 (predeterminado - 100 seg):
3:20 min (200 seg)
Seg 300 240 180 120 60 0
100%
Cuando el número de sesiones supera la capacidad del
80%, se activa el mecanismo de envejecimiento agresivo.
80% Umbral superior
Envejecimiento
agresivo
70% Umbral inferior (- 40 seg de
envejecimiento
Las sesiones envejecen forzadamente hasta
forzado)
que su número cae por debajo del 70%. En
Sesiones ese momento, el mecanismo de
envejecimiento agresivo se detiene.
0%
WebUI
NOTA: Para configurar los ajustes de envejecimiento agresivo debe utilizar la interfaz de
línea de comandos (“CLI”).
CLI
set flow aging low-watermark 70
set flow aging high-watermark 80
set flow aging early-ageout 4
save
SYN
Nombre: ?
Contraseña: ?
SYN
SYN/ACK
ACK La tabla de sesiones se está llenando.
Nombre: ?
Contraseña: ?
.
.
.
SYN La tabla de sesiones está llena.
Para habilitar la protección contra una inundación SYN-ACK-ACK del proxy, ejecute
cualquiera de los siguientes procedimientos, donde la zona especificada es aquélla
en la que se origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos y haga clic en Apply:
NOTA: La unidad de este valor se expresa en conexiones por dirección de origen. El valor
predeterminado es de 512 conexiones de una determinada dirección IP.
CLI
set zone zone screen syn-ack-ack-proxy threshold number
set zone zone screen syn-ack-ack-proxy
Inundación SYN
Una inundación SYN ocurre cuando un host resulta tan saturado con segmentos
SYN que inician peticiones de conexión irrealizables que le resulta imposible
procesar peticiones de conexión legítimas.
Dos hosts establecen una conexión TCP con triple intercambio de segmentos TCP,
conocido como un establecimiento de comunicación en tres fases: A envía un
segmento SYN a B; B responde con un segmento SYN; A responde con un
segmento ACK. Un ataque de inundación SYN inunda un sitio con segmentos SYN
que contienen direcciones IP de origen falsificadas (simuladas), es decir,
inexistentes o inalcanzables. B responde enviando segmentos SYN/ACK a estas
direcciones y espera segmentos ACK de respuesta. Como los segmentos SYN/ACK
se envían a direcciones IP inexistentes o inalcanzables, nunca obtienen respuesta y
acaban por superar el tiempo de espera.
El host en 2.2.2.5 envía segmentos SYN Si una directiva permite el tráfico entrante, el dispositivo de seguridad
Dirección en paquetes IP con direcciones de origen permite los segmentos SYN. La víctima responde enviando segmentos
IP real, suplantadas. SYN/ACK a la dirección IP de origen simulada, quedando a la espera
1.2.2.5 de respuesta hasta que los intentos caducan.
Direcciones IP
inexistente o
inalcanzables
3.3.3.5
SYN
LAN
SYN/ACK protegida
4.4.4.20
SYN
SYN/ACK
5.5.5.10
SYN El búfer de memoria
de la víctima
SYN/ACK comienza a
6.6.6.3 llenarse.
SYN
SYN/ACK
Al inundar un host con conexiones TCP incompletas, el atacante acabará por llenar
el búfer de memoria de la víctima. Cuando este búfer se llena, el host ya no puede
procesar nuevas peticiones de conexión TCP. La inundación puede incluso dañar el
sistema operativo de la víctima. En cualquier caso, el ataque inhabilita a la víctima y
sus operaciones normales.
Dirección IP real El host con la dirección 2.2.2.5 continúa enviando segmentos SYN
2.2.2.5 en paquetes IP con direcciones de origen suplantadas.
Direcciones IP
inexistente o
inalcanzables
SYN LAN
7.7.7.11 protegida
SYN/ACK
8.8.8.8 SYN
SYN/ACK
El búfer de memoria de la
9.9.9.22 víctima deja de llenarse.
— Umbral de ataque SYN —
2.2.2.4
SYN
Cuando el número de segmentos
SYN/ACK SYN procedentes de una misma
dirección de origen o dirigidos a la
3.3.3.25 SYN misma dirección de destino alcanza La cola de conexiones
un umbral especificado, el dispositivo procesada por proxy del
SYN/ACK de seguridad comienza a interceptar dispositivo de seguridad
las peticiones de conexión y a comienza a llenarse.
. procesar los segmentos SYN/ACK
. mediante el proxy.
.
Dirección IP real El host con la dirección 2.2.2.5 continúa enviando segmentos SYN
2.2.2.5 en paquetes IP con la dirección de origen suplantada 3.3.3.5.
Dispositivo de seguridad
LAN
Direcciones IP protegida
inexistentes o
inalcanzables
3.3.3.5 — Umbral de ataque SYN —
SYN
El dispositivo de seguridad intercepta El búfer de memoria de la
SYN/ACK los segmentos SYN y procesa por víctima recupera su estado
proxy las respuestas SYN/ACK hasta normal.
que la cola de conexiones procesada
SYN por proxy se llena.
La cola de conexiones
SYN/ACK procesada por proxy del
dispositivo de seguridad
está llena.
— Umbral de alarma —
El dispositivo de seguridad
rechaza nuevos segmentos SYN
de todas las direcciones de la
SYN misma zona de seguridad.
NOTA: El procedimiento de procesar por proxy las conexiones SYN incompletas por
encima de un umbral establecido afecta solamente al tráfico permitido por las
directivas existentes. Cualquier tráfico para el que no exista una directiva se
descarta automáticamente.
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos y haga clic en Apply:
NOTA: Para obtener más detalles acerca de cada uno de estos parámetros, consulte las
descripciones en la siguiente sección de CLI.
CLI
Para habilitar la protección contra inundaciones SYN:
Para procesar por proxy las peticiones de conexión TCP inacabadas puede
establecer los siguientes parámetros:
Attack Threshold: El número de segmentos SYN (es decir, segmentos TCP con
el flag SYN activado) dirigidos a la misma dirección de destino y número de
puerto requeridos por segundo para activar el mecanismo de procesamiento de
SYN por proxy. Aunque se puede ajustar el umbral en cualquier número, es
necesario conocer los patrones de tráfico habituales en cada instalación para
establecer un umbral adecuado. Por ejemplo, en un sitio de comercio
electrónico que normalmente recibe 20.000 segmentos SYN por segundo,
conviene establecer un umbral de, por ejemplo, 30.000 por segundo. Si un sitio
más pequeño recibe habitualmente 20 segmentos SYN por segundo, plantéese
establecer el umbral en 40.
1. El cortafuegos deja pasar los primeros 2000 segmentos SYN por segundo
que cumplen los requisitos de las directivas.
Servidores Web
ethernet3 ethernet2
1.1.1.1/24 1.2.2.1/24
Zona Untrust 1.2.2.10
SYN Flood
1.2.2.40
Firewall
Para configurar los parámetros de protección contra inundaciones SYN con los
valores apropiados para su red, primero debe establecer una línea de base de los
flujos de tráfico típicos. Durante una semana, ejecute un programa rastreador en
ethernet3 (la interfaz asociada a la zona Untrust) para supervisar el número de
nuevas peticiones de conexión TCP que llegan cada segundo a los cuatro servidores
web en DMZ. Su análisis de los datos acumulados durante una semana de
supervisión produce la estadística siguiente:
1.Las peticiones de conexión semicompletas son establecimientos de comunicación en tres fases incompletos. Un
establecimiento de comunicación en tres fases es la fase inicial de una conexión TCP. Consiste en un segmento TCP con el
flag SYN activado, una respuesta con los flag SYN y ACK activados y una respuesta a ésta con el flag ACK activado.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > Groups > (para la zona: DMZ) New: Introduzca el
siguiente nombre de grupo, mueva las siguientes direcciones y haga clic en OK:
3. Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), web_servers
Service: HTTP
Action: Permit
4. SCREEN
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga clic
en Apply:
CLI
1. Interfaces
set interface ethernet2 zone dmz
set interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address dmz ws1 1.2.2.10/32
set address dmz ws2 1.2.2.20/32
set address dmz ws3 1.2.2.30/32
set address dmz ws4 1.2.2.40/32
set group address dmz web_servers add ws1
set group address dmz web_servers add ws2
set group address dmz web_servers add ws3
set group address dmz web_servers add ws4
3. Directiva
set policy from untrust to dmz any web_servers HTTP permit
4. SCREEN
set zone untrust screen syn-flood attack-threshold 625
set zone untrust screen syn-flood alarm-threshold 250
set zone untrust screen syn-flood source-threshold 25
set zone untrust screen syn-flood timeout 20
set zone untrust screen syn-flood queue-size 1000
set zone untrust screen syn-flood
save
Cookie SYN
Una cookie SYN es un mecanismo de procesamiento de SYN por proxy sin estado,
que se puede utilizar junto con las defensas contra un ataque de inundación SYN,
como el que se describe en “Inundación SYN” en la página 40. Al igual que los
procesamientos de SYN por proxy tradicionales, cookie SYN se activa cuando un
umbral de ataque contra inundaciones SYN se excedió, pero debido a que cookie
SYN no tiene un estado, éste no configura una sesión o realiza consultas de rutas y
direcivas dependiento de la recepción de un segmento SYN y no mantiene ninguna
cola de petición de conexión. Esto reduce enormente el uso de la CPU y de la
memoria y es el beneficio principal de utilizar cookie SYN en lugar del mecanismo
de procesamiento de SYN por proxy tradicional.
Dispositivo de seguridad
Host TCP Servidor TCP
1 SYN
1. Consulta de sesiones -- Sin coincidencia
de sesión
2. Cookie SYN activada
3. Calcular ISN
4. Volver a enviar SYN/ACK al host
2 SYN/ACK
Enviar ACK
3 ACK
1. Consulta de sesiones -- Sin coincidencia
de sesión
2. Cookie SYS validada
3. Restablecer MSS
4. Primer paquete aprobado--enrutamiento,
consulta de directivas, configuración de sesión
5. Enviar SYN al servidor
4 SYN
1. Aceptar conexión
2. Enviar SYN/ACK
55 SYN/ACK
7 ACK 6 ACK
Conectado
8 Datos/ACK
Datos/ACK
9
Para habilitar una cookie SYN, establezca un umbral de ataque de inundación SYN
(como se describe en “Inundación SYN” en la página 40), y ejecute uno de los
siguientes pasos:
WebUI
Configuration > Advanced > Flow: Introduzca los siguientes datos y haga clic
en Apply:
CLI
set flow syn-proxy syn-cookie
Inundación ICMP
Una inundación ICMP normalmente se produce cuando las peticiones de eco ICMP
sobrecargan a su víctima con tantas peticiones que ésta consume todos sus
recursos en responder, hasta que le resulta imposible procesar el tráfico de red
válido. Al habilitar la función de protección contra inundaciones ICMP, puede
establecer un umbral que, al ser excedido, activa la función de protección contra
ataques de inundación ICMP. (El valor predeterminado del umbral es 1000 paquetes
por segundo). Si se excede este umbral, el dispositivo de seguridad ignora otras
peticiones de eco ICMP durante el resto de ese segundo y también durante el
segundo siguiente.
NOTA: Una inundación ICMP puede constar de cualquier tipo de mensaje ICMP. Por lo
tanto, un dispositivo de seguridad de Juniper Networks supervisa todos los tipos
de mensajes ICMP, no únicamente las peticiones de eco.
El atacante envía peticiones de eco ICMP El dispositivo de seguridad deja pasar las peticiones
con direcciones de origen simuladas. de eco sólo si alguna directiva lo permite.
Petición de eco
Respuesta de eco
.
.
.
— Límite máximo de peticiones de eco ICMP por segundo —
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos y haga clic en Apply:
NOTA: La unidad de este valor se expresa en paquetes ICMP por segundo. El valor
predeterminado es de 1000 paquetes por segundo.
CLI
set zone zone screen icmp-flood threshold number
set zone zone screen icmp-flood
Inundación UDP
De forma parecida a una inundación ICMP, una inundación UDP ocurre cuando un
atacante envía paquetes IP que contienen datagramas UDP con el propósito de
ralentizar a la víctima hasta que le resulta imposible procesar las conexiones
válidas. Después de habilitar la función de protección contra inundaciones UDP,
puede establecer un umbral que, cuando se excede, activa la función de protección
contra ataques de inundación UDP. (El valor predeterminado del umbral es 1000
paquetes por segundo). Si el número de datagramas UDP de uno o más orígenes a
un destino determinado supera este umbral, el dispositivo de seguridad ignora los
datagramas UDP subsiguientes dirigidos a ese destino durante el resto de ese
segundo y también durante el segundo siguiente.
El atacante envía datagramas UDP en paquetes El dispositivo de seguridad deja pasar los datagramas
IP con direcciones de origen simuladas. UDP sólo si alguna directiva lo permite.
LAN protegida
Datagrama UDP Servidor DNS
Datagramas UDP Los datagramas IP: 1.2.2.5
dentro de los apuntan a un servidor
paquetes IP de una Puerto: 53 (UDP)
DNS en 1.2.2.5:53.
variedad de Datagrama UDP
direcciones IP
simuladas
Datagrama UDP
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Introduzca los
siguientes datos y haga clic en Apply:
NOTA: La unidad de este valor se expresa en paquetes UDP por segundo. El valor
predeterminado es de 1000 paquetes por segundo.
CLI
set zone zone screen udp-flood threshold number
set zone zone screen udp-flood
Origen Destino
Los recursos
Origen Destino disponibles de la
víctima
1.2.2.5 1.2.2.5 Datos
Las conexiones
vacías están
consumiendo los
Origen Destino recursos de la víctima.
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Land
Attack Protection, después haga clic en Apply.
CLI
set zone zone screen land
“Ping of Death”
El tamaño máximo del paquete IP admisible es de 65.535 bytes, incluyendo el
encabezado del paquete, que normalmente es de 20 bytes de largo. Una petición de
eco ICMP es un paquete IP con un encabezado falso, de 8 bytes de largo. Por lo
tanto, el tamaño máximo admisible del área de datos de una petición de echo ICMP
es de 65.507 bytes (65.535 - 20 - 8 = 65.507).
NOTA: Para obtener información sobre las especificaciones del protocolo IP, consulte
RFC 791, Internet Protocol.
El tamaño de este paquete es de 65.538 bytes. Excede el límite de 65.535 bytes prescrito en la
RFC 791, Internet Protocol. Durante la transmisión, el paquete se divide en numerosos
fragmentos. Durante el proceso de reensamblaje, el sistema receptor puede quedarse “colgado”.
Para habilitar la protección contra ataques “Ping of Death”, ejecute cualquiera de los
siguientes procedimientos, donde la zona especificada es aquélla en la que se
origina el ataque:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Ping of
Death Attack Protection, después haga clic en Apply.
CLI
set zone zone screen ping-death
Ataque “Teardrop”
Los ataques Teardrop explotan la función de reensamblaje de paquetes IP
fragmentados. En el encabezado IP, uno de los campos es el de desplazamiento del
fragmento, que indica la posición inicial o desplazamiento, de los datos contenidos
en un paquete fragmentado con respecto a los datos del paquete original sin
fragmentar.
Longitud del
Versión Tipo de servicio Tamaño total del paquete (en bytes)
encabezado
Desplazamiento
Identificación x D M del fragmento
Tiempo de vida (TTL) 20
Protocolo Suma de comprobación del encabezado bytes
Dirección de origen
Dirección de destino
Carga de datos
Una vez habilitada la opción SCREEN “Teardrop Attack”, siempre que el dispositivo
detecte esta discrepancia en un paquete fragmentado, lo descartará.
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione
Teardrop Attack Protection, después haga clic en Apply.
CLI
set zone zone screen tear-drop
WinNuke
WinNuke es un ataque de denegación de servicio que se dirige a cualquier equipo
conectado a Internet que ejecute Windows. El atacante envía un segmento TCP,
normalmente al puerto 139 de NetBIOS con el flag de urgencia (URG) activado, a un
host con una conexión establecida. Esto induce un solapamiento de fragmentos
NetBIOS, que en muchos equipos Windows provoca la caída del sistema. Al
reiniciar el equipo atacado, aparece el siguiente mensaje para indicar que se ha
producido un ataque:
Número correlativo
Número de reconocimiento
Longitud del U A P R S F
Reservado R C S S Y I Tamaño de la ventana
encabezado
G K H T N N
Suma de comprobación de TCP Indicador “Urgente”
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione
WinNuke Attack Protection, después haga clic en Apply.
CLI
set zone zone screen winnuke
59
Manual de referencia de ScreenOS: conceptos y ejemplos
Reensamblar fragmentos
Normalmente, los dispositivos de reenvío por red, como conmutadores o
enrutadores, no reensamblan los paquetes fragmentados que reciben. El
reensamblaje de los paquetes fragmentados es responsabilidad del host de destino
una vez los recibe. Como el objetivo de los dispositivos de reenvío es garantizar un
tráfico eficaz, poniendo en cola los paquetes fragmentados, su reensamblaje,
fragmentación y reenvío resultan innecesarios e ineficaces. Sin embargo, el paso de
paquetes fragmentados a través de un cortafuegos es poco seguro. El atacante
puede romper intencionadamente los paquetes y hacer así que las cadenas de
tráfico resultantes crucen el cortafuegos sin que se las detecte y bloquee.
60 Reensamblar fragmentos
Capítulo 4: Supervisión y filtrado de contenidos
Reensamblar fragmentos 61
Manual de referencia de ScreenOS: conceptos y ejemplos
ID: Perl
Pattern: scripts/perl.exe
Length: 14
ID: CMF
Pattern: cgi-bin/phf
Length: 11
ID: DLL
Pattern: 210.1.1.5/msadcs.dll
Length: 18
62 Reensamblar fragmentos
Capítulo 4: Supervisión y filtrado de contenidos
Los valores de “longitud” indican el número de caracteres del patrón que deben
aparecer en una URL, comenzando por el primer carácter, para que la coincidencia
se considere correcta. Observe que en las URL primera y tercera, no es necesario
que coincidan todos los caracteres.
WebUI
Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y haga
clic en OK:
ID: perl
Pattern: /scripts/perl.exe
Length: 14
Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y haga
clic en OK:
ID: cmf
Pattern: cgi-bin/phf
Length: 11
Screening > Mal-URL (Zone: Untrust): Introduzca los siguientes datos y haga
clic en OK:
ID: dll
Pattern: 210.1.1.5/msadcs.dll
Length: 18
Network > Zones > Edit (para Untrust): Seleccione la casilla de verificación
TCP/IP Reassembly for ALG y, a continuación, haga clic en OK.
CLI
set zone untrust screen mal-url perl “scripts/perl.exe” 14
set zone untrust screen mal-url cmf “cgi-bin/phf” 11
set zone untrust screen mal-url dll “210.1.1.5/msadcs.dll” 18
set zone untrust reassembly-for-alg
save
Análisis antivirus
Un virus es un código ejecutable que infecta o adjunta otro código ejecutable que le
permite reproducirse. Algunos virus son maliciosos y borran los archivos o
bloquean los sistemas, mientras que otros virus actúan infectando los archivos y
pueden saturar el host objetivo o la red con datos fantasmas.
Análisis antivirus 63
Manual de referencia de ScreenOS: conceptos y ejemplos
Protocolos Consulte
Protocolo de transferencia de archivos (FTP) “Analizar el tráfico de FTP” en la página 64
Protocolo de transferencia de hipertexto “Analizar el tráfico de HTTP” en la página 65
(HTTP)
Protocolo de acceso de correo de Internet “Analizar el tráfico de IMAP y POP3” en la
(IMAP) página 68
Protocolo de oficina de correo, versión 3 “Analizar el tráfico de IMAP y POP3” en la
(POP3) página 68
Protocolo de transferencia de correo sencillo “Analizar el tráfico de SMTP” en la página 69
(SMTP)
Para aplicar la protección AV, haga referencia al analizador interno en una directiva
de seguridad. Cuando el dispositivo de seguridad recibe tráfico para el cual una
directiva requiere que aplique el análisis de AV, éste dirige el contenido que recibe a
su analizador interno. Después de verificar que ha recibido el contenido completo
de un objeto de FTP, HTTP, IMAP, POP3 o SMTP, el analizador examina los datos en
busca de virus. Esto lo hace según un patrón de virus que permite identificar las
firmas de virus. Cuando el analizador detecta un virus, el dispositivo descarta el
contenido y envía un mensaje al cliente indicando que el contenido está infectado.
Si el analizador no detecta ningún virus, el dispositivo reenvía el contenido al
destino correspondiente.
64 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Canal de control
Analizador AV interno
Canal de datos
1. Un cliente FTP local abre un canal de control FTP a un servidor FTP y pide
la transferencia de algunos datos.
2. El servidor y cliente FTP negocian un canal de datos a través del cual el servidor
envía los datos solicitados. El dispositivo de seguridad intercepta los datos y los
pasa a su motor interno de detección AV, que los examina en busca de virus.
3. Una vez finalizado el análisis, el dispositivo sigue uno de estos pasos*:
• Si no hay virus, reenvía los datos al cliente.
• Si se descubre la presencia de un virus, reemplaza los datos con un mensaje
de descarte en el canal de datos y envía otro informando la infección en el
canal de control.
Análisis antivirus 65
Manual de referencia de ScreenOS: conceptos y ejemplos
Analizador AV interno
4. Un servidor web responde a una petición de HTTP. 1. Un cliente HTTP envía una petición de HTTP a un servidor web.
5. El dispositivo de seguridad intercepta la respuesta de HTTP y pasa 2. El dispositivo de seguridad intercepta la petición y transmite los
los datos a su motor interno de detección AV, que los examina en datos al analizador AV interno, que los examina en busca de virus.
busca de virus.
3. Una vez finalizado el análisis, el dispositivo sigue uno de estos
6. Una vez finalizado el análisis, el dispositivo sigue uno de estos pasos*:
pasos*:
• Si no hay virus, reenvía la petición al servidor web.
• Si no hay virus, reenvía la respuesta al cliente de HTTP.
• Si se descubre la presencia de un virus, descarta la petición y
• Si se descubre la presencia de un virus, descarta la respuesta y envía un mensaje de HTTP informando de la infección al cliente.
envía un mensaje de HTTP informando de la infección al cliente.
Application/x-director
Application/pdf
Image/
66 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Video/
Audio/
Text/css
Text/html
Analizador AV interno
1. Un cliente HTTP local envía una petición de correo web HTTP a un servidor web
remoto. El dispositivo de seguridad permite la petición.
2. El dispositivo intercepta la respuesta HTTP entrante y transmite los datos HTTP a
su analizador AV interno, que los examina en busca de virus.
3. Una vez finalizado el análisis, el dispositivo sigue uno de estos pasos*:
• Si no hay virus, reenvía el mensaje al cliente.
• Si se detecta la presencia de un virus, éste descarta el mensaje y envía un
mensaje de HTTP donde informa sobre la infección al cliente.
Análisis antivirus 67
Manual de referencia de ScreenOS: conceptos y ejemplos
68 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Zona DMZ
Servidor de correo
local
Internet
Análisis antivirus 69
Manual de referencia de ScreenOS: conceptos y ejemplos
NOTA: Ya que el cliente de SMTP se refiere a la entidad que envía un correo electrónico,
es posible que un cliente, de hecho, sea otro servidor de SMTP.
70 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Zona DMZ
Internet
4. Un servidor de correo remoto reenvía un mensaje de correo A. Un cliente SMTP envía un mensaje de correo electrónico a un
electrónico por SMTP al servidor de correo local. servidor de correo local.
5. El dispositivo de seguridad intercepta el mensaje de correo B. El dispositivo de seguridad intercepta el mensaje de correo
electrónico y transmite los datos al analizador AV interno, que los electrónico y transmite los datos al analizador AV interno, que los
examina en busca de virus. examina en busca de virus.
6. Una vez finalizado el análisis, el dispositivo sigue uno de estos C. Una vez finalizado el análisis, el dispositivo sigue uno de estos
pasos*: pasos*:
• Si no hay virus, reenvía el mensaje al servidor local. • Si no hay virus, reenvía el mensaje al servidor local.
• Si se descubre la presencia de un virus, envía un mensaje • Si se descubre la presencia de un virus, envía un mensaje
informando de la infección al servidor remoto. informando de la infección al cliente.
* Si el mensaje analizado excede la configuración máxima de contenido, o si el análisis no puede tener éxito completamente, el
dispositivo de seguridad sigue un curso de acción diferente dependiendo del establecimiento de modo de fallo.
NOTA: Para obtener más información sobre el servicio de firmas de virus, consulte
“Registrar y activar los servicios de suscripción” en la página 2-254.
Análisis antivirus 71
Manual de referencia de ScreenOS: conceptos y ejemplos
http://update.juniper-updates.net/av/5gt
http://5gt-p.activeupdate.trendmicro.com/activeupdate/server.ini.
Internet
72 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Internet
Archivo de firmas de virus Transferencia del archivo de firmas de virus Archivo de firmas de virus
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga
clic en Apply:
Análisis antivirus 73
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga
clic en Apply:
WebUI
CLI
set av scan-mgr pattern-type standard
74 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
Extensiones de archivo
Tipo de contenido
5. Guardar su perfil.
Análisis antivirus 75
Manual de referencia de ScreenOS: conceptos y ejemplos
Asignar recursos de AV
Goteo HTTP
Asignar recursos de AV
Un usuario malicioso puede generar simultáneamente una gran cantidad de tráfico
en un intento de consumir todos los recursos disponibles y, por lo tanto, impedir la
disponibilidad de que el analizador de AV analice otro tráfico. Para evitar que esto
suceda, el dispositivo de seguridad Juniper Networks puede imponer un porcentaje
máximo de recursos de AV que puede consumir el tráfico desde una ubicación de
origen determinada. De forma predeterminada, el porcentaje máximo es del 70 por
ciento. Este ajuste se puede cambiar a cualquier valor entre 1 y 100 por ciento, si se
ajusta el 100 por ciento, no habrá ninguna restricción a la cantidad de recursos de
AV que pueda consumir el tráfico desde una ubicación determinada.
WebUI
CLI
set av all resources number
unset av all resources
WebUI
Screening > Antivirus > Global: Seleccione Fail Mode Traffic Permit para
permitir el tráfico sin examinar o borrarlo para bloquear el tráfico sin examinar,
luego haga clic en Apply.
76 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
CLI
set av all fail-mode traffic permit
unset av all fail-mode traffic
NOTA: El valor predeterminado para el tamaño máximo del contenido es 10 MB. Sin
embargo, si DI no está habilitado, Juniper Networks recomienda la configuración
de un valor de 6 MB.
WebUI
Screening > Antivirus > Scan Manager: Seleccione pass si el tamaño del
archivo excede de 10.000 KB
o bien
CLI
set av scan-mgr max-content-size drop
set av scan-mgr max-msgs drop
Análisis antivirus 77
Manual de referencia de ScreenOS: conceptos y ejemplos
codificación. El método que se utilice dependerá del tipo de servidor. Este método
hace que la conexión TCP permanezca abierta mientras se realice el análisis
antivirus, lo que disminuye la latencia y mejora el rendimiento del procesador. Sin
embargo, no resulta tan seguro como el método de conexión “close”. Este
comportamiento se puede modificar si detecta que las conexiones HTTP superan el
tiempo de espera durante el análisis antivirus.
WebUI
Screening > Antivirus > Global: Seleccione Keep Alive para poder utilizar la
opción de conexión “keep-alive” o anule la selección para utilizar la opción de
conexión “close”. A continuación, haga clic en Apply.
CLI
set av http keep-alive
unset av http keep-alive
Goteo HTTP
Por goteo HTTP se entiende el reenvío de cantidades específicas de tráfico HTTP no
analizado al cliente HTTP solicitante para evitar que la ventana del explorador
rebase el tiempo de espera mientras el administrador de análisis examina los
archivos HTTP descargados. (El dispositivo de seguridad reenvía pequeñas
cantidades de datos antes de transferir un archivo analizado completo). De forma
predeterminada, el goteo HTTP está inhabilitado. Para habilitarlo y utilizar los
parámetros predeterminados del goteo HTTP, siga uno de estos pasos:
WebUI
Screening > Antivirus > Global: Seleccione la casilla de verificación “Trickling
Default” y haga clic en Apply.
CLI
set av http trickling default
Para cambiar los parámetros del goteo HTTP, siga uno de estos pasos:
WebUI
Screening > Antivirus > Global: Introduzca los siguientes datos y haga clic en
Apply:
Trickling:
Custom: (seleccione)
Minimum Length to Start Trickling: Introduzca number1.
Trickle Size: Indique number2.
Trickle for Every MB Sent for Scanning: Indique number3.
CLI
set av http trickling number1 number3 number2
78 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
NOTA: Los datos sometidos al proceso de goteo en el disco duro del cliente aparecerán
como un pequeño archivo sin utilidad. Dado que el goteo funciona reenviando
pequeñas cantidades de datos a un cliente sin analizarlos, el código malicioso
podría encontrarse entre los datos que el dispositivo de seguridad ha enviado al
cliente por goteo. Recomendamos a los usuarios que eliminen esos archivos.
Puede inhabilitar el goteo HTTP por medio de la interfaz WebUI (Screening >
Antivirus: Haga clic en Disable en la sección Trickling) o con el comando CLI
unset av http trickling enable. En cualquier caso, si el archivo que se va a
descargar supera los 8 MB y se ha desactivado el goteo HTTP, es muy probable
que la ventana del explorador rebase el tiempo de espera.
WebUI
Policies: Haga clic en Edit en la directiva a la cual desea enlazar el perfil de AV y
seleccione el perfil bajo el Perfil de antivirus. Haga clic en OK.
CLI
ns5gt1-> set policy id policy_num av ns-profile
Iniciar un perfil de AV
Ajustes de perfiles de AV
Análisis antivirus 79
Manual de referencia de ScreenOS: conceptos y ejemplos
Iniciar un perfil de AV
Los siguientes comandos inician un perfil de AV personalizado denominado
jnpr-profile, el cual de forma predeterminada está configurado para buscar el tráfico
FTP, HTTP, IMAP, POP3 y SMTP.
WebUI
Screening > Antivirus > Profile: Seleccione New e introduzca el nombre del
perfil, jnpr-profile, luego haga clic en OK.
CLI
set av profile jnpr-profile
ns5gt(av:jnpr-profile)->
WebUI
Screening > Antivirus > Profile: Introduzca profile_name, luego haga clic en
OK.
De forma predeterminada, se analiza el tráfico para los cinco protocolos, FTP, HTTP,
IMAP, POP3 y SMTP.
CLI
set av profile jnpr-profile
(av:jnpr-profile)-> set http enable
(av:jnpr-profile)-> set http timeout 300
(av:jnpr-profile)-> set ftp enable
(av:jnpr-profile)-> set ftp timeout 300
(av:jnpr-profile)-> set imap enable
(av:jnpr-profile)-> set imap timeout 300
(av:jnpr-profile)-> set pop3 enable
(av:jnpr-profile)-> set pop3 timeout 300
(av:jnpr-profile)-> set smtp enable
(av:jnpr-profile)-> set smtp timeout 300
(av:jnpr-profile)-> exit
save
80 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
NOTA: El analizador AV interno sólo examina patrones específicos de correo web HTTP.
Los patrones de los servicios de correo de Yahoo!, Hotmail y AOL están
predefinidos.
WebUI
Screening > Antivirus > Select New e introduzca el nombre de perfil
jnpr-profile.
Protocols to be scanned:
HTTP: (seleccione)
SMTP: (seleccione)
POP3: (anule la selección)
FTP: (anule la selección)
IMAP: (anule la selección)
CLI
set av profile jnpr-profile
(av:jnpr-profile)-> set smtp timeout 180
(av:jnpr-profile)-> set http timeout 180
(av:jnpr-profile)-> unset pop3 enable
(av:jnpr-profile)-> unset ftp enable
(av:jnpr-profile)-> unset imap enable
(av:jnpr-profile)-> exit
unset av http webmail enable
save
Ajustes de perfiles de AV
Las siguientes opciones de análisis están configuradas para cada protocolo de
aplicación:
Análisis antivirus 81
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
Screening > Antivirus > Profile: Seleccione New o Edit para editar un perfil
existente. Actualice el nivel de descompresión a 2, luego haga clic en Apply.
CLI
set av http keep-alive
unset av http keep-alive
WebUI
Screening > Antivirus > Ext-list >New > introduzca el nombre de la lista de
extensión (elist1) e introduzca la lista de extensiones (ace;arj;chm). Haga clic en
OK.
Antivirus > Profile > Seleccione el perfil a Edit > Seleccione IMAP >
Seleccione las siguientes opciones, luego haga clic en OK:
Enable
Scan Mode: Scan by Extension
Exclude Extension List: elist1
82 Análisis antivirus
Capítulo 4: Supervisión y filtrado de contenidos
CLI
set av extension-list elist1 ace;arj;chm
set av profile test1
(av:test1)-> set imap scan-mode scan-ext
(av:test1)-> set imap extension-list exclude elist1
En este ejemplo, usted configura el dispositivo de seguridad para que busque todos
los tipos de tráfico de HTTP sin tomar en cuenta los tipos de contenido de MIME.
WebUI
Screening > Antivirus > Profile >Seleccione el perfil a Edit > Seleccione
HTTP y elimine la selección de la opción Skipmime Enable. Haga clic en OK.
CLI
set av profile jnpr-profile
(av:jnpr-profile)-> unset av http skipmime
(av:jnpr-profile)-> exit
save
Para obtener información adicional sobre los tipos de MIME, consulte ScreenOS
CLI Reference Guide IPv4 Command Descriptions.
WebUI
Screening > Antivirus > Profile > Seleccione el perfil a Edit > Seleccione
IMAP y luego haga clic en OK.
Análisis antivirus 83
Manual de referencia de ScreenOS: conceptos y ejemplos
Protocols to be scanned:
Email Notify > Select Virus Sender
Email Notify > Select Virus Sender
Email Notify > Select Scan-error Recipient
CLI
set av profile jnpr-profile
(av:jnpr-profile)-> set imap email-notify virus sender
(av:jnpr-profile)-> set imap email-notify scan-error sender
(av:jnpr-profile)-> set imap email-notify scan-error recipient
(av:jnpr-profile)-> exit
save
WebUI
Screening > Antivirus > Scan Manager: Introduzca los siguientes datos y haga
clic en OK:
Screening > Antivirus > Profile: Seleccione Edit > HTTP: Introduzca los
siguientes datos y haga clic en OK:
Filtrado anti-spam
La función de anti-spam examina los mensajes transmitidos y decide cuáles son
spam y cuáles no. Cuando el dispositivo detecta un mensaje que parece ser spam,
lo etiqueta en el campo de mensaje con una cadena programada previamente o
descarta el mensaje. Anti-spam utiliza un servicio de bloqueo de spam basado en IP
que se actualiza constantemente y que utiliza la información compartida a nivel
mundial. Debido a que este servicio es sólido y rinde muy pocos resultados
positivos falsos, no es obligatorio ajustar o configurar listas negras. Sin embargo, el
administrador tiene la opción de agregar dominios específicos e IP a las listas
negras o listas blancas locales, las cuales puede reforzar localmente el dispositivo.
Nota: Esta versión admite anti-spam únicamente para el protocolo SMTP.
84 Filtrado anti-spam
Capítulo 4: Supervisión y filtrado de contenidos
De manera alterna, el usuario puede configurar las listas negras y blancas locales
(que se describen anterior y posteriormente). En este caso, de forma
predeterminada el sistema consulta primero la base de datos local de listas
negras/blancas. Si no encuentra el nombre, el cortafuegos continúa la consulta del
servidor SBL que se encuentra en Internet.
Configuración básica
Los siguientes comandos proporcionan un ejemplo de la configuración anti-spam
básica.
AS. anti spam result: action Tag email subject, reason: Match local blacklist
Filtrado anti-spam 85
Manual de referencia de ScreenOS: conceptos y ejemplos
AS. anti spam result: action Pass, reason: Match local whitelist
Para obtener información sobre la creación de las listas negras o listas blancas,
consulte “Definir una lista negra” en la página 86 y “Definir una lista blanca” en la
página 87.
ns(ns-profile)-> exit
ns-> save
2. Proporcionar al perfil una entrada de lista negra que evite las conexiones con el
nombre de host www.wibwaller.com.
3. Salirdel contexto de spam y aplicar el perfil a una directiva existente (id 2).
86 Filtrado anti-spam
Capítulo 4: Supervisión y filtrado de contenidos
2. Proporcionar al perfil una entrada de lista blanca que permita las conexiones
con el nombre de host www.fiddwicket.com.
3. Salir del contexto de spam y aplicar el perfil a una directiva existente (id 2).
2. Especifique que los mensajes de correo electrónico que parecen ser spam
tengan la cadena “Esto es spam” en el encabezado del mensaje.
3. Salir del contexto de spam y aplicar el perfil a una directiva existente (id 2).
Filtrado anti-spam 87
Manual de referencia de ScreenOS: conceptos y ejemplos
3. Salir del contexto de spam y aplicar el perfil a una directiva existente (id 2).
Filtrado de Web
El filtrado de Web le permite administrar el acceso a Internet y evitar el acceso a
contenido de Web inapropiado. ScreenOS proporciona dos soluciones de filtrado de
Web:
88 Filtrado de Web
Capítulo 4: Supervisión y filtrado de contenidos
Una categoría de URL es una lista de URL organizadas por contenido. Los
dispositivos de seguridad utilizan las categorías URL predefinidas de SurfControl
para determinar la categoría de una URL. Los servidores de la autoridad del portal
de contenido (CPA) de SurfControl mantienen las bases de datos más grandes de
todos los tipos de contenido de web clasificado aproximado de 40 categorías. Una
lista parcial de las categorías de URL se muestran en “Definir las categorías de URL
(opcional)” en la página 90 y para obtener una lista completa de las categorías de
URL por SurfControl, visite el sitio Web de SurfControl en
http://www.surfcontrol.com. Además de las categorías de URL predefinidas de
SurfControl, también puede agrupar las URL y crear categorías en función de en sus
necesidades. Para obtener más información sobre cómo crear categorías definidas
por el usuario, consulte “Definir las categorías de URL (opcional)” en la página 90.
2. El dispositivo revisa si existe una asociación del perfil definido por el usuario a
una directiva de cortafuegos. Si no existe, utiliza el perfil predeterminado,
ns-profile.
Para configurar un dispositivo de seguridad para una Web, realice los pasos que se
describen en las siguientes secciones:
Filtrado de Web 89
Manual de referencia de ScreenOS: conceptos y ejemplos
ns(url:sc-cpa)->
Este cambio indica que introdujo el contexto de filtrado de Web y ahora puede
configurar los parámetros de filtrado de Web integrado.
WebUI
Screening > Web Filtering > Protocol Selection: Seleccione Integrated
(SurfControl), luego haga clic en Apply. Luego seleccione Enable Web Filtering
via CPA Server, y nuevamente haga clic en Apply.
CLI
ns-> set url protocol sc-cpa
ns(url:sc-cpa)-> set enable
ns(url:sc-cpa)-> exit
ns-> save
WebUI
Screening > Web Filtering > Profile > Predefine Category
90 Filtrado de Web
Capítulo 4: Supervisión y filtrado de contenidos
CLI
ns-> set url protocol sc-cpa
ns(url:sc-cpa)-> get category pre
Muchos sitios tienen direcciones IP dinámicas, lo que significa que sus direcciones
IP cambian ocasionalmente. Un usuario que intenta acceder a un sitio puede
escribir una dirección IP que no está en la lista captada en el dispositivo. Por lo
tanto, si conoce las direcciones IP de los sitios que está agregando a una categoría,
introduzca la URL y las direcciones IP del sitio.
NOTA: Si una URL está en la categoría definida por el usuario y es una categoría
predefinida, el dispositivo compara la URL con la categoría definida por el usuario.
WebUI
Screening > Web Filtering > Profile > Custom List > New: Introduzca los
siguientes datos y haga clic en Apply:
URL: www.games2.com
Filtrado de Web 91
Manual de referencia de ScreenOS: conceptos y ejemplos
CLI
ns-> set url protocol sc-cpa
ns(url:sc-cpa)-> set category competitors url www.games1.com
ns(url:sc-cpa)-> set category competitors url www.games2.com
ns(url:sc-cpa)-> exit
ns-> save
WebUI
Screening > Web Filtering > Profile > Predefined Profile
CLI
ns-> set url protocol sc-cpa
ns(url:sc-cpa)-> get profile ns-profile
Category Action
Advertisements block
Art & Entetainment permit
Chat permit
Computing & Internet permit
.
.
.
Violence block
Weapons block
92 Filtrado de Web
Capítulo 4: Supervisión y filtrado de contenidos
Puede crear un perfil que sea similar a ns-profile, al clonar ns-profile y editar el
nuevo perfil. Realice el siguiente paso en WebUI para clonar ns-profile.
WebUI
Screening > Web Filtering > Profile > Custom Profile: ns-profile: Seleccione
Clone.
También puede crear su propio perfil de filtrado de Web. Cuando crea un perfil de
filtrado de Web, puede:
WebUI
Screening > Web Filtering > Profile > Custom Profile > New: Introduzca los
siguientes datos y haga clic en Apply:
CLI
ns-> set url protocol sc-cpa
ns(url:sc-cpa)-> set profile my-profile other permit
ns(url:sc-cpa)-> set profile my-profile competitors block
ns(url:sc-cpa)-> exit
ns-> save
Filtrado de Web 93
Manual de referencia de ScreenOS: conceptos y ejemplos
1. Lista negra
2. Lista blanca
Petición de HTML
Y Y Y Y
94 Filtrado de Web
Capítulo 4: Supervisión y filtrado de contenidos
WebUI
1. Filtrado de Web
Screening > Web Filtering > Protocol Selection: Seleccione Integrated
(SurfControl), luego haga clic en Apply. Luego seleccione Enable Web Filtering
via CPA Server, y nuevamente haga clic en Apply.
2. Categoría de URL
Screening > Web Filtering > Profile > Custom List > New: Introduzca los
siguientes datos y haga clic en Apply:
URL: www.comp2.com
3. Perfil de filtrado de Web
Screening > Web Filtering > Profile > Custom Profile > New: Introduzca los
siguientes datos y haga clic en Apply:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Web Filtering: (seleccione), my-profile
Action: Permit
Filtrado de Web 95
Manual de referencia de ScreenOS: conceptos y ejemplos
CLI
1. Filtrado de Web
ns-> set url protocol sc-cpa
ns(url:sc-cpa)-> set enable
2. Categoría de URL
ns(url:sc-cpa)-> set category competitors url www.comp.com
ns(url:sc-cpa)-> set category competitors url www.comp.com
3. Perfil de filtrado de Web
ns(url:sc-cpa)-> set profile my-profile other permit
ns(url:sc-cpa)-> set profile my-profile competitors block
ns(url:sc-cpa)-> exit
4. Directiva de cortafuegos
ns-> set policy id 23 from trust to untrust any any http permit url-filter
ns-> set policy id 23
ns(policy:23)-> set url protocol sc-cpa profile my-profile
ns(policy:23)-> exit
ns-> save
Servidores de SurfControl
SurfControl tiene tres ubicaciones de servidor, cada una de las cuales sirve a un área
geográfica específica: América, Asia/Oceanía y Europa/Medio Este/África. El
servidor predeterminado principal es el de América, y el servidor de respaldo
predeterminado es Asia/Oceanía. Puede cambiar el servidor principal y el
dispositivo de seguridad selecciona automáticamente un servidor de respaldo,
basado en el servidor principal. (El servidor de Asia/Oceanía es el respaldo para el
servidor de América, el cual es también respaldo para los otros dos servidores).
96 Filtrado de Web
Capítulo 4: Supervisión y filtrado de contenidos
WebUI
Screening > Web Filtering > Protocol Selection > SC-CPA: Introduzca los
siguientes datos y haga clic en Apply:
CLI
ns-> set url protocol sc-cpa
ns(url:sc-cpa)-> set cache size 400
ns(url:sc-cpa)-> set cache timeout 18
ns(url:sc-cpa)-> exit
ns-> save
Filtrado de Web 97
Manual de referencia de ScreenOS: conceptos y ejemplos
HTTP GET
Otras HTTP PUT
peticiones HTTP GET
HTTP GET sin
filtrado URL HTTP PUT
HTTP GET
98 Filtrado de Web
Capítulo 4: Supervisión y filtrado de contenidos
Alternativamente, los dispositivos con sistemas virtuales que utilizan los servidores
de filtrado de Web Websense pueden compartir los ocho servidores de Websense,
no únicamente el servidor raíz. Cada servidor de Websense puede admitir un
número ilimitado de sistemas virtuales, lo que le permite equilibrar la carga de
tráfico entre los ocho servidores.
1. Crear un nombre de cuenta para cada vsys. Utilizar el siguiente comando CLI:
Cuando un host en un vsys envía una petición URL, ésta incluye el nombre de
cuenta. Este nombre activa el servidor Websense para que identifique qué vsys
envió la petición URL.
2. Configure los mismos ajustes del servidor de filtrado de Web y los parámetros
de comportamiento de nivel del sistema para cada vsys que comparte un
servidor de filtrado de Web Websense. La siguiente sección contiene
información sobre la configuración de los parámetros y ajustes de filtrado de
Web.
Filtrado de Web 99
Manual de referencia de ScreenOS: conceptos y ejemplos
Un servidor Websense.
WebUI
Screening > Web Filtering > Protocol
CLI
set url protocol type { websense | scfp |sc-cpa }
Una vez configura los nombres de vsys, defina los ajustes para el servidor de
filtrado de Web y los parámetros para el comportamiento que desea que tome el
dispositivo de seguridad cuando aplique el filtrado de Web. Si configura estos
ajustes en el sistema raíz, también se aplicarán a cualquier vsys que comparta la
configuración de filtrado de Web con el sistema raíz. Para un vsys, los
administradores raíz y vsys deben configurar de forma separada los ajustes. Los
sistemas virtuales que comparten el mismo servidor de filtrado de Web Websense
deben tener los mismos ajustes de filtrado de Web.
Configure los siguientes ajustes de filtrado de Web en el nivel de sistema para las
comunicaciones de dispositivo a dispositivo:
WebUI
Screening > Web Filtering > Protocol > Haga clic en el hipervínculo
Websense/SurfControl
CLI
set url server { ip_addr | dom_name } port_num timeout_num
2. Parámetros de comportamiento en el nivel de sistema
Después de configurar las comunicaciones del dispositivo, defina los parámetros de
comportamiento que desea que tome el sistema, raíz o vsys, cuando aplique el
filtrado de Web. A continuación se ofrecen las opciones de comportamiento:
NOTA: Si selecciona NetScreen, algunas de las funciones que ofrece Websense, como el
redireccionamiento, quedarán suprimidas.
WebUI
Screening > Web Filtering > Protocol > Haga clic en el hipervínculo
Websense/SurfControl
CLI
set url fail-mode { block | permit }
set url type { NetScreen | server }
set url message string
Para activar y desactivar el filtrado de Web en el nivel de sistema, utilice uno de los
siguientes:
WebUI
Screening > Web Filtering > Protocol >
CLI
set url config { disable | enable }
Cuando el filtrado de Web está activo en el nivel de sistema, las peticiones HTTP se
redireccionan a un servidor Websense o SurfControl. Esta acción permite al
dispositivo revisar todo el tráfico HTTP para las directivas (definidas en ese sistema)
que requiere el filtrado de Web. Si inhabilita el filtrado de Web en el nivel de
sistema, el dispositivo ignora el componente de filtrado de Web en las directivas y
las considerará como directivas de “permit”.
Para activar el filtrado de Web en una directiva, utilice uno de los siguientes:
WebUI
En WebUI, diríjase a Policies > Edit (para la directiva en la cual desea aplicar el
filtrado de Web) luego seleccione la casilla de verificación Web Filter.
CLI
set policy from zone to zone src_addr dst_addr service permit url-filter
NOTA: El dispositivo informa sobre el estado del servidor Websense o SurfControl. Para
actualizar el informe de estado, haga clic en el icono Server Status en WebUI:
Screening > Web Filtering > Protocol > Haga clic en el hipervínculo
Websense/SurfControl
2. Queremos aplicar el filtrado a todo el tráfico HTTP saliente desde hosts situados
en la zona Trust hacia hosts en la zona de seguridad Untrust. Si el dispositivo
pierde la conectividad con el servidor de filtrado de Web, el dispositivo permite
el tráfico HTTP saliente. Si un cliente HTTP solicita el acceso a una URL
prohibida, el dispositivo envía el siguiente mensaje: “We’re sorry, but the
requested URL is prohibited. If this prohibition appears to be in error, contact
ntwksec@mycompany.com.”
4. Configurar las directivas para activar el filtrado de Web de manera que Trust a
Untrust permita el servicio HTTP de cualquier dirección de origen y cualquier
dirección de destino,
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
3. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Action: Permit
Web Filtering: (seleccione)
CLI
1. Interfaces
ns-> set interface ethernet1 zone trust
ns-> set interface ethernet1 ip 10.1.1.1/24
ns-> set interface ethernet3 zone untrust
ns-> set interface ethernet3 ip 1.1.1.1/24
2. Servidor de filtrado de Web
ns-> set url protocol type scfp
ns-> set url server 10.1.2.5 62252 10
ns-> set url fail-mode permit
ns-> set url type NetScreen
ns-> set url message “We’re sorry, but the requested URL is prohibited. Contact
ntwksec@mycompany.com.”
ns-> set url config enable
3. Rutas
ns-> set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
ns-> set vrouter trust-vr route 10.1.2.0/24 interface ethernet1 gateway
10.1.1.250
4. Directiva
ns-> set policy from trust to untrust any any http permit url-filter
ns-> save
105
Manual de referencia de ScreenOS: conceptos y ejemplos
Vista general
Deep Inspection (DI) es un mecanismo para filtrar el tráfico permitido por el
cortafuegos de Juniper Networks. DI examina los encabezados de los paquetes de
las capas 3 y 4, así como las características del protocolo y el contenido a nivel de
aplicación de la capa 7 para detectar e impedir cualquier ataque o comportamiento
anómalo que pueda presentarse. La Figura 45 muestra cómo pasa un paquete por la
inspección de la capa 3.
Ejecutar acción de
respuesta al
No No ataque
Reenviar el paquete
NOTA: La función Deep Inspection (DI) está disponible después que el usuario obtiene y
descarga una clave de licencia de modo avanzado. (Si se actualiza a partir de una
versión anterior a la 5.0.0 de ScreenOS, el modo automáticamente se hace
“avanzado”. En este caso, no se requiere la clave de licencia de modo avanzado).
Para poder descargar paquetes de firmas del servidor de base de datos primero es
necesario suscribirse al servicio. Para obtener más información, consulte
“Registrar y activar los servicios de suscripción” en la página 2-254.
Primero: Inspección del cortafuegos (capas de red): IP Después: Deep Inspection (capas de red y aplicaciones):
ORIG, IP DEST, Pto ORIG, Pto DEST, IP ORIG, IP DEST, Pto ORIG, Pto DEST,
y Servicio (Protocolo) Servicio (Protocolo) y Datos Transportados
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
Datos Transportados Datos Transportados
set policy id 1 from untrust to dmz any websrvl http permit attack HIGH:HTTP action close
NOTA: El símbolo de la línea de comandos cambia para indicar que el comando siguiente
se ejecutará en un contexto de directiva determinado.
ns-> set policy id 1 from untrust to dmz any websrv1 http permit attack
CRITICAL:HTTP:ANOM action close
ns-> set policy id 1
ns(policy:1)-> set dst-address websrv2
ns(policy:1)-> set service https
ns(policy:1)-> set attack CRITICAL:HTTP:SIGS action close-server
ns(policy:1)-> set attack HIGH:HTTP:ANOM action drop
ns(policy:1)-> set attack HIGH:HTTP:SIGS action close-server
ns(policy:1)-> exit
ns-> save
NOTA: Puede especificar una acción de ataque diferente para cada grupo de objetos de
ataque en una directiva. Si el dispositivo de seguridad detecta simultáneamente
ataques múltiples, aplica la acción más severa, que en el ejemplo anterior es
“close”. Para obtener información sobre las siete acciones de ataque, incluyendo
los niveles de gravedad, consulte “Acciones de ataque” en la página 130.
1.Debido a la asignación de memoria que se requiere para las nuevas mejoras, únicamente se proporcionan las firmas DI de
gravedad crítica en dispositivos NS-5XT/GT.
operación funcione, primero debe configurar los ajustes del servidor de la base
de datos de objetos de ataque. (Para ver un ejemplo, consulte “Ejemplo:
Actualización inmediata” en la página 113.)
NOTA: Antes de realizar una actualización inmediata de la base de datos, puede utilizar el
comando exec attack-db check para comprobar si la base de datos de objetos de
ataque en el servidor es más reciente que la que se encuentra en el dispositivo de
seguridad.
3. Verificar que el reloj del sistema y los ajustes del sistema de nombres de
dominio (DNS) de su dispositivo son exactos.
WebUI
Configuration > Date/Time
Observe que esta opción únicamente está disponible después de descargar una
clave de suscripción a Deep Inspection.
NOTA: Después de descargar el paquete de firmas por primera vez, se debe restablecer el
dispositivo de seguridad. A partir de entonces, después de cada descarga, no es
necesario restablecer el dispositivo.
NOTA: En este ejemplo se presupone que ya dispone de una suscripción activada para el
servicio de firmas de DI para el dispositivo de seguridad. (Para obtener
información sobre suscripciones, consulte “Registrar y activar los servicios de
suscripción” en la página 2-254).
Internet
WebUI
Configuration > Update > Attack Signature: Haga clic en el botón Update
Now.
CLI
ns-> exec attack-db update
Loading attack database.............
Done.
Done.
Switching attack database...Done
Saving attack database to flash...Done.
ns->
NOTA: En este ejemplo se presupone que ya dispone de una suscripción activada para el
servicio de firmas de DI para el dispositivo de seguridad. (Para obtener
información sobre suscripciones, consulte “Registrar y activar los servicios de
suscripción” en la página 2-254).
Servidor de la base de
Dispositivo de seguridad local datos de objetos de
1. Comprobación automática de la actualización ataque
S M T W T F S
Internet
WebUI
Configuration > Update > Attack Signature: Introduzca los siguientes datos y
haga clic en OK:
CLI
set attack db mode update
set attack db schedule weekly monday 04:00
save
Cuando reciba un aviso de que la base de datos del servidor se ha actualizado, haga
clic en el botón Update Now de la página “Configuration > Update > Attack
Signature” de WebUI o ejecute el comando exec attack-db update para guardar la
base de datos del servidor en el dispositivo.
NOTA: En este ejemplo se presupone que ya dispone de una suscripción activada para el
servicio de firmas de DI para el dispositivo de seguridad. (Para obtener
información sobre suscripciones, consulte “Registrar y activar los servicios de
suscripción” en la página 2-254).
Servidor de la base
Dispositivo de seguridad local de datos de objetos
1. Comprobación automática de la actualización de ataque
S M T W T F S
Internet
https://services.juniper
.com/restricted/sigupdates
Base de datos de 2. Actualización inmediata de la Base de datos de
objetos de ataque base de datos objetos de ataque
WebUI
1. Comprobación programada de la base de datos
Configuration > Update > Attack Signature: Introduzca los siguientes datos y
haga clic en OK:
Configuration > Update > Attack Signature: Haga clic en el botón Update
Now.
CLI
1. Comprobación programada de la base de datos
set attack db mode notification
set attack db schedule daily 07:00
2. Actualización inmediata de la base de datos
Cuando reciba un aviso de que la base de datos de ataques del servidor está
más actualizada que la del dispositivo de seguridad, haga lo siguiente:
Tipo de plataforma
Para actualizar manualmente las firmas DI, debe agregar estos elementos por su
cuenta. En este ejemplo, el número de serie es 0043012001000213, la versión de
ScreenOS es 5.3 y la plataforma es NetScreen-208 (ns200). Por lo tanto, la URL
resultante es:
https://services.netscreen.com/restricted/sigupdates/5.3/ns200/attacks.bin?s
n=0043012001000213
NOTA: En este ejemplo se presupone que ya dispone de una suscripción activada para el
servicio de firmas de DI para el dispositivo de seguridad. (Para obtener
información sobre suscripciones, consulte “Registrar y activar los servicios de
suscripción” en la página 2-254).
Servidor de la base de
datos de objetos de ataque
Internet
2. Base de
datos de URL = https://services.netscreen.com/
Base de datos de objetos de Base de datos de /restricted/sigupdates/5.3/ns200/attacks
objetos de ataque ataque objetos de ataque .bin?sn=0043012001000213
Admin: 10.1.1.5 C:\netscreen\attacks-db
C:\Archivos de programa\TFTP Server
https://services.netscreen.com/restricted/sigupdates/5.3/ns200/attacks.bin?s
n=0043012001000213
O bien
CLI
save attack-db from tftp 10.1.1.5 attacks.bin to flash
SYN
SYN/ACK
ACK
IP ORIG ¡Coincide!
IP DEST PTO ORIG PTO DEST PROTO
1.1.1.3 1.2.2.5 25611 80 HTTP
Carga: … revlog/.
RST RST
set policy id 2 from trust to untrust any any smtp permit attack CRIT:SMTP:SIGS action
close
set policy id 2 from trust to untrust any any smtp permit attack CRIT:POP3:SIGS action
close
set policy id 2 from trust to untrust any any grp1 permit attack CRIT:SMTP:SIGS action
close
set policy id 2 attack CRIT:POP3:SIGS action close
Protocolos admitidos
El módulo Deep Inspection (DI) admite los objetos de ataque de firmas completas y
objetos de ataque de anomalías de protocolos para los siguientes protocolos y
aplicaciones:
Anomalía
Firma en el
Protocolo completa protocolo Definición
DNS Sí Sí Domain Name System (DNS) es un sistema de base de datos para traducir
nombres de dominios a direcciones IP, como www.juniper.net = 207.17.137.68.
FTP Sí Sí El protocolo de transferencia de archivos (FTP) es un protocolo para intercambiar
archivos entre equipos a través de una red.
HTTP Sí Sí El protocolo de transferencia de hipertexto (HTTP) es un protocolo que se utiliza
principalmente para transferir información de servidores web a clientes web.
IMAP Sí Sí El protocolo de acceso de correo electrónico de Internet (IMAP) es un protocolo
que proporciona servicios de recuperación y almacenamiento de correos
electrónicos entrantes con la opción que los usuarios puedan descargar sus
correos electrónicos o dejarlos en el servidor IMAP.
NetBIOS Sí Sí NetBIOS (Network Basic Input Output System) es una interfaz de aplicación que le
permite a las aplicaciones de las estaciones de trabajo de los usuarios obtener
acceso a los servicios de red proporcionados por los transportes de red como
NetBEUI, SPX/IPX y TCP/IP.
POP3 Sí Sí El protocolo de oficina de correo, versión 3 (POP3) es un protocolo que
proporciona servicios de recuperación y almacenamiento de correo electrónico
entrante.
SMTP Sí Sí El protocolo simple de transferencia de correo electrónico (SMTP) es un protocolo
que se utiliza para la transferencia de correo electrónico entre servidores de
correo electrónico.
Chargen Sí Sí Protocolo generador de caracteres
DHCP Sí Sí El protocolo de configuración dinámica de hosts se utiliza para controlar los
parámetros de redes vitales de hosts (ejecutando clientes) con la ayuda de un
servidor. DHCP es compatible con versiones anteriores de BOOTP.
Discard Sí Sí El protocolo Discard es una herramienta útil de medición y depuración. Es un
servicio que simplemente elimina todos los datos para así descartarlos.
Echo Sí Sí El protocolo Echo es un protocolo de Internet diseñado para propósitos de
evaluación y medición. Un host puede conectarse a un servidor que admite el
protocolo ECHO, en un puerto 7 TCP o UDP. Seguidamente, el servidor devuelve
cualquier dato que recibe.
Finger Sí Sí El protocolo de información de usuario Finger es un protocolo simple que
proporciona una interfaz a un programa de información de usuarios remoto.
Gopher Sí Sí Gopher es un protocolo de Internet diseñado para la búsqueda y recuperación de
documentos distribuidos.
ICMP Sí Sí El protocolo de mensajes de control de Internet es un protocolo reglamentario
estrechamente integrado con IP. Los mensajes ICMP, entregados en paquetes IP,
se utilizan para mensajes fuera de banda que están relacionados con el
funcionamiento de la red.
Anomalía
Firma en el
Protocolo completa protocolo Definición
IDENT Sí Sí El protocolo de identificación proporciona un medio para determinar la identidad
de un usuario de una conexión TCP determinada.
LDAP Sí Sí El protocolo ligero de acceso a directorios es un conjunto de protocolos para
obtener acceso a directorios de información.
LPR Sí Sí Sistema de colas de la impresora de línea
NFS Sí Sí El protocolo del sistema de archivos en red (NFS) proporciona acceso remoto
transparente a los archivos compartidos a través de las redes. El protocolo NFS
está diseñado para que pueda moverse a través de diferentes máquinas, sistemas
operativos, arquitecturas de red y protocolos de transporte.
NNTP Sí Sí El protocolo de transferencia de noticias en red especifica un protocolo para la
distribución, exploración, recuperación y envío de artículos de noticias, utilizando
una transmisión de noticias confiable basada en secuencias.
NTP Sí Sí El protocolo de hora de la red y el protocolo simple de hora de la red se utilizan
para sincronizar la hora del servidor o del equipo de clientes con otro servidor o
fuente de hora de referencia, como una radio o un módem o receptor de satélite.
Portmapper Sí Sí El protocolo del programa de asignación de puertos asigna los números de
versión y de programa de RPC para trasladar números de puertos específicos.
RADIUS Sí Sí Servicio de autenticación remota de usuarios de acceso telefónico, es un sistema
contable y de autenticación que utilizan muchos proveedores de servicio de
Internet (ISP).
rexec Sí Sí Ejecución remota
rlogin Sí Sí El inicio de sesión remoto se produce cuando un usuario se conecta a un host de
Internet para utilizar su interfaz nativa de usuario.
rsh Sí Sí Entorno remoto
RTSP Sí Sí El protocolo de secuencia en tiempo real es un protocolo de nivel de aplicación
del cliente al servidor que se utiliza para controlar la entrega de datos con
propiedades en tiempo real. Establece y controla secuencias sincronizadas en una
sola hora o en varias horas de medios continuos, como audio y video.
SNMPTRAP Sí Sí El protocolo simple de administración de red es una aplicación SNMP que utiliza
el funcionamiento de captura SNMP para enviar información al administrador de
red.
SSH Sí Sí El protocolo de entorno seguro es un protocolo que se utiliza para iniciar una
sesión remota segura y otros servicios seguros de red a través de una red
insegura.
SSL Sí Sí El nivel de sockets seguro (protocolo SSL) es un protocolo que se utiliza para
transmitir documentos privados por medio del Internet utilizando un sistema
criptográfico.
syslog Sí Sí El protocolo de registro del sistema se utiliza para la transmisión de mensajes de
información de eventos a través de las redes.
Telnet Sí Sí El protocolo Telnet es un programa de emulación de terminal para redes TCP/IP.
Este protocolo le permite comunicarse con otros servidores en la red.
TFTP Sí Sí El protocolo trivial de transferencia de archivos es un protocolo simple que se
utiliza para transferir archivos. TFTP utiliza el protocolo de datagrama de usuario
(UDP) y no proporciona ninguna función de seguridad.
Anomalía
Firma en el
Protocolo completa protocolo Definición
VNC Sí Sí La informática de red virtual (Virtual Network Computing) es un protocolo de
escritorio para controlar de forma remota otro equipo.
Whois Sí Sí El protocolo de servicios de directorio de red es una transacción TCP basada en un
servidor de consulta/respuesta que proporciona un servicio de directorio de todos
los usuarios de Internet.
Anomalía
Firma en el
Protocolo completa protocolo Definición
AIM Sí Sí Mensajería inmediata de America Online (America Online Instant Messaging AIM)
es la aplicación de mensajería inmediata para America Online.
MSN Messenger Sí Sí Microsoft Network Messenger (MSN Messenger) es el servicio de mensajería
inmediata que proporciona Microsoft.
Yahoo! Sí Sí Yahoo! Messenger es el servicio de mensajería inmediata que proporciona Yahoo!
Messenger
IRC Sí Sí El chat de retransmisión de Internet (Internet Relay Chat) es un protocolo que se
basa en la visualización de texto, siendo el cliente más simple cualquier programa
de socket con la habilidad de conectarse al servidor.
Anomalía
Firma en el
Protocolo completa protocolo Definición
BitTorrent Sí No BitTorrent es una herramienta de distribución de archivos P2P, diseñada para
proporcionar una manera eficiente de distribución del mismo archivo a un grupo
grande, al hacer que todos los usuarios que descarguen un archivo también lo
envíen a otros usuarios.
DC Sí No DC (Direct Connect) es una aplicación de reparto de archivos P2P. Una red DC
(Direct connect) utiliza concentradores para conectar grupos de usuarios, a menudo con la
condición de que los usuarios compartan una cierta cantidad de bytes o de
archivos. Varios hubs ofrecen áreas de interés especiales, creando comunidades
pequeñas para usuarios conectados.
eDonkey Sí No eDonkey es una aplicación de reparto de archivos P2P descentralizada que utiliza
el protocolo de transferencia de archivos de múltiples fuentes (MFTP). La red
eDonkey admite dos clases de aplicaciones: clientes y servidores. Los clientes se
conectan a la red y comparten archivos. Los servidores actúan como
concentradores (hubs) de reunión para los clientes.
Gnutella Sí Sí Gnutella es una aplicación y protocolo de reparto de archivos P2P que no incluye
ningún servidor centralizado. Algunas otras aplicaciones que utilizan el protocolo
Gnutella son: BearShare, Limewire, Morpheus y ToadNode.
KaZaa Sí No KaZaa es una aplicación de reparto de archivos P2P descentralizada que utiliza el
protocolo FastTrack. KaZaa se utiliza principalmente para compartir archivos
MP3.
MLdonkey Sí No MLdonkey es una aplicación de cliente P2P que se puede ejecutar en múltiples
plataformas y puede obtener acceso a múltiples redes P2P, como BitTorrent, DC,
eDonkey, FastTrack (KaZaa, entre otros), así como Gnutella y Gnutella2.
Anomalía
Firma en el
Protocolo completa protocolo Definición
Skype Sí No Skype es un servicio telefónico gratis de Internet P2P que le permite a los
usuarios hablar entre ellos a través de una red TCP/IP como Internet.
SMB Sí Sí SMB (Server Message Block) es un protocolo que se utiliza para compartir
recursos como archivos e impresoras entre equipos. SMB funciona en control del
protocolo NetBIOS.
WinMX Sí No WinMX es una aplicación de reparto de archivos P2P que le permite al cliente
conectarse a varios servidores simultáneamente.
NOTA: Varias de las aplicaciones P2P enumeradas, utilizan sus propios protocolos
patentados.
Anomalía
Firma en el
Protocolo completa protocolo Definición
MSRPC Sí Sí MSRPC (Microsoft-Remote Procedure Call) es un mecanismo que se utiliza para
llevar a cabo procesos en equipos remotos.
http://help.juniper.net/sigupdates/english/AIM.html
http://help.juniper.net/sigupdates/english/DNS.html
http://help.juniper.net/sigupdates/english/FTP.html
http://help.juniper.net/sigupdates/english/GNUTELLA.html
http://help.juniper.net/sigupdates/english/HTTP.html
http://help.juniper.net/sigupdates/english/IMAP.html
http://help.juniper.net/sigupdates/english/MSN.html
http://help.juniper.net/sigupdates/english/NBDS.html
http://help.juniper.net/sigupdates/english/NBNAME.html
http://help.juniper.net/sigupdates/english/POP3.html
http://help.juniper.net/sigupdates/english/SMTP.html
http://help.juniper.net/sigupdates/english/MSRPC.html
http://help.juniper.net/sigupdates/english/SMB.html
http://help.juniper.net/sigupdates/english/YMSG.html
Cada una de las URL antedichas está vinculada a una página HTML que contiene
una lista de todos los objetos de ataque predefinidos (agrupados por gravedad) para
un protocolo determinado. Para consultar la descripción de un objeto de ataque,
haga clic en su nombre.
Firmas completas
Una firma de ataque es un patrón que aparece cuando se está produciendo la
explotación de una determinada vulnerabilidad. La firma puede ser un patrón de
tráfico de capa 3 o 4, como cuando una dirección envía muchos paquetes a
diversos números de puerto de otra dirección (consulte “Análisis de puertos” en la
página 8), o un patrón textual, como cuando aparece una cadena de URL maliciosa
en los datos transportados de un único paquete HTTP o FTP. La cadena también
puede ser un segmento de código específico o un valor determinado en el
encabezado del paquete. Sin embargo, cuando el módulo Deep Inspection (DI) de
un dispositivo de seguridad busca un patrón textual, busca algo más que sólo una
firma en un paquete; busca la firma en una porción muy concreta del mismo
(incluso aunque esté fragmentado o segmentado), en todos los paquetes enviados
en un determinado momento durante la vida de la sesión, y enviados por el
iniciador de la conexión o por el dispositivo que responde.
NOTA: Dado que el módulo DI admite expresiones regulares, puede utilizar comodines en
la búsqueda de patrones. De este modo, una sola definición de firma de ataque
puede aplicarse a múltiples variaciones del patrón de ataque. Para obtener más
información sobre expresiones regulares, consulte “Expresiones regulares” en la
página 147.
Cuando el módulo DI busca un patrón textual, tiene en cuenta los papeles de los
participantes (cliente o servidor) y supervisa el estado de la sesión para limitar su
búsqueda sólo a los elementos afectados por la explotación de la vulnerabilidad
para la que los atacantes utilizan el patrón. La utilización de información contextual
para refinar el análisis de paquetes reduce significativamente las falsas alarmas (o
“falsos positivos”) y evita el procesamiento innecesario. El término “firmas
completas” destaca este concepto de buscar firmas en los contextos de los papeles
de los participantes y en el estado de la sesión.
Para averiguar qué ventaja tiene considerar el contexto en el que se produce una
firma, observe cómo el módulo DI examina los paquetes cuando está habilitado
para detectar el ataque “EXPN Root”. Los atacantes utilizan el ataque “EXPN Root”
para ampliar y exponer las listas de distribución de un servidor de correo. Para
detectar el ataque “EXPN Root”, el dispositivo de seguridad busca la firma “expn
root” en la porción de control de una sesión del protocolo simple de transferencia
de correo (“Simple Mail Transfer Protocol” o “SMTP”). El dispositivo examina
solamente la porción de control porque el ataque sólo puede producirse ahí. Si
“expn root” ocurre en cualquier otra porción de la sesión, no es un ataque.
NOTA: Para obtener una lista de los protocolos para los que existen objetos de ataque de
firmas completas predefinidas, consulte “Protocolos admitidos” en la página 120.
NOTA: Las firmas de secuencias TCP sólo se pueden definir en sistemas de la serie
NetScreen-5000.
Anomalías en el protocolo
Los objetos de ataque que buscan anomalías de protocolos detectan el tráfico que
incumple los estándares definidos en las normas RFC y extensiones comunes de
RFC. Con los objetos de ataque de firma se debe utilizar un patrón predefinido o
crear uno nuevo; por lo tanto, sólo se pueden detectar ataques conocidos. La
detección de anomalías en los protocolos es particularmente útil para detectar
nuevos ataques o aquéllos que no se pueden definir con un patrón textual.
NOTA: Para obtener una lista de los protocolos para los que existen objetos de ataque de
anomalías del protocolo predefinidas, consulte “Protocolos admitidos” en la
página 120.
Nivel de gravedad de
Nivel de gravedad de entrada de registro de
objetos de ataque – Se asigna a – eventos
Critical Critical
High Error
Medium Warning
Low Notification
Info Information
WebUI
Policies > Edit (para una directiva existente): Ejecute el siguiente
procedimiento y después haga clic en OK:
CLI
ns-> set policy id number
ns(policy:number)-> set di-severity { info | low | medium | high | critical }
WebUI
Policies > Edit (para una directiva existente): Ejecute el siguiente
procedimiento y después haga clic en OK:
CLI
ns-> set policy id number
ns(policy:number)-> unset di-severity
INFO:DNS:SIGS
INFO:GNUTELLA:ANOM
INFO:HTTP:SIGS
NOTA: Por razones de seguridad, no se define una directiva que permita a todos los hosts
en la zona Untrust iniciar una sesión P2P con un host en la zona Trust.
NOTA: Para obtener información sobre las varias acciones de ataque que el dispositivo de
seguridad puede ejecutar, consulte “Acciones de ataque” en la página 130. Para
obtener información sobre el registro de ataques detectados, consulte “Registrar
ataques” en la página 140.
WebUI
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: DNS
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Severity: Default
Group: INFO:DNS:SIGS
Action: Close Client
Log: (seleccione)
Severity: Default
Group: INFO:GNUTELLA:ANOM
Action: Close Client
Log: (seleccione)
Severity: Default
Group: INFO:HTTP:SIGS
Action: Close Client
Log: (seleccione)
CLI
set policy id 1 from trust to untrust any any dns permit attack
INFO:DNS:SIGS action close-client
set policy id 1
ns(policy:1)-> set service gnutella
ns(policy:1)-> set service http
ns(policy:1)-> set attack INFO:GNUTELLA:ANOM action close-client
ns(policy:1)-> set attack INFO:HTTP:SIGS action close-client
ns(policy:1)-> exit
save
WebUI
Objects > Attacks > Predefined Desactive la casilla de verificación en la
columna Configure para el objeto de ataque que desee desactivar.
CLI
set attack disable attack_object_name
WebUI
Objects > Attacks > Predefined Seleccione la casilla de verificación en la
columna Configure para el objeto de ataque que desee habilitar.
CLI
unset attack disable attack_object_name
Acciones de ataque
Cuando el dispositivo de seguridad detecta un ataque, ejecuta la acción que se
especificó para el grupo de ataque que contiene el objeto que coincide con el
ataque. Las siete acciones son las siguientes, organizadas de la más a la menos
severa:
Utilice esta opción para conexiones TCP salientes desde un cliente protegido
hacia un servidor no fiable. Si, por ejemplo, el servidor envía una cadena URL
maliciosa, el dispositivo de seguridad interrumpe la conexión y envía un RST
sólo al cliente para que borre sus recursos mientras el servidor queda a la
espera.
Utilice esta opción para conexiones UDP u otras conexiones no TCP, como DNS.
El dispositivo de seguridad descarta todos los paquetes en una sesión, pero no
envía TCP RST.
Esta opción descarta el paquete en el que se detecta una firma de ataque o una
anomalía de protocolo, pero no termina la sesión propiamente dicha. Utilice
esta opción para descartar paquetes mal formados sin interrumpir la sesión
entera. Por ejemplo, si el dispositivo de seguridad detecta una firma de ataque
o anomalía de protocolo procedente de un proxy de AOL, descartar todo
interrumpiría todos los servicios de AOL. En lugar de ello, al descartar
únicamente el paquete, se detiene el paquete problemático sin detener el flujo
del resto de paquetes.
Se puede crear una directiva que haga referencia a múltiples grupos de objetos de
ataque, cada grupo con una acción diferente. Si el dispositivo de seguridad detecta
simultáneamente múltiples ataques que pertenecen a diferentes grupos de objetos
de ataque, éste aplica la acción más severa especificada por uno de dichos grupos.
CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS
HIGH:HTTP:ANOM, HIGH:HTTP:SIGS
MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS
CRITICAL:FTP:SIGS
CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS
HIGH:HTTP:ANOM, HIGH:HTTP:SIGS
MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS
CRITICAL:FTP:SIGS
Decide interrumpir la conexión y enviar una notificación TCP RST tanto a los
clientes como a los servidores protegidos para que ambos puedan terminar sus
sesiones y borrar sus recursos sin importar el nivel de gravedad del ataque.
CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS
HIGH:HTTP:ANOM, HIGH:HTTP:SIGS
MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS
CRITICAL:FTP:SIGS
Usted elige interrumpir la conexión y enviar una notificación TCP RST a los
clientes protegidos para que ambos puedan terminar sus sesiones y borrar sus
recursos. En este caso, usted prevé un ataque procedente de un servidor HTTP
o FTP no fiable.
Aunque las directivas permiten HTTP, HTTPS, Ping, FTP-Get o FTP, el dispositivo de
seguridad activa la DI únicamente para el tráfico HTTP y FTP. Todas las zonas se
encuentran en el dominio de enrutamiento trust-vr.
Zona Untrust
DI (Untrust -> DMZ)
HTTP: Crit, High, Med;
FTP: Crit
ethernet3 Action: Close-server
1.1.1.1/24
Zona DMZ
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), websrv1
Service: HTTP
> Haga clic en Multiple, seleccione FTP-GET, HTTPS, PING y después haga
clic en OK para regresar a la página de configuración básica de directivas.
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CRITICAL:HTTP:ANOM
Action: Close Server
Log: (seleccione)
Group: CRITICAL:HTTP:SIGS
Action: Close Server
Log: (seleccione)
Group: HIGH:HTTP:ANOM
Action: Close Server
Log: (seleccione)
Group: HIGH:HTTP:SIGS
Action: Close Server
Log: (seleccione)
Group: MEDIUM:HTTP:ANOM
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), websrv1
Service: HTTP
> Haga clic en Multiple, seleccione FTP-GET, HTTPS, PING y después haga
clic en OK para regresar a la página de configuración básica de directivas.
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CRITICAL:HTTP:ANOM
Action: Close
Log: (seleccione)
Group: CRITICAL:HTTP:SIGS
Action: Close
Log: (seleccione)
Group: HIGH:HTTP:ANOM
Action: Close
Log: (seleccione)
Group: HIGH:HTTP:SIGS
Action: Close
Log: (seleccione)
Group: MEDIUM:HTTP:ANOM
Action: Close
Log: (seleccione)
Group: MEDIUM:HTTP:SIGS
Action: Close
Log: (seleccione)
Group: CRITICAL:FTP:SIGS
Action: Close
Log: (seleccione)
6. Directiva con ID 3
Directivas > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
> Haga clic en Multiple, seleccione FTP-GET, HTTPS, PING y después haga
clic en OK para regresar a la página de configuración básica de directivas.
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CRITICAL:HTTP:ANOM
Action: Close Client
Log: (seleccione)
Group: CRITICAL:HTTP:SIGS
Action: Close Client
Log: (seleccione)
Group: HIGH:HTTP:ANOM
Action: Close Client
Log: (seleccione)
Group: HIGH:HTTP:SIGS
Action: Close Client
Log: (seleccione)
Group: MEDIUM:HTTP:ANOM
Action: Close Client
Log: (seleccione)
Group: MEDIUM:HTTP:SIGS
Action: Close Client
Log: (seleccione)
Group: CRITICAL:FTP:SIGS
Action: Close Client
Log: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 manage
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet2 zone dmz
set interface ethernet2 ip 2.1.1.1/24
2. Direcciones
set address dmz websrv1 1.2.2.5/32
set address dmz websrv2 1.2.2.6/32
3. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
4. Directiva con ID 1
set policy id 1 from untrust to dmz any websrv1 http permit attack
CRITICAL:HTTP:ANOM action close-server
set policy id 1
ns(policy:1)-> set dst-address websrv2
ns(policy:1)-> set service ftp-get
ns(policy:1)-> set service https
ns(policy:1)-> set service ping
ns(policy:1)-> set attack CRITICAL:HTTP:SIGS action close-server
ns(policy:1)-> set attack HIGH:HTTP:ANOM action close-server
ns(policy:1)-> set attack HIGH:HTTP:SIGS action close-server
ns(policy:1)-> set attack MEDIUM:HTTP:ANOM action close-server
ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action close-server
ns(policy:1)-> set attack CRITICAL:FTP:SIGS action close-server
ns(policy:1)-> exit
5. Directiva con ID 2
set policy id 2 from trust to dmz any websrv1 http permit attack
CRITICAL:HTTP:ANOM action close
set policy id 2
ns(policy:2)-> set dst-address websrv2
ns(policy:2)-> set service ftp
ns(policy:2)-> set service https
ns(policy:2)-> set service ping
ns(policy:2)-> set attack CRITICAL:HTTP:SIGS action close
ns(policy:2)-> set attack HIGH:HTTP:ANOM action close
ns(policy:2)-> set attack HIGH:HTTP:SIGS action close
ns(policy:2)-> set attack MEDIUM:HTTP:ANOM action close
ns(policy:2)-> set attack MEDIUM:HTTP:SIGS action close
ns(policy:2)-> set attack CRITICAL:FTP:SIGS action close
ns(policy:2)-> exit
6. Directiva con ID 3
set policy id 3 from trust to untrust any any http permit attack
CRITICAL:HTTP:ANOM action close-client
set policy id 3
ns(policy:3)-> set service ftp-get
ns(policy:3)-> set service https
ns(policy:3)-> set service ping
ns(policy:3)-> set attack CRITICAL:HTTP:SIGS action close-client
ns(policy:3)-> set attack HIGH:HTTP:ANOM action close-client
ns(policy:3)-> set attack HIGH:HTTP:SIGS action close-client
ns(policy:3)-> set attack MEDIUM:HTTP:ANOM action close-client
ns(policy:3)-> set attack MEDIUM:HTTP:SIGS action close-client
ns(policy:3)-> set attack CRITICAL:FTP:SIGS action close-client
ns(policy:3)-> exit
save
Aparte de una acción DI, las acciones de ataque de fuerza bruta se configuran por
medio del comando IP action por un periodo configurado de tiempo para un
destino especificado. Si su dispositivo de seguridad detecta un ataque de fuerza
bruta, seleccione una de las siguientes acciones a ejecutar:
Opción de
destino Elementos coincidentes
Serv IP de origen, IP de destino, puerto de destino y
protocolo
Src-IP dirección IP de origen
Zone-Serv zona de seguridad de origen, IP de destino, número
de puerto de destino y protocolo
Dst-IP dirección IP destino
Zone zona de seguridad de origen
(La zona de seguridad a la cual está asociada la
interfaz de entrada, es decir, la zona de seguridad de
original desde la cual se originan paquetes de ataques)
Ejemplo 1
En este ejemplo, se debe configurar una acción IP junto con la acción DI existente
para cada grupo en una directiva. Los siguientes comandos CLI bloquean el objeto
de ataques de fuerza bruta (intentos de inicio de sesión de fuerza bruta HTTP o
búsquedas de fuerza bruta HTTP durante 45 segundos). Todos los otros ataques en
el grupo de ataque HIGH:HTTP:ANOM se configuran con la acción DI de close.
CLI
ns> get attack group HIGH:HTTP:ANOM
GROUP "HIGH:HTTP:ANOM" is pre-defined. It has the following members
ID Name
1674 HTTP:INVALID:INVLD-AUTH-CHAR
1675 HTTP:INVALID:INVLD-AUTH-LEN
1711 HTTP:OVERFLOW:HEADER
1713 HTTP:OVERFLOW:INV-CHUNK-LEN
1717 HTTP:OVERFLOW:AUTH-OVFLW
5394 HTTP:EXPLOIT:BRUTE-FORCE
5395 HTTP:EXPLOIT:BRUTE-SEARCH
ns> set policy id 1 from Untrust to DMZ Any Any Any permit attack
MEDIUM:HTTP:ANOM action none
ns> set policy id 1
ns(policy:1)-> set attack HIGH:HTTP:ANOM action close ip-action block target dst-ip
timeout 45
Ejemplo 2
En este ejemplo, se asocia una acción IP para cada uno de los grupos de ataque por
un periodo configurado de tiempo de un host especificado.
set policy id 1 from trust to untrust any any any permit attack POP3 BRUTE FORCE
Login Attempt action close ip-action notify target serv timeout 60
Ejemplo 3
En este ejemplo, el valor de umbral predeterminado del intento de inicio de sesión
de fuerza bruta es de ocho intentos por minuto. Si un usuario en una dirección IP
192.168.2.2 activa un intento de inicio de sesión de fuerza bruta FTP en el servidor
FTP en 10.150.50.5 para descubrir la contraseña y el nombre de la cuenta de un
usuario, el intento se detecta cuando el atacante ejecuta ocho intentos de inicio de
sesión FTP en un minuto.
Registrar ataques
Se puede habilitar el registro de ataques detectados a través del grupo de ataque por
directiva. En otras palabras, dentro de la misma directiva, se pueden aplicar grupos
de ataque múltiples y habilitar selectivamente el registro de ataques detectados
para únicamente algunos de ellos.
HIGH:IMAP:ANOM
HIGH:IMAP:SIGS
MEDIUM:IMAP:ANOM
LOW:IMAP:ANOM
INFO:IMAP:ANOM
La directiva se aplica al tráfico IMAP proveniente de todos los hosts en la zona Trust
hacia el servidor de correo electrónico llamado “mail1” en la zona DMZ. Si alguno
de los objetos de ataque IMAP predefinidos en los cinco grupos anteriores coincide
con un ataque, el dispositivo de seguridad cierra la conexión. Sin embargo, dicha
acción únicamente crea entradas de registro para detectar ataques que coincidan
con los objetos de ataque que se encuentran en los dos primeros grupos.
WebUI
1. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), mail1
Service: IMAP
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: HIGH:IMAP:ANOM
Action: Close
Log: (seleccione)
Group: HIGH:IMAP:SIGS
Action: Close
Log: (seleccione)
Group: MEDIUM:IMAP:ANOM
Action: Close
Log: (anule la selección)
Group: LOW:IMAP:ANOM
Action: Close
Log: (anule la selección)
Group: INFO:IMAP:ANOM
Action: Close
Log: (anule la selección)
CLI
1. Dirección
set address dmz mail1 1.2.2.10/32
2. Directiva
ns-> set policy id 1 from trust to dmz any mail1 imap permit attack
HIGH:IMAP:ANOM action close
ns-> set policy id 1
ns(policy:1)-> set attack HIGH:IMAP:SIGS action close
ns(policy:1)-> set attack MEDIUM:IMAP:ANOM action close
ns(policy:1)-> unset attack MEDIUM:IMAP:ANOM logging
ns(policy:1)-> set attack LOW:IMAP:ANOM action close
ns(policy:1)-> unset attack LOW:IMAP:ANOM logging
ns(policy:1)-> set attack INFO:IMAP:ANOM action close
ns(policy:1)-> unset attack INFO:IMAP:ANOM logging
ns(policy:1)-> exit
ns-> save
set policy id 1 from untrust to trust any ftp-srv1 custom-ftp permit attack
CRITICAL:FTP:SIGS action close-server
Sin embargo, el módulo DI comprueba si hay ataques CRITICAL:FTP en el puerto 21, que no
está siendo utilizado.
Para evitar este problema, debe informar al módulo DI de que la aplicación FTP se
está ejecutando en el puerto 2121 (consulte la Figura 55). Esencialmente, debe
asignar el protocolo de la capa de aplicación en un número de puerto específico en
la capa de transporte. Esta asociación se puede realizar a nivel de directivas:
set policy id 1 from untrust to trust any ftp-srv1 custom-ftp permit attack
CRITICAL:FTP:SIGS action close-server
set policy id 1 application ftp
CRITICAL:HTTP:ANOM, CRITICAL:HTTP:SIGS
HIGH:HTTP:ANOM, HIGH:HTTP:SIGS
MEDIUM:HTTP:ANOM, MEDIUM:HTTP:SIGS
WebUI
1. Servicio personalizado
Objects > Services > Custom > New: Introduzca los siguientes datos y haga
clic en OK:
2. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), server1
Service: HTTP1
Application: HTTP
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CRITICAL:HTTP:ANOM
Action: Close Server
Log: (seleccione)
Group: CRITICAL:HTTP:SIGS
Action: Close Client
Log: (seleccione)
Group: HIGH:HTTP:ANOM
Action: Close Client
Log: (seleccione)
Group: HIGH:HTTP:SIGS
Action: Close Client
Log: (seleccione)
Group: MEDIUM:HTTP:ANOM
Action: Close Client
Log: (seleccione)
Group: MEDIUM:HTTP:SIGS
Action: Close Client
Log: (seleccione)
CLI
1. Servicio personalizado
set service HTTP1 protocol tcp src-port 0-65535 dst-port 8080-8080
2. Dirección
set address dmz server1 1.2.2.5/32
3. Directiva
ns-> set policy id 1 from untrust to dmz any server1 HTTP1 permit attack
CRITICAL:HTTP:ANOM action close-server
ns-> set policy id 1
ns(policy:1)-> set attack CRITICAL:HTTP:SIGS action close-server
ns(policy:1)-> set attack HIGH:HTTP:ANOM action close-server
ns(policy:1)-> set attack HIGH:HTTP:SIGS action close-server
ns(policy:1)-> set attack MEDIUM:HTTP:ANOM action close-server
ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action close-server
ns(policy:1)-> exit
ns-> set policy id 1 application http
save
WebUI
1. Servicio personalizado
Objects > Services > Custom > New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP2
Application: HTTP
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CRITICAL:HTTP:SIGS
Action: Close
Log: (seleccione)
Group: MEDIUM:HTTP:SIGS
Action: Close
Log: (seleccione)
CLI
1. Servicio personalizado
set service HTTP2 protocol tcp src-port 0-65535 dst-port 8000-8000
2. Directiva
ns-> set policy id 1 from untrust to dmz any any HTTP2 permit attack
CRITICAL:HTTP:SIGS action close
ns-> set policy id 1
ns(policy:1)-> set attack MEDIUM:HTTP:SIGS action close
ns(policy:1)-> exit
ns-> set policy id 1 application http
save
Establezca el contexto para la búsqueda DI. (Para obtener una lista completa de
todos los contextos que puede utilizar cuando se crean objetos de ataque,
consulte “Contextos para las firmas definidas por el usuario” en la página I)
NOTA: Un grupo de objetos de ataque definido por el usuario sólo puede contener objetos
de ataque definidos por el usuario. En el mismo grupo de objetos de ataque no se
pueden mezclar objetos de ataque predefinidos y objetos definidos por el usuario.
Expresiones regulares
Cuando se introduce el texto de una firma, puede escribir una cadena alfanumérica
de caracteres normales para buscar coincidencias exactas carácter por carácter, o
puede utilizar expresiones regulares para ampliar las posibles coincidencias de la
búsqueda a conjuntos de caracteres. ScreenOS reconoce las siguientes expresiones
regulares como se muestra en la Tabla 12.
Expresiones de grupos ()
El carácter anterior o el | (drop | packet) Buscar drop o packet.
siguiente. Se suele usar con ( ) Coincide con:
drop
packet
dad, dat
ead, eat
fad, fat
1.Octal es el sistema numérico en base 8 que utiliza únicamente los dígitos 0-7.
2.Hexadecimal es un sistema numérico en base 16 que utiliza los dígitos 0–9 habituales más las letras A–F, que representan
dígitos hexadecimales equivalentes a los valores decimales 10–15.
WebUI
1. Objeto de ataque 1: ftp-stor
Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga
clic en OK:
6. Directiva
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
> Haga clic en Multiple, seleccione FTP y después haga clic en OK para
regresar a la página de configuración básica de directivas.
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CS:DMZ DI
Action: Close Server
Log: (seleccione)
CLI
1. Objeto de ataque 1: ftp-stor
set attack cs:ftp-stor ftp-command STOR severity medium
2. Objeto de ataque 2: ftp-user-dm
set attack cs:ftp-user-dm ftp-username dmartin severity low
3. Objeto de ataque 3: url-index
set attack cs:url-index http-url-parsed index.html severity high
4. Objeto de ataque 4: spammer
set attack cs:spammer smtp-from .*@spam.com severity info
5. Grupo de objetos de ataque
set attack group “CS:DMZ DI”
NOTA: Las firmas de secuencias TCP sólo se pueden definir en sistemas de la serie
NetScreen-5000.
Dado que no hay objetos de ataque de firma de las secuencias TCP predefinidos, es
necesario definirlos. Al crear un objeto de ataque de firma, defina los siguientes
componentes:
Nombre del objeto de ataque (Todos los objetos de ataque definidos por el
usuario deben comenzar con “CS:”).
Definición de patrón
Nivel de gravedad
WebUI
1. Objeto de ataque de firma de secuencia
Objects > Attacks > Custom > New: Introduzca los siguientes datos y haga
clic en OK:
3. Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CS:Gr1
CLI
1. Objeto de ataque de firma de secuencia
set attack “CS:A1” stream “.*satori.*” severity critical
2. Grupo de ataques de firma de secuencia
set attack group “CS:Gr1”
set attack group “CS:Gr1” add “CS:A1”
3. Directiva
set policy from trust to untrust any any any permit attack CS:Gr1 action close-client
save
NOTA: Para obtener una lista completa de todos los parámetros configurables, consulte el
comando DI en ScreenOS CLI Reference Guide IPv4 Command Descriptions.
Para los siguientes parámetros, usted establece valores inferiores para detectar
comportamientos anómalos que el dispositivo de seguridad pasó por alto con los
ajustes predeterminados:
WebUI
NOTA: Debe utilizar la CLI para modificar los parámetros de anomalías de protocolos.
CLI
set di service smb failed_logins 8
set di service gnutella max_ttl_hops 10
set di service aim max_flap_length 5000
set di service aim max_oft_frame 5000
save
Negación
Normalmente, se utilizan los objetos de ataque para comparar los patrones que son
indicativos de actividad anómala o maliciosa. Sin embargo, también se pueden
utilizar para hacer coincidir los patrones indicativos de actividad legítima o benigna.
Con este enfoque, únicamente hay algo sospechoso si un tipo de tráfico no coincide
con un patrón determinado. Para utilizar los objetos de ataques de esta manera,
aplique el concepto de negación.
Una aplicación útil de la negación de objetos de ataque sería bloquear todos los
intentos de inicio de sesión que no se realicen con el nombre del usuario y la
contraseña correcta. Sería demasiado complicado definir todos los nombres de
usuario y contraseñas no válidas y bastante fácil definir las correctas y después
aplicar la negación para invertir lo que el dispositivo de seguridad considera que es
un ataque, es decir, todo con excepción del objeto de ataque especificado.
154 Negación
Capítulo 5: Deep Inspection
Se aplica la DI en el tráfico FTP para el servidor desde todos los hosts en las
zonas Untrust y Trust.
Objeto de ataque nº 1:
Name: CS:FTP1_USR_OK
Negation: habilitada
Context: ftp-username
Pattern: admin1
Severity: alta
Objeto de ataque nº 2:
Name: CS:FTP1_PASS_OK
Negation: habilitada
Context: ftp-password
Pattern: pass1
Severity: alta
Negación 155
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
NOTA: De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará
en modo NAT. Por lo tanto, esta opción ya está habilitada para las interfaces
asociadas a la zona Trust.
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
156 Negación
Capítulo 5: Deep Inspection
2. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Negación 157
Manual de referencia de ScreenOS: conceptos y ejemplos
6. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), ftp1
Service: FTP
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CS:FTP1_LOGIN
Action: Drop
Log: (seleccione)
Directivas > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), ftp1
Service: FTP
Action: Permit
> Haga clic en Deep Inspection, introduzca lo siguiente, haga clic en Add
para introducir cada grupo de objetos de ataque y después haga clic en OK
para regresar a la página de configuración básica de directivas:
Group: CS:FTP1_LOGIN
Action: Descartar
Log: (seleccione)
158 Negación
Capítulo 5: Deep Inspection
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone dmz
set interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address dmz ftp1 1.2.2.5/32
3. Objetos de ataque:
set attack CS:FTP1_USR_OK ftp-username not admin1 severity high
set attack CS:FTP1_PASS_OK ftp-password not pass1 severity high
set attack group CS:FTP1_LOGIN
set attack group CS:FTP1_LOGIN add CS:FTP1_USR_OK
set attack group CS:FTP1_LOGIN add CS:FTP1_PASS_OK
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
5. Directivas
set policy from untrust to dmz any ftp1 ftp permit attack CS:FTP1_LOGIN action
drop
set policy from trust to dmz any ftp1 ftp permit attack CS:FTP1_LOGIN action drop
save
Controles ActiveX
La tecnología ActiveX de Microsoft proporciona a los diseñadores Web una
herramienta para crear páginas web dinámicas e interactivas. Los controles ActiveX
son componentes que permiten a diversos programas interactuar entre sí. Por
ejemplo, ActiveX permite a su explorador abrir una hoja de cálculo o mostrar su
cuenta personal desde una base de datos. Los componentes de ActiveX también
pueden contener otros componentes tales como applets de Java, o archivos como
.exe y .zip.
Cuando se visita un sitio web con ActiveX habilitado, el sitio le solicita al equipo que
descargue los controles de ActiveX. Microsoft proporciona un mensaje emergente
que muestra el nombre de la empresa o del programador que autenticó el código
ActiveX que se ofrece para su descarga. Si confía en la procedencia del código,
puede iniciar la descarga de los controles. Si no confía en el origen, puede
rechazarlos.
Applets de Java
Con una finalidad similar a la de ActiveX, los applets de Java también aumentan la
funcionalidad de las páginas web al permitirles interactuar con otros programas.
Los applets de Java se descargan a una máquina virtual de Java (VM) en su equipo.
En la versión inicial de Java, la máquina virtual no permitía que los applets
interactuaran con otros recursos de su equipo. Desde Java 1.1, algunas de estas
restricciones fueron relajadas para proporcionar mayor funcionalidad.
Consecuentemente, los applets de Java ahora pueden acceder a recursos locales
fuera de la VM. Debido a que un atacante puede programar los applets de Java para
funcionar fuera de la VM, plantean la misma amenaza a la seguridad que los
controles de ActiveX.
Archivos EXE
En los archivos ejecutables (es decir, archivos con la extensión .exe) descargados de
Internet, no existe garantía de que puedan ejecutarse sin riesgo. Aunque el sitio de
descarga sea de confianza, un usuario malintencionado podría estar rastreando las
peticiones de descarga de ese sitio, interceptar su petición y responder con un
archivo .exe manipulado con código dañino.
Archivos ZIP
Un archivo ZIP (es decir, un archivo con la extensión .zip), es un tipo de archivo que
contiene unos o más archivos comprimidos. El peligro de descargar un archivo
“.exe” como el presentado en la sección anterior que trata sobre archivos “.exe”
también puede aplicarse a los archivos “.zip”, ya que éstos pueden contener
archivos “.exe”.
WebUI
Screening > Screen (Zone: Untrust): Seleccione Block Java Component y
Block EXE Component y después haga clic en Apply.
CLI
set zone untrust screen component-block jar
set zone untrust screen component-block exe
save
163
Manual de referencia de ScreenOS: conceptos y ejemplos
Fragmentos ICMP
El protocolo de mensajes de control de Internet (“Internet Control Message
Protocol” o “ICMP”) ofrece posibilidades de comunicación de errores y de
comprobación de redes. Dado que los paquetes ICMP contienen mensajes muy
cortos, no existe ningún motivo legítimo para que los paquetes ICMP resulten
fragmentados. Cuando un paquete ICMP es tan grande que necesita fragmentarse,
hay algún problema. Si habilita la opción ICMP Fragment Protection SCREEN, el
dispositivo de seguridad bloquea cualquier paquete ICMP que tenga el flag de más
fragmentos (“More Fragments”) activado o que contenga algún valor en el campo
de desplazamiento (“offset”).
Dirección de origen
Dirección de destino
Opciones
Para bloquear los paquetes ICMP fragmentados, utilice uno de los siguientes
métodos, donde la zona de seguridad especificada es la zona en la que se
originaron los fragmentos:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione ICMP
Fragment Protection y haga clic en Apply.
CLI
set zone zone screen icmp-fragment
Encabezado IP Longitud de
Versión Tipo de servicio Tamaño total del paquete (en bytes)
encabezado
Identificación 0 D M Desplazamiento del fragmento
Dirección de origen
Dirección de destino
Opciones
Para bloquear los paquetes ICMP de gran tamaño, utilice uno de los siguientes
métodos, donde la zona de seguridad especificada es la zona en la que se
originaron los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Large
Size ICMP Packet (Size > 1024) Protection y haga clic en Apply.
CLI
set zone zone screen icmp-large
Opciones IP incorrectas
La norma de protocolo de Internet RFC 791, Internet Protocol, especifica una serie
de opciones que ofrecen controles de enrutamiento, herramientas de diagnóstico y
medidas de seguridad especiales. Aunque la finalidad original prevista para estas
opciones era legítima, algunas personas han hallado la forma de explotarlas para
lograr objetivos menos loables. (Para ver un resumen de las vulnerabilidades de las
opciones IP que los atacantes pueden explotar, consulte “Reconocimiento de red
mediante opciones IP” en la página 9).
Tamaño de
Encabezado IP Versión Tipo de servicio Tamaño total del paquete (en bytes)
encabezado
Identificación 0 D M Desplazamiento del fragmento
Dirección de origen
Dirección de destino
Opciones
Carga de datos
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Bad IP
Option Protection, luego haga clic en Apply.
CLI
set zone zone screen ip-bad-option
Protocolos desconocidos
Por el momento, los tipos de protocolos con los números de identificación 137 o
superior están reservados y no definidos. Debido precisamente a que estos
protocolos no están definidos, no se puede saber por adelantado si un determinado
protocolo desconocido es legítimo o malévolo. Salvo que su red utilice un protocolo
no estándar con un número de identificación 137 o superior, una buena medida de
precaución es impedir que esos elementos desconocidos puedan entrar en su red
protegida.
Encabezado IP Versión Tamaño de Tipo de servicio Tamaño total del paquete (en bytes)
encabezado
Identificación 0 D M Desplazamiento del fragmento
Dirección de origen
Dirección de destino
Opciones
Carga de datos
Para descartar los paquetes que utilicen un protocolo desconocido, utilice uno de
los siguientes métodos, donde la zona de seguridad especificada es la zona en la
que se originan los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione
Unknown Protocol Protection, luego haga clic en Apply.
CLI
set zone zone screen unknown-protocol
Fragmentos de paquetes IP
A medida que los paquetes pasan por diferentes redes, en ocasiones resulta
necesario dividirlos en trozos más pequeños (fragmentos) para adaptar su tamaño a
la unidad de transmisión máxima (MTU) de cada red. Aprovechando los fragmentos
IP, un atacante puede intentar explotar las vulnerabilidades existentes en el código
de reensamblaje de paquetes de determinadas implementaciones de pilas IP (“IP
stacks”). Cuando la víctima recibe estos paquetes, los resultados pueden variar
desde un procesamiento incorrecto de los paquetes hasta la caída total del sistema.
Tamaño de
Encabezado IP Versión Tipo de servicio Tamaño total del paquete (en bytes)
encabezado
Identificación 0 D M Fragment Offset
Dirección de origen
Dirección de destino
Opciones
Carga de datos
Para descartar los paquetes IP fragmentados, utilice uno de los siguientes métodos,
donde la zona de seguridad especificada es la zona de origen de los fragmentos:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione Block
Fragment Traffic, luego haga clic en Apply.
CLI
set zone zone screen block-frag
Fragmentos SYN
El protocolo de Internet (IP) encapsula los segmentos SYN del protocolo de control
de transmisiones (TCP) en el paquete IP que inicia una conexión de TCP. Dado que
la finalidad de este paquete es iniciar una conexión e invocar un segmento
SYN/ACK como respuesta, el segmento SYN generalmente no contiene datos. Como
el paquete IP es pequeño, no existe ningún motivo legítimo para su fragmentación.
Un paquete SYN fragmentado es algo anómalo y, por lo tanto, sospechoso. Como
medida preventiva, impida que tales elementos desconocidos puedan entrar en su
red protegida.
Para descartar los paquetes IP que contengan fragmentos SYN, utilice uno de los
siguientes métodos, donde la zona de seguridad especificada es la zona en la que se
originan los paquetes:
WebUI
Screening > Screen (Zone: seleccione un nombre de zona): Seleccione ICMP
Fragment Protection, luego haga clic en Apply.
CLI
set zone zone screen syn-frag
Encabezado IP Versión Tamaño del Tipo de servicio Tamaño total del paquete (en bytes)
encabezado
Identificación 0 D M Fragment Offset
Dirección de origen
Dirección de destino
Encabezado ICMP Número de puerto de origen de 16 bits Número de puerto de destino de 16 bits
NOTA: Un grupo de objetos de ataque definido por el usuario sólo puede contener objetos
de ataque definidos por el usuario. En el mismo grupo de objetos de ataque no se
pueden mezclar objetos de ataque predefinidos y objetos definidos por el usuario.
A-I
Manual de referencia de ScreenOS: conceptos y ejemplos
A-II
Protocolo Contexto Descripción (Establece el contexto como…)
pop3-header-to La cadena de texto en el encabezado “Para:” de un correo electrónico en una
transacción de POP3.
pop3-mime- El nombre del archivo de contenido de un documento adjunto de extensiones
content-filename multiuso para correo de Internet (MIME) en una sesión POP3.
pop3-user El nombre de usuario en una sesión POP3.
SMB smb-account-name El nombre de una cuenta de bloques de mensajes de servidor (SMB) en una petición
SESSION_SETUP_ANDX en un sesión de SMB.
smb-connect-path La ruta de conexión en la petición TREE_CONNECT_ANDX en una sesión de SMB.
smb-connect-service El nombre del servicio de conexión en la petición TREE_CONNECT_ANDX en una
sesión de SMB.
smb-copy-filename El nombre de un archivo en una petición COPY en una sesión de SMB.
smb-delete-filename El nombre de un archivo en una petición DELETE en una sesión de SMB.
smb-open-filename El nombre de un archivo en las peticiones NT_CREATE_ANDX y OPEN_ANDX en una
sesión de SMB.
SMTP smtp-from La cadena de texto en una línea de comando “MAIL FROM” en una sesión del
Protocolo de transferencia de correo sencillo (SMTP), según se describe en RFC 2821,
Simple Mail Transfer Protocol.
smtp-header-from La cadena de texto en el encabezado “De:” en una sesión de SMTP.
smtp-header-line La cadena de texto en cualquier línea del encabezado en una sesión de SMTP.
smtp-header-subject La cadena de texto en el encabezado “Asunto:” en una sesión de SMTP.
smtp-header-to La cadena de texto en el encabezado “Para:” en una sesión de SMTP.
smtp-mime- El nombre del archivo de contenido de un documento adjunto de extensiones
content-filename multiuso para correo de Internet (MIME) en una sesión SMTP.
smtp-rcpt La cadena de texto en una línea de comando “RCPT TO” en una sesión SMTP.
– stream256 Los primeros 256 bytes de una secuencia de datos reensamblados y normalizados de
TCP.
Yahoo! ymsg-alias El nombre de identificación alterno asociado con el nombre de usuario principal de
Messenger un usuario de mensajes instantáneos de Yahoo!
ymsg-chatroom- El texto en mensajes intercambiados en un chat en los mensajes instantáneos de
message Yahoo!
ymsg-chatroom- El nombre de un chat de mensajes instantáneos de Yahoo!
name
ymsg-nickname El sobrenombre de un usuario de mensajes instantáneos de Yahoo!
ymsg-p2p-get- La ubicación de un archivo en una máquina del interlocutor de mensajes
filename-url instantáneos de Yahoo! desde el cual se pueden descargar archivos.
ymsg-p2p-put- La ubicación de un archivo en una máquina del interlocutor de mensajes
filename-url instantáneos de Yahoo! al cual se pueden cargar archivos.
A-III
Manual de referencia de ScreenOS: conceptos y ejemplos
A-IV
Índice
A ICMP
acciones de ataque ..............................................126–133 fragmentos ........................................................160
close ........................................................................126 inundaciones ......................................................48
close client .............................................................126 inundaciones de la tabla de sesiones ..............17, 29
close server ............................................................126 Inundaciones SYN .............................................36–41
drop ........................................................................126 Inundaciones UDP ...................................................49
drop packet ............................................................126 objetivos comunes ....................................................1
ignore......................................................................127 opciones de detección y defensa ........................2–4
none ........................................................................127 paquetes ICMP grandes ........................................161
agente zombie .........................................................28, 30 Ping of Death ...........................................................51
AIM ................................................................................118 protocolos desconocidos ......................................163
ALG ..................................................................................57 Teardrop ...................................................................52
análisis antivirus ......................................................59–75 Terrestres .................................................................50
correo web de HTTP ...............................................63 WinNuke ...................................................................53
descompresión ........................................................78 Ataques DoS .............................................................28–54
extensiones de archivo ...........................................78 Ataques Teardrop ...........................................................52
FTP ............................................................................60 Ataques terrestres (land attacks) ..................................50
goteo HTTP ..............................................................74 Ataques WinNuke ..........................................................53
HTTP .........................................................................61
HTTP “keep-alive” ...................................................73 B
IMAP .........................................................................64 barrido de direcciones ....................................................7
MIME.........................................................................62 base de datos de objetos de ataque...................106–114
modo de fallo ...........................................................72 actualización automática ..............................108, 110
POP3 .........................................................................64 actualización inmediata ................................107, 109
recursos de AV por cliente .....................................72 actualización manual ....................................108, 112
SMTP .........................................................................65 cambiar la URL predeterminada .........................113
suscripción ...............................................................67 notificación automática y actualización
análisis de puertos ...........................................................8 manual .........................................................108, 111
análisis FIN .....................................................................14 Bloque de mensajes del servidor
anomalías del protocolo..............................................121 véase SMB
ALG .........................................................................119
Aplicaciones de mensajería inmediata ...............118 C
Aplicaciones P2P ...................................................118 Chargen .........................................................................116
configurar parámetros ..........................................149 claves de licencia
protocolos admitidos ....................................116–119 actualización del patrón de ataques ....................104
protocolos básicos de red.....................................116 modo avanzado .....................................................104
applets Java, bloquear .................................................156 colas LPR ......................................................................117
archivos exe, bloquear ................................................156 completas
archivos zip, bloquear .................................................157 firmas ......................................................................120
ataques comprobación de SYN ......................................15, 15–18
direcciones MAC desconocidas .............................41 agujero de reconocimiento ....................................17
DOS .....................................................................28–54 enrutamiento asimétrico ........................................16
etapas .........................................................................2 interrupción de sesión ............................................16
Fragmentos de paquetes IP .................................164 inundaciones de la tabla de sesiones ....................17
Fragmentos SYN....................................................165 controles ActiveX, bloqueo .........................................156
Cookies SYN ...................................................................46
Índice IX-I
Manual de referencia de ScreenOS: conceptos y ejemplos
D filtrado de Web
DDoS ............................................................................... 28 aplicación en el nivel de directivas .......................98
Deep Inspection (DI) ........................................... 123–147 aplicar perfiles a directivas ....................................90
acciones de ataque ....................................... 126–133 caché.........................................................................92
anomalías del protocolo ....................................... 121 categorías de URL ...................................................86
base de datos de objetos de ataque ............ 106–114 enrutamiento ...........................................................99
cambiar gravedad ................................................. 122 estado del servidor ..................................................98
claves de licencia .................................................. 104 integrado ..................................................................84
contexto ...................................................................... I introducir un contexto ............................................86
desactivar objetos de ataque ............................... 125 mensaje de URL bloqueada ...................................97
expresiones regulares ................................... 143–144 nombre del servidor SurfControl ..........................96
firmas completas .................................................. 120 nombre del servidor Websense ............................96
firmas de secuencias ............................................ 121 perfiles ......................................................................88
firmas personalizadas................................... 143–147 puerto del servidor SurfControl .............................96
grupos de objetos de ataque ................................ 122 puerto del servidor Websense ...............................96
negación de objetos de ataque ............................ 150 redirigir .....................................................................93
objetos de ataque .................................................. 103 servidores CPA de SurfControl ..............................84
objetos de ataque personalizados ....................... 142 servidores de SurfControl.......................................92
paquetes de firmas ............................................... 106 servidores por vsys .................................................95
registrar grupos de objetos de ataque ................ 136 SurfControl SCFP .....................................................96
servicios personalizados .............................. 138–142 tiempo de espera de comunicaciones ..................97
vista general .......................................................... 102 tipo de mensaje de URL bloqueada ......................97
volver a habilitar objetos de ataque .................... 125 filtrado de web .......................................................93–100
Denegación de servicio FIN sin flag ACK .............................................................12
véase DoS Finger ............................................................................116
descompresión, análisis antivirus ............................... 78 firmas
DHCP ............................................................................ 116 completas ...............................................................120
directivas firmas de secuencias ...................................................121
contexto ................................................................. 106 flags SYN y FIN activados .............................................11
filtrado de Web........................................................ 98 Fragmentos SYN ..........................................................165
sección central ................................................ 17, 104 fuerza bruta
Discard .......................................................................... 116 acciones de ataque................................................133
DNS ............................................................................... 116
DoS G
ataque específico del sistema operativo ........ 51–54 Gopher ..........................................................................116
cortafuegos ........................................................ 29–35 grupos de objetos de ataque ......................................122
inundaciones de la tabla de sesiones ............. 17, 29 cambiar gravedad .................................................122
red ....................................................................... 36–51 niveles de gravedad ..............................................122
drop-no-rpf-route ........................................................... 19 que se aplican en directivas .................................115
registro ...................................................................136
E URL de ayuda ........................................................119
Echo .............................................................................. 116
envejecimiento agresivo ......................................... 32–34 H
establecimientos de comunicación en tres fases....... 36 HTTP
estado ............................................................................... 3 “keep-alive”..............................................................73
inspección .................................................................. 3 bloqueo de componentes .............................155–157
evasión ...................................................................... 14–26 goteo .........................................................................74
explotación de vulnerabilidad tiempo de espera de la sesión ...............................33
véase ataques
expresiones regulares ......................................... 143–144 I
extensiones de archivo, análisis de AV ....................... 78 ICMP ..............................................................................116
fragmentos .............................................................160
F paquetes grandes ..................................................161
filtrado de contenidos ........................................... 55–100 IDENT............................................................................117
filtrado de paquetes dinámico ....................................... 3 inspecciones .....................................................................3
IX-II Índice
Índice
inundaciones O
ICMP .........................................................................48 objetos AV
SYN ...............................................................36–41, 46 tiempo de espera.....................................................77
tabla de sesiones .....................................................29 objetos de ataque .........................................103, 114–121
UDP ...........................................................................49 anomalías del protocolo ...............................121, 149
inundaciones de la tabla de sesiones ....................17, 29 desactivar ...............................................................125
inundaciones del proxy SYN-ACK-ACK .......................34 firmas completas ...................................................120
Inundaciones ICMP .......................................................48 firmas de secuencias .............................................121
Inundaciones SYN ...................................................36–41 firmas de secuencias TCP.....................................147
ataques .....................................................................36 fuerza bruta ....................................................133, 134
Cookies SYN.............................................................46 negación .................................................................150
descartar las direcciones MAC desconocidas ......41 volver a habilitar ....................................................125
tamaño de la cola ....................................................41 objetos de ataques de fuerza bruta ............................134
tiempo de espera ....................................................41 opción de marca de tiempo de IP ...............................10
umbral ......................................................................37 opción de seguridad IP .............................................9, 11
umbral de alarma ....................................................39 opción IP de grabación de ruta ....................................10
umbral de ataque ....................................................39 opción IP de ID de secuencia .................................10, 11
umbral de destino ...................................................40 opción IP de ruta de origen abierta .................10, 24–26
umbral de origen .....................................................40 opción IP de ruta de origen estricta ................10, 24–26
IP opciones IP .................................................................9–11
fragmentos de paquetes .......................................164 atributos ...............................................................9–10
IRC .................................................................................118 formateadas incorrectamente .............................162
grabación de ruta ....................................................10
L ID de secuencia .................................................10, 11
LDAP .............................................................................117 marca de hora .........................................................10
límites de sesiones ..................................................29–32 ruta de origen ..........................................................24
basadas en su destino.......................................30, 31 ruta de origen abierta .................................10, 24–26
basadas en su origen ........................................29, 31 ruta de origen estricta .................................10, 24–26
seguridad ..............................................................9, 11
M
Mensajería inmediata ..................................................118 P
AIM..........................................................................118 P2P ................................................................................118
IRC ..........................................................................118 BitTorrent ...............................................................118
MSN Messenger .....................................................118 DC ...........................................................................118
Yahoo! Messenger .................................................118 eDonkey .................................................................118
Mensajería inmediata de America Online FastTrack ................................................................118
véase AIM Gnutella...................................................................118
Microsoft Network Instant Messenger KaZaa ......................................................................118
véase MSN Instant Messenger MLdonkey...............................................................118
Microsoft-Remote Procedure Call Skype ......................................................................119
véase MS-RPC SMB .........................................................................119
MIME, análisis antivirus ................................................62 WinMX ....................................................................119
modo de fallo .................................................................72 paquetes de firmas, DI ................................................106
modo transparente Ping of Death .................................................................51
descartar las direcciones MAC desconocidas ......41 Portmapper...................................................................117
MS RPC .........................................................................119 protección contra URL maliciosas .........................56–59
MSN Messenger ...........................................................118 protección frente a ataques
nivel de directivas .....................................................4
N nivel de zona de seguridad ......................................4
negación, Deep Inspection (DI) .................................150 protocolos desconocidos .............................................163
NetBIOS ........................................................................119 Puerta de enlace en la capa de aplicación
NFS ................................................................................117 véase ALG
NNTP .............................................................................117 Punto a punto
NTP................................................................................117 véase P2P
Índice IX-III
Manual de referencia de ScreenOS: conceptos y ejemplos
R servicios
RADIUS ......................................................................... 117 personalizados .......................................................138
rastreo simulación de IP ......................................................18–24
puertos abiertos ........................................................ 8 drop-no-rpf-route .....................................................19
red ............................................................................... 7 Layer 2................................................................19, 23
sistemas operativos .......................................... 11, 14 Layer 3................................................................18, 20
reconocimiento .......................................................... 6–26 sistemas operativos, sondeos de host para ..........11–14
análisis de puertos .................................................... 8 SMB
análisis FIN .............................................................. 14 NetBIOS ..................................................................119
barrido de direcciones .............................................. 7 SNMPTRAP ...................................................................117
flags SYN y FIN activados ...................................... 11 SSH ................................................................................117
opciones IP ................................................................ 9 SSL .................................................................................117
paquete TCP sin flags ............................................. 13 SurfControl ...............................................................85, 93
reensamblaje de fragmentos .................................. 56–59 SYN, cookies ..................................................................46
registro syslog ............................................................................117
grupos de objetos de ataque ................................ 136
rexec ............................................................................. 117 T
RFC TCP
1038, Revised IP Security Option ..........................9 firmas de secuencias ............................................147
791, Internet Protocol...........................................9 paquete sin flags .....................................................13
793, Transmission Control Protocol.....................13 tiempos de espera de la sesión .............................33
rlogin ............................................................................. 117 Telnet ............................................................................117
rsh ................................................................................. 117 TFTP ..............................................................................117
RTSP .............................................................................. 117 tiempos de espera de la sesión
HTTP .........................................................................33
S TCP............................................................................33
SCREEN UDP ...........................................................................33
análisis de puertos .................................................... 8
Ataques terrestres (land attacks) ........................... 50 U
Ataques WinNuke ................................................... 53 UDP
barrido de direcciones .............................................. 7 tiempos de espera de la sesión .............................33
descartar las direcciones MAC desconocidas ...... 41 umbral inferior ...............................................................32
FIN sin ACK ............................................................. 15 umbral superior .............................................................32
FIN sin flag ACK, descarte ..................................... 12 umbrales
flags SYN y FIN activados ...................................... 11 umbral inferior ........................................................32
fragmentos de paquetes IP, bloquear ................. 164 umbral superior .......................................................32
fragmentos SYN, detectar .................................... 165
ICMP V
fragmentos, bloquear ...................................... 160 VNC ...............................................................................118
inundaciones del proxy SYN-ACK-ACK ................ 34
Inundaciones ICMP ................................................. 48
W
Whois ............................................................................118
Inundaciones SYN ............................................. 36–41
Inundaciones UDP .................................................. 49 Y
opción IP de ruta de origen abierta, detectar ...... 26 Yahoo! Messenger........................................................118
opción IP de ruta de origen estricta, detectar ..... 26
opción IP de ruta de origen, denegar ................... 26 Z
opciones IP ................................................................ 9 zombie, agentes .......................................................28, 30
opciones IP incorrectas, descartar ...................... 162
paquete TCP sin flags, detectar ............................. 13
paquetes ICMP grandes, bloquear ...................... 161
Ping of Death ........................................................... 51
protocolos desconocidos, descartar .................... 163
simulación de IP ................................................ 18–24
Teardrop................................................................... 52
zonas VLAN y MGT ................................................... 3
IX-IV Índice
Conceptos y ejemplos
Manual de Referencia de ScreenOS
Volumen 5:
Redes privadas virtuales
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Network’s installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen vii
Convenciones del documento ....................................................................... viii
Convenciones de la interfaz de línea de comandos (CLI) ........................ viii
Convenciones para las ilustraciones ......................................................... ix
Convenciones de nomenclatura y conjuntos de caracteres ........................ x
Convenciones de la interfaz gráfica (WebUI) ............................................ xi
Documentación de Juniper Networks ............................................................. xii
Contenido iii
Manual de referencia de ScreenOS: conceptos y ejemplos
iv Contenido
Contenido
Índice ........................................................................................................................IX-I
Contenido v
Manual de referencia de ScreenOS: conceptos y ejemplos
vi Contenido
Acerca de este volumen
vii
Manual de referencia de ScreenOS: conceptos y ejemplos
En ejemplos:
En texto:
NOTA: Para escribir palabras clave, basta con introducir los primeros caracteres que
permitan al sistema reconocer de forma inequívoca la palabra que se está
introduciendo. Por ejemplo, es suficiente introducir set adm u kath j12fmt54
para que el sistema reconozca el comando set admin user kathleen j12fmt54.
Aunque este método se puede utilizar para introducir comandos, en la presente
documentación todos ellos se representan con sus palabras completas.
Interfaz de túnel
Servidor
Túnel VPN
Concentrador (hub)
Enrutador
Teléfono IP
Conmutador
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles ( “ ); por ejemplo:
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de
diálogo apropiado, donde podrá definir objetos y establecer parámetros de ajuste.
El conjunto de instrucciones de cada tarea se divide en ruta de navegación y ajustes
de configuración:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
techpubs-comments@juniper.net
“Modos” en la página 4
“Protocolos” en la página 6
“Fase 1” en la página 9
“Fase 2” en la página 11
1
Manual de referencia de ScreenOS: conceptos y ejemplos
Una conexión VPN puede enlazar dos redes de área local (LAN) entre sí, o un
usuario de acceso telefónico remoto y una LAN. El tráfico que circula entre estos
dos puntos atraviesa determinados recursos compartidos, como enrutadores,
conmutadores y otros equipos de red que conforman la WAN pública. Para
garantizar la seguridad de las comunicaciones VPN a través de la WAN, los dos
participantes crean un túnel de seguridad IP (IPSec).
ScreenOS admite la tecnología IPSec para la creación de túneles VPN con dos tipos
de mecanismos de elaboración de claves:
Clave manual
Conceptos de IPSec
Seguridad IP (IPSec) es un conjunto de protocolos relacionados utilizados para
garantizar la seguridad de las comunicaciones en la capa de paquete IP mediante
encriptación. IPSec está compuesto por dos modos y dos protocolos principales:
Nota: ScreenOS no
admite el modo de
transporte
con AH.
Protocolo AH
Protocolo ESP
Dominio de interpretación
(DOI)
Administración de claves y SA
(manual y automática)
Conceptos de IPSec 3
Manual de referencia de ScreenOS: conceptos y ejemplos
Modos
IPSec funciona en uno de dos modos (transporte o túnel). Cuando ambos extremos
del túnel son hosts, se puede utilizar tanto el modo de transporte como el modo de
túnel. Cuando al menos uno de los puntos finales de un túnel es una puerta de
enlace de seguridad (como un enrutador o un cortafuegos), hay que utilizar el modo
de túnel. Los dispositivos de seguridad de Juniper Networks funcionan siempre en
modo de túnel cuando se trata de túneles IPSec y en modo de transporte cuando se
trata de túneles L2TP sobre IPSec.
Modo de transporte
El paquete IP original no está encapsulado en otro paquete IP, como se muestra en
la Figura 5. El paquete completo se puede autenticar (con AH), la carga se puede
encriptar (con ESP), y el encabezado original continúa en texto sin formato tal
como se envía por la WAN.
Paquetes IP
Modo de transporte,
AH Original AH Carga de datos
Autenticado
Modo de transporte,
ESP Original ESP Carga de datos
Encriptado
Autenticado
Modo de túnel
El paquete IP original completo (carga y encabezado) está encapsulado dentro de
otra carga IP y tiene adjunto un nuevo encabezado, como se muestra en la Figura 6.
El paquete original completo se puede encriptar, autenticar o ambas cosas. Con AH,
se autentican el AH y los nuevos encabezados. Con ESP, se autentica el encabezado
ESP.
Paquetes IP
El paquete original está encapsulado.
Modo de túnel, AH Nuevo Encabezado Encabezado
encabezado AH original Carga de datos
Autenticado
Encriptado
Autenticado
4 Conceptos de IPSec
Capítulo 1: Seguridad del protocolo de Internet
Dispositivo A Dispositivo B
Puerta de enlace de túnel Puerta de enlace de túnel
Internet
LAN LAN
Túnel
1 2
B
A
A B Carga de datos 1 2 A B Carga de datos A B Carga de datos
NOTA: Algunos clientes VPN, como NetScreen-Remote, permiten definir una dirección IP
interna virtual. En estos casos, la dirección IP interna virtual es la dirección IP de
origen en el encabezado del paquete original del tráfico originado por el cliente, y
la dirección IP que el ISP asigna dinámicamente al cliente de acceso telefónico es
la dirección IP de origen en el encabezado externo.
Dispositivo B
Puerta de enlace de túnel
Internet
Cliente VPN de acceso telefónico
LAN
Túnel
A=1
2 B
Conceptos de IPSec 5
Manual de referencia de ScreenOS: conceptos y ejemplos
Protocolos
IPSec utiliza dos protocolos para garantizar la seguridad de las comunicaciones en
la capa IP:
Encabezado de autenticación
El protocolo de encabezado de autenticación (AH) ofrece un medio para verificar la
autenticidad/integridad del contenido y el origen de un paquete. Puede autenticar el
paquete por la suma de comprobación calculada a través de un código de
autenticación de mensajes basado en hash (HMAC) mediante una clave secreta y
mediante funciones MD5 o SHA-1 hash.
NOTA: Para obtener más información sobre los algoritmos MD5 y SHA-1, consulte las
siguientes normas RFC: (MD5) 1321, 2403; (SHA-1) 2404. Para obtener
información sobre HMAC, consulte la norma RFC 2104.
Con ESP, es posible encriptar y autenticar, sólo encriptar o sólo autenticar. Para la
encriptación se puede seleccionar uno de los siguientes algoritmos de encriptación:
Triple DES (3DES): Una versión más potente de DES en la que el algoritmo
original DES se aplica en tres rondas utilizando una clave de 168 bits. DES
ofrece un ahorro de rendimiento significativo, pero no se considera aceptable
para numerosas transferencias de material delicado o clasificado.
6 Conceptos de IPSec
Capítulo 1: Seguridad del protocolo de Internet
Administrar claves
La distribución y la administración de claves son fundamentales para el uso
satisfactorio de las redes VPN. IPSec admite los métodos de distribución de claves
manual y automático.
Clave manual
Con las claves manuales, los administradores de ambos extremos de un túnel
configuran todos los parámetros de seguridad. Ésta es una técnica viable para redes
pequeñas y estáticas, donde la distribución, el mantenimiento y el seguimiento de
las claves no resulta difícil. Sin embargo, la distribución segura de configuraciones
de clave manual a través de largas distancias genera problemas de seguridad.
Excepto en el caso de que las claves se transmitan “cara a cara”, no es posible estar
completamente seguro de que las claves no hayan quedado comprometidas
durante la transferencia. Además, a la hora de modificar la clave nos enfrentamos a
los mismos problemas que a la hora de distribuirla inicialmente.
AutoKey IKE
Cuando es necesario crear y administrar numerosos túneles, se requiere un método
en el que no haya que configurar cada elemento de forma manual. IPSec admite la
generación y negociación automatizada de claves y asociaciones de seguridad
mediante el protocolo de intercambio de claves de Internet (IKE). ScreenOS
denomina estas negociaciones de túnel automatizadas “AutoKey IKE” y admite
AutoKey IKE con claves previamente compartidas y AutoKey IKE con certificados.
Conceptos de IPSec 7
Manual de referencia de ScreenOS: conceptos y ejemplos
NOTA: Una clave previamente compartida es una clave que se utiliza tanto para la
encriptación como para la desencriptación y que ambos participantes deben
poseer antes de iniciar la comunicación.
NOTA: Para obtener ejemplos de ambos túneles (clave manual y AutoKey IKE), consulte
“Redes privadas virtuales de punto a punto” en la página 81.
Asociaciones de seguridad
Una asociación de seguridad (SA) es un acuerdo unidireccional entre los
participantes de una VPN, por lo que respecta a los métodos y parámetros
empleados para garantizar la seguridad de un canal de comunicaciones. Una
comunicación bidireccional completa requiere al menos dos SA, una para cada
dirección.
Periodo de vigencia de la SA
Para el tráfico VPN saliente, la directiva invoca la SA asociada al túnel VPN. Para el
tráfico entrante, el dispositivo de seguridad consulta la SA mediante los siguientes
tres elementos:
IP de destino
8 Conceptos de IPSec
Capítulo 1: Seguridad del protocolo de Internet
Negociación de túnel
Para un túnel IPSec de clave manual, como todos los parámetros de la SA se han
definido previamente, no es necesario negociar cuál SA utilizar. Básicamente, el
túnel ya se ha establecido. Cuando el tráfico coincide con una directiva que utilice
ese túnel de clave manual o cuando una ruta utiliza el túnel, el dispositivo de
seguridad simplemente encripta y autentica los datos, como se haya determinado,
y los envía a la puerta de enlace de destino.
Para establecer un túnel IPSec AutoKey IKE se requieren dos fases de negociación:
Fase 1
La fase 1 de una negociación de túnel AutoKey IKE consiste en el intercambio de
propuestas sobre cómo autenticar y garantizar la seguridad del canal. El
intercambio se puede realizar en uno de estos dos modos: dinámico o principal. En
cualquiera de los dos modos, los participantes intercambian propuestas de servicios
de seguridad aceptables, como por ejemplo:
Una negociación de fase 1 correcta concluye cuando ambos extremos del túnel se
ponen de acuerdo para aceptar al menos un conjunto de los parámetros de
seguridad de fase 1 propuestos y comienzan a procesarlos. Los dispositivos de
seguridad de Juniper Networks admiten hasta cuatro propuestas para negociaciones
de fase 1 y permiten definir el grado de restricción del rango aceptable de
parámetros de seguridad para la negociación de claves.
Las propuestas predefinidas de fase 1 que ofrece ScreenOS son las siguientes:
Negociación de túnel 9
Manual de referencia de ScreenOS: conceptos y ejemplos
NOTA: Cuando un usuario VPN de acceso telefónico negocia un túnel AutoKey IKE con
una clave previamente compartida, se debe utilizar el modo dinámico. Recuerde
también que un usuario VPN de acceso telefónico puede utilizar una dirección de
correo electrónico, un nombre de dominio completo (FQDN) o una dirección IP
como su ID IKE. Un interlocutor dinámico puede utilizar una dirección de correo
electrónico o un FQDN, pero no una dirección IP.
Intercambio Diffie-Hellman
Un intercambio Diffie-Hellman (DH) permite a los participantes elaborar un valor
secreto compartido. El punto fuerte de esta técnica es que permite a los
participantes crear el valor secreto a través de un medio no seguro sin tener que
transmitir este valor por la línea. Hay cinco grupos Diffie-Hellman; ScreenOS
admite los grupos 1, 2 y 5. El tamaño del módulo primario utilizado en el cálculo de
cada grupo varía del siguiente modo:
10 Negociación de túnel
Capítulo 1: Seguridad del protocolo de Internet
Fase 2
Una vez que los participantes han establecido un canal seguro y autenticado,
continúan con la fase 2, en la que negocian las SA para garantizar la seguridad de
los datos que se van a transmitir a través del túnel IPSec.
Las propuestas predefinidas de fase 2 que ofrece ScreenOS son las siguientes:
Negociación de túnel 11
Manual de referencia de ScreenOS: conceptos y ejemplos
Protección antirreprocesamiento
Se produce un ataque de reprocesamiento cuando alguien intercepta una serie de
paquetes y los utiliza posteriormente para inundar el sistema, provocando un
rechazo de servicio (DoS), o para obtener acceso a la red fiable. La función de
protección contra reprocesamiento de paquetes permite que los dispositivos de
seguridad comprueben cada paquete IPSec para verificar si se ha recibido
previamente. Si llegan paquetes fuera de un rango de secuencia especificado, el
dispositivo de seguridad los rechaza.
Seguridad aplicada: IPSec protege el tráfico enviado entre los dos puntos
terminales del túnel usando los parámetros de seguridad definidos en los SAs
que los interlocutores acordaron durante la configuración del túnel. IPSec
puede aplicarse en uno de dos modos (transporte o túnel). Ambos modos
admiten los dos protocolos IPSec: carga de seguridad encapsulada (ESP o
Encapsulating Security Payload) y encabezado de autenticación (AH o
Authentication Header).
Paquetes IKE
Cuando un paquete de texto puro que requiere encapsulamiento llega al dispositivo
de seguridad y no existe ninguna SA activa de fase 2 para ese túnel, el dispositivo
de seguridad inicia las negociaciones IKE (y descarta el paquete). Las direcciones de
origen y de destino en el encabezado del paquete IP son las de las puertas de enlace
IKE local y remota, respectivamente. En la carga de datos del paquete IP hay un
segmento UDP que encapsula un paquete ISAKMP (IKE). El formato de los paquetes
IKE es igual para la fase 1 y la fase 2.
Tiempo de vida (TTL) Protocolo (17 para UDP) Suma de comprobación del encabezado
Carga de datos IP
Encabezado UDP
Puerto de origen (500 para IKE) Puerto de destino (500 para IKE)
Carga de datos siguiente Versión mayor Versión menor Tipo de intercambio Flags
ID del mensaje
Longitud del mensaje
El campo “Next Payload” contiene un número que indica uno de los siguientes tipos
de carga de datos:
Cada carga de datos ISAKMP comienza con el mismo encabezado genérico, como
se muestra en la Figura 10.
Carga de datos
Puede haber múltiples cargas de datos ISAKMP encadenadas, indicándose cada tipo
de carga de datos subsiguiente en el valor del campo de siguiente encabezado. Un
valor de 0000 indica la última carga de datos ISAKMP. Consulte la Figura 11 en la
página 16 para obtener un ejemplo.
Paquetes IPSec
Una vez completadas las negociaciones IKE y después de que las dos puertas de
enlace IKE hayan establecido las asociaciones de seguridad de fase 1 y fase 2 (SAs),
el dispositivo NetScreen aplica la protección IPSec a los paquetes IP de texto puro
subsiguientes que los hosts situados detrás de una puerta de enlace IKE envían a los
hosts que se encuentran detrás de la otra puerta de enlace (asumiendo que las
directivas permitan el tráfico). Si la SA de fase 2 especifica el protocolo de seguridad
de encapsulamiento (ESP o Encapsulating Security Protocol) en modo de túnel, el
paquete se parecerá al que se muestra a continuación. El dispositivo de seguridad
agrega dos encabezados adicionales al paquete original enviado por el host.
NOTA: Para obtener más información sobre ESP, consulte “Carga de seguridad
encapsulada” en la página 6. Para obtener información sobre el modo de túnel,
consulte “Modo de túnel” en la página 4.
Paquete IPSec
Enviado por la puerta Paquete original
de enlace IKE enviado por el host iniciador
Encabezado Encabezado Encabezado Encabezado
IP2 ESP IP1 TCP Carga de datos
Como muestra la Figura 12, el paquete que el host iniciador construye incluye la
carga de datos, el encabezado TCP y el encabezado IP interno (IP1).
Tiempo de vida (TTL) Protocolo (17 para ESP) Suma de comprobación del encabezado
Carga de datos
Encabezado ESP
Número correlativo*
Versión Longitud de Tipo de servicio Tamaño total del paquete (en bytes)
encabezado
Identificación 0 D M Desplazamiento
Tiempo de vida (TTL) Protocolo (6 para TCP) Suma de comprobación del encabezado
Carga de datos
Encabezado TCP
Número correlativo
Número de reconocimiento
Encabezado U A P R S F
Tamaño Reservado R C S S S I Tamaño de la ventana
G K H D N N
Datos
19
Manual de referencia de ScreenOS: conceptos y ejemplos
El método inverso también resulta de gran utilidad; esto es, encriptar los datos con
una clave privada y que se puedan desencriptar con la clave pública
correspondiente. Este método se conoce como firma digital. Si, por ejemplo, Alicia
desea que se sepa que ella es la autora de un mensaje, lo encripta con su clave
privada y lo envía de forma pública a Juan. A continuación, Juan sólo puede
desencriptar los datos utilizando la clave pública de Alicia, lo que significa que lo ha
enviado ella.
Firmar un certificado
1. La autoridad de certificación (CA) que emite el certificado lo somete a una
operación matemática en la que se utiliza un algoritmo “hash” (MD5 o SHA-1)
para generar una codificación.
Emisor (CA)
Clave privada de la CA
Receptor
Las CA subordinadas
validan certificados locales
y a otras CA.
Certificación cruzada
Certificados y CRL
Un certificado digital es un método electrónico para verificar la identidad de un
usuario utilizando la palabra de una tercera parte en la que se confía, conocida
como autoridad de certificación (CA). El servidor de CA que usted utilice puede ser
propiedad de una CA, que también se encargue de su manejo, o de su propia
organización, en cuyo caso usted será su propia CA. Si utiliza una CA independiente,
debe ponerse en contacto con ella para obtener las direcciones de los servidores de
CA y CRL (y conseguir certificados y listas de revocación de certificados) o la
información que dichos servidores necesitan cuando envían peticiones de
certificados personales. Si es su propia CA, podrá hacerlo por sí mismo.
NOTA: ScreenOS admite las siguientes CA: Baltimore, Entrust, Microsoft, Netscape, RSA
Keon y Verisign.
24 Certificados y CRL
Capítulo 2: Criptografía de claves públicas
Durante el proceso de negociación, puede haber muchos casos en los que sea
necesario revocar un certificado. Es posible que quiera revocar un certificado si
sospecha que es peligroso o si su propietario ha dejado la empresa. Las
revocaciones y validaciones de certificados se pueden administrar localmente
(aunque esta solución es limitada) o con referencia a la CRL de una CA, a la que se
puede acceder en línea de forma automática en intervalos diarios, semanales o
mensuales o según el intervalo predefinido por la CA.
Cuando reciba estos archivos (los archivos de certificado suelen tener la extensión
.cer y los archivos de CRL, la extensión .crl), cárguelos en el dispositivo de
seguridad siguiendo el procedimiento descrito en “Petición manual de un
certificado” en la página 26.
NOTA: Si piensa utilizar el correo electrónico para enviar el archivo PKCS nº. 10 y obtener
los certificados, debe configurar adecuadamente los ajustes de ScreenOS para
poder enviar mensajes de correo electrónico al administrador del sistema. Deberá
establecer los servidores DNS principal y secundario, y especificar los ajustes de
dirección del servidor SMTP y del servidor de correo.
Certificados y CRL 25
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
1. Generación del certificado
Objects > Certificates > New: Introduzca los siguientes datos y haga clic en
Generate:
26 Certificados y CRL
Capítulo 2: Criptografía de claves públicas
2. Petición de certificado
El administrador de seguridad abre el archivo y copia su contenido, procurando
copiar el texto completo pero no los espacios en blanco situados delante o
detrás del texto (comenzando por “-----BEGIN CERTIFICATE REQUEST-----” y
finalizando en “-----END CERTIFICATE REQUEST-----”).
CLI
1. Generación del certificado
set pki x509 dn country-name US
set pki x509 dn email mzhang@juniper.net
set pki x509 dn ip 10.10.5.44
set pki x509 dn local-name “Santa Clara”
set pki x509 dn name “Michael Zhang”
set pki x509 dn org-name “Juniper Networks”
set pki x509 dn org-unit-name Development
set pki x509 phone 408-730-6000
set pki x509 dn state-name CA
set pki x509 default send-to admin@juniper.net
exec pki rsa new-key 1024
Certificados y CRL 27
Manual de referencia de ScreenOS: conceptos y ejemplos
2. Petición de certificado
El administrador de seguridad abre el archivo y copia su contenido, procurando
copiar el texto completo pero no los espacios en blanco situados delante o
detrás del texto (comenzando por “-----BEGIN CERTIFICATE REQUEST-----” y
finalizando en “-----END CERTIFICATE REQUEST-----”).
NOTA: Los dispositivos de seguridad de Juniper Networks configurados con ScreenOS 2.5
o versiones posteriores (incluyendo los sistemas virtuales) permiten cargar
certificados locales desde distintas CA.
En este ejemplo se muestra cómo se deben cargar dos archivos distintos, llamados
auth.cer (certificado de CA) y local.cer (su clave pública), junto con el archivo de
CRL llamado distrust.crl.
WebUI
1. Objects > Certificates: Seleccione Load Cert y después haga clic en Browse.
4. Objects > Certificates: Seleccione Load Cert y después haga clic en Browse.
28 Certificados y CRL
Capítulo 2: Criptografía de claves públicas
7. Objects > Certificates: Seleccione Load CRL y después haga clic en Browse.
CLI
exec pki x509 tftp 198.168.1.5 cert-name auth.cer
exec pki x509 tftp 198.168.1.5 cert-name local.cer
exec pki x509 tftp 198.168.1.5 crl-name distrust.crl
NOTA: El número de índice (IDX) para el certificado de Entrust CA es 1. Para poder ver una
lista de los números IDX de todos los certificados de CA cargados en un dispositivo
de seguridad, utilice el siguiente comando CLI: get pki x509 list ca-cert.
Certificados y CRL 29
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
Objects > Certificates (Show: CA) > Server Settings (para NetScreen):
Introduzca los siguientes datos y haga clic en OK:
Objects > Certificates > Default Cert Validation Settings: Introduzca los
siguientes datos y haga clic en OK:
CLI
set pki authority 1 cert-path full
set pki authority 1 cert-status crl url “ldap:///CN=Entrust,CN=en2001,
CN=PublicKeyServices,CN=Services,CN=Configuration,DC=EN2000,DC=com?
CertificateRevocationList?base?objectclass=CRLDistributionPoint”
set pki authority 1 cert-status crl server-name 2.2.2.121
set pki authority 1 cert-status crl refresh daily
set pki authority default cert-path full
set pki authority default cert-status crl url “ldap:///CN=NetScreen,
CN=safecert,CN=PublicKeyServices,CN=Services,CN=Configuration,DC=SAFE
CERT,
DC=com?CertificateRevocationList?base?objectclass=CRLDistributionPoint”
set pki authority default cert-status crl server-name 10.1.1.200
set pki authority default cert-status crl refresh daily
save
30 Certificados y CRL
Capítulo 2: Criptografía de claves públicas
Ajustar el reloj del sistema. (Consulte “Reloj del sistema” en la página 2-256).
RA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe
CA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe
Contraseña de desafío
Certificados y CRL 31
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
1. Ajustes del servidor de CA
Objects > Certificates > Show CA > Server Settings (para Verisign): Introduzca
los siguientes datos y haga clic en OK:
Polling Interval: 30
Certificate Authentication: Auto
Certificate Renew: 14
2. Petición de certificado local
Objects > Certificates > New: Introduzca los siguientes datos y haga clic en
Generate:
NOTA: El valor 1024 indica la longitud en bits del par de claves. Si va a utilizar el
certificado para SSL, asegúrese de que utiliza una longitud de bits que también sea
compatible con su explorador.
Ejecute el comando CLI get pki x509 pkcs para que el dispositivo de seguridad
genere un archivo PKCS nº. 10 y, a continuación, siga uno de estos pasos:
Guardarlo en disco
32 Certificados y CRL
Capítulo 2: Criptografía de claves públicas
3. Inscripción automática
Seleccione la opción Automatically enroll to, luego la opción Existing CA
server settings y finalmente seleccione Verisign en la lista desplegable.
CLI
1. Ajustes del servidor de CA
set pki authority 1 cert-path full
set pki authority 1 scep ca-cgi “http://ipsec.verisign.com/cgi-bin
/pkiclient.exe”
set pki authority 1 scep ra-cgi “http://ipsec.verisign.com/cgi-bin
/pkiclient.exe”
set pki authority 1 scep polling-int 30
set pki authority 1 scep renew-start 14
Debe especificar una ruta RA CGI aunque la autoridad de registro (RA) no exista. Si
la RA no existe, utilice el valor especificado para la CGI de la CA.
Certificados y CRL 33
Manual de referencia de ScreenOS: conceptos y ejemplos
Para evitar problemas con esta función, el dispositivo de seguridad debe ser capaz
de acceder al servidor SCEP y el certificado debe estar presente en el propio
dispositivo de seguridad durante el proceso de renovación. También debe
asegurarse de que la CA que emite el certificado pueda hacer lo siguiente:
34 Certificados y CRL
Capítulo 2: Criptografía de claves públicas
Protocolo OCSP
Cuando un dispositivo de seguridad realiza una operación en la que se utiliza un
certificado, suele ser importante verificar su validez. Los certificados pueden
quedar invalidados por vencimiento o por revocación. La forma habitual de
comprobar el estado de los certificados es utilizar las listas de revocación de
certificados (CRL). El protocolo de estado de certificado en línea (OCSP, u “Online
Certificate Status Protocol”) es otra forma de comprobar el estado de los
certificados. Este protocolo ofrece información adicional sobre los certificados y
realiza comprobaciones de estado periódicas.
Puede utilizar comandos CLI para configurar un dispositivo de seguridad para OCSP.
La mayoría de estos comandos utilizan un número de identificación para asociar la
URL de referencia de la revocación con el certificado de CA. Puede obtener este
número ID con el siguiente comando CLI:
Protocolo OCSP 35
Manual de referencia de ScreenOS: conceptos y ejemplos
36 Protocolo OCSP
Capítulo 2: Criptografía de claves públicas
Certificados autofirmados
Un certificado autofirmado es un certificado firmado y publicado por la misma
entidad; es decir, el emisor y el sujeto del certificado coinciden. Por ejemplo, los
certificados CA de todas las autoridades de certificación raíz (CA) son autofirmados.
NOTA: Para obtener más información sobre SSL, incluyendo el mecanismo de redirección
HTTP-a-SSL, consulte “Secure Sockets Layer” en la página 3-5.
Certificados autofirmados 37
Manual de referencia de ScreenOS: conceptos y ejemplos
NOTA: Para averiguar cómo crear otro certificado autofirmado, consulte “Crear
manualmente certificados autofirmados” en la página 39. Para averiguar cómo
eliminar un certificado autofirmado y autogenerado, consulte “Eliminar
certificados autofirmados” en la página 45.
Validar certificados
Durante el establecimiento de conexión SSL, el dispositivo de seguridad se
autentica enviando un certificado al cliente SSL. Cuando el dispositivo de seguridad
envía un certificado autofirmado, el cliente SSL no puede validarlo comprobando la
firma de la CA emisora porque no la publicó ninguna CA. Cuando el dispositivo de
seguridad presenta un certificado autofirmado para establecer una sesión SSL, el
explorador del equipo del administrador intenta validarlo con un certificado CA en
su almacén de CA (autoridades de certificación). Si no puede encontrar esa
autoridad, el explorador visualiza un mensaje como el que se muestra en la
Figura 18, pidiendo al administrador que acepte o rechace el certificado.
Sin poder recurrir a la validación del certificado por parte de una CA imparcial e
independiente, el administrador que inicie una sesión a través de SSL podría
preguntarse si el certificado autofirmado recibido realmente procede del dispositivo
de seguridad al que está intentando conectarse. (Después de todo, el certificado
podría ser un impostor que esté utilizando un ataque por interposición de intrusos
(man-in-the-middle attack) para intentar enmascararse como dispositivo de
38 Certificados autofirmados
Capítulo 2: Criptografía de claves públicas
Puede que desee utilizar un certificado con un nombre de sujeto distinto del
creado automáticamente.
Certificados autofirmados 39
Manual de referencia de ScreenOS: conceptos y ejemplos
Establecer una conexión Secure Sockets Layer (SSL) para proteger el tráfico
administrativo hacia un dispositivo de seguridad.
Name: 4ssl
Organization: jnpr
FQDN: www.juniper.net
40 Certificados autofirmados
Capítulo 2: Criptografía de claves públicas
WebUI
1. Definir los atributos del certificado
Objects > Certificates > New: Introduzca los siguientes datos y haga clic en
Generate:
Puede copiar el nombre del sujeto y la huella digital desde esta página y
comunicarlo a otros administradores que pretendan utilizar SSL al administrar el
dispositivo de seguridad. Cuando inicien una conexión SSL, podrán utilizar esta
información para asegurarse de que el certificado que reciben procede, de hecho,
del dispositivo de seguridad.
Certificados autofirmados 41
Manual de referencia de ScreenOS: conceptos y ejemplos
CLI
1. Definir los atributos del certificado
set pki x509 dn name 4ssl
set pki x509 dn org-name jnpr
set pki x509 cert-fqdn www.juniper.net
save
2. Generar el certificado autofirmado
Para generar un par de claves pública/privada que el dispositivo de seguridad de
Juniper Networks utilizará en sus peticiones de certificados, ejecute el comando
siguiente:
42 Certificados autofirmados
Capítulo 2: Criptografía de claves públicas
Puede copiar el nombre del sujeto subject name y la huella digital fingerprint
desde esta página y comunicarlo a otros administradores que pretendan utilizar SSL
para administrar el dispositivo de seguridad. Cuando inicien una conexión SSL,
podrán utilizar esta información para asegurarse de que el certificado que reciben
procede, de hecho, del dispositivo de seguridad.
Certificados autofirmados 43
Manual de referencia de ScreenOS: conceptos y ejemplos
Autogenerar certificados
La primera vez que se encienda el dispositivo de seguridad, generará
automáticamente un certificado autofirmado. El principal propósito de este
certificado es reconocer inmediatamente SSL después del arranque inicial de un
dispositivo de seguridad. Para ver este certificado, utilice el comando CLI siguiente:
get ssl
web SSL enable.
web SSL port number(443).
web SSL cert: Default - System Self-Signed Cert.
web SSL cipher(RC4_MD5).
44 Certificados autofirmados
Capítulo 2: Criptografía de claves públicas
Empieza
proceso de arranque
¿Existe un
cert generado
automáticamente y Sí
autofirmado?
Sí
No generar
¿Existe Cert automáticamente un
para Sí certificado autofirmado.
SSL?
No
Generar automáticamente
un certificado autofirmado.
Certificados autofirmados 45
Manual de referencia de ScreenOS: conceptos y ejemplos
Para obtener información sobre la redirección del tráfico HTTP a SSL, consulte
“Reenviar HTTP a SSL” en la página 3-8.
46 Certificados autofirmados
Capítulo 3
Directivas de red privada virtual
La segunda mitad del capítulo examina las diferencias que existen entre los túneles
VPN basados en rutas y los túneles VPN basados en directivas. También revisa el
flujo de paquetes de un túnel VPN AutoKey IKE punto a punto basado en directivas
y basado en rutas para ver las etapas de procesamiento de entrada y salida por las
que pasa un paquete. El capítulo concluye con algunos consejos de configuración
VPN que hay que tener en cuenta a la hora de configurar un túnel.
47
Manual de referencia de ScreenOS: conceptos y ejemplos
Opciones criptográficas
Durante la configuración de una VPN es necesario tomar numerosas decisiones
sobre la criptografía que se desea utilizar. Surgirán preguntas sobre cuál es el grupo
Diffie-Hellman adecuado, qué algoritmo de encriptación ofrece el mejor equilibrio
entre seguridad y rendimiento, etc. En esta sección se presentan todas las opciones
criptográficas requeridas para configurar un túnel VPN punto a punto básico y un
túnel VPN de acceso telefónico básico. También se indican una o más ventajas de
cada opción para ayudarle a tomar una decisión.
La primera decisión que hay que tomar es si se va a optar por un túnel VPN punto a
punto (entre dos dispositivos de seguridad) o por un túnel VPN de acceso telefónico
(desde el cliente VPN NetScreen-Remote hasta el dispositivo de seguridad). Aunque
esta decisión depende de la configuración de red, las diferencias entre estos dos
tipos de túneles afectan a algunas opciones criptográficas. Por lo tanto, las opciones
se presentan en dos figuras distintas:
Cuando haya decidido qué tipo de túnel desea configurar (de acceso telefónico o
punto a punto), consulte la Figura 21 o la Figura 22 para obtener las indicaciones
oportunas. En cada figura se presentan las decisiones criptográficas que deberá
tomar durante la configuración del túnel. A continuación, se señalan los motivos
que justifican la elección de cada opción de la figura.
48 Opciones criptográficas
Capítulo 3: Directivas de red privada virtual
2. Modo:
Dinámico o principal
Clave manual
Resulta útil para depurar problemas IKE.
Principal
Recomendado
Opciones criptográficas 49
Manual de referencia de ScreenOS: conceptos y ejemplos
768
Ofrece más seguridad que la opción de 512 bits.
1024
Recomendado
2048
Ofrece la máxima seguridad.
Grupo Diffie-Hellman 2
Recomendado
50 Opciones criptográficas
Capítulo 3: Directivas de red privada virtual
Grupo Diffie-Hellman 5
Ofrece la máxima seguridad.
Tiene un mayor nivel de encriptación que DES y 3DES si las longitudes de clave
son iguales.
DES
Su nivel máximo de procesamiento es inferior al de 3DES y AES.
3DES
Ofrece más seguridad criptográfica que DES.
MD5
Su nivel máximo de procesamiento es inferior al de SHA-1.
SHA-1
Recomendado
Opciones criptográficas 51
Manual de referencia de ScreenOS: conceptos y ejemplos
U-FQDN
Nombre de dominio completo de usuario (U-FQDN, una dirección de correo
electrónico): se puede utilizar con una clave previamente compartida o un
certificado si el U-FQDN aparece en el campo SubjectAltName.
FQDN
Nombre de dominio completo (FQDN): se puede utilizar con una clave
previamente compartida o un certificado si el FQDN aparece en el campo
SubjectAltName.
Resulta útil para puertas de enlace VPN que tengan direcciones IP dinámicas.
ASN1-DN
Sólo se puede utilizar con certificados.
U-FQDN
Nombre de dominio completo de usuario (U-FQDN, una dirección de correo
electrónico): se puede utilizar con una clave previamente compartida o un
certificado si el U-FQDN aparece en el campo SubjectAltName.
FQDN
Nombre de dominio completo (FQDN): se puede utilizar con una clave
previamente compartida o un certificado si el FQDN aparece en el campo
SubjectAltName.
Resulta útil para puertas de enlace VPN que tengan direcciones IP dinámicas.
52 Opciones criptográficas
Capítulo 3: Directivas de red privada virtual
ASN1-DN
Sólo se puede utilizar con certificados.
No
Desactivar esta opción tal vez sea la solución a problemas de compatibilidad con
interlocutores de terceros.
Confidencialidad directa perfecta (PFS): ofrece una mayor seguridad porque los
interlocutores realizan un segundo intercambio Diffie-Hellman para generar la
clave utilizada para la encriptación/desencriptación IPSec.
No
Agiliza la configuración del túnel.
Grupo Diffie-Hellman 2
Recomendado
Grupo Diffie-Hellman 5
Ofrece la máxima seguridad.
Opciones criptográficas 53
Manual de referencia de ScreenOS: conceptos y ejemplos
AH
Encabezado de autenticación (AH): ofrece autenticación del paquete IP completo,
incluyendo el encabezado IPSec y el encabezado IP externo.
Transporte
Es necesario para el soporte del túnel L2TP sobre IPSec.
Encriptación y autenticación
Recomendado
Autenticación
Resulta útil cuando se requiere autenticación, pero no confidencialidad. Por
ejemplo, cuando la información no es secreta, pero es importante determinar que
procede realmente de la persona que dice enviarlo y que nadie ha manipulado el
contenido durante la transmisión.
Tiene un mayor nivel de encriptación que DES y 3DES si las longitudes de clave
son iguales.
54 Opciones criptográficas
Capítulo 3: Directivas de red privada virtual
DES
Su nivel máximo de procesamiento es inferior al de 3DES y AES.
3DES
Ofrece más seguridad criptográfica que DES.
SHA-1
Recomendado
Opciones criptográficas 55
Manual de referencia de ScreenOS: conceptos y ejemplos
NOTA: La Figura 22 muestra las opciones que se recomiendan en negrita. Para obtener
información sobre las distintas opciones IPSec, consulte “Seguridad del protocolo
de Internet” en la página 1.
1. Modo:
Dinámico o principal
Principal
Ofrece protección de identidad.
56 Opciones criptográficas
Capítulo 3: Directivas de red privada virtual
Opciones criptográficas 57
Manual de referencia de ScreenOS: conceptos y ejemplos
Tiene un mayor nivel de encriptación que DES y 3DES si las longitudes de clave
son iguales.
DES
Su nivel máximo de procesamiento es inferior al de 3DES y AES.
3DES
Ofrece más seguridad criptográfica que DES.
MD5
Su nivel máximo de procesamiento es inferior al de SHA-1.
SHA-1
Recomendado
U-FQDN
Recomendado
FQDN
Nombre de dominio completo (FQDN): se puede utilizar con una clave
previamente compartida o un certificado si el FQDN aparece en el campo
SubjectAltName.
58 Opciones criptográficas
Capítulo 3: Directivas de red privada virtual
Resulta útil para puertas de enlace VPN que tengan direcciones IP dinámicas.
ASN1-DN
Sólo se puede utilizar con certificados.
U-FQDN
Recomendado
FQDN
Nombre de dominio completo (FQDN): se puede utilizar con una clave
previamente compartida o un certificado si el FQDN aparece en el campo
SubjectAltName.
Resulta útil para puertas de enlace VPN que tengan direcciones IP dinámicas.
ASN1-DN
Sólo se puede utilizar con certificados.
No
Desactivar esta opción tal vez sea la solución a problemas de compatibilidad con
interlocutores de terceros.
Opciones criptográficas 59
Manual de referencia de ScreenOS: conceptos y ejemplos
Confidencialidad directa perfecta (PFS): ofrece una mayor seguridad porque los
interlocutores realizan un segundo intercambio Diffie-Hellman para generar la
clave utilizada para la encriptación/desencriptación IPSec.
No
Agiliza la configuración del túnel.
Grupo Diffie-Hellman 2
Recomendado
Grupo Diffie-Hellman 5
Ofrece la máxima seguridad.
AH
Encabezado de autenticación (AH): ofrece autenticación del paquete IP completo,
incluyendo el encabezado IPSec y el encabezado IP externo.
Transporte
Es necesario para el soporte del túnel L2TP sobre IPSec.
60 Opciones criptográficas
Capítulo 3: Directivas de red privada virtual
Encriptación y autenticación
Recomendado
Autenticación
Resulta útil cuando se requiere autenticación, pero no confidencialidad. Por
ejemplo, cuando la información no es secreta, pero es importante determinar que
procede realmente de la persona que dice enviarlo y que nadie ha manipulado el
contenido durante la transmisión.
Tiene un mayor nivel de encriptación que DES y 3DES si las longitudes de clave
son iguales.
DES
Su nivel máximo de procesamiento es inferior al de 3DES y AES.
3DES
Ofrece más seguridad criptográfica que DES.
SHA-1
Recomendado
Opciones criptográficas 61
Manual de referencia de ScreenOS: conceptos y ejemplos
62 Opciones criptográficas
Capítulo 3: Directivas de red privada virtual
NOTA: Normalmente, una interfaz de túnel está asociada a un solo túnel. No obstante,
también es posible asociar una interfaz de túnel a varios túneles. Para obtener
más información, consulte “Múltiples túneles por interfaz de túnel” en la
página 254.
Por lo tanto, con un túnel VPN basado en directivas, un túnel se puede considerar
como un elemento en la construcción de una directiva. Con un túnel VPN basado
en rutas, un túnel se puede considerar como un medio para entregar tráfico, y la
directiva se puede considerar como un método para permitir o denegar la entrega
de dicho tráfico.
El número de túneles VPN basados en directivas que se puede crear está limitado
por el número de directivas que admita el dispositivo. El número de túneles VPN
basados en rutas que se puede crear está limitado por el número de entradas de
ruta o por el número de interfaces de túnel que admita el dispositivo (el que sea
más pequeño).
Dicho esto, si el cliente de acceso telefónico admite una dirección IP interna virtual
(como NetScreen-Remote), existen argumentos convincentes para utilizar una
configuración VPN basada en rutas. Un túnel VPN de acceso telefónico basado en
rutas presenta las siguientes ventajas:
Se pueden definir rutas para forzar el tráfico a través del túnel, al contrario de lo
que ocurre con una configuración VPN basada en directivas.
Puede ajustar la ID de proxy para que acepte cualquier dirección IP del cliente
VPN de acceso telefónico configurando la dirección del cliente remoto como
255.255.255.255/32.
Puede definir una o más direcciones IP asignadas (MIP) en la interfaz del túnel.
NOTA: Para obtener un ejemplo de una configuración VPN basada en rutas para un
cliente de acceso telefónico, consulte “VPN de acceso telefónico basada en rutas,
interlocutor dinámico” en la página 166.
Una empresa con sede en Tokio acaba de abrir una sucursal en París y necesita
conectar los dos puntos mediante un túnel IPSec. El túnel tiene las siguientes
características: AutoKey IKE, protocolo ESP, AES para encriptación, SHA-1 para
autenticación con clave previamente compartida y comprobación contra
tunnel.1, 10.1.2.1/24
Interfaz de salida: ethernet3, 1.1.1.1/24
ethernet1
10.1.1.1/24 Enrutador externo: 1.1.1.250
10.1.1.5
Internet LAN de
LAN de
Tokio VPN1 París
10.2.2.5
Enrutador externo: 2.2.2.250
ethernet1
Interfaz de salida: ethernet3, 2.2.2.2/24 10.2.2.1/24
tunnel.2, 10.2.1.1/24
Oficina
Zona Untrust de París Zona Trust
Tokio (iniciador)
1. El host en 10.1.1.5 envía un paquete para 10.2.2.5 a 10.1.1.1, que es la
dirección IP ethernet1 y es la puerta de enlace predeterminada configurada en
los ajustes TCP/IP del host.
10. Para determinar la zona de destino, el módulo de rutas realiza una consulta de
rutas para 10.2.2.5. (El módulo de rutas utiliza la interfaz de entrada para
determinar qué enrutador virtual debe utilizar para la consulta de rutas).
Encuentra una entrada de ruta que dirige el tráfico a 10.2.2.5 a través de la
interfaz tunnel.1 asociada a un túnel VPN llamado “vpn1”. La interfaz de túnel
se encuentra en la zona Untrust. Determinando las interfaces de entrada y
salida, el dispositivo de seguridad determina las zonas de origen y de destino y
puede realizar una consulta de directivas.
11. Para determinar la zona de destino, el módulo de rutas realiza una consulta de
rutas para 10.2.2.5. (El módulo de rutas utiliza la interfaz de entrada para
determinar qué enrutador virtual debe utilizar para la consulta de rutas).
Encuentra una entrada de ruta que dirige el tráfico a 10.2.2.5 a través de la
interfaz tunnel.1 asociada a un túnel VPN llamado “vpn1”. La interfaz de túnel
se encuentra en la zona Untrust. Determinando las interfaces de entrada y
salida, el dispositivo de seguridad determina las zonas de origen y de destino y
puede realizar una consulta de directivas.
París (destinatario)
1. El paquete llega a 2.2.2.2, que es la dirección IP de ethernet3, una interfaz
asociada a la zona Untrust.
Tokio (iniciador)
Las primeras etapas del flujo de paquetes saliente son las mismas para las
configuraciones VPN basadas en rutas y las basadas en directivas hasta que se
producen las consultas de rutas y de directivas:
París (destinatario)
La mayoría de las etapas del flujo de paquetes entrante en el extremo del
destinatario son idénticas tanto para las configuraciones VPN basadas en directivas
como para las basadas en rutas, excepto que el túnel no está asociado a una interfaz
de túnel, sino a una zona de túnel. El dispositivo de seguridad averigua que el
paquete ha llegado a través de vpn1, que está asociada a la zona de túnel
Untrust-Tun, cuya zona portadora es la zona Untrust. Al contrario de lo que ocurre
en las VPN basadas en rutas, el dispositivo de seguridad considera que ethernet3 es
la interfaz de entrada del paquete desencriptado (y no tunnel.1).
El flujo cambia cuando concluye la desencriptación del paquete. En este punto, las
consultas de rutas y directivas difieren:
El método más simple para garantizar que las ID de proxy coinciden es utilizar
0.0.0.0/0 para la dirección local, 0.0.0.0/0 para la dirección remota y “any” para el
servicio. En lugar de utilizar la ID de proxy para el control de acceso, se utilizan
directivas para controlar el tráfico procedente de y destinado a la VPN. Para obtener
ejemplos de configuraciones VPN con ID de proxy configurables por el usuario,
consulte los ejemplos de VPN basadas en rutas del “Redes privadas virtuales de
punto a punto” en la página 81.
Para obtener más información sobre las ID de proxy cuando se utilizan con NAT-src
y NAT-dst, consulte “Puntos VPN con direcciones superpuestas” en la página 141.
NOTA: El interlocutor 1 también puede definir una ID de proxy que coincida con la ID de
proxy del interlocutor 2. La ID de proxy definida por el usuario del interlocutor 1
reemplaza la ID de proxy que el dispositivo de seguridad deriva de los
componentes de la directiva.
buscará la siguiente ruta con mayor coincidencia. La ruta que encontrará podría ser
la ruta predeterminada. Con esta ruta, el dispositivo de seguridad enviaría fuera el
tráfico desencriptado (es decir, en texto puro o sin formato) a través de una interfaz
sin túnel a la WAN pública.
Ruta nula
Si el estado de un túnel VPN cambia a “inactivo”, el dispositivo de seguridad
cambia cualquier ruta que haga referencia a esa interfaz de túnel a “inactiva”. Si la
ruta a la interfaz de túnel deja de estar disponible y la opción siguiente es la ruta
predeterminada (por ejemplo), a continuación el dispositivo de seguridad utiliza la
ruta predeterminada para reenviar el tráfico previsto originalmente para el túnel
VPN. Para evitar enviar tráfico en texto sin formato hacia la WAN pública cuando se
produce un cambio de ruta, puede utilizar una ruta nula. Una ruta nula apunta a la
misma dirección de destino que la ruta a través de la interfaz de túnel, pero dirige el
tráfico hacia la interfaz nula. La interfaz nula es una interfaz lógica que descarta el
tráfico enviado hacia ella. Asigne a la ruta nula una métrica más elevada (más
alejada de cero) que la ruta que utiliza la interfaz de túnel para que la ruta nula
tenga una prioridad inferior.
NOTA: Las versiones anteriores a ScreenOS 5.1.0 no admiten interfaces nulas. Sin
embargo, puede utilizar una interfaz de túnel ficticia para lograr el mismo
objetivo. Para obtener información, consulte“Interfaz de túnel ficticia” en la
página 78.
Por ejemplo, si crea una ruta estática a través de tunnel.1 hacia una LAN remota
con la dirección IP 10.2.2.0/24, su métrica recibirá automáticamente el valor
predeterminado 1:
En la tabla de enrutamiento anterior, un asterisco (*) indica que una ruta está
activa, S indica una ruta estática y “C” indica una ruta conectada.
Cuando utilice una línea de acceso telefónico o arrendada como ruta de siguiente
opción, todavía existe la posibilidad de que las rutas de primera y de segunda
opción puedan desactivarse simultáneamente. En ese caso, el dispositivo de
seguridad recurre a la tercera opción, que puede ser la ruta predeterminada. En
previsión de tal situación, puede convertir a la ruta de acceso telefónico o
arrendada en la segunda opción y a la ruta nula en la tercera opción (consulte “Ruta
nula” en la página 73). La Figura 24 muestra cómo estas opciones de tratamiento
de un fallo de enrutamiento pueden funcionar en conjunto.
Ruta terciaria: utilizar la interfaz nula para descartar tráfico (métrica = 10)
Finalmente, agregará una ruta NULA con una métrica de 10. Si la ruta preferida falla
y a continuación también falla la ruta secundaria, el dispositivo de seguridad
descartará todos los paquetes. Todas las zonas de seguridad se encuentran en el
dominio de enrutamiento trust-vr.
NOTA: Este ejemplo muestra únicamente la configuración para cuatro rutas (tres para la
conmutación por error más la ruta predeterminada) en el dispositivo A.
Figura 25: Fallo de enrutamiento hacia una línea arrendada y después a la ruta nula
WebUI (Dispositivo A)
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
CLI (Dispositivo A)
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1
set vrouter trust-vr route 10.2.2.0/24 interface ethernet4 gateway 1.2.2.5 metric
2
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10
save
Puede verificar la presencia de las nuevas rutas ejecutando el comando get route.
NOTA: Las versiones anteriores a ScreenOS 5.1.0 no admiten interfaces nulas (consulte
“Ruta nula” en la página 73). Sin embargo, puede utilizar una interfaz de túnel
ficticia para lograr el mismo objetivo.
NOTA: Si una interfaz de túnel está asociada a una zona de túnel, su estado siempre será
activo.
2. Defina una segunda ruta hacia el mismo destino utilizando esta segunda
interfaz de túnel y asígnele una métrica más alta (más alejada de cero) que la
de la ruta preferida.
1. Cree un enrutador virtual independiente para utilizarlo con todas las rutas que
apunten a interfaces de túnel y déle, por ejemplo, el nombre “VR-VPN”.
2. Cree una zona de seguridad (llamada, por ejemplo, “zona VPN”) y asóciela a
VR-VPN.
3. Asocie todas las interfaces de túnel a la zona VPN e introduzca todas las
direcciones de ubicaciones remotas a las que desee acceder a través de túneles
VPN en esta zona.
En este capítulo se explica cómo configurar un túnel de red privada virtual (VPN)
punto a punto entre dos dispositivos de seguridad de Juniper Networks. Aquí se
examinan los túneles VPN basados en rutas y basados en directivas, se presentan
los diversos elementos que hay que tener en cuenta al configurar un túnel y se
ofrecen varios ejemplos.
81
Manual de referencia de ScreenOS: conceptos y ejemplos
Túnel VPN punto a punto AutoKey IKE (con clave previamente compartida o
certificados)
Si una puerta de enlace tiene una dirección estática, y la otra tiene una dirección
asignada de forma dinámica, se puede configurar el siguiente tipo de túnel:
Túnel VPN punto a punto de interlocutor dinámico AutoKey IKE (con clave
previamente compartida o certificados)
Tal como se utiliza aquí, una VPN punto a punto estática implica la existencia de un
túnel IPSec para conectar dos puntos, cada uno de ellos con un dispositivo de
seguridad operativo como puerta de enlace segura. La interfaz o subinterfaz física
utilizada como interfaz de salida en ambos dispositivos tiene una dirección IP fija, y
los hosts internos también tienen direcciones IP estáticas. Si el dispositivo de
seguridad se encuentra en modo transparente, utiliza la dirección VLAN1 como
dirección IP para la interfaz de salida. Con una VPN punto a punto estática, los
hosts situados en cualquier extremo del túnel pueden iniciar la configuración del
túnel VPN porque la dirección IP de la puerta de enlace remota se mantiene
constante y, por tanto, accesible.
NOTA: Para obtener más información sobre las opciones de VPN disponibles, consulte
“Seguridad del protocolo de Internet” en la página 1. Si desea obtener ayuda para
elegir entre las distintas opciones, consulte “Directivas de red privada virtual” en
la página 47.
Direcciones
AutoKey IKE
Interlocutor dinámico
clave manual
Rutas
Directivas
Oficina
Zona Untrust de París Zona Trust
Ethernet1 se encuentra en modo NAT, por lo que cada administrador puede asignar
direcciones IP a todos los hosts internos, incluso si el tráfico pasa de la zona Trust a
la zona Untrust, el dispositivo de seguridad traduce la dirección IP de origen de los
encabezados de los paquetes a la dirección de la interfaz de la zona Untrust,
ethernet3 (1.1.1.1 para Tokio y 2.2.2.2 para París).
Para una VPN basada en rutas, cada administrador asocia la interfaz de túnel
tunnel.1 al túnel VPN vpn1. Definiendo una ruta al espacio de direcciones de la LAN
de la oficina remota, el dispositivo de seguridad puede dirigir todo el tráfico
asociado a dicha LAN a la interfaz tunnel.1, y por tanto, a través del túnel al que
está asociada tunnel.1.
2. Direcciones
Los administradores definen direcciones para su posterior uso en directivas de
entrada y salida. El administrador de la oficina de Tokio define las direcciones que
aparecen en la mitad superior de la Figura 28. Asimismo, el administrador de la
oficina de París configura las direcciones que aparecen en la mitad inferior de la
figura.
From: 0.0.0.0/0
To: 10.2.2.0/24
Service: ANY
Y si la ID de proxy de París es como aparece a continuación:
To: 10.1.1.0/24
From: 10.2.2.0/24
Service: ANY
NOTA: A partir de ScreenOS 5.0.0, también es posible definir IDs de proxy para túneles
VPN de los que se incluyen referencias en configuraciones VPN basadas en
directivas.
3. VPN
Es posible configurar una de las tres VPN siguientes:
AutoKey IKE
Interlocutor dinámico
Clave manual
trust-vr
Dst 10.2.2.0/24 Zona Trust Oficina Zona Untrust
Utilizar tunnel. 1 de Tokio
tunnel.1, sin numerar Trust_LAN
Dst 10.2.2.0/24 Trust, 10.2.2.0/24
Utilizar NULA ethernet1 ethernet3, 1.1.1.1/24
10.1.1.1/24 París
Métrica: 50 Enrutador externo, 1.1.1.250 Untrust,
NAT Interfaz nula
10.2.2.0/24
Dest 0.0.0.0/0 Internet trust-vr
Utilizar eth3 LAN LAN
Tunnel:vpn1 Dst 10.1.1.0/24
puerta de enlace: Utilizar tunnel. 1
1.1.1.250
Trust_LAN enrutador externo, 2.2.2.250 Interfaz nula
Dst 10.1.1.0/24
Trust, 10.1.1.0/24 ethernet3, 2.2.2.2/24 ethernet1 Utilizar NULL
10.2.2.1/24 Métrica: 50
Tokio tunnel.1, sin numerar NAT
Untrust, 10.1.1.0/24 Oficina Dest 0.0.0.0/0
Zona Untrust de París Zona Trust Utilizar eth3
puerta de enlace:
2.2.2.250
4. Rutas
Los administradores de cada extremo del túnel deben configurar al menos las rutas
siguientes:
Una ruta para el tráfico destinado a una dirección de la LAN remota a través de
tunnel.1.
Una ruta predeterminada para el resto del tráfico, incluyendo el tráfico de túnel
VPN externo, para el acceso a Internet a través de ethernet3 y el enrutador
externo situado más allá (1.1.1.250 para la oficina de Tokio y 2.2.2.250 para la
de París). El enrutador externo es la puerta de enlace predeterminada hacia la
que el dispositivo de seguridad reenvía todo el tráfico para el que no disponga
de una ruta específica en su tabla de enrutamiento.
Una ruta nula, de modo que si en algún momento el estado cambia de tunnel.1
a “inactivo” y cualquier ruta que haga referencia a tunnel.1 se desactiva, el
dispositivo de seguridad no utilice la ruta predeterminada para reenviar el
tráfico destinado a la LAN remota fuera de ethernet3 sin encriptar. Una ruta
nula utiliza la LAN remota como dirección de destino, pero envía tráfico a la
interfaz nula, una interfaz lógica que descarta todo el tráfico que recibe. Asigne
a la ruta nula una métrica superior (más alejada de cero) que la ruta a la LAN
remota que utiliza tunnel.1, haciendo la ruta nula menos preferente que la ruta
que hace referencia a la interfaz de tunnel.1.
trust-vr trust-vr
Dst 10.2.2.0/24 Oficina Dest 10.1.1.0/24
Utilizar tunnel. 1 Zona Trust Zona Untrust
de Tokio Utilice tunnel. 1
Dest 0.0.0.0/0 Dest 0.0.0.0/0
Utilizar eth1 tunnel.1, sin numerar Utilice eth3
puerta de enlace: ethernet1 ethernet3, 1.1.1.1/24 puerta de enlace:
1.1.1.250 10.1.1.1/24 Interfaz nula Enrutador externo, 1.1.1.250 2.2.2.250
NAT
Trust_LAN Internet Trust_LAN
Trust, 10.1.1.0/24 LAN LAN Trust, 10.2.2.0/24
Tunnel: vpn1
Tokio París
Untrust, enrutador externo, 2.2.2.250 Interfaz nula
10.1.1.0/24 ethernet1 Untrust,
ethernet3, 2.2.2.2/24 10.2.2.1/24 10.2.2.0/24
Trust -> Untrust tunnel.1, sin numerar NAT Trust -> Untrust
Trust_LAN -> París Oficina Trust_LAN ->
ANY (cualquiera), de París París
Permit (permitir) Zona Untrust Zona Trust ANY (cualquiera),
Permit (permitir)
Untrust -> Trust
París-> Trust_LAN Untrust -> Trust
ANY (cualquiera), París->
Permit (permitir) Trust_LAN
ANY (cualquiera),
Permit (permitir)
5. Directivas
Los administradores de cada extremo del túnel definen directivas para permitir el
tráfico entre las dos oficinas:
Una directiva que permita cualquier tipo de tráfico desde “París” o “Tokio” en la
zona Untrust hasta “Trust_LAN” en la zona Trust
Como la ruta preferente al punto remoto indica tunnel.1, que está asociada al túnel
VPN vpn1, no es necesario que la directiva haga referencia al túnel VPN.
Túnel VPN
3. Introducir las direcciones IP de los puntos finales local y remoto en las libretas
de direcciones para las zonas Trust y Untrust.
5. Definir directivas para la circulación del tráfico VPN entre ambos sitios.
WebUI (Tokio)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Name: To_Paris
Source Address: Trust_LAN
Destination Address: Paris_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Paris
Source Address: Paris_Office
Destination Address: Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
WebUI (París)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: Tokyo_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3. VPN
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: To_Tokyo
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1
Clave previamente compartida
Preshared Key: h1p8A24nG5
Outgoing Interface: ethernet3
(o bien)
Certificados
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en
Return para regresar a la página de configuración básica de Gateway:
Security Level: Custom
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha
Preferred certificate (optional)
Peer CA: Entrust
Peer Type: X509-SIG
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Name: Paris_Tokyo
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Tokyo
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Name: To_Tokyo
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Tokyo_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Tokyo
Source Address:
Address Book Entry: (seleccione), Tokyo_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
CLI (Tokio)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust Trust_LAN 10.1.1.0/24
set address untrust Paris_Office 10.2.2.0/24
3. VPN
Clave previamente compartida
set ike gateway To_Paris address 2.2.2.2 main outgoing-interface ethernet3
preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn Tokyo_Paris gateway To_Paris sec-level compatible
set vpn Tokyo_Paris bind interface tunnel.1
set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any
(o bien)
Certificado
set ike gateway To_Paris address 2.2.2.2 main outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway To_Paris cert peer-ca 1
set ike gateway To_Paris cert peer-cert-type x509-sig
set vpn Tokyo_Paris gateway To_Paris sec-level compatible
set vpn Tokyo_Paris bind interface tunnel.1
set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10
5. Directivas
set policy top name “To_Paris” from trust to untrust Trust_LAN Paris_Office any
permit
set policy top name “From_Paris” from untrust to trust Paris_Office Trust_LAN any
permit
save
CLI (París)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust Trust_LAN 10.2.2.0/24
set address untrust Tokyo_Office 10.1.1.0/24
3. VPN
Clave previamente compartida
set ike gateway To_Tokyo address 1.1.1.1 main outgoing-interface ethernet3
preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn Paris_Tokyo gateway To_Tokyo sec-level compatible
set vpn Paris_Tokyo bind interface tunnel.1
set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any
(o bien)
Certificado
set ike gateway To_Tokyo address 1.1.1.1 main outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway To_Tokyo cert peer-ca 1
set ike gateway To_Tokyo cert peer-cert-type x509-sig
set vpn Paris_Tokyo gateway To_Tokyo sec-level compatible
set vpn Paris_Tokyo bind interface tunnel.1
set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10
5. Directivas
set policy top name “To_Tokyo” from trust to untrust Trust_LAN Tokyo_Office any
permit
set policy top name “From_Tokyo” from untrust to trust Tokyo_Office Trust_LAN any
permit
save
Túnel VPN
6. Configurar directivas.
WebUI (Tokio)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
WebUI (París)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
CLI (Tokio)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust Trust_LAN 10.1.1.0/24
set address untrust paris_office 10.2.2.0/24
3. VPN
Clave previamente compartida
set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3
preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn tokyo_paris gateway to_paris sec-level compatible
(o bien)
Certificados
set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway to_paris cert peer-ca 1
set ike gateway to_paris cert peer-cert-type x509-sig
set vpn tokyo_paris gateway to_paris sec-level compatible
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
5. Directivas
set policy top name “To/From Paris” from trust to untrust Trust_LAN paris_office
any tunnel vpn tokyo_paris
set policy top name “To/From Paris” from untrust to trust paris_office Trust_LAN
any tunnel vpn tokyo_paris
save
CLI (París)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
2. Direcciones
set address trust Trust_LAN 10.2.2.0/24
set address untrust tokyo_office 10.1.1.0/24
3. VPN
Clave previamente compartida
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3
preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn paris_tokyo gateway to_tokyo sec-level compatible
(o bien)
Certificados
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway to_tokyo cert peer-ca 1
set ike gateway to_tokyo cert peer-cert-type x509-sig
set vpn paris_tokyo gateway to_tokyo tunnel proposal nopfs-esp-3des-sha
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
5. Directivas
set policy top name “To/From Tokyo” from trust to untrust Trust_LAN tokyo_office
any tunnel vpn paris_tokyo
set policy top name “To/From Tokyo” from untrust to trust tokyo_office Trust_LAN
any tunnel vpn paris_tokyo
save
Internet
Túnel VPN
Indique tres rutas en los dispositivos de seguridad en cada extremo del túnel VPN:
Una ruta nula al destino. Asigne una métrica más alta (más alejada de cero) a la
ruta nula para que se convierta en la siguiente opción de ruta al destino. A
continuación, si el estado de la interfaz de túnel cambia a “inactivo” y la ruta
que hace referencia a esa interfaz también se inactiva, el dispositivo de
seguridad utiliza la ruta nula, que descarta todo tráfico enviado hacia él, en
lugar de la ruta predeterminada, que reenvía tráfico no encriptado.
Finalmente, configure directivas para permitir tráfico bidireccional entre los dos
sitios.
WebUI (Tokio)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
3. VPN
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
(o bien)
Certificados
Local ID: pmason@abc.com
Outgoing Interface: ethernet3
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
4. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Paris_Office
Service: Any
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Paris_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: Any
Action: Permit
Position at Top: (seleccione)
WebUI (París)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Tokyo_Office
Service: Any
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Tokyo_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: Any
Action: Permit
Position at Top: (seleccione)
CLI (Tokio)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 dhcp client
set interface ethernet3 dhcp client settings server 1.1.1.5
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust Trust_LAN 10.1.1.0/24
set address untrust Paris_Office 10.2.2.0/24
3. VPN
Clave previamente compartida
set ike gateway To_Paris address 2.2.2.2 aggressive local-id pmason@abc.com
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn Tokyo_Paris gateway To_Paris tunnel sec-level compatible
set vpn Tokyo_Paris bind interface tunnel.1
set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any
(o bien)
Certificados
set ike gateway To_Paris address 2.2.2.2 aggressive local-id pmason@abc.com
outgoing-interface ethernet3 proposal rsa-g2-3des-sha
set ike gateway To_Paris cert peer-ca 1
set ike gateway To_Paris cert peer-cert-type x509-sig
set vpn Tokyo_Paris gateway To_Paris tunnel sec-level compatible
set vpn Tokyo_Paris bind interface tunnel.1
set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10
5. Directivas
set policy top from trust to untrust Trust_LAN Paris_Office any permit
set policy top from untrust to trust Paris_Office Trust_LAN any permit
save
CLI (París)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust Trust_LAN 10.2.2.0/24
set address untrust Tokyo_Office 10.1.1.0/24
3. VPN
Clave previamente compartida
set ike gateway To_Tokyo dynamic pmason@abc.com aggressive outgoing-interface
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn Paris_Tokyo gateway To_Tokyo tunnel sec-level compatible
set vpn Paris_Tokyo bind interface tunnel.1
set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any
(o bien)
Certificados
set ike gateway To_Tokyo dynamic pmason@abc.com aggressive outgoing-interface
ethernet3 proposal rsa-g2-3des-sha
set ike gateway To_Tokyo cert peer-ca 1
set ike gateway To_Tokyo cert peer-cert-type x509-sig
set vpn Paris_Tokyo gateway To_Tokyo tunnel sec-level compatible
set vpn Paris_Tokyo bind interface tunnel.1
set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10
5. Directivas
set policy top from trust to untrust Trust_LAN Tokyo_Office any permit
set policy top from untrust to trust Tokyo_Office Trust_LAN any permit
save
A B A B
NOTA: Como Phil es un usuario de autenticación, antes de que pueda realizar una
petición SMTP o POP3, debe iniciar primero una conexión HTTP, FTP o Telnet
para que el dispositivo A pueda responder con un mensaje de petición de inicio de
sesión/usuario de cortafuegos para autenticarle. Una vez que el dispositivo A le
haya autenticado, tendrá permiso para establecer contacto con el servidor de
correo corporativo a través del túnel VPN.
El servidor de correo puede enviar la petición IDENT a través del túnel sólo si los
administradores de los dispositivos A y B agregan un servicio personalizado para
ello (TCP, puerto 113) y configuran directivas que permitan el tráfico a través del
túnel hacia la subred 10.10.10.0/24.
página 24). Para los niveles de seguridad de las fases 1 y 2, debe especificar una
propuesta de fase 1 (ya sea pre-g2-3des-sha para el método de clave previamente
compartida o rsa-g2-3des-sha para certificados) y seleccionar el conjunto de
propuestas “Compatible” para la fase 2.
WebUI (Dispositivo A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
2. Usuario
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en
OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
4. Servicios
Objects > Services > Custom > New: Introduzca los siguientes datos y haga
clic en OK:
Objects > Services > Group > New: Introduzca los siguientes datos, mueva
los siguientes servicios; finalmente, haga clic en OK:
(o bien)
Certificados
Local ID: pmason@abc.com
Outgoing Interface: ethernet3
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Name: branch_corp
Security Level: Compatible
Remote Gateway Tunnel: To_Mail
6. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
7. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Trusted network
Destination Address:
Address Book Entry: (seleccione), Mail Server
Service: Remote_Mail
Action: Tunnel
VPN Tunnel: branch_corp
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
Authentication: (seleccione)
Auth Server: Local
User: (seleccione), Local Auth User - pmason
WebUI (Dispositivo B)
1. Interfaces
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
2. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Services > Group > New: Introduzca los siguientes datos, mueva
los siguientes servicios; finalmente, haga clic en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Mail Server
Destination Address:
Address Book Entry: (seleccione), branch office
Service: Remote_Mail
Action: Tunnel
VPN Tunnel: corp_branch
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
CLI (Dispositivo A)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 dhcp client
set interface ethernet3 dhcp client settings server 1.1.1.5
2. Usuario
set user pmason password Nd4syst4
3. Direcciones
set address trust “trusted network” 10.1.1.0/24
set address untrust “mail server” 3.3.3.5/32
4. Servicios
set service ident protocol tcp src-port 0-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add http
set group service remote_mail add ftp
set group service remote_mail add telnet
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
5. VPN
Clave previamente compartida
set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@abc.com
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn branch_corp gateway to_mail sec-level compatible
(o bien)
Certificados
set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@abc.com
outgoing-interface ethernet3 proposal rsa-g2-3des-sha
set ike gateway to_mail cert peer-ca 1
set ike gateway to_mail cert peer-cert-type x509-sig
set vpn branch_corp gateway to_mail sec-level compatible
6. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
7. Directivas
set policy top from trust to untrust “trusted network” “mail server” remote_mail
tunnel vpn branch_corp auth server Local user pmason
set policy top from untrust to trust “mail server” “trusted network” remote_mail
tunnel vpn branch_corp
save
CLI (Dispositivo B)
1. Interfaces
set interface ethernet2 zone dmz
set interface ethernet2 ip 3.3.3.3/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
2. Direcciones
set address dmz “mail server” 3.3.3.5/32
set address untrust “branch office” 10.1.1.0/24
3. Servicios
set service ident protocol tcp src-port 0-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
4. VPN
Clave previamente compartida
set ike gateway to_branch dynamic pmason@abc.com aggressive
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn corp_branch gateway to_branch tunnel sec-level compatible
(o bien)
Certificados
set ike gateway to_branch dynamic pmason@abc.com aggressive
outgoing-interface ethernet3 proposal rsa-g2-3des-sha
set ike gateway to_branch cert peer-ca 1
set ike gateway to_branch cert peer-cert-type x509-sig
set vpn corp_branch gateway to_branch sec-level compatible
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
6. Directivas
set policy top from dmz to untrust “mail server” “branch office” remote_mail
tunnel vpn corp_branch
set policy top from untrust to dmz “branch office” “mail server” remote_mail
tunnel vpn corp_branch
save
Tokio:
Interfaz de zona Trust (ethernet1): 10.1.1.1/24
París:
Para configurar el túnel, lleve a cabo los siguientes pasos en los dispositivos de
seguridad a ambos extremos del túnel:
3. Introducir las direcciones IP de los puntos finales local y remoto en las libretas
de direcciones para las zonas Trust y Untrust.
5. Definir directivas para la circulación del tráfico VPN entre ambos sitios.
WebUI (Tokio)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
3. VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK:
> Advanced: Introduzca los siguientes ajustes avanzados; luego haga clic en
Return para regresar a la página de configuración básica del túnel Manual Key:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Name: To_Paris
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Paris_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Paris
Source Address:
Address Book Entry: (seleccione), Paris_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
WebUI (París)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
3. VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK:
> Advanced: Introduzca los siguientes ajustes avanzados; luego haga clic
en Return para regresar a la página de configuración básica del túnel
Manual Key:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Name: To_Tokyo
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Tokyo_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Tokyo
Source Address:
Address Book Entry: (seleccione), Tokyo_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
CLI (Tokio)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust Trust_LAN 10.1.1.0/24
set address untrust Paris_Office 10.2.2.0/24
3. VPN
set vpn Tokyo_Paris manual 3020 3030 gateway 2.2.2.2 outgoing-interface
ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a
set vpn Tokyo_Paris bind interface tunnel.1
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10
5. Directivas
set policy top name “To Paris” from trust to untrust Trust_LAN Paris_Office any
permit
set policy top name “From Paris” from untrust to trust Paris_Office Trust_LAN any
permit
save
CLI (París)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust Trust_LAN 10.2.2.0/24
set address untrust Tokyo_Office 10.1.1.0/24
3. VPN
set vpn Paris_Tokyo manual 3030 3020 gateway 1.1.1.1 outgoing-interface
ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a
set vpn Paris_Tokyo bind interface tunnel.1
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10
5. Directivas
set policy top name “To Tokyo” from trust to untrust Trust_LAN Tokyo_Office any
permit
set policy top name “From Tokyo” from untrust to trust Tokyo_Office Trust_LAN any
permit
save
Tokio:
París
Túnel VPN
Para configurar el túnel, lleve a cabo los siguientes pasos en los dispositivos de
seguridad a ambos extremos del túnel:
3. Introducir las direcciones IP de los puntos finales local y remoto en las libretas
de direcciones para las zonas Trust y Untrust.
5. Configurar directivas para que el tráfico VPN circule de forma bidireccional por
el túnel.
WebUI (Tokio)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
3. VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK:
> Advanced: Introduzca los siguientes ajustes avanzados; luego haga clic
en Return para regresar a la página de configuración básica del túnel
Manual Key:
WebUI (París)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
> Advanced: Introduzca los siguientes ajustes avanzados; luego haga clic
en Return para regresar a la página de configuración básica del túnel
Manual Key:
CLI (Tokio)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust Trust_LAN 10.1.1.0/24
set address untrust paris_office 10.2.2.0/24
3. VPN
set vpn tokyo_paris manual 3020 3030 gateway 2.2.2.2 outgoing-interface
ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a
set vpn tokyo_paris bind zone untrust-tun
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
5. Directivas
set policy top name “To/From Paris” from trust to untrust Trust_LAN paris_office
any tunnel vpn tokyo_paris
set policy top name “To/From Paris” from untrust to trust paris_office Trust_LAN
any tunnel vpn tokyo_paris
save
CLI (París)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
2. Direcciones
set address trust Trust_LAN 10.2.2.0/24
set address untrust tokyo_office 10.1.1.0/24
3. VPN
set vpn paris_tokyo manual 3030 3020 gateway 1.1.1.1 outgoing-interface
ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a
set vpn paris_tokyo bind zone untrust-tun
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
5. Directivas
set policy top name “To/From Tokyo” from trust to untrust Trust_LAN tokyo_office
any tunnel vpn paris_tokyo
set policy top name “To/From Tokyo” from untrust to trust tokyo_office Trust_LAN
any tunnel vpn paris_tokyo
save
www.jnpr.net
Túnel VPN
1.1.1.202 = www.jnpr.net
Sin que sea necesario conocer la dirección IP actual de un interlocutor IKE remoto,
es posible configurar un túnel VPN AutoKey IKE que conecte con dicho interlocutor
utilizando su FQDN en lugar de una dirección IP.
Alias
También es posible utilizar un alias para el FQDN del interlocutor IKE remoto si el
servidor DNS al que consulta el dispositivo de seguridad local devuelve sólo una
dirección IP. Si el servidor DNS devuelve varias direcciones IP, el dispositivo local
utilizará la primera que reciba. Como no existe ninguna garantía sobre el orden de
aparición de las direcciones en la respuesta del servidor DNS, es posible que el
dispositivo de seguridad local utilice la dirección IP incorrecta y, por tanto, las
negociaciones IKE podrían fracasar.
Figura 39: Respuestas múltiples de DNS que derivan en el éxito o el fracaso de la negociación IKE
Dispositivo de seguridad local El dispositivo de seguridad local desea Interlocutor IKE remoto
establecer un túnel VPN IKE con su
interlocutor remoto. Utiliza www.jnpr.net
como dirección de puerta de enlace remota.
Respuesta DNS:
El dispositivo utiliza
esta dirección IP. www.jnpr.net = 1.1.1.202
www.jnpr.net = 1.1.1.114
www.jnpr.net = 1.1.1.20
Si el interlocutor IKE
remoto se encuentra en
Dispositivo de seguridad local 1.1.1.114 Interlocutor IKE remoto
o bien
1.1.1.20, las negociaciones
IKE fracasan.
4. Introducir las direcciones IP de los puntos finales local y remoto en las libretas
de direcciones para las zonas Trust y Untrust.
WebUI (Tokio)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Name: To_Paris
Source Address: Trust_LAN
Destination Address: Paris_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > Policy (From: Untrust, To: Trust) > New Policy: Introduzca los
siguientes datos y haga clic en OK:
Name: From_Paris
Source Address: Paris_Office
Destination Address: Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
WebUI (París)
1. Nombre de host y nombre de dominio
Network > DNS: Introduzca los siguientes datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Name: Paris_Tokyo
Security Level: Custom
Remote Gateway:
Predefined: (seleccione), To_Tokyo
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
6. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: To_Tokyo
Source Address: Trust_LAN
Destination Address: Tokyo_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Tokyo
Source Address: Tokyo_Office
Destination Address: Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
CLI (Tokio)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust Trust_LAN 10.1.1.0/24
set address untrust paris_office 10.2.2.0/24
3. VPN
Clave previamente compartida
set ike gateway to_paris address www.nspar.com main outgoing-interface
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn tokyo_paris gateway to_paris sec-level compatible
set vpn tokyo_paris bind interface tunnel.1
set vpn tokyo_paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any
(o bien)
Certificado
set ike gateway to_paris address www.nspar.com main outgoing-interface
ethernet3 proposal rsa-g2-3des-sha
set ike gateway to_paris cert peer-ca 1
set ike gateway to_paris cert peer-cert-type x509-sig
set vpn tokyo_paris gateway to_paris sec-level compatible
set vpn tokyo_paris bind interface tunnel.1
set vpn tokyo_paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10
5. Directivas
set policy top name “To Paris” from trust to untrust Trust_LAN paris_office any
permit
set policy top name “From Paris” from untrust to trust paris_office Trust_LAN any
permit
save
CLI (París)
1. Nombre de host y nombre de dominio
set hostname www
set domain nspar.com
2. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip dhcp-client enable
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
3. Direcciones
set address trust Trust_LAN 10.2.2.0/24
set address untrust tokyo_office 10.1.1.0/24
4. VPN
Clave previamente compartida
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3
preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn paris_tokyo gateway to_tokyo sec-level compatible
set vpn paris_tokyo bind interface tunnel.1
set vpn paris_tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any
(o bien)
Certificado
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway to_tokyo cert peer-ca 1
set ike gateway to_tokyo cert peer-cert-type x509-sig
set vpn paris_tokyo gateway to_tokyo sec-level compatible
set vpn paris_tokyo bind interface tunnel.1
set vpn paris_tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any
5. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10
6. Directivas
set policy top name “To Tokyo” from trust to untrust Trust_LAN tokyo_office any
permit
set policy top name “From Tokyo” from untrust to trust tokyo_office Trust_LAN any
permit
save
Para NAT-src, las interfaces situadas a ambos extremos del túnel deben poseer
direcciones IP en subredes únicas mutuamente, con un conjunto de direcciones IP
dinámicas (DIP) en cada una de dichas subredes. Las directivas que regulan el
tráfico VPN saliente pueden aplicar NAT-src mediante direcciones de conjunto DIP
para traducir las direcciones de origen originales y convertirlas en direcciones de un
espacio de direcciones neutro.
NOTA: El rango de direcciones en un conjunto de DIP debe estar en la misma subred que
la interfaz de túnel, pero no es necesario que el conjunto incluya la dirección IP de
la interfaz o cualquier otra dirección MIP o VIP que pueda encontrarse en dicha
subred. Para las interfaces de la zona de seguridad, es posible definir una
dirección IP extendida y un conjunto de DIP auxiliar en una subred distinta de la
de la dirección IP de la interfaz. Para obtener más información, consulte “Usar DIP
en otra subred” en la página 2-148.
NAT-dst basada en directivas: una directiva puede aplicar NAT-dst para traducir
el tráfico VPN entrante y convertirlo en una dirección que se encuentre en la
misma subred que la interfaz de túnel (pero no en el mismo rango que el
conjunto de DIP local utilizado para el tráfico VPN saliente) o en una dirección
de otra subred de la que el dispositivo de seguridad tenga una entrada en su
tabla de rutas. (Para obtener información sobre el enrutamiento a la hora de
configurar NAT-dst, consulte “Enrutamiento para NAT-Dst” en la página 8-34).
Dirección IP asignada (MIP): una directiva puede hacer referencia a una MIP
como dirección de destino. La MIP utiliza una dirección que se encuentra en la
misma subred que la interfaz de túnel (pero no en el mismo rango que el
conjunto de DIP local utilizado para el tráfico VPN de salida). (Para obtener
información sobre las MIP, consulte “Direcciones IP asignadas” en la
página 8-65).
El tráfico VPN entre dos puntos con direcciones superpuestas requiere la traducción
de direcciones en ambos sentidos. Como la dirección de origen del tráfico saliente
no puede ser la misma que la dirección de destino del tráfico entrante (la dirección
NAT-dst o MIP no puede estar en el conjunto de DIP), las direcciones de las que se
incluyen referencias en las directivas de entrada y salida no pueden ser simétricas.
NOTA: Una ID de proxy es un tipo de acuerdo entre interlocutores IKE para permitir el
tráfico a través de un túnel si el tráfico cumple una tupla especificada de dirección
local, dirección remota y servicio.
Puede utilizar una configuración de túnel VPN basada en rutas, que debe tener
una ID de proxy definida por el usuario. Con una configuración de túnel VPN
basada en rutas, no se hace referencia de forma específica a un túnel VPN en
una directiva. En su lugar, la directiva controla (permite o deniega) el acceso a
un destino en particular. La ruta que conduce a dicho destino apunta a una
interfaz de túnel que, a su vez, está asociada a un túnel VPN. Como el túnel
VPN no está asociado directamente a ninguna directiva a partir de la que se
pueda derivar una ID de proxy de la dirección de origen, la dirección de destino
y el servicio, habrá que definir una ID de proxy de forma manual. (Recuerde
que una configuración VPN basada en rutas también permite crear múltiples
directivas que hagan uso de un único túnel VPN; es decir, una SA de fase 2
sencilla).
Examine las direcciones de la Figura 41, en la que se ejemplifica un túnel VPN entre
dos puntos con espacios de direcciones superpuestas.
Direcciones en
directivas
10.10.1.2 – 10.10.1.2 DIP MIP 10.20.2.5 (a 10.1.1.5)
10.10.1.5 (a 10.1.1.5) MIP DIP 10.20.2.2 – 10.20.2.2
Dispositivo A Dispositivo B
Local Remota Servicio Local Remota Servicio
Salida 10.10.1.2/32 10.20.2.5/32 Any Entrada 10.20.2.5/32 10.10.1.2/32 Any
Entrada 10.10.1.5/32 10.20.2.2/32 Any Salida 10.20.2.2/32 10.10.1.5/32 Any
Como se muestra en la tabla, existen dos ID de proxy: una para el tráfico VPN
entrante y otra para el saliente. Cuando el dispositivo A envía tráfico por primera
vez desde 10.10.1.2/32 hasta 10.20.2.5/32, los dos interlocutores realizan
negociaciones IKE y generan asociaciones de seguridad (SA) de fase 1 y fase 2. La
SA de fase 2 da como resultado la ID de proxy de salida anterior para el dispositivo
A y la ID de proxy de entrada para el dispositivo B.
Para crear un solo túnel para tráfico VPN bidireccional, puede definir las siguientes
ID de proxy con direcciones cuyo alcance incluya las direcciones de origen y
destino traducidas en cada extremo del túnel:
Dispositivo A Dispositivo B
Local Remota Servicio Local Remota Servicio
10.10.1.0/24 10.20.2.0/24 Any 10.20.2.0/24 10.10.1.0/24 Any
o bien
0.0.0.0/0 0.0.0.0/0 Any 0.0.0.0/0 0.0.0.0/0 Any
NOTA: La dirección 0.0.0.0/0 incluye todas las direcciones IP y, por tanto, las direcciones
del conjunto de DIP y MIP.
Para crear un túnel VPN para el tráfico bidireccional entre dos puntos con espacios
de direcciones superpuestas cuando las direcciones para NAT-src y NAT-dst
configuradas en el mismo dispositivo se encuentran en subredes distintas, la ID de
proxy para el túnel debe ser (IP local) 0.0.0.0/0 – (IP remota) 0.0.0.0/0 – tipo de
servicio. Si desea utilizar direcciones más restrictivas en la ID de proxy, las
direcciones para NAT-src y NAT-dst deberán encontrarse en la misma subred.
NOTA: Para obtener más información sobre la traducción de direcciones de red de origen
y destino (NAT-src y NAT-dst), consulte el Volumen 8: Traducción de direcciones.
Las configuraciones de ambos extremos del túnel utilizan los siguientes parámetros:
AutoKey IKE, clave previamente compartida (“netscreen1”) y el nivel de seguridad
predefinido como “Compatible” para propuestas de fase 1 y fase 2. (Para ver los
detalles sobre estas propuestas, consulte “Negociación de túnel” en la página 9).
A B B A
WebUI (Dispositivo A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
2. DIP
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: (seleccione), 10.10.1.2 ~ 10.10.1.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
3. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
NOTA: La interfaz de salida no necesita estar en la misma zona a la que está asociada la
interfaz del túnel, aunque en este caso se encuentran en la misma zona.
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), serverB
Service: FTP
Action: Permit
Position at Top: (seleccione)
NAT:
Source Translation: (seleccione)
DIP On: 5 (10.10.1.2–10.10.1.2)/X-late
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), branch1
Destination Address:
Address Book Entry: (seleccione), virtualA
Service: FTP
Action: Permit
Position at Top: (seleccione)
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.1.1.5
Map to Port: (anule la selección)
WebUI (Dispositivo B)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
ID: 6
IP Address Range: (seleccione), 10.20.1.2 ~ 10.20.1.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
3. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
NOTA: La interfaz de salida no necesita estar en la misma zona a la que está asociada la
interfaz del túnel, aunque en este caso se encuentran en la misma zona.
5. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), serverA
Service: FTP
Action: Permit
Position at Top: (seleccione)
NAT:
Source Translation: (seleccione)
DIP on: 6 (10.20.1.2–10.20.1.2)/X-late
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), virtualB
Service: FTP
Action: Permit
Position at Top: (seleccione)
CLI (Dispositivo A)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip 10.10.1.1/24
2. DIP
set interface tunnel.1 dip 5 10.10.1.2 10.10.1.2
3. Direcciones
set address trust corp 10.1.1.0/24
set address trust virtualA 10.10.1.5/32
set address untrust branch1 10.20.1.2/32
set address untrust serverB 10.20.1.5/32
4. VPN
set ike gateway branch1 address 2.2.2.2 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn vpn1 gateway branch1 sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 10.10.1.0/24 remote-ip 10.20.1.0/24 any
NOTA: La interfaz de salida no necesita estar en la misma zona a la que está asociada la
interfaz del túnel, aunque en este caso se encuentran en la misma zona.
5. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.20.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.20.1.0/24 interface null metric 10
6. Directivas
set policy top from trust to untrust corp serverB ftp nat src dip-id 5 permit
set policy top from untrust to trust branch1 virtualA ftp nat dst ip 10.1.1.5 permit
save
CLI (Dispositivo B)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip 10.20.1.1/24
2. DIP
set interface tunnel.1 dip 6 10.20.1.2 10.20.1.2
3. Direcciones
set address trust branch1 10.1.1.0/24
set address trust virtualB 10.20.1.5/32
set address untrust corp 10.10.1.2/32
set address untrust serverA 10.10.1.5/32
4. VPN
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn vpn1 gateway corp sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 10.20.1.0/24 remote-ip 10.10.1.0/24 any
NOTA: La interfaz de salida no necesita estar en la misma zona a la que está asociada la
interfaz del túnel, aunque en este caso se encuentran en la misma zona.
5. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
set vrouter trust-vr route 10.10.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.10.1.0/24 interface null metric 10
6. Directivas
set policy top from trust to untrust branch1 serverA ftp nat src dip-id 6 permit
set policy top from untrust to trust corp virtualB ftp nat dst ip 10.1.1.5 permit
save
Elementos de
configuración Dispositivo A Dispositivo B
Zona V1-Trust Interfaz: ethernet1, 0.0.0.0/0 Interfaz: ethernet1, 0.0.0.0/0
(habilitar administración para el (habilitar administración para el
administrador local) administrador local)
Zona V1-Untrust Interfaz: ethernet3, 0.0.0.0/0 Interfaz: ethernet3, 0.0.0.0/0
Interfaz VLAN1 Dirección IP: 1.1.1.1/24 Dirección IP: 2.2.2.2/24
IP de administración: 1.1.1.21 IP de administración: 2.2.2.3
Direcciones local_lan: 1.1.1.0/24 en V1-Untrust local_lan: 2.2.2.0/24 en V1-Trust
peer_lan: 2.2.2.0/24 en V1-Untrust peer_lan: 1.1.1.0/24 en V1-Untrust
Puerta de enlace IKE gw1, 2.2.2.2, preshared key h1p8A24nG5, gw1, 1.1.1.1, preshared key h1p8A24nG5,
seguridad: compatible seguridad: compatible
Túnel VPN seguridad: compatible seguridad: compatible
Directivas local_lan -> peer_lan, cualquier servicio, local_lan -> peer_lan, cualquier servicio,
vpn1 vpn1
peer_lan -> local_lan, cualquier servicio, peer_lan -> local_lan, cualquier servicio,
vpn1 vpn1
Enrutador externo Dirección IP: 1.1.1.250 Dirección IP: 2.2.2.250
Ruta 0.0.0.0/0, use VLAN1 interface 0.0.0.0/0, use VLAN1 interface
to gateway 1.1.1.250 to gateway 2.2.2.250
1.Puede separar el tráfico VPN del administrativo utilizando la dirección IP de administración para recibir el tráfico
administrativo y la dirección VLAN1 para terminar el tráfico VPN.
3. Introducir las direcciones IP de los puntos finales local y remoto en las libretas
de direcciones para las zonas V1-Trust y V1-Untrust.
6. Definir directivas para la circulación del tráfico VPN entre ambos sitios.
WebUI (Dispositivo A)
1. Interfaces
Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguientes
datos y haga clic en OK:
IP Address/Netmask: 1.1.1.1/24
Manage IP: 1.1.1.2
Management Services: WebUI, Telnet, Ping
NOTA: Se deben habilitar las opciones de administración para WebUI, Telnet y Ping tanto
en la zona V1-Trust como en la interfaz VLAN1 para que un administrador local de
la zona V1-Trust pueda acceder a la dirección IP de administración de VLAN1. Si la
administración a través de la WebUI aún no está habilitada en las interfaces de
zona V1-Trust y VLAN1, no será posible acceder al dispositivo de seguridad a
través de la WebUI para realizar estos ajustes. En su lugar, deberá habilitar la
administración mediante WebUI en estas interfaces a través de una conexión de
consola.
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), local_lan
Destination Address:
Address Book Entry: (seleccione), peer_lan
Service: ANY
Action: Tunnel
Tunnel VPN: vpn1
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
WebUI (Dispositivo B)
1. Interfaces
Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguientes
datos y haga clic en OK:
IP Address/Netmask: 2.2.2.2/24
Manage IP: 2.2.2.3
Management Services: WebUI, Telnet, Ping
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), local_lan
Destination Address:
Address Book Entry: (seleccione), peer_lan
Service: ANY
Action: Tunnel
Tunnel VPN: vpn1
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
CLI (Dispositivo A)
1. Interfaces y zonas
unset interface ethernet1 ip
unset interface ethernet1 zone
set interface ethernet1 zone v1-trust
set zone v1-trust manage web
set zone v1-trust manage telnet
set zone v1-trust manage ping
unset interface ethernet3 ip
unset interface ethernet3 zone
set interface ethernet3 zone v1-untrust
NOTA: Se deben habilitar las opciones de administración para WebUI, Telnet y Ping tanto
en la zona V1-Trust como en la interfaz VLAN1 para que un administrador local de
la zona V1-Trust pueda acceder a la dirección IP de administración de VLAN1.
2. Direcciones
set address v1-trust local_lan 1.1.1.0/24
set address v1-untrust peer_lan 2.2.2.0/24
3. VPN
set ike gateway gw1 address 2.2.2.2 main outgoing-interface v1-untrust preshare
h1p8A24nG5 sec-level compatible
set vpn vpn1 gateway gw1 sec-level compatible
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 1.1.1.250
5. Directivas
set policy top from v1-trust to v1-untrust local_lan peer_lan any tunnel vpn vpn1
set policy top from v1-untrust to v1-trust peer_lan local_lan any tunnel vpn vpn1
save
CLI (Dispositivo B)
1. Interfaces y zonas
unset interface ethernet1 ip
unset interface ethernet1 zone
set interface ethernet1 zone v1-trust
set zone v1-trust manage
unset interface ethernet3 ip
unset interface ethernet3 zone
set interface ethernet3 zone v1-untrust
set interface vlan1 ip 2.2.2.2/24
set interface vlan1 manage-ip 2.2.2.3
set interface vlan1 manage
2. Direcciones
set address v1-trust local_lan 2.2.2.0/24
set address v1-untrust peer_lan 1.1.1.0/24
3. VPN
set ike gateway gw1 address 1.1.1.1 main outgoing-interface v1-untrust preshare
h1p8A24nG5 sec-level compatible
set vpn vpn1 gateway gw1 sec-level compatible
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 2.2.2.250
5. Directivas
set policy top from v1-trust to v1-untrust local_lan peer_lan any tunnel vpn vpn1
set policy top from v1-untrust to v1-trust peer_lan local_lan any tunnel vpn vpn1
save
159
Manual de referencia de ScreenOS: conceptos y ejemplos
Acceso telefónico
Es posible configurar túneles para usuarios de VPN de acceso telefónico de forma
individual o reuniendo varios usuarios en un grupo VPN de acceso telefónico, en
cuyo caso sólo tendrá que configurar un túnel. También es posible crear un usuario
de identificación IKE de grupo, lo que permite definir un usuario cuya identificación
IKE se utilizará como parte de todas las ID IKE de los usuarios IKE de acceso
telefónico. Esto permite ahorrar bastante tiempo cuando hay grandes grupos de
usuarios de acceso telefónico, puesto que no tendrá que configurar a cada usuario
IKE individualmente.
NOTA: Para obtener más información sobre la creación de grupos de usuarios IKE,
consulte “Usuarios y grupos de usuarios IKE” en la página 9-61. Para obtener más
información sobre la función de identificación IKE de grupo, consulte
“Identificación IKE de grupo” en la página 183.
Si el cliente de acceso telefónico admite una dirección IP interna virtual, como hace
el dispositivo NetScreen-Remote, también puede crear un túnel AutoKey IKE de
VPN de acceso telefónico para interlocutor dinámico (con clave o certificados
previamente compartidos). Puede configurar una puerta de enlace segura Juniper
Networks con una dirección IP estática para asegurar un túnel IPSec a un cliente
NetScreen-Remote o a otro dispositivo de seguridad con una dirección IP dinámica.
NOTA: Para obtener información sobre las opciones de VPN disponibles, consulte
“Seguridad del protocolo de Internet” en la página 1. Si desea obtener ayuda para
elegir entre las distintas opciones, consulte “Directivas de red privada virtual” en
la página 47.
Para configurar el túnel AutoKey IKE utilizando AutoKey IKE con una clave
previamente compartida o con certificados, es necesario realizar la siguiente
configuración en la empresa:
6. Crear una directiva de la zona Untrust a la zona Trust que permita que el
usuario de acceso telefónico acceda a UNIX.
Zona Zona
Untrust Trust
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
(o bien)
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), UNIX
Service: ANY
Action: Tunnel
Tunnel VPN: Wendy_UNIX
Modify matching bidirectional VPN policy: (anule la selección)
Position at Top: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address trust unix 10.1.1.5/32
3. Usuario
set user wendy ike-id u-fqdn wparker@email.com
4. VPN
Certificados
set ike gateway wendy_nsr dialup wendy aggressive outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway wendy_nsr cert peer-ca 1
set ike gateway wendy_nsr cert peer-cert-type x509-sig
set vpn wendy_unix gateway wendy_nsr sec-level compatible
(o bien)
2. Haga clic en Add a new connection y escriba UNIX junto al icono de nueva
conexión que aparecerá en pantalla.
4. Haga clic en el signo MÁS, que se ubica a la izquierda del icono de UNIX para
ampliar la directiva de la conexión.
Haga clic en Pre-shared Key > Enter Key: Escriba h1p8A24nG5, después
haga clic en OK.
(o bien)
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y
después en el símbolo MÁS situado a la izquierda de Authentication (Phase 1) y
de Key Exchange (Phase 2) para ampliar aún más la directiva.
(o bien)
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Puede crear una ruta asociando la dirección con una interfaz de túnel unida a
un túnel VPN apropiado.
NOTA: El servidor de correo puede enviar la petición IDENT a través del túnel sólo si el
administrador de seguridad agrega un servicio personalizado para ello (TCP,
puerto 113) y establece una directiva de salida que permita el tráfico a través del
túnel hacia 10.10.10.1.
Una ruta nula al destino. Asigne una métrica más alta (más alejada de cero) a la
ruta nula para que se convierta en la siguiente opción de ruta al destino. A
continuación, si el estado de la interfaz de túnel cambia a “inactivo” y la ruta
que hace referencia a esa interfaz también se inactiva, el dispositivo de
seguridad utiliza la ruta nula, que descarta todo tráfico enviado hacia él, en
lugar de la ruta predeterminada, que reenvía tráfico no encriptado.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Services > Group > New: Introduzca los siguientes datos, mueva
los siguientes servicios y haga clic en OK:
4. VPN
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Phil
Destination Address:
Address Book Entry: (seleccione), Mail Server
Service: Remote_Mail
Action: Permit
Position at Top: (seleccione)
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Mail Server
Destination Address:
Address Book Entry: (seleccione), Phil
Service: Remote_Mail
Action: Permit
Position at Top: (seleccione)
CLI
1. Interfaces
set interface ethernet2 zone dmz
set interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address dmz “Mail Server” 1.2.2.5/32
set address untrust phil 10.10.10.1/32
3. Servicios
set service ident protocol tcp src-port 1-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
4. VPN
Clave previamente compartida
set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn corp_phil gateway to_phil sec-level compatible
set vpn corp_phil bind interface tunnel.1
set vpn corp_phil proxy-id local-ip 1.2.2.5/32 remote-ip 10.10.10.1/32 any
(o bien)
Certificados
set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface
ethernet3 proposal rsa-g2-3des-sha
set ike gateway to_phil cert peer-ca 1
set ike gateway to_phil cert peer-cert-type x509-sig
set vpn corp_phil gateway to_phil sec-level compatible
set vpn corp_phil bind interface tunnel.1
set vpn corp_phil proxy-id local-ip 1.2.2.5/32 remote-ip 10.10.10.1/32 any
5. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.10.10.1/32 interface tunnel.1
set vrouter trust-vr route 10.10.10.1/32 interface null metric 10
6. Directivas
set policy top from dmz to untrust “Mail Server” phil remote_mail permit
set policy top from untrust to dmz phil “Mail Server” remote_mail permit
save
NetScreen-Remote
1. Haga clic en Options > Global Policy Settings y seleccione la casilla de
verificación Allow to Specify Internal Network Address.
3. Haga clic en el botón Add a new connection y escriba Mail junto al icono de la
nueva conexión que aparecerá en pantalla.
5. Haga clic en el signo MÁS situado a la izquierda del icono de UNIX para ampliar
la directiva de la conexión.
Haga clic en Pre-shared Key > Enter Key: Escriba h1p8A24nG5, después haga
clic en OK.
(o bien)
8. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y
después en el símbolo MÁS situado a la izquierda de Authentication (Phase 1) y
de Key Exchange (Phase 2) para ampliar aún más la directiva.
(o bien)
10. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
NOTA: El servidor de correo puede enviar la petición IDENT a través del túnel sólo si el
administrador de seguridad agrega un servicio personalizado para ello (TCP,
puerto 113) y establece una directiva de salida que permita el tráfico a través del
túnel hacia 10.10.10.1.
CRL” en la página 24.) Para los niveles de seguridad de la fase 1 y fase 2, se debe
especificar la propuesta de fase 1 (ya sea pre-g2-3des-sha para el método de clave
previamente compartida o rsa-g2-3des-sha para certificados) y seleccionar el
conjunto de propuestas predefinido “Compatible” para la fase 2.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Services > Group > New: Introduzca los siguientes datos, mueva
los siguientes servicios y haga clic en OK:
4. VPN
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
(o bien)
Certificados
Outgoing Interface: ethernet3
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Phil
Destination Address:
Address Book Entry: (seleccione), Mail Server
Service: Remote_Mail
Action: Tunnel
VPN Tunnel: corp_Phil
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
CLI
1. Interfaces
set interface ethernet2 zone dmz
set interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address dmz “mail server” 1.2.2.5/32
set address untrust phil 10.10.10.1/32
3. Servicios
set service ident protocol tcp src-port 1-65535 dst-port 113-113
set group service remote_mail
set group service remote_mail add ident
set group service remote_mail add mail
set group service remote_mail add pop3
4. VPN
Clave previamente compartida
set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn corp_phil gateway to_phil sec-level compatible
(o bien)
Certificados
set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface
ethernet3 proposal rsa-g2-3des-sha
set ike gateway to_phil cert peer-ca 1
set ike gateway to_phil cert peer-cert-type x509-sig
set vpn corp_phil gateway to_phil sec-level compatible
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
6. Directivas
set policy top from untrust to dmz phil “mail server” remote_mail tunnel vpn
corp_phil
set policy top from dmz to untrust “mail server” phil remote_mail tunnel vpn
corp_phil
save
NetScreen-Remote
1. Haga clic en Options > Global Policy Settings y seleccione Allow to Specify
Internal Network Address.
3. Haga clic en Add a new connection y escriba Mail junto al icono de nueva
conexión que aparecerá en pantalla.
5. Haga clic en el signo MÁS situado a la izquierda del icono de UNIX para ampliar
la directiva de la conexión.
Haga clic en Pre-shared Key > Enter Key: Escriba h1p8A24nG5, después haga
clic en OK.
(o bien)
8. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y
después en el símbolo MÁS situado a la izquierda de Authentication (Phase 1) y
de Key Exchange (Phase 2) para ampliar aún más la directiva.
(o bien)
10. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
El usuario IKE inicia una conexión VPN al dispositivo de seguridad desde la zona
Untrust para acceder a los servidores corporativos de la zona Trust. Una vez el
usuario IKE establece la conexión VPN, el tráfico se puede iniciar desde cualquiera
de los dos extremos del túnel.
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en
OK:
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
4. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), trust_net
Service: ANY
Action: Tunnel
VPN Tunnel: VPN_dial
Modify matching bidirectional VPN policy: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Objetos
set address trust trust_net 10.1.1.0/24
set user dialup-j ike-id u-fqdn jf@ns.com
3. VPN
set ike gateway dialup1 dialup dialup-j aggressive outgoing-interface ethernet3
preshare Jf11d7uU proposal pre-g2-3des-sha
set vpn VPN_dial gateway dialup1 sec-level compatible
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
5. Directivas
set policy from untrust to trust “Dial-Up VPN” trust_net any tunnel vpn VPN_dial
set policy from trust to untrust trust_net “Dial-Up VPN” any tunnel vpn VPN_dial
save
2. Haga clic en Add a new connection y escriba Corp junto al icono de nueva
conexión que aparecerá en pantalla.
ID Type: IP Subnet
Subnet: 10.1.1.0
Mask: 255.255.255.0
Protocol: All
Connect using Secure Gateway Tunnel: (seleccione)
ID Type: IP Address, 1.1.1.1
4. Haga clic en el signo MÁS, que se ubica a la izquierda del icono de UNIX para
ampliar la directiva de la conexión.
Haga clic en Pre-shared Key > Enter Key: Escriba Jf11d7uU y después
haga clic en OK.
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y
después en el símbolo MÁS situado a la izquierda de Authentication (Phase 1) y
de Key Exchange (Phase 2) para ampliar aún más la directiva.
(o bien)
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Para evitar este problema, el método de identificación IKE de grupo permite que
una sola definición esté disponible para múltiples usuarios. La definición de usuario
para una identificación IKE de grupo se aplica a todos los usuarios que tengan
certificados con valores específicos en el nombre completo (DN) o a todos los
usuarios cuya identificación IKE completa y clave previamente compartida en su
cliente VPN coincida con una identificación IKE parcial y una clave previamente
compartida del dispositivo de seguridad.
Certificado
DN:
cn=bob Para autenticar el usuario, el dispositivo
ou=eng compara un elemento específico del
---------- distinguished name (dn) asociado al grupo de
---------- usuarios de acceso telefónico con el elemento
correspondiente del certificado y del dn
Certificado utilizados en la carga de datos de la
DN: identificación IKE que acompaña al paquete
cn=carol inicial de la fase 1.
ou=sales
----------
---------- Nota: Como el DN en el certificado de Carol
no incluye ou=eng, el dispositivo rechaza la
petición de conexión.
Puede configurar una identificación IKE de grupo con certificados tal y como se
indica a continuación:
En el dispositivo de seguridad:
1. Cree un nuevo usuario de identificación IKE de grupo con una identidad IKE
parcial (como ou=sales,o=netscreen) y especifique cuántos usuarios de acceso
telefónico podrán utilizar el perfil de la identificación IKE de grupo para
conectarse.
NOTA: Sólo puede asignar un usuario de ID IKE de grupo a un grupo de usuarios IKE.
En el cliente VPN:
1. Obtenga y cargue un certificado cuyo nombre completo contenga la misma
información definida en la identificación IKE parcial del dispositivo de
seguridad.
2. Configure un túnel VPN al dispositivo de seguridad utilizando el modo dinámico
para las negociaciones de la fase 1, especifique el certificado cargado
anteriormente y seleccione Distinguished Name para el tipo de identificación
IKE local.
A continuación, cada usuario IKE de acceso telefónico que disponga de un
certificado con elementos de nombre completo que coincidan con la identificación
IKE parcial definida en el perfil de usuario de la ID IKE de grupo podrán establecer
correctamente un túnel al dispositivo de seguridad. Por ejemplo, si el usuario de ID
IKE de grupo tiene la ID IKE OU=sales,O=netscreen, el dispositivo de seguridad
aceptará las negociaciones de fase 1 de cualquier usuario que tenga un certificado
con esos elementos en su nombre completo. El número máximo de usuarios IKE de
acceso telefónico que se podrán conectar al dispositivo de seguridad dependerá del
número máximo de sesiones simultáneas que especifique en el perfil de usuario de
identificación IKE de grupo.
ASN1-DN: C=us,ST=ca,L=sunnyvale,O=juniper,OU=sales,CN=jozef
C=us Leyenda:
General
C = País
ST=ca
ST = Estado
L=sunnyvale L = Localidad
O = Organización
O=juniper OU = Unidad organizativa
CN = Nombre común
OU=sales
CN=jozef
Específico
una ID IKE de tipo Wildcard del ASN1-DN hace que coincidan las dos ID IKE,
aunque el orden de los valores en las dos ID difiere.
O=juniper L=
L= O=juniper
ST=ca OU=
C=us CN=
Figura 49: Éxito y fallo de la autenticación utilizando las ID de tipo Container del ASN1-DN
E= E=
El primer ASN1-DN de
usuario IKE de acceso
C=us C=us
telefónico contiene valores
exactamente iguales a los ST=ca Autenticación ST=
de ASN1-DN ASN1-DN. El satisfactoria
orden de las entradas L= sf L=
múltiples en el campo de
identificación OU también O=juniper O=juniper
es idéntico.
OU=mkt,OU=dom,OU=west OU=mkt,OU=dom,OU=west
CN=rick CN=
ID IKE del ASN1-DN del usuario IKE ID IKE Container del ASN1-DN
de acceso telefónico del usuario IKE de grupo
E= E=
El segundo ASN1-DN de
C=us C=us
usuario IKE de acceso
telefónico contiene valores Fallo de
ST=ca ST=
exactamente iguales a los de autenticación
ASN1-DN ASN1-DN. Sin L= la L=
embargo,,el orden de las
entradas múltiples en el O=juniper O=juniper
campo de identificación OU
OU=mkt,OU=west,OU=dom OU=mkt,OU=dom,OU=west
no es igual.
CN=tony CN=
Los usuarios IKE de acceso telefónico envían un nombre completo como su ID IKE.
El nombre completo (DN) en un certificado para un usuario IKE de acceso
telefónico en este grupo puede aparecer como la siguiente cadena:
C=us,ST=ca,L=sunnyvale,O=netscreen,OU=marketing,CN=carrie
nowocin,CN=a2010002,CN=ns500,
CN=4085557800,CN=rsa-key,CN=10.10.5.44
Como los valores O=netscreen y OU=marketing aparecen en el certificado del
interlocutor y el usuario utiliza el nombre completo como su tipo de identificación
IKE, el dispositivo de seguridad autenticará el usuario.
Para los niveles de seguridad de las fase 1 y fase 2, debe especificar la propuesta de
fase 1 (rsa-g2-3des-sha para certificados) y seleccionar el conjunto de propuestas
predefinido “Compatible” para la fase 2.
Ahora debe configurar una VPN de acceso telefónico y una directiva que permita el
tráfico HTTP a través del túnel VPN para acceder al servidor web Web1. También se
incluirá la configuración del cliente VPN remoto (utilizando NetScreen-Remote).
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
2. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: web1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
3. Usuarios
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en
OK:
User Name: User1
Status Enable: (seleccione)
IKE User: (seleccione)
Number of Multiple Logins with same ID: 10
Use Distinguished Name For ID: (seleccione)
OU: marketing
Organization: juniper
Objects > User Groups > Local > New: Escriba office_1 en el campo Group
Name, realice la acción que se indica a continuación y después haga clic en OK:
Seleccione User1 y utilice el botón << para mover esta definición de la
columna Available Members a la columna Group Members.
4. VPN
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: Corp_GW
Security Level: Custom
Remote Gateway Type: Dialup User Group: (seleccione), Group: office_1
Outgoing Interface: ethernet3
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: Corp_VPN
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), Corp_GW
5. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), web1
Service: HTTP
Action: Tunnel
Tunnel VPN: Corp_VPN
Modify matching bidirectional VPN policy: (anule la selección)
Position at Top: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address trust web1 10.1.1.5/32
3. Usuarios
set user User1 ike-id asn1-dn wildcard o=juniper,ou=marketing share-limit 10
set user-group office_1 user User1
4. VPN
set ike gateway Corp_GW dialup office_1 aggressive outgoing-interface ethernet3
proposal rsa-g2-3des-sha
set ike gateway Corp_GW cert peer-ca 1
set ike gateway Corp_GW cert peer-cert-type x509-sig
set vpn Corp_VPN gateway Corp_GW sec-level compatible
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
6. Directiva
set policy top from untrust to trust “Dial-Up VPN” web1 http tunnel vpn Corp_VPN
save
2. Haga clic en Add a new connection y escriba web1 junto al icono de nueva
conexión que aparecerá en pantalla.
4. Haga clic en el signo MÁS situado a la izquierda del icono de web1 para ampliar
la directiva de la conexión.
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y
después en el símbolo MÁS situado a la izquierda de Authentication (Phase 1) y
de Key Exchange (Phase 2) para ampliar aún más la directiva.
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
El tipo de ID IKE que utilice para la ID IKE de grupo con función de clave
previamente compartida puede ser una dirección de correo electrónico o un
nombre de dominio completo (FQDN).
En el dispositivo de seguridad:
1. Cree un nuevo usuario de identificación IKE de grupo con una identidad IKE
parcial (como juniper.net) y especifique la cantidad de usuarios de acceso
telefónico que podrán utilizar el perfil de la identificación IKE de grupo para
conectarse.
En el cliente VPN:
Configure un túnel VPN al dispositivo de seguridad utilizando el modo dinámico
en las negociaciones de la fase 1 e introduzca la clave previamente compartida
que generó anteriormente en el dispositivo de seguridad.
Tanto para las negociaciones de fase 1 como de fase 2, deberá seleccionar el nivel
de seguridad predefinido como “Compatible”. Todas las zonas de seguridad se
encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > User Groups > Local > New: Escriba office_2 en el campo Group
Name, realice la acción que se indica a continuación y después haga clic en OK:
NOTA: La WebUI sólo permite introducir un valor para la clave previamente compartida,
pero no un valor inicial a partir del cual el dispositivo de seguridad derive una
clave previamente compartida. Para introducir un valor inicial para clave
previamente compartida al configurar una puerta de enlace IKE, debe utilizar la
interfaz CLI.
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), web1
Service: HTTP
Action: Tunnel
Tunnel VPN: Corp_VPN
Modify matching bidirectional VPN policy: (anule la selección)
Position at Top: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address trust web1 10.1.1.5/32
3. Usuarios
set user User2 ike-id u-fqdn juniper.net share-limit 10
set user-group office_2 user User2
4. VPN
set ike gateway Corp_GW dialup office_2 aggressive seed-preshare jk930k
sec-level compatible
set vpn Corp_VPN gateway Corp_GW sec-level compatible
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
6. Directiva
set policy top from untrust to trust “Dial-Up VPN” web1 http tunnel vpn Corp_VPN
save
2. Haga clic en Add a new connection y escriba web1 junto al icono de nueva
conexión que aparecerá en pantalla.
4. Haga clic en el signo MÁS situado a la izquierda del icono de web1 para ampliar
la directiva de la conexión.
6. Haga clic en My Identity: Haga clic en Pre-shared Key > Enter Key: Escriba
11ccce1d396f8f29ffa93d11257f691af96916f2, después haga clic en OK.
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y
después en el símbolo MÁS situado a la izquierda de Authentication (Phase 1) y
de Key Exchange (Phase 2) para ampliar aún más la directiva.
9. Haga clic en Authentication (Phase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
10. Haga clic en Authentication (Phase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
11. Haga clic en Authentication (Phase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
14. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
15. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Con la función de ID IKE de grupo, la ID IKE puede ser una dirección de correo
electrónico o un nombre de dominio completo (FQDN). Para esta función, la ID
IKE debe ser una dirección de correo electrónico.
4. Defina los usuarios XAuth y habilite XAuth en la puerta de enlace IKE remota.
En el cliente VPN:
Tanto para las negociaciones de fase 1 como de fase 2, deberá seleccionar el nivel
de seguridad predefinido como “Compatible”. Todas las zonas de seguridad se
encuentran en el dominio de enrutamiento trust-vr.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
2. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > User Groups > Local > New: Escriba R_S en el campo Group Name,
realice la acción que se indica a continuación y después haga clic en OK:
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en
OK:
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en
OK:
> Advanced: Introduzca los siguientes datos, después haga clic en Return
para regresar a la página de configuración básica de Gateway:
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), web1
Service: HTTP
Action: Tunnel
Tunnel VPN: Sales_VPN
Modify matching bidirectional VPN policy: (anule la selección)
Position at Top: (seleccione)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address trust web1 10.1.1.5/32
3. Usuarios
set user Remote_Sales ike-id sales@ns.com share-limit 250
set user-group R_S user Remote_Sales
set user Joe password 1234
set user Joe type xauth
set user Mike password 5678
set user Mike type xauth
4. VPN
set ike gateway sales_gateway dialup R_S aggressive outgoing-interface ethernet3
preshare abcd1234 sec-level compatible
set ike gateway sales_gateway xauth
set vpn sales_vpn gateway sales_gateway sec-level compatible
set vpn sales_vpn bind zone untrust-tun
5. Ruta
set route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
6. Directiva
set policy top from untrust to trust “Dial-Up VPN” web1 http tunnel vpn sales_vpn
save
2. Haga clic en Add a new connection y escriba web1 junto al icono de nueva
conexión que aparecerá en pantalla.
4. Haga clic en el signo MÁS situado a la izquierda del icono de web1 para ampliar
la directiva de la conexión.
6. Haga clic en My Identity: Haga clic en Pre-shared Key > Enter Key: Escriba
abcd1234, después haga clic en OK.
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y
después en el símbolo MÁS situado a la izquierda de Authentication (Phase 1) y
de Key Exchange (Phase 2) para ampliar aún más la directiva.
9. Haga clic en Authentication (Phase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
10. Haga clic en Authentication (Phase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
11. Haga clic en Authentication (Phase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
14. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
15. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Introducción al L2TP
El protocolo L2TP (protocolo de encapsulamiento de la capa 2 o Layer 2 Tunneling
Protocol) proporciona a un usuario de acceso telefónico una forma de realizar una
conexión con un protocolo punto a punto virtual (PPP) a un servidor de red L2TP
(LNS), que puede ser un dispositivo de seguridad. El protocolo L2TP envía tramas
PPP por un túnel entre un concentrador de acceso L2TP (LAC) y el LNS.
En origen, L2TP se diseñó para que un LAC residente en un sitio ISP se conectase
por túnel a un LNS en el sitio de otro ISP o empresa. El túnel L2TP no llega hasta al
equipo del usuario de acceso telefónico, sino únicamente hasta el LAC en el ISP
local del usuario de acceso telefónico. (A veces, a esto se le llama configuración
L2TP obligatoria.)
Figura 54: Túnel L2TP entre ISP (LAC) y el dispositivo de seguridad (LNS)
Usuario de Conexión de
acceso acceso telefónico
telefónico Internet Dispositivo de seguridad
ISP
LAN
corporativa
Figura 55: Túnel L2TP entre el cliente VPN (LAC) y el dispositivo de seguridad (LNS)
NetScreen-Remote o
Windows 2000 (LAC) Dispositivo de
Internet seguridad (LNS)
ISP
LAN
corporativa
Túnel L2TP
(reenvío de sesiones PPP
del LAC al LNS)
De hecho, el cliente recibe dos direcciones IP, una para su conexión física al ISP, y
otra lógica procedente del LNS. Cuando el cliente se conecta a su ISP, por ejemplo
utilizando el protocolo PPP, el ISP realiza las asignaciones de IP y DNS, y autentica
al cliente. Esto permite a los usuarios conectarse a Internet con una dirección IP
pública, que se convierte en la dirección IP externa del túnel L2TP.
Después, cuando el túnel L2TP reenvía las tramas PPP encapsuladas al dispositivo
de seguridad, éste asigna al cliente una dirección IP y los ajustes de DNS y WINS. La
dirección IP puede ser del conjunto de direcciones privadas no utilizables en
Internet. Ésta se convierte en la dirección IP interna del túnel L2TP.
Dispositivo de
Internet seguridad (LNS)
LAN corporativa
10.1.1.0/24
NOTA: Las direcciones IP asignadas al cliente L2TP deben estar en una subred diferente
de la de las direcciones IP en la LAN corporativa.
NOTA: De forma predeterminada, Windows 2000 realiza L2TP sobre IPSec. Para forzarlo
a utilizar sólo L2TP, debe dirigirse a la clave ProhibitIPSec en el registro y cambiar
0 (L2TP sobre IPSec) por 1 (sólo L2TP). (Antes de hacerlo, Juniper Networks
recomienda hacer una copia de seguridad del registro). Haga clic en Inicio >
Ejecutar: Escriba regedit. Haga doble clic en HKEY_LOCAL_MACHINE > System
> CurrentControlSet > Services > RasMan > Parameters. Haga doble clic en
ProhibitIPSec: Escriba 1 en el campo Value data, seleccione Hexadecimal como
base de numeración y después haga clic en OK. Reinicie. (Si no encuentra esta
entrada en el registro, consulte la documentación de Microsoft Windows para
obtener información sobre como crear una).
Directiva de acceso telefónico saliente para túneles L2TP y L2TP sobre IPSec
(una directiva de acceso telefónico saliente se puede emparejar con una
entrante para proporcionar un túnel bidireccional).
NOTA: La base de datos local y los servidores RADIUS son ambos compatibles con PAP y
CHAP SecurID y los servidores LDAP sólo son compatibles con PAP.
Túneles L2TP y L2TP sobre IPSec para el sistema raíz y los sistemas virtuales
NOTA: Para utilizar el L2TP, el dispositivo de seguridad debe operar en la capa 3, con
interfaces de la zona de seguridad en modo NAT o de ruta. Cuando el dispositivo
de seguridad opera en la capa 2, con interfaces de la zona de seguridad en modo
transparente, no aparece información relacionada con el L2TP en el WebUI y los
comandos CLI relativos al L2TP provocan mensajes de error.
Encapsular
Cuando un usuario de acceso telefónico dentro de una red IP envía datos por un
túnel L2TP, el LAC encapsula el paquete IP dentro de una serie de tramas de la
capa 2, paquetes de la capa 3 y segmentos de la capa 4. Suponiendo que el usuario
de acceso telefónico se conecte al ISP local por un enlace PPP, el encapsulado será
como se muestra en la Figura 58 en la página 209.
DATOS
IP CARGA DE DATOS
IP CARGA DE DATOS
Desencapsular
Cuando el LAC inicia el enlace PPP hacia el ISP, el desencapsulado y reenvío del
contenido anidado será como se indica en la Figura 59 en la página 210.
IP CARGA DE DATOS
LNS
PPP CARGA DE DATOS
IP CARGA DE DATOS
DATOS
1. El ISP finaliza el enlace PPP y asigna una dirección IP al equipo del usuario.
5. El LNS procesa la trama L2TP, utilizando los datos tunnel ID y call ID del
encabezado L2TP para identificar el túnel L2TP concreto. Después, el LNS quita
el encabezado L2TP.
6. El LNS procesa la trama PPP, y asigna una dirección lógica IP al equipo del
usuario.
NOTA: El servidor RADIUS o SecurID que se utiliza para autenticar a los usuarios L2TP
puede ser el mismo servidor utilizado para los usuarios de red, u otro diferente.
RADIUS
10.1.1.245
Zona Trust Zona Untrust DNS 1
1.1.1.2
WebUI
1. Conjunto de direcciones IP
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK:
CLI
1. Conjunto de direcciones IP
set ippool sutro 10.1.3.40 10.1.3.100
2. Ajustes predeterminados de L2TP
set l2tp default ippool sutro
set l2tp default ppp-auth chap
set l2tp default dns1 1.1.1.2
set l2tp default dns2 1.1.1.3
save
Configurar L2TP
En este ejemplo, como se muestra en la Figura 61 en la página 214, se crea un
grupo de usuarios de acceso telefónico llamado “fs” (de “field-sales”) y se configura
un túnel L2TP llamado “sales_corp”, utilizando ethernet3 (Untrust zone) como
interfaz de salida de túnel L2TP. El dispositivo de seguridad aplica los siguientes
ajustes del túnel L2TP predeterminados al grupo de usuarios de acceso telefónico.
NOTA: Una configuración con sólo L2TP no es segura. Se recomienda sólo para
depuración.
Zona Trust
Betty
Internet
Carol
Túnel L2TP:
sales_corp Interfaz de salida ethernet1,
ethernet3, 1.1.1.1/24 10.1.1.1/24
Clientes NetScreen-
Remote
Los clientes remotos L2TP utilizan el sistema operativo Windows 2000. Para
obtener información sobre la configuración del L2TP en los clientes remotos,
consulte la documentación de Windows 2000. A continuación se proporciona sólo
la configuración del dispositivo de seguridad al final del túnel L2TP.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
2. Usuarios L2TP
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en
OK:
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en
OK:
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en
OK:
VPNs > L2TP > Default Settings: Introduzca los siguientes datos y haga clic en
OK:
5. Túnel L2TP
VPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic en
OK:
Name: sales_corp
Use Custom Settings: (seleccione)
Authentication Server: Local
Dialup Group: Local Dialup Group - fs
Outgoing Interface: ethernet3
Peer IP: 0.0.0.0
Host Name (optional): Introduzca el nombre del equipo que actúa como LAC.
Secret (optional): Introduzca un secreto compartido entre el LAC y el LNS.
Keep Alive: 60
Peer IP: Debido a que el ISP del interlocutor le asigna dinámicamente una dirección
IP, ingresaría en el ejemplo anterior 0.0.0.0.
LAC: Para encontrar el nombre del equipo que ejecuta Windows 2000, haga lo
siguiente: Haga clic en Inicio > Configuración > Panel de Control > Sistema.
Aparece el cuadro de diálogo de propiedades del sistema. Haga clic en la ficha de
Identificación de red, y consulte la entrada Nombre completo del equipo.
Para añadir un secreto al LAC para autenticar el túnel L2TP, se debe modificar el
registro de Windows 2000 de la siguiente forma:
1. Haga clic en Inicio > Ejecutar y luego escriba regedit. Se abre el editor del
registro.
6. Escriba Contraseña.
6. Ruta
Network > Routing > Routing Entries > New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), Any
NAT: Off
Service: ANY
Action: Tunnel
Tunnel L2TP: sales_corp
Position at Top: (seleccione)
CLI
1. Usuarios de acceso telefónico
set user adam type l2tp
set user adam password AJbioJ15
unset user adam type auth
set user betty type l2tp
set user betty password BviPsoJ1
unset user betty type auth
set user carol type l2tp
set user carol password Cs10kdD3
unset user carol type auth
5. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
6. Directiva
set policy top from untrust to trust “Dial-Up VPN” any any tunnel l2tp sales_corp
save
NOTA: Para configurar un túnel L2TP sobre IPSec para Windows 2000 (sin
NetScreen-Remote), las negociaciones de la fase 1 deben ser en modo principal y
el tipo de identificación IKE debe ser ASN1-DN.
IKE-L2TP
Grupo de usuarios de acceso telefónico: fs
Zona de
acceso Conjunto de direcciones
Adam telefónico DNS1: 1.1.1.2 IP: global 10.10.2.100 – Red
10.10.2.180 corporativa
DNS2: 1.1.1.3
Zona Trust
Betty
Internet
Carol
Túnel L2TP: sales_corp
Túnel VPN: from_sales Interfaz de salida ethernet1,
ethernet2, 1.1.1.1/24 10.1.1.1/24
Clientes NetScreen-
Remote
WebUI
1. Zona definida por el usuario
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
2. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
NOTA: La ID IKE debe ser la misma que la que envía el cliente NetScreen-Remote, que es
la dirección de correo electrónico que aparece en el certificado que el cliente
utiliza para la autenticación.
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en
OK:
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en
OK:
5. Conjunto de direcciones IP
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK:
Name: sales_corp
Dialup Group: (seleccione) Local Dialup Group - fs
Authentication Server: Local
Outgoing Interface: ethernet2
Peer IP: 0.0.0.0
Keep Alive: 60
LAC: Para encontrar el nombre del equipo que ejecuta Windows 2000, haga lo
siguiente: Haga clic en Inicio > Configuración > Panel de Control > Sistema.
Aparece el cuadro de diálogo de propiedades del sistema. Haga clic en la ficha de
Identificación de red, y consulte la entrada Nombre completo del equipo.
Secret: Para añadir un secreto al LAC para autenticar el túnel L2TP, se debe
modificar el registro de Windows 2000 de la siguiente forma:
1. Haga clic en Inicio > Ejecutar y luego escriba regedit. Se abre el editor del
registro.
6. Escriba Contraseña.
NOTA: El nombre del host y los ajustes del secreto puede que sean desconocidos. Se
recomienda que sólo los usuarios avanzados utilicen estos ajustes.
8. Túnel VPN
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
NOTA: Windows 2000 (sin NetScreen-Remote) sólo admite negociaciones en modo principal.
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Name: from_sales
Security Level: Compatible
Remote Gateway: Predefined: field
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Tunnel
Tunnel VPN: from_sales
Modify matching bidirectional VPN policy: (anule la selección)
L2TP: sales_corp
Position at Top: (seleccione)
CLI
1. Zona definida por el usuario
set zone name dialup
set zone dialup vrouter trust-vr
set zone dialup block
2. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone dialup
set interface ethernet2 ip 1.3.3.1/24
3. Usuarios L2TP/IKE
set user adam type ike l2tp
set user adam password AJbioJ15
unset user adam type auth
set user adam ike-id u-fqdn ajackson@abc.com
set user betty type ike l2tp
set user betty password BviPsoJ1
unset user betty type auth
set user betty ike-id u-fqdn bdavis@abc.com
set user carol type ike l2tp
set user carol password Cs10kdD3
unset user carol type auth
set user carol ike-id u-fqdn cburnet@abc.com
4. Grupo de usuarios IKE/L2TP
set user-group fs location Local
set user-group fs user adam
set user-group fs user betty
set user-group fs user carol
5. Conjunto de direcciones IP
set ippool global 10.10.2.100 10.10.2.180
6. Ajustes predeterminados de L2TP
set l2tp default ippool global
set l2tp default ppp-auth chap
set l2tp default dns1 1.1.1.2
set l2tp default dns2 1.1.1.3
7. Túnel L2TP
set l2tp sales_corp outgoing-interface ethernet2
set l2tp sales_corp auth server Local user-group fs
8. Túnel VPN
set ike gateway field dialup fs aggressive outgoing-interface ethernet2 proposal
rsa-g2-3des-sha
set ike gateway field cert peer-ca1
set ike gateway field cert peer-cert-type x509-sig
set vpn from_sales gateway field transport sec-level compatible
9. Directiva
set policy top from dialup to trust “Dial-Up VPN” any any tunnel vpn from_sales
l2tp sales_corp
save
4. Haga clic en el signo MÁS situado a la izquierda del icono de AJ para ampliar la
directiva de la conexión.
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y, a
continuación, en el símbolo MÁS situado a la izquierda de Authentication
(Phase 1) y de Key Exchange (Phase 2) para ampliar más aún la directiva.
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
ethernet3 ethernet3
1.1.1.1/24 10.1.1.1/24
Zona de acceso telefónico
Zona Trust
Internet
LAN
NOTA: Para configurar un túnel L2TP sobre IPSec para Windows 2000 (sin
NetScreen-Remote), las negociaciones de la fase 1 deben ser en modo principal y
el tipo de identificación IKE debe ser ASN1-DN.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
3. Usuario L2TP/IKE
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en
OK:
NOTA: La ID IKE debe ser la misma que la que envía el cliente NetScreen-Remote, que es
la dirección de correo electrónico que aparece en el certificado que el cliente
utiliza para la autenticación.
4. L2TP
VPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic en
OK:
Name: tun1
Use Default Settings: (seleccione)
Secret: netscreen
Keepalive (mantenimiento de conexión): 60
5. VPN
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
> Advanced: Introduzca los siguientes datos y haga clic en Return para
regresar a la página de configuración básica de la Gateway AutoKey IKE:
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
> Advanced: Introduzca los siguientes datos y haga clic en Return para
regresar a la página de configuración básica de AutoKey IKE:
6. Ruta
Network > Routing > Routing Entries > New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), trust_net
Service: ANY
Action: Tunnel
Tunnel VPN: VPN_dial
Modify matching bidirectional VPN policy: (seleccione)
L2TP: (seleccione) tun1
Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), trust_net
Destination Address:
Address Book Entry: (seleccione), Dial-Up VPN
Service: ANY
Action: Tunnel
Tunnel VPN: VPN_dial
Modify matching bidirectional VPN policy: (seleccione)
L2TP: tun1
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address trust trust_net 10.1.1.0/24
3. Usuario L2TP/IKE
set user dialup-j ike-id u-fqdn jf@ns.com
set user dialup-j type auth ike l2tp
set user dialup-j password abc123
4. L2TP
set l2tp tun1 outgoing-interface ethernet3 secret "netscreen" keepalive 60
5. VPN
set ike gateway dialup1 dialup "dialup-j" aggressive outgoing-interface ethernet3
preshare n3TsCr33N sec-level standard
set ike gateway dialup1 nat-traversal udp-checksum
set ike gateway dialup1 nat-traversal keepalive-frequency 5
set vpn VPN_dial gateway dialup1 no-replay transport idletime 0 sec-level standard
6. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
7. Directivas
set policy from untrust to trust “Dial-Up VPN” “trust_net” any tunnel vpn VPN_dial
tun1
set policy from trust to untrust trust_net “Dial-Up VPN” any tunnel vpn VPN_dial
l2tp tun1
save
2. Haga clic en Add a new connection y escriba dialup-j junto al icono de nueva
conexión que aparecerá en pantalla.
4. Haga clic en el signo MÁS situado a la izquierda del icono de dialup-j para
ampliar la directiva de la conexión.
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y, a
continuación, en el símbolo MÁS situado a la izquierda de Authentication
(Phase 1) y de Key Exchange (Phase 2) para ampliar más aún la directiva.
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Este capítulo abarca los siguientes usos de la tecnología de redes privadas virtuales
(VPN):
231
Manual de referencia de ScreenOS: conceptos y ejemplos
NAT-Traversal
Las normas de Internet NAT (traducción de direcciones de red o Network Address
Translation) y NAPT (traducción de puertos de direcciones de red o Network
Address Port Translation) permiten que una red de área local (LAN) utilice un grupo
de direcciones IP para el tráfico interno y un segundo grupo de direcciones para el
tráfico externo. Los dispositivos NAT generan estas direcciones externas utilizando
conjuntos predeterminados de direcciones IP.
Los dispositivos NAT pueden crear otro problema si también están preparados para
IKE/IPSec e intentan procesar paquetes con el número de puerto IKE 500 o con los
números de protocolo 50 (para ESP) y 51 (para AH). Para evitar ese procesamiento
intermedio de paquetes IKE, la versión 2 de las especificaciones IETF previamente
mencionadas propone el desplazamiento (o “flotación”) de los números de puertos
232 NAT-Traversal
Capítulo 7: Funciones avanzadas de redes privadas virtuales
UDP 500 a 4500 para IKE. Para evitar el procesamiento intermedio de paquetes
IPSec, ambas especificaciones 0 y 2 insertan un encabezado UDP entre el
encabezado IP externo y el encabezado ESP o AH, cambiando así el valor 50 o 51
del campo “Protocol” (para ESP o AH, respectivamente) a 17 (para UDP). Además,
el encabezado UDP insertado también utiliza el puerto 4500. La versión actual de
ScreenOS es compatible con NAT-T de acuerdo con las especificaciones
draft-ietf-ipsec-nat-t-ike-02.txt y draft-ietf-ipsec-udp-encaps-02.txt, así como con la
versión 0 de estas especificaciones.
NOTA: NetScreen no admite NAT-T para los túneles de clave manual ni para el tráfico
IPSec usando AH. ScreenOS sólo admite NAT-T para túneles AutoKey IKE con ESP.
Sondeos de NAT
Para comprobar si ambos extremos del túnel VPN admiten NAT-T, ScreenOS envía
dos hashes MD-5 en la carga de datos de ID del fabricante en los dos primeros
intercambios de las negociaciones de fase 1, un hash para el título de la
especificación 0 y otro para el título de la especificación 2:
NAT-Traversal 233
Manual de referencia de ScreenOS: conceptos y ejemplos
NOTA: NAT-T admite múltiples hashes de origen NAT-D para dispositivos equipados con
múltiples interfaces e implementaciones que no especifiquen una interfaz de
salida.
Cuando cada interlocutor compara los hashes que recibe con los que envía, puede
reconocer si entre ellos se ha producido una traducción de direcciones. La
identificación de los paquetes modificados implica la de la ubicación del dispositivo
NAT:
234 NAT-Traversal
Capítulo 7: Funciones avanzadas de redes privadas virtuales
Empresa
Hotel
Dispositivo NAT
Dispositivo de seguridad
Internet
Túnel VPN
Cliente VPN de acceso telefónico
Si se encapsulan los paquetes IPSec dentro de paquetes UDP (cosa que harán tanto
el cliente VPN como el dispositivo de seguridad) se resuelve el problema de fallo en
la comprobación de autenticación. El dispositivo NAT los procesa como paquetes
UDP, cambiando el puerto de origen en el encabezado UDP sin modificar el SPI en
el encabezado AH o ESP. Los participantes VPN retiran la capa UDP y procesan los
paquetes IPSec, que no tendrán problemas en la comprobación de autenticación,
ya que los contenidos autenticados no habrán cambiado.
Puede presentarse otro problema si el dispositivo NAT está preparado para
IKE/IPSec. Un dispositivo NAT preparado para IKE/IPSec podría intentar procesar el
tráfico IKE/IPSec en lugar de reenviarlo. Para impedir tal procesamiento intermedio,
NAT-T (v2) cambia los números de puertos UDP de origen y de destino para IKE de
500 a 4500. NAT-T también inserta un marcador no-ESP en el encabezado UDP
justo antes de la carga de datos. Para el tráfico IPSec, NAT-T (v0 y v2) inserta un
encabezado UDP entre el encabezado IP externo y el encabezado ESP. El paquete
UDP también utiliza 4500 como número de ambos puertos, el de origen y el de
destino.
Según lo mencionado, NAT-T (v2) agrega un marcador no-ESP entre el encabezado y
la carga de datos del segmento del UDP que encapsula el paquete ISAKMP. El
marcador no ESP consta de 4 bytes de cero (0000) y se agrega al segmento UDP
para distinguir un paquete ISAKMP encapsulado de un paquete encapsulado ESP,
que no tiene tal marcador. Sin el marcador no ESP, el receptor no sabría si el
paquete encapsulado era un paquete ISAKMP o un paquete ESP, porque el
encabezado UDP utiliza 4500 para ambos tipos. Utilizando este marcador se indica
el tipo correcto de paquete encapsulado para que el receptor pueda
desmultiplexarlo correctamente.
Como se muestra en la Figura 65 en la página 236, después de detectar un
dispositivo NAT en la ruta de datos, los números de los puertos de origen y de
destino en el encabezado UDP de un paquete IKE cambian de 500 a 4500.
Asimismo, los puntos terminales del túnel VPN insertan un marcador no ESP entre
el encabezado UDP y la carga de datos para distinguir el paquete ISAKMP
encapsulado de un paquete ESP. El receptor puede utilizar este marcador para
NAT-Traversal 235
Manual de referencia de ScreenOS: conceptos y ejemplos
Segmento UDP
Puerto de origen (500 para IKE) Puerto de destino (500 para IKE)
Carga de datos
Puerto de origen (4500 para IKE) Puerto de destino (4500 para IKE)
Carga de datos
236 NAT-Traversal
Capítulo 7: Funciones avanzadas de redes privadas virtuales
Encabezado UDP
Puerto de origen (4500 para IKE) Puerto de destino (4500 para IKE)
Longitud Suma de comprobación
Carga de datos
WebUI
VPNs > AutoKey Advanced > Gateway > New:
Introduzca los parámetros necesarios para la nueva puerta de enlace del túnel,
según se describe en “Redes privadas virtuales de punto a punto” en la
página 81 o en “Redes privadas virtuales de acceso telefónico” en la
página 159; introduzca los siguientes datos y, finalmente, haga clic en OK:
CLI
set ike gateway name nat-traversal udp-checksum
unset ike gateway name nat-traversal udp-checksum
NAT-Traversal 237
Manual de referencia de ScreenOS: conceptos y ejemplos
NOTA: Los dispositivos NAT tienen distintos intervalos de tiempo de espera de sesión,
dependiendo del fabricante y el modelo. Es importante determinar qué intervalo
tiene el dispositivo NAT, para poder establecer un valor de frecuencia de
mantenimiento de conexión por debajo de dicho intervalo.
Simetría iniciador/respondedor
Cuando dos dispositivos de seguridad establecen un túnel en ausencia de un
dispositivo NAT, cada dispositivo puede funcionar como iniciador o respondedor.
Sin embargo, si uno de los hosts se encuentra tras un dispositivo NAT, esta simetría
iniciador/respondedor podría llegar a ser imposible. Esto sucede cuando el
dispositivo NAT genera direcciones IP dinámicamente.
Figura 67: Dispositivo de seguridad con una dirección IP asignada dinámicamente detrás de un dispositivo NAT
Dispositivo
NAT
Dispositivo A Internet Dispositivo B
Host A Host B
Túnel 10.1.1.5
1.2.1.1 1.1.1.250
238 NAT-Traversal
Capítulo 7: Funciones avanzadas de redes privadas virtuales
Cuando se configura IKE en modo principal para uno de los tipos de interlocutor
anteriormente mencionados en la misma interfaz de salida, el dispositivo de
seguridad comprueba automáticamente que todas las propuestas de fase 1 sean
iguales y tengan el mismo orden. Si las propuestas son distintas, el dispositivo de
seguridad generará un mensaje de error.
Habilitación de NAT-Traversal
En la Figura 68, un dispositivo NAT ubicado en el perímetro de la red local (LAN) de
un hotel asigna una dirección al cliente VPN de acceso telefónico utilizado por
Michael Smith, un comercial que está participando en una convención. Para que
Michael Smith pueda acceder a la LAN corporativa por medio de un túnel VPN de
acceso telefónico, se debe habilitar NAT-T para la puerta de enlace remota
“msmith”, configurada en el dispositivo de seguridad y para la puerta de enlace
remota, configurada en el cliente VPN de acceso telefónico. También deberá
habilitar el dispositivo de seguridad para que incluya una suma de comprobación
de UDP en sus transmisiones, y establecer una frecuencia de mantenimiento de
conexión de 8 segundos.
Hotel Empresa
Dispositivo NAT
Dispositivo de seguridad
Internet
Túnel VPN
Cliente VPN de acceso telefónico
WebUI
VPNs > AutoKey Advanced > Gateway > New: Introduzca los parámetros
necesarios para la nueva puerta de enlace del túnel, según se describe en el
Capítulo 4, “Redes privadas virtuales de punto a punto,” o en el Capítulo 5,
“Redes privadas virtuales de acceso telefónico,” introduzca los datos siguientes
y, a continuación, haga clic en OK:
NAT-Traversal 239
Manual de referencia de ScreenOS: conceptos y ejemplos
NOTA: Cuando se configura una VPN de acceso telefónico con CLI, el dispositivo de
seguridad activa automáticamente NAT-Traversal.
CLI
set ike gateway msmith nat-traversal
set ike gateway msmith nat-traversal udp-checksum
set ike gateway msmith nat-traversal keepalive-frequency 8
save
Supervisión de VPN
Cuando se habilita la supervisión de VPN para un túnel específico, el dispositivo de
seguridad envía peticiones de eco ICMP (o “pings”) a través del túnel en intervalos
determinados (configurados en segundos) para supervisar la conectividad de la red
a través del túnel.
NOTA: Para cambiar el intervalo de pings, puede utilizar el siguiente comando CLI: set
vpnmonitor interval number. El intervalo predeterminado es de 10 segundos.
NOTA: Para cambiar el límite de peticiones de eco ICMP consecutivas sin respuesta,
puede utilizar el siguiente comando CLI: set vpnmonitor threshold number. El
valor predeterminado es de 10 peticiones.
Para obtener más información sobre los datos SNMP que proporciona la
supervisión de VPN, consulte “Objetos y capturas SNMP para la supervisión de
VPN” en la página 252.
Usted aplica la supervisión de VPN por cada objeto VPN, no necesariamente por
cada túnel VPN. Un objeto VPN es el que se define con el comando set vpn, o con
sus equivalentes de WebUI. Una vez definido un objeto VPN, puede hacer referencia
a él en unas o más directivas (creando VPN basadas en directivas). Dado que
ScreenOS deriva un túnel de VPN basada en directivas a partir de un objeto VPN
más los demás parámetros de la directiva, un solo objeto VPN puede ser un
elemento de numerosos túneles VPN. Esta distinción entre objeto VPN y túnel VPN
es importante porque Juniper Networks recomienda aplicar la supervisión de VPN a
no más de 100 túneles IPSec VPN (si no habilita la optimización). Si habilita la
optimización, no habrá límite al número de túneles VPN a los que pueda aplicar la
supervisión de VPN. Para obtener información sobre la opción de optimización,
consulte “Opciones de reencriptación y optimización” en la página 241.
Asimismo, debe crear una directiva en el dispositivo receptor para permitir que las
peticiones de eco procedentes de la zona donde se encuentra la dirección de origen
pasen a través del túnel VPN a la zona que contiene la dirección de destino si:
WebUI
VPNs > AutoKey IKE > New: Configure la VPN, haga clic en Advanced,
introduzca los datos siguientes, haga clic en Return para regresar a la página de
configuración básica de VPN y, finalmente, haga clic en OK:
(o bien)
VPNs > Manual Key > New: Configure la VPN, haga clic en Advanced,
introduzca los datos siguientes, haga clic en Return para regresar a la página de
configuración básica de VPN y, finalmente, haga clic en OK:
CLI
set vpnmonitor frequency number
set vpnmonitor threshold number
set vpn name_str monitor [ source-interface interface [ destination-ip ip_addr ] ]
[optimized] [ rekey ]
save
La opción de reencriptación no está disponible para los túneles VPN con clave
manual.
En este ejemplo configuraremos un túnel VPN AutoKey IKE entre dos dispositivos
de seguridad (dispositivo A y dispositivo B). En el dispositivo A, configure la
supervisión de VPN desde su interfaz de zona Trust (ethernet1) a la interfaz de zona
Trust (10.2.1.1/24) del dispositivo B. En el dispositivo B, configure la supervisión de
VPN desde su interfaz de zona Trust (ethernet1) a un servidor de red local
corporativa (10.1.1.5) ubicado tras el dispositivo A.
Dispositivo A Dispositivo B
Zonas e interfaces
ethernet1 ethernet1
Zona: Trust Zona: Trust
Dirección IP: 10.1.1.1/24 Dirección IP: 10.2.1.1/24
Modo de interfaz: NAT Modo de interfaz: NAT
ethernet3 ethernet3
Zona: Untrust Zona: Untrust
Dirección IP: 1.1.1.1/24 Dirección IP: 2.2.2.2/24
1.El nivel de seguridad Compatible en la fase 1 incluye las siguientes propuestas: pre-g2-3des-sha,
pre-g2-3des-md5, pre-g2-des-sha y pre-g2-des-md5.
2.El nivel de seguridad Compatible en la fase 2 incluye las siguientes propuestas:
nopfs-esp-3des-sha, nopfs-esp-3des-md5, nopfs-esp-des-sha y nopfs-esp-des-md5.
Dispositivo A Dispositivo B
Rutas
A 0.0.0.0/0, utilizar ethernet3, puerta de A 0.0.0.0/0, utilizar ethernet3, puerta de enlace
enlace 1.1.1.250 2.2.2.250
A 10.2.1.0/24, utilizar tunnel.1, sin puerta de A 10.1.1.0/24, utilizar tunnel.1, sin puerta de
enlace enlace
(Ruta nula: para derivar el tráfico a 10.2.1.0/24 (Ruta nula: para derivar el tráfico a 10.1.1.0/24
si tunnel.1 se desactiva) A 10.2.1.0/24, utilizar si tunnel.1 se desactiva) A 10.1.1.0/24, utilizar
interfaz nula, métrica: 10 interfaz nula, métrica: 10
Como los dos dispositivos envían peticiones de eco ICMP desde una interfaz en su
zona Trust a una dirección de su zona Untrust, los administradores en ambos
extremos del túnel VPN deben definir directivas que permitan que las peticiones
pasen de una zona a otra.
NOTA: Como los dos terminadores VPN de este ejemplo son dispositivos de seguridad, es
posible utilizar las direcciones predeterminadas de origen y destino para la
supervisión de VPN. El uso de otras opciones se incluye únicamente para ilustrar
la configuración de un dispositivo de seguridad para que pueda utilizarlas.
WebUI (Dispositivo A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Tunnel IF New: Introduzca los siguientes datos y haga
clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Remote_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Remote_LAN
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: Any
Action: Permit
Position at Top: (seleccione)
WebUI (Dispositivo B)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Tunnel IF New: Introduzca los siguientes datos y haga
clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
3. VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
5. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Remote_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Remote_LAN
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: Any
Action: Permit
Position at Top: (seleccione)
CLI (Dispositivo A)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone trust
set interface tunnel.1 ip unnumbered interface ethernet1
2. Direcciones
set address trust Trust_LAN 10.1.1.0/24
set address untrust Remote_LAN 10.2.1.0/24
3. VPN
set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshare
Ti82g4aX sec-level compatible
set vpn vpn1 gateway gw1 sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.1.0/24 any
set vpn vpn1 monitor source-interface ethernet1 destination-ip 10.2.1.1
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.2.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.2.1.0/24 interface null metric 10
5. Directivas
set policy top from trust to untrust Trust_LAN Remote_LAN any permit
set policy top from untrust to trust Remote_LAN Trust_LAN any permit
save
CLI (Dispositivo B)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone trust
set interface tunnel.1 ip unnumbered interface ethernet1
2. Direcciones
set address trust Trust_LAN 10.2.1.0/24
set address untrust Remote_LAN 10.1.1.0/24
3. VPN
set ike gateway gw1 address 1.1.1.1 main outgoing-interface ethernet3 preshare
Ti82g4aX sec-level compatible
set vpn vpn1 gateway gw1 sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 10.2.1.0/24 remote-ip 10.1.1.0/24 any
set vpn vpn1 monitor source-interface ethernet1 destination-ip 10.1.1.5
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10
5. Directivas
set policy top from trust to untrust Trust_LAN Remote_LAN any permit
set policy top from untrust to trust Remote_LAN Trust_LAN any permit
save
NOTA: Para permitir que la aplicación de gestión SNMP reconozca las MIB de supervisión
de VPN, es necesario importar en la aplicación los archivos de extensión MIB
específicos de ScreenOS. Puede encontrar los archivos de extensión MIB en el CD
de documentación que recibió con su dispositivo de seguridad.
El dispositivo de seguridad puede ordenar el tráfico VPN enviado a través de una sola interfaz de
túnel a tantos túneles VPN como admita la tabla de rutas o la capacidad del túnel VPN (lo que sea
menor).
Figura 71: Tabla de rutas y tabla de asociación de túneles a saltos siguientes (NHTB)
10.1.1.1
10.1.0.0/24
vpn1
10.2.1.5 tunnel.1 10.1.1.5
vpn2 10.1.2.1
10.1.1.0/24
vpn3
10.2.0.0/16
LAN de zona Trust 10.1.3.1
10.1.2.0/24
Se puede utilizar un protocolo de enrutamiento dinámico como BGP para Durante las negociaciones de fase 2, los dos interlocutores IKE intercambian
rellenar la tabla de rutas automáticamente, o bien introducir direcciones de interfaz de túnel e introducen automáticamente estas
manualmente estas rutas. La dirección IP de la puerta de enlace es la asociaciones de túnel a salto siguiente. De forma opcional también se
dirección de la interfaz de túnel en la ubicación del interlocutor remoto. pueden introducir manualmente. La dirección IP del siguiente salto será la
dirección IP de interfaz de túnel del interlocutor remoto.
En las entradas anteriores, la dirección IP de la puerta de enlace en la tabla de rutas (que también es la dirección IP de salto siguiente en la
tabla NHTB) es la interfaz de túnel en la ubicación del interlocutor remoto. Esta dirección IP vincula la ruta (y, en consecuencia, la interfaz de
túnel especificada en la ruta) a un túnel VPN determinado para el tráfico destinado al prefijo IP especificado.
Puerta de enlace/salto
siguiente
Dest. en tabla (Interfaz de túnel del
local de rutas Interfaz de túnel local interlocutor) Túnel VPN
10.0.3.0/24 tunnel.1 10.0.2.1/24 vpn1
10.0.5.0/24 tunnel.1 10.0.4.1/24 vpn2
10.0.7.0/24 tunnel.1 10.0.6.1/24 vpn3
… … … …
10.0.251.0/24 tunnel.1 10.0.250.1/24 vpn125
Si desea ver un ejemplo que ilustra la asociación de múltiples túneles a una sola
interfaz de túnel con traducción de direcciones, consulte “Ajustar una VPN en una
interfaz de túnel para subredes superpuestas” en la página 259.
Figura 72: Múltiples túneles asociados a una única interfaz de túnel con traducción de dirección
Una vez hecho esto, podrá introducir una ruta estática en la tabla de rutas que
utiliza la dirección IP de interfaz de túnel como puerta de enlace. Puede introducir
la ruta por medio de la WebUI o con el siguiente comando CLI:
Los interlocutores remotos de todos los túneles VPN asociados a una sola
interfaz de túnel local deben ser dispositivos de seguridad con ScreenOS 5.0.0.
Cada interlocutor remoto debe asociar su túnel a una interfaz de túnel, y esa
interfaz debe tener una dirección IP única entre todas las direcciones de
interfaz de túnel de los interlocutores.
En ambos extremos del túnel VPN, habilite la supervisión de VPN con la opción
de reencriptación (Rekey), o habilite la opción de nueva conexión de latidos de
IKE (IKE Heartbeat Reconnect) para cada puerta de enlace remota.
Para OSPF (“Open Shortest Path First” = “abrir primero la ruta más corta”), debe
configurar la interfaz de túnel en el interlocutor local como interfaz “punto a
multipunto” antes de activar el protocolo de enrutamiento en la interfaz.
Para hacer que el dispositivo de seguridad local pueda introducir rutas a destinos
remotos automáticamente en su tabla de rutas, debe habilitar una instancia de BGP
en las interfaces de túnel locales y remotas. Los pasos básicos son los siguientes:
vpn1
Puerta de enlace IKE: peer1, 2.2.2.2
La zona Trust para el dispositivo A no se muestra. Zona Untrust Interfaz de túnel del interlocutor remoto:
10.0.2.1
peer1
LAN vpn2
vpn1
Dispositivo A Puerta de enlace IKE:
vpn2 peer2
LAN peer2, 3.3.3.3
vpn3 Interfaz de túnel del
peer3 interlocutor remoto: 10.0.4.1
LAN
Zona Trust tunnel.1 ethernet3 vpn3
ethernet1 10.0.0.1/30 ethernet3
1.1.1.1/24 Puerta de enlace IKE: peer3, 4.4.4.4
10.1.1.1/24 Conjunto de DIP 5: external router
1.1.1.1/24 Interfaz de túnel del interlocutor remoto:
10.0.0.2 - 10.0.0.2 1.1.1.250
Enrutador 10.0.6.1
externo
1.1.1.250
Las configuraciones de túnel VPN a ambos extremos de cada túnel utilizan los
siguientes parámetros:
AutoKey IKE
WebUI (Dispositivo A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: (seleccione), 10.0.0.2 ~ 10.0.0.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
2. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Interfaces > Edit (para tunnel.1) > NHTB > New: Introduzca los
siguientes datos y haga clic en Add:
Network > Interfaces > Edit (para tunnel.1) > NHTB: Introduzca los
siguientes datos y haga clic en Add:
New Next Hop Entry:
IP Address: 10.0.4.1
VPN: vpn2
Network > Interfaces > Edit (para tunnel.1) > NHTB: Introduzca los
siguientes datos y haga clic en Add:
New Next Hop Entry:
IP Address: 10.0.6.1
VPN: vpn3
5. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book: (seleccione), corp
Destination Address:
Address Book: (seleccione), peers
Service: Any
Action: Permit
Position at Top: (seleccione)
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en
Return para regresar a la página de configuración básica de Policy:
NAT:
Source Translation: (seleccione)
DIP On: 5 (10.0.0.2–10.0.0.2)/X-late
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), peers
Destination Address:
Address Book Entry: (seleccione), oda1
Service: Any
Action: Permit
Position at Top: (seleccione)
2. Direcciones
set address trust corp 10.1.1.0/24
set address trust oda1 10.0.1.0/24
set address untrust peers 10.0.0.0/16
3. VPN
set ike gateway peer1 address 2.2.2.2 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn vpn1 gateway peer1 sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
set ike gateway peer2 address 3.3.3.3 outgoing-interface ethernet3 preshare
netscreen2 sec-level compatible
set vpn vpn2 gateway peer2 sec-level compatible
set vpn vpn2 bind interface tunnel.1
set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
set ike gateway peer3 address 4.4.4.4 outgoing-interface ethernet3 preshare
netscreen3 sec-level compatible
set vpn vpn3 gateway peer3 sec-level compatible
set vpn vpn3 bind interface tunnel.1
set vpn vpn3 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.0.1.0/24 interface ethernet1
set vrouter trust-vr route 10.0.3.0/24 interface tunnel.1 gateway 10.0.2.1
set vrouter trust-vr route 10.0.2.2/32 interface tunnel.1 gateway 10.0.2.1
set vrouter trust-vr route 10.0.5.0/24 interface tunnel.1 gateway 10.0.4.1
set vrouter trust-vr route 10.0.4.2/32 interface tunnel.1 gateway 10.0.4.1
set vrouter trust-vr route 10.0.7.0/24 interface tunnel.1 gateway 10.0.6.1
set vrouter trust-vr route 10.0.6.2/32 interface tunnel.1 gateway 10.0.6.1
set vrouter trust-vr route 10.0.0.0/16 interface null metric 10
set interface tunnel.1 nhtb 10.0.2.1 vpn vpn1
set interface tunnel.1 nhtb 10.0.4.1 vpn vpn2
set interface tunnel.1 nhtb 10.0.6.1 vpn vpn3
5. Directivas
set policy from trust to untrust corp peers any nat src dip-id 5 permit
set policy from untrust to trust peers oda1 any nat dst ip 10.1.1.0 10.1.1.254
permit
save
Peer1
La siguiente configuración, según se ilustra en la Figura 74, es la que el
administrador remoto del dispositivo de seguridad en la ubicación peer1 debe
introducir para crear un túnel VPN al dispositivo A en la empresa. El administrador
remoto configura el dispositivo de seguridad para que realice NAT en el origen y en
el destino (NAT-src y NAT-dst) porque las direcciones internas se encuentran en el
mismo espacio de direcciones que las de la LAN corporativa: 10.1.1.0/24. Peer1
lleva a cabo NAT-src utilizando el conjunto de DIP 6 para traducir todas las
direcciones de origen internas a 10.0.2.2 al enviar tráfico a través de VPN1 al
dispositivo A. Peer1 lleva a cabo NAT-dst en el tráfico VPN enviado desde el
dispositivo A, traduciendo las direcciones de 10.0.3.0/24 a 10.1.1.0/24 con
desplazamiento de direcciones.
ethernet3 tunnel.10
2.2.2.2/24 10.0.2.1/30 Rango NAT-dst NAT-dst de
Enrutador externo Conjunto de DIP 6 10.0.3.0 – 10.0.3.255 10.0.3.0 – 10.0.3.255
2.2.2.250 10.0.2.2 - 10.0.2.2 a
ethernet1 10.1.1.0 – 10.1.1.255
10.1.1.1/24 con desplazamiento de
Zona Untrust Peer1 direcciones
Zona Trust
vpn1 desde
dispositivo A
LAN
10.1.1.0/24
NOTA: Para obtener más información sobre NAT-src y NAT-dst, consulte el Volumen 8:
Traducción de direcciones.
WebUI (Peer1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para tunnel.10) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 6
IP Address Range: (seleccione), 10.0.2.2 ~ 10.0.2.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
2. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), fr_corp
Destination Address:
Address Book Entry: (seleccione), oda2
Service: Any
Action: Permit
Position at Top: (seleccione)
NAT:
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.1.1.0 - 10.1.1.254
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), lan
Destination Address:
Address Book Entry: (seleccione), to_corp
Service: Any
Action: Permit
Position at Top: (seleccione)
NAT:
Source Translation: (seleccione)
DIP On: 6 (10.0.2.2–10.0.2.2)/X-late
CLI (Peer1)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.10 zone untrust
set interface tunnel.10 ip 10.0.2.1/30
set interface tunnel.10 dip 6 10.0.2.2 10.0.2.2
2. Direcciones
set address trust lan 10.1.1.0/24
set address trust oda2 10.0.3.0/24
set address untrust to_corp 10.0.1.0/24
set address untrust fr_corp 10.0.0.2/32
3. VPN
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn vpn1 gateway corp sec-level compatible
set vpn vpn1 bind interface tunnel.10
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
metric 1
set vrouter trust-vr route 10.0.3.0/24 interface ethernet1 metric 1
set vrouter trust-vr route 10.0.0.0/8 interface tunnel.10 metric 10
set vrouter trust-vr route 10.0.0.0/8 interface null metric 12
5. Directivas
set policy from trust to untrust lan to_corp any nat src dip-id 6 permit
set policy from untrust to trust fr_corp oda2 any nat dst ip 10.1.1.0 10.1.1.254
permit
save
Peer2
La siguiente configuración, según se ilustra en la Figura 75, es la que el
administrador remoto del dispositivo de seguridad en la ubicación peer2 debe
introducir para crear un túnel VPN al dispositivo A en la empresa. El administrador
remoto configura el dispositivo de seguridad para que realice NAT en el origen y en
el destino (NAT-src y NAT-dst) porque las direcciones internas se encuentran en el
mismo espacio de direcciones que las de la LAN corporativa: 10.1.1.0/24. Peer2
lleva a cabo NAT-src utilizando el conjunto de DIP 7 para traducir todas las
direcciones de origen internas a 10.0.4.2 al enviar tráfico a través de VPN2 al
Dispositivo A. Peer2 lleva a cabo NAT-dst en el tráfico VPN enviado desde el
dispositivo A, traduciendo las direcciones de 10.0.5.0/24 a 10.1.1.0/24 con
desplazamiento de direcciones.
ethernet3 tunnel.20
10.0.4.1/30 Rango NAT-dst NAT-dst de
3.3.3.3/24 10.0.5.0 – 10.0.5.255
Enrutador externo Conjunto de DIP 7 10.0.5.0 – 10.0.5.255
3.3.3.250 10.0.4.2 - 10.0.4.2 ethernet1 a
10.1.1.1/24 10.1.1.0 – 10.1.1.255
con desplazamiento
Zona Untrust de direcciones
Peer2
Zona Trust
vpn2 desde
dispositivo A LAN
10.1.1.0/24
NOTA: Para obtener más información sobre NAT-src y NAT-dst, consulte el Volumen 8:
Traducción de direcciones.
WebUI (Peer2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 7
IP Address Range: (seleccione), 10.0.4.2 ~ 10.0.4.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
2. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
4. Rutas
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), lan
Destination Address:
Address Book Entry: (seleccione), to_corp
Service: Any
Action: Permit
Position at Top: (seleccione)
NAT:
Source Translation: (seleccione)
DIP On: 7 (10.0.4.2–10.0.4.2)/X-late
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), fr_corp
Destination Address:
Address Book Entry: (seleccione), oda3
Service: Any
Action: Permit
Position at Top: (seleccione)
NAT:
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.1.1.0 - 10.1.1.254
CLI (Peer2)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 3.3.3.3/24
set interface tunnel.20 zone untrust
set interface tunnel.20 ip 10.0.4.1/30
set interface tunnel.20 dip 7 10.0.4.2 10.0.4.2
2. Direcciones
set address trust lan 10.1.1.0/24
set address trust oda3 10.0.5.0/24
set address untrust to_corp 10.0.1.0/24
set address untrust fr_corp 10.0.0.2/32
3. VPN
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare
netscreen2 sec-level compatible
set vpn vpn2 gateway corp sec-level compatible
set vpn vpn2 bind interface tunnel.20
set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250
metric 1
set vrouter trust-vr route 10.0.5.0/24 interface ethernet1 metric 1
set vrouter trust-vr route 10.0.0.0/8 interface tunnel.20 metric 10
set vrouter trust-vr route 10.0.0.0/8 interface null metric 12
5. Directivas
set policy from trust to untrust lan to_corp any nat src dip-id 7 permit
set policy from untrust to trust fr_corp oda3 any nat dst ip 10.1.1.0 10.1.1.254
permit
save
Peer3
La siguiente configuración, según se ilustra en la Figura 76, es la que el
administrador remoto del dispositivo de seguridad en la ubicación peer3 debe
introducir para crear un túnel VPN al dispositivo A en la empresa. El administrador
remoto configura el dispositivo de seguridad para que realice NAT en el origen y en
el destino (NAT-src y NAT-dst) porque las direcciones internas se encuentran en el
mismo espacio de direcciones que las de la LAN corporativa: 10.1.1.0/24. Peer3
lleva a cabo NAT-src utilizando el conjunto de DIP 8 para traducir todas las
direcciones de origen internas a 10.0.6.2 al enviar tráfico a través de VPN3 al
dispositivo A. Peer3 lleva a cabo NAT-dst en el tráfico VPN enviado desde el
dispositivo A, traduciendo las direcciones de 10.0.7.0/24 a 10.1.1.0/24 con
desplazamiento de direcciones.
ethernet3
4.4.4.4/24 tunnel.30 Rango NAT-dst
Enrutador externo 10.0.6.1/30 NAT-dst de
Conjunto de DIP 8 10.0.7.0 – 10.0.7.255 10.0.7.0 – 10.0.7.255
4.4.4.250
10.0.6.2 - 10.0.6.2 a
Zona Untrust ethernet1 10.1.1.0 – 10.1.1.255
10.1.1.1/24 con desplazamiento
Peer3 de direcciones
Zona Trust
vpn2 desde
dispositivo A
LAN
10.1.1.0/24
NOTA: Para obtener más información sobre NAT-dst, consulte el Volumen 8: Traducción de
direcciones.
WebUI (Peer3)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para tunnel.30) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 7
IP Address Range: (seleccione), 10.0.6.2 ~ 10.0.6.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
2. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), lan
Destination Address:
Address Book Entry: (seleccione), to_corp
Service: Any
Action: Permit
Position at Top: (seleccione)
NAT:
Source Translation: (seleccione)
DIP On: 8 (10.0.6.2–10.0.6.2)/X-late
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), fr_corp
Destination Address:
Address Book Entry: (seleccione), oda4
Service: Any
Action: Permit
Position at Top: (seleccione)
NAT:
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.1.1.0 - 10.1.1.254
CLI (Peer3)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 4.4.4.4/24
set interface tunnel.30 zone untrust
set interface tunnel.30 ip 10.0.6.1/30
set interface tunnel.30 dip 8 10.0.6.2 10.0.6.2
2. Direcciones
set address trust lan 10.1.1.0/24
set address trust oda4 10.0.7.0/24
set address untrust to_corp 10.0.1.0/24
set address untrust fr_corp 10.0.0.2/32
3. VPN
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare
netscreen3 sec-level compatible
set vpn vpn3 gateway corp sec-level compatible
set vpn vpn3 bind interface tunnel.30
set vpn vpn3 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
4. Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250 metric
1
set vrouter trust-vr route 10.0.7.0/24 interface ethernet1 metric 1
set vrouter trust-vr route 10.0.0.0/8 interface tunnel.30 metric 10
set vrouter trust-vr route 10.0.0.0/8 interface null metric 12
5. Directivas
set policy from trust to untrust lan to_corp any nat src dip-id 8 permit
set policy from untrust to trust fr_corp oda4 any nat dst ip 10.1.1.0 10.1.1.254
permit
save
NOTA: En este ejemplo también puede utilizar OSPF (“Open Shortest Path First” = “abrir
primero la ruta más corta”) en lugar de BGP como protocolo de enrutamiento.
Consulte “Uso de OSPF para entradas automáticas en la tabla de rutas” en la
página 289 para ver las configuraciones de OSPF.
vpn1
La interfaz tunnel.1 del dispositivo A se Las rutas tras cada interlocutor son
Puerta de enlace IKE: peer1, 2.2.2.2
asocia a dos túneles VPN. desconocidas para el dispositivo A
Interfaz de túnel del interlocutor remoto: 2.3.3.1
hasta que los interlocutores utilizan
BGP para enviarlas.
Zona Untrust
peer1
vpn1
Dispositivo A
peer2
vpn2
Zona Trust tunnel.1 ethernet3
ethernet1 10.0.0.1/30 1.1.1.1/24
10.1.1.1/24 Enrutador externo
1.1.1.250
vpn2
Puerta de enlace IKE: peer2, 3.3.3.3
Interfaz de túnel del interlocutor remoto: 3.4.4.1
Las configuraciones de túnel VPN a ambos extremos de cada túnel utilizan los
siguientes parámetros: AutoKey IKE, clave previa compartida (peer1: “netscreen1”,
peer2: “netscreen2”) y el nivel de seguridad predefinido como “Compatible” para
las propuestas de fase 1 y fase 2. (Para ver los detalles sobre estas propuestas,
consulte “Negociación de túnel” en la página 9).
Antes de configurar las dos siguientes funciones, puede habilitar Dispositivo A para
rellenar sus tablas de rutas y NHTB automáticamente:
Supervisión de VPN con la opción de reencriptación (o de nueva conexión de
latidos de IKE)
Enrutamiento dinámico BGP en tunnel.1
Si las interfaces de túnel se ejecutan con BGP, el tráfico generado por BGP puede
desencadenar negociaciones IKE aunque no se habilite la supervisión de VPN con
la opción de reencriptación o la opción de nueva conexión de latidos de IKE. En
cualquier caso, Juniper Networks recomienda no confiar en que el tráfico BGP
desencadene las negociaciones IKE. En lugar de esto, utilice la supervisión de VPN
con la opción de reencriptación o de nueva conexión de latidos de IKE.
WebUI (Dispositivo A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return
para regresar a la página de configuración básica de AutoKey IKE:
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
3. Ruta estática
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
AS Number (obligatorio): 99
BGP Enabled: (seleccione)
Network > Interfaces > Edit (para tunnel.1) > BGP: Seleccione la casilla de
verificación Protocol BGP, luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 99
Remote IP: 2.3.3.1
Outgoing Interface: tunnel.1
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 99
Remote IP: 3.4.4.1
Outgoing Interface: tunnel.1
5. Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book: (seleccione), Any
Destination Address:
Address Book: (seleccione), Any
Service: ANY
Action: Permit
CLI (Dispositivo A)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip 10.0.0.1/30
2. VPN
set ike gateway peer1 address 2.2.2.2 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn vpn1 gateway peer1 sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
set vpn vpn1 monitor rekey
set ike gateway peer2 address 3.3.3.3 outgoing-interface ethernet3 preshare
netscreen2 sec-level compatible
set vpn vpn2 gateway peer2 sec-level compatible
set vpn vpn2 bind interface tunnel.1
set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
set vpn vpn2 monitor rekey
3. Rutas estáticas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 2.3.3.1/32 interface tunnel.1 gateway 2.3.3.1
set vrouter trust-vr route 2.4.4.1/32 interface tunnel.1 gateway 2.4.4.1
4. Enrutamiento dinámico
ns-> set vrouter trust-vr protocol bgp 99
ns-> set vrouter trust-vr protocol bgp enable
ns-> set interface tunnel.1 protocol bgp
ns-> set vrouter trust-vr
ns(trust-vr)-> set protocol bgp
ns(trust-vr/bgp)-> set neighbor 2.3.3.1 remote-as 99 outgoing interface tunnel.1
ns(trust-vr/bgp)-> set neighbor 2.3.3.1 enable
ns(trust-vr/bgp)-> set neighbor 3.4.4.1 remote-as 99 outgoing interface tunnel.1
ns(trust-vr/bgp)-> set neighbor 3.4.4.1 enable
ns(trust-vr/bgp)-> exit
ns(trust-vr)-> exit
282 Múltiples túneles por interfaz de túnel
Capítulo 7: Funciones avanzadas de redes privadas virtuales
5. Directiva
set policy from trust to untrust any any any permit
save
Peer1
La siguiente configuración, según se ilustra en la Figura 78 en la página 283, es la
que el administrador remoto del dispositivo de seguridad en la ubicación peer1
debe introducir para crear un túnel VPN al dispositivo A en la empresa. El
administrador remoto configura el dispositivo de seguridad para permitir el tráfico
entrante desde la empresa. También configura el dispositivo de seguridad para
comunicar rutas internas a su vecino BGP a través de vpn1.
ethernet3
2.2.2.2/24
Enrutador externo tunnel.10 ethernet1 Zona Trust
2.2.2.250 2.3.3.1/30 2.3.4.1/24
Zona Untrust
2.3.
vpn2 desde Peer1
dispositivo A
2.3.4.0/24
2.3.
WebUI (Peer1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
2. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
AS Number (obligatorio): 99
BGP Enabled: (seleccione)
Network > Interfaces > Edit (para tunnel.10) > BGP: Seleccione la casilla de
verificación Protocol BGP, luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 99
Remote IP: 10.0.0.1
Outgoing Interface: tunnel.10
6. Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
CLI (Peer1)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 2.3.4.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.10 zone untrust
set interface tunnel.10 ip 2.3.3.1/30
2. Dirección
set address untrust corp 10.1.1.0/24
3. VPN
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn vpn1 gateway corp sec-level compatible
set vpn vpn1 bind interface tunnel.10
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
4. Rutas estáticas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
metric 1
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.10 metric 1
5. Enrutamiento dinámico
ns-> set vrouter trust-vr protocol bgp 99
ns-> set vrouter trust-vr protocol bgp enable
ns-> set interface tunnel.10 protocol bgp
ns-> set vrouter trust-vr
ns(trust-vr)-> set protocol bgp
ns(trust-vr/bgp)-> set neighbor 10.0.0.1 remote-as 99 outgoing interface
tunnel.10
ns(trust-vr/bgp)-> set neighbor 10.0.0.1 enable
ns(trust-vr/bgp)-> exit
ns(trust-vr)-> exit
6. Directiva
set policy from untrust to trust corp any any permit
save
Peer2
La siguiente configuración, según se ilustra en la Figura 79, es la que el
administrador remoto del dispositivo de seguridad en la ubicación peer2 debe
introducir para crear un túnel VPN al dispositivo A en la empresa. El administrador
remoto configura el dispositivo de seguridad para permitir el tráfico entrante desde
la empresa. También configura el dispositivo de seguridad para comunicar rutas
internas a su vecino BGP a través de vpn2.
vpn2 desde
dispositivo A 3.4.
Peer2
3.4.5.0/24
Zona Untrust
3.4.
WebUI (Peer2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
3. VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
AS Number (obligatorio): 99
BGP Enabled: (seleccione)
Network > Interfaces > Edit (para tunnel.20) > BGP: Seleccione la casilla de
verificación Protocol BGP, luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 99
Remote IP: 10.0.0.1
Outgoing Interface: tunnel.20
6. Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
CLI (Peer2)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 3.4.5.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 3.3.3.3/24
set interface tunnel.20 zone untrust
set interface tunnel.20 ip 3.4.4.1/30
2. Dirección
set address untrust corp 10.1.1.0/24
3. VPN
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare
netscreen2 sec-level compatible
set vpn vpn1 gateway corp sec-level compatible
set vpn vpn1 bind interface tunnel.20
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
4. Rutas estáticas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250
metric 1
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.20 metric 1
5. Enrutamiento dinámico
ns-> set vrouter trust-vr protocol bgp 99
ns-> set vrouter trust-vr protocol bgp enable
ns-> set interface tunnel.20 protocol bgp
ns-> set vrouter trust-vr
ns(trust-vr)-> set protocol bgp
ns(trust-vr/bgp)-> set neighbor 10.0.0.1 remote-as 99 outgoing interface
tunnel.20
ns(trust-vr/bgp)-> set neighbor 10.0.0.1 enable
ns(trust-vr/bgp)-> exit
ns(trust-vr)-> exit
6. Directiva
set policy from untrust to trust corp any any permit
save
WebUI (Dispositivo A)
Enrutamiento dinámico (OSPF)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF
Instance: Seleccione OSPF Enabled, luego haga clic en Apply.
Area > Configure (para el área 0.0.0.0): Haga clic en << Add para mover
la interfaz tunnel.1 de la lista “Available Interface(s)” a la lista “Selected
Interface(s)” y luego haga clic en OK.
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes
datos y haga clic en Apply:
CLI (Dispositivo A)
Enrutamiento dinámico (OSPF)
ns-> set vrouter trust-vr protocol ospf
ns-> set vrouter trust-vr protocol ospf enable
ns-> set interface tunnel.1 protocol ospf area 0
ns-> set interface tunnel.1 protocol ospf link-type p2mp
ns-> set interface tunnel.1 protocol ospf enable
ns-> save
WebUI (Peer1)
Enrutamiento dinámico (OSPF)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF
Instance: Seleccione OSPF Enabled, luego haga clic en Apply.
Area > Configure (para el área 0.0.0.0): Haga clic en << Add para mover
la interfaz tunnel.1 de la lista “Available Interface(s)” a la lista “Selected
Interface(s)” y luego haga clic en OK.
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes
datos y haga clic en Apply:
CLI (Peer1)
Enrutamiento dinámico (OSPF)
ns-> set vrouter trust-vr protocol ospf
ns-> set vrouter trust-vr protocol ospf enable
ns-> set interface tunnel.1 protocol ospf area 0
ns-> set interface tunnel.1 protocol ospf enable
ns-> save
WebUI (Peer2)
Enrutamiento dinámico (OSPF)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF
Instance: Seleccione OSPF Enabled, luego haga clic en Apply.
Area > Configure (para el área 0.0.0.0): Haga clic en << Add para mover
la interfaz tunnel.1 de la lista “Available Interface(s)” a la lista “Selected
Interface(s)” y luego haga clic en OK.
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes
datos y haga clic en Apply:
CLI (Peer2)
Enrutamiento dinámico (OSPF)
ns-> set vrouter trust-vr protocol ospf
ns-> set vrouter trust-vr protocol ospf enable
ns-> set interface tunnel.1 protocol ospf area 0
ns-> set interface tunnel.1 protocol ospf enable
ns-> save
NOTA: Los grupos VPN no admiten L2TP, L2TP sobre IPSec, acceso telefónico, clave
manual ni tipos de túneles VPN basados en rutas. En una configuración de
interlocutores dinámicos punto a punto, el dispositivo de seguridad que supervisa
el grupo VPN debe tener la dirección IP Untrust asignada dinámicamente, mientas
que las direcciones IP de los miembros del grupo VPN deben ser estáticas.
En este esquema se asume que los sitios situados detrás de las puertas de enlace
redundantes están conectados de tal forma que los datos se replican entre los
hosts de todos los sitios. Además, cada sitio (al ser dedicado para alta
disponibilidad) tiene un conjunto redundante de dispositivos de seguridad que
funcionan en modo de alta disponibilidad. Así, el límite de conmutación de fallo
de VPN que se ajuste debe ser mayor que el límite de conmutación por error del
dispositivo o se podrían producir conmutaciones por error innecesarias.
Figura 80: Puertas de enlace VPN redundantes para conmutación por error del túnel VPN
Grupos VPN
Un grupo VPN es un conjunto de configuraciones de túnel VPN para hasta cuatro
puertas de enlace remotas de destino. Los parámetros de asociación de seguridad
(SA) de fase 1 y fase 2 para cada túnel de un grupo pueden ser distintos o idénticos
(excepto en el caso de la dirección IP de la puerta de enlace remota, que,
lógicamente, debe ser diferente). El grupo VPN, que se muestra en la Figura 81 en la
página 292, tiene un número de ID inequívoco, y a cada miembro del grupo se le
asigna un peso inequívoco para indicar su lugar en el rango de preferencia para
convertirse en el túnel activo. Un valor de 1 constituye el rango inferior o de menor
preferencia.
D
4
E
S
3
Supervisor T
I
2
N
O
Nota: En esta ilustración, el sombreado simboliza el peso de cada
1
túnel. Cuanto más oscuro sea el túnel, mayor será su prioridad.
S
El dispositivo de seguridad que se comunica con los miembros del grupo VPN y los
propios miembros tienen una relación supervisor/destino. El dispositivo de
supervisión supervisa continuamente la conectividad y el correcto estado de cada
dispositivo de destino. El supervisor utiliza las siguientes herramientas para ello:
Latidos de IKE
Mecanismos de supervisión
Dos mecanismos supervisan los miembros de un grupo VPN con el fin de
determinar su capacidad para terminar tráfico VPN:
Latidos de IKE
Utilizando estas dos herramientas junto con la opción de conmutación por error de
aplicación TCP (consulte “Comprobar flag TCP SYN” en la página 296), los
dispositivos de seguridad pueden detectar si es necesario realizar una conmutación
por error de la VPN y desviar el tráfico al nuevo túnel sin tener que interrumpir el
servicio de VPN.
Latidos de IKE
Los latidos de IKE son mensajes de saludo que los interlocutores IKE se envían
mutuamente bajo la protección de una asociación de seguridad (SA) de fase 1
establecida para confirmar la conectividad y el correcto estado del otro. Por
ejemplo, si device_m (el “supervisor”) no recibe un determinado número de latidos
(el valor predeterminado es 5) de device_t (el “destino”), device_m llega a la
conclusión de que device_t está inactivo. Device_m elimina de su memoria caché
las asociaciones de seguridad (SA) de fase 1 y fase 2 correspondientes y comienza
el procedimiento de recuperación IKE. (Consulte “Procedimiento de recuperación
IKE” en la página 295). Device_t también elimina sus SA.
NOTA: La función de latidos de IKE debe estar habilitada en los dispositivos ubicados a
ambos extremos de un túnel VPN en un grupo VPN. Si está habilitada en
device_m pero no en device_t, device_m suprime la transmisión de latidos de IKE
y genera el siguiente mensaje en el registro de eventos: “Heartbeats have been
disabled because the peer is not sending them” (los latidos se han desactivado
porque el interlocutor no los está enviando).
Los latidos de IKE deben fluir en ambos sentidos a través del túnel VPN.
Para definir el intervalo de latidos de IKE y el umbral para un túnel VPN específico
(el valor predeterminado es 5), realice los siguientes pasos:
WebUI
VPNs > AutoKey Advanced > Gateway > Edit (para la puerta de enlace
cuyo umbral de latidos de IKE desee modificar) > Advanced: Introduzca
los nuevos valores en los campos “Heartbeat Hello” y “Heartbeat
Threshold” y haga clic en OK.
CLI
set ike gateway name_str heartbeat hello number
set ike gateway name_str heartbeat threshold number
Se puede utilizar DPD como una alternativa para la función de latidos IKE (que se
describe anteriormente). No obstante, no se pueden utilizar ambas funciones
simultáneamente. Además, el latido IKE puede utilizarse como un ajuste global, que
afecta a todas las puertas de enlace IKE configuradas en el dispositivo. El ajuste de
latido IKE también puede aplicarse a un contexto individual de puerta de enlace
IKE, que afecta únicamente a una sola puerta de enlace. En contraste, se puede
configurar el DPD únicamente en el contexto de una puerta de enlace individual
IDE, no como un parámetro global.
WebUI
VPNs > AutoKey Advanced > Gateway > Edit: Cree una puerta de enlace al
introducir los siguientes valores y luego haga clic en OK.
VPNs > AutoKey Advanced > Gateway > Edit (our_gateway): Introduzca los
siguientes valores y haga clic en OK.
CLI
set ike gateway "our_gateway" address 1.1.1.1 main outgoing-interface "untrust"
preshare "jun9345" sec-level standard
set ike gateway "our_gateway" dpd interval 5
Intentos de
negociación de fase 1
Supervis IKE cada 5 minutos Destino
Intervalo:
5 minutos
(300 segundos) Intento fallido
..
. . ..
.. .
Intento fallido
.. .. ..
. . .
Intento con éxito
Para definir el intervalo de recuperación IKE para un túnel VPN específico (el ajuste
mínimo es 60 segundos), realice uno de los siguientes pasos:
WebUI
VPNs > AutoKey Advanced > Gateway > Edit (para la puerta de enlace
cuyo intervalo de reconexión de IKE desee modificar) > Advanced:
Introduzca el valor en segundos en el campo Heartbeat Reconnect; luego,
haga clic en OK.
CLI
set ike gateway name_str heartbeat reconnect number
Cuando el miembro con el mayor peso de un grupo VPN realiza una conmutación
por error del túnel a otro miembro del grupo y, a continuación, conecta de nuevo
con el dispositivo de supervisión, se realiza automáticamente una conmutación por
recuperación del túnel al primer miembro. El sistema de ponderación hace que la
puerta de enlace que tiene la mayor valoración del grupo se encargue siempre de
gestionar los datos VPN si es posible.
Supervisor Destino
El supervisor realiza una conmutación por error de la VPN (si el destino estaba
gestionando datos VPN), elimina las SA de fase 1 y fase 2 e intenta establecer
de nuevo el túnel VPN con los intervalos especificados.
Para resolver este problema, puede inhabilitar la comprobación de flag SYN para las
sesiones TCP en túneles VPN del siguiente modo:
WebUI
No es posible inhabilitar la comprobación de flag SYN mediante la WebUI.
CLI
unset flow tcp-syn-check-in-tunnel
NOTA: El espacio de direcciones interno en ambos centros de datos debe ser idéntico.
WebUI (Monitor1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.10.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
2. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: in_trust
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: data_ctr
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.0.0/16
Zone: Untrust
3. VPN
VPNs > AutoKey Advanced > VPN Group: Introduzca 1 en el campo VPN
Group ID; luego, haga clic en Add.
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: target1
Security Level: Compatible
Remote Gateway Type: Static IP Address: (seleccione), IP Address: 2.2.2.1
Preshared Key: SLi1yoo129
Outgoing Interface: ethernet3
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
5. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), in_trust
Destination Address:
Address Book Entry: (seleccione), data_ctr
Service: ANY
Action: Tunnel
VPN: VPN Group-1
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
WebUI (Target1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Name: to_monitor1
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), monitor1
4. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), in_trust
Destination Address:
Address Book Entry: (seleccione), corp
Service: ANY
Action: Tunnel
Tunnel VPN: monitor1
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
WebUI (Target2)
NOTA: Siga los pasos de configuración de Target1 para configurar Target2, pero defina la
dirección IP de la interfaz de zona Untrust como 3.3.3.1/24, la dirección IP de
puerta de enlace predeterminada como 3.3.3.2 y utilice CMFwb7oN23 para
generar la clave previamente compartida.
CLI (Monitor1)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.10.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust in_trust 10.10.1.0/24
set address untrust data_ctr 10.1.0.0/16
3. VPN
set ike gateway target1 address 2.2.2.1 main outgoing-interface ethernet3
preshare SLi1yoo129 sec-level compatible
set ike gateway target1 heartbeat hello 3
set ike gateway target1 heartbeat reconnect 60
set ike gateway target1 heartbeat threshold 5
set vpn to_target1 gateway target1 sec-level compatible
set ike gateway target2 address 3.3.3.1 main outgoing-interface ethernet3
preshare CMFwb7oN23 sec-level compatible
set ike gateway target2 heartbeat hello 3
set ike gateway target2 heartbeat reconnect 60
set ike gateway target2 heartbeat threshold 5
set vpn to_target2 gateway target2 sec-level compatible
set vpn-group id 1 vpn to_target1 weight 2
set vpn-group id 1 vpn to_target2 weight 1
unset flow tcp-syn-check-in-tunnel
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.2
5. Directivas
set policy top from trust to untrust in_trust data_ctr any tunnel “vpn-group 1”
set policy top from untrust to trust data_ctr in_trust any tunnel “vpn-group 1”
save
CLI (Target1)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/16
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.1/24
2. Direcciones
set address trust in_trust 10.1.0.0/16
set address untrust corp 10.10.1.0/24
3. VPN
set ike gateway monitor1 address 1.1.1.1 main outgoing-interface ethernet3
preshare SLi1yoo129 sec-level compatible
set ike gateway monitor1 heartbeat hello 3
set ike gateway monitor1 heartbeat threshold 5
set vpn to_monitor1 gateway monitor1 sec-level compatible
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.2
5. Directivas
set policy top from trust to untrust in_trust corp any tunnel vpn to_monitor
set policy top from untrust to trust corp in_trust any tunnel vpn to_monitor
save
CLI (Target2)
NOTA: Siga los pasos de configuración de Target1 para configurar Target2, pero defina la
dirección IP de la interfaz de zona Untrust como 3.3.3.1/24, la dirección IP de
puerta de enlace predeterminada como 3.3.3.2 y utilice CMFwb7oN23 para
generar la clave previamente compartida.
NOTA: De forma opcional, puede habilitar un bloqueo intrazonal y definir una directiva
intrazonal para controlar el tráfico entre las dos interfaces de túnel dentro de la
misma zona.
Zona
X1 Zona
X2
Radio A Radio B
VPN1 VPN2
Consulta
de
directivas
Concentrador (hub)
Puede conservar el número de VPN que necesite crear. Por ejemplo, el punto de
perímetro A puede enlazar con el concentrador y los puntos de perímetro B, C,
D, etc., pero A sólo tiene que configurar un túnel VPN. Especialmente para
usuarios de NetScreen-5XP, que pueden utilizar un máximo de diez túneles
VPN de forma simultánea, aplicar el método radial aumenta de manera
significativa las opciones y capacidades de VPN.
NOTA: Para crear zonas definidas por el usuario, primero se debería adquirir y cargar una
clave de software de zona en el dispositivo de seguridad.
La interfaz de salida es ethernet3, que está asociada a la zona Untrust. Como puede
ver en la Figura 87, ambos túneles terminan en la zona Untrust; sin embargo, los
puntos finales para el tráfico que utiliza estos túneles se encuentran en las zonas X1
y X2. Los túneles utilizan AutoKey IKE con claves previamente compartidas. Hay
que seleccionar el nivel de seguridad predefinido como “Compatible” para ambas
propuestas de fase 1 y fase 2. La zona Untrust se asocia a untrust-vr. Como los
túneles están basados en rutas (es decir, el túnel correcto se determina por el
enrutamiento, no por un nombre de túnel especificado en una directiva), las ID de
proxy se incluyen en la configuración de cada túnel.
Figura 87: VPN adosadas con dos dominios de enrutamiento y múltiples zonas de seguridad
Consulta
Zona Trust de
directivas
LAN de París
Zona X2 10.20.1.0/24
Interfaz:
ethernet1 tunnel.2
10.1.1.1/24 10.20.1.2/24
WebUI
1. Zonas de seguridad y enrutadores virtuales
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga
clic en OK:
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: X1
Virtual Router Name: trust-vr
Block Intra-Zone Traffic: (seleccione)
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: X2
Virtual Router Name: trust-vr
Block Intra-Zone Traffic: (seleccione)
2. Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Proxy-ID: (seleccione)
Local IP/Netmask: 10.20.1.0/24
Remote IP/Netmask: 10.10.1.0/24
Service: ANY
NOTA: Para configurar el túnel VPN en el dispositivo de seguridad que protege las oficinas
de Tokio y París, ejecute uno de estos procedimientos:
Proxy-ID: (seleccione)
Local IP/Netmask: 10.10.1.0/24
Remote IP/Netmask: 10.20.1.0/24
Service: ANY
5. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
7. Directivas
Policy > (From: X1, To: X2) New: Introduzca los siguientes datos y haga clic en
OK:
Source Address:
Address Book Entry: (seleccione), Tokyo LAN
Destination Address:
Address Book Entry: (seleccione), Paris LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policy > (From: X2, To: X1) New: Introduzca los siguientes datos y haga clic en
OK:
Source Address:
Address Book Entry: (seleccione), Paris LAN
Destination Address:
Address Book Entry: (seleccione), Tokyo LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
CLI
1. Zonas de seguridad y enrutadores virtuales
unset interface ethernet3 ip
unset interface ethernet3 zone
set zone untrust vrouter untrust-vr
set zone untrust block
set zone name x1
set zone x1 vrouter trust-vr
set zone x1 block
set zone name x2
set zone x2 vrouter trust-vr
set zone x2 block
2. Interfaces
set interface ethernet3 zone untrust
set interface ethernet3 ip 123.1.1.1/24
set interface tunnel.1 zone x1
set interface tunnel.1 ip 10.10.1.2/24
set interface tunnel.2 zone x2
set interface tunnel.2 ip 10.20.1.2/24
3. VPN para la oficina de Tokio
set ike gateway Tokyo address 110.1.1.1 outgoing-interface ethernet3 preshare
netscreen1 sec-level compatible
set vpn VPN1 gateway Tokyo sec-level compatible
set vpn VPN1 bind interface tunnel.1
set vpn VPN1 proxy-id local-ip 10.20.1.0/24 remote-ip 10.10.1.0/24 any
NOTA: Para configurar el túnel VPN en el dispositivo de seguridad que protege las oficinas
de Tokio y París, ejecute uno de estos procedimientos:
(VPN basada en rutas) Introduzca los siguientes comandos: set vpn VPN1
proxy-id local-ip 10.20.1.0/24 remote-ip 10.10.1.0/24 (Tokio) y set vpn VPN1
proxy-id local-ip 10.10.1.0/24 remote-ip 10.20.1.0/24 (París).
NOTA: Puede hacer caso omiso al siguiente mensaje, que aparece porque las interfaces
de túnel están en modo NAT:
También es posible configurar VPN múltiples en una zona y enrutar el tráfico entre
dos túneles cualesquiera.
Zona Untrust
NOTA: De forma opcional, puede mantener el bloqueo intrazonal habilitado y definir una
directiva intrazonal que permita el tráfico entre las dos interfaces de túnel.
Los túneles se asocian a las interfaces de túnel (tunnel.1 y tunnel.2), que están sin
numerar. Los túneles utilizan AutoKey IKE con claves previamente compartidas.
Hay que seleccionar el nivel de seguridad predefinido como “Compatible” para
ambas propuestas de fase 1 y fase 2. La zona Untrust se asocia a untrust-vr. La
interfaz de zona Untrust es ethernet3.
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Proxy-ID: (seleccione)
Local IP/Netmask: 0.0.0.0/0
Remote IP/Netmask: 0.0.0.0/0
Service: ANY
4. VPN para la oficina de París
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Proxy-ID: (seleccione)
Local IP/Netmask: 0.0.0.0/0
Remote IP/Netmask: 0.0.0.0/0
Service: ANY
5. Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
WebUI (Tokio)
1. Zonas de seguridad y enrutadores virtuales
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Proxy-ID: (seleccione)
Local IP/Netmask: 0.0.0.0/0
Remote IP/Netmask: 0.0.0.0/0
Service: ANY
5. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
6. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Paris
Service: ANY
Action: Permit
WebUI (París)
1. Zonas de seguridad y enrutadores virtuales
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
3. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Proxy-ID: (seleccione)
Local IP/Netmask: 0.0.0.0/0
Remote IP/Netmask: 0.0.0.0/0
Service: ANY
5. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
6. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Tokyo
Service: ANY
Action: Permit
CLI (Tokio)
1. Zonas de seguridad y enrutadores virtuales
unset interface ethernet3 ip
unset interface ethernet3 zone
set zone untrust vrouter untrust-vr
2. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
CLI (París)
1. Zonas de seguridad y enrutadores virtuales
unset interface ethernet3 ip
unset interface ethernet3 zone
set zone untrust vrouter untrust-vr
2. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.3.3.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 3.3.3.3/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
3. Dirección
set address untrust Tokyo 10.2.2.0/24
4. VPN
set ike gateway “New York” address 1.1.1.1 outgoing-interface ethernet3 preshare
netscreen2 sec-level compatible
set vpn VPN2 gateway “New York” sec-level compatible
set vpn VPN2 bind interface tunnel.1
set vpn VPN2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
5. Rutas
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr
set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250
set vrouter untrust-vr route 10.2.2.0/24 interface tunnel.1
6. Directivas
set policy from trust to untrust any Tokyo any permit
set policy from untrust to trust Tokyo any any permit
save
Índice IX-I
Manual de referencia de ScreenOS: conceptos y ejemplos
I configuración voluntaria.......................................206
ID de proxy .................................................................... 12 desencapsulado .....................................................209
coincidencia ....................................................... 64, 71 encapsulado ...........................................................208
identificación IKE de grupo Keep Alive ......................................................216, 221
certificados .................................................. 183 a 192 L2TP en solitario sobre Windows 2000 .............207
claves previamente compartidas .............. 192 a 198 modo de funcionamiento .....................................208
IDs de proxy parámetros predeterminados ..............................211
VPNs y NAT ................................................. 141 a 142 señal hello ......................................................216, 221
IKE................................................................. 7, 88, 97, 160 servidor de red
ID de proxy .............................................................. 12 véase LNS
ID IKE, Windows 200 ................................... 219, 227 servidor RADIUS....................................................211
ID local, ASN1-DN ................................................. 186 servidor SecurID ....................................................211
ID remota, ASN1-DN ............................................ 186 soporte de ScreenOS ............................................207
identificación IKE .............................. 51 a 53, 58 a 59 túnel ........................................................................213
identificación IKE de grupo, comodines ............ 186 L2TP sobre IPSec .............................................4, 213, 218
identificación IKE de grupo, container ............... 187 bidireccional ..........................................................208
latidos ..................................................................... 293 túnel ........................................................................213
mensajes de saludo .............................................. 293 LAC ................................................................................205
propuestas de fase 1, predefinidas ......................... 9 NetScreen-Remote 5.0..........................................206
propuestas de fase 2, predefinidas ....................... 11 Windows 2000 ......................................................206
puertas de enlace redundantes ................. 290 a 303 Layer 2 Tunneling Protocol
recomendaciones de ID IKE .................................. 72 véase L2TP
usuario de identificación IKE Lista de revocación de certificados........................23, 35
compartida ................................................ 198 a 203 carga .........................................................................23
usuario de identificación IKE de grupo .... 183 a 198 LNS ................................................................................205
infraestructura de claves públicas
véase PKI M
intercambio de claves de Internet mantenimiento de conexión
véase IKE frecuencia, NAT-T de ............................................238
interfaces manual keys (claves manuales)..........................120, 126
extendidas ............................................................. 141 MD5...................................................................................6
nula ........................................................................... 87 Message Digest versión 5 (MD5)....................................6
IPSec MIP, VPNs .....................................................................141
AH ................................................................... 2, 54, 60 modo de transporte.................................4, 208, 213, 218
ESP .................................................................. 2, 54, 60 Modo de túnel ..................................................................4
firma digital ............................................................. 20 modo dinámico..............................................................10
L2TP sobre IPSec ...................................................... 4 Modo principal ...............................................................10
modo de transporte .......................... 4, 208, 213, 218 modos
Modo de túnel ........................................................... 4 Criptografía Fase 1 ............................................49, 56
negociación de túnel................................................. 9 Dinámico ..................................................................10
SAs ................................................................ 2, 8, 9, 11 operativo L2TP ......................................................208
SPI ............................................................................... 2 Principal ...................................................................10
túnel ............................................................................ 2 Transporte ....................................4, 60, 208, 213, 218
Túnel .........................................................................60
K túnel ............................................................................4
keepalive módulo ............................................................................11
L2TP ........................................................................ 216
N
L NAT
L2TP .................................................................... 205 a 230 IPSec y NAT ...........................................................232
autenticado del túnel Windows 2000 ......... 216, 221 servidores NAT ......................................................232
bidireccional .......................................................... 208 NAT-dst
concentrador de accesos VPNs .......................................................................141
véase LAC NAT-src
configuración obligatoria ..................................... 205 VPNs .......................................................................144
IX-II Índice
Índice
Índice IX-III
Manual de referencia de ScreenOS: conceptos y ejemplos
V
Verisign ........................................................................... 35
VPN
AutoKey IKE .............................................................. 7
consejos de configuración.............................. 70 a 72
Diffie-Hellman, grupos ........................................... 10
directiva para bidireccionales .............................. 127
Fase 1 ......................................................................... 9
Fase 2 ....................................................................... 11
flujo de paquetes ............................................. 64 a 70
grupos redundantes, procedimiento de
recuperación........................................................ 295
grupos VPN ............................................................ 291
ID de proxy, coincidencia ...................................... 71
intercambio Diffie-Hellman ................................... 10
modo dinámico ....................................................... 10
Modo principal ........................................................ 10
múltiples túneles por interfaz de túnel ..... 254 a 288
opciones criptográficas .................................. 48 a 62
protección contra reprocesamiento
de paquetes ........................................................... 12
puertas de enlace redundantes ................. 290 a 303
SAs .............................................................................. 8
supervisión y reencriptación de VPN ................. 241
túnel siempre activo ............................................. 241
VPN AutoKey IKE ............................................................. 7
administración .......................................................... 7
VPN basada en directivas ............................................. 63
VPN basadas en rutas ........................................... 63 a 64
VPNs
alias FQDN ............................................................. 132
basadas en rutas o basadas en directivas ............ 63
FQDN para puertas de enlace ................... 131 a 141
MIP.......................................................................... 141
modo de transporte .................................................. 4
NAT para direcciones superpuestas.......... 141 a 152
NAT-dst................................................................... 141
NAT-src ................................................................... 144
W
WINS
ajustes de L2TP ..................................................... 211
X
XAuth
supervisión de VPN ............................................... 243
IX-IV Índice
Conceptos y ejemplos
Manual de Referencia de ScreenOS
Volumen 6:
Voz sobre protocolo de Internet (VoIP)
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Network’s installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen v
Convenciones del documento .......................................................................... v
Convenciones de la interfaz de línea de comandos (CLI) .......................... vi
Convenciones para las ilustraciones ........................................................ vii
Convenciones de nomenclatura y conjuntos de caracteres ..................... viii
Convenciones de la interfaz gráfica (WebUI) ............................................ ix
Documentación de Juniper Networks ............................................................... x
Contenido iii
Manual de referencia de ScreenOS: conceptos y ejemplos
Cuerpo SIP............................................................................................... 29
Supuesto de NAT con el protocolo SIP ..................................................... 30
Ejemplos ........................................................................................................ 32
Admisión de llamadas SIP entrantes utilizando el registrador SIP............ 33
Ejemplo: Llamada entrante (DIP de interfaz)..................................... 34
Ejemplo: Llamada entrante (conjunto de DIP) ................................... 37
Ejemplo: Llamada entrante con MIP ................................................. 39
Ejemplo: Proxy en la zona privada....................................................41
Ejemplo: Proxy en la zona pública ....................................................43
Ejemplo: Zona triple, proxy en DMZ ................................................. 46
Ejemplo: Untrust intrazonal .............................................................. 49
Ejemplo: Trust intrazonal .................................................................. 53
Ejemplo: VPN de malla completa para SIP ........................................ 55
Administrar el ancho de banda para servicios de VoIP ............................ 60
Índice ........................................................................................................................IX-I
iv Contenido
Acerca de este volumen
El Volumen 6: Voz sobre protocolo de Internet (VoIP) describe las puertas de enlace de
la capa de aplicación (ALG) de VoIP admitidas e incluye los siguientes capítulos:
En ejemplos:
En texto:
NOTA: Para escribir palabras clave, basta con introducir los primeros caracteres que
permitan al sistema reconocer de forma inequívoca la palabra que se está
introduciendo. Por ejemplo, es suficiente introducir set adm u kath j12fmt54
para que el sistema reconozca el comando set admin user kathleen j12fmt54.
Aunque este método se puede utilizar para introducir comandos, en la presente
documentación todos ellos se representan con sus palabras completas.
Interfaz de túnel
Servidor
Túnel VPN
Concentrador (hub)
Enrutador
Teléfono IP
Conmutador
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles ( “ ); por ejemplo:
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de
diálogo apropiado, donde podrá definir objetos y establecer parámetros de ajuste.
El conjunto de instrucciones de cada tarea se divide en ruta de navegación y ajustes
de configuración:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
techpubs-comments@juniper.net
“Ejemplos” en la página 2
Vista general
La puerta de enlace en la capa de aplicación (ALG) del protocolo H.323, permite
asegurar la comunicación de voz sobre IP (“Voice-over-IP” o VoIP) entre equipos
terminales, como teléfonos IP y dispositivos de multimedia. En estos sistemas de
telefonía, los equipos selectores (“gatekeeper”) gestionan el registro y la admisión
de llamadas, así como el estado de las llamadas “VoIP”. Los equipos selectores
pueden residir en dos zonas diferentes o en la misma zona.
Vista general 1
Manual de referencia de ScreenOS: conceptos y ejemplos
Ejemplos
Esta sección contiene los siguientes escenarios de configuraciones:
Equipo Internet
selector
Teléfonos IP de Teléfono IP de
punto final punto final
2.2.2.5
WebUI
1. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), IP_Phone
Service: H.323
Action: Permit
2 Ejemplos
Capítulo 1: Puerta de enlace en la capa de aplicación H.323
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone
Destination Address:
Address Book Entry: (seleccione), Any
Service: H.323
Action: Permit
CLI
1. Dirección
set address untrust IP_Phone 2.2.2.5/32
2. Directivas
set policy from trust to untrust any IP_Phone h.323 permit
set policy from untrust to trust IP_Phone any h.323 permit
save
LAN Internet
IP_Phone
IP_Phones 2.2.2.5/32
WebUI
1. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Ejemplos 3
Manual de referencia de ScreenOS: conceptos y ejemplos
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), IP_Phone
Service: H.323
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone
Destination Address:
Address Book Entry: (seleccione), Any
Service: H.323
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Gatekeeper
Service: H.323
Action: Permit
CLI
1. Direcciones
set address untrust IP_Phone 2.2.2.5/32
set address untrust gatekeeper 2.2.2.10/32
2. Directivas
set policy from trust to untrust any IP_Phone h.323 permit
set policy from trust to untrust any gatekeeper h.323 permit
set policy from untrust to trust IP_Phone any h.323 permit
set policy from untrust to trust gatekeeper any h.323 permit
save
4 Ejemplos
Capítulo 1: Puerta de enlace en la capa de aplicación H.323
En este ejemplo, los dispositivos de la zona Trust son el host de punto final
(10.1.1.5) y el equipo selector (10.1.1.25). IP_Phone2 (2.2.2.5) está en la zona
Untrust. Configurará el dispositivo de seguridad para permitir tráfico entre el host
de punto final “IP_Phone1” y el equipo selector en la zona Trust y el host
“IP_Phone2” de punto final en la zona Untrust. Las dos zonas de seguridad Trust y
Untrust se encuentran en el dominio de enrutamiento trust-vr.
ethernet1 ethernet3
10.1.1.1/24 1.1.1.1/24
Zona Trust Zona Untrust
Equipo Internet
selector
10.1.1.25
MIP 1.1.1.25 -> 10.1.1.25 Puerta de
IP_Phone1 enlace IP_Phone2
10.1.1.5 MIP 1.1.1.5 -> 10.1.1.5 1.1.1.250 2.2.2.5
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Ejemplos 5
Manual de referencia de ScreenOS: conceptos y ejemplos
Network > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone1
Destination Address:
Address Book Entry: (seleccione), IP_Phone2
Service: H.323
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Gatekeeper
Destination Address:
Address Book Entry: (seleccione), IP_Phone2
Service: H.323
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone2
Destination Address:
6 Ejemplos
Capítulo 1: Puerta de enlace en la capa de aplicación H.323
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone2
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.25)
Service: H.323
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust IP_Phone1 10.1.1.5/32
set address trust gatekeeper 10.1.1.25/32
set address untrust IP_Phone2 2.2.2.5/32
3. Direcciones IP asignadas
set interface ethernet3 mip 1.1.1.5 host 10.1.1.5
set interface ethernet3 mip 1.1.1.25 host 10.1.1.25
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
5. Directivas
set policy from trust to untrust IP_Phone1 IP_Phone2 h.323 permit
set policy from trust to untrust gatekeeper IP_Phone2 h.323 permit
set policy from untrust to trust IP_Phone2 mip(1.1.1.5) h.323 permit
set policy from untrust to trust IP_Phone2 mip (1.1.1.25) h.323 permit
save
Ejemplos 7
Manual de referencia de ScreenOS: conceptos y ejemplos
ethernet1 ethernet3
10.1.1.1/24 1.1.1.1/24
Zona Trust Zona Untrust
Internet
LAN
Conjunto de DIP con ID 5
1.1.1.12 ~ 1.1.1.150
El nombre del conjunto de DIP puede ser DIP(id_num) para un DIP definido por el
usuario o DIP(interface) cuando el conjunto de DIP utilice la misma dirección que
una dirección IP de interfaz. Puede utilizar tales entradas de direcciones como
direcciones de destino en directivas, junto con servicios H.323, SIP u otros
protocolos VoIP (voz sobre IP) para admitir llamadas entrantes.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
ID: 5
IP Address Range: (seleccione), 1.1.1.12 ~ 1.1.1.150
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
Incoming NAT: (seleccione)
3. Direcciones
Objects > Addresses > List > New (para Trust): Introduzca los siguientes datos
y haga clic en OK:
8 Ejemplos
Capítulo 1: Puerta de enlace en la capa de aplicación H.323
Objects > Addresses > List > New (para Untrust): Introduzca los siguientes
datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phones1
Destination Address:
Address Book Entry: (seleccione), Any
Service: H.323
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone2
Destination Address:
Address Book Entry: (seleccione), DIP(5)
Service: H.323
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. DIP con NAT entrante
set interface ethernet3 dip 5 1.1.1.12 1.1.1.150 incoming
3. Direcciones
set address trust IP_Phones1 10.1.1.5/24
set address untrust IP_Phone2 2.2.2.5/32
4. Directivas
set policy from trust to untrust IP_Phones1 any h.323 nat src dip 5 permit
set policy from untrust to trust IP_Phone2 dip(5) h.323 permit
save
Ejemplos 9
Manual de referencia de ScreenOS: conceptos y ejemplos
LAN Internet
IP_Phone1 IP_Phone2
MIP 1.1.1.5 -> 10.1.1.5 2.2.2.5
10.1.1.5
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
10 Ejemplos
Capítulo 1: Puerta de enlace en la capa de aplicación H.323
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone1
Destination Address:
Address Book Entry: (seleccione), IP_Phone2
Service: H.323
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone1
Destination Address:
Address Book Entry: (seleccione), Gatekeeper
Service: H.323
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), IP_Phone2
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.5)
Service: H.323
Action: Permit
Ejemplos 11
Manual de referencia de ScreenOS: conceptos y ejemplos
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Gatekeeper
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.5)
Service: H.323
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust IP_Phone1 10.1.1.5/32
set address untrust gatekeeper 2.2.2.25/32
set address untrust IP_Phone2 2.2.2.5/32
3. Direcciones IP asignadas
set interface ethernet3 mip 1.1.1.5 host 10.1.1.5
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
5. Directivas
set policy from trust to untrust IP_Phone1 IP_Phone2 h.323 permit
set policy from trust to untrust IP_Phone1 gatekeeper h.323 permit
set policy from untrust to trust IP_Phone2 mip(1.1.1.5) h.323 permit
set policy from untrust to trust gatekeeper mip(1.1.1.5) h.323 permit
save
12 Ejemplos
Capítulo 2
Puerta de enlace de la capa de
aplicación del protocolo de inicio de
sesión
“Ejemplos” en la página 32
Vista general
El protocolo de inicio de sesión (SIP) es un protocolo conforme al estándar del
equipo de ingeniería para el desarrollo de Internet (IETF) en el que se define cómo
iniciar, modificar y finalizar sesiones multimedia a través de Internet. Estas
sesiones pueden ser de conferencias, telefonía o transferencias de datos
multimedia, con prestaciones como la mensajería inmediata y la movilidad de
aplicaciones en entornos de red.
SDP proporciona la información necesaria para que un sistema pueda unirse a una
sesión multimedia. SDP puede proporcionar datos como direcciones IP, números de
puerto, fechas y horas. Observe que la dirección IP y el número de puerto que
figuran en el encabezado del protocolo SDP (los campos “c=” y “m=”,
respectivamente) corresponden a la dirección y al puerto donde el cliente desea
Vista general 13
Manual de referencia de ScreenOS: conceptos y ejemplos
INVITE: Un usuario envía una petición INVITE para invitar a otro usuario a
participar en una sesión. El cuerpo de una petición INVITE puede contener la
descripción de la sesión. En el modo NAT, las direcciones IP en los campos de
encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se
modifican según consta en la Tabla 2 en la página 29.
ACK: El usuario que generó la petición INVITE envía una petición ACK para
confirmar la recepción de la respuesta final a la invitación INVITE. Si la petición
INVITE original no contenía la descripción de la sesión, entonces la petición
ACK debe incluirla. En el modo NAT, las direcciones IP en los campos de
encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y Record-Route: se
modifican según consta en la Tabla 2 en la página 29.
OPTIONS: Utilizado por el agente del usuario (UA) para obtener información
sobre las capacidades del proxy del protocolo SIP. Un servidor responde con
información sobre los métodos, protocolos de descripción de sesiones y
codificación de mensajes que admite. En el modo NAT, cuando la petición
OPTIONS se envía desde un NAT fuera del UA a un NAT dentro del proxy, la ALG
del protocolo SIP traduce la dirección en Request-URI y la dirección IP del
campo To: a la dirección IP correspondiente al cliente interno. Cuando el UA se
encuentra dentro del NAT y el proxy fuera del NAT, la ALG SIP traduce los
campos From:, Via: y Call-ID: según se muestra en la Tabla 2 en la página 29.
BYE: Un usuario envía una petición BYE para abandonar una sesión. Una
petición BYE de cualquier usuario cierra automáticamente la sesión. En el
modo NAT, las direcciones IP en los campos de encabezado Via:, From:, To:,
Call-ID:, Contact:, Route:, y Record-Route: se modifican según consta en la
Tabla 2 en la página 29.
CANCEL: Un usuario puede enviar una petición CANCEL para cancelar una
petición INVITE pendiente. Una petición CANCEL no tiene ningún efecto si el
servidor SIP que procesó la petición INVITE envió una respuesta final a dicho
INVITE antes de recibir la petición CANCEL. En el modo NAT, las direcciones IP
en los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y
Record-Route: se modifican según consta en la Tabla 2 en la página 29.
14 Vista general
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Notify: Se envía para informar a los abonados sobre los cambios en el estado al
que están abonados. En el modo NAT, la dirección IP en el campo de
encabezado Request-URI: se transforma en una dirección IP privada si el
mensaje procede de la red externa y entra en la red interna. La dirección IP en
los campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route:, y
Record-Route: se modifican según consta en la Tabla 2 en la página 29.
Por ejemplo, si el usuario A de una red privada establece una referencia para el
usuario B, que se encuentra en una red pública, hacia el usuario C, que también
pertenece a la red privada, la ALG SIP asigna nueva dirección IP y número de
puerto al usuario C para que el usuario B pueda ponerse en contacto con él. Sin
embargo, si el usuario C está registrado con un registrador, su asignación de
puertos se almacena en la tabla ALG NAT y se reutiliza para realizar la
traducción.
Vista general 15
Manual de referencia de ScreenOS: conceptos y ejemplos
Update: Se utiliza para abrir un ojo de aguja para información SDP nueva o
actualizada. Los campos de encabezado Via:, From:, To:, Call-ID:, Contact:,
Route:, y Record-Route: se modifican según consta en la Tabla 2 en la
página 29.
1xx, 202, 2xx, 3xx, 4xx, 5xx, 6xx Response Codes: Utilizados para indicar el
estado de una transacción. Los campos de encabezado se modifican según
consta en la Tabla 2 en la página 29.
Error del servidor (500 a 599): el servidor no pudo cumplir una petición
aparentemente válida
La Tabla 1 proporciona una lista completa de respuestas de SIP actuales, las que se
encuentran en los dispositivos de seguridad NetScreen compatibles.
16 Vista general
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Vista general 17
Manual de referencia de ScreenOS: conceptos y ejemplos
NOTA: Por “ojo de aguja” se entiende la apertura limitada de un puerto para permitir
determinado tráfico exclusivo.
La ALG SIP supervisa las transacciones SIP y crea y administra dinámicamente los
“ojos de aguja” basándose en la información que extrae de esas transacciones. La
ALG SIP NetScreen admite todos los métodos y respuestas del protocolo SIP
(consulte “Métodos de petición del protocolo SIP” en la página 14 y “Clases de
respuestas SIP” en la página 16). Puede permitir a las transacciones SIP atravesar el
cortafuegos de NetScreen creando una directiva estática que permita el servicio SIP.
Esta directiva habilita el dispositivo de seguridad para que intercepte tráfico SIP y
ejecute una de las siguientes acciones: permitir o denegar el tráfico o habilitar la
ALG SIP para abrir “ojos de aguja” por los que entregar la secuencia multimedia. La
ALG SIP sólo necesita abrir “ojos de aguja” para las peticiones y respuestas SIP que
contienen información multimedia (SDP). En cuanto a los mensajes SIP que no
contienen SDP, el dispositivo de seguridad simplemente los deja pasar.
La ALG SIP intercepta los mensajes SIP que contienen SDP y, utilizando un
analizador sintáctico, extrae la información que requiere para crear ojos de aguja.
La ALG SIP examina la porción SDP del paquete y un analizador sintáctico extrae
datos tales como direcciones IP y números de puerto, que la ALG SIP registra en
una tabla de ojos de aguja. La ALG SIP utiliza las direcciones IP y los números de
puerto registrados en la tabla de ojos de aguja para abrir nuevos ojos de aguja que
permitan a las secuencias multimedia atravesar el dispositivo de seguridad.
SDP
Protocolo de descripción de la sesión (“Session Description Protocol”). Las
descripciones de sesiones SDP consisten en un conjunto de líneas de texto. Pueden
contener información de la sesión y del medio. La información a nivel de sesión se
refiere a toda la sesión, mientras que la información a nivel de medio se refiere a
una determinada secuencia multimedia. Una descripción de sesión SDP siempre
contiene información a nivel de sesión al principio de la descripción, y puede
contener información a nivel de medio, que se incluye después.
NOTA: En la descripción de la sesión SDP, la información a nivel del medio comienza con
el campo “m=”.
18 Vista general
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
c= información de la conexión
m= anuncio de medio
m=<medio><puerto><transporte><lista formatos>
Vista general 19
Manual de referencia de ScreenOS: conceptos y ejemplos
La lista siguientes muestra la información que la ALG SIP necesita para crear un ojo
de aguja. Esta información procede de la descripción de la sesión SDP y de los
parámetros del dispositivo de seguridad:
Protocolo: UDP
IP de origen: desconocido
Tiempo de vida: Este valor indica el tiempo (en segundos) que permanece
abierto un ojo de aguja para permitir el paso de un paquete. Un paquete debe
pasar a través del ojo de aguja antes de que caduque este tiempo. Cuando
caduca, la ALG SIP elimina el ojo de aguja.
20 Vista general
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Cliente A 1.1.1.1 Zona Trust Dispositivo de seguridad Proxy SIP Zona Untrust Cliente B 2.2.2.2
1.El cliente A envía al proxy SIP
una petición INVITE destinada al Cliente B
2. Por SDP, la ALG SIP
a través del puerto 5060 en el dispositivo
crea un ojo de aguja para
de seguridad (SDP 1.1.1.1:2000) 3. El proxy SIP transmite la petición INVITE
1.1.1.1: 2000
al Cliente B
5. El proxy SIP transmite la
respuesta de "Ringing" (llamando)
del Cliente B al Cliente A a través 4. El Cliente B contesta al proxy SIP con una
del puerto 5060 en el dispositivo de respuesta "Ringing" (llamando)
seguridad
6. El Cliente B envía una respuesta 200 OK al
7. Por SDP, la ALG SIP
proxy SIP en respuesta a la petición INVITE
8. El proxy SIP transmite una respuesta 200 crea un ojo de aguja para
(SDP: 2.2.2.2: 3000)
OK del Cliente B al Cliente A a través del 2.2.2.2: 3000
dispositivo de seguridad
NOTA: La ALG SIP no crea ojos de aguja para el tráfico RTP y RTCP cuando la dirección IP
de destino es 0.0.0.0 (ya que indica que la sesión está retenida). Para poner una
sesión en estado retenido (“on hold”), por ejemplo, durante una comunicación
telefónica, un usuario (Usuario A) envía al otro usuario (Usuario B) un mensaje SIP
en el cual la dirección IP de destino es 0.0.0.0. De este modo se indica al
Usuario B que no envíe ningún medio hasta nuevo aviso. Si aún así el Usuario B
envía algún medio, el dispositivo de seguridad descarta los paquetes.
Vista general 21
Manual de referencia de ScreenOS: conceptos y ejemplos
Una llamada puede tener uno o varios canales de voz. Cada canal de voz tiene dos
sesiones (o dos secuencias de medios), una para RTP y otra para RTCP. En cuanto a
la gestión de las sesiones, el dispositivo de seguridad trata las sesiones de cada
canal de voz como un grupo. Los ajustes tales como el tiempo de espera por
inactividad se aplican a nivel de grupo, no a cada sesión.
Existen dos tipos de tiempo de espera por inactividad que determinan la duración
de un grupo:
WebUI
Para proteger servidores proxy SIP contra inundaciones causadas por peticiones
INVITE, debe utilizar la CLI.
22 Vista general
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
CLI
set sip protect deny dst-ip 1.1.1.3/24
set sip protect deny timeout 5
save
WebUI
CLI
set sip signaling-inactivity-timeout 30000
set sip media-inactivity-timeout 90
save
WebUI
Screening > Screen: Introduzca los siguientes datos y haga clic en Apply:
Zone: Untrust
UDP Flood Protection (seleccione)
CLI
set zone untrust screen udp-flood dst-ip 1.1.1.5 threshold 80000
save
Vista general 23
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga clic
en OK:
CLI
set zone untrust screen limit-session source-ip-based 20
save
La utilización conjunta de NAT con el servicio SIP es más complicada, porque los
mensajes SIP contienen direcciones IP tanto en los encabezados como en el cuerpo
SIP. Los encabezados SIP contienen información sobre el llamante y el receptor, y el
dispositivo de seguridad traduce esta información para ocultarla a la red exterior. El
cuerpo SIP contiene la información del protocolo de descripción de sesión (“Session
Description Protocol” o SDP), que contiene las direcciones IP y números de puerto
para la transmisión de los medios. El dispositivo de seguridad traduce la
información de SDP para asignar los recursos necesarios para enviar y recibir los
medios.
Cuando se envía un mensaje INVITE a través del cortafuegos, la ALG SIP recoge
información del encabezado del mensaje en una tabla de llamadas, que utiliza para
reenviar los mensajes subsiguientes al punto de destino correcto. Cuando un nuevo
mensaje, por ejemplo un ACK o 200 OK, ALG compara los campos From:, To:, y
Call-ID: con la tabla de llamadas para identificar el contexto de llamada del
mensaje. Si llega un nuevo mensaje INVITE que coincida con la llamada existente,
ALG lo procesa como REINVITE.
Cuando llega un mensaje con información de SDP, ALG asigna puertos y crea una
asignación NAT entre ellos y los puertos en el SDP. Dado que el SDP requiere
puertos consecutivos para los canales del protocolo en tiempo real (“Real Time
Protocol” o RTP) y del protocolo de control en tiempo real (“Real Time Control
Protocol” o RTCP), ALG proporciona puertos pares-impares consecutivos. Si no
encuentra ningún par de puertos, descarta el mensaje SIP.
Llamadas salientes
Cuando una llamada SIP se inicia mediante un mensaje de petición SIP desde la red
interna hacia la red externa, NAT reemplaza las direcciones IP y los números de
puerto en el SDP y crea un enlace para asignar las direcciones IP y los números de
puerto al cortafuegos de NetScreen. Via:, Contact:, Route:, y Record-Route: los
campos de encabezado de SIP, si están presentes, también se vinculan a la
dirección IP de la pared de fuego. ALG almacena estas asignaciones para utilizarlas
en retransmisiones y para los mensajes de respuesta SIP.
Llamadas entrantes
Las llamadas entrantes se inician desde la red pública hacia direcciones IP públicas
asignadas (MIP) o hacia direcciones IP de interfaces del dispositivo de seguridad.
Las MIP son direcciones IP configuradas estáticamente que apuntan a hosts
internos; las direcciones IP de interfaz son registradas dinámicamente por la ALG
mientras supervisa los mensajes REGISTER enviados por hosts internos al
registrador SIP. (Para obtener más información, consulte “Ejemplos” en la
página 32). Cuando el dispositivo de seguridad recibe un paquete SIP entrante,
genera una sesión y reenvía la carga de datos del paquete a la ALG SIP.
Cuando llega una respuesta OK 200, el proxy SIP examina la información SDP y lee
las direcciones IP y números de puerto de cada sesión de medios. La ALG SIP del
dispositivo de seguridad aplica NAT a las direcciones y números de puerto, abre
ojos de aguja para el tráfico saliente y restablece el tiempo de espera para las
puertas en la dirección de entrada.
Cuando llega la señal ACK de 200 OK, también atraviesa la ALG SIP. Si el mensaje
contiene información de SDP, la ALG SIP garantiza que las direcciones IP y los
números de puerto no sean cambiados con respecto al anterior INVITE; si lo son, la
ALG elimina los ojos de aguja antiguos y crea otros nuevos para permitir el paso de
los medios. ALG supervise también los campos de SIP Via:, Contact:, y
Record-Route: y abre nuevos ojos de aguja si detecta que estos campos han
cambiado.
Llamadas reenviadas
Una llamada es reenviada cuando, por ejemplo, el usuario A externo a la red llama
al usuario B dentro de la red y éste reenvía la llamada al usuario C fuera de la red. la
ALG SIP procesa la señal INVITE del usuario A como llamada entrante normal. Pero
cuando la ALG examina la llamada reenviada desde B a C, que se encuentra fuera
de la red, y detecta que B y C se pueden alcanzar a través de la misma interfaz, no
abre ojos de aguja en el cortafuegos, ya que los medios podrán fluir directamente
entre el usuario A y el usuario C.
Terminar la llamada
El mensaje BYE se utiliza para terminar una llamada. Cuando el dispositivo de
seguridad recibe un mensaje BYE, traduce los campos del encabezado igual que
hace con cualquier otro mensaje, pero debido a que los mensajes BYE debe ser
confirmados por el receptor con 200 OK, la ALG retrasa el desmontaje de la llamada
durante cinco segundos para dar tiempo a que se transmita el 200 OK.
Como medida preventiva, la ALG SIP utiliza valores de tiempo de espera restrictivos
para definir el tiempo máximo que una llamada puede existir. Esto garantiza que el
dispositivo de seguridad esté protegido en los siguientes casos:
Usuarios malévolos nunca envían un BYE para intentar atacar un ALG de SIP.
Cancelar la llamada
Cualquier interlocutor puede cancelar una llamada enviando un mensaje CANCEL.
En el momento de recibir un mensaje CANCEL, la ALG SIP cierra los ojos de aguja
(que haya abiertos) en todo el cortafuegos y libera los enlaces de direcciones. Antes
de liberar los recursos, la ALG retrasa el envejecimiento del canal de control durante
unos cinco segundos para dar tiempo a que pase la señal 200 OK final. La llamada
se termina cuando expira el tiempo de espera de cinco segundos, tanto si llega una
respuesta 487 como una 200.
Bifurcación
La bifurcación permite a un proxy SIP enviar un solo mensaje INVITE a múltiples
destinos simultáneamente. Cuando llegan los diferentes mensajes de respuesta 200
OK para esa única llamada, la ALG SIP analiza pero actualiza la información de la
llamada con el mensaje primer mensaje 200 OK que recibe.
Mensajes SIP
El formato de un mensaje SIP consta de una sección de encabezado SIP y del
cuerpo SIP. En mensajes de petición, la primera línea de la sección de encabezado
es la línea de petición, que incluye el tipo de método, Request-URI y la versión del
protocolo. En mensajes de respuesta, la primera línea es la línea de estado, que
contiene un código de estado. Los encabezados SIP contienen las direcciones IP y
números de puerto utilizados para la señalización. El cuerpo SIP, separado de la
sección de encabezado por una línea en blanco, está reservado para la información
de descripción de la sesión, que es opcional. Actualmente, los dispositivos de
seguridad Juniper Networks sólo admiten el protocolo SDP. El cuerpo SIP contiene
las direcciones IP y los números de puerto utilizados para transportar los medios.
Encabezados SIP
En el siguiente ejemplo de mensaje de petición SIP, NAT reemplaza las direcciones
IP en los campos del encabezado, mostrados en negrita, para ocultarlos a la red
exterior.
Call-ID: a12abcde@10.150.20.3
Contact: alice@10.150.20.3:5434
Route: <sip:netscreen@10.150.20.3:5060>
Record-Route: <sip:netscreen@10.150.20.3:5060>
Petición entrante
Respuesta saliente
Petición saliente
Respuesta entrante
La tabla siguiente muestra cómo se aplica NAT en cada uno de estos casos. Observe
que, para varios de los campos de encabezado, la ALG necesita saber algo más que
la mera procedencia interior o exterior de los mensajes. También necesita saber qué
cliente inició la llamada y si el mensaje es una petición o una respuesta.
Cuerpo SIP
La información SDP en el cuerpo SIP contiene direcciones IP que ALG utiliza para
crear canales para la secuencia de medios. La traducción de la sección SDP también
asigna recursos, es decir, números de puerto para enviar y recibir los medios.
El siguiente extracto de una sección SDP muestra los campos que se traducen para
la asignación de recursos.
Los mensajes SIP pueden contener más de una secuencia de medios. El concepto es
similar a adjuntar varios archivos a un mensaje de correo electrónico. Por ejemplo,
un mensaje INVITE enviado desde un cliente SIP a un servidor SIP puede tener los
siguientes campos:
Los dispositivos de seguridad Juniper Networks admiten hasta seis canales SDP
negociados para cada dirección, hasta un total de 12 canales por llamada. Para
obtener más información, consulte “SDP” en la página 18.
La sección SDP del mensaje INVITE indica dónde el llamante está dispuesto a
recibir medios. Observe que el ojo de aguja de los medios contiene dos números de
puertos, 52002 y 52003, para RTCP y RTP. El ojo de aguja Via/Contact proporciona
el número de puerto 5060 para la señalización SIP.
Dispositivo de seguridad
5.5.5.1 Cualquier
6.6.6.1 IP
52002/52003 Cualquier
45002/45003 puerto
5.5.5.1 Cualquier
6.6.6.1 IP
1234 Cualquier
5060 puerto
Dispositivo de seguridad
Cualquier IP 6.6.6.2
Cualquier 62002/62003
puerto
Ojo de aguja Via/Contact
Cualquier IP 6.6.6.2
Cualquier 5060
puerto
Ejemplos
Esta sección contiene los siguientes ejemplos de supuestos:
32 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Ejemplos 33
Manual de referencia de ScreenOS: conceptos y ejemplos
Dispositivo de seguridad
200 OK
From: ph1@6.6.6.1
200 OK To: ph1@6.6.6.1
From: ph1@5.5.5.1 Actualizar el CSeq 1 INVITE
To: ph1@5.5.5.1 valor del tiempo Contact <sip: 6.6.6.1:5555>
CSeq 1 INVITE de espera Expires: 3600
Contact <sip: 5.5.5.1:1234>
Expires: 3600
34 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
ethernet1 ethernet3
10.1.1.1/24 1.1.1.1/24
Trust Untrust
Dispositivo de seguridad
LAN Internet
DIP de interfaz en
ethernet 3
phone2 Servidor proxy
phone1 1.1.1.3
10.1.1.3 1.1.1.4
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Ejemplos 35
Manual de referencia de ScreenOS: conceptos y ejemplos
4. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address
Address Book Entry: (seleccione), phone1
Destination Address
Address Book Entry: (seleccione), any
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address
Address Book Entry: (seleccione), Any
Destination Address
Address Book Entry: (seleccione), DIP(ethernet3)
Service: SIP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24
set address untrust phone2 1.1.1.4/24
set address untrust proxy 1.1.1.3/24
3. DIP con NAT entrante
set interface ethernet3 dip interface-ip incoming
set dip sticky
4. Directivas
set policy from trust to untrust phone1 any sip nat src permit
set policy from untrust to trust any dip(ethernet3) sip permit
save
36 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
ethernet1 ethernet3
10.1.1.1/24 1.1.1.1/24
Trust Untrust
Dispositivo de seguridad
LAN Internet
Conjunto de DIP en
ethernet3
phone1 1.1.1.20 ->1.1.1.40 phone2 Servidor proxy
10.1.1.3 1.1.1.4 1.1.1.3
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Ejemplos 37
Manual de referencia de ScreenOS: conceptos y ejemplos
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
ID: 5
IP Address Range: (seleccione), 1.1.1.20 ~ 1.1.1.40
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
Incoming NAT: (seleccione)
4. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address
Address Book Entry: (seleccione), phone1
Destination Address
Address Book Entry: (seleccione), Any
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): 5 (1.1.1.20-1.1.1.40)/port-xlate
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address
Address Book Entry: (seleccione), Any
Destination Address
Address Book Entry: (seleccione), DIP(5)
Service: SIP
Action: Permit
38 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24
set address untrust phone2 1.1.1.4/24
set address untrust proxy 1.1.1.3/24
3. Conjunto de DIP con NAT entrante
set interface ethernet3 dip 5 1.1.1.20 1.1.1.40 incoming
set dip sticky
4. Directivas
set policy from trust to untrust phone1 any sip nat src dip 5 permit
set policy from untrust to trust any dip(5) sip permit
save
ethernet1 ethernet3
10.1.1.1/24 1.1.1.1/24
Trust Untrust
Dispositivo de seguridad
LAN Internet
Servidor proxy
Dispositivo
phone1 virtual MIP en
ethernet3 phone2
10.1.1.3 1.1.1.4
1.1.1.1/24
Ejemplos 39
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Route
2. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione), any
40 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.3)
Service: SIP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24
set address untrust phone2 1.1.1.4/24
set address untrust proxy 1.1.1.3/24
3. MIP
set interface ethernet3 mip 1.1.1.3 host 10.1.1.3
4. Directiva
set policy from untrust to trust any mip(1.1.1.3) sip permit
save
ethernet1 ethernet3
10.1.1.1/24 1.1.1.1/24
Trust Untrust
Dispositivo de seguridad
LAN Internet
Dispositivo virtual
MIP en ethernet3
Servidor proxy phone1 1.1.1.2 -> 10.1.1.4 phone2
10.1.1.4 10.1.1.3 1.1.1.4
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Ejemplos 41
Manual de referencia de ScreenOS: conceptos y ejemplos
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Route
2. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione) any
Destination Address:
Address Book Entry: (seleccione) phone2
Service: SIP
Action: Permit
42 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), phone2
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.2)
Service: SIP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24
set address untrust phone2 1.1.1.4/24
set address trust proxy 10.1.1.4/24
3. MIP
set interface ethernet3 mip 1.1.1.2 host 10.1.1.4
4. Directivas
set policy from trust to untrust any phone2 sip nat src permit
set policy from untrust to trust phone2 mip(1.1.1.2) sip permit
save
Ejemplos 43
Manual de referencia de ScreenOS: conceptos y ejemplos
ethernet1 ethernet3
10.1.1.1/24 1.1.1.1/24
Trust Untrust
Dispositivo de seguridad
LAN Internet
DIP de
interfaz en
phone1 ethernet3 phone2 Servidor proxy
10.1.1.3 1.1.1.4 1.1.1.3
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Route
2. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
44 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
3. DIP de interfaz
Network > Interface > Edit (para ethernet3) > DIP: Seleccione la casilla de
verificación Incoming NAT.
4. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), phone1
Destination Address:
Address Book Entry: (seleccione), Any
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), DIP(ethernet3)
Service: SIP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust phone1 10.1.1.3/24
set address untrust phone2 1.1.1.4/24
set address untrust proxy 1.1.1.3/24
3. DIP de interfaz
set interface ethernet3 dip interface-ip incoming
4. Directivas
set policy from trust to untrust phone1 any sip nat src permit
set policy from untrust to trust any dip(ethernet3) sip permit
save
Ejemplos 45
Manual de referencia de ScreenOS: conceptos y ejemplos
Untrust
Internet
phone2
1.1.1.4
ethernet3
1.1.1.1/24
ethernet2
2.2.2.2/24 DMZ
Dispositivo
NetScreen Servidor proxy
2.2.2.4
ethernet1
10.1.1.1/24
Dispositivo virtual
MIP en ethernet2
2.2.2.3-> 10.1.1.3
LAN
phone1
10.1.1.3
Trust
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
46 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione), phone1
Destination Address:
Address Book Entry: (seleccione), proxy
Service: SIP
Action: Permit
Ejemplos 47
Manual de referencia de ScreenOS: conceptos y ejemplos
> Advanced: Escriba lo siguiente, haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: Enable
(DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), proxy
Destination Address:
Address Book Entry: (seleccione), phone2
Service: SIP
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), phone2
Destination Address:
Address Book Entry: (seleccione), phone1
Service: SIP
Action: Permit
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), phone2
Destination Address:
Address Book Entry: (seleccione), proxy
Service: SIP
Action: Permit
Policies > (From: DMZ, To: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), proxy
Destination Address:
Address Book Entry: (seleccione), MIP(2.2.2.3)
Service: SIP
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), phone1
Destination Address:
Address Book Entry: (seleccione), phone2
Service: SIP
Action: Permit
48 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
> Advanced: Escriba lo siguiente, haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: Enable
(DIP on): None (utilizar la IP de la interfaz de salida)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet3 route
set interface ethernet2 zone dmz
set interface ethernet2 ip 2.2.2.2/24
set interface ethernet2 route
2. Direcciones
set address trust phone1 10.1.1.3/24
set address untrust phone2 1.1.1.4/24
set address dmz proxy 2.2.2.4
3. MIP
set interface2 mip 2.2.2.3 host 10.1.1.3
4. Directivas
set policy from trust to dmz phone1 proxy sip nat src permit
set policy from dmz to untrust proxy phone2 sip permit
set policy from untrust to trust phone2 phone1 sip permit
set policy from untrust to dmz phone2 proxy sip permit
set policy from dmz to trust proxy mip(2.2.2.3) sip permit
set policy from trust to untrust phone1 phone2 sip nat src permit
save
Ejemplos 49
Manual de referencia de ScreenOS: conceptos y ejemplos
Untrust
phone1 phone2
1.1.1.4 1.1.2.4
Internet
ethernet4 ethernet3
1.1.1.1/24 1.1.1.1/24
Bucle invertido 1
1.1.4.1/24
MIP en Loopback.1
1.1.4.5 -> 10.1.1.5
ethernet1
10.1.1.1/24
LAN
proxy
10.1.1.5
Trust
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.1.1/24
50 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 1.1.2.1/24
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en OK:
Ejemplos 51
Manual de referencia de ScreenOS: conceptos y ejemplos
Source Address:
Address Book Entry: (seleccione), proxy
Destination Address:
Address Book Entry: (seleccione), Any
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: Enable
(DIP on): None (utilizar la IP de la interfaz de salida)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.4.5)
Service: SIP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.2.1/24
set interface ethernet3 route
set interface ethernet4 zone untrust
set interface ethernet4 ip 1.1.1.1/24
set interface ethernet4 route
set interface loopback.1 zone untrust
set interface loopback.1 ip 1.1.4.1/24
set interface loopback.1 route
2. Direcciones
set address trust proxy 10.1.1.5/32
set address untrust phone1 1.1.1.4/32
set address untrust phone2 1.1.2.4/32
52 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
3. Grupo Loopback
set interface ethernet3 loopback-group loopback.1
set interface ethernet4 loopback-group loopback.1
4. MIP
set interface loopback.1 mip 1.1.4.5 host 10.1.1.5
5. Bloqueo
unset zone untrust block
6. Directivas
set policy from trust to untrust proxy any sip nat src permit
set policy from untrust to trust any mip(1.1.4.5) sip permit
save
Trust Untrust
Dispositivo de seguridad
Internet
LAN
DIP de
phone2 ethernet2 interfaz en
10.1.2.2 10.1.2.1/24 ethernet3
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en Apply:
Zone: Trust
Static IP: (seleccione esta opción si es posible)
Ejemplos 53
Manual de referencia de ScreenOS: conceptos y ejemplos
IP Address/Netmask: 10.1.2.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone: Untrust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 3.3.3.3/24
2. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), proxy
Service: SIP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
54 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address
Address Book Entry: (seleccione) proxy
Destination Address
Address Book Entry: (seleccione) Any
Service: SIP
Action: Permit
> Advanced: Introduzca los siguientes datos, luego haga clic en Return
para establecer las opciones avanzadas:
NAT:
Source Translation: (seleccione)
(DIP on): None (utilizar la IP de la interfaz de salida)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone trust
set interface ethernet2 ip 10.1.2.1/24
set interface ethernet2 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 3.3.3.3/24
set interface ethernet3 route
2. Direcciones
set address trust phone1 10.1.1.3/24
set address trust phone2 10.1.2.2/24
set address untrust proxy 3.3.3.4/24
3. DIP de interfaz
set interface ethernet3 dip interface-ip incoming
4. Directivas
set policy from trust to untrust any proxy sip nat src permit
set policy from untrust to trust proxy dip(ethernet3) sip permit
save
Ejemplos 55
Manual de referencia de ScreenOS: conceptos y ejemplos
NOTA: Los dispositivos de seguridad utilizados en este ejemplo deben tener disponibles
cuatro interfaces configurables independientemente.
Proxy
Nota: La zona Untrust de Oficina central 10.1.3.3
cada dispositivo no se Zona Trust
muestra
Trust
eth2/8-10.1.3.1
túnel 1 túnel 2
6.6.6.6 Central 7.7.7.7
Untrust Untrust
eth2/1-1.1.1.1 eth2/2-1.1.2.1
Untrust Untrust
Trust eth4-4.4.4.4 eth4-5.5.5.5 Trust
eth1-10.1.1.1 eth1-10.1.2.1
Enrutador de puerta
Zona Trust de enlace Zona Trust
A sucursal-1: 4.4.4.4
A sucursal-2: 5.5.5.5
Sucursal primera interfaz tunnel.3 sin interfaz tunnel.3 sin Sucursal segunda
phone1 numerar numerar phone2
10.1.1.3 10.1.2.3
56 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
2. Dirección
Objects > Addresses > List > New
3. VPN
VPNs > AutoKey IKE > New: > Advanced
4. Enrutamiento
Network > Routing > Routing Entries > New
5. Directivas
Policies > (From: Untrust, To: Trust) New
Ejemplos 57
Manual de referencia de ScreenOS: conceptos y ejemplos
WebUI (sucursal 2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1)
2. Dirección
Objects > Addresses > List > New
3. VPN
VPNs > AutoKey IKE > New: > Advanced
4. Enrutamiento
Network > Routing > Routing Entries > New
5. Directivas
Policies > (From: Untrust, To: Trust) New
CLI (sucursal 2)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface ethernet4 zone untrust
set interface ethernet4 ip 5.5.5.5/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
set interface tunnel.3 zone untrust
set interface tunnel.3 ip unnumbered interface ethernet4
2. Dirección
set address trust phone1 10.1.1.3/32
3. VPN
set ike gateway to-central address 1.1.1.1 Main outgoing-interface ethernet3
preshare "netscreen" sec-level standard
set ike gateway to-ns50 address 5.5.5.5 Main outgoing-interface ethernet4
preshare "netscreen" sec-level standard
set vpn vpncentral gateway to-central no-replay tunnel idletime 0 sec-level standard
set vpn vpncentral id 4 bind interface tunnel.1
set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletime 0 sec-level standard
set vpn vpn-ns50 id 5 bind interface tunnel.3
4. Rutas
set route 10.1.3.0/24 interface tunnel.1
set route 10.1.2.0/24 interface tunnel.3
58 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
5. Directivas
set policy from trust to untrust phone1 any sip permit
set policy from untrust to trust any phone1 sip permit
save
WebUI (sucursal 1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1)
2. Dirección
Objects > Addresses > List > New
3. VPN
VPNs > AutoKey IKE > New: > Advanced
4. Enrutamiento
Network > Routing > Routing Entries > New
5. Directivas
Policies > (From: Untrust, To: Trust) New
CLI (sucursal 1)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 3.3.3.3/24
set interface ethernet4 zone untrust
set interface ethernet4 ip 4.4.4.4/24
set interface tunnel.2 zone untrust
set interface tunnel.2 ip unnumbered interface ethernet3
set interface tunnel.3 zone untrust
set interface tunnel.3 ip unnumbered interface ethernet4
2. Dirección
set address trust phone2 10.1.2.1/32
3. VPN
set ike gateway to-central address 1.1.2.1 main outgoing-interface ethernet3
preshare "netscreen" sec-level standard
set ike gateway to-ns50 address 4.4.4.4 main outgoing-interface ethernet4
preshare "netscreen" sec-level standard
set vpn vpncentral gateway to-central no-replay tunnel idletime 0 sec-level standard
set vpn vpncentral bind interface tunnel.2
set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletime 0 sec-level standard
set vpn vpn-ns50 bind interface tunnel.3
Ejemplos 59
Manual de referencia de ScreenOS: conceptos y ejemplos
4. Rutas
set route 10.1.1.0/24 interface tunnel.3
set route 10.1.3.0/24 interface tunnel.2
5. Directivas
set policy from trust to untrust phone2 any sip permit
set policy from untrust to trust any phone2 sip permit
save
60 Ejemplos
Capítulo 2: Puerta de enlace de la capa de aplicación del protocolo de inicio de sesión
El lado izquierdo de la Figura 23 muestra la utilización del ancho de banda con esos
ajustes y un elevado tráfico de oficina atravesando la interfaz, así como uso un nivel
de utilización bajo de VoIP. Si VoIP necesitase repentinamente más ancho de banda,
a menos que su prioridad fuese superior a la de los servicios del tráfico de la
oficina, no podría conseguirla. El lado derecho de la ilustración muestra el grado de
utilización del ancho de banda en las mismas circunstancias que cuando VoIP tiene
alta prioridad y el tráfico de la oficina tiene una prioridad inferior. Para obtener más
información sobre niveles de configuración de ancho de banda y de la prioridad,
consulte “Asignar tráfico” en la página 197.
VoIP
gbw 512 kbps Tráfico de
VoIP
VoIP
Ancho de banda mbw 1536 kbps mbw 1024 kbps Ancho de banda
total de 2 Mbps total de 2 Mbps
Ejemplos 61
Manual de referencia de ScreenOS: conceptos y ejemplos
62 Ejemplos
Capítulo 3
Puerta de enlace en la capa de
aplicación del Protocolo de control de la
puerta de medios
“Ejemplos” en la página 70
Vista general
El protocolo de control de la puerta de medios (MGCP) es admitido en los
dispositivos de seguridad en modo de ruta, modo transparente y modo de
traducción de direcciones de red (NAT). MGCP es un protocolo de la capa de
aplicación basado en texto que se utiliza para establecer y controlar llamadas.
MGCP se basa en una arquitectura de control de llamadas maestro-esclavo en el
que el controlador de la puerta de medios, por medio del agente de llamada,
mantiene la inteligencia de control de las llamadas, mientras las puertas de medios
siguen las instrucciones del agente de llamadas.
Vista general 63
Manual de referencia de ScreenOS: conceptos y ejemplos
Gestiona los ojos de aguja para tráfico de VoIP. Para mantener la red VoIP
segura, ALG identifica la información del puerto y dirección IP utilizada para
medios o señalización y crea en forma dinámica cualquier ojo de aguja que sea
necesario y lo cierra durante el establecimiento de la llamada.
Seguridad de MGCP
La ALG de MGCP incluye las siguientes características de seguridad:
Control de inundaciones de mensajes MGCP por puerta. Una puerta que esté
pirateada o averiada no interrumpirá la red completa de VoIP. Al combinarla
con el control de inundación por puerta de enlace, el daño se reduce a la puerta
afectada.
Protocolo MGCP
MGCP es un protocolo de la capa de aplicación basado en texto que se utiliza para
establecer llamadas y controlar. El protocolo se basa en una arquitectura de control
de llamadas maestro/esclavo: El controlador de la puerta de medios (agente de
llamada) mantiene la inteligencia de control de la llamada y las puertas de medios
siguen las instrucciones del agente de llamada.
Entidades en MGCP
Hay cuatro entidades básicas en MGCP:
64 Seguridad de MGCP
Capítulo 3: Puerta de enlace en la capa de aplicación del Protocolo de control de la puerta de medios
“Conexión” en la página 65
“Llamada” en la página 65
Punto final
Una puerta de medios (MG) es una recopilación de puntos finales. Un punto final
puede ser una línea analógica, una troncal o cualquier otro punto de acceso. Un
punto final se denomina de la siguiente manera:
nombre-punto-final-local@nombre-dominio
A continuación se incluyen algunos identificadores válidos de puntos finales:
group1/Trk8@mired.net
group2/Trk1/*@[192.168.10.8] (comodines)
$@voiptel.net (cualquier punto final dentro de MG)
*@voiptel.net (todos los puntos finales dentro de MG)
Conexión
Las conexiones se crean en cada punto final por medio de una MG durante el
establecimiento de llamadas. Una llamada VoIP típica implica dos conexiones: una
llamada compleja, por ejemplo una llamada de terceros o llamada de conferencia,
podría requerir más conexiones. El controlador de la puerta de medios (MGC)
puede instruir a las puertas de medios para crear, modificar, eliminar y auditar una
conexión.
Llamada
La identificación de la llamada representa la llamada. El MGC crea dicha
identificación al establecer una nueva llamada. La identificación de la llamada es
una cadena hexadecimal con una longitud máxima de 32 caracteres. La
identificación de la llamada es única dentro de MGC. Dos o más conexiones pueden
tener la misma identificación de llamada, siempre que pertenezcan a la misma
llamada.
Agente de llamada
Uno o más agentes de llamada (también llamados controladores de la puerta de
medios) son admitidos en MGCP para mejorar la confiabilidad en la red VoIP. A
continuación se incluyen dos ejemplos de nombres de agentes de llamada:
AgenteLlamada@CAvoip.mired.com
CAvoip.mired.com
Protocolo MGCP 65
Manual de referencia de ScreenOS: conceptos y ejemplos
Comandos
El protocolo MGCP define nueve comandos para controlar los puntos finales y las
conexiones. Todos los comandos están compuestos de un encabezado del
comando, seguido opcionalmente por la información del protocolo de descripción
de sesión (SDP). Un encabezado de comando tiene los siguientes elementos:
La Tabla 3 enumera los comandos MGCP admitidos, con una descripción de cada
uno, la sintaxis del comando y ejemplos. Consulte la norma RFC 2234 para obtener
una explicación completa de la sintaxis del comando.
66 Protocolo MGCP
Capítulo 3: Puerta de enlace en la capa de aplicación del Protocolo de control de la puerta de medios
Verbo del
comando Descripción Sintaxis del comando Ejemplos
EPCF EndpointConfiguration: ReturnCode EPCF 2012 wxx/T2@mired.com MGCP 1.0
utilizado por un agente de [PackageList] B: e:mu
llamada para informar EndpointConfiguration (EndpointId,
sobre una puerta de [BearerInformation])
características de
codificación (ley a o ley
mu) que espera el lado de
la línea del punto final.
CRCX CreateConnection: ReturnCode, CRCX 1205 aaln/1@gw-25.att.net MGCP 1.0
utilizado por un agente de [ConnectionId], C: A3C47F21456789F0
llamada para indicarle a la [SpecificEndPointId], L: p:10, a:PCMU
puerta que cree una [LocalConnectionDescriptor], M: sendrecv
conexión con un punto [SecondEndPointId], X: 0123456789AD
final dentro de la puerta. [SecondConnectionId],[Pac R: L/hd
kageList] S: L/rg
CreateConnection (CallId, v=0
EndpointId, o=- 25678 753849 IN IP4 128.96.41.1
[NotifiedEntity], s=-
[LocalConnectionOption], c=IN IP4 128.96.41.1
Mode, t=0 0
[{RemoteConnectionDescriptor | m=audio 3456 RTP/AVP 0
SecondEndpoindId}],
[encapsulated RQNT],
[encapsulated RQNT],
MDCX ModifyConnection: ReturnCode, MDCX 1210 aaln/1@rgw-25.att.net MGCP 1.0
utilizado por un agente de [LocalConnectionDescriptor,] C: A3C47F21456789F0
llamada para indicarle a [PackageList] I: FDE234C8
una puerta que cambie ModifyConnection (CallId, M: recvonly
los parámetros de una EndpointId, X: 0123456789AE
conexión existente. ConnectionId, R: L/hu
[NotifiedEntity], S: G/rt
[LocalConnectionOption], v=0
[Mode,] o=- 4723891 7428910 IN IP4 128.96.63.25
[RemoteConnectionDescriptor], s=-
[encapsulated RQNT], c=IN IP4 128.96.63.25
[encapsulated RQNT], t=0 0
m=audio 3456 RTP/AVP 0
DLCX DeleteConnection: ReturnCode, Ejemplo 1: MGC -> MG
utilizado por un agente de ConnectionParameters, DLCX 9210 aaln/1@rgw-25.att.net MGCP 1.0
llamada para indicarle a [PackageList] C: A3C47F21456789F0
una puerta que elimine DeleteConnection (CallId, I: FDE234C8
una conexión existente. EndpointId,
ConnectionId, Ejemplo 2: MG -> MGC
Una puerta puede utilizar
el comando [NotifiedEntity], DLCX 9310 aaln/1@rgw-25.att.net MGCP 1.0
DeleteConnection para [encapsulated RQNT], C: A3C47F21456789F0
liberar una conexión que [encapsulated RQNT], I: FDE234C8
ya no puede mantenerse. E: 900 - Hardware error
P: PS=1245, OS=62345, PR=780,
OR=45123, PL=10, JI=27, LA=48
Protocolo MGCP 67
Manual de referencia de ScreenOS: conceptos y ejemplos
Verbo del
comando Descripción Sintaxis del comando Ejemplos
RQNT Un agente de llamada ReturnCode, RQNT 1205 aaln/1@rgw-25.att.net MGCP 1.0
utiliza el comando [PackageList] N: ca-new@callagent-ca.att.net
NotificationRequest para NotificationRequest[ (EndpointId, X: 0123456789AA
indicarle a una MG que [NotifiedEntity,] R: L/hd(A, E(S(L/dl),R(L/oc,L/hu,D/[0-9#*T](D))))
supervise determinados [RequestedEvents,] D: (0T|00T|xx|91xxxxxxxxxx|9011x.T)
eventos o señales para un RequestIdentifier, S:
punto final específico. [DigitMap,] T: G/ft
[SignalRequests,]
[QuarantineHandling,]
[DetectEvents,]
[encapsulated EPCF])
NTFY Notify: lo utiliza una ReturnCode, NTFY 2002 aaln/1@rgw-25.att.net MGCP 1.0
puerta de enlace para [PackageList] N: ca@ca1.att.net:5678
informarle al agente de Notify (EndpointID, X: 0123456789AC
llamada cuando se [NotifiedEntity,] O: L/hd,D/9,D/1,D/2,D/0,D/1,D/8,D/2,D/9,D/4,
produce determinaos RequestIdentifier, D/2,D/6,D/6
eventos o señales ObservedEvents)
solicitados.
AUEP AuditEndpoint: lo utiliza ReturnCode, Ejemplo 1:
un agente de llamada EndPointIdList, | { AUEP 1201 aaln/1@rgw-25.att.net MGCP 1.0
para revisar el estado del [RequestedEvents,] F: A, R,D,S,X,N,I,T,O
punto final. [QuarantineHandling,] Ejemplo 2:
[DigitMap,] AUEP 1200 *@rgw-25.att.net MGCP 1.0
[SignalRequests,]
[RequestedIdentifier,]
[NotifiedEntity,]
[ConnectionIdentifier,]
[DetectEvents,]
[ObservedEvents,]
[EventStats,]
[BearerInformation,]
[BearerMethod,]
[RestartDelay,]
[ReasonCode,]
[MaxMGCPDatagram,]
[Capabilities]}
[PackageList]
AuditEndpoint (EndpointId,
[RequestedInfo])
68 Protocolo MGCP
Capítulo 3: Puerta de enlace en la capa de aplicación del Protocolo de control de la puerta de medios
Verbo del
comando Descripción Sintaxis del comando Ejemplos
AUCX AuditConnection: lo utiliza ReturnCode, AUCX 3003 aaln/1@rgw-25.att.net MGCP 1.0
el agente de llamada para [CallId,] I: 32F345E2
recopilar los parámetros [NotifiedEntity,] F: C,N,L,M,LC,P
que se aplicaron a una [LocalConnectionOptions,]
conexión. [Mode,]
[RemoteConnectionDescriptor,]
[LocalConnectionDescriptor,]
[ConnectionParameters,]
[PackageList]
AuditConnection (EndpointId,
ConnectionId,
RequestedInfo)
RSIP RestartInProgress: lo ReturnCode, RSIP 5200 aaln/1@rg2-25.att.net MGCP 1.0
utiliza una puerta de [NotifiedEntity,] RM: graceful
enlace para notificar a un [PackageList] RD: 300
agente de llamada que RestartInProgress (EndpointId,
uno o más puntos finales RestartMethod,
entran en servicio o dejan [RestartDelay,]
de estar en servicio. [ReasonCode])
Códigos de respuesta
Cada comando que envía el agente de llamada o la puerta de enlace, sea exitoso o
no, requiere un código de respuesta. El código de respuesta se encuentra en el
encabezado del mensaje de respuesta y, opcionalmente, también puede incluir la
información de descripción de la sesión.
200 1204 OK
I: FDE234C8
v=0
o=- 25678 753849 IN IP4 128.96.41.1
s=-
c=IN IP4 128.96.41.1
t=0 0
m=audio 3456 RTP/AVP 96
a=rtpmap:96 G726-32/8000
Los rango de códigos de respuesta se definen de la siguiente forma:
Protocolo MGCP 69
Manual de referencia de ScreenOS: conceptos y ejemplos
Consulte la norma RFC 3661 si desea información detallada sobre los códigos de
respuesta.
Ejemplos
Esta sección incluye los siguientes supuestos de configuraciones:
70 Ejemplos
Capítulo 3: Puerta de enlace en la capa de aplicación del Protocolo de control de la puerta de medios
Untrust
IAD
Teléfono IP
IAD
Dispositivo de seguridad
Ethernet 3 Teléfono IP
2.2.2.0/24 Red del proveedor IAD
de servicio de cable
Ethernet 4
10.1.1.2
Teléfono IP
IAD
Trust
Agente de
llamada
Teléfono IP
WebUI
1. Zonas
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Ejemplos 71
Manual de referencia de ScreenOS: conceptos y ejemplos
3. Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en Apply:
Name: Pol-CA-To-Subscribers
Source Address
Address Book Entry: (seleccione), call_agent1
Destination Address
Address Book Entry: (seleccione), SubscriberSubNet
Service: MGCP-UA
Action: Permit
Name: Pol-Subscribers-To-CA
Source Address
Address Book Entry: (seleccione), SubscriberSubNet
Destination Address
Address Book Entry: (seleccione), call_agent1
Service: MGCP-UA
Action: Permit
CLI
1. Zonas
set zone name untrust_subscriber
set zone name trust_ca
2. Direcciones
set address untrust_subscriber SubscriberSubNet 2.2.2.0 255.255.255.0 “Our
subscribers' network”
set address trust_ca call_agent1 10.1.1.101 255.255.255.255 “Our No. 1 call
agent”
72 Ejemplos
Capítulo 3: Puerta de enlace en la capa de aplicación del Protocolo de control de la puerta de medios
3. Interfaces
set interface ethernet3 zone untrust_subscriber “Our subscribers’ network”
set interface ethernet3 ip 2.2.2.0/24
set interface ethernet3 route
Por último, se deben crear las directivas. Para permitir la señalización de MGCP
entre el agente de llamada en la zona DMZ y la puerta de enlace en la zona Untrust,
se debe crear una directiva para cada dirección, haciendo referencia a la MIP que
protege al agente de llamada. Se debe crear otro par de directivas para permitir la
señalización entre el agente de llamada y la puerta de enlace en la zona Trust. Una
sola directiva es suficiente para permitir la comunicación bidireccional entre las
puertas de enlace en la zona Trust y Untrust.
Ejemplos 73
Manual de referencia de ScreenOS: conceptos y ejemplos
MIP de dispositivo
DMZ virtual en Ethernet6 -
3.3.3.101 - 10.1.1.101
west_ca
10.1.1.101
Zona Trust
sf_gw
2.2.2.201 Teléfono IP
WebUI
1. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
74 Ejemplos
Capítulo 3: Puerta de enlace en la capa de aplicación del Protocolo de control de la puerta de medios
2. Interfaces
Network > Interfaces > Edit (para ethernet4): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet5): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet6): Introduzca los siguientes datos y
haga clic en Apply:
Source Address
Address Book Entry: (seleccione), west_ca
Destination Address
Address Book Entry: (seleccione), asia_gw
Service: MGCP-UA
Action: Permit
Policies > (From: Untrust To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address
Address Book Entry: (seleccione), asia_gw
Destination Address
Address Book Entry: (seleccione), west_ca
Service: MGCP-UA
Action: Permit
Ejemplos 75
Manual de referencia de ScreenOS: conceptos y ejemplos
Policies > (From: Trust To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address
Address Book Entry: (seleccione), sf_gw
Destination Address
Address Book Entry: (seleccione), west_ca
Service: MGCP-UA
Action: Permit
Policies > (From: DMZ To: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address
Address Book Entry: (seleccione), west_ca
Destination Address
Address Book Entry: (seleccione), sf_gw
Service: MGCP-UA
Action: Permit
Policies > (From: Trust To: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address
Address Book Entry: (seleccione), sf_gw
Destination Address
Address Book Entry: (seleccione), asia_gw
Service: MGCP-UA
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): None (utilizar la IP de la interfaz de salida)
CLI
1. Direcciones
set address trust sf_gw 2.2.2.201/32 “gateway in s.f.”
set address untrust asia_gw 3.3.3.110/32 “gateway in asia”
set address dmz west_ca 10.1.1.101/32 “ca in west coast”
2. Interfaces
set interface ethernet4 ip 2.2.2.10/24
set interface ethernet4 route
set interface ethernet4 zone trust
76 Ejemplos
Capítulo 3: Puerta de enlace en la capa de aplicación del Protocolo de control de la puerta de medios
3. Dirección IP asignada
set interface ethernet6 mip 3.3.3.101 host 10.1.1.101 netmask
255.255.255.255 vrouter trust-vr
4. Directivas
set policy from dmz to untrust west_ca asia_gw mgcp-ua permit
set policy from untrust to dmz asia_gw mip(3.3.3.101) mgcp-ca permit
set policy from trust to untrust sf_gw asia_gw mgcp-ua nat src permit
Ejemplos 77
Manual de referencia de ScreenOS: conceptos y ejemplos
78 Ejemplos
Índice
A proxy en zona privada ............................................41
ALG ..................................................................................17 proxy en zona pública ............................................43
SIP .............................................................................13 trust intrazonal ........................................................53
SIP NAT ....................................................................24 untrust intrazonal ....................................................49
utilizar DIP de interfaz ............................................34
G utilizar DIP entrante ................................................33
gatekeeper (equipos selectores) .....................................1 utilizar un conjunto de DIP ....................................37
L V
libro de servicio, grupos de servicios (WebUI) ...........61 voz sobre IP
administración del ancho de banda ......................60
O definición....................................................................1
ojos de aguja ..................................................................19
S
SDP .......................................................................... 18 a 19
sesiones multimedia, SIP ..............................................13
SIP
ALG .....................................................................17, 21
anuncios de medios ................................................19
caducidad por inactividad ......................................21
códigos de respuesta ..............................................16
definido ....................................................................13
información de la conexión ...................................19
mensajes ..................................................................14
Métodos de petición ...............................................14
ojos de aguja ............................................................18
respuestas ................................................................16
RTCP .........................................................................19
RTP ...........................................................................19
SDP ................................................................... 18 a 19
señalización .............................................................17
sesiones multimedia ...............................................13
tiempo de espera por inactividad de la sesión ....21
tiempo de espera por inactividad
de medios ........................................................22, 23
tiempo de espera por inactividad
de señalización ................................................22, 23
tipos de métodos de petición ................................14
SIP NAT
con VPN de malla completa...................................55
configuración de llamadas ...............................24, 30
definido ....................................................................24
entrante, con MIP..............................................37, 39
proxy en DMZ ..........................................................46
Índice IX-I
Manual de referencia de ScreenOS: conceptos y ejemplos
IX-II Índice
Conceptos y ejemplos
Manual de referencia de ScreenOS
Volumen 7:
Enrutamiento
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Network’s installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen ix
Convenciones del documento ......................................................................... ix
Convenciones de la interfaz de línea de comandos (CLI) ........................... x
Convenciones para las ilustraciones ......................................................... xi
Convenciones de nomenclatura y conjuntos de caracteres ...................... xii
Convenciones de la interfaz gráfica (WebUI) .......................................... xiii
Documentación de Juniper Networks ............................................................ xiv
Capítulo 2 Enrutamiento 13
Vista general .................................................................................................. 14
Tablas de enrutamiento del enrutador virtual................................................. 15
Tabla de enrutamiento basada en destinos.............................................. 16
Tabla de enrutamiento basada en el origen ............................................. 17
Tabla de enrutamiento basada en la interfaz de origen ........................... 20
Crear y modificar enrutadores virtuales ......................................................... 22
Modificar enrutadores virtuales ............................................................... 22
Asignar una ID del enrutador virtual ........................................................ 23
Reenviar tráfico entre enrutadores virtuales ............................................ 23
Configurar dos enrutadores virtuales ....................................................... 24
Crear y eliminar enrutadores virtuales..................................................... 26
Crear un enrutador virtual personalizado .......................................... 27
Eliminar un enrutador virtual personalizado ..................................... 27
Enrutadores virtuales y sistemas virtuales ............................................... 27
Crear un enrutador virtual en un Vsys............................................... 28
Compartir rutas entre enrutadores virtuales...................................... 29
Limitar el número máximo de entradas de la tabla de enrutamiento ...... 30
Contenido iii
Conceptos y ejemplos, Manual de Referencia de ScreenOS
iv Contenido
Contenido
Contenido v
Conceptos y ejemplos, Manual de Referencia de ScreenOS
vi Contenido
Contenido
Índice ........................................................................................................................IX-I
Contenido vii
Conceptos y ejemplos, Manual de Referencia de ScreenOS
viii Contenido
Acerca de este volumen
Capítulo 3, “Protocolo OSPF,” explica cómo configurar Open Shortest Path First
(OSPF).
En ejemplos:
En texto:
NOTA: Para escribir palabras clave, basta con escribir los primeros caracteres que
permitan al sistema reconocer de forma inequívoca la palabra que se está
introduciendo. Por ejemplo, es suficiente escribir set adm u kath j12fmt54 para
que el sistema reconozca el comando set admin user kathleen j12fmt54.
Aunque este método se puede utilizar para introducir comandos, en la presente
documentación todos ellos se representan con sus palabras completas.
Interfaz de túnel
Servidor
Túnel VPN
Concentrador (hub)
Enrutador
Teléfono IP
Conmutador
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de
diálogo apropiado, donde podrá definir objetos y establecer parámetros de ajuste.
El conjunto de instrucciones de cada tarea se divide en ruta de navegación y ajustes
de configuración:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
techpubs-comments@juniper.net
1
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Vista general
Una ruta estática es una asignación configurada manualmente de una dirección de
red IP a un destino de salto siguiente (otro enrutador) que se define en un
dispositivo de reenvío de capa 3, como un enrutador.
En una red que tiene pocas conexiones a otras redes o en las redes cuyas
interconexiones de red son relativamente estables, suele resultar más práctico
definir rutas estáticas que rutas dinámicas. ScreenOS mantiene las rutas estáticas
hasta que se eliminan explícitamente. No obstante, cuando sea necesario se puede
dar prioridad a rutas dinámicas frente a las estáticas.
Debe establecer por lo menos una ruta predeterminada como una ruta
predeterminada (dirección de red 0.0.0.0/0). Una ruta predeterminada es una
entrada comodín para los paquetes destinados a redes distintas de las definidas en
la tabla de enrutamiento.
NOTA: La ruta más específica se determina aplicando en primer lugar el operador lógico
AND bit por bit a la dirección de destino y a la máscara de red de cada entrada
existente en la tabla de enrutamiento. Por ejemplo, el AND lógico bit por bit de la
dirección IP 10.1.1.1 con la máscara de subred 255.255.255.0 es 10.1.1.0. La ruta
que tenga el mayor número de bits con el valor 1 en la máscara de subred será la
más específica (también denominada “ruta con la mayor coincidencia”).
Dirección IP de origen
Dirección IP destino
Carga (mensaje)
2 Vista general
Capítulo 1: Enrutamiento estático
IP IP
ORIG DEST
Enrutador X
En la Tabla 1, el enrutador X tiene configurada una ruta estática hacia la red C con
la puerta de enlace (siguiente salto) como enrutador Y. Cuando el enrutador X
recibe el paquete destinado al host 2 de la red C, compara la dirección de destino
del paquete con el contenido de su tabla de enrutamiento y detecta que la última
entrada corresponde a la ruta más específica para la dirección de destino. En la
última entrada de ruta se especifica que el tráfico destinado a la red C debe enviarse
al enrutador Y para su entrega. El enrutador Y recibe el paquete y, como conoce que
la red C está conectada directamente, envía el paquete a través de la interfaz
conectada a esa red.
Vista general 3
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Para el tráfico de Red privada virtual (VPN) saliente donde exista más de una
interfaz de salida hacia el destino, deberá establecer una ruta para dirigir el
tráfico saliente al enrutador externo a través de la interfaz deseada.
4 Vista general
Capítulo 1: Enrutamiento estático
Una etiqueta de ruta es un valor que se puede utilizar como filtro al redistribuir
rutas. Por ejemplo, puede seleccionar importar solamente aquellas rutas que
contengan valores de etiqueta especificados a un VR.
Si la ruta es permanente (se mantiene activa aunque la interfaz del reenvío esté
inactiva o se haya eliminado la dirección IP de la interfaz).
NOTA: Las siguientes zonas deben vincularse antes de que se complete este ejemplo:
ethernet1 a la zona Trust, ethernet2 a la zona DMZ y ethernet3 a la zona Untrust.
Las direcciones IP de las interfaces son 10.1.1.1/24, 2.2.10.1/24 y 2.2.2.1/24,
respectivamente.
Vista general 5
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Las tablas de enrutamiento trust-vr y untrust-vr deben incluir rutas para los
siguientes destinos:
untrust-vr
1. Puerta de enlace predeterminada hacia Internet (ruta predeterminada para el
VR)
trust-vr
5. untrust-vr para todas las direcciones no encontradas en la tabla de
enrutamiento de trust-vr (ruta predeterminada para el VR)
Dominio de 2 DMZ
enrutamiento virtual Internet 2.2.10.3/24
1 2.2.10.0/24 2.20.30.1/24
Zona Untrust 3.3.3.0/24
2.2.10.0/24 4
200.20.2.2/24 2.2.40.1/24
2.20.30.0/24
2.2.2.2/24 3.3.3.1/24 3 2.2.40.0/24
2.2.2.3/24
2.2.2.0/24 2.20.30.2/24
2.2.45.7/32 2.20.3.1/24
2.20.4.1/24
2.20.3.0/24 2.20.4.0/24
5
Ruta Dispositivo de
predeterminada seguridad
= Enrutador
Dominio de
10.1.1.0/24 enrutador = Conmutador/Hub
virtual
10.1.1.4/24
10.1.1.2/24 10.30.1.1/24
10.10.30.1/24
10.10.30.1/24 10.1.1.3/24
6 10.20.1.1/24 8 trust-vr
7
10.10.30.0/24 10.10.40.0/24 10.30.1.0/24
10.20.1.0/24
Administración local
10.10.30.5/32 10.20.1.1/24
Servidor Websense
10.30.4.7/32
10.20.3.1/24
10.20.4.1/24
10.20.3.0/24 10.20.4.0/24
Zona Trust
6 Vista general
Capítulo 1: Enrutamiento estático
WebUI
1. untrust-vr
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos para crear la puerta de enlace predeterminada untrust y haga
clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos para dirigir los informes del sistema generados por el
dispositivo de seguridad a la administración remota, luego haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Vista general 7
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
NOTA: Para eliminar una entrada, haga clic en Remove. Aparecerá un mensaje pidiendo
confirmación para realizar la eliminación. Haga clic en OK para continuar o en
Cancel para cancelar la acción.
CLI
1. untrust-vr
set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.2
set vrouter untrust-vr route 3.3.3.0/24 interface ethernet3 gateway 2.2.2.3
set vrouter untrust-vr route 2.2.40.0/24 interface ethernet2 gateway 2.2.10.2
set vrouter untrust-vr route 2.20.0.0/16 interface ethernet2 gateway 2.2.10.3
2. trust-vr
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr
set vrouter trust-vr route 10.10.0.0/16 interface ethernet1 gateway 10.1.1.2
set vrouter trust-vr route 10.20.0.0/16 interface ethernet1 gateway 10.1.1.3
set vrouter trust-vr route 10.30.1.0/24 interface ethernet1 gateway 10.1.1.4
save
Internet
Túnel VPN
tunnel.1 Enrutador
10.10.1.1/24 1.1.1.250
WebUI
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
8 Vista general
Capítulo 1: Enrutamiento estático
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
NOTA: Para que tunnel.1 aparezca en la lista desplegable “Interface”, primero debe crear
la interfaz tunnel.1.
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr route 10.2.2.5/32 interface tunnel.1
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
save
Para agregar una ruta estática con el seguimiento de la puerta de enlace, deberá
establecer explícitamente la ruta a nivel del enrutador virtual (VR) y en la dirección
de la puerta de enlace. No establezca una dirección IP para la interfaz.
Puede utilizar este comando para agregar una ruta estática con una puerta de
enlace de seguimiento para la dirección IP 1.1.1.254 con prefijo 1.1.1.0 y una
longitud de 24. Establezca el seguimiento de la puerta de enlace al ingresar la
dirección IP de la puerta de enlace pero no establezca la interfaz.
WebUI
Network > Routing > Routing Entries: Haga clic en New e ingrese lo siguiente:
Gateway: (seleccione)
Gateway IP Address: 1.1.1.254
CLI
set vrouter trust route 1.1.1.0/24 gateway 1.1.1.254
unset vrouter trust route 1.1.1.0/24 gateway 1.1.1.254
save
Vista general 9
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Impedir que el tráfico del túnel se envíe en interfaces que no sean de túnel
Impedir que el tráfico de túnel se envíe a través de interfaces que no sean de túnel
Puede utilizar las rutas estáticas o dinámicas con las interfaces de túnel de salida
para encriptar el tráfico dirigido a destinos específicos. Si una interfaz de túnel se
queda inactiva, todas las rutas definidas en la interfaz se quedan inactivas. Si hay
una ruta alternativa en una interfaz que no sea de túnel, el tráfico no se envía
encriptado. Para impedir que el tráfico que debe estar encriptado se envíe a una
interfaz que no sea de túnel, defina una ruta estática al mismo destino que el tráfico
del túnel con la interfaz nula como interfaz de salida. Asigne a esta ruta una métrica
más alta que la de la ruta de la interfaz de túnel de modo que la ruta solamente se
active si la ruta de la interfaz de túnel no está disponible. Si la interfaz de túnel se
queda inactiva, la ruta con la interfaz nula se activa y el tráfico para el destino del
túnel se descarta.
En este ejemplo establecerá una interfaz NULL para la ruta resumida creada hacia la
red 2.1.1.0/24 del ejemplo anterior. Dentro de la red 2.1.1.0/24 se encuentran los
hosts 2.1.1.2, 2.1.1.3 y 2.1.1.4. Cualquier paquete dirigido a 2.1.1.10 caerá en el
rango de la ruta resumida. El dispositivo de seguridad acepta estos paquetes pero
no tiene a dónde reenviarlos, salvo de vuelta al origen, lo que inicia un bucle de red.
Para evitar este comportamiento, establecerá una interfaz NULL para esta ruta.
Establecer una preferencia y métrica elevadas es importante al establecer una
interfaz NULL.
WebUI
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr route 2.1.1.0/24 interface null preference 255 metric 65535
save
También es útil mantener activas las rutas a través de las interfaces en las que se
configura el seguimiento de IP. El seguimiento de IP permite que el dispositivo de
seguridad reencamine el tráfico saliente a través de una interfaz diferente si las
direcciones IP de destino no se pueden alcanzar a través de la interfaz original. Aun
cuando el dispositivo de seguridad puede reencaminar el tráfico a otra interfaz,
necesita ser capaz de enviar peticiones del comando ping en la interfaz original
para determinar si los destinos llegan a ser otra vez accesibles.
13
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Vista general
El enrutamiento es el proceso de reenviar paquetes de una red a otra hasta que
alcanzan su destino final. Un enrutador es un dispositivo que está donde una red se
encuentra con otra y dirige el tráfico entre esas redes.
14 Vista general
Capítulo 2: Enrutamiento
Rutas host
NOTA: Cuando se establece una dirección IP para identificar una interfaz en el modo de
ruta, la tabla de enrutamiento conecta automáticamente una ruta hacia la subred
adyacente para canalizar el tráfico que pasa por la interfaz.
Estática (S)
Importada (I)
Permanente (P)
Host (H)
Una entrada de ruta host con una máscara de 32 bits aparece cuando
configura cada interfaz con una dirección IP. La ruta host siempre está
activa en la tabla de rutas para que la consulta de rutas siempre tenga éxito.
Las rutas host se actualizan automáticamente con cambios configurados,
como por ejemplo la eliminación de la dirección IP de interfaz y éstas
nunca se redistribuyen ni se exportan. Las rutas host descartan la
posibilidad de que exista tráfico errante y conservan la capacidad de
procesamiento.
El sistema virtual (vsys) al cual pertenece esta ruta. Para obtener más
información sobre enrutadores virtuales, consulte “Enrutadores virtuales y
sistemas virtuales” en la página 27. En este ejemplo, no aparecen entradas bajo
el encabezado de la tabla untrust-vr; sin embargo, bajo el encabezado de la
tabla trust-vr aparecen once entradas.
La métrica para la ruta basada en el origen. (Si hay varias rutas basadas en
el origen con el mismo prefijo, sólo la ruta con la métrica más baja se
utiliza para la consulta de rutas y el resto se marcan como “inactivas”).
10.1.1.0/24 ISP1
1.1.1.1
ethernet1
ethernet2
ISP2
10.1.2.0/24
2.2.2.2
WebUI
Network > Routing > Source Routing > New (para el trust-vr): Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Source Routing > New (para el trust-vr): Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione
Enable Source Based Routing, y haga clic en OK.
CLI
set vrouter trust-vr route source 10.1.1.0/24 interface ethernet3 gateway 1.1.1.1
metric 1
set vrouter trust-vr route source 10.1.2.0/24 interface ethernet4 gateway 2.2.2.2
metric 1
set vrouter trust-vr source-routing enable
save
Define las rutas basadas en la interfaz origen como rutas estáticas para las
interfaces de origen especificadas. Las rutas basadas en la interfaz de origen son
aplicables al VR en el que se configuran; sin embargo, también puede especificar
otro VR como siguiente salto para una ruta basada en la interfaz de origen. Sin
embargo, tampoco se pueden exportar rutas basadas en la interfaz de origen a
otros VRs ni redistribuirlas a un protocolo de enrutamiento.
La métrica para la ruta basada en interfaz de origen. (Si hay varias rutas
con base en la interfaz de origen con el mismo prefijo, sólo la ruta con la
métrica más baja se utiliza para la consulta de rutas y el resto se marcan
como “inactivas”).
10.1.1.0/24 ISP1
1.1.1.1
ethernet1 ethernet3
ethernet2 ethernet4
ISP2
10.1.2.0/24 2.2.2.2
WebUI
Network > Routing > Source Interface Routing > New (para ethernet1):
Introduzca los siguientes datos y haga clic en OK:
Network Address / Netmask: 10.1.1.0 255.255.255.0
Interface: ethernet3 (seleccione)
Gateway IP Address: 1.1.1.1
Network > Routing > Source Interface Routing > New (para ethernet2):
Introduzca los siguientes datos y haga clic en OK:
Network Address / Netmask: 10.1.2.0 255.255.255.0
Interface: ethernet4 (seleccione)
Gateway IP Address: 2.2.2.2
Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione
Enable Source Interface Based Routing, y haga clic en OK.
CLI
set vrouter trust-vr route source in-interface ethernet1 10.1.1.0/24 interface
ethernet3 gateway 1.1.1.1 metric 1
set vrouter trust-vr route source in-interface ethernet2 10.1.2.0/24 interface
ethernet4 gateway 2.2.2.2 metric 1
set vrouter trust-vr sibr-routing enable
save
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit
CLI
set vrouter trust-vr
Añadir una ruta predeterminada con otro VR como siguiente salto (sólo para el
trust-vr).
Hacer capturas SNMP privadas para las MIBs de enrutamiento dinámico (sólo
para el VR de nivel raíz).
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes
datos y haga clic en OK:
CLI
set vrouter trust-vr router-id 10
save
Se puede asociar una zona de seguridad a un sólo VR. Se pueden asociar varias
zonas de seguridad a un sólo VR cuando no hay superposición de direcciones entre
zonas. Esto es, todas las interfaces de las zonas deben estar en modo de ruta. Una
vez que una zona está asociada a un VR, todas las interfaces de la zona pertenecen
al VR. Se puede cambiar el vínculo de una zona de seguridad de un VR a otro, pero
primero hay que quitar todas las interfaces de la zona. (Para obtener más
información sobre cómo vincular y desvincular una interfaz de una zona de
seguridad, consulte “Protocolo OSPF” en la página 7-47.)
A continuación se enumeran los pasos básicos para asociar una zona de seguridad
al VR untrust-vr:
WebUI
1. Desasociar la interfaz de la zona untrust
Network > Interfaces (ethernet3) > Edit: Introduzca los siguientes datos y
haga clic en OK:
CLI
1. Desasociar la interfaz de la zona untrust
unset interface ethernet3 ip
unset interface ethernet3 zone
2. Asociar la zona untrust al untrust-vr
set zone untrust vrouter untrust-vr
3. Asociar la interfaz a la zona untrust
set interface eth3 zone untrust
save
WebUI
Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y
haga clic en OK:
CLI
set vrouter name trust2-vr
set vrouter trust2-vr auto-route-export
save
WebUI
Network > Routing > Virtual Routers: Haga clic en Remove para trust2-vr.
CLI
unset vrouter trust2-vr
save
NOTA: No se pueden eliminar los VRs predefinidos untrust-vr y trust-vr, pero se puede
eliminar cualquier VR definido por el usuario. Para modificar el nombre de un VR
definido por el usuario o cambiar la ID del VR, se debe primero eliminar el VR, y
después volver a crearlo con el nuevo nombre o ID del VR.
Se pueden definir uno o más VRs personalizados para un vsys. Para obtener más
información sobre sistemas virtuales, consulte el Volumen 10: Sistemas virtuales. En
la Figura 9, cada uno de los tres vsys tiene dos VR asociados con éste: un VR de
nivel vsys llamado vsysname-vr y el untrust-vr.
trust-vr
untrust-vr Finance
(enrutador virtual
a nivel de raíz DMZ
compartido)
Untrust vsys1
vsys2-vr Automáticamente
vsys2 creados cuando
Trust-vsys2 se crea vsys
vsys3
vsys3-vr
Trust-vsys3
WebUI
Vsys > Enter (para my-vsys1) > Network > Routing > Virtual Routers >
New: Introduzca los siguientes datos y haga clic en Apply:
CLI
set vsys my-vsys1
(my-vsys1) set vrouter name vr-1a
(my-vsys1/vr-1a) set router-id 10.1.1.9
(my-vsys1/vr-1a) exit
(my-vsys1) exit
WebUI
Vsys > Enter (para my-vsys1) > Network > Routing > Virtual Routers > Edit
(para vr-1a): Seleccione Make This Vrouter Default-Vrouter for the System y
haga clic en Apply.
CLI
set vsys my-vsys1
(my-vsys1) set vrouter vr-1a
(my-vsys1/vr-1a) set default-vrouter
(my-vsys1/vr-1a) exit
(my-vsys1) exit
El untrust-vr es compartido de forma predefinida por todo el vsys. Aunque los VRs
de nivel vsys no se pueden compartir, se puede definir cualquier VR de nivel raíz
para ser compartido por el vsys. Esto permite definir rutas en un VR de nivel vsys
que utilizan un VR de nivel raíz como siguiente salto. Se puede también configurar
la redistribución de rutas entre un VR de nivel vsys y un VR de nivel raíz
compartido.
WebUI
Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y
haga clic en OK:
Vsys > Enter (para my-vsys1) > Network > Routing > Routing Entries > New
(para my-vsys1-vr): Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter name my-router sharable
set vsys my-vsys1
(my-vsys1) set vrouter my-vsys1-vr route 40.0.0.0/8 vrouter my-router
(my-vsys1) exit
NOTA: Consulte la hoja de datos del producto pertinente para determinar el número
máximo de entradas de la tabla de enrutamiento disponible en su dispositivo de
seguridad de Juniper Networks.
WebUI
Network > Routing > Virtual Routers > Edit (para el trust-vr): Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr max-routes 20
save
Seleccionar rutas
Pueden existir varias rutas con el mismo prefijo (dirección IP y máscara) en la tabla
de enrutamiento. Cuando la tabla de enrutamiento contiene varias rutas para el
mismo destino, se comparan los valores de preferencia de cada ruta. Se selecciona
la que tiene el valor de preferencia más bajo. Si los valores de preferencia son
iguales, se comparan los valores de métrica. En ese caso, se selecciona la ruta que
tiene el valor de métrica más bajo.
NOTA: Si hay varias rutas para el mismo destino con los mismos valores de preferencia y
los mismos valores de métrica, entonces cualquiera de ellas puede resultar
seleccionada. En este caso, la elección de una ruta concreta sobre otra no está
garantizada ni es predecible.
También se puede ajustar el valor de preferencia de la ruta para dirigir el tráfico por
el camino preferido.
NOTA: Si la preferencia de la ruta cambia para un tipo de ruta (por ejemplo, las rutas
OSPF de tipo 1), la nueva preferencia aparece en la tabla de rutas, pero no tiene
efecto hasta que la ruta sea reconocida de nuevo (lo cual se consigue inhabilitando
y a continuación habilitando el protocolo de enrutamiento dinámico), o, en el caso
de rutas estáticas, eliminándola y volviéndola a añadir.
Una ruta es conectada cuando el enrutador tiene una interfaz con una dirección IP
en la red de destino.
WebUI
Network > Routing > Virtual Routers > Edit (para untrust-vr): Introduzca los
siguientes datos y haga clic en OK:
Route Preference:
Connected: 4
CLI
set vrouter untrust-vr preference connected 4
save
Métricas de ruta
Las métricas de ruta determinan el mejor camino que un paquete puede tomar para
alcanzar un destino dado. Los enrutadores utilizan las métricas de ruta para sopesar
dos rutas al mismo destino y determinar la elección de una ruta sobre la otra.
Cuando hay varias rutas hacia la misma red de destino con el mismo valor de
preferencia, prevalece la ruta con la métrica más baja.
Otros factores
paquete entrante
No No
No No
¿Se encontró Sí
la ruta en
DRT?
No
Descartar paquete
WebUI
Network > Routing > Virtual Router > Edit (para el trust-vr): Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr sibr-routing enable
set vrouter trust-vr source-routing enable
set vrouter trust-vr route-lookup preference source-routing 4
save
ISP1
10.1.1.0/24 1.1.1.1
ethernet1 ethernet3
ethernet2 ethernet4
ISP2
10.1.2.0/24 2.2.2.2
NOTA: Si las interfaces de salida no pertenecen a las misma zona y el paquete de vuelta
va a una zona diferente a la prevista, no se podrá producir una coincidencia de
sesión y puede que el tráfico no pueda pasar.
ECMP asiste con equilibrio de cargas entre dos a cuatro rutas al mismo destino o
aumenta la eficacia de utilización del ancho de banda entre dos o más destinos.
Cuando el ECMP está habilitado, los dispositivos de seguridad utilizan las rutas
definidas estáticamente o memorizan dinámicamente varias rutas al mismo
destino mediante un protocolo de enrutamiento. El dispositivo de seguridad asigna
rutas de igual coste en el modo de ronda recíproca (“round robin”).
NOTA: Al usar ECMP, si tiene dos dispositivos de seguridad en una relación de vecindad y
nota la pérdida de un paquete y un equilibrio de cargas incorrecto, compruebe la
configuración del protocolo de resolución de direcciones (Address Resolution
Protocol, ARP) del dispositivo vecino para asegurarse de que la característica arp
always-on-dest está desactivada (predeterminado). Para obtener más información
acerca de comandos relacionados con ARP, consulte “Interfaces inactivas y flujo
de tráfico” en la página 2-75.
Por ejemplo, considere las dos rutas siguientes que aparecen en la tabla de
enrutamiento basad en destinos trust-vr:
Las dos rutas tienen los mismos valores métricos; sin embargo, la primera ruta es
una ruta conectada (C con una preferencia de 0). El dispositivo de seguridad
adquirió la primera ruta a través de DHCP o de PPP y el dispositivo adquirió la ruta
predeterminada a través de la configuración manual. La segunda ruta es una ruta
estática configurada manualmente (S con una preferencia automática de 20). Con
ECMP desactivado, el dispositivo de seguridad reenvía todo el tráfico a la ruta
conectada en ethernet3.
Para alcanzar equilibrio de carga con ambas rutas, cambie la preferencia de ruta de
la ruta estática a cero (0) para que coincida con la ruta conectada introduciendo el
comando set vrouter trust-vr preference static 0 y luego activando ECMP. Con
ECMP activado, la carga del dispositivo de seguridad equilibra el tráfico alternando
entre dos rutas ECMP válidas. La siguiente pantalla muestra la tabla de
enrutamiento actualizada.
Si hay más de dos rutas de igual coste en la red, el dispositivo de seguridad realiza
una selección de las rutas en orden rotativo (ronda recíproca) hasta el máximo
configurado de modo que el dispositivo seleccione una ruta ECMP diferente para
cada consulta de ruta.
WebUI
Network > Routing > Virtual Routers > Edit (para el trust-vr): Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr max-ecmp-routes 2
save
Redistribuir rutas
La tabla de enrutamiento de un VR contiene rutas agrupadas según todos los
protocolos de enrutamiento dinámico que se ejecutan en el VR, así como las rutas
estáticas y las rutas conectadas directamente. De forma predeterminada, un
protocolo de enrutamiento dinámico (como OSPF, RIP o BGP) notifica a sus
adyacentes o interlocutores sólo las rutas que cumplen las siguientes condiciones:
NOTA: OSPF, RIP, y BGP también notifican las rutas conectadas de las interfaces de
ScreenOS en las que estos protocolos están habilitados.
Las rutas se distribuyen entre los protocolos según una regla de redistribución que
define el administrador del sistema o de la red. Cuando se añade una ruta a la tabla
de enrutamiento de un enrutador virtual, se le aplican una a una todas las reglas de
redistribución definidas en el VR para determinar si la ruta tiene que ser
redistribuida. Cuando se elimina una ruta de la tabla de enrutamiento de un
enrutador virtual, se le aplican una a una todas las reglas de redistribución definidas
en el VR para determinar si la ruta tiene que ser eliminada de otro protocolo de
enrutamiento del VR. Observe que todas las reglas de redistribución se aplican
cuando se añade o se elimina una ruta. No existe el concepto de orden de las reglas
o de “primera regla aplicable” para las reglas de redistribución.
NOTA: Se puede definir sólo una regla de redistribución entre dos protocolos
cualesquiera.
Condición de
comparación Descripción
BGP AS Path Compara con una lista de acceso AS path determinada. Consulte “Filtrar
rutas” en la página 42.
BGP Community Compara con una lista de comunidades determinada. Consulte “Filtrar
rutas” en la página 42.
OSPF route type Compara con un OSPF interno, externo de tipo 1 o externo de tipo 2.
Interface Compara con una interfaz determinada.
IP address Compara con una lista de acceso determinada. Consulte “Filtrar rutas”
en la página 42.
Metric Compara con un valor de métrica de ruta determinado
Next-hop Compara con una lista de acceso determinada. Consulte la “Filtrar rutas”
en la página 42.
Tag Compara con una dirección IP o etiqueta de ruta determinada.
Filtrar rutas
El filtrado de rutas permite controlar qué rutas se admiten en una VR, cuáles se
notifican a los interlocutores y cuáles se redistribuyen de un protocolo de
enrutamiento a otro. Se pueden aplicar filtros a las rutas entrantes enviadas por un
interlocutor de enrutamiento o a rutas salientes enviadas por el VR de seguridad a
los enrutadores de interlocución. Se pueden utilizar los siguientes mecanismos de
filtrado:
Lista de acceso BGP AS-path: Un atributo AS-path es una lista de los sistemas
autónomos por los que ha pasado una notificación de ruta y es parte de la
información de ruta. Una lista de acceso AS-path es un conjunto de expresiones
regulares que representan ASs específicos. Se puede utilizar una lista de acceso
AS-path para filtrar las rutas según el AS por el que ha pasado la ruta. Consulte
“Configurar una lista de acceso AS-Path” en la página 123 para obtener
información sobre la configuración de una lista de acceso AS-path.
También puede utilizar listas de acceso para controlar el flujo del tráfico multicast.
Para obtener información, consulte “Listas de acceso” en la página 141.
En este ejemplo, se crea una lista de acceso en el trust-vr. La lista de acceso tiene las
siguientes características:
WebUI
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):
Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr access-list 2 permit ip 1.1.1.1/24 10
save
WebUI
1. Lista de acceso BGP AS-path
Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP
Instance > AS Path: Introduzca los siguientes datos y haga clic en Add:
CLI
1. Lista de acceso BGP AS-path
set vrouter trust-vr protocol bgp as-path-access-list 1 permit _65000_
2. Mapa de rutas
set vrouter trust-vr
ns(trust-vr)-> set route-map name rtmap1 permit 10
ns(trust-vr/rtmap1-10)-> set match as-path 1
ns(trust-vr/rtmap1-10)-> exit
ns(trust-vr)-> exit
3. Regla de redistribución
set vrouter trust-vr protocol ospf redistribute route-map rtmap1 protocol bgp
save
WebUI
trust-vr
1. Lista de accesos
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):
Introduzca los siguientes datos y haga clic en OK:
CLI
trust-vr
1. Lista de accesos
set vrouter trust-vr
ns(trust-vr)-> set access-list 2 permit ip 1.1.1.1/24 10
2. Mapa de rutas
ns(trust-vr)-> set route-map name rtmap1 permit 10
ns(trust-vr/rtmap1-10)-> set match ip 2
ns(trust-vr/rtmap1-10)-> exit
3. Regla de exportación
ns(trust-vr)-> set export-to vrouter untrust-vr route-map rtmap1 protocol ospf
ns(trust-vr)-> exit
save
Si se definen reglas de importación para el untrust-vr, sólo se importan las rutas que
cumplan las reglas de importación. En este ejemplo, el trust-vr exporta
automáticamente todas las rutas al untrust-vr, pero una regla de importación del
untrust-vr permite que se exporten sólo las rutas de OSPF interno.
WebUI
trust-vr
Network > Routing > Virtual Router > Edit (para el trust-vr): Seleccione Auto
Export Route to Untrust-VR, luego haga clic en OK.
untrust-vr
Network > Routing > Virtual Router > Route Map (para untrust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
CLI
trust-vr
set vrouter trust-vr auto-route-export
untrust-vr
set vrouter untrust-vr
ns(untrust-vr)-> set route-map name from-ospf-trust permit 10
ns(untrust-vr/from-ospf-trust-10)-> set match route-type internal-ospf
ns(untrust-vr/from-ospf-trust-10)-> exit
ns(untrust-vr)-> set import-from vrouter trust-vr route-map from-ospf-trust protocol
ospf
ns(untrust-vr)-> exit
save
“Áreas” en la página 48
47
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Vista general
El protocolo de enrutamiento OSPF (Open Shortest Path First, abrir primero la ruta
más corta) es un protocolo de puerta de enlace interior (IGP) desarrollado para
ejecutarse dentro de un único sistema autónomo (AS). Un enrutador que ejecute
OSPF distribuye su información de estado (como interfaces disponibles para el uso
y accesibilidad por parte de equipos vecinos) inundando periódicamente el sistema
autónomo con notificaciones de estado de conexiones (LSA, link-state
advertisements).
Los enrutadores OSPF utilizan las LSAs de los enrutadores contiguos para actualizar
una base de datos de estado de conexiones. Esta base de datos es una tabla que
informa de la topología y el estado de las redes de un área. La distribución
constante de las LSAs a través del dominio de enrutamiento permite a todos los
enrutadores de un sistema autónomo disponer de bases de datos de estado de
conexiones idénticas.
Áreas
De forma predeterminada, todos los enrutadores se agrupan en una única área
troncal llamada area 0 o “backbone” (normalmente es el área 0.0.0.0). Sin
embargo, las redes de gran tamaño que se encuentran dispersas geográficamente
se suelen segmentar en múltiples áreas. A medida que la red se amplía, las bases de
datos de estado de conexión también crecen y se dividen en grupos más pequeños
para mejorar su posibilidad de ampliación.
48 Vista general
Capítulo 3: Protocolo OSPF
Área de ruta interna: área que recibe resúmenes de ruta del área troncal pero
que no recibe notificaciones de estado de conexiones de otras áreas acerca de
enrutadores reconocidos por protocolos distintos a OSPF (BGP, por ejemplo).
Un área de ruta interna se puede considerar un área exclusiva de rutas internas
(totally stubby) si en ella no se admiten rutas de resumen.
Área NSSA: al igual que las áreas de rutas internas normales, las NSSAs (Not So
Stubby Area, áreas no exclusivas de rutas internas) no pueden recibir
enrutadores de protocolos distintos de OSPF fuera del área actual. Sin embargo,
los enrutadores externos conocidos dentro del área también se pueden
reconocer en otras áreas, y así pasar a ellas.
Clasificación de enrutadores
Los enrutadores que participan en el enrutamiento OSPF se clasifican de acuerdo
con su función o su posición en la red:
Enrutador de borde de área: enrutador conectado a dos o más áreas. Este tipo
de enrutador resume las rutas desde distintas áreas para su distribución al área
troncal. En los dispositivos de seguridad con OSPF, el área troncal se crea de
forma predeterminada. Si se crea una segunda área en un enrutador virtual, el
dispositivo funcionará como enrutador de borde de área.
Vista general 49
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Protocolo de saludo
Dos enrutadores con interfaces en la misma subred se consideran vecinos. Los
enrutadores utilizan el protocolo de saludo para establecer y mantener estas
relaciones de vecindad. Cuando dos enrutadores establecen comunicación
bidireccional, se dice que han establecido una adyacencia. Si dos enrutadores no
establecen una relación de adyacencia, no podrán intercambiar información de
enrutamiento.
Tipos de redes
Los dispositivos de seguridad de Juniper Networks admiten los siguientes tipos de
redes OSPF:
Redes de difusión
Redes de difusión
Una red de difusión es una red que interconecta varios enrutadores y que puede
enviar (o difundir) un único mensaje físico a todos los enrutadores conectados. Se
parte de la base de que dos enrutadores cualesquiera en una red de difusión son
capaces de comunicarse entre sí. Ethernet es un ejemplo de red de difusión.
Una red que no sea de difusión conecta varios enrutadores entre sí pero no puede
difundir mensajes a los enrutadores conectados. En las redes que no son de
difusión, los paquetes del protocolo OSPF (que normalmente son multidifusión) se
tienen que enviar a cada uno de los enrutadores vecinos. Los dispositivos de
seguridad Juniper Networks no admiten OSPF en redes que no sean de difusión.
50 Vista general
Capítulo 3: Protocolo OSPF
Distribuido
Tipo de LSA Enviado por por Información enviada en la LSA
LSA de Todos los enrutadores OSPF Área Describe el estado de todas las interfaces de enrutador en
enrutador toda el área.
LSA de red Enrutador designado en redes de Área Contiene una lista de todos los enrutadores conectados a la
difusión y NBMA red.
LSA de Enrutadores de borde de área Área Describe una ruta a un destino fuera del área, pero dentro
resumen del sistema autónomo. Hay dos tipos:
Las LSAs de resumen de tipo 3 describen rutas a redes.
Las LSAs de resumen de tipo 4 describen rutas limítrofes
con otros sistemas autónomos.
Externo de Enrutador de límite de sistema Sistema Rutas a redes en otro sistema autónomo. A menudo, se
sistema autónomo autónomo trata de la ruta predeterminada (0.0.0.0/0).
autónomo
2. (Opcional) A menos que todas las interfaces OSPF se conecten al área troncal,
tendrá que configurar una nueva área OSPF con su propia ID de área. Por
ejemplo, si el dispositivo de seguridad va a funcionar como enrutador de borde
de área, tendrá que crear otra área OSPF además del área troncal. La nueva
área que se cree podrá ser normal, de rutas internas o no exclusiva de rutas
internas.
3. Asignar una o varias interfaces a cada área OSPF. Las interfaces se deben
agregar a un área OSPF explícitamente, incluyendo el área troncal.
Internet
10.1.1.0/24 10.1.2.0/24
Área 10
Área 0
WebUI
1. ID de enrutador
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes
datos y haga clic en OK:
CLI
1. ID de enrutador
set vrouter trust-vr router-id 10
2. Instancia de enrutamiento de OSPF
set vrouter trust-vr protocol ospf
set vrouter trust-vr protocol ospf enable
save
WebUI
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance:
Desactive OSPF Enabled, luego haga clic en OK.
Network > Routing > Virtual Routers (trust-vr) > Edit > Delete OSPF
Instance, luego haga clic en OK en el mensaje de confirmación.
CLI
unset vrouter trust-vr protocol ospf
deleting OSPF instance, are you sure? y/[n] y
save
Todas las zonas deben conectarse a la zona 0, que se crea al configurar una
instancia de enrutamiento OSPF en el enrutador virtual. Si es necesario crear un
área OSPF adicional, también es posible definirla como área de rutas internas o
área no exclusiva de rutas internas. Si desea más información sobre estos tipos de
áreas, consulte “Áreas” en la página 48.
Valor
Parámetro de área Descripción predeterminado
Metric for default route (Sólo áreas NSSA y de rutas internas). Especifica 1
la métrica para la notificación de ruta
predeterminada
Metric type for the default (Sólo área NSSA). Especifica el tipo de métrica 1
route externa (1 ó 2) para la ruta predeterminada.
No summary (Sólo áreas NSSA y de rutas internas). Especifica Las LSAs de
que las LSAs de resumen no se difundirán por el resumen se
área difunden por el
área.
Range (Todas las áreas). Especifica un rango de —
direcciones IP que se notificarán en las LSAs de
resumen, y si éstas se notificarán o no.
WebUI
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance
> Area: Introduzca los siguientes datos y haga clic en OK:
Area ID: 10
Type: normal (seleccione)
Action: Add
CLI
set vrouter trust-vr protocol ospf area 10
save
WebUI
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance:
Anule la selección de OSPF Enabled, luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance
> Area: Haga clic en Remove.
CLI
unset vrouter trust-vr protocol ospf enable
unset vrouter trust-vr protocol ospf area 0.0.0.10
save
WebUI
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance
> Area > Configure (Area 10): Utilice el botón Add para mover la interfaz
ethernet1 de la columna Available Interface(s) a la columna Selected Interfaces.
Haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance > Area > Configure (Area 0): Utilice el botón Add para mover la
interfaz ethernet3 de la columna Available Interface(s) a la columna Selected
Interfaces. Haga clic en OK.
CLI
set interface ethernet1 protocol ospf area 10
set interface ethernet3 protocol ospf area 0
save
En el siguiente ejemplo definirá los siguientes rangos de áreas para el area 10:
10.1.1.0/24, se notificará.
10.1.2.0/24, no se notificará.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance > Area > Configure (0.0.0.10): Introduzca los siguientes datos en la
sección Area Range y haga clic en Add:
IP / Netmask: 10.1.1.0/24
Type: (seleccione) Advertise
Introduzca los siguientes datos en la sección Area Range y haga clic en Add:
IP / Netmask: 10.1.2.0/24
Type: (seleccione) No Advertise
CLI
set vrouter trust-vr protocol ospf area 10 range 10.1.1.0/24 advertise
set vrouter trust-vr protocol ospf area 10 range 10.1.2.0/24 no-advertise
save
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Seleccione Enable
Protocol OSPF, luego haga clic en Apply.
Network > Interfaces > Edit (para ethernet3) > OSPF: Seleccione Enable
Protocol OSPF, luego haga clic en Apply.
CLI
set interface ethernet1 protocol ospf enable
set interface ethernet3 protocol ospf enable
save
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Elimine Enable
Protocol OSPF, luego haga clic en Apply.
CLI
unset interface ethernet1 protocol ospf enable
save
Comprobar la configuración
Puede ver la configuración introducida para trust-vr ejecutando el siguiente
comando CLI:
Las zonas resaltadas muestran que OSPF se está ejecutando y verifican las zonas
OSPF activas y las interfaces activas en cada zona OSPF.
Puede verificar si OSPF está habilitado en las interfaces y ver el estado de las
interfaces con el comando get vrouter trust-vr protocol ospf interface.
Rutas importadas
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en
Add:
CLI
set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp
save
En ocasiones, una ruta resumida puede crear oportunidades para que se produzcan
bucles. Puede configurar una ruta hacia una interfaz NULL para evitar bucles. Al
final de esta sección encontrará un ejemplo de creación de una ruta resumida y un
ejemplo de establecer una interfaz NULL.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en
Add:
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance > Summary Import: Introduzca los siguientes datos y haga clic en
Add:
IP/Netmask: 2.1.1.0/24
CLI
set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp
set vrouter trust-vr protocol ospf summary-import ip 2.1.1.0/24
save
Parámetros Valor
globales de OSPF Descripción predeterminado
Advertise default Especifica que una ruta predeterminada activa La ruta
route (0.0.0.0/0) en la tabla de rutas del enrutador predeterminada no
virtual se notifica en todas las áreas OSPF. También se notifica.
es posible especificar el valor de métrica o si la
métrica original de la ruta se preservará, así como
el tipo de métrica (ASE tipo 1 o tipo 2). También se
puede especificar que la ruta predeterminada
siempre se notifique.
Reject default route Especifica que cualquier ruta predeterminada La ruta
reconocida en OSPF no se agregará a la tabla predeterminada
de rutas. reconocida en
OSPF se agrega a la
tabla de rutas.
Automatic virtual Especifica que el VR creará una conexión virtual Desactivado.
link automáticamente si no puede acceder al área
troncal de OSPF.
Maximum hello Especifica el número máximo de paquetes de 10.
packets saludo OSPF que el VR puede recibir en un intervalo
de saludo.
Parámetros Valor
globales de OSPF Descripción predeterminado
Maximum LSA Especifica el número máximo de paquetes LSA de No hay valor
packets OSPF que el VR puede recibir dentro del intervalo en predeterminado.
segundos especificado.
RFC 1583 Especifica que la instancia de enrutamiento de OSPF OSPF versión 2, tal
compatibility es compatible con la norma RFC 1583, una versión y como se define
anterior de OSPF. en RFC 2328.
Equal cost Especifica el número máximo de rutas (1-4) a utilizar Desactivado (1).
multipath routing para equilibrar cargas con los destinos que tengan
(ECMP) múltiples rutas de igual coste. Consulte “Configurar el
enrutamiento de rutas múltiples de igual coste” en la
página 37.
Virtual link Configura el área OSPF y la ID de enrutador para la No hay conexión
configuration conexión virtual. De forma opcional también puede virtual configurada.
configurar el método de autenticación, el intervalo de
saludo y el de retransmisión, el retardo de
transmisión o el intervalo muerto del interlocutor
para la conexión virtual.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance: Seleccione Advertising Default Route Enable, luego haga clic en OK.
CLI
set vrouter trust-vr protocol ospf advertise-default-route metric 1 metric-type 1
save
Conexiones virtuales
Aunque todas las áreas deben estar conectadas directamente al área troncal,
algunas veces debe crear un área nueva que no se puede conectar físicamente al
área troncal. Para resolver este problema se puede configurar una conexión virtual.
Una conexión virtual proporciona un área remota con una ruta lógica al área troncal
a través de otra área.
La ID del área OSPF que va a cruzar la conexión virtual. No es posible crear una
conexión virtual que cruce el área troncal o un área de rutas internas.
Parámetro de
conexión Valor
virtual Descripción predeterminado
Authentication Especifica la autenticación por contraseña de texto no Sin autenticación
encriptado o la autenticación MD5.
Dead interval Especifica el intervalo en segundos en que no se 40 segundos
producirá respuesta desde un dispositivo OSPF vecino
antes de que se determine que éste no funciona.
Hello interval Especifica el tiempo en segundos entre dos 10 segundos
saludos OSPF.
Retransmit Especifica el tiempo en segundos que transcurrirá antes 5 segundos
interval de que la interfaz reenvíe una LSA a un vecino que no
respondió a la primera LSA.
Transmit delay Especifica el tiempo en segundos entre las 1 segundo
transmisiones de paquetes de actualización de
estado de conexión enviados a una interfaz.
Área 0
Área 10 Dispositivo-B
ethernet1 ethernet2
ID de Internet
enrutador
10.1.1.250
Dispositivo-A ethernet 1
Enrutador
10.1.1.250 El Dispositivo-A y el Dispositivo-B
ethernet 2 tienen una conexión virtual entre sí
a través del área OSPF 10.
Área 20
NOTA: Debe habilitar OSPF en ambas interfaces de cada dispositivo y cerciorarse de que
OSPF se esté ejecutando en las interfaces de los dispositivos A y B antes de que la
conexión virtual se active.
WebUI (Dispositivo-A)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add:
CLI (Dispositivo-A)
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250 transit-delay
10
save
NOTA: En la interfaz CLI, primero tendrá que crear la conexión virtual y, a continuación,
configurar cualquier parámetro opcional para la conexión. Así, en el ejemplo
anterior, tendrá que ejecutar dos comandos distintos para crear y después
configurar la conexión virtual.
WebUI (Dispositivo-B)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add:
Area ID: 10
Router ID: 10.10.1.250
> Configure: En el campo Transmit Delay, escriba 10 y haga clic en OK.
CLI (Dispositivo-B)
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.10.1.250
set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.10.1.250
transit-delay 10
save
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance: Seleccione Automatically Generate Virtual Links, luego haga clic en
OK.
CLI
set vrouter trust-vr protocol ospf auto-vlink
save
Parámetro de
interfaz OSPF Descripción Valor predeterminado
Authentication Especifica si la comunicación OSPF de la interfaz se No se utiliza
verificará mediante autenticación por contraseña de autenticación.
texto no encriptado o por MD5 (Message Digest 5).
La contraseña de texto no encriptado debe ser una
cadena de hasta 8 dígitos, mientras que la
contraseña para autenticación MD5 puede ser una
cadena de hasta 16 dígitos. Para la contraseña MD5
también es necesario que se configuren cadenas
clave.
Cost Especifica la métrica de la interfaz. El coste 1 para una conexión de
asociado a una interfaz depende del ancho de 100MB o más
banda de la conexión que tenga establecida dicha 10 para una conexión de
interfaz. Cuanto mayor sea el ancho de banda, 10MB
menor será el valor del coste (preferible). 100 para una conexión
de 1MB
Parámetro de
interfaz OSPF Descripción Valor predeterminado
Dead interval Especifica el intervalo en segundos en que no se 40 segundos.
producirá respuesta desde un dispositivo OSPF
vecino antes de que OSPF determine que no
funciona.
Hello interval Especifica el intervalo en segundos que transcurrirá 10 segundos.
entre el envío de un paquete de saludo a la red y
el siguiente.
Link type Especifica una interfaz de túnel como vínculo punto Las interfaces Ethernet
a punto o como vínculo punto a multipunto. se tratan como interfaces
Consulte “Interfaz de túnel punto a multipunto” en de difusión.
la página 72. De forma
predeterminada, las
interfaces de túnel
asociadas a las zonas
OSPF son punto a punto.
Neighbor list Especifica subredes, en forma de lista de acceso, en Ninguna (las adyacencias
las que residen vecinos OSPF que pueden utilizarse se forman con todos los
para formar adyacencias. vecinos de la interfaz).
Passive Especifica que la dirección IP de la interfaz se Las interfaces con OSPF
Interface notificará en el dominio OSPF como ruta OSPF y no habilitado transmiten y
como ruta externa, pero que la interfaz no reciben paquetes OSPF.
transmitirá ni recibirá paquetes OSPF. Esta opción
resulta útil cuando en la interfaz también se ha
habilitado BGP.
Priority Especifica la prioridad del enrutador virtual que se 1.
elegirá: enrutador designado o enrutador designado
de respaldo. El enrutador con el valor de prioridad
más alto tiene más posibilidades de ser elegido
(aunque no se garantiza).
Retransmit Especifica el tiempo en segundos que transcurrirá 5 segundos.
interval antes de que la interfaz reenvíe una LSA a un vecino
que no respondió a la primera LSA.
Transit delay Especifica el tiempo en segundos entre las 1 segundo.
transmisiones de paquetes de actualización de
estado de conexión enviados a la interfaz.
Demand circuit (Sólo interfaces de túnel) Configura una interfaz de Desactivado.
túnel como circuito de demanda, según RFC 1793.
Consulte “Crear un circuito de demanda OSPF en
una interfaz de túnel” en la página 71.
Reduce flood Especifica la reducción de inundaciones LSA en un Desactivado.
circuito de demanda.
Ignore MTU Especifica que cualquier incoherencia en los valores Desactivado.
Maximum Transmission Unit (MTU) entre las
interfaces locales y remotas que se encuentre
durante las negociaciones de la base de datos OSPF
será ignorada. Esta opción sólo debe utilizarse
cuando el MTU de la interfaz local sea más lento
que el MTU de la interfaz remota.
NOTA: Para formar adyacencias, todos los enrutadores OSPF de un área deben utilizar los
mismos valores en el intervalo de saludo, el intervalo muerto y el intervalo de
retransmisión.
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los
siguientes datos y haga clic en Apply:
Hello Interval: 15
Retransmit Interval: 7
Transit Delay: 2
CLI
set interface ethernet1 protocol ospf hello-interval 15
set interface ethernet1 protocol ospf retransmit-interval 7
set interface ethernet1 protocol ospf transit-delay 2
save
Configuración de seguridad
En esta sección se describen posibles problemas de seguridad en el dominio de
enrutamiento OSPF y ciertos métodos de prevención de ataques.
NOTA: Para que OSPF sea más seguro, todos los enrutadores de un dominio OSPF
deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo
enrutador OSPF peligroso podría llegar a dejar inservible todo el domino de
enrutamiento OSPF.
Autenticar vecinos
Un enrutador OSPF se puede suplantar fácilmente, ya que las LSA no se encriptan
y la mayoría de los analizadores de protocolo permiten desencapsular paquetes
OSPF. La mejor forma de acabar con el riesgo de este tipo de ataques será
autenticando los vecinos OSPF.
OSPF ofrece dos formas de validar los paquetes OSPF recibidos de los vecinos:
por autenticación de contraseña simple y por autenticación MD5. Se descartarán
todos los paquetes OSPF recibidos en la interfaz que no se autentiquen. De forma
predeterminada, ninguna interfaz OSPF tiene la autenticación habilitada.
Para la autenticación MD5 se necesita la misma clave utilizada para los enrutadores
OSPF de envío y recepción. Puede especificar más de una clave MD5 en el
dispositivo de seguridad, cada una de las cuales tendrá su propia clave. Si configura
varias claves MD5 en el dispositivo de seguridad, podrá seleccionar un identificador
para la clave que se utilizará para autenticar las comunicaciones con el enrutador
vecino. De esta forma es posible cambiar periódicamente las claves MD5 por
parejas de enrutadores minimizando el riesgo de que algún paquete se descarte.
Configuración de seguridad 67
Conceptos y ejemplos, Manual de Referencia de ScreenOS
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los
siguientes datos y haga clic en Apply:
CLI
set interface ethernet1 protocol ospf authentication password 12345678
save
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los
siguientes datos y haga clic en Apply:
Authentication:
MD5 Keys: (seleccione)
1234567890123456
9876543210987654
Key ID: 1
Preferred: (seleccione)
CLI
set interface ethernet1 protocol ospf authentication md5 1234567890123456
set interface ethernet1 protocol ospf authentication md5 9876543210987654
key-id 1
set interface ethernet1 protocol ospf authentication md5 active-md5-key-id 1
save
68 Configuración de seguridad
Capítulo 3: Protocolo OSPF
WebUI
Network > Routing > Virtual Router (trust-vr) > Access List > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los
siguientes datos y haga clic en Apply:
Neighbor List: 4
CLI
set vrouter trust-vr access-list 4
set vrouter trust-vr access-list 4 permit ip 10.10.10.130/27 10
set interface ethernet1 protocol ospf neighbor-list 4
save
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance: Seleccione la casilla de verificación Do Not Add Default-route
Learned in OSPF, luego haga clic en OK.
CLI
set vrouter trust-vr protocol ospf reject-default-route
save
Configuración de seguridad 69
Conceptos y ejemplos, Manual de Referencia de ScreenOS
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance: Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr protocol ospf hello-threshold 20
save
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance: Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr protocol ospf lsa-threshold 20 10
save
70 Configuración de seguridad
Capítulo 3: Protocolo OSPF
WebUI
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes
datos y haga clic en Apply:
CLI
set interface tunnel.1 protocol ospf reduce-flooding
save
NOTA: Deberá configurar la interfaz de túnel del interlocutor remoto como un circuito de
demanda. Sin embargo, no necesita configurar la inundación LSA reducida en el
interlocutor remoto.
WebUI
Network > Interfaces > Edit > OSPF: Introduzca los siguientes datos y haga
clic en Apply:
NOTA: Debe configurar una interfaz de túnel como interfaz punto a multipunto antes de
habilitar OSPF en la interfaz. Una vez configurada la interfaz como interfaz punto
a multipunto, ya no podrá configurarla como circuito de demanda (consulte
“Crear un circuito de demanda OSPF en una interfaz de túnel” en la página 71).
Sin embargo, puede configurar la interfaz para la inundación LSA reducida.
Configurar una red con una interfaz de túnel de punto a multipunto (consulte
“Crear una red punto a multipunto” en la página 73)
WebUI
Network > Interface > Edit > OSPF: Seleccione “Point-to-Multipoint” en la
lista de botones de opción “Link Type”.
CLI
set interface tunnel.1 protocol ospf link-type p2mp
save
WebUI
CLI
unset interface tunnel.1 route-deny
save
Los valores de temporizadores para todos los dispositivos deben coincidir para
que las adyacencias puedan formarse. La Figura 14 muestra el escenario descrito
de la red.
VPN 2 VPN 3
Internet
VPN 1 VPN 4
2. VPN
3. Rutas y OSPF
1. Interfaz y OSPF
2. VPN
3. Directivas
Network > Interfaces > Edit (para ethernet3) y configure la zona y la dirección
IP.
Network > Interface > Edit (para tunnel.1) > OSPF: Seleccione
“Point-to-Multipoint” en la lista de botones de opción “Link Type”.
2. VPN
VPNs > AutoKey Advanced > Gateway
3. Rutas y OSPF
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador
virtual y configure los parámetros de OSPF.
3. Rutas y OSPF
set vrouter trust router-id 10
set vrouter trust protocol ospf
set vrouter trust protocol ospf enable
set interface tunnel.1 protocol ospf area 0
set interface tunnel.1 protocol ospf enable
set interface tunnel.1 protocol ospf link-type p2mp
unset interface tunnel.1 route-deny
save
2. VPN
VPNs > AutoKey Advanced > Gateway
3. Directivas
Policies (from All zones to All zones) > Haga clic en New
2. VPN
set ike gateway gw1 address 1.1.1.1/24 main outgoing-interface untrust preshare
ospfp2mp proposal pre-g2-3des-sha
set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha
set vpn vpn1 monitor rekey
set vpn vpn1 id 1 bind interface tunnel.1
3. Directiva (configure como sea necesario)
set policy id 1 from trust to untrust any any any permit
set policy id 2 from untrust to trust any any any permit
save
Puede ver los nuevos cambios ejecutando el comando get vrouter vrouter protocol
ospf config.
79
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Vista general
El protocolo RIP (Routing information protocol) es un protocolo de vector distancia
que se utiliza como protocolo de puerta de enlace interior (IGP) en sistemas
autónomos (AS) de tamaño moderado. ScreenOS admite la versión 2 de RIP (RIPv2)
tal como se define en la norma RFC 2453. Mientras que RIPv2 sólo admite la
autenticación de contraseña simple (texto sin formato), la implementación RIP de
ScreenOS también admite extensiones de autenticación MD5, tal como se definen
en la norma RFC 2082.
NOTA: RIP no se admite en interfaces de túnel sin numerar. Se deben numerar todas las
interfaces que utilizan protocolo RIP. Cualquier intento por configurar y ejecutar
una interfaz sin numerar utilizando RIP puede provocar un error impredecible en
el enrutamiento.
El protocolo RIP no está diseñado para grandes redes o para redes en las que las
rutas se eligen en función de parámetros en tiempo real, como carga, fiabilidad o
retardo medido. RIP admite redes punto a punto (utilizadas con VPNs) y redes
Ethernet de difusión/multidifusión (broadcast/multicast). RIP admite las conexiones
de "punto a multipunto" a través de las interfaces de túnel con o sin tener
configurado un circuito de demanda. Para obtener más información sobre circuitos
de demanda, consulte “Circuitos de demanda en interfaces de túnel” en la
página 101.
RIP envía mensajes que contienen la tabla de enrutamiento completa a todos los
enrutadores vecinos cada 30 segundos. Estos mensajes se envían normalmente
como multidifusiones a la dirección 224.0.0.9 del puerto RIP.
La base de datos de enrutamiento RIP contiene una entrada para cada destino que
sea accesible a través de la instancia de enrutamiento RIP. La base de datos de
enrutamiento RIP incluye la siguiente información:
80 Vista general
Capítulo 4: Protocolo de información de enrutamiento
Dirección IP del primer enrutador de la ruta hacia el destino (el siguiente salto).
En esta sección se describen los pasos básicos para configurar el protocolo RIP en
un dispositivo de seguridad:
3. Habilitar RIP en las interfaces que conectan con otros enrutadores RIP.
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit: Escriba una
identificación de enrutador virtual y luego seleccione Create RIP Instance.
CLI
1. ID de enrutador
set vrouter trust-vr router-id 10
2. Instancia de enrutamiento de RIP
set vrouter trust-vr protocol rip
set vrouter trust-vr protocol rip enable
save
NOTA: En CLI, el proceso de crear una instancia de enrutamiento RIP se realiza en dos
etapas. Cree la instancia RIP y, a continuación, habilite RIP.
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:
Anule la selección de Enable RIP y haga clic en OK.
Network > Routing > Virtual Router (trust-vr) > Edit > Delete RIP Instance y
luego haga clic en OK en el mensaje de confirmación.
CLI
unset vrouter trust-vr protocol rip enable
unset vrouter trust-vr protocol rip
save
WebUI
Network > Interface > Edit (para Trust) > RIP: Seleccione Protocol RIP
Enable, luego haga clic en Apply.
CLI
set interface trust protocol rip enable
save
WebUI
Network > Interface (para Trust) > RIP: Elimine el Protocol RIP Enable, luego
haga clic en Apply.
CLI
unset interface trust protocol rip enable
unset interface trust protocol rip
save
Redistribuir rutas
La redistribución de rutas es el intercambio de información sobre rutas entre
protocolos de enrutamiento. Por ejemplo, los siguientes tipos de rutas se pueden
redistribuir en la instancia de enrutamiento de RIP de un mismo enrutador virtual
(VR):
Rutas importadas
Es necesario configurar un mapa de rutas para filtrar las rutas distribuidas. Para
obtener más información sobre la creación de mapas de rutas para la
redistribución, consulte Capítulo 2, “Enrutamiento”.
Las rutas importadas en RIP a partir de otros protocolos tienen un valor métrico
predeterminado de 10. Este valor se puede modificar (consulte “Parámetros
globales de RIP” en la página 89).
WebUI
Network > Routing > Virtual Router (trust-vr) > Access List > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router (trust-vr) > Route Map > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance >
Redistributable Rules: Introduzca los siguientes datos y haga clic en Add:
CLI
set vrouter trust-vr access-list 20 permit ip 20.1.0.0/16 1
set vrouter trust-vr route-map name rtmap1 permit 1
set vrouter trust-vr route-map rtmap1 1 match ip 20
set vrouter trust-vr protocol rip redistribute route-map rtmap1 protocol static
save
Vecino
WebUI
CLI
get vrouter trust-vr protocol rip database prefix 10.10.10.0/24
save
Flags, pueden ser uno o varios de lo siguiente: multipath (M), RIP (R), Redistributed
(I), Advertised default (D), Permanent (P), Summary (S), Unreachable (U) o Hold (H).
WebUI
CLI
get vrouter trust-vr protocol rip
Puede visualizar los valores de RIP, los detalles del paquete, la información del
temporizador RIP y una tabla de interfaz resumida.
WebUI
CLI
get vrouter trust-vr protocol rip neighbors
Antigüedad de la entrada
Tiempo de vencimiento
Flags: static (S), demand circuit (T), NHTB (N), down (D), up (U), poll (P) o
demand circuit init (I)
WebUI
NOTA: Debe utilizar la CLI para visualizar los detalles de la interfaz RIP.
CLI
get interface tunnel.1 protocol rip neighbor 10.10.10.2
Parámetro Valor(es)
global de RIP Descripción predeterminado(s)
Default metric Valor métrico predeterminado para rutas importadas 10
en RIP a partir de otros protocolos, como OSPF y BGP.
Update timer Indica (en segundos) cuándo enviar actualizaciones de 30 segundos
rutas RIP a los dispositivos vecinos.
Maximum Indica el número máximo de paquetes recibidos por Sin máximo
packets per actualización.
update
Invalid timer Indica el tiempo (en segundos) que tiene que 180 segundos
transcurrir para que una ruta deje de ser válida desde el
momento en el que un vecino deja de notificar la ruta.
Flush timer Indica el tiempo (en segundos) que tiene que 120 segundos
transcurrir para que se elimine una ruta desde el
momento de su invalidación.
Maximum Indica el número máximo de vecinos RIP permitidos. Depende de la
neighbors plataforma
Trusted Indica una lista de acceso en la que se definen los Todos los vecinos
neighbors vecinos RIP. Si no se especifica ningún vecino, RIP son fiables
utiliza la difusión o la multidifusión para detectar
vecinos en una interfaz. Consulte “Configurar vecinos
fiables” en la página 93.
Allow neighbors Indica que se admiten vecinos RIP de otras subredes. Desactivado
on different
subnet
Advertise default Indica si se notifica la ruta predeterminada (0.0.0.0/0). Desactivado
route
Reject default Indica si RIP debe rechazar una ruta predeterminada Desactivado
routes reconocida de otro protocolo. Consulte “Rechazar rutas
predeterminadas” en la página 94.
Incoming route Indica el filtro para las rutas que RIP debe reconocer. Ninguna
map
Outgoing route Indica el filtro para las rutas que RIP debe notificar. Ninguna
map
Maximum Especifica el número máximo de rutas RIP para el 0
alternate routes mismo prefijo que se puede añadir a la base de datos
de la ruta RIP. Consulte “Ajustar rutas alternas” en la
página 100.
Parámetro Valor(es)
global de RIP Descripción predeterminado(s)
Summarize Especifica la notificación de una ruta de resumen que Ninguna
advertised routes corresponde a todas las rutas incluidas dentro de un
rango de resumen. Consulte “Habilitar y deshabilitar un
resumen de prefijo” en la página 99.
RIP protocol Especifica la versión de RIP que utiliza el VR. Puede Versión 2
version ignorar la versión interfaz a interfaz. Consulte
“Configurar la versión de RIP” en la página 97.
Hold-timer Evita el “flapping” (rechazo) de una ruta a la tabla de 90 segundos
rutas. Puede especificar un valor entre los valores
mínimo (tres veces el valor del temporizador de
actualización (update)) y máximo (suma del
temporizador de actualización (update) y el de
retención (hold), sin exceder el valor del temporizador
flush).
Retransmit timer Especifica el intervalo de retransmisión de las 5 segundos
respuestas desencadenadas en un circuito de demanda. 10 reintentos
Puede establecer el temporizador de retransmisión y
asignar una cuenta de reintentos que se ajuste a sus
necesidades de red.
Poll-timer Comprueba el vecino remoto del circuito de demanda 180 segundos
para ver si está activa la conexión con ese vecino. 0 reintentos
Puede configurar el temporizador de retransmisión en
minutos y asignar una cuenta de reintentos que se
ajuste a sus necesidades de red. Una cuenta de
reintentos de cero (0) supone un sondeo interminable.
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:
Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr protocol rip adv-default-route metric number 5
save
NOTA: Consulte el manual ScreenOS CLI Reference Guide para obtener más información
sobre los parámetros globales que se pueden configurar en el contexto del
protocolo de enrutamiento RIP.
Valor
Parámetro RIP de interfaz Descripción predeterminado
Split-horizon Indica si está habilitada la opción de La opción de
horizonte dividido (no notificar rutas horizonte dividido
reconocidas de una interfaz en está habilitada. Las
actualizaciones enviadas a dicha interfaz, rutas inalcanzables
“split horizon”). Si está habilitada la opción están inhabilitadas.
de horizonte dividido con rutas
inalcanzables (“poison reverse”), las rutas
reconocidas de una interfaz se notifican
con un valor métrico de 16 en las
actualizaciones enviadas a dicha interfaz.
RIP metric Especifica la métrica RIP de la interfaz. 1
Autenticación Especifica la autenticación por contraseña No se utiliza
de texto no encriptado o la autenticación autenticación.
MD5. Consulte “Autenticar vecinos
mediante una contraseña” en la página 92.
Passive mode Indica que la interfaz puede recibir, pero no No
transmitir paquetes RIP.
Incoming route map Indica el filtro para las rutas que RIP debe Ninguna.
reconocer.
Outgoing route map Indica el filtro para las rutas que RIP debe Ninguna.
notificar.
RIP version for sending or Especifica la versión de protocolo RIP Versión configurada
receiving updates utilizada para enviar o recibir para el enrutador
actualizaciones en la interfaz. La versión de virtual.
la interfaz utilizada para enviar
actualizaciones no necesita ser la misma
que la versión para recibir las
actualizaciones. Consulte “Configurar la
versión de RIP” en la página 97.
Route Summarization Especifica si los resúmenes de rutas están Desactivado.
habilitados en la interfaz. Consulte
“Habilitar y deshabilitar un resumen de
prefijo” en la página 99.
Demand-circuit Especifica el circuito de demanda en una Ninguna.
interfaz de túnel especificada. El dispositivo
de seguridad envía mensajes de
actualización solamente cuando se
producen cambios. Consulte “Circuitos de
demanda en interfaces de túnel” en la
página 101.
Static neighbor IP Especifica la dirección IP de un vecino RIP Ninguna.
asignado manualmente.
Puede definir mapas de rutas de entrada y salida en el nivel del enrutador virtual o
en el nivel de la interfaz. Un mapa de rutas definido en el nivel de la interfaz tiene
preferencia sobre un mapa de rutas definido en el nivel del enrutador virtual. Por
ejemplo, si define un mapa de rutas de entrada en el nivel del enrutador virtual y
otro mapa de rutas de entrada en el nivel de la interfaz, éste último tendrá
preferencia sobre el primero. Para obtener más información, consulte “Configurar
un mapa de rutas” en la página 40.
WebUI
Network > Interfaces > Edit (para Trust) > RIP: Introduzca los siguientes
datos y haga clic en OK:
CLI
set interface trust protocol rip authentication md5 1234567898765432 key-id
215
set interface trust protocol rip split-horizon poison-reverse
save
Configuración de seguridad
En esta sección se describen posibles problemas de seguridad en el dominio de
enrutamiento RIP y ciertos métodos de prevención de ataques.
NOTA: Para que RIP sea más seguro, todos los enrutadores de un dominio RIP deben
configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador
RIP comprometido podría llegar a dejar inservible todo el domino de
enrutamiento RIP.
RIP ofrece dos formas de validar los paquetes RIP recibidos de los vecinos: por
autenticación de contraseña simple y por autenticación MD5. Todos los paquetes
RIP recibidos en la interfaz que no se autentiquen se descartarán. De forma
predeterminada, ninguna interfaz RIP tiene la autenticación habilitada.
92 Configuración de seguridad
Capítulo 4: Protocolo de información de enrutamiento
Para la autenticación MD5 es necesario utilizar la misma clave para los enrutadores
RIP de envío y recepción. Puede especificar más de una clave MD5 en el dispositivo
de seguridad, cada una de las cuales tendrá su propia clave. Si configura varias
claves MD5 en el dispositivo de seguridad, podrá seleccionar un identificador para
la clave que se utilizará para autenticar las comunicaciones con el enrutador vecino.
De esta forma es posible cambiar periódicamente las claves MD5 por parejas de
enrutadores minimizando el riesgo de que algún paquete se descarte.
En el siguiente ejemplo, creará dos claves MD5 distintas para la interfaz ethernet1 y
seleccionará una de ellas para que sea la clave activa. El identificador de clave
predeterminado es 0, de forma que no tendrá que especificar el identificador para
la primera clave MD5 que introduzca.
WebUI
Network > Interfaces > Edit (para ethernet1) > RIP: Introduzca los siguientes
datos y haga clic en Apply:
CLI
set interface ethernet1 protocol rip authentication md5 1234567890123456
set interface ethernet1 protocol rip authentication md5 9876543210987654
key-id 1
set interface ethernet1 protocol rip authentication md5 active-md5-key-id 1
save
Configuración de seguridad 93
Conceptos y ejemplos, Manual de Referencia de ScreenOS
WebUI
Network > Routing > Virtual Router (trust-vr) > Access List > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:
Introduzca los siguientes datos y haga clic en OK:
Trusted Neighbors: (seleccione), 10
Maximum Neighbors: 1
CLI
set vrouter trust-vr
ns(trust-vr)-> set access-list 10 permit ip 10.1.1.1/32 1
ns(trust-vr)-> set protocol rip
ns(trust-vr/rip)-> set max-neighbor-count 1
ns(trust-vr/rip)-> set trusted-neighbors 10
ns(trust-vr/rip)-> exit
ns(trust-vr)-> exit
save
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:
Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr protocol rip reject-default-route
save
94 Configuración de seguridad
Capítulo 4: Protocolo de información de enrutamiento
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance:
Introduzca los siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr protocol rip threshold-update 4
save
Configuración de seguridad 95
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Zona Untrust
Zona Trust
WebUI
Network > Routing > Virtual Router > Edit (para trust-vr) > Create RIP
Instance: Seleccione Enable RIP y haga clic en OK.
Network > Routing > Virtual Router > Access List (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
96 Configuración de seguridad
Capítulo 4: Protocolo de información de enrutamiento
Network > Routing > Virtual Router > Route Map (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP
Instance: Seleccione los siguientes datos y haga clic en OK:
Network > Interfaces > Edit (para tunnel.1) > RIP: Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para trust) > RIP: Introduzca los siguientes datos
y haga clic en Apply:
CLI
set vrouter trust-vr protocol rip
set vrouter trust-vr protocol rip enable
set interface tunnel.1 protocol rip enable
set interface trust protocol rip enable
set vrouter trust-vr access-list 10 permit ip 10.10.0.0/16 10
set vrouter trust-vr route-map name abcd permit 10
set vrouter trust-vr route-map abcd 10 match ip 10
set vrouter trust-vr protocol rip route-map abcd out
save
WebUI
Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP
Instance: Seleccione V1 para Version, luego haga clic en Apply.
Network > Interfaces > Edit (para ethernet3) > RIP: Seleccione V2 para
Sending and Receiving in Update Version, luego haga clic en Apply.
CLI
set vrouter trust-vr protocol rip version 1
set interface ethernet3 protocol rip receive-version v2
set interface ethernet3 protocol rip send-version v2
save
En ocasiones, una ruta resumida puede crear oportunidades para que se produzcan
bucles. Puede configurar una ruta hacia una interfaz NULL para evitar bucles. Para
obtener más información sobre establecer una interfaz NULL, consulte“Impedir la
creación de bucles por las rutas resumidas” en la página 11.
WebUI
Network > Routing > Virtual Routers > Edit (for trust-vr) > Edit RIP Instance
> Summary IP: Introduzca los siguientes datos y haga clic en Add:
Network > Interface > Edit (para ethernet3) > RIP: Seleccione
Summarization, luego haga clic en Apply.
CLI
set vrouter trust-vr protocol rip summary-ip 10.1.0.0/16
set interface ethernet3 protocol rip summary-enable
save
WebUI
Network > Interface Edit > RIP: Desactive Summarization, luego haga clic en
Apply.
CLI
unset vrouter trust-vr protocol rip summary-ip 10.1.0.0/16
unset interface ethernet3 protocol rip summary-enable
save
NOTA: Recomendamos el uso de rutas alternativas con los circuitos de demanda. Para
obtener más información sobre circuitos de demanda, consulte “Circuitos de
demanda en interfaces de túnel” en la página 101.
Puede visualizar la base de datos RIP ejecutando este comando CLI: get vrouter
vrouter protocol rip database. En el ejemplo siguiente, el número de rutas
alternativas para la base de datos RIP se ajusta a un número mayor que 0. La base
de datos RIP muestra dos entradas para el prefijo 10.10.70.0/24 en la base de datos
RIP, una con un coste de 2 y otra con un coste de 4. La mejor ruta para el prefijo, la
ruta con el coste más bajo, se incluye en la tabla de enrutamiento de VR.
WebUI
Network > Routing > Edit (for trust-vr) > Edit RIP Instance: Introduzca 1 en
el campo Maximum Alternative Route, luego haga clic en Apply.
CLI
set vrouter trust-vr protocol rip alt-route 1
save
Debe configurar la supervisión de VPN con reencriptación en los túneles VPN para
reconocer el estado del túnel.
WebUI
Network > Interfaces > (Edit) RIP: Seleccione Demand Circuit, luego haga
clic en Apply.
CLI
set interface tunnel.1 protocol rip demand-circuit
save
WebUI
Network > Interfaces > (Edit) RIP: Haga clic en el botón Static Neighbor IP
para avanzar a la tabla Static Neighbor IP. Introduzca la dirección IP del vecino
estático y haga clic en Add.
CLI
set interface tunnel.1 protocol rip neighbor 10.10.10.2
unset interface tunnel.1 protocol rip neighbor 10.10.10.2
save
Si desea configurar RIP como túnel punto a multipunto con circuitos de demanda,
debe diseñar su red en una configuración radial (“hub and spoke”).
La red de este ejemplo pertenece a una empresa de tamaño mediano con su oficina
central (CO) en San Francisco y delegaciones en Chicago, Los Angeles, Montreal y
Nueva York. Cada oficina tiene un solo dispositivo de seguridad. Consulte la
Figura 16 en la página 105.
Internet
2. VPN
3. Rutas y RIP
4. Vecinos estáticos
5. Ruta de resumen
2. VPN
3. Rutas y RIP
4. Vecinos estáticos
5. Ruta de resumen
2. VPN
VPNs > AutoKey Advanced > Gateway
3. Rutas y RIP
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador
virtual y haga clic en Create RIP Instance, luego habilite RIP en el enrutador
virtual.
Network > Interfaces > Edit > Haga clic en Edit y luego en RIP, luego habilite
RIP en la interfaz.
4. Vecinos estáticos
Network > Interfaces > Edit > RIP > Static Neighbor IP y luego en Add
Neighbor IP Address.
5. Ruta de resumen
Network > Routing > Virtual Router Edit (RIP) > Haga clic en Summary IP y
configure la dirección IP del resumen.
set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha
set vpn vpn1 monitor rekey
set vpn vpn1 bind interface tunnel.1
set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proposal g2-esp-3des-sha
set vpn vpn2 monitor rekey
set vpn vpn2 bind interface tunnel.1
set vpn vpn3 gateway gw3 no-replay tunnel idletime 0 proposal g2-esp-3des-sha
set vpn vpn3 monitor rekey
set vpn vpn3 bind interface tunnel.1
set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proposal g2-esp-3des-sha
set vpn vpn4 monitor rekey
set vpn vpn4 bind interface tunnel.1
3. Rutas y RIP
set vrouter trust protocol rip
set vrouter trust protocol rip enable
set vrouter protocol rip summary-ip 100.10.0.0/16
2. VPN
VPNs > AutoKey Advanced > Gateway
3. Rutas y RIP
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador
virtual y haga clic en Create RIP Instance, luego habilite RIP en el enrutador
virtual.
Network > Interfaces > Edit > Haga clic en Edit y luego en RIP, luego habilite
RIP en la interfaz.
Puede ver los nuevos cambios ejecutando el comando get vrouter vrouter protocol
rip neighbors. Los vecinos de un circuito de demanda aparecen en la tabla de
vecinos; la información del vecino no envejece ni expira. Puede ver la base de datos
RIP ejecutando el comando get vrouter vrouter protocol rip database. P de
permanent aparece junto a las entradas de los circuitos de demanda.
109
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Vista general
El protocolo BGP (Border Gateway Protocol) es un protocolo de vectores de rutas
que se utiliza para transportar información de enrutamiento entre sistemas
autónomos (AS). Un AS es un conjunto de enrutadores que se encuentran en el
mismo dominio administrativo.
Dos interlocutores BGP establecen una sesión BGP para intercambiar información de
enrutamiento. Un enrutador BGP puede participar en sesiones BGP con distintos
interlocutores. En primer lugar, los interlocutores BGP deben establecer una
conexión TCP entre sí para abrir una sesión BGP. Una vez establecida la conexión
inicial, los interlocutores intercambian las tablas de enrutamiento completas. A
medida que cambian las tablas de enrutamiento, los enrutadores BGP intercambian
mensajes de actualización con los interlocutores. Cada enrutador BGP mantiene
actualizadas las tablas de enrutamiento de todos los interlocutores con los que tiene
sesiones, enviándoles periódicamente mensajes de mantenimiento de conexión
para verificar las conexiones.
El interlocutor BGP sólo notifica las rutas que está utilizando en ese momento.
Cuando un interlocutor BGP notifica una ruta a su vecino, incluye atributos de ruta
que describen sus características. El enrutador BGP compara los atributos de ruta y
el prefijo para elegir la mejor ruta de todas las disponibles para un destino
determinado.
Atributos de ruta
Los atributos de ruta BGP son un grupo de parámetros que describen las
características de una ruta. El protocolo BGP empareja los atributos con la ruta que
describen y, a continuación, compara todas las rutas disponibles para un destino
para así seleccionar la mejor ruta de acceso a ese destino. Los atributos de ruta
obligatorios y bien conocidos son:
Origin describe el origen de la ruta (puede ser IGP, EGP o estar incompleto).
Multi-Exit Discriminator (MED) es una métrica para aquellas rutas en las que
hay múltiples vínculos entre sistemas autónomos (un AS configura el MED y
otro AS lo utiliza para elegir una ruta).
Cluster List contiene una lista de los clústeres de reflexión a través de los
cuales ha pasado la ruta.
Un enrutador BGP puede decidir si desea agregar o modificar los atributos de ruta
opcionales antes de notificársela a los interlocutores.
Ciertos atributos de ruta sólo son aplicables a EBGP o IBGP. Por ejemplo, el atributo
MED sólo se utiliza en mensajes EBGP, mientras que el atributo LOCAL-PREF sólo
está presente en mensajes IBGP.
Esta sección describe cómo realizar cada una de estas tareas utilizando CLI o WebUI
para el siguiente ejemplo. La Figura 17 muestra el dispositivo de seguridad como un
interlocutor BGP en AS 65000. Tiene que configurar el dispositivo de seguridad para
que pueda establecer una sesión BGP con el interlocutor en AS 65500.
AS 65000 AS 65500
Interlocutores BGP
NOTA: Los números de sistemas autónomos (AS) son números exclusivos en todo el
mundo que se utilizan para intercambiar información de enrutamiento EBGP y
para identificar el sistema autónomo. Las siguientes entidades asignan números
de AS: American Registry for Internet Numbers (ARIN), Réseaux IP Européens
(RIPE) y Asia Pacific Network Information Center (APNIC). Los números 64512 a
65535 son de uso privado y no para su notificación global en Internet.
WebUI
1. ID de enrutador
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes
datos y haga clic en OK:
CLI
1. ID de enrutador
set vrouter trust-vr router-id 10
2. Instancia de enrutamiento de BGP
set vrouter trust-vr protocol bgp 65000
set vrouter trust-vr protocol bgp enable
save
WebUI
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit BGP Instance:
Anule la selección de BGP Enabled y haga clic en OK.
Network > Routing > Virtual Routers (trust-vr) > Edit: Seleccione Delete BGP
Instance, luego haga clic en OK cuando aparezca el mensaje de confirmación.
CLI
unset vrouter trust-vr protocol bgp enable
unset vrouter trust-vr protocol bgp 65000
save
WebUI
Network > Interface Edit > BGP: Marque la habilitación de Protocol BGP,
luego haga clic en OK.
CLI
set interface ethernet4 protocol bgp
save
WebUI
Network > Interfaces > Configure (para ethernet4): Desactive Protocol BGP,
luego haga clic en OK.
CLI
unset interface ethernet4 protocol bgp
save
Parámetro Grupo de
BGP Interlocutor interlocutores Descripción Valor predeterminado
Advertise X Notifica la ruta predeterminada en el enrutador La ruta predeterminada
default route virtual a interlocutores BGP. no se notifica.
EBGP multihop X X Número de nodos entre el BGP local y el vecino. 0 (desactivado)
Force connect X X Hace que la instancia de BGP descarte una conexión N/D
BGP existente con el interlocutor especificado y
acepte una nueva conexión. Este parámetro resulta
de utilidad cuando hay una conexión con un
enrutador que falla y, a continuación, reaparece e
intenta restablecer una conexión BGP, ya que
permite un restablecimiento más rápido de la
conexión entre interlocutores1.
Hold time X X Tiempo transcurrido sin que lleguen mensajes de 180 segundos
un interlocutor antes de que se considere fuera
de servicio.
Keepalive X X Tiempo entre transmisiones de mantenimiento de 1/3 del tiempo de
conexión (keepalive). espera (hold-time)
MD5 X X Configura la autenticación MD-5. Sólo se comprueba
authentication el identificador de
interlocutor y el
número de AS.
MED X Configura el valor de atributo MED. 0
Parámetro Grupo de
BGP Interlocutor interlocutores Descripción Valor predeterminado
Next-hop self X X En las rutas enviadas al interlocutor, el atributo de Atributo de salto
ruta al salto siguiente se ajusta en la dirección IP de siguiente no cambiado
la interfaz del enrutador virtual local.
Reflector client X X El interlocutor es un cliente de reflexión cuando el Ninguna
protocolo BGP local se configura como el reflector
de rutas.
Reject default X No tiene en cuenta las notificaciones de ruta Las rutas
route predeterminada procedentes de los predeterminadas de los
interlocutores BGP. interlocutores se
agregan a la tabla de
enrutamiento
Retry time X X Tras un intento fallido de inicio de sesión, tiempo 120 segundos
que se tarda en reintentar iniciar la sesión BGP.
Send X X Transmite el atributo de comunidad al interlocutor. Atributo de comunidad
community no enviado a los
interlocutores.
Weight X X Prioridad de ruta entre el BGP local y el interlocutor. 100
1.Puede utilizar el comando exec neighbor disconnect para hacer que la instancia de BGP descarte una conexión BGP con el
interlocutor especificado y acepte una nueva conexión. El uso de este comando de ejecución no modifica la configuración
del interlocutor BGP. Por ejemplo, puede utilizarlo si desea cambiar la configuración del mapa de rutas que se aplica a
este interlocutor.
Dirección IP 1.1.1.250
Reside en AS 65500
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65500
Remote IP: 1.1.1.250
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors > Configure (para el interlocutor que acabe de agregar):
Seleccione Peer Enabled y luego haga clic en OK.
CLI
set vrouter trust-vr protocol bgp neighbor 1.1.1.250 remote-as 65500
set vrouter trust-vr protocol bgp neighbor 1.1.1.250 enable
save
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Peer Group: Escriba ibgp en el campo Group Name, luego haga clic
en Add.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65000
Remote IP: 10.1.2.250
Peer Group: ibgp (seleccione)
AS Number: 65000
Remote IP: 10.1.3.250
Peer Group: ibgp (seleccione)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors > Configure (para 10.1.2.250): Seleccione Peer Enabled
y luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors > Configure (para 10.1.3.250): Seleccione Peer Enabled
y luego haga clic en OK.
CLI
set vrouter trust-vr protocol bgp neighbor peer-group ibgp
set vrouter trust-vr protocol bgp neighbor peer-group ibgp remote-as 65000
set vrouter trust-vr protocol bgp neighbor peer-group ibgp md5-authentication
verify03
set vrouter trust-vr protocol bgp neighbor 10.1.2.250 remote-as 65000
set vrouter trust-vr protocol bgp neighbor 10.1.2.250 peer-group ibgp
set vrouter trust-vr protocol bgp neighbor 10.1.3.250 remote-as 65000
set vrouter trust-vr protocol bgp neighbor 10.1.3.250 peer-group ibgp
set vrouter trust-vr protocol bgp neighbor 10.1.2.250 enable
set vrouter trust-vr protocol bgp neighbor 10.1.3.250 enable
save
output continues...
exit
NOTA: Un estado de sesión que cambia continuamente entre Active y Connect podría indicar
un problema con la conexión entre interlocutores.
Configuración de seguridad
En esta sección se describen posibles problemas de seguridad en el dominio de
enrutamiento BGP y ciertos métodos de prevención de ataques.
NOTA: Para que BGP sea más seguro, todos los enrutadores de un dominio BGP deben
configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador BGP
comprometido podría llegar a dejar inservible todo el domino de enrutamiento BGP.
BGP ofrece autenticación MD5 para validar los paquetes BGP recibidos de un
interlocutor. Para la autenticación MD5 es necesario utilizar la misma clave para los
enrutadores BGP de envío y de recepción. Todos los paquetes BGP recibidos de un
determinado interlocutor que no se autentiquen se descartarán. De forma
predeterminada, para un determinado interlocutor BGP sólo se comprobarán el
identificador de interlocutor y el número de AS.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65500
Remote IP: 1.1.1.250
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance:
Introduzca los siguientes datos y haga clic en OK:
Rutas importadas
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Redist. Rules: Introduzca los siguientes datos y haga clic en Add:
CLI
set vrouter trust-vr protocol bgp redistribute route-map add-ospf protocol ospf
save
WebUI
Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP
Instance > AS Path: Introduzca los siguientes datos y haga clic en Add:
Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP
Instance > AS Path: Introduzca los siguientes datos y haga clic en Add:
CLI
set vrouter trust-vr protocol bgp as-path-access-list 2 deny 65000$
set vrouter trust-vr protocol bgp as-path-access-list 2 permit _65000_
save
4.4.4.0/24
5.5.5.0/24
Internet
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Networks: Introduzca los siguientes datos y haga clic en Add:
IP/Netmask: 4.4.4.0/24
Check Reachability:
Yes: (seleccione), 5.5.5.0/24
CLI
set vrouter trust-vr protocol bgp network 4.4.4.0/24 check 5.5.5.0/24
save
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Networks: Introduzca los siguientes datos y haga clic en Add:
IP/Netmask: 4.4.4.0/24
Weight: 100
CLI
set vrouter trust-vr protocol bgp network 4.4.4.0/24 weight 100
save
WebUI
Network > Routing > Virtual Router > Route Map (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Networks: Introduzca los siguientes datos y haga clic en Add:
IP/Netmask: 4.4.4.0/24
Route Map: setattr (seleccione)
CLI
set vrouter trust-vr route-map name setattr permit 1
set vrouter trust-vr route-map setattr 1 metric 100
set vrouter trust-vr protocol bgp network 4.4.4.0/24 route-map setattr
save
Capacidad de enrutamiento-actualización
La característica de enrutamiento-actualización de BGP definida en RFC 2918 ofrece
un mecanismo de restablecimiento liviano que permite el intercambio dinámico
de información sobre enrutamiento y solicitudes de actualización de rutas entre
los interlocutores de BGP y la nueva notificación de la tabla de enrutamiento
entrante y saliente.
Las directivas de enrutamiento para un interlocutor BGP que utiliza mapas de rutas
podrían afectar a las actualizaciones de la tabla de enrutamiento entrante o saliente
ya que cuando se modifica una directiva de enrutamiento, la nueva directiva entra
en vigencia únicamente después de que se restablece la sesión BGP. Una sesión
BPG se puede borrar al efectuar un restablecimiento liviano o abrupto.
NOTA: Los administradores utilizan el comando get neighbor dir_ip para verificar si se
negoció la capacidad de enrutamiento-actualización. El comando también
muestra contadores, como el número de veces en que se envió o recibió la
solicitud de enrutamiento-actualización.
WebUI
Esta característica no está disponible en WebUI.
CLI
clear vrouter trust-vr protocol bgp neighbor 10.10.10.10 soft-in
WebUI
Esta característica no está disponible en WebUI.
CLI
clear vrouter trust-vr protocol bgp neighbor 10.10.10.10 soft-out
NOTA: Una malla completa no implica que cada par de enrutadores esté conectado
directamente, sino que cada enrutador tiene que ser capaz de establecer y
mantener una sesión IBGP con cada uno de los demás enrutadores.
El enrutador virtual (VR) local del dispositivo de seguridad puede actuar como
reflector de rutas y se le puede asignar una identificación de clúster. Si especifica
una identificación de clúster, la instancia de enrutamiento de BGP añade la
identificación del clúster al atributo Cluster-List de una ruta. La ID de clúster
contribuye a evitar la formación de bucles, puesto que la instancia de enrutamiento
de BGP local descarta una ruta cuando su ID de clúster aparece en la lista de
clústeres de la ruta.
AS 65000 AS 65500
ID del enrutador
Cliente 1 2.2.2.250
ID del enrutador
1.1.3.250
Dispositivo-A
ID del enrutador Cliente 3 Ruta de
del reflector de ID del enrutador notificación de
Cliente 2 rutas 1.1.1.250 1.1.1.250 interlocutor EBGP
ID del enrutador a 5.5.5.0/24
1.1.4.250
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance: Introduzca los siguientes datos y haga clic en Apply:
AS Number: 65000
Remote IP: 1.1.2.250
AS Number: 65000
Remote IP: 1.1.3.250
AS Number: 65000
Remote IP: 1.1.4.250
CLI
set vrouter trust-vr protocol bgp reflector
set vrouter trust-vr protocol bgp reflector cluster-id 99
set vrouter trust-vr protocol bgp neighbor 1.1.2.250 remote-as 65000
set vrouter trust-vr protocol bgp neighbor 1.1.2.250 reflector-client
set vrouter trust-vr protocol bgp neighbor 1.1.3.250 remote-as 65000
set vrouter trust-vr protocol bgp neighbor 1.1.3.250 reflector-client
set vrouter trust-vr protocol bgp neighbor 1.1.4.250 remote-as 65000
set vrouter trust-vr protocol bgp neighbor 1.1.4.250 reflector-client
save
Sistemas autónomos
AS 65000 (confederación)
Subsistema AS 65001 Subsistema AS 65002 Subsistema AS 65003 AS 65500
Subsistemas autónomos
Hay que especificar los siguientes datos por cada enrutador de una confederación:
AS 65000 (confederación)
Dispositivo de seguridad
Subsistemas autónomos
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP
Instance: Introduzca los siguientes datos y haga clic en Apply:
CLI
set vrouter trust-vr protocol bgp 65003
set vrouter trust-vr protocol bgp confederation id 65000
set vrouter trust-vr protocol bgp confederation peer 65001
set vrouter trust-vr protocol bgp confederation peer 65002
set vrouter trust-vr protocol bgp enable
save
Comunidades BGP
El atributo de ruta Communities ofrece un modo de agrupar destinos (llamados
comunidades), que un enrutador BGP podrá después utilizar para controlar las rutas
que acepta, prefiere o redistribuye a los equipos vecinos. Un enrutador BGP puede
agregar comunidades a una ruta (si la ruta no tiene el atributo Communities) o
modificar las comunidades de una ruta (si ésta incluye el atributo de ruta
Communities). Este atributo ofrece una técnica alternativa para distribuir
información de rutas de acuerdo con los prefijos de direcciones IP o el atributo
AS-path. Puede utilizar el atributo Communities de muchas formas, pero su
principal objetivo es simplificar la configuración de directivas de enrutamiento en
entornos de redes completos.
Una comunidad bien conocida implica un manejo especial de las rutas que
contienen esos valores de comunidad. A continuación se muestran valores de
comunidad bien conocida que se pueden especificar para las rutas BGP en el
dispositivo de seguridad:
Puede utilizar un mapa de rutas para filtrar las rutas que coinciden con los datos de
una lista de comunidad especificada, eliminar o asignar atributos a las rutas,
agregar comunidades a la ruta o eliminarlas de ella.
Agregar rutas
La agregación es una técnica para resumir rangos de direcciones de enrutamiento
(conocidas como rutas contribuyentes) en una sola entrada de ruta. Hay varios
parámetros opcionales que se pueden establecer al configurar una ruta agregada.
Esta sección contiene ejemplos de configuración de rutas agregadas.
NOTA: Si utiliza la opción AS-Set con una ruta agregada, un cambio en una ruta
contribuyente puede provocar que el atributo de la ruta agregada también cambie.
Esto provoca que BGP vuelva a anunciar la ruta agregada con el atributo de ruta
cambiado.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en
Apply:
CLI
set vrouter trust protocol bgp
set vrouter trust protocol bgp aggregate
set vrouter trust protocol bgp aggregate 1.0.0.0/8 as-set
set vrouter trust protocol bgp enable
save
En el ejemplo siguiente, el BGP anuncia la ruta agregada 1.0.0.0/8, pero las rutas
más específicas son excluidas mediante filtro de las actualizaciones de rutas
salientes.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en
Apply:
CLI
set vrouter trust protocol bgp aggregate 1.0.0.0/8 summary-only
save
En el ejemplo siguiente, filtrará las rutas del rango 1.2.3.0/24 para que sean
eliminadas de las actualizaciones que incluyan la ruta agregada 1.0.0.0/8. Para ello,
primero configurará una lista de accesos que especifique las rutas a filtrar
(1.2.3.0/24). A continuación, configurará un mapa de rutas ‘noadvert’ para permitir
las rutas 1.2.3.0/24. Después configurará una ruta agregada 1.0.0.0/8 y especificará
el mapa de ruta ‘noadvert’ como opción de supresión para las actualizaciones
salientes.
WebUI
Network > Routing > Virtual Router > Access List (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router > Route Map (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en
Apply:
CLI
set vrouter trust-vr access-list 1 permit ip 1.2.3.0/24 777
set vrouter trust-vr route-map name noadvert permit 2
set vrouter trust-vr route-map noadvert 2 match ip 1
set vrouter trust protocol bgp aggregate 1.0.0.0/8 suppress-map noadvert
save
WebUI
Network > Routing > Virtual Router > Access List (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router > Access List (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router > Route Map (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en
Apply:
CLI
set vrouter trust-vr access-list 3 deny ip 1.5.6.0/24 888
set vrouter trust-vr access-list 3 permit ip 1.5.0.0/16 999
set vrouter trust-vr route-map name advertset permit 4
set vrouter trust-vr route-map advertset 4 match ip 3
set vrouter trust protocol bgp aggregate 1.0.0.0/8 advertise-map advertset
save
WebUI
Network > Routing > Virtual Router > Route Map (para trust-vr) > New:
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en
Apply:
CLI
set vrouter trust-vr route-map name aggmetric permit 5
set vrouter trust-vr route-map aggmetric 5 metric 1111
set vrouter trust protocol bgp aggregate 1.0.0.0/8 attribute-map aggmetric
save
Vista general
Las empresas utilizan el enrutamiento multicast para transmitir tráfico, como
secuencias de datos o vídeo, desde un origen a un grupo de receptores
simultáneamente. Cualquier host puede ser un origen, y los receptores pueden
estar en cualquier punto de Internet.
Direcciones multicast
Cuando un origen envía tráfico multicast, la dirección de destino es una dirección
del grupo multicast. Las direcciones del grupo multicast son direcciones de Clase D
desde la 224.0.0.0 hasta la 239.255.255.255.
1. El paquete multicast
procedente de 1.1.1.250 ethernet3
llega a ethernet1. 10.1.1.1
DST IF GATE
0.0.0.0 eth1 ---
10.1.1.0 eth3 ---
1.1.1.0 eth1 ---
En este ejemplo configurará una ruta multicast estática desde un origen con la
dirección IP 20.20.20.200 hasta el grupo multicast 238.1.1.1. Configure el
dispositivo de seguridad para traducir el grupo multicast de 238.1.1.1 a 238.2.2.1
en la interfaz saliente.
WebUI
Network > Routing > MCast Routing > New: Introduzca los siguientes datos y
haga clic en OK:
CLI
set vrouter trust-vr mroute mgroup 238.1.1.1 source 20.20.20.200 iif ethernet1
oif ethernet3 out-group 238.2.2.1
save
Listas de acceso
Una lista de acceso es una lista de declaraciones con la que se compara la ruta.
Cada declaración especifica la dirección/máscara IP de un prefijo de red y el estado
de reenvío (acepta o rechaza la ruta). En el enrutamiento multicast, una instrucción
también puede contener una dirección de grupo multicast. En el enrutamiento
multicast, usted crea listas de accesos para permitir tráfico multicast a
determinados grupos o hosts multicast. Por lo tanto, el estado de la acción o del
reenvío es siempre Permit. No se pueden crear listas de accesos para denegar
ciertos grupos o hosts. (Para obtener información adicional sobre listas de accesos,
consulte “Configurar una lista de acceso” en la página 42).
NOTA: Puede habilitar GRE en una interfaz de túnel asociada a una interfaz de bucle
invertido, siempre que la interfaz de bucle invertido se encuentre en la misma
zona que la interfaz saliente. Para obtener más información sobre interfaces de
bucle invertido, consulte “Interfaces de bucle invertido (loopback)” en la
página 2-60.
Origen
Internet
Enrutador-A
Túneles GRE
Dispositivo A
Túneles VPN
con GRE
Dispositivo-1 Dispositivo-2
Receptores Receptores
WebUI
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
Network > Interfaces > Tunnel (tunnel.1): Introduzca los siguientes datos y
haga clic en Apply:
CLI
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
set interface tunnel.1 tunnel encap gre
set interface tunnel.1 tunnel local-if ethernet3 dst-ip 3.3.3.1
save
Directivas multicast
De forma predeterminada, los dispositivos de seguridad de Juniper Networks no
permiten que el tráfico de control multicast, como mensajes IGMP o PIM, pase por
dispositivos de seguridad. Para permitir tráfico de control multicast entre zonas,
debe configurar una directiva multicast que especifique lo siguiente:
Grupo Multicast: El grupo multicast cuyo tráfico de control multicast desea que
el dispositivo de seguridad permita. Puede especificar uno de los siguientes:
Una lista de accesos que defina al grupo (o grupos) multicast a los que los
hosts puedan unirse
NOTA: Las directivas multicast solamente controlan el flujo del tráfico de control
multicast. Para permitir el tráfico de datos (tanto unicast como multicast) entre
zonas, debe configurar directivas de cortafuegos. (Para obtener información sobre
directivas, consulte el Volumen 2: Fundamentos.)
NOTA: Para ver un ejemplo de configuración de una directiva multicast para mensajes
IGMP, consulte “Crear una directiva de grupo multicast para IGMP” en la
página 160. Para ver un ejemplo de configuración de una directiva multicast para
mensajes PIM, consulte “Definir de una directiva de grupo multicast para PIM-SM”
en la página 183.
145
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Vista general
El protocolo multicast Internet Group Management Protocol (IGMP) se utiliza entre
hosts y enrutadores para establecer y mantener miembros de grupos multicast en
una red. Los dispositivos de seguridad son compatibles con las siguientes versiones
de IGMP:
Origen
Los protocolos de
enrutamiento multicast,
tales como PIM-SM,
alimentan la tabla de
rutas multicast y
reenvían datos a los
Internet hosts de toda la red.
Hosts y enrutadores
utilizan IGMP para
intercambiar información
de miembros del grupo
multicast.
Las secciones siguientes explican los diversos tipos de mensajes IGMP que hosts
y enrutadores intercambian para mantener actualizada la información de
miembro de grupos a través de la red. Los hosts y los enrutadores que ejecutan
versiones más recientes de IGMP pueden convivir con los que ejecuten versiones
de IGMP anteriores.
Hosts
Los hosts envían mensajes IGMP para unirse a grupos multicast y mantenerse como
miembros en esos grupos. Los enrutadores aprenden cuáles hosts son miembros de
grupos multicast al escuchar estos mensajes IGMP en sus redes locales. La Tabla 15
describe los mensajes de IGMP que los hosts envían y el destino de los mensajes.
Versión de
IGMP Mensaje de IGMP Destino
IGMPv1 y v2 Un host envía un informe de miembro la primera vez que se Dirección IP del
une a un grupo multicast y periódicamente, una vez que ya grupo multicast al
es miembro del grupo. El informe de miembros indica a qué que el host desea
grupo multicast desea unirse el host. unirse
IGMPv3 Un host envía un informe de miembro la primera vez que se 224.0.0.22
une a un grupo multicast y periódicamente, una vez que ya
es miembro del grupo. El informe de miembro contiene la
dirección multicast del grupo, el modo de filtrado, que es
“include” o “exclude”, y una lista de orígenes. Si el modo de
filtrado es include, los paquetes procedentes de las
direcciones en la lista de origen se aceptan. Si el modo de
filtrado es exclude, los paquetes procedentes de orígenes
distintos de los de la lista son aceptados.
IGMPv2 Un host envía un mensaje “Leave Group” cuando desea dejar “all routers group”
el grupo multicast y dejar de recibir datos para ese grupo. (224.0.0.2)
Enrutadores multicast
Los enrutadores utilizan IGMP para aprender qué grupos multicast tienen miembros
en su red local. Cada red selecciona un enrutador designado, denominado el
consultador. Generalmente, hay un “consultador” por cada red. El consultador envía
mensajes IGMP a todos los hosts de la red para solicitar información de miembros
de grupo. Cuando los hosts responden con sus informes de miembros, los
enrutadores toman la información de estos mensajes y actualizan su lista de
miembros de grupos en cada interfaz. Los enrutadores IGMPv3 mantienen una lista
que incluye la dirección del grupo multicast, el modo de filtrado (include o exclude)
y la lista de orígenes.
Versión
de IGMP Mensaje de IGMP Destino
IGMPv1, El consultador envía periódicamente consultas generales grupo “all hosts”
v2 y v3 para solicitar la información de miembros de grupos. (224.0.0.1)
IGMPv2 y El consultador envía una consulta específica de grupo El grupo multicast que el
v3 cuando recibe un mensaje Leave Group de IGMPv2 o un host está abandonando.
informe de miembros IGMPv3 que indique un cambio en
los miembros del grupo. Si el consultador no recibe
ninguna respuesta en un plazo especificado, asume que
no hay miembros para ese grupo en su red local y deja de
reenviar tráfico multicast a ese grupo.
IGMPv3 El consultador envía una consulta group-and-source para El grupo multicast que el
verificar si hay algún receptor para ese grupo y origen host está abandonando.
concretos.
WebUI
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los
siguientes datos y haga clic en Apply:
CLI
set interface ethernet1 protocol igmp router
set interface ethernet1 protocol igmp enable
save
WebUI
Network > Interfaces > Edit (para ethernet1) > IGMP: Desactive Protocol
IGMP Enable, luego haga clic en Apply.
CLI
unset interface ethernet1 protocol igmp enable
save
Una lista de accesos es una lista secuencial de instrucciones que especifican una
dirección IP y un estado de reenvío (permitir o denegar). En IGMP, las listas de
accesos siempre deben tener un estado de reenvío “permit” y deben especificar
uno de los siguientes:
hosts desde los que la interfaz del enrutador IGMP puede recibir
mensajes IGMP
Después de crear una lista de accesos, aplíquela a una interfaz. Una vez aplicada
una lista de accesos a una interfaz, ésta acepta tráfico solamente de los indicados
en su lista de accesos. Por lo tanto, para denegar tráfico procedente de un
determinado grupo, host o consultador multicast, simplemente exclúyalo de la lista
de accesos. (Para obtener información adicional sobre listas de accesos, consulte
“Configurar una lista de acceso” en la página 42).
Después de crear la lista de accesos, permita que los hosts en ethernet1 se unan al
grupo multicast especificado en la lista de accesos.
WebUI
Network > Routing > Virtual Routers > Access List: > New (para trust-vr):
Introduzca los siguientes datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr access-list 1 permit ip 224.4.4.1/32 1
set interface ethernet1 protocol igmp accept groups 1
save
Configurar IGMP
Para ejecutar IGMP en un dispositivo de seguridad de Juniper Networks,
simplemente habilítelo en modo enrutador en las interfaces que están conectadas
directamente con los hosts. Para garantizar la seguridad de la red, utilice las listas
de accesos para limitar el tráfico multicast sólo a grupos, hosts y enrutadores
multicast conocidos.
En la Figura 25, los hosts de la zona Trust protegida por el dispositivo de seguridad
NS1 son receptores potenciales del flujo multicast procedente del origen en la zona
Untrust. Las interfaces ethernet1 y ethernet2 están conectadas con los hosts. El
origen multicast está transmitiendo datos al grupo multicast 224.4.4.1. Realice los
pasos siguientes para configurar IGMP en las interfaces que están conectadas con
los hosts:
ethernet1
10.1.1.1/24
Origen
NS1
Enrutador ethernet3
designado 1.1.1.1/24
de origen ethernet 2
10.1.2.1/24
WebUI
1. Zonas e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los
siguientes datos y haga clic en Apply:
CLI
1. Zonas e interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet2 zone trust
set interface ethernet2 ip 10.2.1.1/24
2. Lista de accesos
set vrouter trust access-list 1 permit ip 224.4.4.1/32 1
3. IGMP
set interface ethernet1 protocol igmp router
set interface ethernet1 protocol igmp accept groups 1
set interface ethernet1 protocol igmp enable
set interface ethernet2 protocol igmp router
set interface ethernet2 protocol igmp accept groups 1
set interface ethernet2 protocol igmp enable
save
Para enviar una consulta específica de grupo desde ethernet2 al grupo multicast
224.4.4.1, introduzca:
Para mostrar información sobre grupos multicast, ejecute el siguiente comando CLI:
Parámetros de
la interfaz Valor
IGMP Descripción predeterminado
General query El intervalo en el cual la interfaz consultadora envía 125 segundos
interval consultas generales al grupo “all hosts” (224.0.0.1).
Maximum El tiempo máximo entre una consulta general y la 10 segundos
response time respuesta procedente del host.
Last Member El intervalo en el que la interfaz envía una consulta 1 segundo
Query Interval específica de grupo. Si no recibe ninguna respuesta
después de la segunda consulta específica de grupo,
asume que no hay más miembros en ese grupo en su red
local.
WebUI
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los
siguientes datos y haga clic en OK:
CLI
set interface ethernet1 protocol igmp no-check-router-alert
save
Proxy de IGMP
Los enrutadores esperan y envían mensajes IGMP sólo a sus hosts conectados; no
reenvían mensajes IGMP más allá de su red local. Puede permitir que las interfaces
de un dispositivo de seguridad de Juniper Networks reenvíen mensajes IGMP un
salto más allá de su red local habilitando el proxy de IGMP. El proxy de IGMP
permite a las interfaces reenviar mensajes IGMP en sentido ascendente hacia el
origen sin sobrecargar la CPU con un protocolo de enrutamiento multicast.
En los dispositivos que admiten múltiples sistemas virtuales, debe configurar una
interfaz en el sistema virtual raíz (vsys) y la otra interfaz en vsys separados. A
continuación, cree una directiva multicast para permitir tráfico de control multicast
entre los dos sistemas virtuales. (Para obtener más información acerca de los
sistemas virtuales, consulte el Volumen 5: Redes privadas virtuales).
Si la interfaz del enrutador tiene una entrada para el grupo multicast, ignora el
informe de miembros.
Cuando una interfaz del host proxy recibe el informe de miembros, comprueba si
tiene una entrada (*, G) para ese grupo multicast.
Si tiene una entrada (*, G) para el grupo, la interfaz del host agrega la interfaz
del enrutador a la lista de las interfaces de salida para esa entrada.
Si hay una sesión para el grupo, la interfaz reenvía los datos multicast
basándose en la información de la sesión.
Si hay una entrada (S, G), la interfaz reenvía los datos multicast en
consecuencia.
Si no hay ninguna entrada (*, G) para el grupo, la interfaz crea una entrada
(S, G). Cuando la interfaz recibe paquetes multicast subsiguientes para ese
grupo, reenvía el tráfico a la interfaz del enrutador (la interfaz de salida)
que, a su vez, reenvía el tráfico a su host conectado.
De forma predeterminada, una interfaz IGMP sólo acepta los mensajes IGMP de su
propia subred. Ignora los mensajes IGMP procedentes de orígenes externos. Debe
habilitar el dispositivo de seguridad para que acepte mensajes IGMP procedentes de
orígenes de otras subredes al ejecutar IGMP proxy.
Permitir que acepte mensajes IGMP desde todos los orígenes, sin importar la
subred
WebUI
1. Zonas e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los
siguientes datos y haga clic en OK:
CLI
1. Zonas e interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.2.1/24
set interface ethernet3 zone trust
set interface ethernet1 ip 10.1.1.1/24
2. IGMP
set interface ethernet1 protocol igmp host
set interface ethernet1 protocol igmp enable
set interface ethernet1 protocol igmp no-check-subnet
set interface ethernet3 protocol igmp router
set interface ethernet3 protocol igmp proxy
set interface ethernet3 protocol igmp proxy always
set interface ethernet3 protocol igmp enable
set interface ethernet3 protocol igmp no-check-subnet
save
Grupo multicast: Puede ser un grupo multicast, una lista de accesos que
especifique grupos multicast o “any”
Además, puede especificar que la directiva sea bidireccional para aplicar la directiva
a ambos sentidos del tráfico.
WebUI
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes
datos y haga clic en OK:
CLI
set multicast-group-policy from trust mgroup 224.2.202.99/32 to untrust
igmp-message bi-directional
save
3. Habilitar IGMP en las interfaces del host y del enrutador, y habilitar IGMP proxy
en la interfaz del enrutador. (De forma predeterminada, IGMP proxy está
habilitado en las interfaces de host).
7. Configurar una directiva multicast para entregar mensajes IGMP entre zonas.
En este ejemplo, restringirá el tráfico multicast a un grupo multicast
(224.4.4.1/32).
ethernet3
ethernet1 2.2.2.2/24
10.2.2.1/24
Enrutador Interfaz de túnel
tunnel.1 Receptores
designado
NS1 Internet
Origen
Túnel VPN NS2
Interfaz de túnel ethernet1
tunnel.1 10.3.1.1/24
ethernet3
3.1.1.1/24
Zona Untrust
Zona Trust
Elementos relacionados con NS2
WebUI (NS1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes
datos y haga clic en Apply:
5. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), branch
Destination Address:
Address Book Entry: (seleccione), any (seleccione)
Service: any
Action: Permit
7. Directiva multicast
MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes
datos y haga clic en OK:
WebUI (NS2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes
datos y haga clic en Apply:
5. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: To_Corp
Security Level: Compatible
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1
Preshared Key: fg2g4hvj
Outgoing Interface: ethernet3
Source Address:
Address Book Entry: (seleccione), source-dr
Destination Address:
Address Book Entry: (seleccione), mgroup1
Service: ANY
Action: Permit
7. Directiva multicast
MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes
datos y haga clic en OK:
4. Rutas
set route 10.3.1.0/24 interface tunnel.1
5. Túnel VPN
set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3
preshare fg2g4h5j proposal pre-g2-3des-sha
set vpn Corp_Branch gateway To_Branch sec-level compatible
set vpn Corp_Branch bind interface tunnel.1
set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any
6. Directivas
set policy name To_Branch from untrust to trust branch1 any any permit
7. Directivas multicast
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust
igmp-message bi-directional
save
CLI (NS2)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.3.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 3.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust mgroup1 224.4.4.1/32
set address untrust source-dr 10.2.2.1/24
3. IGMP
set interface ethernet1 protocol igmp router
set interface ethernet1 protocol igmp proxy
set interface ethernet1 protocol igmp proxy always
set interface ethernet1 protocol igmp enable
set interface tunnel.1 protocol igmp host
set interface tunnel.1 protocol igmp enable
set interface tunnel.1 protocol igmp no-check-subnet
4. Rutas
set route 10.2.2.0/24 interface tunnel.1
5. Túnel VPN
set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3
preshare fg2g4hvj proposal pre-g2-3des-sha
set vpn Branch_Corp gateway To_Corp sec-level compatible
set vpn Branch_Corp bind interface tunnel.1
set vpn Branch_Corp proxy-id local-ip 10.3.1.0/24 remote-ip 10.2.2.0/24 any
6. Directivas
set policy from untrust to trust source-dr mgroup1 any permit
7. Directiva multicast
set multicast-group-policy from untrust mgroup 224.4.4.1/32 to trust
igmp-message bi-directional
save
Una directiva del grupo multicast permitiendo el tráfico desde la zona de origen
a la zona de la interfaz del host IGMP proxy
ethernet1
Receptores Internet
ethernet2
Receptores
tráfico multicast
3. En ethernet1 y ethernet2:
ethernet 3
2.2.2.2/24
Host del proxy
ethernet1 ethernet3 ethernet1, 10.2.2.1
1.1.1.1/24 IGMP de la
10.2.2.1/24 Proxy del enrutador
Zona Untrust zona Untrust Receptores
Zona Trust IGMP de zona Trust
Receptores
NS1 NS2
Internet
Origen
3.2.2.5
Nota: Las zonas de seguridad no
se muestran en esta ilustración.
ethernet2, 3.2.2.1/24
zona DMZ, Proxy del
enrutador IGMP
WebUI (NS2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los
siguientes datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los
siguientes datos y haga clic en Apply:
Source Address:
Address Book Entry: source-dr
Destination Address:
Address Book Entry: (seleccione), mgroup1
Service: ANY
Action: Permit
Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), source-dr
Destination Address:
Address Book Entry: (seleccione), mgroup1
Service: ANY
Action: Permit
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), proxy-host
Destination Address:
Address Book Entry: (seleccione), mgroup1
Service: ANY
Action: Permit
6. Directiva multicast
MCast Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes
datos y haga clic en OK:
MCast Policies > (From: DMZ, To: Trust) > New: Introduzca los siguientes
datos y haga clic en OK:
MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes
datos y haga clic en OK:
CLI (NS2)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet1 nat
set interface ethernet2 zone dmz
set interface ethernet2 ip 3.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
2. Direcciones
set address trust mgroup1 224.4.4.1/32
set address dmz source-dr 3.2.2.5/32
set address untrust proxy-host 2.2.2.2/32
3. IGMP
set interface ethernet1 protocol igmp router
set interface ethernet1 protocol igmp proxy always
set interface ethernet1 protocol igmp enable
set interface ethernet2 protocol igmp router
set interface ethernet2 protocol igmp proxy always
set interface ethernet2 protocol igmp enable
set interface ethernet3 protocol igmp host
set interface ethernet3 protocol igmp no-check-subnet
set interface ethernet3 protocol igmp enable
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
5. Directivas
set policy from dmz to trust source-dr mgroup1 any permit
set policy from dmz to untrust source-dr mgroup1 any permit
set policy from untrust to trust proxy-host mgroup1 any permit
6. Directivas multicast
set multicast-group-policy from dmz mgroup 224.4.4.1/32 to untrust
igmp-message bi-directional
set multicast-group-policy from dmz mgroup 224.4.4.1/32 to trust igmp-message
bi-directional
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust
igmp-message bi-directional
save
173
Conceptos y ejemplos, Manual de Referencia de ScreenOS
174
Capítulo 8: Multicast independiente de protocolo (PIM)
Vista general
El protocolo PIM es un protocolo de enrutamiento multicast que se ejecuta entre
enrutadores. Mientras que el protocolo Internet Group Management Protocol (IGMP)
se ejecuta entre equipos y enrutadores para intercambiar información de miembros
del grupo multicast, PIM se ejecuta entre enrutadores para reenviar tráfico multicast
a los miembros del grupo multicast de toda la red. (Para obtener información sobre
IGMP, consulte “Protocolo IGMP” en la página 145).
Origen
Los protocolos de
enrutamiento multicast,
tales como PIM-SM,
alimentan la tabla de
rutas multicast y
reenvían datos a los
Internet hosts de toda la red.
Hosts y enrutadores
utilizan IGMP para
intercambiar información
de miembros del grupo
multicast.
Para ejecutar PIM, también debe configurar o bien rutas estáticas o un protocolo de
enrutamiento dinámico. PIM se llama independiente del protocolo porque utiliza la
tabla de rutas del protocolo de enrutamiento unicast subyacente para realizar sus
comprobaciones RPF (reenvío por rutas inversas), pero no depende de la
funcionalidad del protocolo de enrutamiento unicast. (Para obtener información
sobre RPF, consulte “Reenviar rutas inversas” en la página 138).
PIM puede funcionar de los modos siguientes:
El modo PIM-Dense (PIM-DM) inunda toda la red con tráfico multicast y luego
corta las rutas a hacia los receptores que no desean recibir tráfico multicast.
El modo PIM-Sparse (PIM-SM) reenvia tráfico multicast solamente a los
receptores que lo soliciten. Los enrutadores que ejecuten PIM-SM pueden
utilizar el árbol de ruta compartida o el árbol de ruta más corta (SPT) para
reenviar la información multicast. (Para obtener información sobre árboles de
distribución multicast, consulte “Árboles de distribución multicast” en la
página 176).
PIM-SM
PIM-SM es un protocolo de enrutamiento multicast que reenvía tráfico multicast
sólo a los receptores interesados. Puede utilizar un árbol de distribución compartido
o el árbol de ruta más corta (SPT) para reenviar tráfico multicast a través de la red.
(Para obtener información sobre árboles de distribución multicast, consulte
“Árboles de distribución multicast” en la página 176). De forma predeterminada,
PIM-SM utiliza el árbol de distribución compartido con un punto de encuentro (RP)
en la raíz del árbol. Todos los orígenes de un grupo envían sus paquetes al RP, y el
RP envía datos en dirección descendente por el árbol de distribución compartido a
todos los receptores de la red. Cuando se alcanza un umbral configurado, los
receptores pueden formar un SPT al origen, reduciendo el tiempo que lleva a los
receptores recibir los datos multicast.
Con independencia del árbol utilizado para distribuir el tráfico, sólo los receptores
que explícitamente se unan a un grupo multicast pueden recibir el tráfico enviado a
ese grupo. PIM-SM utiliza la tabla de enrutamiento unicast para realizar sus
operaciones de reenvío por rutas inversas (RPF) al recibir mensajes de control
multicast y utiliza la tabla de enrutamiento multicast para enviar tráfico de datos
multicast a los receptores.
El árbol de la ruta más corta (SPT): El origen se encuentra en la raíz del árbol y
reenvía los datos multicast en sentido descendente a cada receptor.
Denominada también árbol específico del origen o “source-specific tree”.
RP
Receptores Receptores
Enrutador designado
Cuando en una red de área local (LAN) multiacceso hay varios enrutadores
multicast, los enrutadores eligen un enrutador designado (DR). El DR en la LAN del
origen es responsable de enviar los paquetes multicast desde el origen al RP y a los
receptores que están en el árbol de distribución específico del origen. El DR en la
LAN de los receptores es responsable de reenviar mensajes join-prune desde los
receptores al RP, y de enviar el tráfico de datos multicast a los receptores de la LAN.
Los receptores envían mensajes join-prune cuando desean unirse a un grupo
multicast o salir de él.
Asignación de RP estática
Para crear una asignación estática entre un RP y un grupo multicast, debe
configurar el RP para el grupo multicast en cada enrutador de la red. Cada vez que
cambie la dirección del RP, deberá volver a configurar la dirección del RP.
Asignación de RP dinámica
PIM-SM también proporciona un mecanismo de asignación dinámica de RPs a
grupos multicast. En primer lugar, configure los puntos de encuentro de candidatos
(C-RPs) para cada grupo multicast. A continuación, los C-RPs envían notificaciones
Candidate-RP a un enrutador de la LAN, denominado enrutador “bootstrap” (BSR).
Las notificaciones contienen el grupo multicast para el cual el enrutador actúa como
RP y la prioridad del C-RP.
El BSR recoge estas notificaciones C-RP y las emite en un mensaje BSR a todos los
enrutadores del dominio. Los enrutadores recogen estos mensajes BSR y utilizan un
algoritmo hash bien conocido para seleccionar un RP activo por cada grupo
multicast. Si el RP seleccionado falla, el enrutador selecciona una nueva asignación
de grupo RP entre los RPs candidatos. Para obtener información sobre el proceso de
selección de BSR, consulte draft-ietf-pim-sm-bsr-03.txt.
Receptores Receptores
multicast y los mensajes REGISTER hacia el RP. Cuando el RP recibe los paquetes
multicast del DR, envía al DR un mensaje register-stop. Cuando el DR recibe el
mensaje register-stop, deja de enviar los mensajes REGISTER y envía los datos
multicast nativos, que el RP envía en sentido descendente a los receptores.
Origen
Hosts/Receptores Hosts/Receptores
Cada enrutador en sentido descendente realiza una comprobación del RPF cuando
recibe los datos multicast. Cada enrutador comprueba si recibió los paquetes
multicast de la interfaz que utiliza para enviar tráfico de datos hacia el RP. Si la
comprobación del RPF es correcta, el enrutador busca una entrada de reenvío (*, G)
coincidente en la tabla de rutas multicast. Si encuentra la entrada (*, G), coloca el
origen en la entrada, que se convierte en una entrada (S, G) y reenvía los paquetes
multicast en sentido descendente. Este proceso continúa en sentido descendente a
lo largo del árbol de distribución hasta que el host recibe los datos multicast.
PIM-SSM
Además de PIM-SM, los dispositivos de seguridad también admiten
PIM-Source-Specific Multicast (SSM). PIM-SSM sigue el modelo source-specific (SSM)
donde el tráfico multicast se transmite a los canales, no sólo a los grupos multicast.
Un canal consiste en un origen y un grupo multicast. Un receptor se suscribe a un
canal con un origen conocido y un grupo multicast. Los receptores proporcionan
información sobre el origen a través de IGMPv3. El enrutador designado en la LAN
envía mensajes al origen y no a un punto de encuentro (RP).
Los pasos para configurar PIM-SSM en un dispositivo de seguridad son iguales a los
necesarios para configurar PIM-SM pero con las siguientes diferencias:
Open Shortest Path First (OSPF): Para obtener más información acerca de
OSPF, consulte el Capítulo 3, “Protocolo OSPF”, en la página 47.
WebUI
Network > Routing > Virtual Routers > Edit (for trust-vr) > Create PIM
Instance: Seleccione Protocol PIM: Enable, luego haga clic en Apply.
CLI
ns-> set vrouter trust-vr
ns(trust-vr)-> set protocol pim
ns(trust.vr/pim)-> set enable
ns(trust.vr/pim)-> exit
ns(trust-vr)-> exit
save
WebUI
Network > Routing > Virtual Router (trust-vr) > Edit > Delete PIM Instance,
luego haga clic en OK en el mensaje de confirmación.
CLI
unset vrouter trust-vr protocol pim
deleting PIM instance, are you sure? y/[n] y
save
Cuando habilita el PIM-SM en una interfaz que está asociada a una zona, el PIM-SM
se habilita automáticamente en la zona a la que pertenece dicha interfaz. A
continuación, puede configurar los parámetros PIM-SM para dicha zona. De forma
similar, cuando se inhabilitan parámetros PIM-SM de interfaces en una zona, todos
los parámetros PIM-SM relacionados con dicha zona se eliminan automáticamente.
WebUI
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes
datos y haga clic en Apply:
CLI
set interface ethernet1 protocol pim
set interface ethernet1 protocol pim enable
save
WebUI
Network > Interfaces > Edit (para ethernet1) > PIM: Desactive Protocol PIM
Enable, luego haga clic en Apply.
CLI
unset interface ethernet1 protocol pim enable
save
Mensajes Static-RP-BSR
Los mensajes Static-RP-BSR contienen información sobre los puntos de encuentro
estáticos (RP) y las asignaciones de grupo RP dinámicas. La configuración de una
directiva multicast, que permita asignaciones estáticas de RP y mensajes bootstrap
(BSR) de una zona a otra, habilita el dispositivo de seguridad para que comparta las
asignaciones de grupo RP de una zona a otra dentro de un enrutador virtual o entre
dos enrutadores virtuales. Los enrutadores son capaces de memorizar las
asignaciones de grupos RP de otras zonas, de modo que no tenga que configurar los
RP en todas las zonas.
Cuando el dispositivo de seguridad recibe un mensaje BSR, comprueba que venga
de su vecino de reenvío por rutas inversas (RPF). A continuación comprueba si hay
directivas multicast para los grupos multicast del mensaje BSR. Filtra los grupos que
no estén autorizados en la directiva multicast y envía el mensaje BSR a los grupos
permitidos en todas las zonas de destino que están autorizadas por la directiva.
Mensajes Join-Prune
Las directivas de grupo multicast también controlan los mensajes join-prune.
Cuando el dispositivo de seguridad recibe un mensaje join-prune para un origen y
grupo o un origen y RP en su interfaz de sentido descendente, consulta en el RPF
vecino y la interfaz de la tabla de enrutamiento unicast.
Si la interfaz RPF se encuentra en la misma zona que la interfaz en sentido
descendente, la validación de la directiva multicast no es necesaria.
Si la interfaz RPF se encuentra en otra zona, el dispositivo de seguridad
comprueba si hay una directiva multicast que permita mensajes join-prune
para el grupo entre la zona de interfaz en sentido descendente y la zona de
la interfaz RPF.
Si hay una directiva multicast que permite mensajes join-prune entre las
dos zonas, el dispositivo de seguridad reenvía el mensaje a la interfaz
del RPF.
Si no hay directiva multicast que permita mensajes join-prune entre las
dos zonas, se descarta el mensaje join-prune.
WebUI
Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y
haga clic en OK:
CLI
set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust
pim-message bsr-static-rp join-prune bi-directional
save
7. Configure una directiva multicast para permitir que los mensajes de PIM-SM
pasen de una zona a otra.
En este ejemplo, configurará PIM-SM en un enrutador trust-vr. Desea que los hosts
de la zona Trust reciban tráfico de datos multicast para el grupo multicast
224.4.4.1/32. Configurará el RIP como el protocolo de enrutamiento unicast en el
enrutador trust-vr y cree una directiva de cortafuegos para permitir el tráfico de
datos entre las zonas Trust y Untrust. Creará una instancia PIM-SM en el enrutador
trust-vr y habilitará PIM-SM en ethernet1 y ethernet2 en la zona Trust, y en
ethernet3 en la zona Untrust. Todas las interfaces están en modo de ruta. A
continuación, configurará IGMP en ethernet1 y ethernet2, que están conectados
con los receptores. Finalmente, creará una directiva multicast que permita los
mensajes static-RP-BSR y join-prune entre las zonas.
Zona Untrust
Origen
Enrutador
designado
Enrutador
bootstrap
Punto de
encuentro
ethernet3 Receptores
1.1.1.1/24
Receptores
WebUI
1. Zonas e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los
siguientes datos y haga clic en OK:
4. RIP
Network > Routing > Virtual Router (trust-vr) > Edit > Create RIP Instance:
Seleccione Enable RIP y haga clic en OK.
Network > Interfaces > Edit (para ethernet3) > RIP: Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet2) > PIM: Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para ethernet3) > PIM: Introduzca los siguientes
datos y haga clic en Apply:
Source Address:
Address Book Entry: (seleccione), source-dr
Destination Address:
Address Book Entry: (seleccione), mgroup1
Service: any
Action: Permit
7. Directiva multicast
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes
datos y haga clic en OK:
CLI
1. Zonas e interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone trust
set interface ethernet2 ip 10.1.2.1/24
set interface ethernet2 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust mgroup1 224.4.4.1/32
set address untrust source-dr 6.6.6.1/24
3. IGMP
set interface ethernet1 protocol igmp router
set interface ethernet1 protocol igmp enable
set interface ethernet2 protocol igmp router
set interface ethernet2 protocol igmp enable
4. RIP
set vrouter trust-vr protocol rip
set vrouter trust-vr protocol rip enable
set interface ethernet3 protocol rip enable
5. PIM-SM
set vrouter trust-vr protocol pim
set vrouter trust-vr protocol pim enable
set interface ethernet1 protocol pim
set interface ethernet1 protocol pim enable
set interface ethernet2 protocol pim
set interface ethernet2 protocol pim enable
set interface ethernet3 protocol pim
set interface ethernet3 protocol pim enable
6. Directivas
set policy from untrust to trust source-dr mgroup1 any permit
7. Directiva multicast
set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust
pim-message bsr-static-rp join bi-directional
save
Comprobar la configuración
Para verificar la configuración de PIM-SM, ejecute el comando siguiente:
Para visualizar los puntos de encuentro en cada zona, ejecute el comando siguiente:
WebUI
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):
Introduzca los siguientes datos y haga clic en OK:
Access List ID: 2
Sequence No.: 1
IP/Netmask: 224.4.4.1/32
Action: Permit
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance >
RP Address > New: Introduzca los siguientes datos y haga clic en OK:
Zone: Trust (seleccione)
Address:1.1.1.5
Access List: 2
Always: (seleccione)
CLI
set vrouter trust-vr access-list 2 permit ip 224.4.4.1/32 1
set vrouter trust-vr protocol pim zone trust rp address 1.1.1.5 mgroup-list 2 always
save
Una lista de acceso que define los grupos multicast del C-RP
WebUI
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes
datos y haga clic en Apply:
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):
Introduzca los siguientes datos y haga clic en OK:
Select Add No Seq: Introduzca los siguientes datos y haga clic en OK:
Sequence No.: 2
IP/Netmask: 224.3.3.1/32
Action: Permit
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance >
RP Candidate > Edit (Trust Zone): Seleccione los siguientes datos, luego haga
clic en OK.
CLI
setinterface ethernet1 protocol pim
setinterface ethernet1 protocol pim enable
setvrouter trust-vr access-list 1 permit ip 224.2.2.1/32 1
setvrouter trust-vr access-list 1 permit ip 224.3.3.1/32 2
setvrouter trust-vr protocol pim zone trust rp candidate interface ethernet1
mgroup-list 1 priority 200
save
En este ejemplo, creará una lista de acceso con en número de identificación 1 que
autoriza a los siguientes grupos: 224.2.2.1/32 y 224.3.3.1/32. A continuación,
configure el enrutador trust-vr para aceptar mensajes join-prune de los grupos
multicast que se encuentran en la lista de acceso.
WebUI
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):
Introduzca los siguientes datos y haga clic en OK:
Sequence No.: 2
IP/Netmask: 224.3.3.1/32
Action: Permit
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance:
Seleccione los siguientes datos y haga clic en Apply:
CLI
set vrouter trust-vr access-list 1 permit ip 224.2.2.1/32 1
set vrouter trust-vr access-list 1 permit ip 224.3.3.1/32 2
set vrouter trust-vr protocol pim accept-group 1
save
WebUI
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance >
MGroup: Seleccione los siguientes datos y haga clic en Add:
MGroup: 224.4.4.1/32
Accept Source: 5 (seleccione)
CLI
set vrouter trust-vr access-list 5 permit ip 1.1.1.1/32 1
set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 accept-source 5
save
En este ejemplo, creará una lista de accesos con el número de identificación 6, que
especifica el RP autorizado, 2.1.1.1/32. A continuación, configurará el enrutador
trust-vr para que acepte el RP de la lista de acceso para el grupo multicast
224.4.4.1/32.
WebUI
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):
Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance >
MGroup: Seleccione los siguientes datos y haga clic en Add:
MGroup: 224.4.4.1/32
Accept RP: 6 (seleccione)
CLI
set vrouter trust-vr access-list 6 permit ip 2.1.1.1/32 1
set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 accept-rp 6
save
El número de identificación es 1.
A continuación, especificará que ethernet1 puede formar una adyacencia con los
vecinos de la lista de acceso.
WebUI
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):
Introduzca los siguientes datos y haga clic en OK:
Select Add No Seq: Introduzca los siguientes datos y haga clic en OK:
Sequence No.: 2
IP/Netmask: 2.1.1.3/24
Action: Permit
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes
datos y haga clic en Apply:
Accepted Neighbors: 1
CLI
set vrouter trust-vr access-list 1 permit ip 2.1.1.1/24 1
set vrouter trust-vr access-list 1 permit ip 2.1.1.3/24 2
set interface ethernet1 protocol pim neighbor-policy 1
save
WebUI
Network > Interfaces > Edit (para ethernet1) > PIM: Seleccione Bootstrap
Border, luego haga clic en Apply.
CLI
set interface ethernet1 protocol pim boot-strap-border
save
Hay una directiva multicast que permite el paso de mensajes PIM-SM entre las
zonas Trust y Untrust.
ethernet1 ethernet3
modo NAT modo de ruta
Zona Trust Zona Untrust
Enrutador Punto de
designado (DR) encuentro (RP)
Origen Enrutador
bootstrap
(BSR)
Receptores
Receptores
4. Configure el RP proxy.
Interfaz de túnel
tunnel.1 ethernet1
10.4.1.1/24
Origen ethernet3 Punto de
4.1.1.1/24 encuentro
NS2 del proxy
VPN
NS1
ethernet3
Enrutador 2.2.2.2/24
bootstrap ethernet1
10.2.2.1/24
Interfaz de túnel
Punto de tunnel.1
encuentro
real
Receptores
Receptores
WebUI (NS1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos
y haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes
datos y haga clic en Apply:
Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP
Instance.
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance >
Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65000
Remote IP: 4.1.1.1
Outgoing Interface: ethernet3
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance >
Neighbors > Configure (para el interlocutor que acabe de agregar): Seleccione
Peer Enabled y luego haga clic en OK.
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance >
Networks: Escriba 2.2.2.0/24 en el campo IP/Netmask, luego haga clic en Add.
A continuación, introduzca 10.2.2.0/24 en el campo IP/Netmask, y haga clic en
Add de nuevo.
Network > Interfaces > Edit (para ethernet3) > BGP: Introduzca los siguientes
datos y haga clic en Apply:
6. Directivas
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), branch
Destination Address:
Address Book Entry: (seleccione), mgroup1
Service: any
Action: Permit
7. Directiva multicast
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes
datos y haga clic en OK:
WebUI (NS2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
2. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes
datos y haga clic en Apply:
Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes
datos y haga clic en Apply:
Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance >
RP Address > New: Introduzca los siguientes datos y haga clic en OK:
5. BGP
Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes
datos y haga clic en OK:
Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP
Instance.
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance >
Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 65000
Remote IP: 2.2.2.2
Outgoing Interface: ethernet3
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance >
Neighbors > Configure (para el interlocutor que acabe de agregar): Seleccione
Peer Enabled y luego haga clic en OK.
Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance >
Networks:
Network > Interfaces > Edit (para ethernet3) > BGP: Seleccione Protocol
BGP: Enable, luego haga clic en Apply.
6. Directivas
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), mgroup1
Service: any
Action: Permit
7. Directiva multicast
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes
datos y haga clic en OK:
CLI (NS1)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.2.2.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust mgroup1 224.4.4.1/32
set address untrust branch 10.4.1.0/24
3. PIM-SM
set vrouter trust-vr
set vrouter trust-vr protocol pim enable
set interface ethernet1 protocol pim
set interface ethernet1 protocol pim enable
set interface tunnel.1 protocol pim
set interface tunnel.1 protocol pim enable
4. Túnel VPN
set ike gateway To_Branch address 4.1.1.1 main outgoing-interface ethernet3
preshare fg2g4h5j proposal pre-g2-3des-sha
set vpn Corp_Branch gateway To-Branch3 sec-level compatible
set vpn Corp_Branch bind interface tunnel.1
set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.4.1.0/24
5. BGP
set vrouter trust-vr router-id 10
set vrouter trust-vr protocol bgp 6500
set vrouter trust-vr protocol bgp enable
set vrouter trust-vr protocol bgp neighbor 4.1.1.1
set vrouter trust-vr protocol bgp network 2.2.2.0/24
set vrouter trust-vr protocol bgp network 10.2.2.0/24
set interface ethernet3 protocol bgp enable
set interface ethernet3 protocol bgp neighbor 4.1.1.1
6. Directivas
set policy name To-Branch from untrust to trust branch any any permit
7. Directiva multicast
set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust
pim-message bsr-static-rp join bi-directional
save
CLI (NS2)
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.4.1.1/24
set interface ethernet1 protocol igmp router
set interface ethernet1 protocol igmp enable
set interface ethernet3 zone untrust
set interface ethernet3 ip 4.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address trust mgroup1 224.4.4.1/32
set address untrust corp 2.2.2.0/24
3. PIM-SM
set vrouter trust protocol pim
set interface ethernet1 protocol pim
set interface ethernet1 protocol pim enable
set interface tunnel.1 protocol pim
set interface tunnel.1 protocol pim enable
set vrouter trust protocol pim zone trust rp proxy
set vrouter trust protocol pim zone trust rp candidate interface ethernet1
set vrouter trust protocol pim enable
4. Túnel VPN
set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3
preshare fg2g4h5j proposal pre-g2-3des-sha
set vpn Branch_Corp gateway To_Corp sec-level compatible
set vpn Branch_Corp bind interface tunnel.1
set vpn Branch_Corp proxy-id local-ip 10.4.1.0/24 remote-ip 10.2.2.0/24
5. BGP
set vrouter trust-vr router-id 10
set vrouter trust-vr protocol bgp 6500
set vrouter trust-vr protocol bgp enable
set vrouter trust-vr protocol bgp neighbor 2.2.2.2
set vrouter trust-vr protocol bgp network 4.1.1.0/24
set vrouter trust-vr protocol bgp network 10.4.1.0/24
set interface ethernet3 protocol bgp neighbor 2.2.2.2
6. Directivas
set policy name To-Corp from untrust to trust corp any any permit
7. Directiva multicast
set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust
pim-message bsr-static-rp join bi-directional
save
PIM-SM e IGMPv3
Los dispositivos NetScreen admiten las versiones 1, 2 y 3 de IGMP (Internet Group
Management Protocol). Si ejecuta PIM-SM con interfaces en IGMP v1 o v2, los hosts
que reciben los datos para un grupo multicast pueden recibir datos desde cualquier
origen que envíe datos al grupo multicast. Los informes de miembros de IGMP v1 y
v2 sólo indican con qué grupos multicast desean unirse los hosts. No contienen
información sobre los orígenes del tráfico de datos multicast. Cuando PIM-SM
recibe informes de miembros IGMP v1 y v2, crea entradas (*, G) en la tabla de rutas
multicast, permitiendo que cualquier origen realice envíos al grupo multicast. A
esto se le llama modelo any-source-multicast (ASM), donde los receptores se unen a
un grupo multicast sin conocer del origen que envía datos al grupo. La red cuenta
con la información sobre el origen.
Los hosts que ejecutan IGMPv3 indican a qué grupos multicast desean unirse y
desde qué orígenes esperan recibir tráfico multicast. El informe de miembro
IGMPv3 contiene la dirección del grupo multicast, el modo de filtrado, que es
“include” o “exclude”, y una lista de orígenes.
Índice IX-I
Concepts & Examples ScreenOS Reference Guide
N R
Números de sistema autónomo (AS) ........................ 113 RIP
autenticación de vecinos ........................................92
O base de datos .........................................................100
Open Shortest Path First configuración de circuito de demanda ...............101
Consulte OSPF equilibrio de carga ..................................................38
OSPF filtrado de vecinos ...................................................93
área de rutas internas ............................................. 49 instancias, creación en VR .....................................82
área no exclusiva de rutas internas ...................... 49 interfaces, habilitar en ............................................83
conexiones virtuales ............................................... 63 inundaciones, protección contra ...........................95
configuración de seguridad.................................... 67 parámetros de interfaz ...........................................91
ECMP support .......................................................... 62 parámetros globales................................................89
equilibrio de carga .................................................. 38 punto a multipunto ...............................................104
interfaces, asignación a áreas ............................... 55 resumen de prefijo ..................................................99
interfaces, túnel....................................................... 72 versiones ..................................................................97
inundación, LSA reducida ...................................... 71 versiones, protocolo................................................97
inundaciones, protección contra ........................... 70 RIP, configuración
LSA, supresión ......................................................... 71 circuitos de demanda ...........................................102
notificaciones de estado de conexiones............... 48 pasos .........................................................................81
parámetros de interfaz ........................................... 65 seguridad ..................................................................92
parámetros globales ............................................... 61 RIP, visualización
pasos de configuración........................................... 52 base de datos ...........................................................86
protocolo de saludo ................................................ 50 detalles de interfaz ..................................................88
punto a multipunto ................................................. 72 detalles de protocolo...............................................86
red punto a punto ................................................... 50 información de vecinos ..........................................87
redes de difusión ..................................................... 50 rutas
soporte de ECMP ..................................................... 62 exportación ..............................................................44
tipo de conexión, establecimiento ........................ 72 filtrado ......................................................................42
vecinos, autenticación ............................................ 67 importar ...................................................................44
vecinos, filtrado ....................................................... 68 mapas .......................................................................40
métricas ....................................................................32
preferencia ...............................................................31
redistribución...........................................................39
selección ...................................................................31
IX-II Índice
Índice
S
Supresión de notificaciones de estado de
conexiones (LSA).........................................................71
T
tablas de enrutamiento .................................................15
búsqueda en múltiples VR .....................................36
consulta ....................................................................33
multicast .................................................................139
selección de rutas ....................................................31
tipos ..........................................................................15
V
VR, rutas
exportación ..............................................................44
filtrado ......................................................................42
importar ...................................................................44
mapas .......................................................................40
preferencia ...............................................................31
redistribución...........................................................39
selección ...................................................................31
VR, tablas de enrutamiento
búsqueda en múltiples VR .....................................36
consulta ....................................................................33
entradas máximas ..................................................30
VRs .......................................................................... 39 a 44
BGP ............................................................... 112 a 119
ECMP ........................................................................38
en vsys ......................................................................27
ID de enrutador .......................................................23
listas de acceso ........................................................42
métricas de ruta ......................................................32
modificar ..................................................................22
OSPF ................................................................. 51 a 70
RIP..................................................................... 81 a 97
SBR............................................................................17
SIBR ..........................................................................20
uso de dos ................................................................24
Índice IX-III
Concepts & Examples ScreenOS Reference Guide
IX-IV Índice
Conceptos y ejemplos
Manual de referencia de ScreenOS
Volumen 8:
Traducción de direcciones
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Network’s installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen v
Convenciones del documento .......................................................................... v
Convenciones de la interfaz de línea de comandos (CLI) .......................... vi
Convenciones para las ilustraciones ........................................................ vii
Convenciones de nomenclatura y conjuntos de caracteres ..................... viii
Convenciones de la interfaz gráfica (WebUI) ............................................ ix
Documentación de Juniper Networks ............................................................... x
Contenido iii
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Índice ........................................................................................................................IX-I
iv
Acerca de este volumen
NOTA: Para conocer la cobertura de la traducción de dirección de origen de red con base
en la interfaz, sencillamente consulte “Modo NAT” en la página 2 -94.
En ejemplos:
En texto:
NOTA: Para escribir palabras clave, basta con escribir los primeros caracteres que
permitan al sistema reconocer de forma inequívoca la palabra que se está
introduciendo. Por ejemplo, es suficiente escribir set adm u kath j12fmt54 para
que el sistema reconozca el comando set admin user kathleen j12fmt54.
Aunque este método se puede utilizar para introducir comandos, en la presente
documentación todos ellos se representan con sus palabras completas.
Interfaz de túnel
Servidor
Túnel VPN
Concentrador (hub)
Enrutador
Teléfono IP
Conmutador
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de
diálogo apropiado, donde podrá definir objetos y establecer parámetros de ajuste.
El conjunto de instrucciones de cada tarea se divide en ruta de navegación y ajustes
de configuración:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
techpubs-comments@juniper.net
Direcciones originales de puertos e IPs de origen Direcciones traducidas de puertos e IPs de origen
NOTA: Para obtener más información sobre NAT-Src, consulte “Traducción de direcciones
de red de origen” en la página 15.
Puerto Puerto
IP ORIG IP DEST origen destino
Segmento TCP
o Datagrama
UDP 44235 6055 Carga 44235 53 Carga
de datos de datos
Cuando se configura una directiva para ejecutar NAT-Dst con el fin de traducir un
conjunto de direcciones a una sola dirección, el dispositivo de seguridad traduce
cualquier dirección IP de destino del conjunto de direcciones de destino originales
definido por el usuario a una sola dirección. También puede habilitar la asignación
de puertos.
Paquetes IP
Carga Carga
1.1.1.5 2.2.2.3 de datos 1.1.1.5 10.3.1.6 de datos
Traducción de direcciones IP de destino de un rango de direcciones IP a una dirección IP única con asignación de puertos de destino
Direcciones IP y puerto y de destino original Direcciones IP de destino y de puertos traducidas
Carga Carga
Paquete IP 1 1.1.1.5 2.2.2.2 de datos 1.1.1.5 10.3.1.6 de datos
Carga Carga
Segmento TCP 1 44235 8000 de datos 44235 80 de datos
IP IP IP IP
ORIG DEST ORIG DEST
Al realizar NAT-Dst en un rango de direcciones IP, el dispositivo de seguridad mantiene una correspondencia entre cada
dirección IP de un rango de direcciones y la dirección IP correspondiente en otro rango de direcciones.
Dirección IP asignada
Un Protocolo de internet asignado (MIP) es una asignación de una dirección IP a
otra dirección IP. Una de las direcciones debe definirse en la misma subred que una
dirección IP de interfaz. La otra dirección pertenece al host al que se desea dirigir el
tráfico. La traducción de direcciones para un MIP se comporta de forma
bidireccional, de modo que el dispositivo de seguridad traduce la dirección IP de
destino de todo el tráfico dirigido a una MIP a la dirección IP del host, y la dirección
IP de origen de todo el tráfico procedente de la dirección IP del host a la dirección
MIP. Los MIP no admiten asignaciones de puertos. Para obtener más información
sobre MIP, consulte “Direcciones IP asignadas” en la página 65.
IP virtual
Un Protocolo de Internet virtual (VIP) es una asignación de una dirección IP a otra
dirección IP basada en el número de puerto de destino. Una sola dirección IP
definida en la misma subred que una interfaz puede contener asignaciones de
varios servicios (identificados por los diferentes números de puertos de destino) a
otros tantos hosts. VIP también admiten asignaciones de puertos. A diferencia de
los MIP, la traducción de direcciones para una VIP ocurre de forma unidireccional.
El dispositivo de seguridad traduce la dirección IP de destino de todo el tráfico que
viene de VIP hacia una dirección IP del host. (El dispositivo de seguridad revisa
únicamente si la dirección IP de destino está ligada a VIP en paquetes que llegan en
una interfaz unida a la zona Untrust). El dispositivo de seguridad no traduce la
dirección IP original de origen en tráfico saliente de un host VIP a la dirección VIP.
En lugar de eso, el dispositivo de seguridad aplica la NAT-scr basada en directivas o
Mientras que los mecanismos de traducción de direcciones para MIPs y VIPs son
bidireccionales, la funcionalidad proporcionada por NAT-Src y NAT-Dst basados en
directivas mantienen separada la traducción de direcciones de los tráficos entrante
y saliente, aumentando las posibilidades de control y la seguridad. Por ejemplo, si
utiliza una asignación MIP a un servidor Web, siempre que ese servidor inicie un
tráfico saliente para obtener una actualización o parche, su actividad quedará
expuesta, siendo susceptible de que un posible atacante la utilice. Los métodos de
traducción de direcciones basada en directivas permiten definir una asignación de
direcciones cuando el servidor web recibe tráfico (mediante NAT-Dst) y otra
asignación cuando inicia tráfico (mediante NAT-Src). Manteniendo sus actividades
ocultas, puede proteger mejor el servidor contra cualquiera que intente recopilar
información para preparar un ataque. En esta versión de ScreenOS, NAT-Src y
NAT-Dst basadas en directivas ofrecen una estrategia común que puede duplicar y
sobrepasar la funcionalidad de MIP y VIP basadas en interfaces.
Conjunto DIP ID 5
1.1.1.10 – 1.1.1.40
1.1.1.20
Zona Trust ethernet1 ethernet3 Zona Untrust
10.1.1.1/24 1.1.1.1/24
10.1.1.5:25611 1.1.1.20:41834 2.2.2.2:80
(Dispositivo virtual)
Conjunto DIP ID 5
1.1.1.10 – 1.1.1.40
1.1.1.25
Zona Trust ethernet1 ethernet3 Zona Untrust
10.1.1.1/24 1.1.1.1/24
10.1.1.6:35030 1.1.1.25:35030 2.2.2.2:80
(Dispositivo virtual)
Conjunto DIP ID 5
1.1.1.10 – 1.1.1.40
1.1.1.20
Zona Trust 1.1.1.21
ethernet1 ethernet3 Zona Untrust
10.1.1.20:25611 10.1.1.1/24 1.1.1.1/24 1.1.1.20:25611
2.2.2.2:80
10.1.1.21:35030
1.1.1.21:35030
(Dispositivos
10.1.1.20 siempre se traduce a 1.1.1.20. virtuales)
10.1.1.21 siempre se traduce a 1.1.1.21. Destino
Origen original Origen traducido
(Dispositivo virtual)
1.1.1.1
Origen original Origen traducido Destino
2.2.2.8:7777
ethernet3 ethernet1 Zona Trust
Zona Untrust 1.1.1.1/24 10.2.2.1/24
1.1.1.5
10.2.2.8:80
(Dispositivo virtual)
Origen
Destino Destino
original traducido
2.2.2.8:80
Destinos originales
2.2.2.8:80 10.2.2.8:80
Zona Untrust ethernet3 ethernet1
1.1.1.1/24 10.2.2.1/24
Zona Trust
1.1.1.5
2.2.2.9:80 10.2.2.9:80
set policy from “zona A” to “zona B” “host A” “virtual host B” any nat dst ip 3.3.3.3 permit set
vrouter trust-vr route 2.2.2.2/32 interface ethernet1.
Zona A Zona B
ORG DEST Carga
1.1.1.1 2.2.2.2 de datos
Zona A Zona B
Introducción a NAT-Src
A veces es necesario que el dispositivo de seguridad traduzca la dirección IP de
origen original de un encabezado de paquete IP a otra dirección. Por ejemplo,
cuando algún host con una dirección IP privada envía tráfico a un espacio de
direcciones público, el dispositivo de seguridad debe traducir la dirección IP de
origen privada a una dirección pública. Asimismo, al enviar tráfico desde un
espacio de direcciones privado a través de una VPN a un sitio que utilice las mismas
direcciones, los dispositivos de seguridad situados en ambos extremos del túnel
deben traducir las direcciones IP de origen y de destino a direcciones que no se
interfieran mutuamente.
NOTA: Para obtener más información sobre direcciones IP públicas y privadas, consulte
“Direcciones IP públicas” en la página 2-55 y “Direcciones IP privadas” en la
página 2-56.
Introducción a NAT-Src 15
Conceptos y ejemplos, Manual de Referencia de ScreenOS
NOTA: El conjunto de DIP debe utilizar direcciones de la misma subred que la interfaz
predeterminada de la zona de destino a la que se hace referencia en la directiva. Si
desea utilizar un conjunto de DIP con direcciones que se encuentran fuera de la
subred de la interfaz de la zona de destino, debe definir un conjunto de DIP en
una interfaz extendida. Para obtener más información, consulte “Usar DIP en otra
subred” en la página 148.
El conjunto DIP puede ser tan pequeño como una sola dirección IP, la cual puede
atender a unos 64.500 hosts simultáneamente si se habilita la traducción de
direcciones de puertos (PAT). Aunque a todos los paquetes que reciben una nueva
dirección IP de origen de ese conjunto se les asigna la misma dirección, cada uno
obtiene un número de puerto diferente. Manteniendo una entrada en la tabla de la
sesión con la correspondencia entre las direcciones original y traducida y los
números de puerto original y traducido, el dispositivo de seguridad puede
determinar qué paquetes pertenecen a qué sesión, y qué sesiones pertenecen a qué
hosts.
Para las aplicaciones que requieran trabajar con un número de puerto de origen
invariable, debe desactivar PAT y definir un rango DIP con un rango de direcciones
IP suficientemente grande para que cada host activo simultáneamente reciba una
dirección traducida diferente. Para trabajar con direcciones dinámicas (DIP) de
puerto fijo, el dispositivo de seguridad asigna una dirección de origen traducida al
mismo host para todas sus sesiones simultáneas. Por el contrario, cuando el rango
DIP tiene habilitada PAT, el dispositivo de seguridad puede asignar a un solo host
diferentes direcciones para otras tantas sesiones simultáneas, salvo que la DIP se
defina como “sticky” (consulte “Direcciones DIP “sticky”” en la página 147).
16 Introducción a NAT-Src
NAT-Src desde un rango DIP con PAT habilitada
Al aplicar la traducción de direcciones de red de origen (NAT-Src) con traducción de
direcciones de puertos (PAT), el dispositivo de seguridad traduce direcciones IP y
números de puertos y realiza una inspección del estado según se muestra en la
Figura 19 (sólo se muestran los elementos de los encabezados del paquete IP y del
segmento TCP relevantes para NAT-Src).
set policy from trust to untrust any http net src dip-ip 5 permit
1.1.1.30
Zona Trust ethernet1 ethernet3 Zona Untrust
10.1.1.1/24 1.1.1.1/24
10.1.1.5:25611 1.1.1.30:41834 2.2.2.2:80
(Dispositivo virtual)
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
ID: 5
IP Address Range: (seleccione), 1.1.1.30 ~ 1.1.1.30
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
3. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): 5 (1.1.1.30 - 1.1.1.30)/X-late
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. DIP
set interface ethernet3 dip 5 1.1.1.30 1.1.1.30
3. Directivas
set policy from trust to untrust any any http nat src dip-id 5 permit
save
NOTA: Se asume que previamente habrá configurado el servicio definido por el usuario
“e-stock”. Este servicio ficticio requiere que todas las transacciones de e-stock se
originen en números de puerto de origen específicos. Por esta razón, deberá
desactivar PAT para el conjunto de DIP 6.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
ID: 6
IP Address Range: (seleccione), 1.1.1.50 ~ 1.1.1.150
Port Translation: (anule la selección)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
3. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: e-stock
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
DIP on: (seleccione), 6 (1.1.1.50 - 1.1.1.150)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. DIP
set interface ethernet3 dip 6 1.1.1.50 1.1.1.150 fix-port
3. Directivas
set policy from trust to untrust any any e-stock nat src dip-id 6 permit
save
Definirá las direcciones de cinco hosts en la zona Trust y las agregará a un grupo de
direcciones llamado “group1”. Las direcciones de estos hosts son 10.1.1.11,
10.1.1.12, 10.1.1.13, 10.1.1.14 y 10.1.1.15. Configurará una directiva para el
tráfico de la zona Trust a la zona Untrust que haga referencia a ese grupo de
direcciones en una directiva a la que aplicará NAT-Src con el conjunto de DIP 10. La
directiva ordenará al dispositivo de seguridad aplicar NAT-Src siempre que un
miembro de “group1” inicie tráfico HTTP hacia una dirección en la zona Untrust.
Además, el dispositivo de seguridad aplicará siempre NAT-Src desde una dirección
IP determinada, como 10.1.1.13 a la misma dirección IP traducida, 1.1.1.103.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
ID: 10
IP Shift: (seleccione)
From: 10.1.1.11
To: 1.1.1.101 ~ 1.1.1.105
In the same subnet as the interface IP or its secondary IPs: (seleccione)
3. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
4. Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), group1
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): 10 (1.1.1.101 - 1.1.1.105)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. DIP
set interface ethernet3 dip 10 shift-from 10.1.1.11 to 1.1.1.101 1.1.1.105
3. Direcciones
set address trust host1 10.1.1.11/32
set address trust host2 10.1.1.12/32
set address trust host3 10.1.1.13/32
set address trust host4 10.1.1.14/32
set address trust host5 10.1.1.15/32
set group address trust group1 add host1
set group address trust group1 add host2
set group address trust group1 add host3
set group address trust group1 add host4
set group address trust group1 add host5
4. Directivas
set policy from trust to untrust group1 any http nat src dip-id 10 permit
save
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Any
Service: HTTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Source Translation: (seleccione)
(DIP on): None (Use Egress Interface IP)
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Directivas
set policy from trust to untrust any any http nat src permit
save
29
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Introducción a NAT-Dst
Puede definir directivas para traducir la dirección de destino de una dirección IP a
otra. Puede necesitar que el dispositivo de seguridad traduzca una o varias
direcciones IP públicas a una o varias direcciones privadas. La relación de la
dirección de destino original con la dirección de destino traducida puede ser de
“1:1” (“una a una”), de “n:1” (“muchas a una”) o de “n:n” (“muchas a muchas”). La
Figura 22 describe los conceptos de las relaciones NAT-Dst de “1:1” (“una a una”) y
“n:1” (“muchas a una”).
(Dispositivos virtuales)
(Dispositivos virtuales)
Destino Destino
original traducido
Nota: Las direcciones IP de destino original y traducida deben estar en la misma zona de seguridad.
Puede traducir un rango de direcciones de destino a otro rango (como una subred a
otra) mediante el desplazamiento de direcciones, de modo que el dispositivo de
seguridad asigne de forma fija cada dirección de destino original a una determinada
dirección de destino traducida. Observe que el dispositivo de seguridad no admite
la asignación de puertos con desplazamiento de direcciones. La Figura 23 describe
el concepto de relación de “n:n” para NAT-Dst.
30 Introducción a NAT-Dst
Figura 23: NAT-Dst: “n:n”
(Dispositivos virtuales)
Destinos Destinos
originales traducidos
La tabla de rutas debe contener entradas tanto de la dirección IP de destino original
como de la dirección IP de destino traducida. El dispositivo de seguridad realiza una
consulta de rutas utilizando la dirección IP de destino original para determinar la
zona de destino y realizar la subsiguiente consulta de directivas. A continuación,
realiza una segunda consulta de rutas con la dirección traducida para determinar a
dónde enviar el paquete. Para garantizar que la decisión de enrutamiento cumpla
con la directiva, tanto la dirección IP de destino original como la dirección IP
traducida deben estar en la misma zona de seguridad. (Para obtener más
información sobre la relación entre la dirección IP de destino, la consulta de rutas y
la consulta de directivas, consulte “Flujo de paquetes para NAT-Dst” en esta página).
Zona Untrust
Zona Trust
ethernet1 ethernet3
1.1.1.1/24 3.3.3.3/24
1.1.1.5
Origen ethernet4 Zona Custom 1
4.4.4.4/24
Introducción a NAT-Dst 31
Conceptos y ejemplos, Manual de Referencia de ScreenOS
32 Introducción a NAT-Dst
5. Para determinar la zona de destino, el módulo de rutas realiza una consulta de
rutas de la dirección IP de destino original; es decir, utiliza la dirección IP de
destino que aparece en el encabezado del paquete que llega a ethernet1. (El
módulo de rutas utiliza la interfaz de entrada para determinar qué enrutador
virtual debe utilizar para la consulta de rutas). Descubre que se accede a
5.5.5.5/32 a través de ethernet4, que está asociada a la zona Custom1.
6. El motor de directivas realiza una consulta de directivas entre las zonas Untrust
y Custom1 (según lo determinado por las correspondientes interfaces de
entrada y de salida). Las direcciones IP de origen y de destino y el servicio
encuentran una directiva que desvía el tráfico HTTP de 5.5.5.5 a 4.4.4.5.
set policy from untrust to custom1 any v-server1 http nat dst ip 4.4.4.5 permit
Introducción a NAT-Dst 33
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Destino
Identificación de la directiva 4.4.4.5
Sistema virtual al que
pertenece esta sesión aplicable a esta sesión
Identificación Flags de estado de la sesión Tiempo de espera de la sesión 30
de sesión (sólo para uso interno) unidades (30 x 10 = 300 segundos)
Flag de NSP (sólo para uso interno) Protocolo de transporte 6 = TCP ID VLAN ID VSD
Nota: Dado que en esta sesión no participa ningún sistema virtual, VLAN, túnel VPN ni dispositivo de seguridad virtual (VSD), el ajuste para todos
estos números de identificación es cero.
34 Introducción a NAT-Dst
En los tres escenarios siguientes, la necesidad de introducir rutas estáticas cambia
según la topología de red que rodea a las direcciones de destino a las que se refiere
esta directiva:
set policy from untrust to trust any oda1 http nat dst ip 10.1.1.5 permit
(Dispositivo virtual)
10.1.1.0/24
* Aunque 10.2.1.5 no se encuentra en la subred 10.1.1.0/24 porque su ruta no especifica una puerta de enlace, está ilustrada como
si estuviese en la misma subred conectada que el espacio de direcciones 10.1.1.0/24.
WebUI
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr route 10.2.1.5/32 interface ethernet3
save
Introducción a NAT-Dst 35
Conceptos y ejemplos, Manual de Referencia de ScreenOS
NOTA: Dado que esta ruta es necesaria para alcanzar cualquier dirección en la subred
10.2.1.0/24, probablemente ya la haya configurado. En tal caso, no es necesario
agregar ninguna ruta adicional sólo para que la directiva aplique NAT-Dst a
10.2.1.5.
Destino
ethernet3 traducido Zona Trust
10.1.1.1/24 Destino original
10.1.1.5 “oda1” 10.2.1.5
10.1.1.250/24
(Dispositivo virtual)
10.1.1.0/24
10.1.1.250/24 10.2.1.0/24
WebUI
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
CLI
set vrouter trust-vr route 10.2.1.0/24 interface ethernet3 gateway 10.1.1.250
save
36 Introducción a NAT-Dst
Figura 28: Direcciones originales y traducidas utilizando diferentes interfaces de salida
Destino
traducido
ethernet3 10.1.1.5
10.1.1.1/24
10.1.1.0/24
Zona Trust
10.2.1.0/24
(Dispositivo virtual)
Destino original
“oda2” 1.2.1.8
ethernet3 ethernet2
1.1.1.1/24 10.2.1.1/24 (Dispositivo virtual)
Zona Untrust
Origen Destino
2.2.2.54 traducido
Zona DMZ 10.2.1.8
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
2.2.2.5 1.2.1.8 25611 80 HTTP 2.2.2.5 10.2.1.8 25611 80 HTTP
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
2.2.2.5 1.2.1.8 40365 21 FTP 2.2.2.5 10.2.1.8 40365 21 FTP
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
4. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), oda2
Service: HTTP-FTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.2.1.8
Map to Port: (anule la selección)
CLI
1. Interfaces
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet2 zone dmz
set interface ethernet2 ip 10.2.1.1/24
2. Dirección
set address dmz oda2 1.2.1.8/32
3. Grupo de servicios
set group service http-ftp
set group service http-ftp add http
set group service http-ftp add ftp
4. Ruta
set vrouter trust-vr route 1.2.1.8/32 interface ethernet2
5. Directivas
set policy from untrust to dmz any oda2 http-ftp nat dst ip 10.2.1.8 permit
save
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
2.2.2.5 1.2.1.8 25611 80 HTTP 2.2.2.5 10.2.1.8 25611 80 HTTP
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
2.2.2.5 1.2.1.8 40365 21 FTP 2.2.2.5 10.2.1.9 40365 21 FTP
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
4. Directivas
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), oda3
Service: HTTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.2.1.8
Map to Port: (anule la selección)
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), oda3
Service: FTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.2.1.9
Map to Port: (anule la selección)
CLI
1. Interfaces
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet2 zone dmz
set interface ethernet2 ip 10.2.1.1/24
2. Dirección
set address dmz oda3 1.2.1.8/32
3. Ruta
set vrouter trust-vr route 1.2.1.8/32 interface ethernet2
4. Directivas
set policy from untrust to dmz any oda3 http nat dst ip 10.2.1.8 permit
set policy from untrust to dmz any oda3 ftp nat dst ip 10.2.1.9 permit
save
IP ORIG IP DEST PTO ORIG PTO DEST PROTO IP ORIG IP DEST PTO ORIG PTO DEST PROTO
1.1.1.6 1.2.1.20 40365 80 HTTP 1.1.1.6 10.2.1.1 40365 80 HTTP
NAT-Dst—Asignación de “n:1” 43
Conceptos y ejemplos, Manual de Referencia de ScreenOS
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > Groups > (para Zone: DMZ) New: Introduzca el
siguiente nombre de grupo, mueva las siguientes direcciones y haga clic en OK:
44 NAT-Dst—Asignación de “n:1”
3. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), oda45
Service: HTTP
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.2.1.15
Map to Port: (anule la selección)
CLI
1. Interfaces
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet2 zone dmz
set interface ethernet2 ip 10.2.1.1/24
2. Direcciones
set address dmz oda4 1.2.1.10/32
set address dmz oda5 1.2.1.20/32
set group address dmz oda45 add oda4
set group address dmz oda45 add oda5
3. Rutas
set vrouter trust-vr route 1.2.1.10/32 interface ethernet2
set vrouter trust-vr route 1.2.1.20/32 interface ethernet2
4. Directivas
set policy from untrust to dmz any oda45 http nat dst ip 10.2.1.15 permit
save
NAT-Dst—Asignación de “n:1” 45
Conceptos y ejemplos, Manual de Referencia de ScreenOS
10.1.1.1 – 10.100.3.101
10.1.1.2 – 10.100.3.102
10.1.1.3 – 10.100.3.103
10.1.1.48 – 10.100.3.148
10.1.1.49 – 10.100.3.149
10.1.1.50 – 10.100.3.150
Si, por ejemplo, desea crear una directiva que aplique las traducciones antedichas al
tráfico HTTP desde cualquier dirección de zoneA a un grupo de direcciones
denominado “addr1-50”, que contiene todas las direcciones de 10.1.1.1 a
10.1.1.50, en zoneB, puede introducir el comando CLI siguiente:
set policy id 1 from zoneA to zoneB any addr1-50 http nat dst ip 10.100.3.101
10.100.3.150 permit
Si cualquier host en zoneA inicia tráfico HTTP hacia una dirección dentro del rango
definido en zoneB, como 10.1.1.37, el dispositivo de seguridad aplica esta directiva
y traduce la dirección de destino a 10.100.3.137.
set policy id 1 from zoneA to zoneB any addr1-50 http nat dst ip 10.100.3.101
10.100.3.150 permit
set policy id 2 from zoneA to zoneB any any any permit
Permitir todos los tipos del tráfico desde cualquier dirección de la zona Untrust
a cualquier dirección en la zona DMZ
Zona DMZ
ethernet3 ethernet2
Zona Untrust 1.1.1.1/24 10.2.1.1/24 1.2.1.1 – 10.2.1.1
1.2.1.2 – 10.2.1.2
Internet 1.2.1.3 – 10.2.1.3
1.2.1.253 – 10.2.1.253
1.2.1.254 – 10.2.1.254
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), oda6
Service: Any
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.2.1.0 – 10.2.1.254
CLI
1. Interfaces
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet2 zone dmz
set interface ethernet2 ip 10.2.1.1/24
2. Dirección
set address dmz oda6 1.2.1.0/24
Permitir Telnet desde cualquier dirección en las zonas Untrust y Trust hacia
1.2.1.15 en la zona DMZ
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.2.1.15
Map to Port: (seleccione), 2200
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), oda7
Service: Telnet
Action: Permit
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la página de configuración básica:
NAT:
Destination Translation: (seleccione)
Translate to IP: (seleccione), 10.2.1.15
Map to Port: (seleccione), 2200
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone dmz
set interface ethernet2 ip 10.2.1.1/24
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address dmz oda7 1.2.1.15/32
3. Ruta
set vrouter trust-vr route 1.2.1.15/32 interface ethernet2
4. Directivas
set policy from trust to dmz any oda7 telnet nat dst ip 10.2.1.15 port 2200 permit
set policy from untrust to dmz any oda7 telnet nat dst ip 10.2.1.15 port 2200
permit
save
NOTA: Las VPNs basadas en directivas no admiten NAT-Dst. Deberá utilizar una
configuración de VPN basada en rutas con NAT-Dst.
Debido a que los clientes podrían tener las mismas direcciones que los servidores a
los que desean conectarse, Dispositivo-1 debe realizar la traducción de las
direcciones tanto de origen como de destino (NAT-Src y NAT-Dst). Para mantener la
independencia y flexibilidad de direccionamiento, los dispositivos de seguridad que
protegen las granjas de servidores Dispositivo-A y Dispositivo-B realizan NAT-Dst. El
proveedor de servicios ordena a los clientes y a los administradores de la granja de
servidores que reserven las direcciones 10.173.10.1–10.173.10.7, 10.173.20.0/24,
10.173.30.0/24, 10.173.40.0/24 y 10.173.50.0/24 para este fin. Estas direcciones se
utilizan de la siguiente forma:
tunnel.1, 10.173.10.1/30
tunnel.2, 10.173.10.5/30
Cada interfaz de túnel admite los siguientes conjuntos de DIP con PAT
habilitada:
10.173.20.0/24 a 10.173.30.0/24
10.173.40.0/24 a 10.173.50.0/24
Las configuraciones para los túneles vpn1 y vpn2, utilizan los siguientes
parámetros: AutoKey IKE, clave previamente compartida (“dispositivo1” para vpn1
y “dispositivo2” para vpn2), así como el nivel de seguridad predefinido como
“Compatible” para propuestas de Fase 1 y Fase 2. (Para ver los detalles sobre estas
propuestas, consulte “Negociación de túnel” en la página 5-9). La identificación del
proxy tanto para vpn1 como para vpn2 es 0.0.0.0/0 - 0.0.0.0/0 - any.
Enrutador
El dispositivo de seguridad realiza NAT-Src y Interno
NAT-Dst porque usted, como administrador de Dispositivo de seguridad-1
Dispositivo-1, no tiene ningún control sobre las tunnel.2, 10.173.10.5/30
direcciones de origen y de destino. Mientras haya NAT-Src Dispositivo de seguridad-B
un espacio de direcciones mutuamente neutral • Rango DIP 10.173.10.6 – 10.173.10.6 Untrust 3.3.3.3/24, Trust 10.100.2.1/24
para traducir direcciones entrantes y salientes, el NAT-Dst tunnel.1, 10.3.3.1/24
Dispositivo de seguridad-1 podrá procesar las • Destino original 10.173.40.0/24 NAT-Dst
peticiones de servicio de los clientes. • Destino traducido 10.173.50.0/24 • Destino original 10.173.50.0/24
• Destino traducido 10.100.2.0/24
Los dos dispositivos de seguridad que protegen
las granjas de servidores también realizan
NAT-Dst para conservar la independencia y
flexibilidad de direccionamiento.
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
ID: 5
IP Address Range: (seleccione), 10.173.10.2 ~ 10.173.10.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
Network > Interfaces > Edit (para tunnel.2) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 6
IP Address Range: (seleccione), 10.173.10.6 ~ 10.173.10.6
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
3. Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
NOTA: La interfaz de salida no necesita estar en la misma zona a la que está asociada la
interfaz del túnel, aunque en este caso se encuentran en la misma zona.
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), serverfarm-A
Service: ANY
Action: Permit
Position at Top: (seleccione)
NAT:
Source Translation: (seleccione)
(DIP on): 5 (10.173.10.2–10.173.10.2)/X-late
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.173.30.0 – 10.173.30.255
6. Directivas
set policy top from trust to untrust any serverfarm-A any nat src dip-id 5 dst ip
10.173.30.0 10.173.30.255 permit
set policy top from trust to untrust any serverfarm-B any nat src dip-id 6 dst ip
10.173.50.0 10.173.50.255 permit
save
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), customer1
Destination Address:
Address Book Entry: (seleccione), serverfarm-A
Service: ANY
Action: Permit
Position at Top: (seleccione)
NAT:
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.100.1.0 – 10.100.1.255
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), customer1
Destination Address:
Address Book Entry: (seleccione), serverfarm-B
Service: ANY
Action: Permit
Position at Top: (seleccione)
NAT:
Destination Translation: (seleccione)
Translate to IP Range: (seleccione), 10.100.2.0 – 10.100.2.255
“MIP-Same-as-Untrust” en la página 73
Direcciones IP asignadas
Una dirección IP asignada (MIP) es una asignación directa (“1:1”) de una dirección
IP a otra. El dispositivo de seguridad reenvía el tráfico entrante destinado a una MIP
al host a cuya dirección apunta la MIP. En esencia, una MIP es la traducción de una
dirección de destino estática, la correspondencia de una dirección IP de destino en
un encabezado de paquete IP con otra dirección IP estática. Cuando un host de MIP
inicia tráfico saliente, el dispositivo de seguridad traduce la dirección IP de origen
del host a la correspondiente a la dirección MIP. Esta simetría de la traducción
bidireccional difiere del comportamiento de la traducción de direcciones de origen
y de destino (consulte “Naturaleza direccional de NAT-Src y NAT-Dst” en la
página 12).
Las MIPs permiten que el tráfico entrante alcance las direcciones privadas de una
zona cuya interfaz se encuentra en modo NAT. Las MIPs también proporcionan una
solución parcial al problema de la superposición de espacios de direcciones en dos
sitios conectados mediante un túnel de VPN. (Para ver la solución completa a este
problema, consulte “Puntos VPN con direcciones superpuestas” en la
página 5-141).
Direcciones IP asignadas 65
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Puede crear una MIP en la misma subred que una interfaz de túnel con una
dirección IP o máscara de red, o bien en la misma subred que la dirección IP o
máscara de red de una interfaz asociada a una zona de seguridad de la capa 3 (L3).
Aunque las MIPs se configuran para interfaces asociadas a zonas de túnel y a zonas
de seguridad, las MIPs definidas se almacenan en la zona Global.
NOTA: Una excepción es una MIP definida para una interfaz en la zona Untrust. Esa MIP
puede encontrarse en una subred diferente de una dirección IP de interfaz de la
zona Untrust. Sin embargo, en tal caso deberá agregar una ruta en el enrutador
externo que apunte a una interfaz de la zona Untrust para que el tráfico entrante
pueda alcanzar la MIP. Asimismo, deberá definir una ruta estática en el dispositivo
de seguridad asociando la MIP a la interfaz que la hospeda.
NOTA: En algunos dispositivos de seguridad, una MIP puede utilizar la misma dirección
que una interfaz, pero una dirección MIP no puede encontrarse en un rango DIP.
66 Direcciones IP asignadas
Ejemplo: MIP en una interfaz de la zona Untrust
En este ejemplo, asociará ethernet1 a la zona Trust y le asignará la dirección IP
10.1.1.1/24. Asociará ethernet2 a la zona Untrust y le asignará la dirección IP
1.1.1.1/24. A continuación configurará una MIP para dirigir el tráfico HTTP entrante
destinado a 1.1.1.5 en la zona Untrust a un servidor web en la dirección IP 10.1.1.5
de la zona Trust. Finalmente, creará una directiva que permita el tráfico HTTP desde
cualquier dirección de la zona Untrust a la dirección MIP (y, por lo tanto, al host con
la dirección a la que apunta la MIP) de la zona Trust. Todas las zonas de seguridad
se encuentran en el dominio de enrutamiento trust-vr.
NOTA: Para una MIP o para el host al que apunta no se requiere ninguna entrada en la
libreta de direcciones.
Zona Untrust
Internet
Zona Global
Interfaz zona Trust
ethernet1, 10.1.1.1/24
El tráfico destinado a 1.1.1.5 llega a ethernet2.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Direcciones IP asignadas 67
Conceptos y ejemplos, Manual de Referencia de ScreenOS
2. MIP
Network > Interfaces > Edit (para ethernet2) > MIP > New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.5)
Service: HTTP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
2. MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255
vrouter trust-vr
3. Directivas
set policy from untrust to trust any mip(1.1.1.5) http permit
save
68 Direcciones IP asignadas
Ejemplo: Alcanzar una MIP desde diferentes zonas
Aunque el tráfico proceda de zonas diferentes, puede alcanzar una MIP
determinada a través de otras interfaces distintas de la utilizada para configurar esa
MIP. Para lograrlo, debe establecerse una ruta en los enrutadores de cada una de las
otras zonas que dirija el tráfico entrante hacia la dirección IP de sus respectivas
interfaces con el fin de alcanzar la MIP.
NOTA: Deberá introducir una ruta en el enrutador de la zona “X-Net” que dirija el tráfico
destinado a 1.1.1.5 (MIP) a 1.3.3.1 (dirección IP de ethernet3).
Direcciones IP asignadas 69
Conceptos y ejemplos, Manual de Referencia de ScreenOS
WebUI
1. Interfaces y zonas
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
70 Direcciones IP asignadas
2. Dirección
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), 1.1.1.5
Service: HTTP
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.5)
Service: HTTP
Action: Permit
CLI
1. Interfaces y zonas
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet2 zone untrust
set interface ethernet2 ip 1.1.1.1/24
set zone name X-Net
set interface ethernet3 zone X-Net
set interface ethernet3 ip 1.3.3.1/24
2. Dirección
set address untrust “1.1.1.5” 1.1.1.5/32
Direcciones IP asignadas 71
Conceptos y ejemplos, Manual de Referencia de ScreenOS
3. MIP
set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255
vrouter trust-vr
4. Directivas
set policy from X-Net to untrust any “1.1.1.5” http permit
set policy from untrust to trust any mip(1.1.1.5) http permit
save
WebUI
Network > Interfaces > Edit (para tunnel.8) > MIP > New: Introduzca los
siguientes datos y haga clic en OK:
CLI
set interface tunnel.8 mip 10.20.3.25 host 10.1.1.25 netmask 255.255.255.255
vrouter trust-vr
save
72 Direcciones IP asignadas
NOTA: De forma predeterminada, la máscara de red de una MIP es de 32 bits
(255.255.255.255) y el enrutador virtual predeterminado es trust-vr. No es
necesario especificar estos datos en el comando. Estos argumentos se incluyen
aquí por coherencia con la configuración de WebUI.
MIP-Same-as-Untrust
Dado que las direcciones IPv4 se están agotando, los proveedores de servicios de
Internet (ISP) son cada vez más reacios a dar más de una o dos direcciones IP a sus
clientes. Si solamente dispone de una dirección IP para la interfaz asociada a la
zona Untrust, ya que la interfaz asociada a la zona Trust está en modo de traducción
de direcciones de red (NAT), puede utilizar la dirección IP de la interfaz de la zona
Untrust como dirección IP asignada (MIP) para proporcionar acceso entrante a un
servidor o host interno, o bien a un punto final del túnel VPN o L2TP.
Una MIP asigna el tráfico entrante a una dirección a otra dirección; por lo tanto, al
utilizar la dirección IP de la interfaz de la zona Untrust como MIP, el dispositivo de
seguridad asigna a una dirección interna especificada todo el tráfico entrante que
utilice la interfaz de la zona Untrust. Si la MIP de la interfaz Untrust está asignada a
un punto final del túnel VPN o L2TP, el dispositivo reenvía automáticamente los
paquetes IKE o L2TP entrantes al punto final del túnel, siempre que no haya ningún
túnel VPN o L2TP configurado en la interfaz de Untrust.
Si crea una directiva en la cual la dirección de destino sea una MIP que utilice la
dirección IP de la interfaz de la zona Untrust y especifica HTTP como servicio en la
directiva, perderá la administración web del dispositivo de seguridad a través de esa
interfaz (debido a que todo el tráfico HTTP entrante dirigido a esa dirección está
asignado a un servidor o host interno). Aún así podrá administrar el dispositivo a
través de la interfaz de la zona Untrust mediante WebUI, cambiando el número de
puerto para la administración web. Para cambiar el número de puerto de
administración web, haga lo siguiente:
1. Admin > Web: Introduzca un número de puerto registrado (de 1024 a 65.535)
en el campo “HTTP Port”. Haga clic en Apply.
Direcciones IP asignadas 73
Conceptos y ejemplos, Manual de Referencia de ScreenOS
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
NAT: (seleccione)
NOTA: De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará
en modo NAT. Por lo tanto, esta opción ya está habilitada para las interfaces
asociadas a la zona Trust.
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
3. Reconexión
Vuelva a conectarse al dispositivo de seguridad, agregando “8080” a la
dirección IP en el campo de la dirección URL de su explorador. (Si actualmente
está administrando el dispositivo a través de la interfaz Untrust, escriba
http://1.1.1.1:8080).
4. MIP
Network > Interface > Edit (para ethernet3) > MIP > New: Introduzca los
siguientes datos y haga clic en OK:
74 Direcciones IP asignadas
NOTA: La máscara de red de una MIP que utilice una dirección IP de la interfaz de la zona
Untrust debe ser de 32 bits.
5. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), MIP(1.1.1.1)
Service: HTTP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Puerto HTTP
set admin port 8080
3. MIP
set interface ethernet3 mip 1.1.1.1 host 10.1.1.5 netmask 255.255.255.255
vrouter trust-vr
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
5. Directivas
set policy from untrust to trust any mip(1.1.1.1) http permit
save
Direcciones IP asignadas 75
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Zona Untrust
Interlocutor de VPN Interfaz de la Interlocutor de VPN
zona Untrust
Túneles VPN El tráfico de ambas VPN puede
alcanzar la dirección MIP en la
Interfaces de túnel: interfaz de bucle invertido.
Miembros del grupo
de la interfaz de bucle
invertido
Dirección MIP
(definida en la
interfaz de bucle
invertido pero
almacenada en la
Interfaz de la zona Global)
zona Trust Interfaz de bucle invertido
(en la zona Untrust)
76 Direcciones IP asignadas
tunnel.2, zona Untrust, 10.20.1.1/24, asociada a vpn2
Las interfaces de túnel forman parte del grupo de interfaces loopback.3. La interfaz
loopback.3 contiene la dirección MIP 10.100.1.5, asignada a un host en la dirección
10.1.1.5 de la zona Trust.
ethernet3
1.1.1.1/24
gw1 gw2
vpn1 vpn2
ethernet1 loopback.3
10.1.1.1/24 10.100.1.1/24 Dirección MIP:
Interfaces de túnel: (en zona Untrust) 10.100.1.5 -> 10.1.1.5
Miembros del grupo de la
interfaz de bucle invertido
Zona Trust
Host MIP
10.1.1.5
También definirá las direcciones, rutas, directivas y túneles VPN necesarios para
completar la configuración. Todas las zonas de seguridad se encuentran en el
dominio de enrutamiento trust-vr.
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Direcciones IP asignadas 77
Conceptos y ejemplos, Manual de Referencia de ScreenOS
NAT: (seleccione)
NOTA: De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará
en modo NAT. Por lo tanto, esta opción ya está habilitada para las interfaces
asociadas a la zona Trust.
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en Apply:
2. MIP
Network > Interfaces > Edit (para loopback.3) > MIP > New: Introduzca los
siguientes datos y haga clic en OK:
78 Direcciones IP asignadas
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Direcciones IP asignadas 79
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Service: ANY
5. Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), peer-1
Destination Address:
Address Book Entry: (seleccione), MIP(10.100.1.5)
Service: ANY
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), peer-2
Destination Address:
Address Book Entry: (seleccione), MIP(10.100.1.5)
Service: ANY
Action: Permit
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), local_lan
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
80 Direcciones IP asignadas
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface loopback.3 zone trust
set interface loopback.3 ip 10.100.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip 10.10.1.1/24
set interface tunnel.1 loopback-group loopback.3
set interface tunnel.2 zone untrust
set interface tunnel.2 ip 10.20.1.1/24
set interface tunnel.2 loopback-group loopback.3
2. MIP
set interface loopback.3 mip 10.100.1.5 host 10.1.1.5 netmask
255.255.255.255 vrouter trust-vr
3. Direcciones
set address trust local_lan 10.1.1.0/24
set address untrust peer-1 10.2.1.0/24
set address untrust peer-2 10.3.1.0/24
4. VPN
set ike gateway gw1 address 2.2.2.2 outgoing-interface ethernet3 preshare
device1 sec-level compatible
set vpn vpn1 gateway gw1 sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
set ike gateway gw2 address 3.3.3.3 outgoing-interface ethernet3 preshare
device2 sec-level compatible
set vpn vpn2 gateway gw2 sec-level compatible
set vpn vpn2 bind interface tunnel.2
set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any
5. Rutas
set vrouter trust-vr route 10.2.1.0/24 interface tunnel.1
set vrouter trust-vr route 10.3.1.0/24 interface tunnel.2
set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
6. Directivas
set policy top from untrust to trust peer-1 mip(10.100.1.5) any permit
set policy top from untrust to trust peer-2 mip(10.100.1.5) any permit
set policy from trust to untrust local_lan any any permit
save
Direcciones IP asignadas 81
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Agrupamiento de MIP
La asignación de una MIP a un interfaz aparta un rango de direcciones IP para
utilizarlas como direcciones de destino para paquetes que pasan a través de la
interfaz. Luego puede utilizar la MIP en una directiva, que hace reconocible la
dirección para las interfaces que reciben los paquetes entrantes, o utilizable para las
interfaces que transmiten los paquetes de salientes.
Sin embargo, es posible que existan situaciones en las que sea necesario invocar
varias MIPs en una directiva individual. Por ejemplo, es posible que un rango de
direcciones individuales no proporcione suficientes direcciones cuando existen
varios host de destino o puertas de enlace en una topología de red determinada.
Dicha solución requiere del agrupamiento de MIP, lo que le permite diseñar
directivas de celdas múltiples. Dichas directivas invocan varios rangos de direcciones
como posibles direcciones de origen.
NOTA: Para este ejemplo, se asume que la ID de la directiva para la directiva generada es
104.
WebUI
Network > Interface > Edit > MIP (List)
CLI
set interface ethernet1/2 mip 1.1.1.3 host 2.2.2.2
set interface ethernet1/2 mip 1.1.1.4 host 3.3.3.3
set policy from untrust to trust any mip(1.1.1.3) any permit
set policy id 104
(policy:104)-> set dst-address mip(1.1.1.4)
(policy:104)-> exit
get policy id 104
82 Direcciones IP asignadas
Direcciones IP virtuales
Una dirección IP virtual IP (VIP) asigna el tráfico recibido en una dirección IP a otra
dirección basándose en el número del puerto de destino que figura en el
encabezado del segmento TCP o UDP. Por ejemplo:
Los direcciones IP de destino son iguales. Los números de los puertos de destino
determinan a qué host debe el dispositivo de seguridad reenviar el tráfico.
Servidor web
10.1.1.10
VIP 1.1.1.3
SMTP (25)
Servidor de correo
10.1.1.30
IP de interfaz en zona Untrust VIP en la zona Global Puerto Reenviar a IP de host en la zona Trust
1.1.1.1/24 1.1.1.3 80 (HTTP) 10.1.1.10
1.1.1.1/24 1.1.1.3 21 (FTP) 10.1.1.20
1.1.1.1/24 1.1.1.3 25 (SMTP) 10.1.1.30
Direcciones IP virtuales 83
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Si configura una VIP para que utilice la misma dirección IP que una interfaz
de la zona Untrust en un dispositivo que admita múltiples VIP, las otras
VIPs “normales” dejarán de ser utilizables.
Si hay configurada alguna VIP normal, no podrá crear una VIP mediante
una interfaz de la zona Untrust salvo que elimine primero la VIP normal.
NOTA: En una interfaz de la zona Untrust solamente se puede establecer una VIP.
Una sola VIP puede distinguir servicios personalizados con los mismos
números de puerto de origen y de destino pero diferentes medios de
transporte.
Una sola VIP puede admitir servicios personalizados con múltiples entradas de
puertos creando múltiples entradas de servicios bajo esa VIP (una por cada
puerto en el servicio). De forma predeterminada, en una VIP se pueden utilizar
servicios de puerto único. Para poder utilizar servicios de múltiples puertos en
una VIP, primero debe ejecutar el comando CLI set vip multi-port y enseguida
reiniciar el dispositivo de seguridad. (Consulte “Ejemplo: VIP con servicios
personalizados y de múltiples puertos” en la página 88).
Dado que la VIP se encuentra en la misma subred que la interfaz de la zona Untrust
(1.1.1.0/24), no es necesario definir una ruta para que el tráfico procedente de la
zona Untrust la alcance. Tampoco se requiere ninguna entrada en la libreta de
direcciones para el host al que una VIP reenvía tráfico. Todas las zonas de seguridad
se encuentran en el dominio de enrutamiento trust-vr.
NOTA: Si desea que el tráfico HTTP procedente de una zona de seguridad distinta de la
zona Untrust alcance la VIP, debe establecer una ruta para 1.1.1.10 en el enrutador
y en la otra zona que apunte a una interfaz asociada a esa zona. Por ejemplo,
suponga que ethernet2 está asociada a una zona definida por el usuario y que ha
configurado un enrutador en esa zona para que envíe a ethernet2 el tráfico
destinado a 1.1.1.10. Una vez que el enrutador envía tráfico a ethernet2, el
mecanismo de reenvío del dispositivo de seguridad localiza la VIP en ethernet3,
que lo asigna a 10.1.1.10 y lo envía a través de ethernet1 a la zona Trust. Este
proceso es similar al descrito en “Ejemplo: Alcanzar una MIP desde diferentes
zonas” en la página 69. También deberá establecer una directiva que permita el
tráfico HTTP procedente de la zona de origen a la VIP en la zona Trust.
Direcciones IP virtuales 85
Conceptos y ejemplos, Manual de Referencia de ScreenOS
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Network > Interfaces > Edit (para ethernet3) > VIP > New VIP Service:
Introduzca los siguientes datos y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), ANY
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.1.10)
Service: HTTP
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet2 ip 1.1.1.1/24
2. VIP
set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10
3. Directivas
set policy from untrust to trust any vip(1.1.1.10) http permit
save
86 Direcciones IP virtuales
Ejemplo: Edición de una configuración de VIP
En este ejemplo modificará la configuración del servidor de IPs virtuales que creó
en el ejemplo anterior. Para restringir el acceso al servidor web, cambiará el número
de puerto virtual para el tráfico HTTP de 80 (predeterminado) a 2211. Desde ese
momento, sólo podrán utilizar el servidor web quienes sepan que deben utilizar el
número de puerto 2211 para conectarse a él.
WebUI
Network > Interfaces > Edit (para ethernet3) > VIP > Edit (en la sección “VIP
Services Configure” correspondiente a 1.1.1.10): Introduzca los siguientes
datos y haga clic en OK:
CLI
unset interface ethernet3 vip 1.1.1.10 port 80
set interface ethernet3 vip 1.1.1.10 2211 http 10.1.1.10
save
WebUI
Policies > (From: Untrust, To: Trust) > Go: Haga clic en Remove para la
directiva con ID 5.
Network > Interfaces > Edit (para ethernet3) > VIP: Haga clic en Remove en
la sección “VIP Configure” correspondiente a 1.1.1.10.
CLI
unset policy id 5
unset interface ethernet3 vip 1.1.1.10
save
Direcciones IP virtuales 87
Conceptos y ejemplos, Manual de Referencia de ScreenOS
La VIP enruta (reenvía) las consultas DNS al servidor DNS en 10.1.1.3, el tráfico
HTTP al servidor Web en 10.1.1.4 y las comprobaciones de autenticación a la base
de datos del servidor LDAP en 10.1.1.5. Para HTTP, DNS y PCAnywhere, los
números de puerto virtuales siguen siendo iguales que los números de puerto
reales. Para LDAP, se utiliza un número de puerto virtual (5983) para agregar un
nivel adicional de seguridad al tráfico de autenticación de LDAP.
88 Direcciones IP virtuales
WebUI
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
NOTA: Para habilitar la VIP de modo que pueda trabajar con servicios de múltiples
puertos, deberá ejecutar el comando CLI set vip multi-port, guardar la
configuración y seguidamente reiniciar el dispositivo.
Direcciones IP virtuales 89
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Network > Interfaces > Edit (para ethernet3) > VIP: haga clic aquí para
configurar: Escriba 1.1.1.3 en el campo “Virtual IP Address”, luego haga clic en
Add.
> New VIP Service: Introduzca los siguientes datos y haga clic en OK:
> New VIP Service: Introduzca los siguientes datos y haga clic en OK:
> New VIP Service: Introduzca los siguientes datos y haga clic en OK:
NOTA: Para servicios de múltiples puertos, introduzca el número de puerto más bajo del
servicio como número de puerto virtual.
> New VIP Service: Introduzca los siguientes datos y haga clic en OK:
5. Directivas
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.1.3)
Service: DNS
Action: Permit
90 Direcciones IP virtuales
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.1.3)
Service: HTTP
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.1.3)
Service: LDAP
Action: Permit
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Remote Admin
Destination Address:
Address Book Entry: (seleccione), VIP(1.1.1.3)
Service: PCAnywhere
Action: Permit
CLI
1. Interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
2. Dirección
set address untrust “Remote Admin” 3.3.3.3/32
3. Servicio personalizado
set service pcanywhere protocol udp src-port 0-65535 dst-port 5631-5631
set service pcanywhere + tcp src-port 0-65535 dst-port 5632-5632
4. Dirección y servicios VIP
set vip multi-port
save
reset
System reset, are you sure? y/[n]
set interface ethernet3 vip 1.1.1.3 53 dns 10.1.1.3
set interface ethernet3 vip 1.1.1.3 + 80 http 10.1.1.4
set interface ethernet3 vip 1.1.1.3 + 5631 pcanywhere 10.1.1.4
set interface ethernet3 vip 1.1.1.3 + 5983 ldap 10.1.1.5
Direcciones IP virtuales 91
Conceptos y ejemplos, Manual de Referencia de ScreenOS
NOTA: Para servicios de múltiples puertos, introduzca el número de puerto más bajo del
servicio como número de puerto virtual.
5. Directivas
set policy from untrust to trust any vip(1.1.1.3) dns permit
set policy from untrust to trust any vip(1.1.1.3) http permit
set policy from untrust to trust any vip(1.1.1.3) ldap permit
set policy from untrust to trust “Remote Admin” vip(1.1.1.3) pcanywhere permit
save
92 Direcciones IP virtuales
Índice
C N
CLI, set vip multi-port ...................................................84 NAT
conjuntos de DIP definición....................................................................1
consideraciones sobre direcciones .......................16 NAT-src con NAT-dst .......................................52 a 63
NAT-src .......................................................................1 NAT basada en directivas
tamaño .....................................................................16 Véase NAT-dst y NAT-src
NAT-dst ....................................................................30 a 63
D asignación de puertos ...................................5, 30, 49
dirección IP asignada con MIP o VIP ............................................................4
Véase MIP consideraciones sobre las rutas ...............31, 34 a 36
Direcciones IP, virtuales ................................................83 desplazamiento de direcciones ...............................6
flujo de paquetes .............................................31 a 33
E traducción unidireccional ...................................8, 12
enrutadores virtuales, MIP predeterminada ...............68 NAT-dst, direcciones
desplazamiento .................................................30, 46
F rango a IP única .................................................11, 43
flujo de paquetes, NAT-dst .................................... 31 a 33 rango a rango .....................................................11, 46
rangos .........................................................................5
I NAT-dst, IP individual
interfaces con asignación de puerto .......................................10
MIP ............................................................................66 sin asignación de puerto ........................................10
VIP.............................................................................83 NAT-dst, traducción
IP virtual “1:1”..........................................................................37
Véase VIP “1:n”..........................................................................40
NAT-src ................................................................1, 15 a 28
basada en interfaces .................................................2
M interfaz de salida .......................................10, 26 a 28
máscaras de red, MIP predeterminada .......................68
MIP ..................................................................................65 puerto fijo ...................................................16, 20 a 21
NAT-src, conjuntos de DIP ...............................................1
agrupamiento, directivas de celdas múltiples .....82
con desplazamiento de direcciones ........................9
alcanzable desde otras zonas ................................69
definición ...................................................................7 con PAT ........................................................8, 17 a 19
puerto fijo ...................................................................9
rangos de direcciones .............................................68
NAT-src, direcciones
same-as-untrust, interfaz ................................ 73 a 75
desplazamiento ...............................................22 a 26
traducción bidireccional ...........................................7
desplazamiento, consideraciones sobre el rango 22
zona global ...............................................................66
NAT-src, traducción
MIP, creación
direcciones de puerto ...............................................2
direcciones ...............................................................67
unidireccional ......................................................8, 12
en interfaz de túnel .................................................72
en interfaz de zona .................................................67
MIP, predeterminada P
enrutadores virtuales ..............................................68 PAT ...................................................................................16
máscaras de red ......................................................68 puertos
asignación ............................................................5, 30
números ...................................................................90
Índice IX-I
Conceptos y ejemplos, Manual de Referencia de ScreenOS
S
Servicios VIP
personalizados y multipuerto ........................ 88 a 92
personalizados, números de puerto bajos ........... 84
T
traducción de direcciones
Véase NAT, NAT-dst y NAT-src
V
VIP
alcanzable desde otras zonas ................................ 85
configuración ........................................................... 85
definición ................................................................... 7
edición ...................................................................... 87
eliminación .............................................................. 87
información necesaria ............................................ 84
zonas globales ......................................................... 85
Z
zonas globales ................................................................ 85
zonas, global .................................................................. 85
IX-II Índice
Conceptos y ejemplos
Manual de referencia de ScreenOS
Volumen 9:
Autenticación de usuarios
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Network’s installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen v
Convenciones del documento .......................................................................... v
Convenciones de la interfaz de línea de comandos (CLI) .......................... vi
Convenciones para las ilustraciones ........................................................ vii
Convenciones de nomenclatura y conjuntos de caracteres ..................... viii
Convenciones de la interfaz gráfica (WebUI) ............................................ ix
Documentación de Juniper Networks ............................................................... x
Capítulo 1 Autenticación 1
Tipos de autenticaciones de usuarios ............................................................... 1
Usuarios con permisos de administrador ......................................................... 2
Usuarios de múltiples tipos .............................................................................. 4
Expresiones de grupos ..................................................................................... 5
Ejemplo: Expresiones de grupos (AND) ..................................................... 6
Ejemplo: Expresiones de grupos (OR)........................................................ 8
Ejemplo: Expresiones de grupos (NOT)......................................................9
Personalizar mensajes de bienvenida............................................................. 10
Ejemplo: Personalización de un mensaje de bienvenida de WebAuth ..... 10
Contenido iii
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Índice ........................................................................................................................IX-I
iv Contenido
Acerca de este volumen
Capítulo 4, “Usuarios IKE, XAuth y L2TP,” explica cómo definir usuarios IKE,
XAuth y L2TP. Aunque la sección XAuth se centra sobre todo en el uso del
dispositivo de seguridad como servidor de XAuth, también incluye una
subsección sobre la configuración de determinados dispositivos de seguridad
actuando como clientes XAuth.
En ejemplos:
En texto:
NOTA: Para escribir palabras clave, basta con escribir los primeros caracteres que
permitan al sistema reconocer de forma inequívoca la palabra que se está
introduciendo. Por ejemplo, es suficiente escribir set adm u kath j12fmt54 para
que el sistema reconozca el comando set admin user kathleen j12fmt54.
Aunque este método se puede utilizar para introducir comandos, en la presente
documentación todos ellos se representan con sus palabras completas.
Interfaz de túnel
Servidor
Túnel VPN
Concentrador (hub)
Enrutador
Teléfono IP
Conmutador
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles ( “ ); por ejemplo:
NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de
diálogo apropiado, donde podrá definir objetos y establecer parámetros de ajuste.
El conjunto de instrucciones de cada tarea se divide en ruta de navegación y ajustes
de configuración:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
techpubs-comments@juniper.net
Las fases en las que se produce la autenticación de usuarios IKE, XAuth, L2TP y
auth ocurren durante la configuración y uso de un túnel L2TP sobre IPSec.
Identificación IKE
Durante la fase 1 XAuth L2TP Auth
Modo principal: Mens. 5 y 6 Entre las fases 1 y 2 Una vez establecido el túnel Cuando el tráfico enviado
Modo dinámico: Mens. 1 y 2 IPSec, durante la a través del túnel alcanza
negociación del túnel L2TP el cortafuegos de Juniper
Networks
Usuario
Auth/IKE/L2TP/XAuth
Fase 1 Fase 2
Túnel IPSec
Túnel L2TP
Tráfico
Nota: Dado que tanto XAuth como L2TP proporcionan autenticación de usuarios y asignaciones de direcciones, rara vez se utilizan juntos. Se
muestran juntos aquí solamente para ilustrar cuándo se produce cada tipo de autenticación durante la creación de un túnel VPN.
NOTA: Para obtener información sobre los privilegios de cada tipo de usuario
administrador y ver ejemplos de creación, modificación y eliminación de usuarios
administradores, consulte “Administración” en la página 3-1.
Name: **
Password: ** Servidor de autenticación
WebUI o CLI
2, 3. ScreenOS envía una petición de inicio de sesión a
través de HTTP o Telnet al origen. 6. Después de autenticar con éxito a un usuario con
permisos de administrador, el dispositivo abre
una sesión de WebUI o de CLI.
Usuario Auth/IKE
Usuario Auth/IKE/XAuth
Usuario Auth/L2TP
Usuario IKE/XAuth
Usuario Auth/IKE/L2TP
Usuario L2TP/XAuth
Usuarios IKE/L2TP
Usuario IKE/L2TP/XAuth
Usuario Auth/XAuth
Usuario Auth/IKE/L2TP/XAuth