Validação baseada em certificados usando autenticação EAP-TLS
RESUMO Nesta configuração, você usa o nome de usuário e a senha para autenticação externa do usuário (pelo servidor RADIUS) e usa o método de autenticação EAP-TLS para validar os certificados de usuário.
Assumimos que você tenha concluído a configuração básica de seus firewalls da Série SRX, incluindo interfaces, zonas e políticas de segurança, conforme ilustrado no cenário de implantação do Juniper Secure Connect.
Para obter informações sobre pré-requisitos, consulte Requisitos do sistema.
Certifique-se de ter uma infraestrutura de chave pública (PKI) configurada como a autenticação de back-end. Neste caso, você precisa instalar o certificado raiz do CA em cada cliente, bem como um certificado específico do usuário em cada dispositivo cliente. Observe que a autenticação local não é suportada neste cenário.
Você deve garantir que o firewall da Série SRX use um certificado assinado ou um certificado auto-assinado em vez do certificado padrão gerado pelo sistema. Antes de começar a configurar o Juniper Secure Connect, é importante que você leia as instruções em pré-requisitos para a implantação do Juniper Secure Connect.
Configure as configurações do Juniper Secure Connect VPN
Para configurar configurações de VPN usando a interface J-Web:
- Faça login no seu firewall da Série SRX usando a interface J-Web. A Figura 1 mostra a página de login J-Web.
Figura 1: Acesso e login J-Web
Após fazer login com sucesso, você pousa na página De Configurações Básicas. A Figura 2 mostra um exemplo da página de destino.
Figura 2: Página de pouso J-Web - No painel do lado J-Web, navegue até a VPN > de rede > VPN IPsec.
-
Depois de clicar em VPN IPsec, a página de VPN IPsec aparece. A Figura 3 mostra um exemplo da página vpn IPsec.
Figura 3: Página VPN IPsec -
No canto direito da página, selecione Criar VPN > acesso remoto > Juniper Secure Connect para criar a configuração de VPN IPsec para o Juniper Secure Connect.
A mensagem de aviso a seguir aparece:
Figura 4: Mensagem de aviso para gerar e vincular certificado autoassinadoComo mencionado na mensagem de aviso, crie um certificado autoassinado e vincule o certificado ao firewall da Série SRX. Para obter mais informações, veja Preparando a configuração do Juniper Secure Connect.
Para obter informações detalhadas sobre a criação de uma VPN de acesso remoto, consulte Crie uma VPN de acesso remoto — Juniper Secure Connect.
-
Navegue novamente até a VPN > rede > VPN IPsec e, no canto direito da página, selecione Criar VPN > acesso remoto > Juniper Secure Connect para criar a configuração de VPN IPsec para o Juniper Secure Connect. A página Criar acesso remoto (Juniper Secure Connect) é exibida. A Figura 5 mostra um exemplo para criar VPN de acesso remoto.
Figura 5: Crie VPN — Acesso remotoA Figura 6 mostra um exemplo da página Criar acesso remoto com método de autenticação baseado em certificados.
Figura 6: Crie uma página de acesso remoto para método de autenticação baseado em certificados
-
- Na página Criar acesso remoto (Juniper Secure Connect) (ver Figura 7):
Insira o nome da conexão de acesso remoto (este é, o nome que será exibido no nome do reino dos usuários finais no aplicativo Juniper Secure Connect) e uma descrição.
O modo de roteamento é definido para Seletor de tráfego (Inserção de rota automática) por padrão.
Selecione o método de autenticação. Para este exemplo, vamos selecionar certificados com base na lista de quedas.
Selecione Sim para criar a política de firewall automaticamente usando a opção De política de firewall de criação automática.
Figura 7: Método de autenticação baseado em certificados - Clique no ícone do usuário remoto para configurar as configurações do aplicativo Juniper Secure Connect.
Figura 8: Página do usuário remoto
A Figura 8 mostra um exemplo da página do Usuário Remoto.
Configure o cliente do usuário remoto selecionando as opções na página do usuário remoto e, em seguida, clicando em OK :
A Tabela 1 resume as opções de configurações remotas do usuário.
Tabela 1: Opções de configurações remotas do cliente do usuário Configurações remotas do cliente do usuário
Descrição
Perfil padrão
O perfil padrão é habilitado por padrão. Se você não quiser que esse perfil seja o perfil padrão, clique no botão de alternar.
Se você habilitar o perfil padrão para o perfil de conexão vpn, o Juniper Secure Connect seleciona automaticamente o perfil padrão como nome de reino (neste exemplo: https://12.12.12.12/). Neste caso, é opcional inserir o nome realm no Juniper Secure Connect.
Se você desativar o perfil padrão do perfil de conexão vpn, você deve inserir o nome do reino junto com o endereço de gateway (neste exemplo: https://12.12.12.12/JUNIPER_SECURE_CONNECT) no Juniper Secure Connect.
Nota:A partir da versão Junos OS 23.1R1, o perfil padrão é preterido na J-Web. No entanto, na CLI — em vez de removê-la imediatamente — fornecemos compatibilidade retrógrada e uma chance de fazer com que sua configuração existente esteja em conformidade com a configuração alterada. Você receberá uma mensagem de aviso se continuar a usar a opção de perfil padrão em sua configuração. No entanto, as implantações existentes não serão afetadas se você modificar a configuração atual usando CLI. Veja o perfil padrão (Juniper Secure
Modo de conexão
Para estabelecer a conexão do cliente manualmente ou automaticamente, selecione a opção apropriada.
Se você selecionar o Manual e depois no aplicativo Juniper Secure Connect para estabelecer uma conexão, clique no botão de alternar ou selecione Conexão > Conecte no menu.
Se você selecionar Sempre, o Juniper Secure Connect estabelece automaticamente a conexão.
Limitação conhecida:
Dispositivo Android: se você usar ou selecionar Sempre, então a configuração é baixada do primeiro dispositivo SRX usado. Se a primeira configuração de firewall da Série SRX mudar ou se você se conectar a um novo dispositivo SRX, a configuração não será baixada para o aplicativo Juniper Secure Connect.
Isso significa que uma vez que você se conecta no modo Always usando o dispositivo Android, qualquer mudança de configuração no firewall da Série SRX não surtiu efeito no Juniper Secure Connect.
SSL VPN
Para permitir o suporte à conexão SSL VPN do aplicativo Juniper Secure Connect aos firewalls da Série SRX, clique no botão de alternar. Ao habilitar a VPN SSL, o cliente tem a flexibilidade de conectar os firewalls da Série SRX. Por padrão, a VPN SSL está habilitada.
Autenticação biométrica
Essa opção é desabilitada por padrão. Se você habilitar essa opção, ao clicar em conectar-se no Juniper Secure Connect, o Juniper Secure Connect exibe um prompt de autenticação.
Essa opção permite que o usuário proteja suas credenciais usando o suporte de autenticação biométrica integrado do sistema operacional.
Detecção de peer morto
A detecção de peer morto (DPD) é habilitada por padrão para permitir que o cliente detecte se o firewall da Série SRX não for acessível, desativar a conexão até que a acessibilidade seja restaurada.
Certificados
Essa opção é habilitada por padrão para configurar opções de certificado.
Aviso de expiração — essa opção é habilitada por padrão. Quando habilitado, você recebe aviso de expiração de certificado no cliente Secure Connect quando o certificado está prestes a expirar.
Intervalo de aviso — Digite o intervalo em que o aviso é exibido em dias
Pin Req Por Conexão — Essa opção é habilitada por padrão. Quando habilitado, você deve inserir o pino de certificado para cada conexão.
EAP-TLS
O EAP-TLS é habilitado por padrão.
Logotipo do Windows
Essa opção permite que os usuários façam o logotipo do sistema Windows local por meio de um túnel VPN já estabelecido (usando o Windows Pre-Logon), para que ele seja autenticado para o domínio central do Windows ou Active Directory.
- Clique no gateway local para configurar as configurações do gateway local.
A Figura 9 mostra um exemplo das configurações de configuração de gateway local.
Figura 9: Configuração de gateway localSe você habilitar o Gateway estiver por trás do NAT, uma caixa de texto será exibida. Na caixa de texto, digite o endereço IP NAT. Oferecemos suporte apenas a endereços IPv4. O endereço NAT é o endereço externo.
-
Insira uma ID IKE no formato user@hostname.com . Por exemplo, abc@xyz.com.
-
No campo interface externa , selecione o endereço IP para os clientes se conectarem. Você deve inserir este mesmo endereço IP (neste exemplo: https://12.12.12.12/) para o campo de Endereço gateway no aplicativo Juniper Secure Connect.
Se você habilitar o Gateway por trás do NAT, o endereço IP NAT se tornará o endereço de gateway.
Na lista de quedas da Interface de Túnel , selecione uma interface para vinculá-la à VPN baseada em rota. Alternativamente, clique em Adicionar. Se você clicar em Adicionar, a página Criar interface de túnel aparecerá.
A Figura 10 mostra um exemplo da página Criar interface de túnel.
Figura 10: Crie uma página de interface de túnelO próximo número de interface lógica ST0 disponível é exibido no campo da Unidade de Interface e você pode inserir uma descrição para esta interface. Selecione a zona para adicionar essa interface de túnel. Se a política de firewall de criação automática (em Criar página de acesso remoto) for definida como Sim, a política de firewall usa essa zona. Clique em OK.
No campo de certificados locais , selecione um de seus certificados locais já assinados externamente. Clique em Adicionar para adicionar um novo certificado local ou clique em Importar para importar o certificado local.
A Figura 11 mostra apenas um exemplo de configuração.
Figura 11: Gerar página de certificado para certificado localPara o certificado ca, no campo CA/Grupo confiável , selecione um dos seus certificados de CA já assinados externamente, incluindo o CA/Grupo confiável correspondente. Se você não tiver nenhum desses, clique em Adicionar perfil de CA e preencha os valores compatíveis com o seu ambiente. A Figura 12 mostra um exemplo de Adicionar página de perfil de CA.
Figura 12: ADICIONAR página DE PERFIL DO CANo menu suspenso da autenticação do usuário , você pode selecionar o perfil de acesso existente ou clicar em Adicionar para criar um novo perfil de acesso. Se você clicar em Adicionar, a janela criar o perfil de acesso aparece.
A Figura 13 mostra um exemplo da página Criar perfil de acesso.
Figura 13: Crie uma página de perfil de acessoDigite o nome do perfil de acesso. Na lista de retirada de atribuição de endereços , selecione um pool de endereços ou clique em Criar grupo de endereços. Se você clicar em Criar grupo de endereços, a página criar pool de endereços será exibida.
A Figura 14 mostra um exemplo da página de pool de endereços Criar.
Figura 14: Crie a página do grupo de endereçosDigite os detalhes do pool de IP local que está na política de VPN para os clientes. Digite um nome para o pool de endereços IP.
Digite o endereço de rede que você usa para a atribuição de endereços.
Insira seu endereço de servidor DNS. Insira os detalhes do servidor WINS, se necessário. Agora clique no ícone adicionar (+) para criar a faixa de endereços para atribuir endereços IP aos clientes.
Digite o nome e os limites mais baixos e superiores. Depois de inserir os detalhes, clique em OK.
Selecione a caixa de verificação RADIUS , onde todos os detalhes de autenticação são armazenados em um servidor de raio externo.
Clique no ícone adicionar (+) para configurar os detalhes do servidor de raio. Veja a Figura 15.
Figura 15: Crie a página do servidor RADIUSDigite o endereço IP do Radius Server, o Radius Secret e o endereço fonte para que as comunicações de raio sejam originadas. Clique em OK.
Na Ordem de Autenticação, da lista de quedas da Ordem 1 selecione RADIUS. Clique em OK para concluir a configuração do perfil de acesso.
A Figura 16 mostra um exemplo da página Criar perfil de acesso.
Figura 16: Criar página de perfil de acesso
-
Na lista de quedas do perfil de VPN SSL , selecione um perfil existente ou clique em Adicionar para criar um novo perfil de VPN SSL. Se você clicar em Adicionar, a página de perfil de VPN Add SSL aparece.
A Figura 17 mostra um exemplo da página de perfil de VPN Add SSL.
Figura 17: Adicionar página de perfil de VPN SSLNa página de perfil de VPN SSL Add , você pode configurar o perfil de VPN SSL. Insira o nome do perfil de VPN SSL no campo Name e habilite o registro usando o alternância, se necessário. No campo de perfil de rescisão de SSL , selecione o perfil de rescisão de SSL da lista de quedas. A rescisão de SSL é um processo em que os firewalls da Série SRX atuam como um servidor proxy SSL, e encerra a sessão de SSL do cliente. Se você quiser criar um novo perfil de rescisão de SSL, clique em Adicionar. A página de perfil de rescisão do Create SSL aparece.
A Figura 18 mostra um exemplo da página de perfil de rescisão do SSL.
Figura 18: Crie a página de perfil de terminação SSL-
Digite o nome do perfil de terminação SSL e selecione o certificado de servidor que você usa para a rescisão de SSL nos firewalls da Série SRX. Clique em Adicionar para adicionar um novo certificado de servidor ou clique em Importar para importar o certificado do servidor. O certificado do servidor é um identificador de certificado local. Os certificados de servidor são usados para autenticar a identidade de um servidor.
-
Clique em OK.
-
-
A opção de tráfego NAT de origem é habilitada por padrão. Quando o tráfego NAT de origem é habilitado, todo o tráfego do aplicativo Juniper Secure Connect é NATed para a interface selecionada por padrão. Clique no botão de alternar para desativar a opção de tráfego NAT de origem. Se a opção estiver desabilitada, você deve garantir que tenha uma rota da sua rede apontando para os firewalls da Série SRX para lidar corretamente com o tráfego de devolução.
Em Redes protegidas, clique no ícone adicionar (+) para selecionar as redes às quais o aplicativo Juniper Secure Connect pode se conectar.
A Figura 19 mostra um exemplo da página Criar redes protegidas.
Figura 19: Criar página de redes protegidasPor padrão, qualquer rede 0.0.0.0/0 é permitida. Se você configurar uma rede específica, o tunelamento dividido para o aplicativo Juniper Secure Connect será habilitado. Se você reter o valor padrão, você pode restringir o acesso às suas redes definidas ajustando a política de firewall da rede do cliente. Clique em OK e as redes selecionadas estão agora na lista de redes protegidas. Clique em OK para concluir a configuração local do gateway.
A Figura 20 mostra um exemplo de conclusão bem-sucedida da configuração de acesso remoto com usuário remoto e gateway local.
Figura 20: Configuração completa de acesso remotoConfigurações de IKE e configurações de IPsec são opções avançadas. A J-Web já está configurada com valores padrão para os parâmetros IKE e IPsec. Não é obrigatório configurar essas configurações.
- Agora você pode encontrar a URL para os usuários remotos se conectarem. Copie e armazene esta URL para compartilhar com seus usuários remotos. Você só precisa das informações /xxxx se essa configuração não for o seu perfil padrão.
A Figura 21 destaca a URL que o usuário remoto deve entrar no campo de endereços Gateway no aplicativo Juniper Secure Connect para estabelecer conexão de acesso remoto.
Figura 21: Confirmar configuração de acesso remotoClique em Salvar para concluir a configuração de VPN Juniper Secure Connect e a política associada se você tiver selecionado a opção de criação de políticas automáticas.
Clique no botão Commit destacado (no canto superior direito da página ao lado do Botão de Feedback) para confirmar a configuração.
Baixe e instale o aplicativo Juniper Secure Connect na máquina do cliente. Lance o Juniper Secure Connect e conecte-se ao endereço de gateway do firewall da Série SRX. Você também deve colocar o certificado de CA raiz e o certificado de usuário no local apropriado do diretório para a respectiva plataforma onde você instalou o aplicativo Juniper Secure Connect. Consulte o Guia do usuário do Juniper Secure Connect para obter mais detalhes.