Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Preparando a Juniper Secure Connect de configuração

Este tópico inclui as seguintes seções:

Pré-requisitos para a implantação de Juniper Secure Connect

Antes de Juniper Secure Connect, você deve garantir que o dispositivo da Série SRX use um certificado assinado ou um certificado auto-assinado, em vez de um certificado gerado pelo sistema padrão.

Você pode gerar uma solicitação de certificado ou um certificado auto-assinado navegando até Device Administration > Certificate Management > Certificates na interface J-Web, como mostrado na Figura 1.

Abaixo estão os valores mínimos que você deve configurar. Garanta que esses valores se igualem à sua própria organização. Caso você inicie uma Solicitação de Assinatura de Certificado (CSR), o certificado deve ser assinado pelo seu CA antes de ser carregado no dispositivo da Série SRX.

Figura 1: Gere uma solicitação de certificado ou um certificado auto-assinado Generate a Certificate Request or a Self-signed Certificate

Depois de criar um certificado assinado ou carregar um certificado assinado, você deve vincular o certificado ao dispositivo da Série SRX navegando até a Administração de dispositivos > Configurações básicas de > serviços de sistema > HTTPS > e selecionar o nome apropriado.

Quando o certificado foi carregado no dispositivo da Série SRX, você pode validar o certificado visualizando as informações do certificado na barra do navegador. As etapas envolvidas na visualização das informações do certificado dependem da versão do navegador e do navegador. A Figura 2 mostra as informações de certificado configuradas no dispositivo da Série SRX.

Figura 2: Exibir informações do certificado View Certificate Information

A Figura 3 mostra todos os detalhes do certificado configurado no dispositivo da Série SRX.

Figura 3: Informações detalhadas do certificado Detailed Certificate Information

Você deve consultar as seguintes informações de certificado no navegador:

  • Verificar se o nome do sujeito alternativo combina com seu certificado gerado.

  • A digital digital/digital também é importante se você não exportar o certificado CA do dispositivo da série SRX para todos os clientes. Nesses casos, ele será exibido em uma mensagem de aviso.

Recomendamos que você exporte o certificado auto-assinado do dispositivo da Série SRX no formato .pem ou o certificado raiz CA do CA que assinou seu CSR para cada cliente. Você pode fazer isso manualmente ou distribuído usando um pacote de rollout do cliente para Windows e macOS. Consulte Crie pacotes de instalação para Juniper Secure Connect lançamento no Windows e crie pacotes de rollout para Juniper Secure Connect instalação no macOS.

A Tabela 1 lista o Juniper Secure Connect local do diretório de aplicativos para colocar o certificado exportado em diferentes plataformas:

Tabela 1: Localização de arquivo de exportação de certificado em Juniper Secure Connect directory

Plataforma

Localização do diretório

Windows

C:\ProgramData\Juniper\SecureConnect\cacerts\

Macos

/Library/Application Support/Juniper/SecureConnect/cacerts/

Android

/Juniper/Exportação

Ios

/Arquivos/Conexão segura/

Figura 4: Certificado de exportação auto-assinado Export Self-signed Certificate

Como Juniper Secure Connect funciona?

Antes de começarmos a Juniper Secure Connect configurando um dispositivo da série SRX, vamos entender em alto nível como funciona Juniper Secure Connect solução.

Diferentes estágios de estabelecer conectividade entre uma aplicação Juniper Secure Connect e um dispositivo da Série SRX.

  1. Um usuário remoto baixa Juniper Secure Connect aplicativo no dispositivo, como telefone inteligente ou laptop, ou seu distribuído pelo sistema de distribuição de software das organizações.

  2. Quando o usuário inicia uma conexão, o aplicativo valida se o certificado de gateway é válido.

    Nota:

    Se o dispositivo da Série SRX tiver um certificado gerado pelo sistema habilitado, o usuário não pode estabelecer qualquer conexão com o aplicativo.

    Caso o gateway use um certificado onde o certificado raiz não tenha sido distribuído ao aplicativo ( Crie pacotes de instalação paraJuniper Secure Connect implantação no Windows e crie pacotes de rollout para instalação em Juniper Secure Connect),o usuário será solicitado por uma mensagem de aviso mostrada na Figura 5,Figura 6,Figura 7e Figura 8 com base na plataforma onde a aplicação Juniper Secure Connect está instalada.

    A Figura 5 é uma mensagem de aviso amostral na plataforma do Windows se a aplicação não tiver um certificado raiz.

    Figura 5: Mensagem de aviso do certificado de amostra na Plataforma do Windows Sample Certificate Warning Message on Windows Platform

    A Figura 6 é uma mensagem de aviso amostral na plataforma macOS caso a aplicação não tenha um certificado raiz.

    Figura 6: Mensagem de aviso do certificado de amostra na plataforma macOS Sample Certificate Warning Message on macOS Platform

    A Figura 7 é uma mensagem de aviso amostral na plataforma Android caso a aplicação não tenha um certificado raiz.

    Figura 7: Mensagem de aviso do certificado de amostra na plataforma Android Sample Certificate Warning Message on Android Platform

    A Figura 8 é uma mensagem de aviso amostral na plataforma do iOS caso a aplicação não tenha um certificado raiz.

    Figura 8: Mensagem de aviso do certificado de amostra na plataforma do iOS Sample Certificate Warning Message on iOS Platform

    A aparência da página da mensagem de aviso difere com base na plataforma onde Juniper Secure Connect aplicativo está instalado.

    Os detalhes da mensagem de aviso são baseados no certificado configurado na Juniper Secure Connect. A Tabela 2 mostra os detalhes na mensagem de aviso da amostra.

    Tabela 2: Informações de certificado

    Informações de certificado

    Descrição

    Emissor

    Nome do emissor de certificado.

    CN

    O nome comum (CN) representa o nome do sujeito no certificado.

    SAN

    Nome alternativo de assunto (SAN) representa o nome alternativo do assunto no certificado.

    Impressão digital

    Representa a seção de digital e digital do certificado.

    Você, como administrador do sistema, deve informar aos seus usuários quais ações devem ser tomadas quando uma mensagem de aviso for exibida. A maneira mais fácil de validar seu certificado como administrador é clicar na mensagem de aviso na barra de ferramentas do navegador para exibir os detalhes do certificado como mostrado na Figura 2 e na Figura 3 ou carregar o certificado raiz correto no cliente.

    A mensagem de aviso abaixo é exibida se a aplicação não conseguir chegar à CRL (Lista de revogação de certificados) do certificado assinado carregado no dispositivo da Série SRX.

    Aviso:

    Quando você usa um certificado assinado e se o aplicativo Juniper Secure Connect não conseguir chegar à Lista de Revocação de Certificados (CRL) para validar o certificado de gateway, o aplicativo solicita aos usuários a mensagem de aviso (conforme mostrado na Figura 9,Figura 10, Figura 11e Figura 12) sempre que se conectarem até o CRL estar acessível. Juniper Networks recomenda fortemente que você ou seu usuário reporte essa mensagem de erro à sua organização de TI para resolver a falha no download do CRL.

    Figura 9: mensagem de aviso quando a aplicação não pode validar o Gateway Certificate (Windows) Warning Message when Application Cannot Validate Gateway Certificate (Windows)
    Figura 10: mensagem de aviso quando o aplicativo não consegue validar o Gateway Certificate (macOS) Warning Message when Application Cannot Validate Gateway Certificate (macOS)
    Figura 11: Mensagem de aviso quando a aplicação não pode validar o Certificado de Gateway (Android) Warning Message when Application Cannot Validate Gateway Certificate (Android)
    Figura 12: Mensagem de aviso quando a aplicação não pode validar o Gateway Certificate (iOS) Warning Message when Application Cannot Validate Gateway Certificate (iOS)
  3. O dispositivo SRX autentica o usuário com base em credenciais (nome do usuário, senha e domínio) ou certificados.

  4. Após uma autenticação bem-sucedida, o cliente baixa e instala a política de configuração mais recente definida no dispositivo da Série SRX. Esta etapa garante que o cliente sempre use a política de configuração mais recente definida pelo administrador

  5. O cliente estabelece uma conexão VPN segura com base no perfil de configuração baixada.

Agora que sabemos como Juniper Secure Connect funciona, vamos entender mais sobre os diferentes métodos de autenticação disponíveis.

Métodos de autenticação

Existem duas maneiras de autenticar usuários que estabelecem conectividade segura com o juniper Secure Connect, autenticação local ou externa, cada uma dessas duas maneiras tem certas restrições descritas abaixo.

  • Autenticação local — Na autenticação local, o dispositivo da Série SRX valida as credenciais do usuário conferindo-as no banco de dados local. Nesse método, o administrador lida com a mudança da senha ou a reinicialização da senha esquecida. Aqui, ele requer que um usuário lembre de uma nova senha. Essa opção não é muito preferida do ponto de vista da segurança.

  • Autenticação externa — Na autenticação externa, você pode permitir que os usuários usem as mesmas credenciais de usuário que usam ao acessar outros recursos na rede. Em muitos casos, as credenciais do usuário são logon de domínio usadas no Active Directory ou em qualquer outro sistema de autorização LDAP. Esse método simplifica a experiência do usuário e melhora a postura de segurança da organização; porque você pode manter o sistema de autorização com a política de segurança regular usada pela sua organização.

    Autenticação de vários fatores — para adicionar uma camada de proteção extra, você também pode habilitar a autenticação de vários fatores (MFA). Nesse método, um proxy RADIUS é usado para enviar uma mensagem de notificação para um dispositivo como o telefone inteligente dos usuários. Os usuários devem aceitar a mensagem de notificação para concluir a conexão.

A Tabela 3 compara diferentes métodos de autenticação na Juniper Secure Connect.

Tabela 3: tipos Juniper Secure Connect autenticação

Métodos de autenticação

Autenticação local

Autenticação externa

Detalhes

Como funciona?

O banco de dados local mantém as contas de usuários e grupos de usuários e usa senha configurada para autenticar os usuários

O RADIUS externo gerencia todas as contas de usuário e realiza serviço de autenticação.

O dispositivo da Série SRX valida as credenciais do usuário conferindo-as no banco de dados local (autenticação local)

O servidor Radius externo realiza serviço de autenticação (autenticação externa).

Nome de usuário e senha

Sim

Sim

Os usuários devem fornecer nome de usuário e senha ao iniciar uma nova conexão.

EAP-MSCHAPv2 (nome de usuário e senha)

Não

Sim

Cada dispositivo cliente deve ser capaz de validar o certificado usado pelo dispositivo da Série SRX.

A validação do certificado acontece antes que o usuário possa fazer login usando credenciais (nome de usuário/senha).

EAP-TLS

Não

Sim

Cada dispositivo cliente deve ser capaz de validar o certificado usado pelo dispositivo da Série SRX.

Antes que a autenticação do cliente EAP-TLS possa ocorrer, o requisito é que cada usuário tenha certificados gerenciados pela Autoridade de Certificado confiável.

Agora, temos uma ideia dos métodos de autenticação que Juniper Secure Connect compatíveis. Agora é hora de entrar na J-Web e nos familiarizar com as opções de configuração e os vários campos disponíveis na GUI.

Familiarizar-se com Juniper Secure Connect assistente na J-Web

A solução Secure Connect VPN permite criar um túnel de VPN de acesso remoto entre um usuário remoto e a rede interna em algumas etapas com um assistente vpn intuitivo e fácil de usar no J-Web.

Depois de navegar até VPN > IPsec VPN e selecionar Criar VPN > Remote Access > Juniper Secure Connect, apágina Criar acesso remoto (Juniper Secure Connect) aparece como mostrado na Figura 13.

Figura 13: J-Web Wizard para configurar Juniper Secure Connect J-Web Wizard for Configuring Juniper Secure Connect

O assistente de configuração de VPN permite Juniper Secure Connect configuração em apenas algumas etapas, como mostrado na Tabela 4.

Tabela 4: campos Juniper Secure Connect de assistente de configuração

Opções

O que você configura aqui

Nome

Nome da conexão de acesso remoto. Esse nome será exibido no aplicativo Juniper Secure Connect no dispositivo do cliente remoto quando você não selecionar um perfil padrão.

Exemplo:

Quando o perfil padrão não foi usado: https://< srx-series-device-ip-address >/< remote access connection name >)

Quando o perfil padrão é usado: https://< srx-series-device-ip-address >/).

Descrição

Descrição da conexão de acesso remoto.

Modo de roteamento

O modo de roteamento é definido como seletor de tráfego (inserção automática da rota) por padrão. Você não pode alterar essa opção.

Método de autenticação

Pré-compartilhado: esse método de autenticação é simples e fácil de usar, mas é menos seguro do que os certificados. Se você selecionar a opção pré-compartilhada, poderá usar:

  • Autenticação com nome de usuário/senha usando autenticação local

  • Autenticação com nome de usuário/senha usando autenticação externa

Baseado em certificado: esse método de autenticação usando EAP (Extensible Authentication Protocol, Protocolo de Autenticação Extensível). Se você selecionar a opção baseada em certificado, poderá usar:

  • Autenticação com nome de usuário/senha usando EAP-MSCHAPv2

  • Autenticação com certificado de cliente usando EAP-TLS.

Política de firewall de criação automática

Opção para criar uma política de firewall automaticamente.

Usuário remoto

  • Juniper Secure Connect de aplicativos.

  • As configurações aqui especificadas geram um arquivo de configuração.

  • Facilita a configuração automática para Juniper Secure Connect clientes remotos quando um usuário Juniper Secure Connect aplicativo faz o download desse arquivo automaticamente ao se conectar ao dispositivo da Série SRX pela primeira vez.

Local Gateway

  • Configurações de dispositivo da Série SRX, como interfaces, opções de autenticação, interfaces de túnel, VPN SSL e NAT detalhes incluindo as seguintes opções:

  • Informações de rede para permitir que clientes remotos se conectem ao gateway.

  • Especifique como o gateway autentica os usuários.

IKE e IPSec

  • IKE e opções de IPSec no dispositivo da Série SRX para Juniper Secure Connect conexões remotas do cliente.

  • IKE configurações e configurações IPsec são opções avançadas. J-Web já está configurada com valores padrão para IKE e campos IPsec.

  • IKE configurações usadas na negociação da autenticação do dispositivo quando um Juniper Secure Connect inicia uma conexão com o dispositivo da Série SRX.

  • As configurações do IPsec especificam configurações de conexão e associações de segurança para reger autenticação, criptografia, encapsulamento e gerenciamento de chaves.

Agora você tem um entendimento sobre as opções de configuração. vamos começar com a configuração.

Com base no método de autenticação selecionado, consulte um desses tópicos: