Configure a conformidade com o prelogon (procedimento CLI)
Leia este tópico para saber sobre verificações de conformidade pré-lognas e como configurá-las no Juniper Secure Connect.
O que é a conformidade com o Prelogon
O aplicativo Juniper Secure Connect troca detalhes com o firewall da Série SRX para realizar verificações de conformidade pré-logon. O administrador configura as regras de conformidade pré-logon no firewall da Série SRX para validar o status de um dispositivo cliente conectado. Essas verificações de conformidade pré-logon referem-se a validações que são realizadas antes da autenticação. Com base nos diferentes critérios de correspondência, medidas são tomadas para admitir ou rejeitar um dispositivo cliente conectado.
Esse recurso garante que o aplicativo Juniper Secure Connect atenda aos critérios de conexão com o firewall da Série SRX, fornecendo assim medidas de segurança aprimoradas definidas pelo administrador.
O objetivo das políticas de conformidade prévias é validar o contexto atual do endpoint com base nos critérios de conformidade definidos por sua organização. Você autoriza o acesso com base nessas políticas de conformidade. O dispositivo realiza a verificação de conformidade pré-logon usando políticas de conformidade pré-logon antes da autenticação do usuário.
Como administrador, você configura um conjunto de regras em seu firewall da Série SRX para permitir ou rejeitar um endpoint antes de estabelecer uma conexão VPN de acesso remoto. Aqui, o endpoint refere-se ao cliente ou ao host no qual o aplicativo Secure Connect está instalado. Você cria regras baseadas em plataformas de clientes compatíveis como Windows, macOS, Android e iOS. Você pode usar vários outros critérios de correspondência, como ID do dispositivo, nome de host, nome de domínio ms e nome do grupo ms-workgroup para os critérios de correspondência.
O firewall da Série SRX processa essas regras com base em determinados critérios de avaliação. Consulte os critérios de avaliação de conformidade (Juniper Secure Connect) para obter mais detalhes sobre os critérios de avaliação. Para obter mais detalhes sobre o nome da regra de conformidade, nome de regra de termo, critérios de correspondência e ação, consulte conformidade (Juniper Secure Connect).
Como configurar as regras de conformidade do prelogon
Consideremos as seguintes regras mencionadas na Tabela 1 para esta tarefa de configuração -
| Nome do termo de | regra de conformidade | Critérios de correspondência (Valores) |
Ação |
|---|---|---|---|
| Dócil | SecureConnect | plataforma
|
rejeitar |
| Descomissionado | dispositivo
|
rejeitar | |
| BYOD | dispositivo
|
aceitar | |
| CorpDevices |
|
aceitar |
Para configurar regras de conformidade de pré-lista usando a interface de linha de comando:
-
Faça login no seu firewall da Série SRX usando a interface de linha de comando (CLI).
-
Configure a VPN de acesso remoto no modo de configuração completa do túnel. Veja um dos seguintes procedimentos com base no método de autenticação usado -
-
Consulte as regras de conformidade pré-lognas conforme mostrado na Tabela 1 para configurar as regras em seu firewall da Série SRX.
-
Configure a política Compliant de conformidade pré-logon no
[edit security remote-access]nível hierárquico --
Com a regra SecureConnect do termo e seus critérios de correspondência e ação -
[edit security remote-access] user@host# set compliance pre-logon Compliant term SecureConnect match platform windows app-version less-than 23.4.13.14.29669 user@host# set compliance pre-logon Compliant term SecureConnect match platform macos app-version less-than 23.3.4.70.29996 user@host# set compliance pre-logon Compliant term SecureConnect action reject
Nesta regra de termo, para a versão específica do aplicativo Juniper Secure Connect para endpoints Windows e macOS, a conexão será recusada. Para conhecer sua versão de aplicativo, consulte o Guia do usuário do Juniper Secure Connect para o endpoint específico com base no sistema operacional suportado.
-
Com a regra OS do termo e seus critérios de correspondência e ação -
[edit security remote-access] user@host# set compliance pre-logon Compliant term OS match platform windows os-version less-than 10.21H2.19044.2604 user@host# set compliance pre-logon Compliant term OS match platform macos os-version less-than 12.5.1 user@host# set compliance pre-logon Compliant term OS action reject
Nesta regra de termo, para as versões de sistema operacional especificadas para endpoints Windows e macOS, a conexão será recusada.
-
Com a regra Decommissioned do termo e seus critérios de correspondência e ação -
[edit security remote-access] user@host# set compliance pre-logon Compliant term Decommissioned match deviceid c8163be5d7077d35989e0b0e6b9271bfa53003e4251a24e588c10302c4972123 user@host# set compliance pre-logon Compliant term Decommissioned action reject
Nesta regra de termo, para a ID do dispositivo especificado, a conexão será recusada. Para obter a ID do dispositivo, consulte o guia de usuário Juniper Secure Connect
-
Com a regra BYOD do termo e seus critérios de correspondência e ação -
[edit security remote-access] user@host# set compliance pre-logon Compliant term BYOD match deviceid c8163be5d7077d35989e0b0e6b9271bfa5312fa2251a24e588c10302c4903kd2 user@host# set compliance pre-logon Compliant term BYOD action accept
Nesta regra de termo, para a ID do dispositivo especificado, a conexão será aceita. Para conhecer a ID do dispositivo, veja o guia do usuário Do Juniper Secure Connect
-
Com a regra CorpDevices do termo e seus critérios de correspondência e ação -
[edit security remote-access] user@host# set compliance pre-logon Compliant term CorpDevices match hostname device1 user@host# set compliance pre-logon Compliant term CorpDevices match hostname device2 user@host# set compliance pre-logon Compliant term CorpDevices match ms-domain example.net user@host# set compliance pre-logon Compliant term CorpDevices match deviceid c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e578c10302c4972aff user@host# set compliance pre-logon Compliant term CorpDevices match deviceid c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e588c10302c4972124 user@host# set compliance pre-logon Compliant term CorpDevices action accept
Nesta regra de termo, para os nomes de host especificados, nome ms-domain e ID do dispositivo, a conexão será aceita. Para conhecer a ID do dispositivo, veja o guia do usuário Do Juniper Secure Connect
-
-
Para quaisquer outros critérios que não sejam definidos nesta regra Compliantde conformidade, ou seja, quando nenhuma regra de prazo adicional é especificada para uma regra incomparável, a ação padrão é
reject. -
Assim que as regras de conformidade forem definidas para uma política de conformidade, anexe a política de conformidade ao perfil de acesso remoto, ra.example.com criado na etapa 2 -
[edit security remote-access profile ra.example.com] user@host# set compliance pre-logon SecureConnect
-
Quando terminar de configurar o recurso em seu dispositivo, insira o compromisso a partir do modo de configuração.
-
Com base no caso de uso, você pode criar várias políticas de conformidade como SecureConnect e anexar cada uma delas aos perfis de acesso remoto que você cria. Garanta que uma política de conformidade esteja associada a um perfil de acesso remoto.
Esses recursos garantem que o aplicativo Juniper Secure Connect atenda aos critérios de conexão com o firewall da Série SRX, fornecendo assim medidas de segurança aprimoradas definidas pelo administrador.