PKI en Junos OS

Descripción general de las aplicaciones PKI

Junos OS utiliza claves públicas y privadas en las siguientes áreas:

• SSH/SCP (para administración segura basada en la interfaz de línea de comandos [CLI])

• Secure Sockets Layer (SSL) (para administración segura basada en web y para webauth basada en https para autenticación de usuarios)

• Intercambio de claves por Internet (IKE) (para túneles VPN IPsec)

Componentes para administrar PKI en Junos OS

Los siguientes componentes son necesarios para administrar PKI en Junos OS:

• Configuración de certificados de CA y entidades de certificación

• Certificados locales, incluida la identidad del dispositivo (ejemplo: Tipo y valor del ID de IKE) y claves privadas y públicas

• Validación de certificados a través de una lista de revocación de certificados (CRL)

Elementos básicos de PKI en Junos OS

Junos OS admite tres tipos específicos de objetos PKI:

• Par de claves privada/pública

• Certificados

  • Certificado local: el certificado local contiene la clave pública y la información de identidad del dispositivo de Juniper Networks. El dispositivo de Juniper Networks es el propietario de la clave privada asociada. Este certificado se genera a partir de una solicitud de certificado del dispositivo de Juniper Networks.

  • Certificado pendiente: un certificado pendiente contiene un par de claves e información de identidad que se genera en una solicitud de certificado PKCS10 y se envía manualmente a una autoridad de certificación (CA). Mientras el dispositivo de Juniper Networks espera el certificado de la CA, el objeto existente (par de claves y solicitud de certificado) se etiqueta como solicitud de certificado o certificado pendiente.

    Nota:

    Junos OS versión 9.0 y posteriores admiten el envío automático de solicitudes de certificado a través de SCEP.

  • Certificado de CA: cuando la CA emite el certificado y se carga en el dispositivo Junos OS, el certificado pendiente se sustituye por el certificado local recién generado. Todos los demás certificados cargados en el dispositivo se consideran certificados de CA.

• Listas de revocación de certificados (CRL)

Tenga en cuenta los siguientes puntos sobre los certificados:

• Los certificados locales se utilizan generalmente cuando un dispositivo Junos OS tiene VPN en más de un dominio administrativo.

• Todos los objetos PKI se almacenan en una partición independiente de memoria persistente, aparte de la imagen de Junos OS y la configuración general del sistema.

• Cada objeto PKI tiene un nombre único o un ID de certificado que se le proporciona cuando se crea y mantiene ese ID hasta su eliminación. Puede ver el identificador de certificado mediante el comando.show security pki local-certificate

• En la mayoría de las circunstancias, un certificado no se puede copiar desde un dispositivo. La clave privada de un dispositivo debe generarse solo en ese dispositivo y nunca debe verse ni guardarse desde ese dispositivo. Por lo tanto, los archivos PKCS12 (que contienen un certificado con la clave pública y la clave privada asociada) no son compatibles con dispositivos Junos OS.

• Los certificados de CA validan los certificados recibidos por el par IKE. Si el certificado es válido, se comprueba en la CRL para ver si el certificado se ha revocado.

  Cada certificado de CA incluye una configuración de perfil de CA que almacena la siguiente información:

  • Identidad de CA, que suele ser el nombre de dominio de la CA

  • Dirección de correo electrónico para enviar las solicitudes de certificado directamente a la CA

  • Configuración de revocación:

    • Opción de habilitar/deshabilitar la opción de verificación de revocación

    • Desactivación de la comprobación de revocación en caso de fallo de descarga de CRL.

    • Ubicación del punto de distribución de CRL (CDP) (para configuración manual de URL)

    • Intervalo de actualización de CRL

Gestión e implementación de PKI

Los elementos PKI mínimos necesarios para la autenticación basada en certificados en Junos OS son:

• Configuración de certificados de CA y autoridad.

• Certificados locales que incluyen la identidad del dispositivo (ejemplo: Tipo y valor del ID de IKE) y claves privadas y públicas

• Validación de certificados a través de una CRL.

Junos OS admite tres tipos diferentes de objetos PKI:

Intercambio de claves por red

El procedimiento para firmar digitalmente mensajes enviados entre dos participantes en una sesión de intercambio de claves por Internet (IKE) es similar a la comprobación de certificados digitales, con las siguientes diferencias:

• En lugar de crear un resumen a partir del certificado de CA, el remitente lo hace a partir de los datos de la carga del paquete IP.

• En lugar de usar el par de claves pública-privada de la CA, los participantes usan el par de claves pública-privada del remitente.

Grupo de CA de confianza

Una autoridad de certificación (CA) es un tercero de confianza responsable de emitir y revocar certificados. Puede agrupar varias CA (perfiles de CA) en un grupo de CA de confianza para una topología determinada. Estos certificados se utilizan para establecer la conexión entre dos puntos de conexión. Para establecer IKE o IPsec, ambos extremos deben confiar en la misma CA. Si alguno de los extremos no puede validar el certificado con su CA de confianza (perfil de ca) o grupo de CA de confianza respectivos, la conexión no se establece.

Por ejemplo, hay dos extremos, el punto de conexión A y el punto de conexión B están intentando establecer una conexión segura. Cuando el punto de conexión B presenta su certificado al punto de conexión A, el punto de conexión A verificará si el certificado es válido. La CA del extremo A comprueba el certificado firmado que el extremo B está usando para obtener la autorización. Cuando o se configura, el dispositivo solo utilizará los perfiles de CA agregados en este o el perfil de CA configurado para validar el certificado procedente del punto de conexión B. Si se comprueba que el certificado es válido, se permite la conexión y, de lo contrario, se rechaza la conexión.trusted-catrusted-ca-grouptrusted-ca-grouptrusted-ca

Ventajas:

• Para cualquier solicitud de conexión entrante, solo se valida el certificado emitido por esa CA de confianza concreta de ese extremo. De lo contrario, la autorización rechazará el establecimiento de la conexión.

Información general sobre el manejo de claves criptográficas

Con el manejo de claves criptográficas, las claves persistentes se almacenan en la memoria del dispositivo sin ningún intento de alterarlas. Si bien el dispositivo de memoria interna no es directamente accesible para un adversario potencial, aquellos que requieren una segunda capa de defensa pueden permitir un manejo especial para las claves criptográficas. Cuando está habilitado, el control de claves criptográficas cifra las claves cuando no están inmediatamente en uso, realiza la detección de errores al copiar una clave de una ubicación de memoria a otra y sobrescribe la ubicación de memoria de una clave con un patrón de bits aleatorio cuando la clave ya no está en uso. Las claves también están protegidas cuando se almacenan en la memoria flash del dispositivo. La habilitación de la característica de control de claves criptográficas no provoca ningún cambio observable externamente en el comportamiento del dispositivo y el dispositivo continúa interoperando con los demás dispositivos.

Un administrador criptográfico puede habilitar y deshabilitar las funciones de autocomprobación criptográfica; Sin embargo, el administrador de seguridad puede modificar el comportamiento de las funciones de autocomprobación criptográfica, como configurar autopruebas periódicas o seleccionar un subconjunto de autopruebas criptográficas.

Las siguientes claves persistentes están actualmente bajo la administración de IKE y PKI:

• Claves previamente compartidas IKE (IKE PSK)

• Claves privadas PKI

• Claves VPN manuales