SUR CETTE PAGE
Compréhension des communications entre le Junos OS Enforcer et l’équipement UAC IC Series
Compréhension des communications entre Junos OS Enforcer et un cluster d’équipements UAC IC Series
Configuration des communications entre le Junos OS Enforcer et l’équipement UAC IC Series (CLI)
Exemple: Configuration de l’équipement en tant Junos OS Enforcer à l’aide d’IPsec (CLI)
Configurer la communication entre Junos OS Enforcer et l’équipement UAC IC Series
Dans un réseau UAC (Unified Access Control), un équipement de SRX Series est appelé Junos OS Enforcer lorsqu’il est déployé dans l’environnement UAC. L SRX Series de contrôle vérifie le certificat soumis par l’équipement IC Series. L’SRX Series et l’équipement IC Series effectuent une authentification mutuelle. Après l’authentification, l’équipement IC Series envoie des informations sur les stratégies d’accès des utilisateurs et des ressources au SRX Series pour qu’il agisse comme le Junos OS Enforcer.
Compréhension des communications entre le Junos OS Enforcer et l’équipement UAC IC Series
Lorsque vous configurez un SRX Series de connexion à un équipement UAC IC Series, l’équipement de SRX Series et l’équipement IC Series établissent des communications sécurisées comme suit:
Si plusieurs équipements IC Series sont configurés en tant que contrôleurs Infranet sur l’équipement SRX Series, un algorithme round-robin détermine lequel des équipements IC Series configurés est le contrôleur Infranet actif. D’autres sont des équipements deover. Si le contrôleur Infranet actif devient inopérable, l’algorithme est répliqué aux équipements IC Series restants qui sont configurés pour établir le nouveau contrôleur Infranet actif.
L’équipement IC Series actif présente son certificat de serveur à SRX Series périphérique mobile. Si la configuration le permet, l’SRX Series vérifie le certificat. (La vérification du certificat serveur n’est pas requise; par mesure de sécurité supplémentaire, vous pouvez vérifier le certificat afin d’implémenter une couche de confiance supplémentaire.)
L’SRX Series et l’équipement IC Series effectuent une authentification mutuelle à l’aide de l’authentification de réponse à problème propriétaire. Pour des raisons de sécurité, le mot de passe n’est pas inclus dans le message envoyé à l’équipement IC Series.
Après avoir authentifié l’équipement SRX Series, l’équipement IC Series envoie des informations d’authentification de l’utilisateur et des stratégies d’accès aux ressources. Le SRX Series utilise ces informations pour faire Junos OS Enforcer du réseau UAC.
Par la suite, l’équipement IC Series et Junos OS Enforcer peuvent communiquer librement entre eux par le réseau SSL. Les communications sont contrôlées par le protocole propriétaire Junos UAC Enforcer Protocol (JUEP).
Compréhension des communications entre Junos OS Enforcer et un cluster d’équipements UAC IC Series
Vous pouvez configurer une Junos OS Enforcer pour qu’elle fonctionne avec plusieurs équipements UAC IC Series dans une configuration haute disponibilité connue sous le nom de cluster d’équipements IC Series. Le Junos OS Enforcer communique avec un seul équipement IC Series à la fois ; les autres équipements IC Series sont utilisés pour leover. Si le Junos OS Enforcer ne peut pas se connecter au premier équipement IC Series que vous avez ajouté à un cluster, il tente de se connecter à nouveau à l’équipement IC Series qui a échoué. Ensuite, il échoue aux autres équipements IC Series du cluster. Il continue à essayer de se connecter aux équipements IC Series dans le cluster jusqu’à ce qu’une connexion se produise.
Lorsque Junos OS Enforcer ne peut établir de connexion à Infranet Enforcer, il conserve toutes les entrées de son tableau d’authentification existantes et les stratégies UAC (Unified Access Control) et prend les mesures de délai d’exécution que vous spécifiez. Les actions d’insé timeout sont les suivantes:
close— Fermez les sessions existantes et bloquez tout autre trafic. Il s’agit de l’option par défaut.no-change—Préserver les sessions existantes et exiger une authentification pour les nouvelles sessions.open— Préservez les sessions existantes et autorisez l’accès aux nouvelles sessions.
Une fois que Junos OS Enforcer peut rétablir une connexion à un équipement IC Series, l’équipement IC Series compare les entrées du tableau d’authentification et les stratégies UAC stockées sur le Junos OS Enforcer avec les entrées et stratégies du tableau d’authentification stockées sur l’équipement IC Series et rapprochement les deux selon les besoins.
Les équipements IC Series configurés sur un Junos OS Enforcer doivent tous être membres du même cluster d’équipements IC Series.
Configuration des communications entre le Junos OS Enforcer et l’équipement UAC IC Series (CLI)
Avant de commencer:
Activez UAC via les stratégies de Junos OS pertinentes. Voir Activer UAC dans un Junos OS sécurisé (CLI processus).
(Facultatif) Créez un profil pour les autorité de certification (AC) qui ont signé le certificat serveur de l’équipement IC Series et importez le certificat AC sur l’équipement SRX Series client. Voir l’exemple: Chargement AC et certificats locaux manuellement.
Configurez l’authentification et l’autorisation des utilisateurs en configurant les rôles utilisateur, les serveurs d’authentification et d’autorisation et les domaines d’authentification de l’équipement IC Series.
Configurez des stratégies d’accès aux ressources sur l’équipement IC Series pour spécifier les points de terminaison autorisés ou refusés d’accès aux ressources protégées.
Pour configurer un équipement SRX Series en tant que dispositif Junos OS Enforcer dans un déploiement UAC, et donc pour mettre en application les stratégies des équipements UAC IC Series, vous devez spécifier un équipement IC Series auquel l’équipement SRX Series doit se connecter.
Pour configurer un équipement SRX Series pour qu’il agisse comme un Junos OS Enforcer:
Indiquez l’équipement IC Series auquel le ou SRX Series doit se connecter.
Pour spécifier le nom d’hôte de l’équipement IC Series:
user@host# set services unified-access-control infranet-controller hostname
Pour spécifier l’adresse IP de l’équipement IC Series:
user@host# set services unified-access-control infranet-controller hostname address ip-address
Note:Lors de la configuration de l’accès à plusieurs équipements IC Series, vous devez définir chacun d’entre eux séparément. Par exemple:
user@host# set services unified-access-control infranet-controller IC1 user@host# set services unified-access-control infranet-controller IC2 user@host# set services unified-access-control infranet-controller IC3
user@host# set services unified-access-control infranet-controller IC1 address 10.10.10.1 user@host# set services unified-access-control infranet-controller IC2 address 10.10.10.2 user@host# set services unified-access-control infranet-controller IC3 address 10.10.10.3
Assurez-vous que tous les équipements IC Series sont membres du même cluster.
Note:Par défaut, l’équipement IC Series doit sélectionner le port 11123.
Indiquez l Junos OS interface à laquelle l’équipement IC Series doit se connecter:
user@host# set services unified-access-control infranet-controller hostname interface interface-name
Indiquez le mot de passe que le SRX Series utilisateur doit utiliser pour lancer des communications sécurisées avec l’équipement IC Series:
Note:Toute modification de l’intervalle de contact UAC (Unified Access Control) et des valeurs d’délai d’interruption de l’unité SRX Series ne sera effective qu’après la prochaine reconnectation de l’unité SRX Series à l’équipement IC Series.
user@host# set services unified-access-control infranet-controller hostname password password
(Facultatif) Indiquez les informations sur le certificat serveur de l’équipement IC Series dont l’équipement SRX Series doit vérifier le certificat.
Pour spécifier le certificat serveur objet que l’SRX Series contrôles de l’équipement:
user@host# set services unified-access-control infranet-controller hostname server-certificate-subject certificate-name
Pour spécifier le profil d AC associé au certificat:
user@host# set services unified-access-control infranet-controller hostname ca-profile ca-profile
Un certificat de serveur d’équipement IC Series peut être émis par un AC. Il existe deux types de CA: CA racine et CA intermédiaires. Un AC intermédiaire est secondaire à un AC racine et valide des certificats à d’autres CA de la hiérarchie de l’infrastructure clé publique (PKI). Par conséquent, si un certificat est émis par un AC intermédiaire, vous devez spécifier la liste complète des profils de AC dans la chaîne de certification.
Understanding Junos OS Enforcer Implementations Using IPsec
Pour configurer un équipement SRX Series de manière à ce qu’il agisse Junos OS Enforcer à l’aide d’IPsec, vous devez:
Inclure l’identité configurée sous la passerelle de sécurité IKE sécurité. L’identité d’une chaîne telle que « gateway1.mycompany.com », où gateway1.mycompany.com distingue entre IKE passerelles. (Les identités précisent l’objectif du trafic en tunnel.)
Inclure la prédentraciation. Cette clé pré-partagée est générée à partir de l’identité complète de l’utilisateur distant pour les informations d’identification de phase 1.
Inclure le RADIUS secret partagé. Cela permet à l’équipement UAC IC Series d’accepter RADIUS paquets pour une authentification étendue (XAuth) à partir du serveur Junos OS Infranet Enforcer.
Lors de la configuration du protocole IPsec entre l’équipement IC Series, le Odyssey Access Client et l’équipement SRX Series, vous devez noter que les méthodes de proposition ou configurations de protocole de phase 1 ou IKE suivantes sont prise en charge par l’équipement IC Series et le Odyssey Access Client:
IKE proposition:
authentication-method pre-shared-keys(vous devez préciserpre-shared-keys)IKE politique de sécurité:
mode aggressive(vous devez utiliser un mode agressif)pre-shared-key ascii-text key(seules les clés préprodées par texte ASCII sont prise en charge)
IKE passerelle: dynamique
hostname identity(vous devez spécifier une identité unique parmi les passerelles)ike-user-type group-ike-id(vous devez précisergroup-ike-id)xauth access-profile profile(vous devez préciserxauth)
Les méthodes de proposition IPsec (ou phase 2) ou les configurations de protocoles qui sont pris en charge de l’équipement IC Series au réseau Odyssey Access Client.
Proposition IPsec:
protocol esp(vous devez préciseresp)VPN IPsec:
establish-tunnels immediately(vous devez préciserestablish-tunnels immediately)
Un seul tunnel VPN IPsec est pris en charge par stratégie de sécurité d’une zone à l’autre. Il s’agit d’une limitation de l’équipement IC Series.
Junos OS stratégies de sécurité vous permettent de définir plusieurs stratégies différenciées par différentes adresses source, adresses de destination ou les deux. Toutefois, l’équipement IC Series ne peut différencier de telles configurations. Si vous activez plusieurs stratégies de cette manière, l’équipement IC Series pourrait identifier la passerelle de sécurité IKE incorrecte.
Exemple: Configuration de l’équipement en tant Junos OS Enforcer à l’aide d’IPsec (CLI)
Pour configurer un équipement SRX Series de manière à ce qu’il agisse Junos OS Enforcer à l’aide d’IPsec:
Définissez le système et les informations syslog à l’aide des instructions de configuration suivantes:
system { host-name test_host; domain-name test.mycompany.com; host-name test_host; root-authentication { encrypted-password "$ABC123"; } services { ftp; ssh; telnet; web-management { http { interface ge-0/0/0.0; } } } syslog { user * { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 5; license { autoupdate { url https://ae1.mycompany.com/junos/key_retrieval; } } ntp { boot-server 1.2.3.4; server 1.2.3.4; } }Note:Sur SRX Series, le nombre maximal de configurations de secours autorisé par défaut en usine est de 5. Par conséquent, vous pouvez avoir une configuration active et un maximum de cinq configurations de retour en arrière. L’augmentation de ce numéro de configuration de sauvegarde entraîne une augmentation de l’utilisation de la mémoire sur le disque et un temps de validation accru.
Pour modifier les paramètres d’usine par défaut, utilisez les commandes suivantes:
root@host# set system max-configurations-on-flash number root@host# set system max-configuration-rollbacks number
lorsque les configurations max. flash indiquent que les configurations de sauvegarde doivent être stockées dans la partition de configuration, et que les retours sur configuration max. indiquent le nombre maximal de configurations de sauvegarde.
Configurez les interfaces à l’aide des instructions de configuration suivantes:
interfaces { ge-0/0/0 { unit 0 { family inet { address 10.64.75.135/16; } } } ge-0/0/1 { unit 0 { family inet { address 10.100.54.1/16; } } } ge-0/0/2 { unit 0 { family inet { 10.101.54.1/16; } } }Configurez les options de routage à l’aide des instructions de configuration suivantes:
routing-options { static { route 0.0.0.0/0 next-hop 10.64.0.1; route 10.11.0.0/16 next-hop 10.64.0.1; route 172.0.0.0/8 next-hop 10.64.0.1; route 10.64.0.0/16 next-hop 10.64.0.1; } }Configurez les options de sécurité à l’aide des instructions de configuration suivantes:
security { ike { traceoptions { file ike; flag all; } proposal prop1 { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy pol1 { mode aggressive; proposals prop1; pre-shared-key ascii-text "$ABC123"; } gateway gateway1 { ike-policy pol1; dynamic { hostname gateway1.mycompany.com; connections-limit 1000; ike-user-type group-ike-id; } external-interface ge-0/0/0; xauth access-profile infranet; } gateway gateway2 { ike-policy pol1; dynamic { hostname gateway2.mycompany.com; connections-limit 1000; ike-user-type group-ike-id; } external-interface ge-0/0/0; xauth access-profile infranet; } }Configurez les paramètres IPsec à l’aide des instructions de configuration suivantes:
ipsec { proposal prop1 { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 86400; } policy pol1 { proposals prop1; } vpn vpn1 { ike { gateway gateway1; ipsec-policy pol1; } } vpn vpn2 { ike { gateway gateway2; ipsec-policy pol1; } } }Configurez les options d’écran à l’aide des instructions de configuration suivantes:
screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; queue-size 2000; timeout 20; } land; } } }Configurez des zones à l’aide des instructions de configuration suivantes:
zones { security-zone trust { tcp-rst; host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone zone101 { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } } }Configurez les stratégies pour UAC à l’aide des instructions de configuration suivantes:
policies { from-zone trust to-zone trust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone untrust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } policy default-deny { match { source-address any; destination-address any; application any; } then { permit; } } policy pol1 { match { source-address any; destination-address any; application any; } then { permit { tunnel { ipsec-vpn vpn1; } application-services { uac-policy; } } log { session-init; session-close; } } } } from-zone untrust to-zone trust { policy pol1 { match { source-address any; destination-address any; application any; } then { permit; log { session-init; session-close; } } } } from-zone trust to-zone zone101 { policy pol1 { match { source-address any; destination-address any; application any; } then { permit { tunnel { ipsec-vpn vpn2; } application-services { uac-policy; } } log { session-init; session-close; } } } policy test { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { deny-all; } } }Configurez l RADIUS authentifier l’accès à l’authentification au serveur à l’aide des instructions de configuration suivantes:
access { profile infranet { authentication-order radius; radius-server { 10.64.160.120 secret "$ABC123"; } } }Configurer les services pour UAC à l’aide des instructions de configuration suivantes:
services { unified-access-control { infranet-controller IC27 { address 3.23.1.2; interface ge-0/0/0.0; password "$ABC123"; } infranet-controller prabaIC { address 10.64.160.120; interface ge-0/0/0.0; password "$ABC123"; } certificate-verification optional; traceoptions { flag all; } } }