Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Validation basée sur des certificats à l’aide de l’authentification EAP-TLS (procédure CLI)

Aperçu

Dans cette configuration, vous utilisez le nom d’utilisateur et le mot de passe pour l’authentification de l’utilisateur externe (par le serveur RADIUS) et utilisez la méthode d’authentification EAP-TLS pour valider les certificats utilisateur.

Nous partons du principe que vous avez terminé la configuration de base de vos pare-feu SRX Series, y compris les interfaces, les zones et les stratégies de sécurité, comme illustré dans la figure 1.

Figure 1 : Topologie Topology

Pour plus d’informations sur les pré-requis, consultez configuration système requise.

Assurez-vous d’avoir une infrastructure à clé publique (PKI) configurée en tant qu’authentification back-end. Dans ce cas, vous devez installer le certificat racine de l’autorité de certification sur chaque client ainsi qu’un certificat spécifique à l’utilisateur sur chaque équipement client. Notez que l’authentification locale n’est pas prise en charge dans ce scénario.

Vous devez vous assurer que le pare-feu SRX Series utilise un certificat signé ou un certificat auto-signé au lieu du certificat généré par le système par défaut. Avant de commencer à configurer Juniper Secure Connect, vous devez lier le certificat au pare-feu SRX Series en exécutant la commande suivante :

Par exemple :

SRX_Certificate est le certificat auto-signé.

Configuration rapide cli

Pour configurer rapidement cet exemple sur vos pare-feu SRX Series, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la hiérarchie [modifier].

Procédure étape par étape

Pour configurer les paramètres VPN à l’aide de l’interface de ligne de commande :

  1. Connectez-vous à votre pare-feu SRX Series à l’aide de l’interface de ligne de commande (CLI).
  2. Entrez dans le mode de configuration.
  3. Configurez un VPN d’accès distant.

    Pour déployer Juniper Secure Connect, vous devez créer un certificat auto-signé et le lier au pare-feu SRX Series. Pour plus d’informations, consultez Préparation de la configuration Juniper Secure Connect.

    Configuration IKE :

    1. Configurez la proposition IKE.

      Configurez rsa-signatures comme méthode d’authentification pour configurer l’authentification basée sur les certificats.

      Activez cette option pour le processus d’authentification. IKEv2 nécessite EAP pour l’authentification de l’utilisateur. Le pare-feu SRX Series ne peut pas agir comme un serveur EAP. Un serveur RADIUS externe doit être utilisé pour IKEv2 EAP pour effectuer l’authentification EAP. Le SRX fera office d’authentificateur de transmission des messages EAP entre le client Juniper Secure Connect et le serveur RADIUS.

      EAP-TLS est activé par défaut lorsque vous sélectionnez la méthode d’authentification basée sur les certificats.

      Définissez la méthode d’authentification des propositions IKE, le groupe Diffie-Hellman et l’algorithme d’authentification.
      Voir la proposition (Security IKE).
    2. Configurez la stratégie IKE.

      Définissez le mode de stratégie de phase 1 de l’IKE, la référence à la proposition IKE et la méthode d’authentification des stratégies de phase 1 de l’IKE.

      Voir la stratégie (Security IKE).
      Pour charger un certificat local, spécifiez un certificat local particulier à l’aide de la set security ike policy policy-name certificate local-certificate certificate-id commande lorsque l’équipement local a plusieurs certificats chargés. Vous pouvez sélectionner l’un des certificats locaux déjà signés en externe. Dans cet exemple, SRX_Certificate est le certificat local existant chargé pour JUNIPER_SECURE_CONNECT la stratégie.
      Si vous n'avez pas de certificat local existant, vous pouvez en créer un en suivant les étapes suivantes :
      Après avoir créé un certificat local, vous pouvez joindre le certificat à une stratégie IKE à l’aide de la set security ike policy policy-name certificate local-certificate certificate-id commande.
    3. Configurez les options de passerelle IKE. Voir dynamique.

      Si vous ne configurez pas les valeurs DPD et les informations de version, Junos OS attribue la valeur par défaut à ces options. Voir la détection des peer-morts.

      Configurez l’adresse IP d’interface externe pour que les clients se connectent. Vous devez saisir cette même adresse IP (dans cet exemple : https://192.0.2.0) pour le champ Adresse de la passerelle dans l’application Juniper Secure Connect. Voir la passerelle.

    Configuration IPsec :

    1. Configurez la proposition IPsec.
      Spécifiez le protocole de proposition IPsec de phase 2, l’algorithme de chiffrement et d’autres options de phase 2.
      Voir la proposition (Security IPsec).
    2. Configurez la stratégie IPsec.
      • Spécifiez iPsec phase 2 PFS pour utiliser le groupe Diffie-Hellman 19.
      • Spécifiez la référence de la proposition IPsec de phase 2.
      Voir la stratégie (Security IPsec).

    Configuration VPN IPsec :

    1. Configurez les paramètres VPN IPsec. Voir vpn (sécurité).
    2. Configurez les sélecteurs de trafic VPN. Voir le sélecteur de trafic.
  4. Configurez les options du client utilisateur distant.
    1. Configurez le profil d’accès distant. Voir l’accès à distance.
    2. Configurez la configuration du client d’accès distant. Voir la configuration du client.

    Le tableau 1 récapitule les options de paramètres utilisateur distants.

    Tableau 1 : Options de paramètres utilisateur distants

    Paramètres utilisateur distants

    Description

    mode de connexion

    Pour établir la connexion client manuellement ou automatiquement, configurez l’option appropriée.

    • Si vous configurez une option manuelle , puis dans l’application Juniper Secure Connect, pour établir une connexion, vous devez soit cliquer sur le bouton de basculement ou sélectionner Connexion > se connecter dans le menu.

    • Si vous configurez l’option Toujours , Juniper Secure Connect établit automatiquement la connexion.

    Limitation connue :

    Appareil Android : si vous utilisez ou sélectionnez Toujours, la configuration est téléchargée à partir du premier équipement SRX utilisé. Si la configuration du premier pare-feu SRX Series change ou si vous vous connectez à un nouvel équipement SRX, la configuration n’est pas téléchargée sur l’application Juniper Secure Connect.

    Cela signifie qu’une fois que vous vous connectez en mode Toujours à l’aide de l’équipement Android, les modifications de configuration apportées au pare-feu SRX Series ne prennent pas effet sur Juniper Secure Connect.

    détection des pairs morts

    La détection des pairs morts (DPD) est activée par défaut pour permettre au client de détecter si le pare-feu SRX Series est accessible et, si l’équipement n’est pas joignable, désactiver la connexion jusqu’à ce que l’accessibilité soit rétablie.

    profil par défaut

    Si vous configurez un profil de connexion VPN comme profil par défaut, vous devez saisir uniquement l’adresse de la passerelle dans l’application Juniper Secure Connect. Il est facultatif d’entrer le nom du domaine dans l’application Juniper Secure Connect, car l’application sélectionne automatiquement le profil par défaut comme nom de domaine. Dans cet exemple, saisissez ra.example.com dans le champ Adresse de passerelle de l’application Juniper Secure Connect.

    Note:

    À partir de la version 23.1R1 de Junos OS, nous avons masqué l’option default-profile au niveau de la hiérarchie [edit security remote-access] . Dans les versions antérieures à Junos OS version 23.1R1, vous utilisez cette option pour spécifier l’un des profils d’accès distant comme profil par défaut dans Juniper Secure Connect. Mais avec les modifications apportées au format des noms de profil d’accès à distance, nous n’avons plus besoin de l’option default-profile .

    Nous avons supprimé default-profile cette option, plutôt que de la supprimer immédiatement, pour offrir une rétrocompatibilité et une chance de mettre votre configuration existante en conformité avec la configuration modifiée. Vous recevrez un message d’avertissement si vous continuez à utiliser l’option default-profile dans votre configuration. Toutefois, les déploiements existants ne sont pas affectés si vous modifiez la configuration actuelle. Voir le profil par défaut (Juniper Secure Connect).
  5. Configurez la passerelle locale.
    1. Créez un pool d’adresses pour l’attribution ip dynamique du client. Voir l’attribution d’adresses (Accès).

      • Saisissez l’adresse réseau que vous utilisez pour l’attribution d’adresses.

      • Saisissez l’adresse de votre serveur DNS. Saisissez les détails du serveur WINS, si nécessaire. Créez la plage d’adresses pour attribuer des adresses IP aux clients.

      • Saisissez le nom et les limites inférieures et supérieures.

    2. Créez un profil d’accès.

      Pour l’authentification de l’utilisateur externe, fournissez l’adresse IP du serveur Radius, le secret Radius et l’adresse source pour les communications radius à partir de l’origine. Configurez radius pour l’ordre d’authentification.

    3. Configurez les attributs d’infrastructure à clé publique (PKI). Voir pki.
    4. Créez un profil de terminaison SSL. La terminaison SSL est un processus par lequel les pare-feu SRX Series agissent comme un serveur proxy SSL et terminent la session SSL du client. Saisissez le nom du profil de terminaison SSL et sélectionnez le certificat de serveur que vous utilisez pour la terminaison SSL sur les pare-feu SRX Series. Le certificat du serveur est un identifiant de certificat local. Les certificats de serveur sont utilisés pour authentifier l’identité d’un serveur.
    5. Créez un profil VPN SSL. Voir tcp-encap
    6. Créez des stratégies de pare-feu.
      Créez la stratégie de sécurité pour autoriser le trafic de la zone de confiance à la zone VPN.
      Créez la stratégie de sécurité pour autoriser le trafic de la zone VPN à la zone de confiance.
  6. Configurez les informations de l’interface Ethernet.

    Configurez l’interface st0 avec la famille définie comme inet.

  7. Configurez des zones de sécurité.
  8. La configuration d’accès à distance avec l’utilisateur distant et la passerelle locale est configurée correctement.
  9. Lancez l’application Juniper Secure Connect et fournissez la même adresse IP que vous avez configurée pour l’adresse IP externe dans le champ Adresse de la passerelle de l’application Juniper Secure Connect.

    Dans cet exemple, vous avez configuré https://192.0.2.0/ comme adresse IP d’interface externe pour que les clients se connectent. Vous devez saisir cette même adresse IP (https://192.0.2.0/) pour le champ Adresse de la passerelle dans l’application Juniper Secure Connect.

Résultat

À partir du mode opérationnel, confirmez votre configuration en entrant le show security, show accesset show security pki les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

Lorsque vous avez fini de configurer la fonctionnalité sur votre équipement, saisissez commit à partir du mode de configuration.

Documentation connexe