Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de la autenticación de dispositivos en Junos Space

La plataforma de administración de red Junos Space puede autenticar un dispositivo mediante credenciales (nombre de usuario y contraseña), claves (que utilizan principios criptográficos de clave pública) o las huellas digitales SSH de los dispositivos. Puede elegir el modo de autenticación en función del nivel de seguridad necesario para los dispositivos administrados. El modo de autenticación se muestra en la columna Estado de autenticación de la página Administración de dispositivos. También puede cambiar el modo de autenticación.

En las siguientes secciones se describen los modos de autenticación de Junos Space Platform:

Autenticación de dispositivo basada en credenciales

Para configurar la autenticación basada en credenciales en su configuración de Junos Space, debe asegurarse de que las credenciales de inicio de sesión del dispositivo con privilegios administrativos estén configuradas en el dispositivo. Si se puede acceder al dispositivo y se autentican las credenciales, estas credenciales se almacenan en la base de datos de la plataforma Junos Space. La plataforma Junos Space se conecta al dispositivo mediante estas credenciales. Si configuró la autenticación basada en claves en la configuración de Junos Space, solo debe introducir el nombre de usuario para acceder al dispositivo.

Autenticación de dispositivo basada en claves

Desde la versión 16.1R1 de la plataforma de administración de red de Junos Space en adelante, la plataforma Junos Space admite los principios criptográficos de clave pública del algoritmo Rivest-Shamir-Adleman (RSA) de 4096 bits, el estándar de firma digital (DSS) y el algoritmo de firma digital de curva elíptica (ECDSA) para autenticar dispositivos que ejecutan Junos OS mediante autenticación basada en claves. La plataforma Junos Space sigue siendo compatible con el algoritmo RSA de 2048 bits. La autenticación basada en claves es más segura que la autenticación basada en credenciales, ya que no es necesario almacenar las credenciales del dispositivo en la base de datos de la plataforma Junos Space.

RSA es un algoritmo de clave asimétrica o clave pública que utiliza dos claves que están relacionadas matemáticamente. La plataforma Junos Space incluye un conjunto predeterminado de pares de claves públicas y privadas. La clave pública se puede cargar en los dispositivos administrados. La clave privada se cifra y se almacena en el sistema en el que está instalada la plataforma Junos Space. Para mayor seguridad, le recomendamos que genere su propio par de claves pública y privada con una frase de contraseña. Una frase de contraseña protege la clave privada en el servidor de Junos Space. Crear frases de contraseña largas puede ser más difícil de romper mediante ataques de fuerza bruta que las frases de contraseña más cortas. Una frase de contraseña ayuda a evitar que un atacante obtenga el control de su configuración de Junos Space e intente iniciar sesión en sus dispositivos de red administrados. Si genera un nuevo par de claves, las claves se cargan automáticamente en todos los dispositivos activos (es decir, dispositivos cuyo estado de conexión es Activo) que utilizan la autenticación basada en claves de Junos Space.

A partir de la versión 16.1R1 de la plataforma de administración de red de Junos Space, también puede cargar claves privadas personalizadas en el servidor de Junos Space y autenticar dispositivos sin necesidad de cargar claves en dispositivos desde la plataforma Junos Space. Con el método de autenticación personalizado basado en claves, puede cargar una clave privada con una frase de contraseña en el servidor de Junos Space. El dispositivo se autentica mediante el conjunto existente de claves públicas en el dispositivo, la clave privada cargada en el servidor de Junos Space y el algoritmo de clave pública adecuado, es decir, RSA, ECDSA o DSS. Este método de autenticación se puede usar para autenticar dispositivos durante la detección de dispositivos y posteriormente durante la administración de dispositivos.

Si se modifican las claves, los dispositivos se vuelven inaccesibles y el estado de autenticación cambia a Conflicto de claves. Puede usar el flujo de trabajo Resolver conflictos de claves para activar manualmente el proceso de carga de nuevas claves en estos dispositivos. Para autenticar los dispositivos, puede optar por cargar las nuevas claves generadas desde la plataforma Junos Space o usar claves personalizadas. Si la autenticación basada en claves o personalizada de Junos Space falla, la autenticación basada en credenciales se activa automáticamente.

Una vez habilitada la autenticación basada en claves o en claves personalizada, toda comunicación con los dispositivos se realiza a través de la autenticación basada en claves o en claves personalizada de Junos Space, sin contraseñas. También puede cambiar el modo de autenticación de basado en credenciales a basado en claves o personalizado para dispositivos administrados. Para obtener más información, consulte Modificación del modo de autenticación en los dispositivos.

Debe asegurarse de lo siguiente para usar la autenticación basada en claves en la plataforma Junos Space:

  • Las claves de autenticación se generan en el área de trabajo de administración. Para obtener más información acerca de cómo generar y cargar claves en los dispositivos, consulte Generación y carga de claves de autenticación en dispositivos. El resultado del trabajo indica si las claves se cargaron correctamente en los dispositivos. En una configuración de varios nodos, las claves de autenticación están disponibles en todos los nodos de clúster existentes. Las claves de autenticación también están disponibles en los nodos posteriores agregados a la configuración.

  • Las credenciales de administrador del dispositivo y el nombre del usuario que se conecta a Junos Space Appliance para cargar las claves en el dispositivo están disponibles.

Autenticación de dispositivo basada en huellas digitales SSH

Para evitar ataques de intermediario o conexiones SSH proxy entre la plataforma Junos Space y un dispositivo, la plataforma Junos Space puede almacenar la huella digital SSH del dispositivo en la base de datos de la plataforma Junos Space y validar la huella digital durante conexiones posteriores con el dispositivo. Una huella digital es una secuencia de 16 octetos hexadecimales separados por dos puntos. Por ejemplo, c1:b1:30:29:d7:b8:de:6c:97:77:10:d7:46:41:63:83. Puede especificar la huella digital para los dispositivos de Juniper Networks durante la detección de dispositivos y validar la huella digital cuando los dispositivos se conecten a la plataforma Junos Space por primera vez. Puede especificar huellas digitales para un máximo de 1024 dispositivos simultáneamente en el flujo de trabajo de detección de dispositivos. Si no especifica la huella digital, Junos Space Platform obtiene los detalles de la huella digital cuando se conecta al dispositivo por primera vez. Para obtener más información, consulte Visualización de dispositivos administrados.

La plataforma Junos Space no reconoce un cambio de huella digital SSH en un dispositivo durante una conexión abierta activa con el dispositivo. Los cambios en las huellas digitales SSH solo se reconocen cuando el dispositivo se vuelve a conectar a la plataforma Junos Space. La columna Estado de autenticación de la página Administración de dispositivos muestra todos los conflictos o estados de autenticación no verificados.

Los conflictos entre las huellas digitales SSH almacenadas en la base de datos de la plataforma Junos Space y las del dispositivo se pueden resolver manualmente desde la interfaz de usuario de Junos Space. Como alternativa, puede permitir que Junos Space Platform actualice automáticamente cualquier cambio de huella digital. Para permitir que la plataforma Junos Space actualice automáticamente las huellas digitales SSH, desactive la casilla Resolver manualmente el conflicto de huellas digitales en la página Modificar configuración de la aplicación en el área de trabajo Administración. Si habilita esta casilla, la columna Estado de autenticación muestra Conflicto de huellas digitales si cambia la huella digital de un dispositivo. Debe resolver manualmente el conflicto de huellas digitales. Para obtener más información, consulte Reconocimiento de huellas digitales SSH desde dispositivos.

Nota:

Los modos de autenticación basados en claves y huellas digitales no son compatibles con dispositivos ww Junos OS.
Nota:

Los dispositivos arbitrarios en recuperación ante desastres deben usar autenticación basada en contraseña.

La plataforma Junos Space comprueba que la huella digital del dispositivo coincida con la de la base de datos cuando se realizan las siguientes tareas:

  • Almacenamiento provisional de un script en un dispositivo

  • Almacenamiento provisional de una imagen de dispositivo en un dispositivo

  • Implementación de una imagen de dispositivo en un dispositivo

  • Activación de un dispositivo de reemplazo

  • Ejecutar un script en un dispositivo

  • Conexión a un dispositivo mediante SSH

Si la huella digital del dispositivo no coincide con la huella digital almacenada en la base de datos de la plataforma Junos Space, se interrumpirá la conexión con el dispositivo. El estado de conexión se muestra como Abajo y el estado de autenticación se muestra como Conflicto de huellas digitales en la página Administración de dispositivos.

Algoritmos compatibles con Junos Space SSH

En la tabla 1 se enumeran los algoritmos compatibles con Junos Space SSH:

Tabla 1: Algoritmos compatibles con Junos Space SSH

Tipo de algoritmo

Dispositivos FIPS

Dispositivos que no son FIPS

Algoritmos de intercambio de claves

ecdh-sha2-nistp256, ecdh-sha2-nistp384, diffie-hellman-group14-sha1

ecdh-SHA2-NISTP256, ECDH-SHA2-NISTP384, Diffie-Hellman-Group14-SHA1, Diffie-Hellman-Group1-SHA1

Algoritmos de clave de host

ecdsa-sha2-nistp256, ecdsa-sha2-nistp384

ecdsa-sha2-nistp256, ecdsa-sha2-nistp384, ssh-rsa, ssh-dss

Algoritmos de cifrado (cliente a servidor)

AES128-CTR, AES192-CTR, AES256-CTR, AES128-CBC, AES192-CBC, AES256-CBC

AES128-CTR, AES192-CTR, AES256-CTR, AES128-CBC, AES192-CBC, AES256-CBC, 3DES-CTR, Blowfish-CBC, 3DES-CBC

Algoritmos de cifrado (de servidor a cliente)

AES128-CTR, AES192-CTR, AES256-CTR, AES128-CBC, AES192-CBC, AES256-CBC

AES128-CTR, AES192-CTR, AES256-CTR, AES128-CBC, AES192-CBC, AES256-CBC, 3DES-CTR, Blowfish-CBC, 3DES-CBC

Algoritmo MAC

hmac-SHA1-96, HMAC-SHA2-256 hmac-sha256@ssh.com

HMAC-SHA1-96, HMAC-SHA2-256, hmac-sha256@ssh.com, HMAC-SHA1, HMAC-MD5, HMAC-MD5-96, HMAC-SHA256

Algoritmo de compresión

zlib@openssh.com

zlib@openssh.com, ninguno, zlib

Documentación relacionada

Tabla de historial de versiones
Lanzamiento
Descripción
16.1R1
Desde la versión 16.1R1 de la plataforma de administración de red de Junos Space en adelante, la plataforma Junos Space admite los principios criptográficos de clave pública del algoritmo Rivest-Shamir-Adleman (RSA) de 4096 bits, el estándar de firma digital (DSS) y el algoritmo de firma digital de curva elíptica (ECDSA) para autenticar dispositivos que ejecutan Junos OS mediante autenticación basada en claves.
16.1R1
A partir de la versión 16.1R1 de la plataforma de administración de red de Junos Space, también puede cargar claves privadas personalizadas en el servidor de Junos Space y autenticar dispositivos sin necesidad de cargar claves en dispositivos desde la plataforma Junos Space.