EN ESTA PÁGINA
Ejemplo: configurar Active Directory como origen de identidad en el firewall de la serie SRX
Ejemplo: configurar la función de autenticación de identidad de dispositivo
Configurar Active Directory como origen de identidad en el firewall
Configurar Active Directory como origen de identidad en dispositivos NFX
Configurar Active Directory como origen de identidad
Obtenga información sobre cómo configurar Active Directory como origen de identidad en el firewall de la serie SRX.
Ejemplo: configurar Active Directory como origen de identidad en el firewall de la serie SRX
En este ejemplo se muestra cómo implementar la característica de firewall de usuario integrado mediante la configuración de un dominio de Windows Active Directory, una base LDAP, usuarios no autenticados para dirigirlos al portal cautivo y una política de seguridad basada en una identidad de origen. Todas las configuraciones de este ejemplo para el portal cautivo se realizan mediante Seguridad de la capa de transporte (TLS).
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
-
Un firewall de la serie SRX
-
Junos OS versión 12.1X47-D10 o posterior para firewalls serie SRX
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Para obtener información sobre cómo inscribir un certificado, consulte Inscribir un certificado.
Visión general
En un escenario típico para la característica de firewall de usuario integrado, los usuarios de dominio y no dominio desean acceder a Internet a través de un firewall de la serie SRX. El firewall de la serie SRX lee y analiza el registro de eventos de los controladores de dominio configurados en el dominio. Por lo tanto, el firewall de la serie SRX detecta usuarios de dominio en un controlador de dominio de Active Directory. El dominio de Active Directory genera una tabla de autenticación como origen de autenticación de Active Directory para el firewall de usuario integrado. El firewall de la serie SRX utiliza esta información para hacer cumplir la directiva con el fin de lograr un control de acceso basado en el usuario o en grupos.
Para cualquier usuario que no sea de dominio o usuario de dominio en un dispositivo que no sea de dominio, el administrador de red puede especificar un portal cautivo para forzar al usuario a someterse a la autenticación de firewall (si el firewall de la serie SRX admite un portal cautivo para el tipo de tráfico. Por ejemplo, HTTP). Después de que el usuario introduce un nombre y una contraseña y pasa la autenticación de firewall, el firewall de la serie SRX obtiene información de asignación de usuario a grupo de autenticación de firewall del servidor LDAP y puede aplicar el control de la política de firewall de usuario sobre el usuario en consecuencia.
A partir de Junos OS versión 17.4R1, puede usar direcciones IPv6 para controladores de dominio de Active Directory además de direcciones IPv4. Para ilustrar esta compatibilidad, en este ejemplo se utiliza 2001:db8:0:1:2a0:a502:0:1da como dirección para el controlador de dominio.
No puede usar el grupo principal, ya sea por su nombre predeterminado de Usuarios del dominio o cualquier otro nombre, si lo cambió, en configuraciones de firewall de usuario integradas.
Cuando se crea un nuevo usuario en Active Directory (AD), el usuario se agrega al grupo de seguridad global Grupo principal, que es de forma predeterminada Usuarios del dominio. El grupo principal es menos específico que otros grupos creados en AD porque todos los usuarios pertenecen a él. Además, puede llegar a ser muy grande.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.
set services user-identification active-directory-access domain example.net user-group-mapping ldap base DC=example,DC=net user administrator password $ABC123 set services user-identification active-directory-access domain example.net user administrator password $ABC123 set services user-identification active-directory-access domain example.net domain-controller ad1 address 2001:db8:0:1:2a0:a502:0:1da set access profile profile1 authentication-order ldap set access profile profile1 authentication-order password set access profile profile1 ldap-options base-distinguished-name CN=Users,DC=example,DC=net set access profile profile1 ldap-options search search-filter sAMAccountName= set access profile profile1 ldap-options search admin-search distinguished-name CN=Administrator,CN=Users,DC=example,DC=net set access profile profile1 ldap-options search admin-search password $ABC123 set access profile profile1 ldap-server 192.0.2.3 set access profile profile1 ldap-server 192.0.2.3 tls-type start-tls set access profile profile1 ldap-server 192.0.2.3 tls-peer-name peername set access profile profile1 ldap-server 192.0.2.3 tls-timeout 3 set access profile profile1 ldap-server 192.0.2.3 tls-min-version v1.2 set access profile profile1 ldap-server 192.0.2.3 no-tls-certificate-check set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 match source-identity unauthenticated-user set security policies from-zone trust to-zone untrust policy p1 match source-identity unknown-user set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall access-profile profile1 set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall domain example.net set security policies from-zone trust to-zone untrust policy p2 match source-address any set security policies from-zone trust to-zone untrust policy p2 match destination-address any set security policies from-zone trust to-zone untrust policy p2 match application any set security policies from-zone trust to-zone untrust policy p2 match source-identity “example.net\user1” set security policies from-zone trust to-zone untrust policy p2 then permit set security user-identification authentication-source active-directory-authentication-table priority 125
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para establecer un dominio de Windows Active Directory, configurar el portal cautivo y configurar otra directiva de seguridad, siga los pasos de esta sección.
Una vez configurado, cuando llega el tráfico, el firewall de la serie SRX consulta el proceso del firewall de usuario, que a su vez consulta el origen de autenticación de Active Directory para determinar si el origen está en su tabla de autenticación. Si el firewall de usuario llega a una entrada de autenticación, el firewall de la serie SRX comprueba la directiva configurada en el paso 4 para otras acciones. Si el firewall de usuario no llega a ninguna entrada de autenticación, el firewall de la serie SRX comprueba la directiva configurada en el paso 3 para obligar al usuario a realizar el portal cautivo.
Configure el nombre distintivo base LDAP.
[edit services user-identification] user@host# set active-directory-access domain example.net user-group-mapping ldap base DC=example,DC=net user administrator password $ABC123
Configure un nombre de dominio, el nombre de usuario y la contraseña del dominio, y el nombre y la dirección IP del controlador de dominio en el dominio.
[edit services user-identification] user@host# set active-directory-access domain example.net user administrator password $ABC123 user@host# set active-directory-access domain example.net domain-controller ad1 address 2001:db8:0:1:2a0:a502:0:1da
-
Configure un perfil de acceso y establezca el orden de autenticación y las opciones LDAP.
[edit access profile profile1] user@host# set authentication-order ldap user@host# set authentication-order password user@host# set ldap-options base-distinguished-name CN=Users,DC=example,DC=net user@host# set ldap-options search search-filter sAMAccountName= user@host# set ldap-options search admin-search distinguished-name CN=Administrator,CN=Users,DC=example,DC=net user@host# set ldap-options search admin-search password $ABC123 user@host# set ldap-server 192.0.2.3 user@host# set ldap-server 192.0.2.3 tls-type start-tls user@host# set ldap-server 192.0.2.3 tls-peer-name peername user@host# set ldap-server 192.0.2.3 tls-timeout 3 user@host# set ldap-server 192.0.2.3 tls-min-version v1.2 user@host# set ldap-server 192.0.2.3 no-tls-certificate-check
Cuando se configura la
no-tls-certificate-checkopción, el firewall de la serie SRX ignora la validación del certificado del servidor y acepta el certificado sin comprobarlo. Configure una política para la identidad de origen "usuario no autenticado" y "usuario desconocido" y habilite el portal cautivo de autenticación de firewall. Es necesario configurar la identidad de origen en caso de que no haya orígenes de autenticación configurados, se desconecta.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user user@host# set then permit firewall-authentication user-firewall access-profile profile1 user@host#set then permit firewall-authentication user-firewall domain example.net
Configure una segunda directiva para habilitar un usuario específico.
[edit security policies from-zone trust to-zone untrust policy p2] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity “example.net\user1” user@host# set then permit
Cuando especifique una identidad de origen en una instrucción de directivas, anteponga el nombre de dominio y una barra diagonal inversa al nombre de grupo o nombre de usuario. Escriba la combinación entre comillas.
Establezca la tabla de autenticación de Active Directory como origen de autenticación para la recuperación de información del firewall de usuario integrado y especifique la secuencia en la que se comprueban las tablas de información de usuario.
[edit security] user@host#
set user-identification authentication-source active-directory-authentication-table priority 125Debe establecer la tabla de autenticación de Active Directory como origen de autenticación para la recuperación de información del firewall de usuario integrado y especificar la secuencia en la que se comprueban las tablas de información de usuario mediante el comando
set security user-identification authentication-source active-directory-authentication-table priority value.El valor predeterminado de esta opción es 125. La prioridad predeterminada para todos los orígenes de autenticación es la siguiente:
Autenticación local: 100
Firewall de usuario integrado: 125
Firewall de rol de usuario: 150
Control de acceso unificado (UAC): 200
El campo
priorityespecifica los orígenes de la tabla de autenticación de Active Directory. El conjunto de valores determina la secuencia de búsqueda entre varias tablas de autenticación admitidas para recuperar un rol de usuario. Tenga en cuenta que estos son los únicos valores admitidos actualmente. Puede introducir cualquier valor del 0 al 65.535. La prioridad predeterminada de la tabla de autenticación de Active Directory es 125. Esto significa que, aunque no especifique un valor de prioridad, se buscará en la tabla de autenticación de Active Directory a partir de la secuencia del valor 125 (firewall de usuario integrado).Se asigna un valor de prioridad único a cada tabla de autenticación. Cuanto menor sea el valor, mayor será la prioridad. Por ejemplo, una tabla con prioridad 120 se busca antes de una tabla con prioridad 200. Si se establece el valor de prioridad de una tabla en 0, se deshabilita la tabla y se elimina el valor de prioridad de la secuencia de búsqueda.
Para obtener más información, consulte Descripción de las tablas de autenticación de Active Directory .
Resultados
Desde el modo de configuración, escriba el comando para confirmar la configuración del show services user-identification active-directory-access firewall de usuario integrado. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show services user-identification active-directory-access
domain example.net {
user {
administrator;
password "$ABC123"; ## SECRET-DATA
}
domain-controller ad1 {
address 2001:db8:0:1:2a0:a502:0:1da;
}
user-group-mapping {
ldap {
base DC=example,DC=net;
user {
administrator;
password "$ABC123"; ## SECRET-DATA
}
}
}
}
Desde el modo de configuración, escriba el comando para confirmar la configuración de la show security policies directiva. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
source-identity [ unauthenticated-user unknown-user ];
}
then {
permit {
firewall-authentication {
user-firewall {
access-profile profile1;
domain example.net;
}
}
}
}
}
policy p2 {
match {
source-address any;
destination-address any;
application any;
source-identity “example.net\user1”;
}
then {
permit;
}
}
}
Desde el modo de configuración, escriba el comando para confirmar la configuración del perfil de show access profile profile1 acceso. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show access profile profile1
authentication-order [ ldap password ];
ldap-options {
base-distinguished-name CN=Users,DC=example,DC=net;
search {
search-filter sAMAccountName=;
admin-search {
distinguished-name CN=Administrator,CN=Users,DC=example,DC=net;
password "$ABC123"; ## SECRET-DATA
}
}
}
ldap-server {
192.0.2.3 {
tls-type start-tls;
tls-timeout 3;
tls-min-version v1.2;
no-tls-certificate-check;
tls-peer-name peername;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Comprobar la conectividad con un controlador de dominio
- Verificación del servidor LDAP
- Comprobación de entradas de tabla de autenticación
- Verificación de la asignación de IP a usuario
- Verificación de los recuentos de sondeos IP
- Comprobación de consultas de asignación de usuario a grupo
Comprobar la conectividad con un controlador de dominio
Propósito
Compruebe que al menos un controlador de dominio está configurado y conectado.
Acción
Desde el modo operativo, ingrese el show services user-identification active-directory-access domain-controller status comando.
Significado
Se muestra que el controlador de dominio está conectado o desconectado.
Verificación del servidor LDAP
Propósito
Compruebe que el servidor LDAP proporciona información de asignación de usuario a grupo.
Acción
Desde el modo operativo, ingrese el show services user-identification active-directory-access user-group-mapping status comando.
Significado
Se muestran la dirección, el número de puerto y el estado del servidor LDAP.
Comprobación de entradas de tabla de autenticación
Propósito
Vea a qué grupos pertenecen los usuarios y los usuarios, grupos y direcciones IP de un dominio.
Acción
Desde el modo operativo, ingrese el show services user-identification active-directory-access active-directory-authentication-table all comando.
Significado
Las direcciones IP, los nombres de usuario y los grupos se muestran para cada dominio.
Verificación de la asignación de IP a usuario
Propósito
Compruebe que se está analizando el registro de eventos.
Acción
Desde el modo operativo, ingrese el show services user-identification active-directory-access statistics ip-user-mapping comando.
Significado
Se muestran los recuentos de las consultas y las consultas erróneas.
Verificación de los recuentos de sondeos IP
Propósito
Compruebe que se están produciendo sondeos IP.
Acción
Desde el modo operativo, ingrese el show services user-identification active-directory-access statistics ip-user-probe comando.
Significado
Se muestran los recuentos de los sondeos IP y de los sondeos IP fallidos.
Comprobación de consultas de asignación de usuario a grupo
Propósito
Compruebe que se están consultando las asignaciones de usuario a grupo.
Acción
Desde el modo operativo, ingrese el show services user-identification active-directory-access statistics user-group-mapping comando.
Significado
Se muestran los recuentos de las consultas y las consultas erróneas.
Ejemplo: configurar Active Directory como origen de identidad en firewalls de la serie SRX para usar la redirección web para usuarios desconocidos y no autenticados
En este ejemplo se muestra cómo usar la redirección web para usuarios no autenticados y usuarios desconocidos para redirigir a la página de autenticación a través de http.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX
Junos OS versión 15.1X49-D70 o posterior para firewalls serie SRX
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
El perfil de acceso fwauth redirige las web-redirect solicitudes de tráfico de paso a HTTP webauth (en el servidor httpd JWEB). Una vez que la autenticación se realiza correctamente, fwauth crea una autenticación de firewall para el firewall del usuario.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.
set system services web-management http set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication http set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 match source-identity unauthenticated-user set security policies from-zone trust to-zone untrust policy p1 match source-identity unknown-user set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall access-profile profile1 web-redirect set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall domain ad03.net
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar el firewall de usuario integrado para usar la redirección web para usuarios no autenticados que solicitan acceso a recursos basados en HTTP:
Habilite la compatibilidad con la administración web para el tráfico HTTP.
[edit system services] user@host# set system services web-management http
Configure interfaces y asigne direcciones IP. Habilite la autenticación web en la interfaz ge-0/0/1.
[edit interfaces] user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication http
Configure políticas de seguridad que especifiquen un usuario no autenticado o un usuario desconocido como identidad de origen.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user
A partir de Junos OS 17.4R1, puede asignar direcciones IPv6 además de direcciones IPv4 al configurar direcciones de origen. Para configurar la dirección de origen, emisión
anyoany-IPv6comando IPv6 en el nivel jerárquico [editar políticas de seguridad de confianza de zona a política de no confianza de zona-nombre de política, coincidencia dirección-origen].Configure una política de seguridad que permita la autenticación de firewall de un firewall de usuario con
web-redirectcomo acción y especifique un perfil de acceso preconfigurado para el usuario.[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall access-profile profile1 web-redirect
Configure una directiva de seguridad que especifique el nombre de dominio.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall domain ad03.net
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show system services comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show system services
web-management {
http {
port 123;
}
}
Desde el modo de configuración, ingrese el comando para confirmar la show interfaces configuración del firewall de usuario integrado. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.0/24 {
web-authentication http;
}
}
}
}
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración del firewall de usuario integrado. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
source-identity unauthenticated-user;
source-identity unknown-user;
}
then {
permit {
firewall-authentication {
user-firewall {
access-profile profile1;
web-redirect;
domain ad03.net;
}
}
}
}
}
}
Desde el modo de configuración, escriba el comando para confirmar la configuración de la show security policies directiva. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Compruebe la configuración.
Propósito
Compruebe que la configuración es correcta.
Acción
Desde el modo operativo, ingrese el show security policies comando.
Salida de muestra
user@host> show security policies
Default policy: permit-all
From zone: PCzone, To zone: Tunnelzone
Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: junos-ftp, junos-tftp, junos-dns-tcp, junos-dns-udp
Action: permit
Significado
Muestre la política de seguridad que permite la autenticación de firewall de un firewall de usuario con redirección web como acción.
Ejemplo: configurar Active Directory como origen de identidad en firewalls de la serie SRX para usar Web-Redirect-to-HTTPS para autenticar usuarios desconocidos y no autenticados
En este ejemplo se muestra cómo usar web-redirect-to-https para usuarios desconocidos y no autenticados que intentan acceder a un sitio HTTPS para permitirles autenticarse a través del servidor webauth interno del firewall de la serie SRX.
También puede usar web-redirect-https para autenticar a los usuarios que intentan acceder a un sitio HTTP, aunque no se muestra en este ejemplo.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX
Junos OS versión 15.1X49-D70 o posterior para firewalls serie SRX
Visión general
La característica web-redirect-https le permite autenticar de forma segura a usuarios desconocidos y no autenticados que intentan acceder a recursos HTTP o HTTPS redirigiendo el navegador del usuario al servidor webauth HTTPS interno de la puerta de enlace de servicios de la serie SRX para su autenticación. Es decir, el servidor webauth envía una respuesta HTTPS al sistema cliente redirigiendo su navegador para conectarse al servidor webauth para la autenticación de usuarios. La interfaz a la que llega la solicitud del cliente es la interfaz a la que se envía la respuesta de redireccionamiento. HTTPS, en este caso, protege el proceso de autenticación, no el tráfico del usuario.
Una vez que el usuario se ha autenticado, se muestra un mensaje para informar al usuario acerca de la autenticación correcta. Se redirige al navegador para que inicie la URL de destino original del usuario, ya sea a un sitio HTTP o HTTPS, sin necesidad de que el usuario vuelva a escribir esa URL. Se muestra el siguiente mensaje:
Redirecting to the original url, please wait.
Si el recurso de destino del usuario es una dirección URL HTTPS, para que este proceso se realice correctamente, la configuración debe incluir un perfil de terminación SSL al que se haga referencia en la política de seguridad aplicable. No se requiere un perfil de terminación SSL si el destino es una URL HTTP.
El uso de esta función permite una experiencia de inicio de sesión de usuario más rica. Por ejemplo, en lugar de un mensaje emergente que le pide al usuario que ingrese su nombre de usuario y contraseña, a los usuarios se les presenta la página de inicio de sesión en un navegador. El uso de web-redirect-https tiene el mismo efecto que si el usuario escribiera la dirección IP de autenticación web en un navegador cliente. En ese sentido, web-redirect-https proporciona una experiencia de autenticación perfecta; el usuario no necesita conocer la dirección IP del origen de autenticación Web, sino únicamente la dirección IP del recurso al que intenta tener acceso.
Para el firewall de usuario integrado, la instrucción de configuración de la directiva de seguridad incluye la tupla de identidad de origen, que permite especificar una categoría de usuarios a los que se aplica la directiva de seguridad, en este caso usuarios no autenticados y desconocidos. Especificar "any" como el valor de la tupla de dirección de origen permite que el valor de tupla de identidad de origen controle la coincidencia.
Por motivos de seguridad, se recomienda utilizar web-redirect-https para la autenticación en lugar de web-redirect, que también es compatible. La función de autenticación de redirección web utiliza HTTP para el proceso de autenticación, en cuyo caso la información de autenticación se envía sin cifrar y, por lo tanto, es legible.
En este ejemplo se supone que el usuario está intentando tener acceso a un recurso HTTPS como https://mymailsite.com.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.
set system services web-management https pki-local-certificate my-test-cert set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication https set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 match source-identity unauthenticated-user set security policies from-zone trust to-zone untrust policy p1 match source-identity unknown-user set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall domain mydomain.net set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall access-profile profile1 web-redirect-to-https set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall ssl-termination-profile my-ssl-profile set services ssl termination profile my-ssl-profile server-certificate my-test-cert set access profile profile1 ldap-server 198.51.100.0/24 tls-type start-tls set access profile profile1 ldap-server 198.51.100.0/24 tls-peer-name peer1 set access profile profile1 ldap-server 198.51.100.0/24 tls-timeout 3 set access profile profile1 ldap-server 198.51.100.0/24 tls-min-version v1.1
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar web-redirect-to-https para usuarios no autenticados o desconocidos que solicitan acceso a recursos basados en HTTPS, escriba la instrucción siguiente.
Habilite la compatibilidad de administración web para el tráfico HTTPS.
[edit system services] user@host# set system services web-management https pki-local-certificate my-test-cert
Tenga en cuenta que este ejemplo se aplica al tráfico de usuarios HTTPS, pero la autenticación web-redirect-to-https también se admite para usuarios autenticados cuyo tráfico es a un sitio de URL HTTP, aunque ese escenario específico no se muestra aquí. En ese caso, no se requiere un perfil de terminación SSL.
Configure interfaces y asigne direcciones IP. Habilite la autenticación web en la interfaz ge-0/0/1.
[edit interfaces] user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication https
Configure una política de seguridad que especifique usuario no autenticado y usuario desconocido como valores de tupla de identidad de origen.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user
A partir de Junos OS 17.4R1, puede asignar direcciones IPv6 además de direcciones IPv4 al configurar direcciones de origen. Para configurar la dirección de origen, emisión
anyoany-IPv6comando IPv6 en el nivel jerárquico [editar políticas de seguridad de confianza de zona a política de no confianza de zona-nombre de política coincidir dirección-origen].Configure la política de seguridad para permitir la autenticación de firewall de un firewall de usuario con
web-redirect-to-httpscomo acción y que especifique un perfil de acceso preconfigurado para el usuario.[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall access-profile profile1 web-redirect-to-https
Configure el nombre de dominio para la directiva de seguridad.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall domain mydomain.net
Configure la política de seguridad para hacer referencia al perfil de terminación SSL que se va a utilizar.
Si ya tiene un perfil de terminación SSL adecuado que proporciona los servicios necesarios para su implementación, puede usarlo. De lo contrario, siga el paso 7 para crear uno.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall ssl-termination-profile my-ssl-profile
Especifique el perfil que se usará para los servicios de terminación SSL.
[edit services] user@host# set ssl termination profile my-ssl-profile server-certificate my-cert-type
Defina el tipo de TLS para configurar LDAP a través de StartTLS.
[edit access] user@host# set profile profile1 ldap-server 198.51.100.0/24 tls-type start-tls
Configure el nombre de host del mismo nivel que se va a autenticar.
[edit access] user@host# set access profile profile1 ldap-server 198.51.100.0/24 tls-peer-name peer1
Especifique el valor de tiempo de espera en el protocolo de enlace TLS. Puede ingresar de 3 a 90 segundos.
[edit access] user@host# set access profile profile1 ldap-server 198.51.100.0/24 tls-timeout 3
Especifique la versión de TLS (se admiten v1.1 y v1.2) como la versión de protocolo mínima habilitada en las conexiones.
[edit ] user@host# set access profile profile1 ldap-server 198.51.100.0/24 tls-min-version v1.1
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show system services comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show system services
web-management {
https {
pki-local-certificate my-test-cert;
}
Desde el modo de configuración, ingrese el comando para confirmar la show services ssl configuración del firewall de usuario integrado. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show services ssl
termination {
profile my-ssl-profile {
server-certificate my-cert-type;
}
}
Desde el modo de configuración, ingrese el comando para confirmar la show interfaces configuración del firewall de usuario integrado. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.0/24 {
web-authentication {
https;
}
}
}
}
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración del firewall de usuario integrado. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
source-identity unauthenticated-user;
source-identity unknown-user;
}
then {
permit {
firewall-authentication {
user-firewall {
access-profile profile1;
web-redirect-to-https;
domain mydomain.net;
ssl-termination-profile my-ssl-profile;
}
}
}
}
}
Desde el modo de configuración, escriba el comando para confirmar la configuración del perfil de show access profile profile1 acceso. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show access profile profile1
ldap-server {
198.51.100.0/24 {
tls-type start-tls;
tls-timeout 3;
tls-min-version v1.1;
tls-peer-name peer1;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Ejemplo: configurar la función de autenticación de identidad de dispositivo
En este ejemplo se muestra cómo configurar la característica de autenticación de identidad de dispositivo para controlar el acceso a los recursos de red en función de la identidad de un dispositivo autenticado, no de su usuario. En este ejemplo se utiliza Microsoft Active Directory como origen de autenticación. Cubre cómo configurar un perfil de identidad de dispositivo que caracteriza a un dispositivo o conjunto de dispositivos, y cómo hacer referencia a ese perfil en una política de seguridad. Si un dispositivo coincide con la identidad del dispositivo y los parámetros de la política de seguridad, la acción de la política de seguridad se aplica al tráfico que se emite desde ese dispositivo.
Por varios motivos, es posible que desee usar la identidad de un dispositivo para el control de acceso a recursos. Por ejemplo, es posible que no conozca la identidad del usuario. Además, algunas empresas pueden tener conmutadores más antiguos que no admiten 802.1 o pueden no tener un sistema de control de acceso a la red (NAC). La función de autenticación de identidad de dispositivo se diseñó para ofrecer una solución a estas y otras situaciones similares al permitirle controlar el acceso a la red en función de la identidad del dispositivo. Puede controlar el acceso de un grupo de dispositivos que se ajusten a la especificación de identidad del dispositivo o a un dispositivo individual.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
-
Un dispositivo de puerta de enlace de servicios de la serie SRX que ejecute Junos OS versión 15.1X49-D70 o posterior.
-
Microsoft Active Directory con un controlador de dominio y el servidor del Protocolo ligero de acceso a directorios (LDAP)
El controlador de dominio de Active Directory tiene una configuración de alto rendimiento de 4 núcleos y 8 gigabytes de memoria.
Nota:La serie SRX obtiene la dirección IP de un dispositivo leyendo el registro de eventos del controlador de dominio. El proceso que lee el registro de eventos consume recursos de CPU del controlador de dominio, lo que puede provocar un uso elevado de la CPU. Por este motivo, el controlador de dominio de Active Directory debe tener una configuración de alto rendimiento de al menos 4 núcleos y 8 gigabytes de memoria.
-
Un servidor en la red corporativa interna.
Visión general
A partir de Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, la serie SRX proporciona compatibilidad para controlar el acceso a los recursos de red en función de la identidad de un dispositivo autenticado por Active Directory o un sistema de control de acceso a la red (NAC) de terceros. En este ejemplo se usa Active Directory como origen de autenticación.
Debe configurar el origen de autenticación para que esta característica funcione.
En este ejemplo se tratan las siguientes partes de configuración:
-
Zonas y sus interfaces
Debe configurar las zonas a las que pertenecen las entidades de origen y destino especificadas en la directiva de seguridad. Si no los configura, la política de seguridad que hace referencia al perfil de identidad del dispositivo no será válida.
-
Un perfil de identidad de dispositivo
El perfil de identidad del dispositivo se configura aparte de la política de seguridad; se hace referencia a él desde una política de seguridad. Un perfil de identidad de dispositivo especifica una identidad de dispositivo que puede coincidir con uno o más dispositivos. Para Active Directory, solo puede especificar el atributo device-identity en el perfil.
En este ejemplo, la especificación del atributo device-identity es company-computers.
Nota:El perfil de identidad del dispositivo se conoce como
end-user-profileen la CLI. -
Una política de seguridad
Puede configurar una directiva de seguridad cuya acción se aplica al tráfico que se emite desde cualquier dispositivo que coincida con los atributos del perfil de identidad del dispositivo y el resto de los parámetros de la directiva de seguridad.
Nota:Especifique el nombre del perfil de identidad del dispositivo en el campo de la política de
source-end-user-profileseguridad. -
Origen de autenticación
Configure el origen de autenticación que se utilizará para autenticar el dispositivo. En este ejemplo se usa Active Directory como origen de autenticación de identidad de dispositivo.
Si Active Directory es el origen de autenticación, la serie SRX obtiene información de identidad para un dispositivo autenticado leyendo el registro de eventos del dominio de Active Directory. A continuación, el dispositivo consulta la interfaz LDAP de Active Directory para identificar los grupos a los que pertenece el dispositivo, utilizando la dirección IP del dispositivo para la consulta.
Para ello, el dispositivo implementa un cliente de Instrumental de administración de Windows (WMI) con pilas Microsoft Distributed COM/Microsoft RPC y un mecanismo de autenticación para comunicarse con el controlador de Windows Active Directory en el dominio de Active Directory. Es el demonio wmic del dispositivo el que extrae la información del dispositivo del registro de eventos del dominio de Active Directory.
El demonio wmic también supervisa el registro de eventos de Active Directory en busca de cambios mediante la misma interfaz DCOM de WMI. Cuando se producen cambios, el dispositivo ajusta su tabla de autenticación de identidad de dispositivo local para reflejar dichos cambios.
A partir de Junos OS versión 17.4R1, puede asignar direcciones IPv6 a los controladores de dominio de Active Directory y al servidor LDAP. Antes de Junos OS versión 17.4R1, solo se podían asignar direcciones IPv4.
Topología
En este ejemplo, los usuarios que pertenecen a la zona de marketing quieren tener acceso a los recursos de los servidores corporativos internos. El control de acceso se basa en la identidad del dispositivo. En este ejemplo, los equipos de la empresa se especifican como la identidad del dispositivo. Por lo tanto, la acción de política de seguridad solo se aplica a los dispositivos que se ajustan a esa especificación y coinciden con los criterios de la política de seguridad. Es el dispositivo al que se le concede o deniega el acceso a los recursos del servidor. El acceso no se controla en función de la identificación del usuario.
Se establecen dos zonas de la serie SRX: una que incluye los dispositivos de red (marketing-zone) y otra que incluye los servidores internos (servers-zone). La interfaz del firewall de la serie SRX ge-0/0/3.1, cuya dirección IP es 192.0.2.18/24, está asignada a la zona de comercialización. La interfaz de firewall de la serie SRX ge-0/0/3.2, cuya dirección IP es 192.0.2.14/24, está asignada a la zona de servidores.
Estos ejemplos cubren la siguiente actividad:
-
El firewall de la serie SRX se conecta al controlador de dominio de Active Directory mediante la interfaz DCOM de WMI para obtener información acerca de los dispositivos autenticados por Active Directory.
Cuando un usuario inicia sesión en la red y se autentica, la información sobre el dispositivo del usuario se escribe en el registro de eventos.
-
La serie SRX extrae la información del dispositivo del registro de eventos del controlador de dominio de Active Directory.
-
La serie SRX utiliza la información extraída para obtener una lista de los grupos a los que pertenece el dispositivo desde el servidor LDAP de Active Directory.
-
La serie SRX crea una tabla de autenticación de identidad de dispositivo local y almacena la información de identidad del dispositivo que obtuvo del controlador de dominio y del servidor LDAP en la tabla.
-
Cuando el tráfico de un dispositivo llega al firewall de la serie SRX, la serie SRX comprueba en la tabla de autenticación de identidad del dispositivo una entrada coincidente para el dispositivo que emitió el tráfico.
-
Si la serie SRX encuentra una entrada coincidente para el dispositivo que solicita acceso, comprueba en la tabla de políticas de seguridad una política de seguridad cuyo
source-end-user-profilecampo especifique un perfil de identidad de dispositivo con una especificación de identidad de dispositivo que coincida con la del dispositivo que solicita acceso. -
La política de seguridad correspondiente se aplica al tráfico que se emite desde el dispositivo.
La figura 1 muestra la topología de este ejemplo.
de autenticación
Configuración
Para configurar la característica de identidad de dispositivo en un entorno de Active Directory, realice estas tareas:
- Configuración rápida de CLI
- Configuración de la característica de autenticación de identidad de dispositivo de firewall de usuario integrado en un entorno de Active Directory
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.
set interfaces ge-0/0/3.1 family inet address 192.0.2.18/24
set interfaces ge-0/0/3.2 family inet address 192.0.2.14/24
set security zones security-zone marketing-zone interfaces ge-0/0/3.1 host-inbound-traffic system-services all
set security zones security-zone marketing-zone interfaces ge-0/0/3.1 host-inbound-traffic protocols all
set security zones security-zone servers-zone interfaces ge-0/0/3.2 host-inbound-traffic system-services all
set security zones security-zone servers-zone interfaces ge-0/0/3.2 host-inbound-traffic protocols all
set services user-identification device-information authentication-source active-directory
set services user-identification device-information end-user-profile profile-name marketing-west-coast domain-name example.net
set services user-identification device-information end-user-profile profile-name marketing-west-coast attribute device-identity string company-computers
set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match source-address any destination-address any
set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match application any
set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match source-end-user-profile marketing-west-coast
set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access then permit
set services user-identification active-directory-access domain example.net user user1 password pswd
set services user-identification active-directory-access domain example.net domain-controller dc-example address 203.0.113.0
set services user-identification active-directory-access domain example.net ip-user-mapping discovery-method wmi event-log-scanning-interval 30
set services user-identification active-directory-access domain example.net ip-user-mapping discovery-method wmi initial-event-log-timespan 1
set services user-identification active-directory-access domain example.net user-group-mapping ldap authentication-algorithm simple
set services user-identification active-directory-access domain example.net user-group-mapping ldap address 198.51.100.9 port 389
set services user-identification active-directory-access domain example.net user-group-mapping ldap base dc=example,dc=net
set services user-identification active-directory-access authentication-entry-timeout 100
set services user-identification active-directory-access wmi-timeout 60
Configuración de la característica de autenticación de identidad de dispositivo de firewall de usuario integrado en un entorno de Active Directory
Procedimiento paso a paso
Este procedimiento incluye las instrucciones de configuración necesarias para configurar el firewall de la serie SRX de modo que admita la característica de autenticación de identidad de dispositivo en un entorno de Active Directory.
-
Configure las interfaces que se utilizarán para la zona de marketing y la zona de servidores.
[edit interfaces] user@host# set ge-0/0/3.1 family inet address 192.0.2.18/24 user@host# set ge-0/0/3.2 family inet address 192.0.2.14/24 -
Configure la zona de marketing y la zona de servidores y asígneles interfaces.
[edit security zones] user@host# set security-zone marketing-zone interfaces ge-0/0/3.1 host-inbound-traffic system-services all user@host# set security-zone marketing-zone interfaces ge-0/0/3.1 host-inbound-traffic protocols all user@host# set security-zone servers-zone interfaces ge-0/0/3.2 host-inbound-traffic system-services all user@host# set security-zone servers-zone interfaces ge-0/0/3.2 host-inbound-traffic protocols all -
Configure el origen de autenticación para especificar Microsoft Active Directory. Debe especificar el origen de autenticación para que funcione la característica de identidad del dispositivo. Este es un valor obligatorio.
[edit services user-identification] user@host# set device-information authentication-source active-directory -
Configure la especificación de identidad de dispositivo para el perfil de identidad de dispositivo, que también se conoce como
end-user-profile.[edit services user-identification] user@host# set device-information end-user-profile profile-name marketing-west-coast domain-name example.net user@host#set device-information end-user-profile profile-name marketing-west-coast attribute device-identity string company-computers -
Configure una política de seguridad, denominada mark-server-access, que haga referencia al perfil de identidad del dispositivo denominado marketing-west-coast. La política de seguridad permite que cualquier dispositivo que pertenezca a la zona de comercialización (y que coincida con la especificación del perfil de identidad del dispositivo) acceda a los recursos del servidor de destino.
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy mark-server-access match source-address any destination-address any user@host# set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match source-end-user-profile marketing-west-coast user@host# set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access match application any user@host# set security policies from-zone marketing-zone to-zone servers-zone policy mark-server-access then permit -
Configure el firewall de la serie SRX para comunicarse con Active Directory y utilizar el servicio LDAP.
Para obtener la información de grupo necesaria para implementar la función de autenticación de identidad de dispositivo, el firewall de la serie SRX utiliza el Protocolo ligero de acceso a directorios (LDAP). La serie SRX actúa como un cliente LDAP que se comunica con un servidor LDAP. Normalmente, el controlador de dominio de Active Directory actúa como servidor LDAP. El módulo LDAP del dispositivo, de forma predeterminada, consulta Active Directory en el controlador de dominio.
[edit services user-identification] user@host# set active-directory-access domain example.net user user1 password pswd user@host# set active-directory-access domain example.net domain-controller dc-example address 203.0.113.0 user@host# set active-directory-access domain example.net ip-user-mapping discovery-method wmi event-log-scanning-interval 30 user@host# set active-directory-access domain example.net ip-user-mapping discovery-method wmi initial-event-log-timespan 1 user@host set active-directory-access domain example.net user-group-mapping ldap address 198.51.100.9 port 389 user@host# set active-directory-access domain example.net user-group-mapping ldap base dc=example,dc=net user@host# set active-directory-access domain example.net user-group-mapping ldap authentication-algorithm simple user@host# set active-directory-access authentication-entry-timeout 100 user@host# set active-directory-access wmi-timeout 60
Resultados
Ingrese show interfaces al modo de configuración.
user@host#show interfaces
ge-0/0/3 {
unit 1 {
family inet {
address 192.0.2.18/24;
}
}
unit 2 {
family inet {
address 192.0.2.14/24;
}
}
}
Ingrese show security zones al modo de configuración.
user@host#show security zones
security-zone marketing-zone {
interfaces {
ge-0/0/3.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone servers-zone {
interfaces {
ge-0/0/3.2 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
Ingrese show services user-identification device-information end-user-profile al modo de configuración.
user@host#show services user-identification device-information end-user-profile
domain-name example.net
attribute device-identity {
string company-computers;
}
Ingrese show services user-identification device-information authentication-source al modo de configuración.
user@host#show services user-identification device-information authentication-source active-directory;
Ingrese show security policies al modo de configuración.
user@host#show security policies
from-zone marketing-zone to-zone servers-zone {
policy mark-server-access {
match {
source-address any;
destination-address any;
application any;
source-end-user-profile {
marketing-west-coast;
}
}
then {
permit;
}
}
}
Ingrese show services user-identification active-directory-access al modo de configuración.
user@host#show services user-identification active-directory-access
domain example-net {
user {
user1;
password $ABC123; ## SECRET-DATA
}
ip-user-mapping {
discovery-method {
wmi {
event-log-scanning-interval 30;
initial-event-log-timespan 1;
}
}
}
user-group-mapping {
ldap {
base dc=example,DC=net;
address 198.51.100.9 {
port 389;
}
}
}
}
Ingrese show services user-identification active-directory-access domain example-net al modo de configuración.
user@host#show services user-identification active-directory-access domain example-net
user {
user1;
password $ABC123 ## SECRET-DATA
}
domain-controller dc-example {
address 203.0.113.0;
}
Verificación
Comprobar el contenido de la tabla de autenticación de identidad del dispositivo
Propósito
Compruebe que la tabla de autenticación de identidad del dispositivo contiene las entradas esperadas y sus grupos.
Acción
En este caso, la tabla de autenticación de identidad del dispositivo contiene tres entradas. El siguiente comando muestra amplia información para las tres entradas.
Introduzca show services user-identification device-information table all extensive el comando en modo operativo para mostrar el contenido de la tabla.
Salida de muestra
nombre-comando
Domain: example.net
Total entries: 3
Source IP: 192.0.2.19
Device ID: example-dev1
Device-Groups: device_group1,
device_group2,device_group3,
device_group4, device_group5
device-identity: company-computers
Location1: us1
Referred by: mark-server-access
Source IP: 192.0.2.22
Device ID: example-dev2
Device-Groups: device_group06,
device_group7, device_group8,
device_group9, device_group10
device-identity: company-computers
Location1: us1
Referred by: mark-server-access
Source IP: 192.0.2.19
Device ID: example-dev3
Device-Groups: device_group1, device_group2,
device_group3, device_group4, device_group5
device-identity: company-computers
Location1: us1
Referred by: mark-server-access
Significado
La tabla debe contener entradas con información para todos los dispositivos autenticados y los grupos a los que pertenecen.
Ejemplo: configurar la información de identidad de usuario para el registro de sesión basado en la zona de origen
En este ejemplo se muestra cómo configurar la característica de identidad de usuario basada en zona de firewall de usuario integrado que dirige al sistema a registrar información de identidad de usuario basada en la zona de origen (zona de) configurada en la directiva de seguridad. La característica de identidad de usuario basada en zonas amplía el ámbito de los usuarios cuya información de identidad se escribe en el registro para incluir a todos los usuarios que pertenecen a la zona cuyo tráfico coincide con la directiva de seguridad.
Requisitos
Esta función se admite a partir de Junos OS 15.1X49-D60 y Junos OS versión 17.3R1. Puede configurar y ejecutar esta función en cualquiera de los firewalls de la serie SRX compatibles actualmente, a partir de Junos OS 15.1X49-D60.
Visión general
En este ejemplo se muestra cómo configurar un firewall de usuario integrado para registrar información de identidad de usuario en el registro de sesión en función de la zona de origen de la directiva de seguridad. Para que esto ocurra, la zona especificada como zona de origen debe configurarse para el registro de identidad de origen. Para el registro de identidad de usuario basado en zonas, las acciones de la política de seguridad deben incluir eventos de creación de sesión (session-init) y de cierre de sesión (session-close).
Cuando se cumplen todas las condiciones, el nombre del usuario se escribe en el registro al principio de la sesión (o inicialización de la sesión) y al comienzo del cierre de la sesión (o desmontaje de la sesión). Tenga en cuenta que si una directiva de seguridad deniega al usuario el acceso al recurso, se escribe en el registro una entrada que identifica al usuario por su nombre, es decir, si se configura el cierre de sesión.
Cuando se usa la característica de identidad de usuario basada en zonas, es la zona de origen (zona de) de la directiva de seguridad la que inicia el evento de registro de identidad de usuario.
Antes de la introducción de esta característica, era necesario incluir la tupla de identidad de origen (identidad-origen) en una política de seguridad para dirigir el sistema a escribir información de identidad de usuario en el registro, es decir, el nombre de usuario o el nombre de grupo. La identidad de usuario se escribió en el registro si la tupla de identidad de origen se configuró en cualquiera de las directivas de un par de zonas que coincidía con el tráfico del usuario y se configuró el registro de cierre de sesión.
Sin embargo, la característica de identidad de origen es específica de un usuario individual o un grupo de usuarios y restringe la aplicación de la directiva de seguridad a ese respecto.
Es el nombre de usuario almacenado en la tabla local de Active Directory que el sistema escribe en el registro cuando la zona de origen de la directiva está configurada para el registro de identidad de usuario. El firewall de la serie SRX obtenía previamente la información de identidad del usuario leyendo el registro de sucesos del controlador de dominio. El firewall de la serie SRX almacenó esa información en su tabla de Active Directory.
Puede usar la tupla de identidad de origen en una política de seguridad que también especifique como zona de origen una zona configurada para el registro de identidad de usuario. Dado que el firewall de usuario integrado recopila los nombres de los grupos a los que pertenece un usuario de los controladores de dominio de Microsoft solo cuando el firewall de usuario integrado se basa en la tupla de identidad de origen, si usa la característica de registro de identidad de usuario basada en zonas sin configurar también la identidad de origen, el registro contendrá solo el nombre del usuario que solicita el acceso y no los grupos a los que pertenece el usuario.
Después de configurar una zona para admitir el registro de identidad de origen, la zona se puede reutilizar como especificación de zona de origen en cualquier directiva de seguridad para la que desee registrar información de identidad de usuario.
En resumen, el nombre del usuario se escribe en el registro si:
El usuario pertenece a la zona configurada para el registro de identidad de origen.
El usuario emite una solicitud de acceso a recursos cuyo tráfico generado coincide con una política de seguridad cuya tupla de zona de origen (zona de) especifica una zona calificada.
La política de seguridad incluye como parte de sus acciones los eventos session initialize (session-init) y session end (session-close).
Los beneficios de la función de registro de identidad de origen incluyen la capacidad de:
Abarca una amplia gama de usuarios en una sola especificación, es decir, todos los usuarios que pertenecen a una zona configurada para el registro de identidad de origen.
Continúe usando un intervalo de direcciones para la dirección de origen en una política de seguridad sin perder el registro de identidad del usuario.
Reutilice una zona configurada para el registro de identidad de origen en más de una política de seguridad.
Dado que se configura independientemente de la directiva de seguridad, puede especificar la zona como zona de origen en una o varias directivas.
La identidad de usuario no se registra si especifica una zona configurada para el registro de identidad de usuario basada en zona como zona de destino en lugar de como zona de origen.
Para que esta función funcione, debe configurar la siguiente información:
La instrucción de registro de identidad de origen configurada para una zona que se usa como zona de origen (zona de) en la directiva de seguridad prevista.
Una política de seguridad que especifique:
Una zona calificada como su zona de origen.
Los eventos session-init y session-closing como parte de sus acciones.
Configuración
Para configurar la característica de registro de identidad de origen, realice estas tareas:
- Configuración rápida de CLI
- Configuración de una zona para admitir el registro de identidad de origen y uso de ella en una directiva de seguridad
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security zones security-zone trust source-identity-log set security policies from-zone trust to-zone untrust policy appfw-policy1 match source-address any destination-address any application junos-ftp set security policies from-zone trust to-zone untrust policy appfw-policy1 then permit set security policies from-zone trust to-zone untrust policy appfw-policy1 then log session-init set security policies from-zone trust to-zone untrust policy appfw-policy1 then log session-close
Configuración de una zona para admitir el registro de identidad de origen y uso de ella en una directiva de seguridad
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Configure el registro de identidad de origen para la zona de confianza. Cuando esta zona se utiliza como zona de origen en una política de seguridad, el sistema escribe la información de identidad del usuario en el registro de sesión de todos los usuarios a los que se aplica la política de seguridad.
[edit security] user@host# set zones security-zone trust source-identity-log
Configure una política de seguridad denominada appfw-policy1 que especifique la confianza de zona como término para su zona de origen. El registro de identidad de origen se aplica a cualquier usuario cuyo tráfico coincida con las tuplas de la directiva de seguridad.
Esta política de seguridad permite al usuario acceder al servicio junos-ftp. Cuando se establece la sesión para el usuario, se registra la identidad del usuario. También se registra al final de la sesión.
[edit security] user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 match source-address any destination-address any application junos-ftp user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 then permit
Configure las acciones de la política de seguridad appfw-policy1 para incluir el registro de los eventos de inicio y cierre de sesión.
Nota:Debe configurar la directiva de seguridad para registrar los eventos de inicio y cierre de sesión para que la función de registro de identidad de origen surta efecto. La información de identidad del usuario se escribe en el registro junto con estos eventos.
[edit security] user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 then log session-init user@host# set policies from-zone trust to-zone untrust policy appfw-policy1 then log session-close
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security zones comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Verificación
En esta sección se muestra el registro de sesión generado para la sesión de usuario. El resultado del registro:
Muestra el nombre de usuario, usuario1, que aparece al principio de la sesión abierta y de nuevo al comienzo del cierre de la sesión.
La configuración de la directiva de seguridad que provocó que el nombre de usuario se escribiera en el registro especifica la zona de confianza como su zona de origen. La confianza de zona se configuró para el registro de identidad de origen.
Incluye información obtenida del tráfico de solicitudes del usuario, los criterios de coincidencia de directivas y la configuración de NAT.
Contiene información de identidad sobre el usuario, que se obtiene de la base de datos de Active Directory. Esa información incluye el parámetro de rol para "MyCompany/Administrator", que muestra los grupos a los que pertenece el usuario.
En este escenario, el usuario solicitó acceso al servicio junos-ftp de Juniper Networks, que también registra el registro. En la tabla 1 se indican las partes del registro que son específicas de la configuración de la función de registro de identidad de origen:
Creación de sesión Este es el inicio de sesión que comienza la primera sección del registro que registra la información de configuración de la sesión. El nombre del usuario, user1, se muestra al principio de la grabación del registro de creación de sesión. |
usuario1 RT_FLOW_SESSION_CREATE |
La creación de sesión va seguida de información estándar que define la sesión en función del tráfico del usuario que coincida con las tuplas de la política de seguridad. |
|
dirección de origen, el puerto de origen, la dirección de destino, el puerto de destino. |
source-address="198.51.100.13/24" source-port="635" destination-address="198.51.100.10/24" destination-port="51" |
Servicio de aplicaciones Este es el servicio de aplicación al que el usuario solicitó acceso y que la política de seguridad permitía. |
service-name="junos-ftp" |
zona de origen, zona de destino Más abajo en el registro están las especificaciones de zona que muestran la confianza como la zona de origen y la no confianza como la zona de destino tal como se define. |
source-zone-name="trust" destination-zone-name="untrust" |
Cierre de sesión Esta es la iniciación del cierre de sesión, que comienza la segunda parte del registro de registro que cubre el desmontaje y cierre de la sesión. El nombre del usuario, user1, se muestra al principio del registro de cierre de sesión. |
usuario1 RT_FLOW - RT_FLOW_SESSION_CLOSE |
Comprobar que se registró la información de identidad del usuario
Propósito
Tenga en cuenta que el firewall de usuario integrado recopila grupos configurados como identidad de origen solo de los controladores de dominio de Microsoft. Si utiliza la característica de identidad de usuario basada en zonas sin configurar la identidad de origen, el registro solo contendrá el nombre del usuario, es decir, no se registrará ninguna información de grupo. En ese caso, la sección "roles=" del registro mostrará "N/A". En el ejemplo siguiente, se supone que se utilizó la tupla source-identity y la sección "roles=" muestra una larga lista de los grupos a los que pertenece el usuario "Administrator".
Acción
Mostrar la información de registro.
Salida de muestra
nombre-comando
<14>1 2015-01-19T15:03:40.482+08:00 user1 RT_FLOW - RT_FLOW_SESSION_CREATE [user@host2636 192.0.2.123 source-address=”198.51.100.13“ source-port=”635” destination-address=”198.51.100.10” destination-port=”51” service-name=”junos-ftp” nat-source-address=”203.0.113.10” nat-source-port=”12349” nat-destination-address ="198.51.100.13" nat-destination-port="3522" nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="appfw-policy1" source-zone-name="trust" destination-zone-name="untrust" session-id-22="12245" username="MyCompany/Administrator " roles="administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Owners, example-team, Domain Admins" packet-incoming-interface="ge-0/0/0.1" application="UNKNOWN" nested-application="UNKNOWN" encrypted="UNKNOWN"] session created 192.0.2.1/21 junos-ftp 10.1.1.12/32898->10.3.1.10/21 junos-ftp 10.1.1.1/547798->10.1.2.10/21 None None 6 appfw-policy1 trust untrust 20000025 MyCompany/Administrator (administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Ownersexample-team, Domain Admins) ge-0/0/0.0 UNKNOWN UNKNOWN UNKNOWN <14>1 2015-01-19T15:03:59.427+08:00 user1 RT_FLOW - RT_FLOW_SESSION_CLOSE [user@host2636 192.0.2.123 reason="idle Timeout” source-address=”198.51.100.13“ source-port=”635”" destination-address=”198.51.100.10” destination-port=”51" service-name="junos-ftp" nat-source-address="203.0.113.10" nat-source-port="12349" nat-destination-address ="198.51.100.13" "nat-destination-port="3522" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="6" policy-name="appfw-policy1" source-zone-name="trust" destination-zone-name="untrust"session-id-32="20000025" packets-from-client="3" bytes-from-client="180" packets-from-server="0" bytes-from-server="0" elapsed-time="19" application="INCONCLUSIVE" nested-application="INCONCLUSIVE" username=" J “MyCompany /Administrator” roles="administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Owners, example-team, Domain Admins" packet-incoming-interface="ge-0/0/0.1" encrypted="UNKNOWN"] session closed idle Timeout: 111.1.1.10/1234>10.1.1.11/21 junos-ftp 10.1.1.12/32898->10.3.1.10/21 1 None None 6 appfw-policy1 trust untrust 20000025 3(180) 0(0) 19 INCONCLUSIVE INCONCLUSIVE MyCompany/Administrator (administrators, Users, Enterprise Admins, Schema Admins, ad, Domain Users, Group Policy Creator Owners, example-team, Domain Admins) ge-0/0/0.1 UNKNOWN
Configurar Active Directory como origen de identidad en el firewall
En la tabla 2 se describen los pasos para configurar Active Directory como origen de identidad en el firewall.
| Paso de configuración |
Mandar |
|---|---|
| Paso 1: Configurar la tabla de autenticación Puede configurar la tabla de autenticación de Active Directory. Puede configurar la opción de prioridad. |
Tabla de autenticación
Prioridad de la tabla de autenticación
|
| Paso 2: Configurar el tiempo de espera Puede configurar una entrada de autenticación válida y un tiempo de espera de entrada de autenticación no válido para las entradas de la tabla de autenticación. El intervalo predeterminado Puede ver la información de tiempo de espera para las entradas de la tabla de autenticación. |
Entradas de autenticación válidas
Entradas de autenticación no válidas
Ver información de tiempo de espera
|
| Paso 3: Configurar la comprobación y las estadísticas del registro de eventos de Windows Puede comprobar que la tabla de autenticación obtiene información de la dirección IP y del usuario. Puede ver estadísticas sobre la lectura del registro de eventos. Puede configurar la autenticación de firewall como copia de seguridad en WMIC |
Comprobación del registro de eventos de Windows
Estadísticas del registro de eventos de Windows
Autenticación de firewall como copia de seguridad en WMIC
|
| Paso 4: Configurar el sondeo de PC de dominio El sondeo a petición está habilitado de forma predeterminada. Puede deshabilitar el sondeo a petición. Cuando el sondeo a petición está deshabilitado, el sondeo manual está disponible. Puede configurar el valor del tiempo de espera del sondeo. El tiempo de espera predeterminado es de 10 segundos. Puede mostrar estadísticas de sonda. |
Deshabilitar el sondeo a petición
Habilitar el sondeo manual
Valor del tiempo de espera del sondeo
Mostrar estadísticas de sonda
|
| Paso 5: Configurar el estado y las estadísticas del servidor LDAP Puede verificar el estado de la conexión LDAP. Puede ver los recuentos de las consultas realizadas al servidor LDAP. |
Estado del servidor LDAP
Estadísticas del servidor LDAP
|
Configurar Active Directory como origen de identidad en dispositivos NFX
En un escenario típico para la característica de firewall de usuario integrado, los usuarios del dominio desean acceder a Internet a través de un dispositivo NFX. El dispositivo lee y analiza el registro de eventos de los controladores de dominio configurados en el dominio. Por lo tanto, el dispositivo detecta usuarios de dominio en un controlador de dominio de Active Directory. El dominio de Active Directory genera una tabla de autenticación como origen de autenticación de Active Directory para el firewall de usuario integrado. El dispositivo utiliza esta información para aplicar la directiva con el fin de lograr un control de acceso basado en el usuario o en grupos.
Cuando se crea un nuevo usuario en Active Directory (AD), el usuario se agrega al grupo de seguridad global Grupo principal, que es de forma predeterminada Usuarios del dominio. El grupo principal es menos específico que otros grupos creados en AD porque todos los usuarios pertenecen a él. Además, puede llegar a ser muy grande.
No puede usar el grupo principal, ya sea por su nombre predeterminado de Usuarios del dominio o cualquier otro nombre, si lo cambió, en configuraciones de firewall de usuario integradas.
Para establecer un dominio de Windows Active Directory y configurar otra directiva de seguridad:
Para comprobar que la configuración funciona correctamente:
Compruebe que al menos un controlador de dominio está configurado y conectado escribiendo el show services user-identification active-directory-access domain-controller status comando.
Compruebe que el servidor LDAP proporciona información de asignación de usuario a grupo introduciendo el show services user-identification active-directory-access user-group-mapping status comando.
Compruebe las entradas de la tabla de autenticación introduciendo el show services user-identification active-directory-access active-directory-authentication-table all comando. Las direcciones IP, los nombres de usuario y los grupos se muestran para cada dominio.
Para verificar la asignación de IP a usuario, ingrese el show services user-identification active-directory-access statistics ip-user-mapping comando. Se muestran los recuentos de las consultas y las consultas erróneas.
Compruebe que se están produciendo sondeos IP escribiendo el show services user-identification active-directory-access statistics ip-user-probe comando.
Compruebe que se están consultando las asignaciones de usuario a grupo escribiendo el show services user-identification active-directory-access statistics user-group-mapping comando.