Configurar métodos de autenticación de usuario
La autenticación PassThrough y la autenticación web son los dos métodos de autenticación para autenticar a los usuarios.
Descripción de la autenticación PassThrough
La autenticación de usuario PassThrough es una forma de autenticación activa; Se solicita al usuario que escriba un nombre de usuario y una contraseña cuando se invoca la autenticación PassThrough. Si se valida la identidad del usuario, se le permite pasar a través del firewall y obtener acceso a los recursos solicitados.
Cuando un usuario intenta iniciar una solicitud de conexión HTTP, HTTPS, FTP o Telnet que tiene una directiva que requiere autenticación, el dispositivo intercepta la solicitud y le pide que escriba un nombre de usuario y una contraseña. En función de la configuración, el dispositivo valida el nombre de usuario y la contraseña comparándolos con los almacenados en la base de datos local o en un servidor de autenticación externo.
Si se utiliza un servidor de autenticación externo, después de recopilar las credenciales del usuario, éstas se procesan mediante la autenticación de usuario de firewall. Se admiten los siguientes servidores de autenticación externos:
Autenticación y autorización de RADIUS (compatible con los servidores Juniper Steel-Belted Radius)
Puede utilizar un servidor RADIUS externo si, además de la autenticación, desea obtener información de autorización sobre el derecho de acceso del usuario (lo que el usuario puede hacer en la red).
Solo autenticación LDAP (compatible con LDAP versión 3, compatible con Windows AD)
Solo autenticación SecurID (usa un servidor de autenticación externo RSA SecurID)
Un usuario de firewall es un usuario de red que debe proporcionar un nombre de usuario y una contraseña para la autenticación al iniciar una conexión a través del firewall. Puede juntar varias cuentas de usuario para formar un grupo de usuarios, que puede almacenar en la base de datos local o en un servidor RADIUS, LDAP o SecurID. Cuando se hace referencia a un grupo de usuarios de autenticación y a un servidor de autenticación externo en una directiva, el tráfico que coincide con la directiva desencadena una comprobación de autenticación.
Utilice family inet para asignar una dirección IPv4. Utilice family inet6 para asignar una dirección IPv6. Se puede configurar una interfaz con una dirección IPv4 y una dirección IPv6. En aras de la brevedad, estos ejemplos utilizan únicamente direcciones IPv4.
Los pasos de la figura 1 son los siguientes:
Un usuario cliente envía un paquete FTP, HTTP, HTTPS o Telnet a 198.51.100.9.
El dispositivo intercepta el paquete, observa que su política requiere autenticación desde la base de datos local o desde un servidor de autenticación externo, y almacena el paquete en búfer.
El dispositivo solicita al usuario información de inicio de sesión a través de FTP, HTTP, HTTPS o Telnet.
El usuario responde con un nombre de usuario y una contraseña.
El dispositivo comprueba si hay una cuenta de usuario de autenticación en su base de datos local o envía la información de inicio de sesión al servidor de autenticación externo como se especifica en la política.
Al encontrar una coincidencia válida (o recibir notificación de dicha coincidencia del servidor de autenticación externo), el dispositivo informa al usuario de que el inicio de sesión se ha realizado correctamente.
Para el tráfico HTTP, HTTPS o Telnet, el dispositivo reenvía el paquete desde su búfer a su dirección IP de destino, 198.51.100.9/24. Sin embargo, para el tráfico FTP, después de una autenticación correcta, el dispositivo cierra la sesión y el usuario debe volver a conectarse al servidor FTP en la dirección IP 198.51.100.9/24.
Por motivos de seguridad, se recomienda usar la redirección web en lugar de la autenticación directa de paso a través en las directivas de seguridad que configure para la autenticación paso a través de HTTP. El navegador web puede proporcionar seguridad al incluir automáticamente credenciales para solicitudes posteriores al servidor web de destino.
Después de que el dispositivo autentica a un usuario en una dirección IP de origen determinada, posteriormente permite el tráfico (como se especifica en la política que requiere autenticación a través del paso a través) de cualquier otro usuario en esa misma dirección. Este podría ser el caso si el usuario origina tráfico desde detrás de un dispositivo NAT que cambia todas las direcciones de origen originales a una única dirección traducida.
El método de autenticación de usuario de paso a través se recomienda en situaciones en las que la seguridad tiene una prioridad mayor que la conveniencia. Este método de autenticación solo se aplica a las sesiones de sesión y secundarias que coincidan con la directiva que lo desencadenó. Puede aplicar este método en vínculos orientados a Internet, si se usa con precaución.
Ejemplo: configuración de la autenticación PassThrough
En este ejemplo se muestra cómo configurar la autenticación PassThrough para autenticar a los usuarios del firewall. Un usuario de firewall es un usuario de red que debe proporcionar un nombre de usuario y una contraseña al iniciar una conexión a través del firewall.
La autenticación PassThrough permite a los administradores de la serie SRX restringir a los usuarios que intentan acceder a un recurso en otra zona mediante FTP, Telnet, HTTP o HTTPS. Si el tráfico coincide con una política de seguridad cuya acción es la autenticación pass-through, el usuario debe proporcionar información de inicio de sesión.
Para HTTPS, para garantizar la seguridad, el tamaño predeterminado de la clave de certificado HTTPS es de 2048 bits. Si no especifica un tamaño de certificado, se asume el tamaño predeterminado.
Requisitos
Antes de comenzar, defina los usuarios del firewall. Consulte Descripción general de la autenticación de usuario del firewall.
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Firewall serie SRX
Sistema del usuario del firewall
Sistema de destino de paquetes
Visión general
El proceso de autenticación PassThrough se activa cuando un cliente, denominado usuario de firewall, intenta iniciar una sesión FTP, Telnet o HTTP para tener acceso a un recurso de otra zona. El firewall de la serie SRX actúa como proxy para un servidor FTP, Telnet, HTTP o HTTPS para que pueda autenticar al usuario del firewall antes de permitir que el usuario tenga acceso al servidor FTP, Telnet o HTTP real detrás del firewall.
Si el tráfico generado a partir de una solicitud de conexión enviada por un usuario de firewall coincide con una regla de política de seguridad bidireccionalmente y esa regla especifica la autenticación de firewall de paso a través como la acción de su then cláusula, el firewall de la serie SRX requiere que el usuario del firewall se autentique en un servidor proxy de Junos OS.
Si la autenticación se realiza correctamente, el tráfico posterior desde la misma dirección IP de origen puede pasar automáticamente a través del firewall de la serie SRX si el tráfico coincide con las tuplas de la política de seguridad.
La figura 2 muestra la topología utilizada en este ejemplo.
Aunque la topología muestra el uso de un servidor externo, no está cubierta en la configuración. Está fuera del alcance de este ejemplo.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.35/24 set interfaces ge-5/0/0 unit 0 family inet address 192.0.2.1/24 set access profile FWAUTH client FWClient1 firewall-user password password set access firewall-authentication pass-through default-profile FWAUTH set access firewall-authentication pass-through telnet banner success "WELCOME TO JUNIPER TELNET SESSION" set security zones security-zone UT-ZONE host-inbound-traffic system-services all set security zones security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols all set security zones security-zone T-ZONE host-inbound-traffic system-services all set security zones security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols all set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address any set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address any set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match application junos-telnet set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication pass-through client-match FWClient1
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar la autenticación Pass-Through:
Configure dos interfaces y asígneles direcciones IP.
Nota:Para este ejemplo, es opcional asignar dos direcciones a las interfaces.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.35/24 user@host# set interfaces ge-5/0/0 unit 0 family inet address 192.0.2.1/24
Cree el perfil de acceso FWAUTH para el usuario FWClient1, especifique la contraseña del usuario y defina una pancarta de éxito para las sesiones de Telnet.
[edit access] user@host# set access profile FWAUTH client FWClient1 firewall-user password pwd user@host# set firewall-authentication pass-through default-profile FWAUTH user@host# set firewall-authentication pass-through telnet banner success "WELCOME TO JUNIPER TELNET SESSION"
Configure zonas de seguridad.
Nota:En este ejemplo, es opcional configurar una segunda interfaz para una zona de seguridad.
[edit security zones] user@host# set security-zone UT-ZONE host-inbound-traffic system-services all user@host# set security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols all user@host# set security-zone T-ZONE host-inbound-traffic system-services all user@host# set security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols all
Asigne la política de seguridad P1 a las zonas de seguridad.
[edit security policies] user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match application junos-telnet user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication pass-through client-match FWClient1
Utilice Telnet para autenticar al usuario del firewall FWClient1 en host2.
user@FWClient1# run telnet 192.0.2.1/24 Trying 192.0.2.1/24... Connected to 192.0.2.1/24 Escape character is '^]'. Firewall User Authentication Username: FWClient1 Password:$ABC123 WELCOME TO JUNIPER TELNET SESSION Host1 (ttyp0) login: user Password: $ABC123 --- JUNOS 10.1R1.1 built 2009-10-12 13:30:18 UTC %
Resultados
Desde el modo de configuración, confirme la configuración introduciendo estos comandos.
show interfaces
show access
show security zones
show security policies
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Para abreviar, el resultado solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).
user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 203.0.113.35; } } } ge-5/0/0 { unit 0 { family inet { address 192.0.2.1/24; } } } ...
user@host# show access profile FWAUTH { authentication-order password; client FWClient1 { firewall-user { password "$ABC123"; ## SECRET-DATA } } } firewall-authentication { pass-through { default-profile FWAUTH; telnet { banner { success "WELCOME TO JUNIPER TELNET SESSION"; } } } }
user@host# show security zones security-zone UT-ZONE { host-inbound-traffic { system-services { all; } } interfaces { ge-0/0/1.0 { host-inbound-traffic { protocols { all; } } } } security-zone T-ZONE { host-inbound-traffic { system-services { all; } } interfaces { ge-5/0/0.0 { host-inbound-traffic { protocols { all; } } } } }
user@host# show security policies ... from-zone UT-ZONE to-zone T-ZONE { policy P1 { match { source-address any; destination-address any; application junos-telnet; } then { permit { firewall-authentication { pass-through { client-match FWClient1; } } } } } }
Cuando haya terminado de configurar el dispositivo, escriba confirmar desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice esta tarea:
Comprobación de la autenticación de usuarios del firewall y supervisión de usuarios y direcciones IP en la tabla de autenticación
Propósito
Muestre el historial de usuarios de autenticación de firewall y compruebe el número de usuarios de firewall que se autenticaron correctamente y el número de usuarios de firewall que no pudieron iniciar sesión.
Acción
Desde el modo operativo, ingrese estos show
comandos:
user@host> show security firewall-authentication history History of firewall authentication data: Authentications: 2 Id Source Ip Date Time Duration Status User 1 203.0.113.12 2010-10-12 21:24:02 0:00:24 Failed FWClient1 2 203.0.113.12 2010-10-12 21:24:48 0:00:22 Success FWClient1
user@host> show security firewall-authentication history identifier 1 Username: FWClient1 Source IP: 203.0.113.12 Authentication state: Success Authentication method: Pass-through using Telnet Access start date: 2010-10-12 Access start time: 21:24:02 Duration of user access: 0:00:24 Source zone: UT-ZONE Destination zone: T-ZONE Access profile: FWAUTH Bytes sent by this user: 0 Bytes received by this user: 2660
user@host> show security firewall-authentication users Firewall authentication data: Total users in table: 1 Id Source Ip Src zone Dst zone Profile Age Status User 4 203.0.113.12 UT-ZONE T-ZONE FWAUTH 1 Success FWClient1
user@host> show security firewall-authentication users identifier 3 Username: FWClient1 Source IP: 203.0.113.12 Authentication state: Success Authentication method: Pass-through using Telnet Age: 3 Access time remaining: 9 Source zone: UT-ZONE Destination zone: T-ZONE Access profile: FWAUTH Interface Name: ge-0/0/1.0 Bytes sent by this user: 0 Bytes received by this user: 1521
Ejemplo: configurar el tráfico HTTPS para activar la autenticación PassThrough
En este ejemplo se muestra cómo configurar el tráfico HTTPS para desencadenar la autenticación PassThrough. HTTPS es más seguro que HTTP, por lo que se ha vuelto más popular y se usa más ampliamente.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Firewall serie SRX
Dos PC con Linux y Open SSL. Un PC actúa como cliente y otro como servidor HTTPS. Los dos PC se utilizan para crear archivos clave y enviar tráfico.
Junos OS versión 12.1X44-D10 o posterior para dispositivos SRX5400, SRX5600 y SRX5800 y Junos OS versión 15.1X49-D40 o posterior para firewall virtual vSRX, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M y puertas de enlace de servicios SRX1500.
A partir de Junos OS versión 12.1X44-D10 y Junos OS versión 17.3R1, la autenticación basada en HTTPS se introduce en dispositivos SRX5400, SRX5600 y SRX5800.
A partir de Junos OS versión 15.1X49-D40 y Junos OS versión 17.3R1, la autenticación basada en HTTPS se introduce en vSRX Virtual Firewall, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M y SRX1500 Services Gateways.
Antes de empezar:
Un firewall de la serie SRX tiene que descodificar el tráfico HTTPS para activar la autenticación PassThrough A continuación, el proxy de terminación SSL crea e instala un archivo de clave privada y un archivo de certificación. En la lista siguiente se describen los pasos para crear e instalar un archivo de clave privada y un archivo de clave de certificación.
Si tiene un archivo .crt oficial y un archivo .key , puede cargar e instalar directamente los archivos en el firewall de la serie SRX. Si no tiene un archivo .crt y .key archivo, siga el procedimiento para crear e instalar los archivos. Las instrucciones especificadas en los pasos 1 y 2 deben ejecutarse en un PC con Linux y OpenSSL instalados. Las instrucciones especificadas en los pasos 3 y 4 deben ejecutarse en modo operativo.
Para crear e instalar un archivo de clave privada y un archivo de certificación:
En un PC, cree el archivo .key .
openssl genrsa -out /tmp/server.key 1024
En un PC, cree el archivo .crt .
openssl req -new -x509 -days 365 -key /tmp/server.key -out /tmp/device.crt -subj "/C=CN/ST=BJ/L=BJ/O=JNPR/OU=CNRD/CN=203.0.113.11/emailAddress=device@mycompany.com"
-
Cargue los archivos .key y .crt en un firewall de la serie SRX e instale los archivos en el dispositivo mediante el siguiente comando desde el modo operativo:
user@host> request security pki local-certificate load filename /var/tmp/device.crt key /var/tmp/device.key certificate-id device
Visión general
La autenticación de firewall inicia una conexión segura que se establecerá a través de dos dispositivos. Un usuario de red debe proporcionar un nombre de usuario y una contraseña para la autenticación al iniciar una conexión a través del firewall. La autenticación de firewall admite tráfico HTTPS para la autenticación PassThrough. HTTPS puede proteger el tráfico de autenticación de firewall HTTP entre los usuarios y el firewall de la serie SRX.
HTTPS es la versión segura de HTTP, el protocolo a través del cual se envían datos entre el usuario y el dispositivo al que está conectado el usuario. Todas las comunicaciones entre el usuario y los dispositivos conectados están encriptadas. HTTPS se usa a menudo para proteger transacciones en línea altamente confidenciales, como la banca en línea y los formularios de pedidos de compras en línea.
En este ejemplo, el tráfico HTTPS se usa para activar la autenticación PassThrough porque HTTPS es más seguro que HTTP. Para que el tráfico HTTPS active la autenticación PassThrough, primero debe configurar el perfil de terminación SSL.
En la figura 3 se muestra un ejemplo de autenticación PassThrough mediante tráfico HTTPS. En este ejemplo, un host o un usuario de una zona que no es de confianza intenta tener acceso a los recursos de la zona de confianza. El firewall de la serie SRX utiliza HTTPS para recopilar la información de nombre de usuario y contraseña. El tráfico posterior del host o usuario se permite o deniega en función del resultado de esta autenticación.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.12/24 set interfaces ge-1/0/0 unit 0 family inet address 203.0.113.1/24 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through access-profile local_pf set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through ssl-termination-profile ssl_pf set security policies from-zone trust to-zone untrust policy p1 then log session-init set security policies from-zone trust to-zone untrust policy p1 then log session-close set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-1/0/0.0 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-1/0/0.0 host-inbound-traffic protocols all set access profile local_pf client user1 firewall-user password <password> set access firewall-authentication pass-through default-profile local_pf set services ssl termination profile ssl_pf server-certificate device
Procedimiento
Procedimiento paso a paso
Para configurar el tráfico HTTPS para activar la autenticación PassThrough:
Configure interfaces y asigne direcciones IP.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.0.2.12/24 user@host# set ge-1/0/0 unit 0 family inet address 203.0.113.1/24
Configure políticas de seguridad para permitir el tráfico autenticado por firewall de la zona de confianza a la zona de no confianza.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through access-profile local_pf user@host# set from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through ssl-termination-profile ssl_pf
Especifique una acción de directiva que se va a realizar cuando un paquete coincide con los criterios.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any user@host# set from-zone trust to-zone untrust policy p1 match destination-address any user@host# set from-zone trust to-zone untrust policy p1 match application any user@host# set from-zone trust to-zone untrust policy p1 then log session-init user@host# set from-zone trust to-zone untrust policy p1 then log session-close
Configure zonas de seguridad y asigne interfaces.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols all user@host# set security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all
Configure los servicios de aplicación por zonas.
[edit security zones] user@host# set security-zone trust host-inbound-traffic system-services all protocols all user@host# set security-zone untrust host-inbound-traffic system-services all protocols all
Cree un perfil de acceso, configure el cliente como usuario de firewall y establezca la contraseña.
[edit access] user@host# set profile local_pf client user1 firewall-user password <password>
Configure el tipo de firewall y el nombre de perfil predeterminado donde se definen las opciones de autenticación.
[edit access] user@host# set firewall-authentication pass-through default-profile local_pf
Configure el perfil de terminación SSL e introduzca un nombre de identificador de certificado local.
[edit services] user@host# set ssl termination profile ssl_pf server-certificate device
Resultados
Desde el modo de configuración, escriba los comandos , show security policies
, show access
show security zones
, y show services ssl termination
para confirmar la show interfaces
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show interfaces ... interfaces ge-0/0/0 { unit 0 { family inet { address 192.0.2.12; } } } ge-1/0/0 { unit 0 { family inet { address 203.0.113.1/24; } } }
user@host# show security policies ... policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit { firewall-authentication { pass-through { access-profile local_pf; ssl-termination-profile ssl_pf; } } } log { session-init; session-close; } } } } }
user@host# show security zones ... zones { security-zone trust { interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } security-zone untrust { interfaces { ge-1/0/0.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } }
user@host# show access ... access { profile local_pf { client user1 { firewall-user { password password; } } } firewall-authentication { pass-through { default-profile local_pf; } }
user@host# show services ssl termination ... services { ssl { termination { profile ssl_pf { server-certificate device; } } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Verificación de la configuración
Propósito
Compruebe que la configuración es correcta.
Acción
Desde el modo operativo, escriba el comando para el show security firewall-authentication users
identificador 1.
user@host> show security firewall-authentication users identifier 1 Username: user1 Source IP: 203.0.113.1/24 Authentication state: Success Authentication method: Pass-through using HTTPS Age: 0 Access time remaining: 10 Lsys: root-logical-system Source zone: trust Destination zone: untrust Access profile: local_pf Interface Name: ge-0/0/0.0 Bytes sent by this user: 946 Bytes received by this user: 0
Significado
El show security firewall-authentication users
comando muestra la información del usuario de autenticación del firewall para el identificador especificado. Si el resultado muestra PassThrough mediante HTTPS en el campo Método de autenticación y Correcto en el campo Estado de autenticación, la configuración es correcta.
Descripción de la autenticación web
La autenticación web es una alternativa a la autenticación de usuario de paso a través. En lugar de señalar al recurso al que desea conectarse desde el explorador cliente, apunte el explorador a una dirección IP del dispositivo que esté habilitada para la autenticación Web. Esto inicia una sesión HTTP en la dirección IP que aloja la función de autenticación web en el dispositivo. Luego, el dispositivo le pedirá su nombre de usuario y contraseña y almacena en caché el resultado en el dispositivo. Más adelante, cuando el tráfico encuentre una directiva de autenticación web, se le permitirá o denegará el acceso según los resultados anteriores de la autenticación web, como se muestra en la figura 4.
Utilice family inet para asignar una dirección IPv4. Utilice family inet6 para asignar una dirección IPv6. Se puede configurar una interfaz con una dirección IPv4 y una dirección IPv6. En aras de la brevedad, estos ejemplos utilizan únicamente direcciones IPv4.
Siga estas directrices de autenticación web:
Puede dejar el servidor de autenticación web predeterminado como base de datos local o puede elegir un servidor de autenticación externo para el rol. El perfil de autenticación web predeterminado determina si el usuario se autentica mediante la base de datos local o el servidor de autenticación externo. Un perfil de acceso almacena los nombres de usuario y contraseñas de los usuarios o apunta a servidores de autenticación externos donde se almacena dicha información.
La dirección de autenticación web debe estar en la misma subred que la interfaz que desea usar para hospedarla. Por ejemplo, si desea que los usuarios de autenticación se conecten mediante la autenticación web a través de ethernet3, que tiene la dirección IP 203.0.113.1/24, puede asignar a la autenticación web una dirección IP en la subred 203.0.113.0/24.
Puede colocar una dirección de autenticación web en la misma subred que la dirección IP de cualquier interfaz física o interfaz de seguridad virtual (VSI). (Para obtener información acerca de los diferentes tipos de interfaces, consulte Información general sobre zonas de seguridad.)
Puede colocar direcciones de autenticación web en varias interfaces.
Después de que un dispositivo autentica a un usuario en una dirección IP de origen determinada, posteriormente permite el tráfico (como se especifica en la política que requiere autenticación a través de la autenticación Web) desde cualquier otro usuario en esa misma dirección. Este podría ser el caso si el usuario origina tráfico desde detrás de un dispositivo NAT que cambia todas las direcciones de origen originales a una única dirección traducida.
Con la autenticación web habilitada, cualquier tráfico HTTP a la dirección IP obtendrá la página de inicio de sesión de autenticación web en lugar de la página de inicio de sesión de administrador. Al deshabilitar esta opción, se mostrará la página de inicio de sesión del administrador (suponiendo que
[system services web-management HTTP]
esté habilitada.Le recomendamos que tenga una dirección IP principal o preferida independiente, si se utiliza una dirección para la autenticación Web.
El método de autenticación web se recomienda en situaciones en las que los dispositivos cliente están inmediatamente adyacentes a la puerta de enlace de seguridad y existe una alta seguridad de que los dispositivos cliente no son hosts multiusuario. Este método de autenticación se aplica mejor a vínculos inalámbricos y DMZ, o vínculos de salas de conferencias.
Ejemplo: configuración de la autenticación web
En este ejemplo se muestra cómo habilitar la autenticación web y configurar una directiva que permita el acceso a un usuario cuando el tráfico encuentre una directiva que tenga habilitada la autenticación web.
Requisitos
Antes de empezar:
Defina los usuarios del firewall. Consulte Descripción general de la autenticación de usuario del firewall.
Agregue el indicador HTTP de autenticación web en la jerarquía de direcciones de la interfaz para habilitar la autenticación web.
Visión general
Para habilitar la autenticación web, debe especificar la dirección IP del dispositivo que aloja la sesión HTTP. Esta configuración se utiliza si el usuario del firewall que accede a un recurso protegido desea autenticarse accediendo directamente al servidor web o mediante autenticación web. Las siguientes instrucciones muestran cómo configurar una directiva que permite el acceso al usuario FWClient1 cuando el tráfico encuentra una directiva que tiene habilitada la autenticación web (Policy-W). (Consulte la figura 5.) En este ejemplo, FWClient1 ya se autenticó a través de la página de inicio de sesión de autenticación web.
El usuario del firewall FWClient1 hace lo siguiente para autenticarse:
Apunta el navegador a la IP de autenticación web (198.51.100.63/24) para autenticarse primero
Inicia el tráfico para acceder a los recursos especificados por la directiva Policy-W
Cuando configure el dispositivo como se describe en estas instrucciones y el usuario se autentique correctamente, aparecerá la pantalla ilustrada en la figura 6 .
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.23/24
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.63/24 web-authentication http
set interfaces fe-5/0/0 unit 0 family inet address 203.0.113.15/24
set access profile WEBAUTH client FWClient1 firewall-user password pwd
set access firewall-authentication web-authentication default-profile WEBAUTH
set access firewall-authentication web-authentication banner success "WEB AUTH LOGIN SUCCESS"
set security zones security-zone UT-ZONE host-inbound-traffic system-services all
set security zones security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols all
set security zones security-zone T-ZONE host-inbound-traffic system-services all
set security zones security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols all
set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address any
set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address any
set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match application any
set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication web-authentication client-match FWClient1
set system services web-management http interface ge-0/0/1.0
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar la autenticación web:
Configure dos interfaces y asígneles direcciones IP.
Nota:Para este ejemplo, es opcional asignar dos direcciones a las interfaces.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.23/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.63/24 web-authentication http user@host# set interfaces fe-5/0/0 unit 0 family inet address 203.0.113.15/24
Cree el perfil de acceso WEBAUTH para el usuario FWClient1, especifique la contraseña del usuario y defina un banner de éxito.
[edit access] user@host# set profile WEBAUTH client FWClient1 firewall-user password pwd user@host# set firewall-authentication web-authentication default-profile WEBAUTH user@host# set firewall-authentication web-authentication banner success "WEB AUTH LOGIN SUCCESS"
Configure zonas de seguridad.
Nota:En este ejemplo, es opcional configurar una segunda interfaz para una zona de seguridad.
[edit security zones] user@host# set security-zone UT-ZONE host-inbound-traffic system-services all user@host# set security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols all user@host# set security-zone T-ZONE host-inbound-traffic system-services all user@host# set security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols all
Asigne la política de seguridad P1 a las zonas de seguridad.
[edit security policies] user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match application any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication web-authentication client-match FWClient1
Active el proceso HTTP (demonio) en su dispositivo.
[edit] user@host# set system services web-management http interface ge-0/0/1.0
Resultados
Desde el modo de configuración, confirme la configuración introduciendo estos comandos:
show interfaces
show access
show security zones
show security policies
show system services
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Para mayor brevedad, este show
resultado incluye solo la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).
user@host# show interfaces ... } ge-0/0/1{ unit 0 { family inet { address 198.51.100.23/24 { address 198.51.100.63/24 { web-authentication http; } } } } fe-5/0/0 { unit 0 { family inet { address 198.51.100.14/24; } } } ... user@host# show access profile WEBAUTH { client FWClient1 { firewall-user { password "$ABC123"; ## SECRET-DATA } } } firewall-authentication { web-authentication { default-profile WEBAUTH; banner { success "WEB AUTH LOGIN SUCCESS"; } } } user@host# show security zones ... } security-zone UT-ZONE { host-inbound-traffic { system-services { all; } } interfaces { ge-0/0/1.0 { host-inbound-traffic { protocols { all; } } } } } security-zone T-ZONE { host-inbound-traffic { system-services { all; } } interfaces { ge-5/0/0.0 { host-inbound-traffic { protocols { all; } } } } } user@host# show security policies ... from-zone UT-ZONE to-zone T-ZONE { policy P1 { match { source-address any; destination-address any; application any; } then { permit { firewall-authentication { web-authentication { client-match FWClient1; } } } } } } user@host# show system services ... ftp; ssh; telnet; web-management { http { interface g-0/0/1.0; } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice esta tarea:
Comprobación de la autenticación de usuarios del firewall y supervisión de usuarios y direcciones IP en la tabla de autenticación
Propósito
Muestre el historial de usuarios de autenticación de firewall y compruebe el número de usuarios de firewall que se autenticaron correctamente y de usuarios de firewall que no pudieron iniciar sesión.
Acción
Desde el modo operativo, ingrese estos show
comandos:
user@host> show security firewall-authentication history user@host> show security firewall-authentication history identifier 1 user@host> show security firewall-authentication users user@host> show security firewall-authentication users identifier 3
user@host> show security firewall-authentication history
History of firewall authentication data:
Authentications: 1
Id Source Ip Date Time Duration Status User
5 198.51.100.75 2010-04-24 01:08:57 0:10:30 Success FWClient1
user@host> show security firewall-authentication history identifier 1
Username: FWClient1
Source IP: 198.51.100.752
Authentication state: Success
Authentication method: Web-authentication
Access start date: 2010-10-12
Access start time: 21:24:02
Duration of user access: 0:00:24
Source zone: N/A
Destination zone: N/A
Access profile: WEBAUTH
Bytes sent by this user: 0
Bytes received by this user: 2660
user@host> show security firewall-authentication users
Firewall authentication data:
Total users in table: 1
Id Source Ip Src zone Dst zone Profile Age Status User
4 198.51.100.75 N/A N/A WEBAUTH 1 Success FWClient1
user@host> show security firewall-authentication users identifier 3
Username: FWClient1
Source IP: 198.51.100.75
Authentication state: Success
Authentication method: Web-authentication
Age: 3
Access time remaining: 9
Source zone: N/A
Destination zone: N/A
Access profile: WEBAUTH
Interface Name: ge-0/0/1.0
Bytes sent by this user: 0
Bytes received by this user: 1521
Ejemplo: configurar el tráfico HTTPS para activar la autenticación web
En este ejemplo se muestra cómo configurar el tráfico HTTPS para activar la autenticación web. HTTPS se usa ampliamente para la autenticación web porque es más seguro que HTTP.
Requisitos
Antes de empezar:
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Firewall serie SRX
Dos PCs con Linux y Open SSL instalados. Un PC actúa como cliente y otro como servidor HTTPS. Los dos PC se utilizan para crear archivos clave y enviar tráfico.
Junos OS versión 12.1X44-D10 o posterior para dispositivos SRX5400, SRX5600 y SRX5800 y Junos OS versión 15.1X49-D40 o posterior para firewall virtual vSRX, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M y puertas de enlace de servicios SRX1500.
Un firewall de la serie SRX tiene que descodificar el tráfico HTTPS para activar la autenticación web. En la lista siguiente se describen los pasos para crear e instalar un archivo de clave privada y un archivo de clave de certificación.
Si tiene un archivo oficial .crt
.key
, puede cargar e instalar directamente los archivos en el firewall de la serie SRX. Si no tiene un archivo y .key
un .crt
archivo, siga el procedimiento para crear e instalar los archivos. Las instrucciones especificadas en los pasos 1 y 2 deben ejecutarse en un PC que tenga instalado Linux y OpenSSL. Las instrucciones especificadas en los pasos 3 y 4 deben ejecutarse en modo operativo.
Desde el PC, cree el
.key
archivo.openssl genrsa -out /tmp/server.key 1024
Desde el PC, cree el
.crt
archivo.openssl req -new -x509 -days 365 -key /tmp/server.key -out /tmp/device.crt -subj "/C=CN/ST=BJ/L=BJ/O=JNPR/OU=CNRD/CN=203.0.113.22/emailAddress=device@mycomany.com"
-
Desde el firewall de la serie SRX, cargue los
.key
archivos y.crt
e instálelos en el dispositivo mediante el siguiente comando:user@host> request security pki local-certificate load filename /var/tmp/device.crt key /var/tmp/device.key certificate-id device
Visión general
La autenticación de firewall inicia una conexión segura que se establecerá a través de dos dispositivos. Un usuario de red debe proporcionar un nombre de usuario y una contraseña para la autenticación al iniciar una conexión a través del firewall. La autenticación de firewall admite tráfico HTTPS para la autenticación PassThrough. HTTPS puede proteger el tráfico de autenticación de firewall HTTP entre los usuarios y el firewall de la serie SRX.
HTTPS es la versión segura de HTTP, el protocolo a través del cual se envían datos entre el usuario y el dispositivo al que está conectado el usuario. Todas las comunicaciones entre el usuario y los dispositivos conectados están encriptadas. HTTPS se usa a menudo para proteger transacciones en línea altamente confidenciales, como la banca en línea y los formularios de pedidos de compras en línea.
En este ejemplo, el tráfico HTTPS se usa para activar la autenticación web porque HTTPS es más seguro que HTTP.
El usuario utiliza HTTPS para tener acceso a una dirección IP en el dispositivo que está habilitada para la autenticación web. En este escenario, el usuario no utiliza HTTPS para tener acceso a la dirección IP del recurso protegido. Se solicita al usuario un nombre de usuario y una contraseña, que son verificados por el dispositivo. El tráfico posterior del usuario o host al recurso protegido se permite o se deniega en función de los resultados de esta autenticación web.
La figura 7 muestra un ejemplo de autenticación web mediante tráfico HTTPS.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.
set system services web-management https pki-local-certificate device set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.18/24 set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.115/24 web-authentication https set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.5/24 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit set access profile local_pf client user1 firewall-user password user1 set access firewall-authentication web-authentication default-profile local_pf set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication web-authentication
Procedimiento
Procedimiento paso a paso
Para configurar el tráfico HTTPS para activar la autenticación web:
Habilite la compatibilidad de administración web para el tráfico HTTPS.
[edit system services] user@host# set web-management https pki-local-certificate device
Configure interfaces y asigne direcciones IP. Habilite la autenticación web en la interfaz ge-0/0/0.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 203.0.113.18/24 set ge-0/0/0 unit 0 family inet address 203.0.113.115/24 web-authentication https user@host# set ge-0/0/1 unit 0 family inet address 192.0.2.5/24
Configure políticas de seguridad para permitir el tráfico autenticado por firewall de la zona de confianza a la zona de no confianza.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any destination-address any application any user@host# set security policies from-zone trust to-zone untrust policy p1 then permit
Cree un perfil de acceso, configure el cliente como usuario de firewall y establezca la contraseña.
[edit access] user@host# set profile local_pf client user1 firewall-user password user1
Configure el tipo de opciones de autenticación de firewall.
[edit access] user@host# set firewall-authentication web-authentication default-profile local_pf
Especifique una acción de directiva que se va a realizar cuando un paquete coincide con los criterios.
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit firewall-authentication web-authentication
Resultados
Desde el modo de configuración, escriba los comandos , show interfaces
show security policies
, y show access
para confirmar la show system services
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show system services web-management { https { pki-local-certificate device; } }
user@host# show interfaces ge-0/0/0 { unit 0 { family inet { address 203.0.113.115/24 { web-authentication https; } } } ge-0/0/1 { unit 0 { family inet { address 192.0.2.5/24; } } }
user@host# show security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit { firewall-authentication { web-authentication; } } } } }
user@host# show access profile local_pf { client user1 { firewall-user { password "user1"; } } } firewall-authentication { web-authentication { default-profile local_pf; }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Verificación de la configuración
Propósito
Compruebe que la configuración es correcta.
Acción
Desde el modo operativo, ingrese el show security firewall-authentication users identifier identifier
comando.
Salida de muestra
user@host> show security firewall-authentication users identifier 1 Username: user1 Source IP: 203.1.113.102 Authentication state: Success Authentication method: Web-authentication Age: 0 Access time remaining: 10 Lsys: root-logical-system Source zone: N/A Destination zone: N/A Access profile: local_pf Bytes sent by this user: 0 Bytes received by this user: 0
Significado
El show security firewall-authentication users identifier identifier
comando muestra la información del usuario de autenticación del firewall utilizando el identificador del usuario. Si el parámetro de método de autenticación muestra autenticación web y el parámetro de estado de autenticación muestra que la salida se realiza correctamente, la configuración es correcta.