Configurar firewall de usuario integrado
Como su nombre indica, el firewall de usuario integrado proporciona una funcionalidad de firewall de usuario más simple sin la necesidad de una integración de control de acceso unificado (UAC) con control de acceso a la red (NAC). El firewall de usuario integrado recopila información del usuario a través del Protocolo ligero de acceso a directorios (LDAP) y, mediante la aplicación de políticas, se permite o deniega el acceso.
Ejemplo: configuración del firewall de usuario integrado en la serie SRX
En este ejemplo se muestra cómo implementar la característica de firewall de usuario integrado mediante la configuración de un dominio de Windows Active Directory, una base LDAP, usuarios no autenticados para dirigirlos al portal cautivo y una política de seguridad basada en una identidad de origen. Todas las configuraciones de este ejemplo para el portal cautivo se realizan mediante Seguridad de la capa de transporte (TLS).
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX
Junos OS versión 12.1X47-D10 o posterior para firewalls serie SRX
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En un escenario típico para la característica de firewall de usuario integrado, los usuarios de dominio y no dominio desean acceder a Internet a través de un firewall de la serie SRX. El firewall de la serie SRX lee y analiza el registro de eventos de los controladores de dominio configurados en el dominio. Por lo tanto, el firewall de la serie SRX detecta usuarios de dominio en un controlador de dominio de Active Directory. El dominio de Active Directory genera una tabla de autenticación como origen de autenticación de Active Directory para el firewall de usuario integrado. El firewall de la serie SRX utiliza esta información para hacer cumplir la directiva con el fin de lograr un control de acceso basado en el usuario o en grupos.
Para cualquier usuario que no sea de dominio o usuario de dominio en un dispositivo que no sea de dominio, el administrador de red puede especificar un portal cautivo para forzar al usuario a someterse a la autenticación de firewall (si el firewall de la serie SRX admite un portal cautivo para el tipo de tráfico. Por ejemplo, HTTP). Después de que el usuario introduce un nombre y una contraseña y pasa la autenticación de firewall, el firewall de la serie SRX obtiene información de asignación de usuario a grupo de autenticación de firewall del servidor LDAP y puede aplicar el control de la política de firewall de usuario sobre el usuario en consecuencia.
A partir de Junos OS versión 17.4R1, puede usar direcciones IPv6 para controladores de dominio de Active Directory además de direcciones IPv4. Para ilustrar esta compatibilidad, en este ejemplo se utiliza 2001:db8:0:1:2a0:a502:0:1da como dirección para el controlador de dominio.
No puede usar el grupo principal, ya sea por su nombre predeterminado de Usuarios del dominio o cualquier otro nombre, si lo cambió, en configuraciones de firewall de usuario integradas.
Cuando se crea un nuevo usuario en Active Directory (AD), el usuario se agrega al grupo de seguridad global Grupo principal, que es de forma predeterminada Usuarios del dominio. El grupo principal es menos específico que otros grupos creados en AD porque todos los usuarios pertenecen a él. Además, puede llegar a ser muy grande.
Configuración
- Procedimiento
- (Opcional) Configuración de PKI y proxy de reenvío SSL para autenticar usuarios
- Resultados
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.
set services user-identification active-directory-access domain example.net user-group-mapping ldap base DC=example,DC=net user administrator password $ABC123 set services user-identification active-directory-access domain example.net user administrator password $ABC123 set services user-identification active-directory-access domain example.net domain-controller ad1 address 2001:db8:0:1:2a0:a502:0:1da set access profile profile1 authentication-order ldap set access profile profile1 authentication-order password set access profile profile1 ldap-options base-distinguished-name CN=Users,DC=example,DC=net set access profile profile1 ldap-options search search-filter sAMAccountName= set access profile profile1 ldap-options search admin-search distinguished-name CN=Administrator,CN=Users,DC=example,DC=net set access profile profile1 ldap-options search admin-search password $ABC123 set access profile profile1 ldap-server 192.0.2.3 set access profile profile1 ldap-server 192.0.2.3 tls-type start-tls set access profile profile1 ldap-server 192.0.2.3 tls-peer-name peername set access profile profile1 ldap-server 192.0.2.3 tls-timeout 3 set access profile profile1 ldap-server 192.0.2.3 tls-min-version v1.2 set access profile profile1 ldap-server 192.0.2.3 no-tls-certificate-check set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 match source-identity unauthenticated-user set security policies from-zone trust to-zone untrust policy p1 match source-identity unknown-user set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall access-profile profile1 set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall domain example.net set security policies from-zone trust to-zone untrust policy p2 match source-address any set security policies from-zone trust to-zone untrust policy p2 match destination-address any set security policies from-zone trust to-zone untrust policy p2 match application any set security policies from-zone trust to-zone untrust policy p2 match source-identity “example.net\user1” set security policies from-zone trust to-zone untrust policy p2 then permit set security user-identification authentication-source active-directory-authentication-table priority 125
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para establecer un dominio de Windows Active Directory, configurar el portal cautivo y configurar otra directiva de seguridad, siga los pasos de esta sección.
Una vez configurado, cuando llega el tráfico, el firewall de la serie SRX consulta el proceso del firewall de usuario, que a su vez consulta el origen de autenticación de Active Directory para determinar si el origen está en su tabla de autenticación. Si el firewall de usuario llega a una entrada de autenticación, el firewall de la serie SRX comprueba la directiva configurada en el paso 4 para otras acciones. Si el firewall de usuario no llega a ninguna entrada de autenticación, el firewall de la serie SRX comprueba la directiva configurada en el paso 3 para obligar al usuario a realizar el portal cautivo.
Configure el nombre distintivo base LDAP.
[edit services user-identification] user@host# set active-directory-access domain example.net user-group-mapping ldap base DC=example,DC=net user administrator password $ABC123
Configure un nombre de dominio, el nombre de usuario y la contraseña del dominio, y el nombre y la dirección IP del controlador de dominio en el dominio.
[edit services user-identification] user@host# set active-directory-access domain example.net user administrator password $ABC123 user@host# set active-directory-access domain example.net domain-controller ad1 address 2001:db8:0:1:2a0:a502:0:1da
-
Configure un perfil de acceso y establezca el orden de autenticación y las opciones LDAP.
[edit access profile profile1] user@host# set authentication-order ldap user@host# set authentication-order password user@host# set ldap-options base-distinguished-name CN=Users,DC=example,DC=net user@host# set ldap-options search search-filter sAMAccountName= user@host# set ldap-options search admin-search distinguished-name CN=Administrator,CN=Users,DC=example,DC=net user@host# set ldap-options search admin-search password $ABC123 user@host# set ldap-server 192.0.2.3 user@host# set ldap-server 192.0.2.3 tls-type start-tls user@host# set ldap-server 192.0.2.3 tls-peer-name peername user@host# set ldap-server 192.0.2.3 tls-timeout 3 user@host# set ldap-server 192.0.2.3 tls-min-version v1.2 user@host# set ldap-server 192.0.2.3 no-tls-certificate-check
Cuando se configura la opción, el firewall de la serie SRX ignora la
no-tls-certificate-check
validación del certificado del servidor y acepta el certificado sin comprobarlo. Configure una política para la identidad de origen "usuario no autenticado" y "usuario desconocido" y habilite el portal cautivo de autenticación de firewall. Es necesario configurar la identidad de origen en caso de que no haya orígenes de autenticación configurados, se desconecta.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user user@host# set then permit firewall-authentication user-firewall access-profile profile1 user@host#set then permit firewall-authentication user-firewall domain example.net
Configure una segunda directiva para habilitar un usuario específico.
[edit security policies from-zone trust to-zone untrust policy p2] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity “example.net\user1” user@host# set then permit
Cuando especifique una identidad de origen en una instrucción de directivas, anteponga el nombre de dominio y una barra diagonal inversa al nombre de grupo o nombre de usuario. Escriba la combinación entre comillas.
Establezca la tabla de autenticación de Active Directory como origen de autenticación para la recuperación de información del firewall de usuario integrado y especifique la secuencia en la que se comprueban las tablas de información de usuario.
[edit security] user@host#
set user-identification authentication-source active-directory-authentication-table priority 125
Debe establecer la tabla de autenticación de Active Directory como origen de autenticación para la recuperación de información del firewall de usuario integrado y especificar la secuencia en la que se comprueban las tablas de información de usuario mediante el comando
set security user-identification authentication-source active-directory-authentication-table priority value
.El valor predeterminado de esta opción es 125. La prioridad predeterminada para todos los orígenes de autenticación es la siguiente:
Autenticación local: 100
Firewall de usuario integrado: 125
Firewall de rol de usuario: 150
Control de acceso unificado (UAC): 200
El campo
priority
especifica los orígenes de la tabla de autenticación de Active Directory. El conjunto de valores determina la secuencia de búsqueda entre varias tablas de autenticación admitidas para recuperar un rol de usuario. Tenga en cuenta que estos son los únicos valores admitidos actualmente. Puede introducir cualquier valor del 0 al 65.535. La prioridad predeterminada de la tabla de autenticación de Active Directory es 125. Esto significa que, aunque no especifique un valor de prioridad, se buscará en la tabla de autenticación de Active Directory a partir de la secuencia del valor 125 (firewall de usuario integrado).Se asigna un valor de prioridad único a cada tabla de autenticación. Cuanto menor sea el valor, mayor será la prioridad. Por ejemplo, una tabla con prioridad 120 se busca antes de una tabla con prioridad 200. Si se establece el valor de prioridad de una tabla en 0, se deshabilita la tabla y se elimina el valor de prioridad de la secuencia de búsqueda.
Para obtener más información, consulte Descripción de las tablas de autenticación de Active Directory .
(Opcional) Configuración de PKI y proxy de reenvío SSL para autenticar usuarios
Procedimiento paso a paso
Opcionalmente, para los usuarios que no son de dominio, puede configurar la infraestructura de clave pública (PKI) para validar la integridad, confidencialidad y autenticidad del tráfico. PKI incluye certificados digitales emitidos por la entidad de certificación (CA), fechas de validez y caducidad del certificado, detalles sobre el propietario y el emisor del certificado y políticas de seguridad.
Para cualquier usuario que no sea de dominio o usuario de dominio en un equipo que no sea de dominio, el administrador especifica un portal cautivo para forzar al usuario a realizar la autenticación de firewall (si el firewall de la serie SRX admite un portal cautivo para el tipo de tráfico). Después de que el usuario ingresa un nombre y una contraseña y pasa la autenticación de firewall, el firewall de la serie SRX obtiene información de usuario o grupo de autenticación de firewall y puede aplicar la directiva de firewall de usuario para controlar al usuario en consecuencia. Además del portal cautivo, si la dirección IP o la información de usuario no están disponibles en el registro de eventos, el usuario puede volver a iniciar sesión en el equipo con Windows para generar una entrada de registro de eventos. A continuación, el sistema genera la entrada de autenticación del usuario en consecuencia.
Para permitir que el firewall de la serie SRX autentique a los usuarios a través de HTTP, el proxy de reenvío SSL debe estar configurado y habilitado. Debe generar un certificado local, agregar un perfil de terminación SSL, agregar un perfil de proxy SSL y hacer referencia al perfil de proxy SSL en la directiva de seguridad. Si el proxy de reenvío SSL no está habilitado, el firewall de la serie SRX no puede autenticar a los usuarios que usan HTTPS, pero para los usuarios que usan HTTP, FPT y Telnet, la autenticación se puede realizar como se esperaba.
Para generar PKI y habilitar el proxy de reenvío SSL, realice los pasos siguientes:
Genere un par de claves pública y privada PKI para un certificado digital local.
user@host# request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsa
Genere manualmente un certificado autofirmado para el nombre distintivo especificado.
user@host# request security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.mycompany.net subject "CN=www.mycompany.com,OU=IT,O=MY COMPANY,L=Sunnyvale,ST=CA,C=US" email security-admin@mycompany.net
Defina el perfil de acceso que se utilizará para los servicios de terminación SSL. Esta opción solo está disponible en dispositivos SRX5400, SRX5600 y SRX5800.
user@host# set services ssl termination profile for_userfw server-certificate ssl-inspect-ca
Configure el certificado cargado como root-ca en el perfil de proxy SSL. Esta opción solo está disponible en dispositivos SRX5400, SRX5600 y SRX5800.
user@host# set services ssl proxy profile ssl-inspect-profile root-ca ssl-inspect-ca
Especifique la opción si no desea importar toda la
ignore-server-auth-failure
lista de CA y no desea que se interrumpan las sesiones. Esta opción solo está disponible en dispositivos SRX5400, SRX5600 y SRX5800.user@host# set services ssl proxy profile ssl-inspect-profile actions ignore-server-auth-failure
Agregue un perfil de terminación SSL a las políticas de seguridad. Esta opción solo está disponible en dispositivos SRX5400, SRX5600 y SRX5800.
user@host# set security policies from-zone untrust to-zone trust policy p1 then permit firewall-authentication user-firewall ssl-termination-profile for_userfw
Resultados
Desde el modo de configuración, escriba el comando para confirmar la configuración del show services user-identification active-directory-access
firewall de usuario integrado. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show services user-identification active-directory-access domain example.net { user { administrator; password "$ABC123"; ## SECRET-DATA } domain-controller ad1 { address 2001:db8:0:1:2a0:a502:0:1da; } user-group-mapping { ldap { base DC=example,DC=net; user { administrator; password "$ABC123"; ## SECRET-DATA } } } }
Desde el modo de configuración, escriba el comando para confirmar la configuración de la show security policies
directiva. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; source-identity [ unauthenticated-user unknown-user ]; } then { permit { firewall-authentication { user-firewall { access-profile profile1; domain example.net; } } } } } policy p2 { match { source-address any; destination-address any; application any; source-identity “example.net\user1”; } then { permit; } } }
Desde el modo de configuración, escriba el comando para confirmar la configuración del perfil de show access profile profile1
acceso. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show access profile profile1 authentication-order [ ldap password ]; ldap-options { base-distinguished-name CN=Users,DC=example,DC=net; search { search-filter sAMAccountName=; admin-search { distinguished-name CN=Administrator,CN=Users,DC=example,DC=net; password "$ABC123"; ## SECRET-DATA } } } ldap-server { 192.0.2.3 { tls-type start-tls; tls-timeout 3; tls-min-version v1.2; no-tls-certificate-check; tls-peer-name peername; } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Comprobar la conectividad con un controlador de dominio
- Verificación del servidor LDAP
- Comprobación de entradas de tabla de autenticación
- Verificación de la asignación de IP a usuario
- Verificación de los recuentos de sondeos IP
- Comprobación de consultas de asignación de usuario a grupo
Comprobar la conectividad con un controlador de dominio
Propósito
Compruebe que al menos un controlador de dominio está configurado y conectado.
Acción
Desde el modo operativo, ingrese el show services user-identification active-directory-access domain-controller status
comando.
Significado
Se muestra que el controlador de dominio está conectado o desconectado.
Verificación del servidor LDAP
Propósito
Compruebe que el servidor LDAP proporciona información de asignación de usuario a grupo.
Acción
Desde el modo operativo, ingrese el show services user-identification active-directory-access user-group-mapping status
comando.
Significado
Se muestran la dirección, el número de puerto y el estado del servidor LDAP.
Comprobación de entradas de tabla de autenticación
Propósito
Vea a qué grupos pertenecen los usuarios y los usuarios, grupos y direcciones IP de un dominio.
Acción
Desde el modo operativo, ingrese el show services user-identification active-directory-access active-directory-authentication-table all
comando.
Significado
Las direcciones IP, los nombres de usuario y los grupos se muestran para cada dominio.
Verificación de la asignación de IP a usuario
Propósito
Compruebe que se está analizando el registro de eventos.
Acción
Desde el modo operativo, ingrese el show services user-identification active-directory-access statistics ip-user-mapping
comando.
Significado
Se muestran los recuentos de las consultas y las consultas erróneas.
Verificación de los recuentos de sondeos IP
Propósito
Compruebe que se están produciendo sondeos IP.
Acción
Desde el modo operativo, ingrese el show services user-identification active-directory-access statistics ip-user-probe
comando.
Significado
Se muestran los recuentos de los sondeos IP y de los sondeos IP fallidos.
Comprobación de consultas de asignación de usuario a grupo
Propósito
Compruebe que se están consultando las asignaciones de usuario a grupo.
Acción
Desde el modo operativo, ingrese el show services user-identification active-directory-access statistics user-group-mapping
comando.
Significado
Se muestran los recuentos de las consultas y las consultas erróneas.
Configuración del firewall de usuario integrado en dispositivos NFX
En un escenario típico para la característica de firewall de usuario integrado, los usuarios del dominio desean acceder a Internet a través de un dispositivo NFX. El dispositivo lee y analiza el registro de eventos de los controladores de dominio configurados en el dominio. Por lo tanto, el dispositivo detecta usuarios de dominio en un controlador de dominio de Active Directory. El dominio de Active Directory genera una tabla de autenticación como origen de autenticación de Active Directory para el firewall de usuario integrado. El dispositivo utiliza esta información para aplicar la directiva con el fin de lograr un control de acceso basado en el usuario o en grupos.
Cuando se crea un nuevo usuario en Active Directory (AD), el usuario se agrega al grupo de seguridad global Grupo principal, que es de forma predeterminada Usuarios del dominio. El grupo principal es menos específico que otros grupos creados en AD porque todos los usuarios pertenecen a él. Además, puede llegar a ser muy grande.
No puede usar el grupo principal, ya sea por su nombre predeterminado de Usuarios del dominio o cualquier otro nombre, si lo cambió, en configuraciones de firewall de usuario integradas.
Para establecer un dominio de Windows Active Directory y configurar otra directiva de seguridad:
Para comprobar que la configuración funciona correctamente:
Compruebe que al menos un controlador de dominio está configurado y conectado escribiendo el show services user-identification active-directory-access domain-controller status comando.
Compruebe que el servidor LDAP proporciona información de asignación de usuario a grupo introduciendo el show services user-identification active-directory-access user-group-mapping status comando.
Compruebe las entradas de la tabla de autenticación introduciendo el show services user-identification active-directory-access active-directory-authentication-table all comando. Las direcciones IP, los nombres de usuario y los grupos se muestran para cada dominio.
Para verificar la asignación de IP a usuario, ingrese el show services user-identification active-directory-access statistics ip-user-mapping comando. Se muestran los recuentos de las consultas y las consultas erróneas.
Compruebe que se están produciendo sondeos IP escribiendo el show services user-identification active-directory-access statistics ip-user-probe comando.
Compruebe que se están consultando las asignaciones de usuario a grupo escribiendo el show services user-identification active-directory-access statistics user-group-mapping comando.
Ver también
Ejemplo: configuración de un firewall de usuario integrado en firewalls de la serie SRX para utilizar la redirección web para usuarios desconocidos y no autenticados
En este ejemplo se muestra cómo usar la redirección web para usuarios no autenticados y usuarios desconocidos para redirigir a la página de autenticación a través de http.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX
Junos OS versión 15.1X49-D70 o posterior para firewalls serie SRX
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
El perfil de acceso fwauth redirige las web-redirect
solicitudes de tráfico de paso a HTTP webauth (en el servidor httpd JWEB). Una vez que la autenticación se realiza correctamente, fwauth crea una autenticación de firewall para el firewall del usuario.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit
] y, a continuación, ingrese commit desde el modo de configuración.
set system services web-management http set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication http set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 match source-identity unauthenticated-user set security policies from-zone trust to-zone untrust policy p1 match source-identity unknown-user set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall access-profile profile1 web-redirect set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall domain ad03.net
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar el firewall de usuario integrado para usar la redirección web para usuarios no autenticados que solicitan acceso a recursos basados en HTTP:
Habilite la compatibilidad con la administración web para el tráfico HTTP.
[edit system services] user@host# set system services web-management http
Configure interfaces y asigne direcciones IP. Habilite la autenticación web en la interfaz ge-0/0/1.
[edit interfaces] user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication http
Configure políticas de seguridad que especifiquen un usuario no autenticado o un usuario desconocido como identidad de origen.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user
A partir de Junos OS 17.4R1, puede asignar direcciones IPv6 además de direcciones IPv4 al configurar direcciones de origen. Para configurar la dirección de origen, emisión
any
oany-IPv6
comando IPv6 en el nivel jerárquico [editar políticas de seguridad de confianza de zona a política de no confianza de zona-nombre de política, coincidencia dirección-origen].Configure una política de seguridad que permita la autenticación de firewall de un firewall de usuario con
web-redirect
como acción y especifique un perfil de acceso preconfigurado para el usuario.[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall access-profile profile1 web-redirect
Configure una directiva de seguridad que especifique el nombre de dominio.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall domain ad03.net
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show system services
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show system services web-management { http { port 123; } }
Desde el modo de configuración, ingrese el comando para confirmar la show interfaces
configuración del firewall de usuario integrado. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 192.0.2.0/24 { web-authentication http; } } } }
Desde el modo de configuración, ingrese el comando para confirmar la show security policies
configuración del firewall de usuario integrado. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; source-identity unauthenticated-user; source-identity unknown-user; } then { permit { firewall-authentication { user-firewall { access-profile profile1; web-redirect; domain ad03.net; } } } } } }
Desde el modo de configuración, escriba el comando para confirmar la configuración de la show security policies
directiva. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Compruebe la configuración.
Propósito
Compruebe que la configuración es correcta.
Acción
Desde el modo operativo, ingrese el show security policies
comando.
Salida de muestra
user@host> show security policies Default policy: permit-all From zone: PCzone, To zone: Tunnelzone Policy: p1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses: any Destination addresses: any Applications: junos-ftp, junos-tftp, junos-dns-tcp, junos-dns-udp Action: permit
Significado
Muestre la política de seguridad que permite la autenticación de firewall de un firewall de usuario con redirección web como acción.
Ejemplo: configuración de un firewall de usuario integrado en firewalls de la serie SRX para utilizar Web-Redirect-to-HTTPS para autenticar a usuarios desconocidos y no autenticados
En este ejemplo se muestra cómo usar web-redirect-to-https para usuarios desconocidos y no autenticados que intentan acceder a un sitio HTTPS para permitirles autenticarse a través del servidor webauth interno del firewall de la serie SRX.
También puede usar web-redirect-https para autenticar a los usuarios que intentan acceder a un sitio HTTP, aunque no se muestra en este ejemplo.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX
Junos OS versión 15.1X49-D70 o posterior para firewalls serie SRX
Visión general
La característica web-redirect-https le permite autenticar de forma segura a usuarios desconocidos y no autenticados que intentan acceder a recursos HTTP o HTTPS redirigiendo el navegador del usuario al servidor webauth HTTPS interno de la puerta de enlace de servicios de la serie SRX para su autenticación. Es decir, el servidor webauth envía una respuesta HTTPS al sistema cliente redirigiendo su navegador para conectarse al servidor webauth para la autenticación de usuarios. La interfaz a la que llega la solicitud del cliente es la interfaz a la que se envía la respuesta de redireccionamiento. HTTPS, en este caso, protege el proceso de autenticación, no el tráfico del usuario.
Una vez que el usuario se ha autenticado, se muestra un mensaje para informar al usuario acerca de la autenticación correcta. Se redirige al navegador para que inicie la URL de destino original del usuario, ya sea a un sitio HTTP o HTTPS, sin necesidad de que el usuario vuelva a escribir esa URL. Se muestra el siguiente mensaje:
Redirecting to the original url, please wait.
Si el recurso de destino del usuario es una dirección URL HTTPS, para que este proceso se realice correctamente, la configuración debe incluir un perfil de terminación SSL al que se haga referencia en la política de seguridad aplicable. No se requiere un perfil de terminación SSL si el destino es una URL HTTP.
El uso de esta función permite una experiencia de inicio de sesión de usuario más rica. Por ejemplo, en lugar de un mensaje emergente que le pide al usuario que ingrese su nombre de usuario y contraseña, a los usuarios se les presenta la página de inicio de sesión en un navegador. El uso de web-redirect-https tiene el mismo efecto que si el usuario escribiera la dirección IP de autenticación web en un navegador cliente. En ese sentido, web-redirect-https proporciona una experiencia de autenticación perfecta; el usuario no necesita conocer la dirección IP del origen de autenticación Web, sino únicamente la dirección IP del recurso al que intenta tener acceso.
Para el firewall de usuario integrado, la instrucción de configuración de la directiva de seguridad incluye la tupla de identidad de origen, que permite especificar una categoría de usuarios a los que se aplica la directiva de seguridad, en este caso usuarios no autenticados y desconocidos. Especificar "any" como el valor de la tupla de dirección de origen permite que el valor de tupla de identidad de origen controle la coincidencia.
Por motivos de seguridad, se recomienda utilizar web-redirect-https para la autenticación en lugar de web-redirect, que también es compatible. La función de autenticación de redirección web utiliza HTTP para el proceso de autenticación, en cuyo caso la información de autenticación se envía sin cifrar y, por lo tanto, es legible.
En este ejemplo se supone que el usuario está intentando tener acceso a un recurso HTTPS como https://mymailsite.com.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit
] y, a continuación, ingrese commit desde el modo de configuración.
set system services web-management https pki-local-certificate my-test-cert set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication https set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 match source-identity unauthenticated-user set security policies from-zone trust to-zone untrust policy p1 match source-identity unknown-user set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall domain mydomain.net set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall access-profile profile1 web-redirect-to-https set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall ssl-termination-profile my-ssl-profile set services ssl termination profile my-ssl-profile server-certificate my-test-cert set access profile profile1 ldap-server 198.51.100.0/24 tls-type start-tls set access profile profile1 ldap-server 198.51.100.0/24 tls-peer-name peer1 set access profile profile1 ldap-server 198.51.100.0/24 tls-timeout 3 set access profile profile1 ldap-server 198.51.100.0/24 tls-min-version v1.1
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar web-redirect-to-https para usuarios no autenticados o desconocidos que solicitan acceso a recursos basados en HTTPS, escriba la instrucción siguiente.
Habilite la compatibilidad de administración web para el tráfico HTTPS.
[edit system services] user@host# set system services web-management https pki-local-certificate my-test-cert
Tenga en cuenta que este ejemplo se aplica al tráfico de usuarios HTTPS, pero la autenticación web-redirect-to-https también se admite para usuarios autenticados cuyo tráfico es a un sitio de URL HTTP, aunque ese escenario específico no se muestra aquí. En ese caso, no se requiere un perfil de terminación SSL.
Configure interfaces y asigne direcciones IP. Habilite la autenticación web en la interfaz ge-0/0/1.
[edit interfaces] user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.0/24 web-authentication https
Configure una política de seguridad que especifique usuario no autenticado y usuario desconocido como valores de tupla de identidad de origen.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set match source-address any user@host# set match destination-address any user@host# set match application any user@host# set match source-identity unauthenticated-user user@host# set match source-identity unknown-user
A partir de Junos OS 17.4R1, puede asignar direcciones IPv6 además de direcciones IPv4 al configurar direcciones de origen. Para configurar la dirección de origen, emisión
any
oany-IPv6
comando IPv6 en el nivel jerárquico [editar políticas de seguridad de confianza de zona a política de no confianza de zona-nombre de política coincidir dirección-origen].Configure la política de seguridad para permitir la autenticación de firewall de un firewall de usuario con
web-redirect-to-https
como acción y que especifique un perfil de acceso preconfigurado para el usuario.[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall access-profile profile1 web-redirect-to-https
Configure el nombre de dominio para la directiva de seguridad.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall domain mydomain.net
Configure la política de seguridad para hacer referencia al perfil de terminación SSL que se va a utilizar.
Si ya tiene un perfil de terminación SSL adecuado que proporciona los servicios necesarios para su implementación, puede usarlo. De lo contrario, siga el paso 7 para crear uno.
[edit security policies from-zone trust to-zone untrust policy p1] user@host# set then permit firewall-authentication user-firewall ssl-termination-profile my-ssl-profile
Especifique el perfil que se usará para los servicios de terminación SSL.
[edit services] user@host# set ssl termination profile my-ssl-profile server-certificate my-cert-type
Defina el tipo de TLS para configurar LDAP a través de StartTLS.
[edit access] user@host# set profile profile1 ldap-server 198.51.100.0/24 tls-type start-tls
Configure el nombre de host del mismo nivel que se va a autenticar.
[edit access] user@host# set access profile profile1 ldap-server 198.51.100.0/24 tls-peer-name peer1
Especifique el valor de tiempo de espera en el protocolo de enlace TLS. Puede ingresar de 3 a 90 segundos.
[edit access] user@host# set access profile profile1 ldap-server 198.51.100.0/24 tls-timeout 3
Especifique la versión de TLS (se admiten v1.1 y v1.2) como la versión de protocolo mínima habilitada en las conexiones.
[edit ] user@host# set access profile profile1 ldap-server 198.51.100.0/24 tls-min-version v1.1
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show system services
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show system services web-management { https { pki-local-certificate my-test-cert; }
Desde el modo de configuración, ingrese el comando para confirmar la show services ssl
configuración del firewall de usuario integrado. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show services ssl termination { profile my-ssl-profile { server-certificate my-cert-type; } }
Desde el modo de configuración, ingrese el comando para confirmar la show interfaces
configuración del firewall de usuario integrado. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 192.0.2.0/24 { web-authentication { https; } } } }
Desde el modo de configuración, ingrese el comando para confirmar la show security policies
configuración del firewall de usuario integrado. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; source-identity unauthenticated-user; source-identity unknown-user; } then { permit { firewall-authentication { user-firewall { access-profile profile1; web-redirect-to-https; domain mydomain.net; ssl-termination-profile my-ssl-profile; } } } } }
Desde el modo de configuración, escriba el comando para confirmar la configuración del perfil de show access profile profile1
acceso. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show access profile profile1 ldap-server { 198.51.100.0/24 { tls-type start-tls; tls-timeout 3; tls-min-version v1.1; tls-peer-name peer1; } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.