Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Controlar el acceso a la red mediante la autenticación de identidad de dispositivo

Según la identidad y los atributos del dispositivo, puede controlar el acceso a la red configurando la función de identificación del dispositivo.

Descripción del control de acceso a los recursos de red según la información de identidad del dispositivo

Puede utilizar la función de autenticación de identidad de dispositivo de firewall de usuario integrado para controlar el acceso a los recursos de red en función de los atributos o características del dispositivo utilizado. Después de configurar la característica de autenticación de identidad del dispositivo, puede configurar políticas de seguridad que permitan o denieguen el tráfico desde el dispositivo identificado en función de la acción de la directiva.

Por qué usar la información de identidad del dispositivo para controlar el acceso a la red

Por varios motivos, es posible que desee controlar el acceso a los recursos de red en función de la identidad del dispositivo del usuario en lugar de la identidad del usuario. Por ejemplo, es posible que no conozca la identidad del usuario. Puede permitir que los usuarios usen sus propios dispositivos (BYOD) para acceder a los recursos de red y no desea usar la autenticación de portal cautivo. Es posible que algunas empresas tengan conmutadores más antiguos que no admitan 802.1 o que no tengan un sistema de control de acceso a la red (NAC). La característica de autenticación de identidad de dispositivo de firewall de usuario integrada se diseñó para ofrecer una solución a estas y otras situaciones similares al permitirle controlar el acceso a la red en función de los atributos del dispositivo del usuario.

Fondo

Fundamentalmente, el dispositivo recibe u obtiene la información de identidad del dispositivo de la fuente de autenticación de la misma manera que obtiene la información de identidad del usuario, dependiendo de la fuente de autenticación. Si Microsoft Windows Active Directory es el origen de autenticación, el dispositivo recupera la información del dispositivo del controlador de dominio de Active Directory. En el caso de sistemas de control de acceso a la red (NAC) de terceros, el dispositivo recibe la información del origen de autenticación a través de la API de servicios web RESTful que el dispositivo le expone para este fin. Después de que el dispositivo obtiene la información de identidad del dispositivo, crea una entrada para él en la tabla de autenticación de identidad del dispositivo.

El propósito de obtener la información del dispositivo e ingresarla en la tabla de autenticación de identidad del dispositivo es controlar el acceso de los usuarios a los recursos de red en función de la identidad del dispositivo. Para que esto ocurra, también debe configurar directivas de seguridad que identifiquen el dispositivo, en función del perfil de identidad del dispositivo especificado, y especificar la acción que se debe realizar en el tráfico que se emite desde ese dispositivo.

En términos generales, el proceso en el que la información de identidad del dispositivo se obtiene y almacena en la tabla de información de identidad del dispositivo implica las siguientes acciones por parte del dispositivo:

  • Obtener la información de identidad del dispositivo.

    Según el origen de autenticación, el dispositivo utiliza uno de los dos métodos siguientes para obtener la información de identidad del dispositivo:

    • Active Directory: para Active Directory, el dispositivo puede extraer la información del dispositivo del registro de eventos del controlador de dominio y, a continuación, conectarse al servidor LDAP de Active Directory para obtener los nombres de los grupos a los que pertenece el dispositivo. El dispositivo utiliza la información que obtuvo del registro de eventos para localizar la información del dispositivo en el directorio LDAP.

    • Sistemas NAC de terceros: estos sistemas de autenticación utilizan el servicio POST de la API de servicios web RESTful, denominada API web. El dispositivo implementa la API y se expone a los sistemas de autenticación para permitirles enviar la información de identidad del dispositivo al firewall de la serie SRX.

      La API tiene una estructura XML formal y restricciones que el origen de autenticación debe cumplir para enviar esta información al dispositivo.

  • Crear una entrada para el dispositivo en la tabla de autenticación de identidad del dispositivo.

    Después de que el firewall de la serie SRX obtiene la información de identidad del dispositivo, crea una entrada para él en la tabla de autenticación de identidad del dispositivo. La tabla de autenticación de identificación de dispositivo es independiente de la tabla de autenticación de Active Directory o de cualquiera de las otras tablas de autenticación local usadas para orígenes de autenticación de terceros. Además, a diferencia de las tablas de autenticación de usuario local que son específicas de una fuente o característica de autenticación, la tabla de autenticación de identidad de dispositivo contiene información de identidad de dispositivo para todas las fuentes de autenticación. Sin embargo, solo un origen de autenticación, como Active Directory, puede estar activo a la vez. El firewall de la serie SRX permite usar solo la fuente de autenticación a la vez para restringir la demanda del sistema para procesar información.

La característica de autenticación de identidad de dispositivo admite varios tipos de sistemas de autenticación, como Active Directory o un origen de autenticación de terceros. Es decir, la característica de autenticación de identidad de dispositivo proporciona una solución genérica que almacena la información de identidad del dispositivo en la misma tabla, independientemente del origen de autenticación.

A partir de Junos OS versión 17.4R1, la serie SRX admite direcciones IPv6 para la autenticación de firewall de usuario (UserFW). La tabla de identidad de dispositivo puede incluir entradas con direcciones IPv6 cuando Active Directory es el origen de autenticación.

La figura 1 muestra la comunicación entre la serie SRX y un origen de autenticación NAC de terceros que se usa para la autenticación de identidad del dispositivo. El firewall de la serie SRX recibe la información de identidad del dispositivo del sistema NAC y la almacena en su tabla de autenticación de identidad de dispositivo local. Una política de seguridad que especifica un perfil de identidad de dispositivo es aplicable a uno o más dispositivos. Si un dispositivo coincide con el perfil de identidad del dispositivo y otras partes de la política de seguridad, la política de seguridad se aplica al tráfico que se emite desde ese dispositivo.

Figura 1: Uso de un sistema de control de acceso a la red (NAC) de terceros para la autenticación de identidad de dispositivos Using a Third-Party Network Access Control (NAC) System for Device Identity Authentication

El uso de un perfil de identidad de dispositivo en una política de seguridad es opcional.

Si no se especifica ningún perfil de identidad de dispositivo en el campo origen-usuario-usuario-perfil de la política de seguridad, se asume "cualquiera" perfil. Sin embargo, no puede usar la palabra clave "any" en el campo fuente-usuario-perfil-usuario de una política de seguridad. Es una palabra clave reservada.

Descripción de los atributos y perfiles de identidad de dispositivo para la característica de autenticación de identidad de dispositivo de firewall de usuario integrado

El perfil de identidad del dispositivo, al que se hace referencia en la CLI como , end-user-profilees un componente clave de la función de autenticación de identidad de dispositivo del firewall de usuario integrado. Identifica el dispositivo y especifica sus atributos. La función de autenticación de identidad de dispositivo le permite controlar el acceso a los recursos de red en función de la identidad del dispositivo utilizado y no de la identidad del usuario de ese dispositivo. Esta característica es compatible con Microsoft Windows Active Directory y sistemas de control de acceso a la red (NAC) de terceros como orígenes de autenticación.

Este tema se centra en la identidad del dispositivo y el perfil de identidad del dispositivo.

Identidad del dispositivo

La identidad del dispositivo consiste esencialmente en la dirección IP del dispositivo, su nombre, su dominio y los grupos a los que pertenece el dispositivo.

Por ejemplo, el siguiente resultado muestra información sobre el dispositivo, a la que se hace referencia desde el perfil de identidad del dispositivo.

En este ejemplo se muestra que la tabla de autenticación de identidad de dispositivo contiene entradas para dos dispositivos. Para cada entrada, muestra la dirección IP del dispositivo, el nombre asignado al dispositivo y los grupos a los que pertenece el dispositivo. Tenga en cuenta que ambos dispositivos pertenecen al grupo grp4.

Contenido del perfil de identidad del dispositivo

El perfil de identidad de dispositivo es una colección de atributos que son características de un grupo específico de dispositivos, o de un dispositivo específico, según los atributos configurados en el perfil. El motor de reenvío de paquetes del dispositivo asigna la dirección IP de un dispositivo al perfil de identidad del dispositivo.

Un perfil de identidad de dispositivo especifica el nombre del dispositivo y la información que incluye la dirección IP del dispositivo, los grupos a los que pertenece el dispositivo y los atributos del dispositivo que se denominan colectivamente atributos de host.

Nota:

Los únicos atributos que puede configurar mediante la CLI son el nombre del dispositivo y los grupos a los que pertenece. Los demás atributos se configuran mediante la API de servicios web RESTful de terceros, que utilizan los sistemas NAC o LDAP de Active Directory.

Cuando el tráfico de un dispositivo llega al firewall de la serie SRX o al dispositivo de la serie NFX, el dispositivo obtiene la dirección IP del dispositivo del primer paquete del tráfico y la utiliza para buscar en la tabla de autenticación de identidad del dispositivo una entrada de identidad de dispositivo coincidente. A continuación, hace coincidir ese perfil de identidad de dispositivo con una política de seguridad cuyo source-end-user-profile campo especifica el nombre del perfil de identidad del dispositivo. Si se encuentra una coincidencia, la política de seguridad se aplica al tráfico que se emite desde el dispositivo.

El mismo perfil de identidad de dispositivo también se puede aplicar a otros dispositivos que comparten los mismos atributos. Sin embargo, para que se aplique la misma política de seguridad, el dispositivo y su tráfico deben coincidir con todos los demás campos de la política de seguridad.

Un perfil de identidad de dispositivo debe contener el nombre de dominio. Puede contener más de un conjunto de atributos, pero debe contener al menos uno. Considere los siguientes dos conjuntos de atributos que pertenecen al perfil llamado marketing-main-alice.

El perfil contiene el siguiente conjunto de atributos:

  • alice-T430, como nombre del dispositivo.

  • MARKETING y WEST-COAST, como los grupos a los que pertenece el dispositivo.

  • example.net como el nombre del dominio al que pertenece.

El perfil también los siguientes atributos que caracterizan al dispositivo:

  • portátil, como la categoría del dispositivo (device-category)

  • Lenovo, como proveedor de dispositivos (device-vendor)

  • ThinkPad T430, como el tipo de dispositivo (tipo de dispositivo)

En casos como el perfil marketing-main-alice que incluye el nombre dado al dispositivo, el perfil se aplica exclusivamente a ese dispositivo.

Sin embargo, ahora supongamos que se configuró otro perfil llamado marketing-west-coast-T430 y que contiene los mismos atributos que el perfil marketing-main-alice con una excepción: el nombre dado al dispositivo en el perfil marketing-main-alice no se incluyó como atributo en el perfil marketing-west-coast-T430. En este caso, los atributos contenidos en el perfil ahora forman un perfil de grupo. La aplicación del perfil se amplía para incluir todos los dispositivos Lenovo ThinkPad T430 (que son portátiles) que se ajustan al resto de características, o atributos, definidos en el perfil.

Los dispositivos están cubiertos por el perfil si todos los demás atributos coinciden: dispositivos que pertenecen a los grupos MARKETING o WEST-COAST, que el perfil marketing-west-coast-T430 especifica como sus grupos, o a ambos grupos, coinciden con el perfil.

Como se mencionó anteriormente, un perfil de identidad de dispositivo puede contener más de un grupo. Un dispositivo también puede pertenecer a más de un grupo.

Para ilustrar aún más, tenga en cuenta que el perfil de identidad del dispositivo de grupo llamado marketing-west-coast-T430 también se aplica al dispositivo llamado alice-T430 porque ese dispositivo pertenece a los grupos MARKETING y WEST-COAST y coincide con todos los demás atributos definidos en el perfil. Por supuesto, el perfil de identidad del dispositivo marketing-main-alice todavía se aplica al dispositivo llamado alice-T430. Por lo tanto, el dispositivo llamado alice-T430 pertenece al menos a dos grupos y está cubierto por al menos dos perfiles de identidad de dispositivo.

Supongamos que se definió otro perfil llamado marketing-human-resources con todos los atributos del perfil de identidad del dispositivo marketing-west-coast-T430 pero con estas diferencias: el nuevo perfil de identidad del dispositivo incluye un grupo llamado HUMAN-RESOURCES y no incluye el grupo llamado WEST-COAST. Sin embargo, contiene el grupo MARKETING.

Dado que el dispositivo llamado alice-T430 pertenece al grupo MARKETING, que permanece como un grupo en el perfil de recursos humanos de marketing, el dispositivo alice-T430 también coincide con el perfil de identidad del dispositivo de recursos humanos de marketing. Ahora el dispositivo alice-T430 coincide con tres perfiles. Si los nombres de cualquiera de estos perfiles se especifican en el perfil de usuario final de origen de una política de seguridad y el dispositivo alice-T430 coincide con todos los demás campos del perfil de seguridad, la acción de ese perfil se aplica al tráfico desde ese dispositivo.

Los ejemplos anteriores de perfiles de identidad de dispositivo ilustran los siguientes puntos:

  • Se puede definir un perfil para identificar solo un dispositivo o se puede definir para que se aplique a muchos dispositivos.

  • Un perfil de identidad de dispositivo puede contener más de un grupo al que pertenece un dispositivo determinado.

  • Un dispositivo puede coincidir con más de un perfil de identidad de dispositivo si coincide con las características o atributos, incluido al menos uno de los grupos, configurados para el perfil.

El uso flexible de los perfiles de identidad de dispositivo se hará evidente cuando configure directivas de seguridad diseñadas para incluir el campo origen-usuario-perfil-usuario, en particular cuando desee que la acción de la política se aplique a varios dispositivos.

Atributos de identidad de dispositivo predefinidos

El firewall de la serie SRX proporciona los atributos de política de identidad de dispositivo predefinidos que se configuran mediante la API de servicios web RESTful de terceros, que utilizan los sistemas NAC o LDAP de Active Directory.

  • identidad del dispositivo

  • categoría de dispositivo

  • proveedor de dispositivos

  • tipo de dispositivo

  • sistema operativo del dispositivo

  • device-os-version

Estos atributos se especifican valores en un perfil de identidad de dispositivo.

Características de los perfiles de identidad del dispositivo, atributos y escala de destino

En esta sección se describe cómo los dispositivos de las series SRX y NFX tratan los atributos y perfiles de identidad de los dispositivos. También proporciona números de escala independientes y dependientes del dispositivo para estas entidades.

Las siguientes características de atributo y perfil se aplican a su uso en todos los dispositivos compatibles de las series SRX y NFX.

  • La longitud máxima de las siguientes entidades es de 64 bytes: nombres de perfil de identidad de dispositivo (denominados en la CLI como end-user-profile) nombres de atributo, valores de atributo.

  • No puede superponer valores en un rango si configura más de un rango de valores digitales para el mismo atributo.

  • Cuando el dispositivo hace coincidir un perfil de identidad de dispositivo con una política de seguridad, se tienen en cuenta todos los atributos del perfil. Así es como se tratan:

    • Si el perfil de identidad del dispositivo contiene varios valores para un atributo, los valores de ese atributo se tratan individualmente. Se dice que son ORed.

      Para que la política de seguridad se aplique al dispositivo, se deben cumplir las siguientes condiciones. El dispositivo debe coincidir:

      • Uno de los valores de cada atributo que tiene varios valores.

      • El resto de los valores de atributo especificados en el perfil de identidad del dispositivo.

      • Los valores del campo de política de seguridad.

    • Todos los atributos individuales que tienen un solo valor se tratan por separado y se consideran juntos como una colección de valores, es decir, se les aplica la operación AND. El dispositivo utiliza sus criterios estándar de coincidencia de políticas para controlar estos atributos.

En la Tabla 1 se muestran los valores de escala independientes de la plataforma utilizados en la función de autenticación de identidad del dispositivo.

Tabla 1: Escalado independiente de la plataforma

Artículo

Máximo

Valores por atributo

20

Atributos por perfil

100

Especificación del perfil de identidad del dispositivo por política de seguridad (perfil de usuario final de origen)

1

La Tabla 2 muestra los valores de escala dependientes de la plataforma utilizados en la función de autenticación de identidad del dispositivo.

Tabla 2: Escalado dependiente de la plataforma

Plataforma

Número máximo de perfiles

Número total máximo de valores de atributo

Línea SRX5000

4000

32000

Serie SRX 1500

1000

8000

Serie SRX 550M

500

4000

Serie SRX 300 y Serie SRX 320

100

1000

Serie SRX 340 y Serie SRX 345

100

1000

Serie SRX 4100-4XE

1000

8000

Serie SRX 4200-8XE

2000

16000

Firewall virtual vSRX

500

4000

NFX150

100

1000

Los siguientes cambios en los perfiles de identidad del dispositivo y su uso en las políticas de seguridad no hacen que el dispositivo realice un análisis de sesión:

  • Actualizaciones de un perfil al que se hace referencia en una política de seguridad.

  • Actualizaciones de la configuración del perfil.

  • Actualizaciones de atributos que se realizan a través de la API de servicios web RESTful, que utilizan los sistemas NAC, o LDAP de Active Directory.

Descripción de la tabla de autenticación de identidad de dispositivo y sus entradas

El dispositivo contiene una serie de tablas de autenticación local utilizadas para la autenticación de usuarios para diversos fines. Por ejemplo, el dispositivo contiene una tabla de autenticación local de Active Directory para la autenticación de usuarios cuando se usa Microsoft Windows Active Directory como origen de autenticación.

Cuando configura el dispositivo para que utilice la característica de autenticación de identidad de dispositivo de firewall de usuario integrado para la autenticación basada en la identidad del dispositivo y sus atributos, el dispositivo crea una nueva tabla denominada tabla de autenticación de identidad de dispositivo.

Para obtener una vista completa de la función de autenticación de identidad del dispositivo, es útil comprender esta tabla, su contenido y su relación con otras entidades.

En este tema se trata la tabla de autenticación de identidad de dispositivo y sus entradas de dispositivo, y cómo cambia el contenido de la tabla en función de varios factores.

La tabla de autenticación de identidad de dispositivo

A diferencia de otras tablas de autenticación local, la tabla de autenticación de identidad del dispositivo no contiene información sobre un usuario, sino sobre el dispositivo del usuario. Además, a diferencia de las tablas de autenticación de usuarios, no contiene información sobre los dispositivos autenticados por una fuente de autenticación. Más bien, sirve como un repositorio de información de identidad del dispositivo para todos los dispositivos, independientemente de su origen de autenticación. Por ejemplo, puede contener entradas para dispositivos autenticados por Active Directory u orígenes de autenticación NAC de terceros.

Una entrada de tabla de autenticación de identidad de dispositivo contiene las siguientes partes:

  • La dirección IP del dispositivo.

  • Nombre del dominio al que pertenece el dispositivo.

  • Los grupos a los que está asociado el dispositivo.

  • La identidad del dispositivo.

    La identidad del dispositivo es, en realidad, la de un perfil de identidad de dispositivo (denominado en la CLI como end-user-profile). Este tipo de perfil contiene un grupo de atributos que caracterizan a un dispositivo individual específico o a un grupo específico de dispositivos, por ejemplo, un tipo específico de computadora portátil.

A partir de Junos OS 17.4R1, el firewall de la serie SRX admite direcciones IPv6 para la autenticación del módulo de firewall de usuario (UserFW). Esta característica permite que el tráfico IPv6 coincida con cualquier política de seguridad configurada para la identidad de origen. Anteriormente, si se configuraba una política de seguridad para la identidad de origen y se especificaba "cualquiera" para su dirección IP, el módulo UserFW ignoraba el tráfico IPv6.

Las direcciones IPv6 son compatibles con los siguientes orígenes de autenticación:

  • Tabla de autenticación de Active Directory

  • Identidad del dispositivo con autenticación de Active Directory

  • Tabla de autenticación local

  • Tabla de autenticación de firewall

Por qué cambia el contenido de la tabla de autenticación de identidad del dispositivo

Las entradas de identidad de dispositivo de la tabla de autenticación de identidad de dispositivo cambian cuando se producen determinados eventos: cuando expira la entrada de autenticación de usuario a la que está asociada la entrada de identidad de dispositivo, cuando se producen cambios en la política de seguridad con respecto a hacer referencia a un grupo al que pertenece el dispositivo, cuando el dispositivo se agrega o se elimina de grupos, o cuando se eliminan los grupos a los que pertenece y ese cambio se realiza en el servidor LDAP de Windows Active Directory.

  • Cuando expira la entrada de identidad de usuario a la que está asociada una entrada de identidad de dispositivo

    Cuando el dispositivo genera una entrada para un dispositivo en la tabla de autenticación de identidad de dispositivo, asocia esa entrada con una entrada de identidad de usuario en una tabla de autenticación local para el origen de autenticación específico que autenticó al usuario del dispositivo, como Active Directory. Es decir, vincula la entrada de identidad del dispositivo en la tabla de autenticación de identidad del dispositivo a la entrada para el usuario del dispositivo en la tabla de autenticación de usuario.

    Cuando la entrada de autenticación de usuario con la que está asociada la entrada de identidad de dispositivo caduca y se elimina de la tabla de autenticación de usuario, la entrada de identidad de dispositivo se elimina silenciosamente de la tabla de autenticación de identidad de dispositivo. Es decir, no se emite ningún mensaje para informarle de este evento.

  • Cuando se producen cambios en la política de seguridad con respecto a hacer referencia a un grupo al que pertenece el dispositivo

    Para controlar el acceso a los recursos de red en función de la identidad del dispositivo, cree un perfil de identidad de dispositivo al que puede hacer referencia en una directiva de seguridad. Además de otros atributos, un perfil de identidad de dispositivo contiene los nombres de grupos. Cuando una política de seguridad hace referencia a un perfil de identidad de dispositivo, los grupos que contiene se denominan grupos interesados.

    Un grupo cumple los requisitos para ser considerado grupo interesado si una política de seguridad hace referencia a él, es decir, si está incluido en un perfil de identidad de dispositivo especificado en el source-end-user-deviccampo e de una política de seguridad. Si se incluye un grupo en un perfil de identidad de dispositivo que no se usa actualmente en una política de seguridad, no se incluye en la lista de grupos interesados. Un grupo puede entrar y salir de la lista de grupos a los que hacen referencia las políticas de seguridad.

  • Cuando se agrega o quita un dispositivo de un grupo o se elimina un grupo

    Para mantener actualizadas las entradas de identidad del dispositivo en la tabla de autenticación de identidad de dispositivo local, las series SRX o NFX supervisan el registro de eventos de Active Directory en busca de cambios. Además de determinar si un dispositivo ha cerrado sesión en la red, puede determinar los cambios en cualquier grupo al que pertenezca el dispositivo. Cuando se producen cambios en los grupos a los que pertenece un dispositivo, es decir, cuando se agrega o quita un dispositivo de un grupo o se elimina el grupo, el dispositivo modifica el contenido de las entradas del dispositivo afectado en su propia tabla de autenticación de identidad de dispositivo para reflejar los cambios realizados en el servidor LDAP de Microsoft Windows Active Directory.

La tabla de autenticación de identidad del dispositivo se actualiza en función de los cambios realizados en los grupos con los que el dispositivo está asociado en el servidor LDAP, como se ilustra en la tabla 3.

Tabla 3: Cambios de grupo para dispositivos en el LDAP de Active Directory y la respuesta de las series SRX o NFX

Cambios realizados en LDAP

Acción del demonio de ID de usuario y mensaje LDAP de las series SRX o NFX

La información de grupo de un dispositivo ha cambiado. El dispositivo se ha agregado o eliminado de un grupo, o se ha eliminado un grupo al que pertenece el dispositivo.

El módulo LDAP de Active Directory envía una notificación del cambio al demonio UserID de las series SRX o NFX, indicándole que revise la información en su tabla de autenticación de identidad de dispositivo local.

El dispositivo procesa estos mensajes cada 2 minutos.

Se elimina la entrada del dispositivo en LDAP.

El módulo LDAP de Active Directory envía una notificación del cambio al demonio UserID, indicándole que revise la información en su tabla de autenticación de identidad de dispositivo local.

El dispositivo procesa estos mensajes cada 2 minutos.

El demonio UserID del dispositivo serie SRX o NFX Series es informado de los cambios. El hecho de que un grupo al que pertenece un dispositivo se especifique o no en una política de seguridad influye en la información que se almacena en las entradas de la tabla de autenticación de identidad del dispositivo afectado. La tabla 4 muestra la actividad que se produce cuando se agrega o elimina un grupo del LDAP de Active Directory.

Tabla 4: Cambios en las entradas de identidad del dispositivo según las especificaciones de la política de seguridad

Cambios en el perfil de identidad del dispositivo

Comportamiento de asignación de grupos de dispositivos

Respuesta del demonio UserID de las series SRX o NFX

Un nuevo grupo que se agregó al LDAP de Active Directory se agrega al perfil de identidad del firewall de la serie SRX.

El dispositivo obtiene la lista de dispositivos que pertenecen al nuevo grupo y sus subgrupos del servidor LDAP de Active Directory. Añade la lista a su directorio LDAP local.

El demonio UserID determina si la tabla de autenticación de identidad del dispositivo incluye entradas para el conjunto de dispositivos afectados. Si es así, actualiza la información de grupo para estas entradas.

Por ejemplo, aquí está la entrada para device1 antes de que se actualizara para incluir el nuevo grupo y después de que se agregara el grupo:

  • dispositivo1, g1

  • Dispositivo1, G1, G2

Se elimina un grupo del LDAP de Active Directory. El dispositivo elimina el grupo del perfil de identidad del dispositivo.

El dispositivo obtiene la lista de dispositivos que pertenecen al grupo eliminado de su base de datos LDAP local.

Elimina la asignación de grupo de dispositivos del directorio LDAP local.

El demonio UserID comprueba en la tabla de autenticación de identidad del dispositivo las entradas que pertenecen al grupo. Quita el grupo de las entradas afectadas.

Por ejemplo, aquí está la entrada para el dispositivo1 antes de que se eliminara el grupo y después de que se eliminara el grupo:

  • Dispositivo1, G1, G2

  • dispositivo1, g1

En la tabla 5 se detalla el contenido de las entradas de autenticación de dispositivos para varios dispositivos afectados por la eliminación de un grupo.

Tabla 5: Cambios en la tabla de autenticación de identidad de dispositivo resultantes de LDAP y cambios en la política de seguridad

Cambios en las entradas de la tabla de autenticación de identidad del dispositivo

Dirección IP

Información del dispositivo

Grupo

Entradas originales

192.0.2.10

dispositivo1

grupo1, grupo2

192.0.2.11

dispositivo2

grupo3, grupo4

192.0.2.12

dispositivo3

grupo2

Las mismas entradas después de eliminar el grupo2

192.0.2.10

dispositivo1

grupo1

192.0.2.11

dispositivo2

grupo3, grupo4

192.0.2.12

dispositivo3

Esta entrada ya no contiene grupos.

Coincidencia de políticas de seguridad y perfiles de identidad de dispositivos

El dispositivo sigue las reglas estándar para hacer coincidir el tráfico con las políticas de seguridad. El siguiente comportamiento se refiere al uso de un perfil de identidad de dispositivo en una directiva de seguridad para determinar una coincidencia:

  • El uso de un perfil de identidad de dispositivo en una política de seguridad es opcional.

    • Si no se especifica ningún perfil de identidad de dispositivo en el campo origen-usuario-usuario-perfil any , se asume el perfil.

    • No puede utilizar la palabra clave any en el source-end-user-profile campo de una política de seguridad.

      Si usa el campo origen-usuario-usuario final en una política de seguridad, debe hacer referencia a un perfil específico. El dispositivo desde el que se emite el intento de acceso debe coincidir con los atributos del perfil.

  • Solo se puede especificar un perfil de identidad de dispositivo en una única política de seguridad.

  • Una revancha de la directiva de seguridad se desencadena cuando se cambia el source-end-user-profile valor del campo de la política de seguridad. No se activa ninguna revancha cuando se cambia el valor de un atributo de un perfil.

Descripción de cómo la serie SRX obtiene la información de identidad de dispositivo autenticado de Windows Active Directory para el control de acceso a la red

Puede utilizar la función de autenticación de identidad de dispositivo de firewall de usuario integrado para controlar el acceso a los recursos de red en función de la identidad y los atributos del dispositivo utilizado en lugar de la identidad del usuario. La información sobre un dispositivo se almacena en la tabla de autenticación de identidad del dispositivo. Puede especificar el nombre de un perfil de identidad de dispositivo que contenga los atributos de dispositivo en el campo origen-fin-usuario-perfil de una política de seguridad. Si se cumplen todas las condiciones, las acciones de la política de seguridad se aplican al tráfico que sale de ese dispositivo.

Para poder usar perfiles de identidad de dispositivo en políticas de seguridad, el firewall de la serie SRX o el dispositivo de la serie NFX deben obtener la información de identidad del dispositivo para los dispositivos autenticados. El dispositivo crea la tabla de autenticación de identidad del dispositivo que se utilizará para almacenar las entradas de identidad del dispositivo. Busca en la tabla una coincidencia de dispositivo cuando llega tráfico de un dispositivo. En este tema se examina el proceso que se sigue cuando se usa Active Directory como origen de autenticación.

Un controlador de dominio de Active Directory autentica a los usuarios cuando inician sesión en el dominio y escribe un registro de ese evento en el registro de eventos de Windows. También escribe un registro en el registro de eventos cuando un usuario cierra sesión en el dominio. El registro de eventos del controlador de dominio proporciona al dispositivo información acerca de los dispositivos autenticados que están actualmente activos en el dominio y cuándo se cierra la sesión de esos dispositivos.

El demonio UserID realiza las siguientes acciones:

  1. Lee los registros de eventos del controlador de dominio de Active Directory para obtener las direcciones IP de los dispositivos que han iniciado sesión en el dominio y que Windows autentica.

    El demonio UserID en el motor de enrutamiento del dispositivo implementa un cliente de Instrumental de administración de Windows (WMI) con pilas RPC COM/Microsoft distribuidas de Microsoft y un mecanismo de autenticación para comunicarse con un controlador de dominio de Windows Active Directory en un dominio de Active Directory. Mediante el uso de la información del registro de eventos recuperada del controlador de Active Directory, el proceso obtiene las direcciones IP de los dispositivos activos de Active Directory. El proceso supervisa los cambios del registro de eventos de Active Directory mediante la misma interfaz DCOM de WMI para ajustar la información de identidad de su dispositivo en su tabla de autenticación local a fin de reflejar los cambios realizados en el servidor de Active Directory.

  2. Utiliza las direcciones IP del dispositivo que obtuvo del registro de eventos para obtener información sobre los grupos a los que pertenece un dispositivo. Para obtener esta información de grupo, el dispositivo se conecta al servicio LDAP en el controlador de Active Directory utilizando el protocolo LDAP para este propósito.

Como resultado de este proceso, el dispositivo puede generar entradas para los dispositivos en la tabla de autenticación de identidad del dispositivo. Después de generar una entrada para un dispositivo en la tabla de autenticación de identidad del dispositivo, el dispositivo asocia esa entrada con la entrada de usuario adecuada en su tabla de autenticación local de Active Directory. A continuación, puede hacer referencia a las entradas del perfil de identidad del dispositivo en las políticas de seguridad para controlar el acceso a los recursos.

Comportamiento y restricciones

  • El proceso de lectura del registro de eventos consume recursos de CPU del controlador de dominio, lo que puede provocar un uso elevado de CPU en el controlador de dominio. Por este motivo, el controlador de dominio de Active Directory debe tener una configuración de alto rendimiento de al menos 4 núcleos y 8 gigabytes de memoria.

  • El registro de eventos del controlador de dominio registra una longitud máxima de 16 bytes del identificador de dispositivo, incluido un terminador nulo. Por lo tanto, la longitud máxima del identificador de dispositivo que el dispositivo obtiene del controlador de dominio es de 15 bytes.

  • Si el controlador de dominio borra el registro de eventos o si los datos escritos en el registro de eventos faltan o se retrasan, es posible que la información de asignación de identidad del dispositivo sea inexacta. Si el dispositivo serie SRX o NFX no puede leer el registro de eventos o si contiene datos nulos, el dispositivo notifica una condición de error en su propio registro.

  • Si la tabla de información de identidad del dispositivo alcanza su capacidad, no podrá agregar nuevas entradas de identidad de dispositivo. En ese caso, se interrumpe el tráfico del dispositivo.

Descripción de la solución XML de identidad de dispositivo para sistemas de autenticación NAC de terceros

La función de autenticación de identidad de dispositivo de firewall de usuario integrada le permite controlar el acceso a los recursos de red en función de la identidad de un dispositivo. Puede usar una de las siguientes soluciones de identidad de dispositivos:

  • Microsoft Active Directory como origen de autenticación.

    Si el entorno está configurado para usar Microsoft Active Directory, el dispositivo serie SRX o NFX obtiene la dirección IP del dispositivo y los grupos del controlador de dominio de Active Directory y del servicio LDAP.

  • Sistema de autenticación de control de acceso a la red (NAC).

    Si su entorno de red está configurado para una solución NAC y decide adoptar este enfoque, el sistema NAC envía la información de identidad del dispositivo al dispositivo serie SRX o NFX. La API de servicios web RESTful permite enviar la información del dispositivo al dispositivo en una estructura XML formal.

    Advertencia:

    Si adopta este enfoque, debe comprobar que la solución NAC funciona con el dispositivo.

Implementación de XML Web API en dispositivos serie SRX y NFX

La API de servicios web RESTful permite enviar la información de identidad del dispositivo al dispositivo serie SRX o NFX en una estructura XML formal. Permite que su solución NAC se integre con el dispositivo y le envíe eficientemente la información del dispositivo. Debe cumplir con la estructura formal y las restricciones en el envío de información al dispositivo mediante la API.

Garantizar la integridad de los datos enviados desde el servicio NAC al dispositivo serie SRX o NFX

Los siguientes requisitos garantizan que los datos enviados desde el servicio NAC no se vean comprometidos:

  • La implementación de la API está restringida a procesar solo solicitudes HTTP/HTTPS POST. Cualquier otro tipo de solicitud que reciba genera un mensaje de error.

  • El demonio de API analiza y procesa las solicitudes HTTP/HTTPS solo desde la siguiente URL dedicada:

  • El contenido HTTP/HTTPS que su solución NAC publica en el firewall de la serie SRX debe tener el formato correcto de manera coherente. El formato XML correcto indica una falta de compromiso y garantiza que la información de identidad del usuario no se pierda.

Restricciones de tamaño de datos y otras restricciones

Las siguientes restricciones y limitaciones de tamaño de datos se aplican a los datos publicados en el dispositivo de las series SRX o NFX:

  • El sistema de autenticación NAC debe controlar el tamaño de los datos que publica. De lo contrario, el demonio de API web no podrá procesarlo. El demonio de API web puede procesar un máximo de 2 megabytes de datos.

  • Las siguientes limitaciones se aplican a los datos XML para la información de rol y postura del dispositivo. El demonio de API web descarta los datos XML que se le envían y que superan estas cantidades (es decir, los datos de desbordamiento):

    • El dispositivo puede procesar un máximo de 209 roles.

    • El dispositivo solo admite un tipo de postura con seis posibles símbolos o valores de postura. La información de identidad de un usuario individual solo puede tener un token de postura.

Ejemplo: configuración de la característica de identidad de firewall de la serie SRX en un entorno de Active Directory

En este ejemplo se muestra cómo configurar la característica de autenticación de identidad de dispositivo de firewall de usuario integrado para controlar el acceso a los recursos de red en función de la identidad de un dispositivo autenticado, no de su usuario. En este ejemplo se utiliza Microsoft Active Directory como origen de autenticación. Cubre cómo configurar un perfil de identidad de dispositivo que caracteriza a un dispositivo o conjunto de dispositivos, y cómo hacer referencia a ese perfil en una política de seguridad. Si un dispositivo coincide con la identidad del dispositivo y los parámetros de la política de seguridad, la acción de la política de seguridad se aplica al tráfico que se emite desde ese dispositivo.

Por varios motivos, es posible que desee usar la identidad de un dispositivo para el control de acceso a recursos. Por ejemplo, es posible que no conozca la identidad del usuario. Además, algunas empresas pueden tener conmutadores más antiguos que no admiten 802.1 o pueden no tener un sistema de control de acceso a la red (NAC). La función de autenticación de identidad de dispositivo se diseñó para ofrecer una solución a estas y otras situaciones similares al permitirle controlar el acceso a la red en función de la identidad del dispositivo. Puede controlar el acceso de un grupo de dispositivos que se ajusten a la especificación de identidad del dispositivo o a un dispositivo individual.

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un dispositivo de puerta de enlace de servicios de la serie SRX que ejecute Junos OS versión 15.1X49-D70 o posterior.

  • Microsoft Active Directory con un controlador de dominio y el servidor del Protocolo ligero de acceso a directorios (LDAP)

    El controlador de dominio de Active Directory tiene una configuración de alto rendimiento de 4 núcleos y 8 gigabytes de memoria.

    Nota:

    La serie SRX obtiene la dirección IP de un dispositivo leyendo el registro de eventos del controlador de dominio. El proceso que lee el registro de eventos consume recursos de CPU del controlador de dominio, lo que puede provocar un uso elevado de la CPU. Por este motivo, el controlador de dominio de Active Directory debe tener una configuración de alto rendimiento de al menos 4 núcleos y 8 gigabytes de memoria.

  • Un servidor en la red corporativa interna.

Visión general

A partir de Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, la serie SRX proporciona compatibilidad para controlar el acceso a los recursos de red en función de la identidad de un dispositivo autenticado por Active Directory o un sistema de control de acceso a la red (NAC) de terceros. En este ejemplo se usa Active Directory como origen de autenticación.

Nota:

Debe configurar el origen de autenticación para que esta característica funcione.

En este ejemplo se tratan las siguientes partes de configuración:

  • Zonas y sus interfaces

    Debe configurar las zonas a las que pertenecen las entidades de origen y destino especificadas en la directiva de seguridad. Si no los configura, la política de seguridad que hace referencia al perfil de identidad del dispositivo no será válida.

  • Un perfil de identidad de dispositivo

    El perfil de identidad del dispositivo se configura aparte de la política de seguridad; se hace referencia a él desde una política de seguridad. Un perfil de identidad de dispositivo especifica una identidad de dispositivo que puede coincidir con uno o más dispositivos. Para Active Directory, solo puede especificar el atributo device-identity en el perfil.

    En este ejemplo, la especificación del atributo device-identity es company-computers.

    Nota:

    El perfil de identidad del dispositivo se conoce como end-user-profile en la CLI.

  • Una política de seguridad

    Puede configurar una directiva de seguridad cuya acción se aplica al tráfico que se emite desde cualquier dispositivo que coincida con los atributos del perfil de identidad del dispositivo y el resto de los parámetros de la directiva de seguridad.

    Nota:

    Especifique el nombre del perfil de identidad del dispositivo en el campo de la política de source-end-user-profile seguridad.

  • Origen de autenticación

    Configure el origen de autenticación que se utilizará para autenticar el dispositivo. En este ejemplo se usa Active Directory como origen de autenticación de identidad de dispositivo.

    Si Active Directory es el origen de autenticación, la serie SRX obtiene información de identidad para un dispositivo autenticado leyendo el registro de eventos del dominio de Active Directory. A continuación, el dispositivo consulta la interfaz LDAP de Active Directory para identificar los grupos a los que pertenece el dispositivo, utilizando la dirección IP del dispositivo para la consulta.

    Para ello, el dispositivo implementa un cliente de Instrumental de administración de Windows (WMI) con pilas Microsoft Distributed COM/Microsoft RPC y un mecanismo de autenticación para comunicarse con el controlador de Windows Active Directory en el dominio de Active Directory. Es el demonio wmic del dispositivo el que extrae la información del dispositivo del registro de eventos del dominio de Active Directory.

    El demonio wmic también supervisa el registro de eventos de Active Directory en busca de cambios mediante la misma interfaz DCOM de WMI. Cuando se producen cambios, el dispositivo ajusta su tabla de autenticación de identidad de dispositivo local para reflejar dichos cambios.

    A partir de Junos OS versión 17.4R1, puede asignar direcciones IPv6 a los controladores de dominio de Active Directory y al servidor LDAP. Antes de Junos OS versión 17.4R1, solo se podían asignar direcciones IPv4.

Topología

En este ejemplo, los usuarios que pertenecen a la zona de marketing quieren tener acceso a los recursos de los servidores corporativos internos. El control de acceso se basa en la identidad del dispositivo. En este ejemplo, los equipos de la empresa se especifican como la identidad del dispositivo. Por lo tanto, la acción de política de seguridad solo se aplica a los dispositivos que se ajustan a esa especificación y coinciden con los criterios de la política de seguridad. Es el dispositivo al que se le concede o deniega el acceso a los recursos del servidor. El acceso no se controla en función de la identificación del usuario.

Se establecen dos zonas de la serie SRX: una que incluye los dispositivos de red (marketing-zone) y otra que incluye los servidores internos (servers-zone). La interfaz del firewall de la serie SRX ge-0/0/3.1, cuya dirección IP es 192.0.2.18/24, está asignada a la zona de comercialización. La interfaz de firewall de la serie SRX ge-0/0/3.2, cuya dirección IP es 192.0.2.14/24, está asignada a la zona de servidores.

Estos ejemplos cubren la siguiente actividad:

  1. El firewall de la serie SRX se conecta al controlador de dominio de Active Directory mediante la interfaz DCOM de WMI para obtener información acerca de los dispositivos autenticados por Active Directory.

    Cuando un usuario inicia sesión en la red y se autentica, la información sobre el dispositivo del usuario se escribe en el registro de eventos.

  2. La serie SRX extrae la información del dispositivo del registro de eventos del controlador de dominio de Active Directory.

  3. La serie SRX utiliza la información extraída para obtener una lista de los grupos a los que pertenece el dispositivo desde el servidor LDAP de Active Directory.

  4. La serie SRX crea una tabla de autenticación de identidad de dispositivo local y almacena la información de identidad del dispositivo que obtuvo del controlador de dominio y del servidor LDAP en la tabla.

  5. Cuando el tráfico de un dispositivo llega al firewall de la serie SRX, la serie SRX comprueba en la tabla de autenticación de identidad del dispositivo una entrada coincidente para el dispositivo que emitió el tráfico.

  6. Si la serie SRX encuentra una entrada coincidente para el dispositivo que solicita acceso, comprueba en la tabla de políticas de seguridad una política de seguridad cuyo source-end-user-profile campo especifique un perfil de identidad de dispositivo con una especificación de identidad de dispositivo que coincida con la del dispositivo que solicita acceso.

  7. La política de seguridad correspondiente se aplica al tráfico que se emite desde el dispositivo.

La figura 2 muestra la topología de este ejemplo.

Figura 2: Topología para la característica de identidad de dispositivo con Active Directory como origen Topology for the Device Identity Feature with Active Directory as the Authentication Source de autenticación

Configuración

Para configurar la característica de identidad de dispositivo en un entorno de Active Directory, realice estas tareas:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, a continuación, ingrese commit desde el modo de configuración.

Configuración de la característica de autenticación de identidad de dispositivo de firewall de usuario integrado en un entorno de Active Directory

Procedimiento paso a paso

Este procedimiento incluye las instrucciones de configuración necesarias para configurar el firewall de la serie SRX de modo que admita la característica de autenticación de identidad de dispositivo en un entorno de Active Directory.

  1. Configure las interfaces que se utilizarán para la zona de marketing y la zona de servidores.

  2. Configure la zona de marketing y la zona de servidores y asígneles interfaces.

  3. Configure el origen de autenticación para especificar Microsoft Active Directory. Debe especificar el origen de autenticación para que funcione la característica de identidad del dispositivo. Este es un valor obligatorio.

  4. Configure la especificación de identidad de dispositivo para el perfil de identidad de dispositivo, que también se conoce como end-user-profile.

  5. Configure una política de seguridad, denominada mark-server-access, que haga referencia al perfil de identidad del dispositivo denominado marketing-west-coast. La política de seguridad permite que cualquier dispositivo que pertenezca a la zona de comercialización (y que coincida con la especificación del perfil de identidad del dispositivo) acceda a los recursos del servidor de destino.

  6. Configure el firewall de la serie SRX para comunicarse con Active Directory y utilizar el servicio LDAP.

    Para obtener la información de grupo necesaria para implementar la función de autenticación de identidad de dispositivo, el firewall de la serie SRX utiliza el Protocolo ligero de acceso a directorios (LDAP). La serie SRX actúa como un cliente LDAP que se comunica con un servidor LDAP. Normalmente, el controlador de dominio de Active Directory actúa como servidor LDAP. El módulo LDAP del dispositivo, de forma predeterminada, consulta Active Directory en el controlador de dominio.

Resultados

Ingrese show interfaces al modo de configuración.

Ingrese show security zones al modo de configuración.

Ingrese show services user-identification device-information end-user-profile al modo de configuración.

Ingrese show services user-identification device-information authentication-source al modo de configuración.

Ingrese show security policies al modo de configuración.

Ingrese show services user-identification active-directory-access al modo de configuración.

Ingrese show services user-identification active-directory-access domain example-net al modo de configuración.

Verificación

Comprobar el contenido de la tabla de autenticación de identidad del dispositivo

Propósito

Compruebe que la tabla de autenticación de identidad del dispositivo contiene las entradas esperadas y sus grupos.

Acción

En este caso, la tabla de autenticación de identidad del dispositivo contiene tres entradas. El siguiente comando muestra amplia información para las tres entradas.

Introduzca show services user-identification device-information table all extensive el comando en modo operativo para mostrar el contenido de la tabla.

Salida de muestra
nombre-comando
Significado

La tabla debe contener entradas con información para todos los dispositivos autenticados y los grupos a los que pertenecen.

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
17.4R1
A partir de Junos OS versión 17.4R1, la serie SRX admite direcciones IPv6 para la autenticación de firewall de usuario (UserFW). La tabla de identidad de dispositivo puede incluir entradas con direcciones IPv6 cuando Active Directory es el origen de autenticación.
17.4R1
A partir de Junos OS 17.4R1, el firewall de la serie SRX admite direcciones IPv6 para la autenticación del módulo de firewall de usuario (UserFW). Esta característica permite que el tráfico IPv6 coincida con cualquier política de seguridad configurada para la identidad de origen. Anteriormente, si se configuraba una política de seguridad para la identidad de origen y se especificaba "cualquiera" para su dirección IP, el módulo UserFW ignoraba el tráfico IPv6.