Políticas de seguridad para sistemas lógicos
Las políticas de seguridad se utilizan para proteger las empresas y controlar el acceso a los recursos de LAN. El acceso seguro es necesario tanto dentro de la empresa a través de la LAN como en sus interacciones con redes externas, como Internet. Junos OS ofrece potentes funciones de seguridad de red a través de su firewall de estado, firewall de aplicaciones y firewall de identidad de usuario. Los tres tipos de aplicación de firewall se implementan mediante políticas de seguridad. Para obtener más información, consulte los temas siguientes:
Descripción de las políticas de seguridad de los sistemas lógicos
- Políticas de seguridad en los sistemas lógicos
- Tiempos de espera de aplicaciones
- Asignación de políticas de seguridad
Políticas de seguridad en los sistemas lógicos
Las políticas de seguridad aplican reglas para lo que el tráfico puede pasar por el firewall y las acciones que deben tener lugar en el tráfico a medida que pasa por el firewall. Desde la perspectiva de las políticas de seguridad, el tráfico entra en una zona de seguridad y sale de otra.
De forma predeterminada, un sistema lógico niega todo el tráfico en todas las direcciones, incluidas las direcciones dentro de la zona e interzona. Mediante la creación de políticas de seguridad, el administrador del sistema lógico puede controlar el flujo de tráfico de zona a zona mediante la definición de los tipos de tráfico que se permite pasar desde orígenes especificados a destinos especificados.
Las políticas de seguridad se pueden configurar en el sistema lógico principal y en los sistemas lógicos de usuario. Configurar una política de seguridad en un sistema lógico es lo mismo que configurar una política de seguridad en un dispositivo que no está configurado para sistemas lógicos. Cualquier política de seguridad, reglas de políticas, libretas de direcciones, aplicaciones y conjuntos de aplicaciones, y programadores creados dentro de un sistema lógico solo se aplican a ese sistema lógico. Solo las aplicaciones predefinidas y los conjuntos de aplicaciones, como junos-ftp, se pueden compartir entre sistemas lógicos.
En un sistema lógico, no puede especificar global como de zona o a zona en una política de seguridad.
El administrador del sistema lógico de usuario puede configurar y ver todos los atributos de las políticas de seguridad en un sistema lógico de usuario. Todos los atributos de una política de seguridad en un sistema lógico de usuario también son visibles para el administrador principal.
A partir de Junos OS versión 18.4R1, el usuario puede crear una dirección dinámica dentro de un sistema lógico. Una entrada de dirección dinámica contiene direcciones IP y prefijos extraídos de fuentes externas. Las políticas de seguridad usan la dirección dinámica en el campo de dirección de origen o de destino.
Una entrada de dirección dinámica (DAE) es un grupo de direcciones IP que se pueden ingresar manualmente o importar desde fuentes externas dentro de sistemas lógicos. La función DAE permite que los objetos IP basados en fuentes se utilicen en las políticas de seguridad para negar o permitir tráfico según criterios de IP de origen o destino.
El número máximo de DAE depende de las direcciones dinámicas asignadas a los sistemas lógicos. A partir de Junos 18.4R1, el set security dynamic-address feed-server comando se puede configurar en los sistemas lógicos.
Tiempos de espera de aplicaciones
El valor de tiempo de espera de la aplicación establecido para una aplicación determina el tiempo de espera de la sesión. El comportamiento del tiempo de espera de la aplicación es el mismo en un sistema lógico que en el nivel raíz. Sin embargo, los administradores de sistemas lógicos de usuario pueden usar aplicaciones predefinidas en las políticas de seguridad, pero no pueden modificar el valor del tiempo de espera de las aplicaciones predefinidas. Esto se debe a que las aplicaciones predefinidas son compartidas por el sistema lógico principal y todos los sistemas lógicos de usuario, por lo que el administrador del sistema lógico del usuario no puede cambiar su comportamiento. Los valores de tiempo de espera de la aplicación se almacenan en la base de datos de entrada de la aplicación y en las tablas de tiempo de espera basadas en puertos TCP y UDP correspondientes del sistema lógico.
Si la aplicación que coincide con el tráfico tiene un valor de tiempo de espera, se utiliza ese valor. De lo contrario, la búsqueda se realiza en el siguiente orden hasta que se encuentra un valor de tiempo de espera de la aplicación:
La tabla de tiempo de espera basada en puertos TCP y UDP del sistema lógico se busca un valor de tiempo de espera.
En la tabla de tiempo de espera basada en puertos TCP y UDP raíz se busca un valor de tiempo de espera.
La tabla de tiempo de espera predeterminada basada en protocolos se busca un valor de tiempo de espera.
Asignación de políticas de seguridad
El administrador principal configura los números máximos y reservados de políticas de seguridad para cada sistema lógico de usuario. A continuación, el administrador del sistema lógico de usuario puede crear políticas de seguridad en el sistema lógico de usuario. Desde un sistema lógico de usuario, el administrador del sistema lógico de usuario puede usar el show system security-profile policy comando para ver el número de políticas de seguridad asignadas al sistema lógico de usuario.
El administrador principal puede configurar un perfil de seguridad para el sistema lógico principal que especifique los números máximos y reservados de políticas de seguridad aplicadas al sistema lógico principal. La cantidad de políticas configuradas en el sistema lógico principal se cuenta con la cantidad máxima de políticas disponibles en el dispositivo.
Ver también
Ejemplo: Configuración de políticas de seguridad en sistemas lógicos de usuario
En este ejemplo, se muestra cómo configurar políticas de seguridad para un sistema lógico de usuario.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico. Consulte Descripción general de la configuración de sistemas lógicos del usuario.
Utilice el
show system security-profiles policycomando para ver los recursos de política de seguridad asignados al sistema lógico.Configure zonas y libretas de direcciones. Consulte Ejemplo: Configuración de zonas de seguridad para sistemas lógicos de usuario.
Visión general
En este ejemplo, se configura el sistema lógico de usuario de ls-product-design que se muestra en el ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.
En este ejemplo, se configuran las políticas de seguridad descritas en la tabla 1.
Nombre |
Parámetros de configuración |
|---|---|
permitir-todo-a-otroslsys |
Permita el siguiente tráfico:
|
permitir-todo-desde-otroslsys |
Permita el siguiente tráfico:
|
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match source-address product-designers set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match destination-address otherlsys set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match application any set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys then permit set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match source-address otherlsys set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match destination-address product-designers set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match application any set security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.
Para configurar políticas de seguridad en un sistema lógico de usuario:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico y ingrese al modo de configuración.
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
Configure una política de seguridad que permita el tráfico desde la zona ls-product-design-trust hasta la zona ls-product-design-untrust.
[edit security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust] lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match source-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match destination-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys then permit
Configure una política de seguridad que permita el tráfico desde la zona ls-product-design-untrust hasta la zona ls-product-design-trust.
[edit security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match destination-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys then permit
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Configuración de dirección dinámica para sistemas lógicos
Una entrada de dirección dinámica en sistemas lógicos proporciona información dinámica de dirección IP a las políticas de seguridad. Para usar dirección dinámica, debe especificar información básica de la dirección dinámica, incluidos sus nombres, fuentes y propiedades para un sistema lógico.
Lea el ejemplo: Configurar políticas de seguridad en sistemas lógicos de usuario para comprender cómo y dónde se ajusta este procedimiento para configurar la política de seguridad.
Para configurar la dirección dinámica en redes IPv4 dentro de un sistema lógico:
Para configurar las políticas de seguridad en el sistema lógico:
Defina el nombre lógico del sistema como LSYS1.
[edit] user@host# set logical-systems LSYS1
Cree una política de seguridad como p1 que permita el tráfico de zona de confianza a zona no confiable y configure la condición de coincidencia.
[edit logical-systems LSYS1 security policies from-zone trust to-zone untrust] user@host# set policy p1 match source-address any user@host# set policy p1 match destination-address any user@host# set policy p1 match application any user@host# set policy p1 then permit
Para confirmar la configuración, ingrese el
show logical-systems LSYS1 security policiescomando.[edit] user@host# show logical-systems LSYS1 security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit; } } }