EN ESTA PÁGINA
Zonas de seguridad
Una zona de seguridad es una colección de uno o más segmentos de red que requieren la regulación del tráfico entrante y saliente a través de políticas. Las zonas de seguridad son entidades lógicas a las que están enlazadas una o más interfaces. Puede definir varias zonas de seguridad, cuyo número exacto puede determinar en función de sus necesidades de red.
Descripción general de las zonas de seguridad
Las interfaces actúan como una puerta a través de la cual el tráfico entra y sale de un dispositivo de Juniper Networks. Muchas interfaces pueden compartir exactamente los mismos requisitos de seguridad; Sin embargo, distintas interfaces también pueden tener diferentes requisitos de seguridad para los paquetes de datos entrantes y salientes. Las interfaces con requisitos de seguridad idénticos se pueden agrupar en una sola zona de seguridad.
Una zona de seguridad es una colección de uno o más segmentos de red que requieren la regulación del tráfico entrante y saliente a través de políticas.
Las zonas de seguridad son entidades lógicas a las que están enlazadas una o más interfaces. Con muchos tipos de dispositivos de Juniper Networks, puede definir varias zonas de seguridad, cuyo número exacto puede determinar según sus necesidades de red.
En un único dispositivo, se pueden configurar varias zonas de seguridad, dividiendo la red en segmentos a los que se pueden aplicar diversas opciones de seguridad para satisfacer las necesidades de cada segmento. Como mínimo, debe definir dos zonas de seguridad, básicamente para proteger un área de la red de la otra. En algunas plataformas de seguridad, puede definir muchas zonas de seguridad, aportando una granularidad más fina al diseño de seguridad de red, y sin desplegar múltiples dispositivos de seguridad para hacerlo.
Desde el punto de vista de las políticas de seguridad, el tráfico entra en una zona de seguridad y sale en otra. Esta combinación de a from-zone y a to-zone se define como un contexto. Cada contexto contiene una lista ordenada de políticas. Para obtener más información acerca de las directivas, consulte Información general sobre las directivas de seguridad.
En este tema se incluyen las siguientes secciones:
- Descripción de las interfaces de zonas de seguridad
- Descripción de las zonas funcionales
- Descripción de las zonas de seguridad
Descripción de las interfaces de zonas de seguridad
Una interfaz para una zona de seguridad puede considerarse como una puerta a través de la cual el tráfico TCP/IP puede pasar entre esa zona y cualquier otra zona.
Mediante las políticas que defina, puede permitir que el tráfico entre zonas fluya en una dirección o en ambas. Con las rutas que defina, especifique las interfaces que debe utilizar el tráfico de una zona a otra. Dado que puede enlazar varias interfaces a una zona, las rutas que grafique son importantes para dirigir el tráfico a las interfaces de su elección.
Se puede configurar una interfaz con una dirección IPv4, una dirección IPv6 o ambas.
Descripción de las zonas funcionales
Una zona funcional se utiliza para fines especiales, como interfaces de administración. Actualmente, solo se admite la zona de administración (MGT). Las zonas de administración tienen las siguientes propiedades:
Interfaces de administración de host de zonas de administración.
El tráfico que entra en las zonas de administración no coincide con las políticas; Por lo tanto, el tráfico no puede salir de ninguna otra interfaz si se recibió en la interfaz de administración.
Las zonas de administración solo se pueden usar para interfaces de administración dedicadas.
Descripción de las zonas de seguridad
Las zonas de seguridad son los bloques de construcción de las políticas; Son entidades lógicas a las que están enlazadas una o más interfaces. Las zonas de seguridad proporcionan un medio para distinguir grupos de hosts (sistemas de usuario y otros hosts, como servidores) y sus recursos entre sí para aplicarles diferentes medidas de seguridad.
Las zonas de seguridad tienen las siguientes propiedades:
Políticas: políticas de seguridad activas que aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del firewall y las acciones que deben llevarse a cabo en el tráfico a medida que pasa a través del firewall. Para obtener más información, consulte Información general sobre las directivas de seguridad.
Pantallas: un firewall de estado de Juniper Networks protege una red inspeccionando, y luego permitiendo o rechazando, todos los intentos de conexión que requieren el paso de una zona de seguridad a otra. Para cada zona de seguridad, puede habilitar un conjunto de opciones de pantalla predefinidas que detectan y bloquean varios tipos de tráfico que el dispositivo determina como potencialmente dañino. Para obtener más información, consulte Descripción general de la disuasión de reconocimiento.
Libretas de direcciones: direcciones IP y conjuntos de direcciones que componen una libreta de direcciones para identificar a sus miembros, de modo que pueda aplicarles políticas. Las entradas de la libreta de direcciones pueden incluir cualquier combinación de direcciones IPv4, direcciones IPv6 y nombres del Sistema de nombres de dominio (DNS). Para obtener más información, vea Ejemplo: Configuración de libretas de direcciones y conjuntos de direcciones.
TCP-RST: cuando esta función está activada, el sistema envía un segmento TCP con el indicador RESET establecido cuando llega tráfico que no coincide con una sesión existente y no tiene el indicador SYNchronize establecido.
Interfaces: lista de interfaces de la zona.
Las zonas de seguridad tienen la siguiente zona preconfigurada:
Zona de confianza: disponible solo en la configuración de fábrica y se utiliza para la conexión inicial con el dispositivo. Después de confirmar una configuración, se puede anular la zona de confianza.
Ejemplo: creación de zonas de seguridad
En este ejemplo se muestra cómo configurar zonas y asignarles interfaces. Al configurar una zona de seguridad, puede especificar muchos de sus parámetros al mismo tiempo.
Requisitos
Antes de comenzar, configure las interfaces de red. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Visión general
Una interfaz para una zona de seguridad puede considerarse como una puerta a través de la cual el tráfico TCP/IP puede pasar entre esa zona y cualquier otra zona.
De forma predeterminada, las interfaces están en la zona nula. Las interfaces no pasarán tráfico hasta que se hayan asignado a una zona.
Puede configurar interfaces 2000 dentro de una zona de seguridad en dispositivos SRX3400, SRX3600, SRX4600, SRX5400, SRX5600 o SRX5800, dependiendo de la versión de Junos OS de la instalación.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1::1/64 set security zones security-zone ABC interfaces ge-0/0/1.0
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para crear zonas y asignarles interfaces:
Configure una interfaz Ethernet y asígnele una dirección IPv4.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
Configure una interfaz Ethernet y asígnele una dirección IPv6.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8::1/32
Configure una zona de seguridad y asígnela a una interfaz Ethernet.
[edit] user@host# set security zones security-zone ABC interfaces ge-0/0/1.0
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security zones security-zone ABC comandos y show interfaces ge-0/0/1 . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
Para mayor brevedad, este show resultado incluye solo la configuración relevante para este ejemplo. Cualquier otra configuración en el sistema ha sido reemplazada por puntos suspensivos (...).
[edit]
user@host# show security zones security-zone ABC
...
interfaces {
ge-0/0/1.0 {
...
}
}
[edit]
user@host# show interfaces ge-0/0/1
...
unit 0 {
family inet {
address 203.0.113.1/24;
}
family inet6 {
address 2001:db8:1::1/64;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Servicios del sistema admitidos para el tráfico entrante del host
En este tema se describen los servicios del sistema admitidos para el tráfico entrante de host en la zona o interfaz especificada.
Por ejemplo, supongamos que un usuario cuyo sistema estaba conectado a la interfaz 203.0.113.4 en la zona ABC desea telnet en la interfaz 198.51.100.4 en la zona ABC. Para que se permita esta acción, la aplicación Telnet debe configurarse como un servicio entrante permitido en ambas interfaces y una directiva debe permitir la transmisión de tráfico.
Consulte la sección Opciones en system-services (Security Zones Host Inbound Traffic) para ver los servicios del sistema que se pueden usar para el tráfico entrante de host.
En los firewalls de la serie SRX, el xnm-clear-text campo está habilitado en la configuración predeterminada de fábrica. Esta configuración habilita el tráfico entrante del protocolo XML de Junos en la zona de confianza del dispositivo cuando el dispositivo funciona con la configuración predeterminada de fábrica. Le recomendamos que reemplace la configuración predeterminada de fábrica por una configuración definida por el usuario que proporcione seguridad adicional una vez configurada la caja. Debe eliminar el xnm-clear-text campo manualmente mediante el comando delete system services xnm-clear-textde la CLI.
Consulte la sección Opciones en protocolos (interfaces de zonas de seguridad) para ver los protocolos compatibles que se pueden usar para el tráfico entrante de host.
Todos los servicios (excepto DHCP y BOOTP) se pueden configurar por zona o por interfaz. Un servidor DHCP se configura sólo por interfaz, ya que el servidor debe conocer la interfaz entrante para poder enviar respuestas DHCP.
No es necesario configurar el protocolo de detección de vecinos (NDP) en el tráfico entrante de host, ya que el NDP está habilitado de forma predeterminada.
La opción de configuración para IPv6 Neighbor Discovery Protocol (NDP) está disponible. La opción de configuración es set protocol neighbor-discovery onlink-subnet-only comando. Esta opción evitará que el dispositivo responda a una solicitud de vecino (NS) desde un prefijo que no se incluyó como uno de los prefijos de interfaz del dispositivo.
El motor de enrutamiento debe reiniciarse después de establecer esta opción para eliminar cualquier posibilidad de que una entrada IPv6 anterior permanezca en la tabla de reenvío.
Descripción de cómo controlar el tráfico entrante en función de los tipos de tráfico
En este tema se describe cómo configurar zonas para especificar los tipos de tráfico que pueden llegar al dispositivo desde sistemas que están conectados directamente a sus interfaces.
Tenga en cuenta lo siguiente:
Puede configurar estos parámetros en el nivel de zona, en cuyo caso afectan a todas las interfaces de la zona, o en el nivel de interfaz. (La configuración de la interfaz anula la de la zona).
Debe habilitar todo el tráfico entrante de host esperado. El tráfico entrante destinado a este dispositivo se elimina de forma predeterminada.
También puede configurar las interfaces de una zona para permitir su uso por protocolos de enrutamiento dinámico.
Esta característica le permite proteger el dispositivo contra ataques lanzados desde sistemas que están directa o indirectamente conectados a cualquiera de sus interfaces. También le permite configurar selectivamente el dispositivo para que los administradores puedan administrarlo utilizando ciertas aplicaciones en ciertas interfaces. Puede prohibir el uso de otras aplicaciones en la misma interfaz o en interfaces diferentes de una zona. Por ejemplo, lo más probable es que desee asegurarse de que personas ajenas no utilicen la aplicación Telnet desde Internet para iniciar sesión en el dispositivo, ya que no desea que se conecten al sistema.
Ejemplo: control del tráfico entrante en función de los tipos de tráfico
En este ejemplo se muestra cómo configurar el tráfico entrante en función de los tipos de tráfico.
Requisitos
Antes de empezar:
Configure las interfaces de red. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Comprender los tipos de tráfico entrante. Consulte Descripción de cómo controlar el tráfico entrante en función de los tipos de tráfico.
Visión general
Al permitir que se ejecuten los servicios del sistema, puede configurar zonas para especificar diferentes tipos de tráfico que pueden llegar al dispositivo desde sistemas que están conectados directamente a sus interfaces. Puede configurar los distintos servicios del sistema en el nivel de zona, en cuyo caso afectan a todas las interfaces de la zona, o en el nivel de interfaz. (La configuración de la interfaz anula la de la zona).
Debe habilitar todo el tráfico entrante de host esperado. El tráfico entrante de los dispositivos conectados directamente a las interfaces del dispositivo se elimina de forma predeterminada.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security zones security-zone ABC host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp set security zones security-zone ABC interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services all set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el tráfico entrante en función de los tipos de tráfico:
Configure una zona de seguridad.
[edit] user@host# edit security zones security-zone ABC
Configure la zona de seguridad para admitir el tráfico entrante de todos los servicios del sistema.
[edit security zones security-zone ABC] user@host# set host-inbound-traffic system-services all
Configure los servicios del sistema Telnet, FTP y SNMP en el nivel de interfaz (no en el nivel de zona) para la primera interfaz.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services telnet user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services ftp user@host# set interfaces ge-0/0/1.3 host-inbound-traffic system-services snmp
Configure la zona de seguridad para admitir el tráfico entrante de todos los servicios del sistema para una segunda interfaz.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services all
Excluya los servicios del sistema FTP y HTTP de la segunda interfaz.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services ftp except user@host# set interfaces ge-0/0/1.0 host-inbound-traffic system-services http except
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security zones security-zone ABC. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security zones security-zone ABC
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/1.3 {
host-inbound-traffic {
system-services {
ftp;
telnet;
snmp;
}
}
}
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
all;
ftp {
except;
}
http {
except;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Descripción de cómo controlar el tráfico entrante basado en protocolos
En este tema se describen los protocolos del sistema entrantes en la zona o interfaz especificada.
Se permite cualquier tráfico de entrada de host que corresponda a un protocolo enumerado en la opción de tráfico de entrada de host. Por ejemplo, si en algún lugar de la configuración se asigna un protocolo a un número de puerto distinto del predeterminado, puede especificar el protocolo en la opción de tráfico de entrada de host y se utilizará el nuevo número de puerto. En la tabla 1 se enumeran los protocolos admitidos. Un valor de all indica que se permite la entrada de tráfico de todos los protocolos siguientes en las interfaces especificadas (de la zona o de una sola interfaz especificada).
Servicios del sistema compatibles |
|||
|---|---|---|---|
todo |
Igmp |
Pim |
Sap |
Bfd |
Ldp |
Rip |
Vrrp |
Bgp |
MSDP |
ripeo |
NHRP |
descubrimiento de enrutador |
DVMRP |
Ospf |
Rsvp |
Pgm |
OSPF3 |
||
Si DVMRP o PIM están habilitados para una interfaz, el tráfico entrante de host IGMP y MLD se habilita automáticamente. Dado que IS-IS utiliza el direccionamiento OSI y no debe generar ningún tráfico IP, no existe ninguna opción de tráfico entrante de host para el protocolo IS-IS.
No es necesario configurar el protocolo de detección de vecinos (NDP) en el tráfico entrante de host, ya que el NDP está habilitado de forma predeterminada.
La opción de configuración para IPv6 Neighbor Discovery Protocol (NDP) está disponible. La opción de configuración es set protocol neighbor-discovery onlink-subnet-only comando. Esta opción evitará que el dispositivo responda a una solicitud de vecino (NS) desde un prefijo que no se incluyó como uno de los prefijos de interfaz del dispositivo.
El motor de enrutamiento debe reiniciarse después de configurar esta opción para eliminar cualquier posibilidad de que una entrada IPv6 anterior permanezca en la tabla de reenvío.
Ejemplo: control del tráfico entrante basado en protocolos
En este ejemplo se muestra cómo habilitar el tráfico entrante para una interfaz.
Requisitos
Antes de empezar:
Configure zonas de seguridad. Consulte Ejemplo: Creación de zonas de seguridad.
Configure las interfaces de red. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Visión general
Se permite cualquier tráfico de entrada de host que corresponda a un protocolo enumerado en la opción de tráfico de entrada de host. Por ejemplo, si en algún lugar de la configuración asigna un protocolo a un número de puerto distinto del predeterminado, puede especificar el protocolo en la opción de tráfico de entrada de host y se utilizará el nuevo número de puerto.
Un valor de all indica que se permite la entrada de tráfico de todos los protocolos en las interfaces especificadas (de la zona o de una sola interfaz especificada).
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf set security zones security-zone ABC interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el tráfico entrante en función de protocolos:
Configure una zona de seguridad.
[edit] user@host# edit security zones security-zone ABC
Configure la zona de seguridad para admitir tráfico entrante basado en el protocolo ospf para una interfaz.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf
Configure la zona de seguridad para admitir tráfico entrante basado en el protocolo ospf3 para una interfaz.
[edit security zones security-zone ABC] user@host# set interfaces ge-0/0/1.0 host-inbound-traffic protocols ospf3
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show security zones security-zone ABC. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security zones security-zone ABC
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
protocols {
ospf;
ospf3;
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Ejemplo: configuración del parámetro TCP-reset
En este ejemplo se muestra cómo configurar el parámetro TCP-Reset para una zona.
Requisitos
Antes de comenzar, configure las zonas de seguridad. Consulte Ejemplo: Creación de zonas de seguridad.
Visión general
Cuando la función de parámetro TCP-Reset está activada, el sistema envía un segmento TCP con el indicador RESET establecido cuando llega tráfico que no coincide con una sesión existente y no tiene el indicador SYN establecido.
Configuración
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el parámetro TCP-Reset para una zona:
Configure una zona de seguridad.
[edit] user@host# edit security zones security-zone ABC
Configure el parámetro TCP-Reset para la zona.
[edit security zones security-zone ABC] user@host# set tcp-rst
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security zones comando.