Funciones administrativas
Junos OS le permite definir un usuario del sistema para que actúe como un tipo específico de administrador para el sistema. Puede asignar una función administrativa a un usuario configurando una clase de inicio de sesión para que tenga los atributos de función administrativa. Puede asignar uno de los atributos de rol, como agente de auditoría criptográfico, oficial de seguridad, ids-officer a un usuario administrativo.
Cómo diseñar roles administrativos
Un usuario del sistema puede ser miembro de una clase que le permita actuar como un tipo específico de administrador para el sistema. La necesidad de una función específica para ver o modificar un elemento restringe el alcance de la información que un usuario puede obtener del sistema. También limita la cantidad de elementos del sistema que pueden ser modificados u observados por un usuario. Usted (el administrador del sistema) debe usar las siguientes directrices cuando diseñe funciones administrativas:
No permita que ningún usuario inicie sesión en el sistema como
root.Restrinja a cada usuario el menor conjunto de privilegios necesarios para cumplir con sus deberes.
No permita que ningún usuario pertenezca a una clase de inicio de sesión que contenga el indicador de
shellpermiso. Elshellindicador de permisos permite a los usuarios ejecutar elstart shellcomando desde la CLI.Permitir que los usuarios tengan permisos de reescación. Los permisos de devolución permiten a los usuarios deshacer una acción realizada por un administrador, pero no les permite confirmar los cambios.
Puede asignar una función administrativa a un usuario configurando una clase de inicio de sesión para que tenga los privilegios necesarios para la función. Puede configurar cada clase para permitir o denegar el acceso a instrucciones de configuración y comandos por nombre. Estas restricciones reemplazan y tienen prioridad sobre cualquier indicador de permiso también configurado en la clase. Puede asignar uno de los siguientes atributos de rol a un usuario administrativo:
Crypto-administrator— Permite al usuario configurar y supervisar datos criptográficos.Security-administrator— Permite al usuario configurar y supervisar los datos de seguridad.Audit-administrator— Permite al usuario configurar y supervisar los datos de auditoría.IDS-administrator— Permite al usuario supervisar y borrar los registros de seguridad del servicio de detección de intrusiones (IDS).
Cada función puede realizar las siguientes funciones de administración específicas:
Cryptographic Administrator
Configura la auto prueba criptográfica.
Modifica los parámetros de datos de seguridad criptográfica.
Audit Administrator
Configura y elimina la función de búsqueda y clasificación de revisión de auditoría.
Busca y ordena los registros de auditoría.
Configura los parámetros de búsqueda y ordenación.
Elimina manualmente los registros de auditoría.
Security Administrator
Invoca, determina y modifica el comportamiento criptográfico de auto prueba.
Habilita, deshabilita, determina y modifica las funciones de análisis de auditoría y selección de auditoría, y configura el dispositivo para eliminar automáticamente los registros de auditoría.
Habilita o deshabilita las alarmas de seguridad.
Especifica los límites de las cuotas en las conexiones de capa de transporte.
Especifica los límites, los identificadores de red y los períodos de tiempo para las cuotas en recursos controlados orientados a la conexión.
Especifica las direcciones de red a las que se les permite usar el Protocolo de mensajes de control de Internet (ICMP) o el Protocolo de resolución de direcciones (ARP).
Configura la hora y la fecha utilizadas en las marcas de tiempo.
Consulta, modifica, elimina y crea las reglas y atributos de control de acceso o flujo de información para la política de funciones de seguridad de flujo de información (SFP) no autenticado, la política de funciones de seguridad de flujo de información autenticada, los servicios de dispositivos no autenticados y la política de control de acceso discrecional.
Especifica los valores iniciales que reemplazan los valores predeterminados cuando se crea información de objeto bajo SFP de flujo de información no autenticado, SFP de flujo de información autenticado, los servicios de destino de evaluación (TOE) no autenticado y la política de control de acceso discrecional.
Crea, elimina o modifica las reglas que controlan la dirección a partir de la cual se pueden establecer sesiones de administración.
Especifica y revoca atributos de seguridad asociados con los usuarios, los sujetos y los objetos.
Especifica el porcentaje de capacidad de almacenamiento de auditoría en el que el dispositivo alerta a los administradores.
Controla los errores de autenticación y modifica el número de intentos de autenticación fallidos a través de SSH o desde la CLI que pueden producirse antes de que se aplique una limitación progresiva para intentos de autenticación posteriores y antes de que se caiga la conexión.
Administra la configuración de red básica del dispositivo.
IDS Administrator: especifica las alarmas de seguridad de IDS, las alarmas de intrusión, las selecciones de auditoría y los datos de auditoría.
Debe establecer el atributo security-role en las clases creadas para estas funciones administrativas. Este atributo restringe qué usuarios pueden mostrar y borrar los registros de seguridad, acciones que no se pueden realizar solo a través de la configuración.
Por ejemplo, debe establecer el atributo security-role en la ids-admin clase creada para la función de administrador de IDS si desea restringir la eliminación y mostrar los registros de IDS en el rol de administrador de IDS. Del mismo modo, debe establecer el rol de seguridad en uno de los otros valores de administrador para restringir que esa clase no pueda borrar y mostrar solo registros que no son IDS.
Cuando un usuario elimina una configuración existente, las instrucciones de configuración en el nivel jerárquico de la configuración eliminada (los objetos secundarios que el usuario no tiene permiso para modificar) permanecen en el dispositivo.
Ejemplo: Cómo configurar roles administrativos
En este ejemplo, se muestra cómo configurar roles administrativos individuales para un conjunto de privilegios distinto y único, aparte de todas las demás funciones administrativas.
Requisitos
No es necesaria ninguna acción más allá de la inicialización del dispositivo antes de configurar esta función.
Descripción general
En este ejemplo, se muestra cómo configurar cuatro roles de usuario administrador:
audit-officerde la claseaudit-admincrypto-officerde la clasecrypto-adminsecurity-officerde la clasesecurity-adminids-officerde la claseids-admin
Cuando se configura una security-admin clase, los privilegios para crear administradores se revoca del usuario que creó la security-admin clase. La creación de nuevos usuarios e inicios de sesión queda a discreción del security-officer.
En este ejemplo, se crean las cuatro funciones de usuario administrativo que se muestran en la lista anterior (administrador de auditoría, cripto admin, administrador de seguridad e ids admin). Para cada rol, se asignan indicadores de permiso relevantes para el rol. A continuación, permite o niega el acceso a instrucciones de configuración y comandos por nombre para cada función administrativa. Estas restricciones específicas tienen prioridad sobre los indicadores de permiso configurados en la clase. Por ejemplo, solo se crypto-admin puede ejecutar el request system set-encryption-key comando, lo que requiere tener el indicador de security permiso para tener acceso a él. Solo se security-admin puede incluir la system time-zone instrucción en la configuración, lo que requiere tener el indicador de system-control permiso.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía y, luego, ingrese commit en el modo de configuración.
set system login class audit-admin permissions security set system login class audit-admin permissions trace set system login class audit-admin permissions maintenance set system login class audit-admin allow-commands "^clear (log|security log)" set system login class audit-admin deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell"; set system login class audit-admin security-role audit-administrator set system login class crypto-admin permissions admin-control set system login class crypto-admin permissions configure set system login class crypto-admin permissions maintenance set system login class crypto-admin permissions security-control set system login class crypto-admin permissions system-control set system login class crypto-admin permissions trace set system login class crypto-admin allow-commands "^request system set-encryption-key" set system login class crypto-admin deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" set system login class crypto-admin allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"] set system login class crypto-admin security-role crypto-administrator set system login class security-admin permissions all set system login class security-admin deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell" set system login class security-admin deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation"] set system login class security-admin security-role security-administrator set system login class ids-admin permissions configure set system login class ids-admin permissions security-control set system login class ids-admin permissions trace set system login class ids-admin permissions maintenance set system login class ids-admin allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*"] set system login class ids-admin deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" set system login class ids-admin deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] set system login class ids-admin security-role ids-admin set system login user audit-officer class audit-admin set system login user crypto-officer class crypto-admin set system login user security-officer class security-admin set system login user ids-officer class ids-admin set system login user audit-officer authentication plain-text-password set system login user crypto-officer authentication plain-text-password set system login user security-officer authentication plain-text-password set system login user ids-officer authentication plain-text-password
Procedimiento paso a paso
Para configurar roles administrativos:
-
Cree la clase de inicio de
audit-adminsesión.[edit] user@host# edit system login class audit-admin [edit system login class audit-admin] user@host# set permissions security user@host# set permissions trace user@host# set permissions maintenance
-
Configure las restricciones de clase de inicio de
audit-adminsesión.[edit system login class audit-admin] user@host# set allow-commands "^clear (log|security log)" user@host# set deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" user@host# set security-role audit-administrator
-
Cree la clase de inicio de
crypto-adminsesión.[edit] user@host# edit system login class crypto-admin [edit system login class crypto-admin] user@host# set permissions admin-control user@host# set permissions configure user@host# set permissions maintenance user@host# set permissions security-control user@host# set permissions system-control user@host# set permissions trace
-
Configure las restricciones de clase de inicio de
crypto-adminsesión.[edit system login class crypto-admin] user@host# set allow-commands "^request system set-encryption-key" user@host# set deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell" user@host# set allow-configuration-regexps ["security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation"] user@host# set security-role crypto-administrator
-
Cree la clase de inicio de
security-adminsesión.[edit] user@host# edit system login class security-admin [edit system login class security-admin] user@host# set permissions all
-
Configure las restricciones de clase de inicio de
security-adminsesión.[edit system login class security-admin] user@host# set deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell" user@host# set deny-configuration-regexps ["security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log cache" "security log exclude .* event-id IDP_.*" "system fips self-test after-key- generation"] user@host# set security-role security-administrator
-
Cree la clase de inicio de
ids-adminsesión.[edit] user@host# edit system login class ids-admin [edit system login class ids-admin] user@host# set permissions configure user@host# set permissions maintenance user@host# set permissions security-control user@host# set permissions trace
-
Configure las restricciones de clase de inicio de
ids-adminsesión.[edit system login class ids-admin] user@host# set allow-configuration-regexps ["security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" user@host# set deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (dynamic-policies|match-policies|policies)|^start shell" user@host# set deny-configuration-regexps ["security alarms potential-violation (authentication|cryptographic-self-test|decryption-failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"] user@host# set security-role ids-administrator
-
Asigne usuarios a las funciones.
[edit] user@host# edit system login [edit system login] user@host# set user audit-officer class audit-admin user@host# set user crypto-officer class crypto-admin user@host# set user security-officer class security-admin user@host# set user ids-officer class ids-admin
-
Configure contraseñas para los usuarios.
[edit system login] user@host# set user audit-officer authentication plain-text-password user@host# set user crypto-officer authentication plain-text-password user@host# set user security-officer authentication plain-text-password user@host# set user ids-officer authentication plain-text-password
Resultados
En el modo de configuración, ingrese el comando para confirmar la show system configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show system
system {
login {
class audit-admin {
permissions [ maintenance security trace ];
allow-commands "^clear (log|security log)";
deny-commands "^clear (security alarms|system login lockout)|^file (copy|delete|rename)|^request (security|system set-encryption-key)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell";
security-role audit-administrator;
}
class crypto-admin {
permissions [ admin-control configure maintenance security-control system-control trace ];
allow-commands "^request (system set-encryption-key)";
deny-commands "^clear (log|security alarms|security log|system login lockout)|^file (copy|delete|rename)|^rollback|^set date|^show security (alarms|dynamic-policies|match-policies|policies)|^start shell";
allow-configuration-regexps [ "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "system fips self-test after-key-generation" ];
security-role crypto-administrator;
}
class security-admin {
permissions [all];
deny-commands "^clear (log|security log)|^(clear|show) security alarms alarm-type idp|^request (security|system set-encryption-key)|^rollback|^start shell";
deny-configuration-regexps [ "security alarms potential-violation idp" "security (ike|ipsec) (policy|proposal)" "security ipsec ^vpn$ .* manual (authentication|encryption|protocol|spi)" "security log exclude .* event-id IDP_.*" "system fips self-test after-key-generation" ];
security-role security-administrator;
}
class ids-admin {
permissions [ configure maintenance security-control trace ];
deny-commands "^clear log|^(clear|show) security alarms (alarm-id|all|newer-than|older-than|process|severity)|^(clear|show) security alarms alarm-type
(authentication | cryptographic-self-test | decryption-failures | encryption-failures
| ike-phase1-failures | ike-phase2-failures|key-generation-self-test |
non-cryptographic-self-test |policy | replay-attacks) | ^file (copy|delete|rename)
|^request (security|system set-encryption-key) | ^rollback |
^set date | ^show security (dynamic-policies|match-policies|policies) |^start shell";
allow-configuration-regexps [ "security alarms potential-violation idp" "security log exclude .* event-id IDP_.*" ];
deny-configuration-regexps "security alarms potential-violation (authentication|cryptographic-self-test|decryption-
failures|encryption-failures|ike-phase1-failures|ike-phase2-failures|
key-generation-self-test|non-cryptographic-self-test|policy|replay-attacks)"
security-role ids-administrator;
}
user audit-officer {
class audit-admin;
authentication {
encrypted-password "$1$ABC123"; ## SECRET-DATA
}
}
user crypto-officer {
class crypto-admin;
authentication {
encrypted-password "$1$ABC123."; ## SECRET-DATA
}
}
user security-officer {
class security-admin;
authentication {
encrypted-password "$1$ABC123."; ##SECRET-DATA
}
}
user ids-officer {
class ids-admin;
authentication {
encrypted-password "$1$ABC123/"; ## SECRET-DATA
}
}
}
}
Después de configurar el dispositivo, ingrese commit al modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Verificar los permisos de inicio de sesión
Propósito
Compruebe los permisos de inicio de sesión del usuario actual.
Acción
En el modo operativo, escriba el show cli authorization comando para comprobar los permisos de inicio de sesión del usuario.
user@host> show cli authorization
Current user: 'example' class 'super-user'
Permissions:
admin -- Can view user accounts
admin-control-- Can modify user accounts
clear -- Can clear learned network info
configure -- Can enter configuration mode
control -- Can modify any config
edit -- Can edit full files
field -- Can use field debug commands
floppy -- Can read and write the floppy
interface -- Can view interface configuration
interface-control-- Can modify interface configuration
network -- Can access the network
reset -- Can reset/restart interfaces and daemons
routing -- Can view routing configuration
routing-control-- Can modify routing configuration
shell -- Can start a local shell
snmp -- Can view SNMP configuration
snmp-control-- Can modify SNMP configuration
system -- Can view system configuration
system-control-- Can modify system configuration
trace -- Can view trace file settings
trace-control-- Can modify trace file settings
view -- Can view current values and statistics
maintenance -- Can become the super-user
firewall -- Can view firewall configuration
firewall-control-- Can modify firewall configuration
secret -- Can view secret statements
secret-control-- Can modify secret statements
rollback -- Can rollback to previous configurations
security -- Can view security configuration
security-control-- Can modify security configuration
access -- Can view access configuration
access-control-- Can modify access configuration
view-configuration-- Can view all configuration (not including secrets)
flow-tap -- Can view flow-tap configuration
flow-tap-control-- Can modify flow-tap configuration
idp-profiler-operation-- Can Profiler data
pgcp-session-mirroring-- Can view pgcp session mirroring configuration
pgcp-session-mirroring-control-- Can modify pgcp session mirroring configura
tion
storage -- Can view fibre channel storage protocol configuration
storage-control-- Can modify fibre channel storage protocol configuration
all-control -- Can modify any configuration
Individual command authorization:
Allow regular expression: none
Deny regular expression: none
Allow configuration regular expression: none
Deny configuration regular expression: noneEste resultado resume los permisos de inicio de sesión.
Cómo configurar una cuenta de administrador local
Los privilegios de superusuario dan permiso al usuario para usar cualquier comando en el enrutador y generalmente están reservados para algunos usuarios seleccionados, como los administradores del sistema. Usted (el administrador del sistema) debe proteger la cuenta de administrador local con una contraseña para evitar que usuarios no autorizados obtengan acceso a comandos de superusuario. Estos comandos de superusuario se pueden usar para alterar la configuración del sistema. Los usuarios con autenticación RADIUS también deben configurar una contraseña local. Si el servidor RADIUS no responde, el proceso de inicio de sesión vuelve a la autenticación de contraseña local en la cuenta de administrador local.
En el siguiente ejemplo, se muestra cómo configurar una cuenta de administración local protegida por contraseña llamada admin con privilegios de superusuario:
[edit]
system {
login {
user admin {
uid 1000;
class superuser;
authentication {
encrypted-password "<PASSWORD>"; ## SECRET-DATA
}
}
}
}