Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de inicio de sesión

Junos OS le permite definir varias configuraciones para los usuarios cuando inician sesión en un dispositivo. Usted (el administrador del sistema) puede configurar lo siguiente:

  • Mensajes o anuncios que se mostrarán antes o después de iniciar sesión
  • Mostrar alarmas del sistema al iniciar sesión
  • Consejos de inicio de sesión
  • Acceso de usuario basado en tiempo
  • Valores de tiempo de espera para sesiones inactivas
  • Límites en la cantidad de intentos de inicio de sesión
  • Si desea bloquear una cuenta de usuario después de varios intentos de autenticación fallidos

Mostrar un anuncio o mensaje de inicio de sesión del sistema

A veces, solo desea hacer anuncios a los usuarios autorizados después de iniciar sesión en un dispositivo. Por ejemplo, es posible que desee anunciar un próximo evento de mantenimiento. En otras ocasiones, podría ser apropiado mostrar un mensaje, como una advertencia de seguridad, a cualquier usuario que se conecte al dispositivo.

De forma predeterminada, Junos OS no muestra ningún mensaje de inicio de sesión ni anuncio. Puede configurar el dispositivo para que muestre un mensaje de inicio de sesión o un anuncio incluyendo la message instrucción o la announcement instrucción en el [edit system login] nivel de jerarquía. Mientras que el dispositivo muestra un inicio de sesión message después de que un usuario se conecta al dispositivo, pero antes de que el usuario inicie sesión, muestra un announcement solo después de que el usuario inicie sesión correctamente en el dispositivo.

Puede formatear el mensaje o el texto del anuncio con los siguientes caracteres especiales. Si el texto contiene espacios, encierre entre comillas:

  • \n: nueva línea

  • \t— Pestaña horizontal

  • \'— Comillas únicas

  • \"— Comillas dobles

  • \\—Barra diagonal trasera

Para configurar un anuncio que solo puedan ver los usuarios autorizados y un mensaje que cualquier usuario pueda ver:

  1. Incluya la announcement instrucción y la message instrucción en el [edit system login] nivel de jerarquía.

    Por ejemplo:

  2. Confirme la configuración.
  3. Conéctese al dispositivo para comprobar la presencia del nuevo mensaje.

    El ejemplo de configuración anterior muestra el siguiente mensaje de inicio de sesión después de que el usuario se conecte al dispositivo. En el ejemplo, se muestra el anuncio después de que el usuario inicie sesión:

Mostrar las alarmas del sistema al iniciar sesión

Puede configurar dispositivos Juniper Networks para que ejecuten el show system alarms comando cada vez que un usuario de una clase de inicio de sesión determinada inicie sesión en el dispositivo.

Para mostrar alarmas cada vez que un usuario de una clase de inicio de sesión específica inicia sesión en el dispositivo:

  1. Configure la login-alarms instrucción para la clase de inicio de sesión adecuada.

    Por ejemplo, para mostrar alarmas cada vez que un usuario de la admin clase de inicio de sesión inicia sesión en el dispositivo:

  2. Confirme la configuración.

Cuando un usuario de la clase de inicio de sesión determinada inicia sesión en el dispositivo, este muestra las alarmas actuales.

Configurar consejos de inicio de sesión

Puede configurar la Junos OS CLI para que muestre una sugerencia cada vez que un usuario de la clase de inicio de sesión determinada inicie sesión en el dispositivo. El dispositivo no muestra sugerencias de forma predeterminada.

Para habilitar sugerencias:

  1. Configure la login-tip instrucción en el [edit system login class class-name] nivel de jerarquía.
  2. Confirme la configuración.

Cuando configure la login-tip instrucción, el dispositivo muestra una sugerencia a cualquier usuario de la clase especificada que inicie sesión en el dispositivo.

Configurar el acceso de usuario basado en tiempo

Puede configurar dispositivos de Juniper Networks compatibles para aplicar el acceso de usuario basado en tiempo para usuarios de una clase determinada. El acceso de usuario basado en tiempo restringe el tiempo y la duración de los inicios de sesión de usuario para todos los usuarios que pertenecen a la clase. Puede restringir el acceso de los usuarios según la hora del día o el día de la semana.

Para restringir el acceso de usuarios a ciertos días o horas, incluya las siguientes instrucciones en el [edit system login class class-name] nivel jerárquico:

  • allowed-days: configure el acceso de los usuarios en días específicos de la semana.

  • access-start y access-end—Configure el acceso de usuario entre la hora de inicio y la hora de finalización (hh:mm).

Para configurar el acceso de usuario basado en tiempo:

  1. Habilite el acceso en días específicos de la semana.

    Por ejemplo, para configurar el acceso de los usuarios para la operator-round-the-clock-access clase de inicio de sesión de lunes a viernes sin ninguna restricción en el tiempo de acceso:

  2. Habilite el acceso en momentos específicos del día.

    Por ejemplo, para configurar el acceso de usuario para la operator-day-shift-all-days-of-the-week clase de inicio de sesión de 8:30 AM a 4:30 PM todos los días de la semana:

También puede configurar el acceso para que incluya días y horas. En el siguiente ejemplo, se configura el acceso de usuario para la operator-day-shift clase de inicio de sesión los lunes, miércoles y viernes de 8:30 a.m. a 4:30 p. m.:

De forma alternativa, puede especificar la hora de inicio de sesión y la hora de finalización de la operator-day-shift clase de inicio de sesión mediante el siguiente formato:

Nota:

Las horas de inicio y finalización del acceso pueden extenderse hasta las 12:00 a. m. en un día determinado. En ese caso, el usuario seguirá teniendo acceso hasta el día siguiente, incluso si no configura explícitamente ese día en la allowed-days instrucción.

Configure el valor de tiempo de espera para sesiones de inicio de sesión inactivas

Una sesión de inicio de sesión inactiva es una sesión en la que la CLI muestra el modo operativo o el indicador del modo de configuración, pero no hay ninguna entrada desde el teclado. De forma predeterminada, una sesión de inicio de sesión permanece establecida hasta que un usuario cierra sesión en el dispositivo, incluso si esa sesión está inactiva. Para cerrar las sesiones inactivas de forma automática, debe configurar un límite de tiempo para cada clase de inicio de sesión. Si una sesión establecida por un usuario de esa clase permanece inactiva durante el límite de tiempo configurado, la sesión se cerrará automáticamente. Cerrar automáticamente las sesiones de inicio de sesión inactivas ayuda a evitar que los usuarios maliciosos obtengan acceso al dispositivo y realicen operaciones con una cuenta de usuario autorizada.

Puede configurar un tiempo de espera inactivo solo para clases definidas por el usuario. No puede configurar esta opción para las clases predefinidas del sistema: operator, read-onlysuper-user o superuser, y unauthorized.

Para definir el valor de tiempo de espera de las sesiones de inicio de sesión inactivas:

  1. Especifique la cantidad de minutos que puede estar inactiva una sesión antes de que el sistema la cierre automáticamente.

    Por ejemplo, para desconectar automáticamente las sesiones inactivas de los usuarios de la admin clase después de quince minutos:

  2. Confirme la configuración.

Si configura un valor de tiempo de espera, la CLI muestra mensajes similares a los siguientes cuando se sincroniza el tiempo de espera de un usuario inactivo. La CLI comienza a mostrar estos mensajes 5 minutos antes de desconectar al usuario.

Si configura un valor de tiempo de espera, la sesión se cerrará después de que transcurre el tiempo especificado, excepto en los siguientes casos:

  • El usuario está ejecutando el ssh comando o telnet .

  • El usuario inicia sesión en el shell unix local.

  • El usuario está supervisando las interfaces mediante el monitor interfacemonitor traffic comando o.

Opciones de reintento de inicio de sesión

Puede configurar opciones de reintento de inicio de sesión en dispositivos de Juniper Network para protegerlos de usuarios maliciosos. Puede configurar las siguientes opciones:

  • La cantidad de veces que un usuario puede introducir credenciales de inicio de sesión no válidas antes de que el sistema cierre la conexión.

  • Si es necesario bloquear una cuenta de usuario después de que el usuario alcance el umbral de intentos de autenticación fallidos y durante cuánto tiempo.

Limitar los intentos de inicio de sesión y bloquear la cuenta de usuario ayuda a proteger el dispositivo de usuarios maliciosos que intentan acceder al sistema mediante la adivinación de la contraseña de una cuenta de usuario autorizada. Puede desbloquear la cuenta de usuario o definir un período de tiempo para que la cuenta de usuario permanezca bloqueada.

Puede configurar las opciones de reintento de inicio de sesión en el [edit system login retry-options] nivel jerárquico. La tries-before-disconnect instrucción define el umbral de los intentos de inicio de sesión fallidos antes de que el dispositivo desconecte al usuario. El dispositivo permite tres intentos de inicio de sesión fallidos de forma predeterminada.

La lockout-period instrucción indica al dispositivo que bloquee la cuenta de usuario durante el tiempo especificado si el usuario alcanza el umbral de intentos de inicio de sesión fallidos. El bloqueo impide que el usuario realice actividades que requieren autenticación hasta que haya transcurrido el período de bloqueo o hasta que un administrador del sistema lo borre manualmente. Los bloqueos existentes se ignoran cuando el usuario intenta iniciar sesión desde la consola local.

Para configurar las opciones de reintento de inicio de sesión:

  1. Configure el número de veces que un usuario puede intentar introducir una contraseña.

    Por ejemplo, para permitir que un usuario escriba una contraseña cuatro veces antes de que el dispositivo cierre la conexión:

  2. Configure el número de minutos que la cuenta de usuario permanece bloqueada después de que un usuario alcance el umbral de intentos de inicio de sesión fallidos.

    Por ejemplo, para bloquear una cuenta de usuario durante 120 minutos después de que un usuario alcance el umbral de intentos de inicio de sesión fallidos:

  3. Confirme la configuración.

Nota:

Para borrar la consola durante una sesión iniciada por el administrador, incluya caracteres de nueva línea (\n) cuando configure la message instrucción en el [edit system login] nivel de jerarquía. Para borrar por completo la consola, el administrador puede introducir 50 o más caracteres \n en la cadena de mensaje. Por ejemplo:

Limite la cantidad de intentos de inicio de sesión de usuario para sesiones SSH y Telnet

Puede limitar el número de veces que un usuario puede intentar ingresar una contraseña mientras inicia sesión en un dispositivo a través de SSH o Telnet. El dispositivo termina la conexión si un usuario no puede iniciar sesión después del número de intentos especificados. También puede especificar un retraso, en segundos, antes de que un usuario pueda intentar introducir una contraseña después de un intento fallido. Además, puede especificar el umbral para el número de intentos fallidos antes de que el usuario experimente un retraso en poder introducir una contraseña de nuevo.

Para especificar el número de veces que un usuario puede intentar introducir una contraseña mientras inicia sesión, incluya la retry-options instrucción en el [edit system login] nivel de jerarquía:

Puede configurar las siguientes opciones:

  • tries-before-disconnect— Número máximo de veces que un usuario puede introducir una contraseña al iniciar sesión en el dispositivo mediante SSH o Telnet. La conexión se cierra si un usuario no puede iniciar sesión después del número especificado. El intervalo es del 1 al 10 y el valor predeterminado es 3.

  • backoff-threshold— Umbral para el número de intentos de inicio de sesión fallidos antes de que el usuario experimente un retraso en poder introducir una contraseña de nuevo. El intervalo es del 1 al 3, y el valor predeterminado es 2. Utilice la backoff-factor opción para especificar la longitud del retraso.

  • backoff-factor— Período de tiempo, en segundos, que el usuario debe esperar después de un intento de inicio de sesión fallido por encima de .backoff-threshold El retraso aumenta en el valor especificado para cada intento posterior después del backoff-threshold valor. El intervalo es de 5 a 10 y el valor predeterminado es de 5 segundos.

  • lockout-period— Duración, en minutos, de bloqueo de una cuenta de usuario después de alcanzar el tries-before-disconnect umbral. El rango es de 1 a 43.200 minutos.

  • maximum-time seconds— Duración máxima, en segundos, de que la conexión permanezca abierta para que el usuario introduzca un nombre de usuario y una contraseña para iniciar sesión. Si el usuario permanece inactivo y no introduce un nombre de usuario y una contraseña dentro de la configuración maximum-time, la conexión se cierra. El intervalo es de 20 a 300 segundos y el valor predeterminado es de 120 segundos.

  • minimum-time— Duración mínima, en segundos, de que una conexión permanezca abierta mientras un usuario intenta introducir una contraseña correcta. El intervalo es de 20 a 60 y el valor predeterminado es de 20 segundos.

Limitar la cantidad de intentos de inicio de sesión de SSH y Telnet por usuario es uno de los métodos más eficaces para evitar que los ataques de fuerza bruta comprometan su seguridad de red. Los atacantes de fuerza bruta ejecutan una gran cantidad de intentos de inicio de sesión en un corto período de tiempo para obtener acceso ilegítimamente a una red privada. Al configurar las retry-options instrucciones, puede crear un retraso cada vez mayor después de cada intento de inicio de sesión fallido, lo que eventualmente desconecta a cualquier usuario que supere el umbral establecido de intentos de inicio de sesión.

Para limitar los intentos de inicio de sesión cuando un usuario inicia sesión a través de SSH o Telnet:

  1. Configure el límite en la cantidad de intentos de inicio de sesión.
  2. Configure el número de intentos de inicio de sesión antes de que el usuario experimente un retraso.
  3. Configure el número de segundos que el usuario debe esperar a que el indicador de inicio de sesión después de alcanzar el backoff-threshold valor.
  4. Configure el número de segundos en los que la conexión permanece abierta mientras un usuario intenta iniciar sesión.

Para la siguiente configuración, el usuario experimenta un retraso de 5 segundos después de que se produce un error en el segundo intento de introducir una contraseña correcta. Después de cada intento fallido subsiguiente, el retraso aumenta en 5 segundos. Después de que el cuarto y último intento fallido de introducir una contraseña correcta, el usuario experimenta un retraso adicional de 10 segundos. La conexión se cierra después de un total de 40 segundos.

Ejemplo: Configurar opciones de reintento de inicio de sesión

En este ejemplo, se muestra cómo configurar las opciones de reintento de inicio de sesión para proteger un dispositivo de usuarios maliciosos.

Requisitos

Antes de empezar, debes entender Limite la cantidad de intentos de inicio de sesión de usuario para sesiones SSH y Telnet.

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Descripción general

Los usuarios maliciosos a veces intentan iniciar sesión en un dispositivo seguro adivinando la contraseña de una cuenta de usuario autorizado. Puede bloquear una cuenta de usuario después de un cierto número de intentos de autenticación fallidos. Esta precaución ayuda a proteger los dispositivos de usuarios maliciosos.

Puede configurar el número de intentos de inicio de sesión fallidos antes de que el dispositivo bloquee la cuenta de usuario y puede configurar la cantidad de tiempo que la cuenta permanece bloqueada. También puede configurar la cantidad de tiempo que el usuario debe esperar entre los intentos de inicio de sesión fallidos.

Nota:

En este ejemplo, se incluyen las siguientes opciones de configuración:

  • backoff-factor— Duración de la demora en segundos que el usuario debe esperar después de cada intento de inicio de sesión fallido por encima de la .backoff-threshold El retraso aumenta en este valor para cada intento de inicio de sesión posterior después del valor especificado en la backoff-threshold instrucción.

  • backoff-threshold— Umbral para el número de intentos de inicio de sesión fallidos en el dispositivo antes de que el usuario experimente un retraso al intentar volver a ingresar una contraseña. Cuando un usuario alcanza el umbral de intentos de inicio de sesión fallidos, el usuario experimenta el retraso establecido en la backoff-factor instrucción. Tras el retraso, el usuario puede realizar otro intento de inicio de sesión.

  • lockout-period— Número de minutos que la cuenta de usuario se bloquea después de que el usuario alcanza el tries-before-disconnect umbral. El usuario debe esperar el número de minutos configurado antes de poder iniciar sesión de nuevo en el dispositivo.

  • tries-before-disconnect— Número máximo de veces que el usuario puede introducir una contraseña para intentar iniciar sesión en el dispositivo mediante SSH o Telnet.

Nota:

Si se le bloquea el dispositivo, puede iniciar sesión en el puerto de la consola del dispositivo, que ignora cualquier bloqueo de usuario. Esto proporciona una forma para que los administradores eliminen el bloqueo de usuario en su propia cuenta de usuario.

En este ejemplo, se establece la tries-before-disconnect opción en 3. Como resultado, el usuario tiene tres intentos de iniciar sesión en el dispositivo. Si el número de intentos de inicio de sesión fallidos es igual al valor especificado en la backoff-threshold instrucción, el usuario debe esperar a que se backoff-threshold multiplique por el backoff-factor intervalo, en segundos, para obtener el indicador de inicio de sesión. En este ejemplo, el usuario debe esperar 5 segundos después del primer intento de inicio de sesión fallido y 10 segundos después del segundo intento de inicio de sesión fallido para obtener el indicador de inicio de sesión. El dispositivo desconecta al usuario después del tercer intento fallido.

Si el usuario no inicia sesión correctamente después de tres intentos, la cuenta de usuario se bloquea. El usuario no puede iniciar sesión hasta que hayan transcurrido 120 minutos, a menos que un administrador del sistema borre manualmente el bloqueo durante ese tiempo.

Un administrador del sistema puede desbloquear manualmente una cuenta mediante la emisión del clear system login lockout user <username> comando. El show system login lockout comando muestra qué cuentas de usuario están bloqueadas y cuándo comienza y termina el período de bloqueo para cada usuario.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar las opciones de reintentos del sistema:

  1. Configure el factor de respaldo.

  2. Configure el umbral de respaldo.

  3. Configure el número de minutos que la cuenta de usuario permanece bloqueada después de que un usuario alcance el umbral de intentos de inicio de sesión fallidos.

  4. Configure el número de veces que un usuario puede intentar introducir una contraseña.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show system login retry-options configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Mostrar los inicios de sesión de usuario bloqueados

Propósito

Compruebe que la configuración de bloqueo de inicio de sesión está habilitada.

Acción

Intente tres inicios de sesión fallidos para un nombre de usuario en particular. El dispositivo se bloqueará para ese nombre de usuario. A continuación, inicie sesión en el dispositivo con un nombre de usuario diferente. Desde el modo operativo, emita el show system login lockout comando para ver las cuentas bloqueadas.

Significado

Después de realizar tres intentos de inicio de sesión fallidos con un nombre de usuario determinado, el dispositivo se bloquea para ese usuario durante 120 minutos, como se configuró en el ejemplo. Para comprobar que el dispositivo está bloqueado para ese usuario, inicie sesión en el dispositivo con un nombre de usuario diferente y ingrese el show system login lockout comando.