Crear y administrar VPN de acceso remoto—Juniper Secure Connect | Nube SD

Cree una VPN de acceso remoto: Juniper Secure Connect

Juniper Secure Connect es una solución SSL-VPN basada en clientes de Juniper Networks que permite a los usuarios remotos conectarse y acceder a recursos protegidos en su red. Cuando se combina con el firewall, esta aplicación ayuda a las organizaciones a lograr rápidamente una conectividad dinámica, flexible y adaptable desde dispositivos en cualquier lugar del mundo. Juniper Secure Connect extiende la visibilidad y el cumplimiento desde el cliente hasta la nube mediante conexiones VPN seguras.

Juniper Secure Connect descarga la configuración de los dispositivos de servicios SRX y selecciona los protocolos de transporte más eficaces para establecer la conexión VPN.

Antes de empezar

Lea la descripción general de VPN IPsec y vea las descripciones de los campos para comprender su conjunto de datos actual. Consulte Descripción general de VPN IPsec.
Cree direcciones y conjuntos de direcciones. Consulte Crear y administrar direcciones o grupos de direcciones.
Cree perfiles VPN. Consulte Creación y administración de perfiles VPN.
Defina los dispositivos de extranet. Consulte Creación de dispositivos de extranet.

Para crear una VPN de acceso remoto:

Seleccione Seguridad > Administración VPN IPsec > VPN IPsec.

Se muestra la página VPN IPsec.
Haga clic en Crear > Juniper Secure Connect de acceso remoto.

Se muestra la página Crear VPN de acceso remoto.
Complete la configuración de VPN IPsec de acuerdo con las siguientes directrices:
- Tabla 1: Configuración general
- Tabla 2: Configuración del cliente
- Tabla 3: Configuración de puerta de enlace local
- Tabla 4: Configuración del perfil VPN
La conectividad VPN cambia de una línea gris a una azul en la topología para mostrar que la configuración se ha completado. La topología que se muestra es solo para representación.
Haga clic en Guardar.

Se muestra la página VPN IPsec.
Seleccione la política de VPN y haga clic en Implementar.
Se muestra la página Implementar VPN.
Seleccione una de las siguientes opciones:
- Programe más tarde para programar y publicar la configuración más adelante.
- Ejecutar ahora para aplicar la configuración inmediatamente.
Haga clic en Actualizar.
La página Dispositivos afectados muestra los dispositivos en los que se publicarán las políticas.

Configuración general

Tabla 1: Configuración general
Campo	Acción
Nombre	Introduzca una cadena única de un máximo de 63 caracteres alfanuméricos sin espacios. La cadena puede contener dos puntos, puntos, guiones y guiones bajos.
Descripción	Ingrese la descripción de VPN que contenga un máximo de 255 caracteres.
Topología de enrutamiento	Seleccione Selector de tráfico (inserción automática de rutas). Un selector de tráfico es un acuerdo entre pares de IKE para permitir el tráfico a través de un túnel si el tráfico coincide con un par especificado de direcciones locales y remotas.
Perfil de VPN	Seleccione un perfil de VPN según el escenario de implementación: Perfil en línea: aplicable solo a una VPN IPsec en particular. Para ver y editar los detalles, haga clic en Ver configuración de perfil de VPN en la página Crear VPN IPsec. Perfil compartido: lo utilizan una o varias VPN IPsec. Solo puede ver los detalles de los perfiles compartidos si hace clic en Ver configuración de perfil VPN en la página Crear VPN IPsec.
Método de autenticación	Seleccione un método de autentificación que el dispositivo utilice para autenticar el origen de los mensajes de intercambio de claves por red (IKE). Basada en precompartida: especifica que una clave previamente compartida, que es una clave secreta compartida entre los dos pares, se utiliza durante la autenticación para identificar a los pares entre sí. Debe configurarse la misma clave para cada par. Firmas RSA: especifica que se utiliza un algoritmo de clave pública que admite el cifrado y las firmas digitales.
Clave precompartida	Establezca una conexión VPN mediante claves precompartidas, que es esencialmente una contraseña que es la misma para ambas partes. Las claves previamente compartidas solo se aplican si el método de autenticación se basa en datos previamente compartidos. Seleccione el tipo de clave precompartida que desea utilizar: Autogenerar: seleccione esta opción si desea generar automáticamente una clave única por túnel. Cuando se selecciona, la opción Generar clave única por túnel se habilita automáticamente. Si deshabilita la opción Generar clave única por túnel, Juniper Security Director Cloud generará una única clave para todos los túneles. Manual: seleccione esta opción para introducir la clave manualmente. De forma predeterminada, la tecla manual está enmascarada. Para desenmascarar la clave manual, seleccione el icono de desenmascarar.
Unidad máxima de transmisión	Seleccione la unidad máxima de transmisión (UMT) en bytes. UMT define el tamaño máximo de un paquete IP, incluida la sobrecarga de IPsec. Puede especificar el valor de UMT para el punto de conexión del túnel. El intervalo válido es de 68 a 9192 bytes y el valor predeterminado es de 1500 bytes.

Configuración del cliente

Para modificar el perfil de cliente predeterminado:

Seleccione el perfil predeterminado en la sección Configuración del cliente.
Haga clic en el icono del lápiz.

Se muestra la página Usuario remoto.
Configure los parámetros como se describe en la tabla 2.
Haga clic en Aceptar.

Tabla 2: Configuración del cliente
Campo	Acción
Modo de conexión	Seleccione una de las siguientes opciones para establecer la conexión de cliente de Juniper Secure Connect: Manual: debe conectarse manualmente al túnel VPN cada vez que inicie sesión. Siempre: se conectará automáticamente al túnel VPN cada vez que inicie sesión. El modo de conexión predeterminado es Manual.
SSL VPN	Active esta opción para establecer una conexión VPN SSL desde el cliente de Juniper Secure Connect al firewall de la serie SRX. Esta es una opción de reserva cuando no se puede acceder a los puertos IPsec. De forma predeterminada, esta opción está habilitada.
Autentificación biométrica	Active esta opción para autenticar el sistema cliente mediante métodos configurados únicos. Se muestra un mensaje de autenticación cuando se conecta en el sistema cliente. La conexión VPN solo se iniciará después de una autenticación correcta a través del método configurado para Windows Hello (reconocimiento de huellas dactilares, reconocimiento facial, entrada de PIN, etc.). Windows Hello debe estar preconfigurado en el sistema cliente si la opción de autenticación biométrica está habilitada.
detección de pares inactivos	Active esta opción para permitir que el cliente de Juniper Secure Connect detecte si se puede acceder al firewall de la serie SRX. Desactive esta opción para permitir que el cliente de Juniper Secure Connect detecte hasta que se restablezca la accesibilidad de la conexión del firewall de la serie SRX. Esta opción está habilitada de forma predeterminada.
Modo DPD	Seleccione un modo DPD. Optimizado: Los mensajes R-U-THERE se activan si no hay tráfico IKE o IPsec entrante dentro de un intervalo configurado después de que el dispositivo envía los paquetes salientes al par. Este es el modo predeterminado. Túnel inactivo de sondeo: Los mensajes R-U-THERE se activan si no hay tráfico IKE o IPsec entrante o saliente dentro de un intervalo configurado. Los mensajes R-U-THERE se envían periódicamente al par hasta que hay actividad de tráfico. Envío constante: Los mensajes R-U-THERE se envían a intervalos configurados, independientemente de la actividad del tráfico entre los pares.
Intervalo DPD	Seleccione un intervalo, en segundos, para enviar mensajes de detección de pares inactivos. El intervalo predeterminado es de 10 segundos con un rango válido de 2 a 60 segundos.
Umbral de DPD	Seleccione el valor de umbral DPD de error. Esto especifica el número máximo de veces que se deben enviar los mensajes DPD cuando no hay respuesta del par. El número predeterminado de transmisiones es 5 veces con un rango válido de 1 a 5.
Certificados	Configure certificados de seguridad. Advertencia de caducidad: cuando está habilitada, recibe una advertencia de caducidad del certificado cuando el certificado está a punto de caducar. Esta opción está habilitada de forma predeterminada. Intervalo de advertencia: introduzca el intervalo en días en el que desea que se muestre la advertencia. Solicitud de PIN por conexión: cuando está habilitado, debe introducir el PIN del certificado para cada conexión. Esta opción está habilitada de forma predeterminada.
EAP-TLS	Utilice el método de autenticación EAP-TLS para validar los certificados de seguridad. Esta opción está habilitada de forma predeterminada.
Inicio de sesión en ventana	Active esta opción para permitir a los usuarios iniciar sesión de forma segura en el dominio de Windows antes de iniciar sesión en el sistema Windows. El cliente admite el inicio de sesión de dominio mediante un proveedor de servicios de credenciales después de establecer una conexión VPN a la red de la empresa.

Configuración de puerta de enlace local

Para definir una puerta de enlace local:

Haga clic en el signo + en la sección Puerta de enlace local.

Se abre la página Agregar dispositivo.
Configure los parámetros del dispositivo como se describe en la tabla 3.
Haga clic en Aceptar.

Tabla 3: Configuración de puerta de enlace local
Campo	Acción
Interfaz externa	Seleccione la interfaz de salida para las asociaciones de seguridad (SA) de IKE. Esta interfaz está asociada a una zona que actúa como su operador, lo que le proporciona seguridad de firewall.
Zona de túnel	Seleccione la zona del túnel. Las zonas de túnel son áreas lógicas del espacio de direcciones que pueden admitir conjuntos de direcciones IP dinámicas (DIP) para aplicaciones TDR para tráfico IPsec pre y postencapsulado. Las zonas de túnel también ofrecen flexibilidad para combinar interfaces de túnel con túneles VPN.
Autentificación de usuario	Seleccione el perfil de autenticación que se usará para autenticar a un usuario que acceda a la VPN de acceso remoto. Haga clic en Agregar para crear un nuevo perfil de acceso. Nota: La autenticación LDAP no se admite en una VPN remota.
Perfil de VPN SSL	Seleccione un perfil VPN SSL de la lista para finalizar la conexión de acceso remoto. Para crear un nuevo perfil de VPN SSL: Haga clic en Agregar. Se abre la página Agregar perfil de VPN SSL. Escriba el nombre del perfil de VPN SSL. Habilite la opción Registro para registrar eventos de VPN SSL. Introduzca un nombre de perfil de terminación SSL. Seleccione un certificado de servidor. Haga clic en Aceptar.
Certificado	Seleccione un certificado para autenticar al iniciador y al destinatario de la red privada virtual (VPN).
AC/grupo de confianza	Seleccione el perfil de AC de la lista para asociarlo con el certificado local. Esto se aplica cuando el método de autenticación es RSA-Signatures.
Redes protegidas	Configure el tipo de dirección para el dispositivo seleccionado a fin de proteger un área de la red de la otra. También puede crear direcciones haciendo clic en Agregar nueva dirección.

Configuración del perfil VPN

Haga clic en Ver configuración de perfil VPN para ver o editar perfiles VPN. Si el perfil VPN es predeterminado, puede editar las configuraciones. Si el perfil se comparte, solo puede ver las configuraciones.

Tabla 4: Configuración del perfil VPN
Campo	Acción
Configuración de IKE
Versión de IKE	Seleccione la versión de IKE requerida, ya sea V1 o V2, que se usa para negociar asociaciones dinámicas de seguridad (SA) para IPsec. De forma predeterminada, se utiliza IKE V2.
Modo	Seleccione un modo de política de IKE. Principal: utiliza seis mensajes en tres intercambios punto a punto para establecer la SA de IKE. Estos tres pasos incluyen la negociación de SA de IKE, un intercambio Diffie-Hellman y la autenticación del par. Este modo también proporciona protección de identidad. Agresivo: toma la mitad del número de mensajes del modo principal, tiene menos poder de negociación y no proporciona protección de identidad. El modo se aplica cuando la versión de IKE es V1.
Algoritmo de cifrado	Seleccione el mecanismo de cifrado adecuado.
Algoritmo de autenticación	Seleccione un algoritmo que el dispositivo deba usar para comprobar la autenticidad e integridad de un paquete.
Grupo Deffie Hellman	Seleccione un grupo Diffie-Hellman (DH) para determinar la seguridad de la clave utilizada en el proceso de intercambio de claves.
Segundos de vida útil	Seleccione la duración de una asociación de seguridad (SA) de IKE, en segundos. El intervalo válido es de 180 a 86400 segundos.
detección de pares inactivos	Active esta opción para permitir que las dos puertas de enlace determinen si la puerta de enlace par está activa y respondiendo a los mensajes de detección de pares inactivos (DPD) que se negocian durante el establecimiento de IPsec.
Modo DPD	Seleccione un modo DPD. Optimizado: Los mensajes R-U-THERE se activan si no hay tráfico IKE o IPsec entrante dentro de un intervalo configurado después de que el dispositivo envía los paquetes salientes al par. Este es el modo predeterminado. Túnel inactivo de sondeo: Los mensajes R-U-THERE se activan si no hay tráfico IKE o IPsec entrante o saliente dentro de un intervalo configurado. Los mensajes R-U-THERE se envían periódicamente al par hasta que hay actividad de tráfico. Envío constante: Los mensajes R-U-THERE se envían a intervalos configurados, independientemente de la actividad del tráfico entre los pares.
Intervalo DPD	Seleccione un intervalo, en segundos, para enviar mensajes de detección de pares inactivos. El intervalo predeterminado es de 10 segundos con un rango válido de 2 a 60 segundos.
Umbral de DPD	Seleccione el valor de umbral DPD de error. Esto especifica el número máximo de veces que se deben enviar los mensajes DPD cuando no hay respuesta del par. El número predeterminado de transmisiones es 5 veces con un rango válido de 1 a 5.
Configuración avanzada
General IKE ID	Active esta opción para aceptar el ID de IKE par Esta opción está deshabilitada de forma predeterminada. Si el ID de IKE general está habilitado, la opción ID de IKE se deshabilita automáticamente.
Autenticación IKEv2 Re	Seleccione una frecuencia de reautenticación. La reautenticación se puede deshabilitar estableciendo la frecuencia de reautenticación en 0. El rango válido es de 0 a 100.
Soporte de fragmentación de IKEv2 Re	Active esta opción para dividir un mensaje IKEv2 grande en un conjunto de mensajes más pequeños para que no haya fragmentación en el nivel IP.
Tamaño de refragmentación de IKEv2	Seleccione el tamaño del paquete en el que se fragmentan los mensajes. De forma predeterminada, el tamaño es de 576 bytes para IPv4. El rango válido es 570-1320.
IKE ID	Seleccione una de las siguientes opciones: Ninguno Nombre distinguido Nombre de host Dirección IPv4 Dirección de correo electrónico El ID de IKE solo se aplica cuando el ID de IKE general está deshabilitado.
TDR-T	Habilite la traducción de direcciones de red-recorrido (TDR-T) si el punto de conexión dinámico está detrás de un dispositivo TDR.
Mantente vivo	Seleccione un período de tiempo en segundos para mantener viva la conexión. Las señales de mantenimiento de TDR son necesarias para mantener la traducción de TDR durante la conexión entre los pares VPN. El intervalo válido es de 1 a 300 segundos.
Configuración de IPsec
Protocolo	Seleccione el protocolo necesario para establecer la VPN. ESP: el protocolo de carga de seguridad encapsuladora (ESP) proporciona cifrado y autenticación. AH: el protocolo de encabezado de autenticación (AH) proporciona integridad y autenticación de datos.
Algoritmo de cifrado	Seleccione el método de cifrado. Esto es aplicable si el Protocolo es ESP.
Algoritmo de autenticación	Seleccione un algoritmo que el dispositivo deba usar para comprobar la autenticidad e integridad de un paquete.
Confidencialidad directa perfecta	Seleccione Perfect Forward Secrecy (PFS) como el método que utiliza el dispositivo para generar la clave de cifrado. El PFS genera cada nueva clave de cifrado independientemente de la clave anterior. Los grupos con números más altos proporcionan más seguridad, pero requieren más tiempo de procesamiento.
Establecer túnel	Seleccione una opción para especificar cuándo se activa ICR. Inmediatamente: IKE se activa inmediatamente después de que se confirman los cambios de configuración de VPN. En tráfico: la IKE se activa solo cuando fluye el tráfico de datos y debe negociarse con la puerta de enlace par. Este es el comportamiento predeterminado.
Configuración avanzada
Supervisión de VPN	Active esta opción para enviar el Protocolo de mensajes de control de Internet (ICMP) para determinar si la VPN está activa.
Optimizado	Active esta opción para optimizar la supervisión de VPN y configurar los firewalls de la serie SRX para enviar solicitudes de eco ICMP, también denominadas pings, solo cuando haya tráfico saliente y no haya tráfico entrante del par configurado a través del túnel VPN. Si hay tráfico entrante a través del túnel VPN, los firewalls de la serie SRX consideran que el túnel está activo y no envían pings al par.
Anti repetición	Active esta opción para el mecanismo IPsec para proteger contra un ataque VPN que utilice una secuencia de números integrados en el paquete IPsec. IPsec no acepta un paquete para el que ya haya visto el mismo número de secuencia. Comprueba los números de secuencia y aplica la comprobación en lugar de simplemente ignorar los números de secuencia. Deshabilite esta opción si hay un error con el mecanismo IPsec que da como resultado paquetes fuera de orden, lo que impide una funcionalidad adecuada. De forma predeterminada, la detección antireproducción está habilitada.
Intervalo de instalación	Seleccione la cantidad máxima de segundos para permitir la instalación de una asociación de seguridad de salida (SA) con claves regeneradas en el dispositivo.
Tiempo de inactividad	Seleccione el intervalo de tiempo de inactividad adecuado, después del cual se agotará el tiempo de espera de las sesiones y sus traducciones correspondientes si no se recibe tráfico.
DF Bit	Seleccione cómo procesar el bit No fragmentar (DF) en los mensajes IP. Borrar: deshabilite el bit DF de los mensajes IP. Esta es la opción predeterminada. Copiar: copie el bit DF a los mensajes IP. Establecer: habilite el bit DF en los mensajes IP.
Copiar DSCP externo	Active esta opción para copiar el campo Punto de código de servicios diferenciados (DSCP) del paquete cifrado de encabezado IP externo al mensaje de texto sin formato de encabezado IP interno durante el descifrado. La ventaja de habilitar esta característica es que, después del descifrado de IPsec, los paquetes de texto sin cifrar cumplen con las reglas internas de clase de servicio (CoS).
Segundos de vida útil	Seleccione la duración de una asociación de seguridad (SA) de IKE, en segundos. El intervalo válido es de 180 a 86400 segundos.
kilobytes de por vida	Seleccione la duración de una asociación de seguridad (SA) IPsec en kilobytes. El intervalo válido es de 64 a 4294967294 kilobytes.

Administre VPN de acceso remoto: Juniper Secure Connect

Editar: seleccione la VPN IPsec y, a continuación, haga clic en el icono de lápiz (). Después de editar las VPN de IPsec, debe implementarlas para aplicar las configuraciones en los dispositivos.

No puede editar la VPN IPsec que está marcada para eliminarse.
Eliminar: seleccione la VPN IPsec y, a continuación, haga clic en el icono de la papelera (). Sigue las instrucciones que aparecen en pantalla. La VPN IPsec no se elimina de los dispositivos asociados en este momento. Debe volver a implementar la VPN IPsec para eliminarla de los dispositivos.

Para revertir la VPN IPsec marcada para eliminación, mantenga el puntero sobre la marca en la columna Estado y seleccione Deshacer eliminación. El estado de VPN IPsec se revierte al estado anterior.

EN ESTA PÁGINA