Cumplimiento de prelogon (procedimiento de CLI)

Visión general

La comprobación de cumplimiento de prelogon mediante políticas de cumplimiento de prelogon se realiza antes de la autenticación de usuario. El propósito de estas políticas de cumplimiento es validar el contexto actual del punto de conexión según los criterios de cumplimiento establecidos por su organización. Usted autoriza el acceso según estas políticas de cumplimiento.

Como administrador, configura un conjunto de reglas en el firewall serie SRX para permitir o rechazar un punto de conexión antes de establecer una conexión VPN de acceso remoto. Aquí el punto de conexión hace referencia al cliente o al host en el que está instalada la aplicación Secure Connect. Puede crear reglas basadas en las plataformas de clientes compatibles como Windows, macOS, Android e iOS. Puede usar varios otros criterios de coincidencia, como id. de dispositivo, nombre de host, nombre de dominio ms y nombre de grupo de trabajo de ms para los criterios de coincidencia.

El firewall de la serie SRX procesa estas reglas según ciertos criterios de evaluación. Consulte los criterios de evaluación de cumplimiento (Juniper Secure Connect) para obtener más detalles sobre los criterios de evaluación. Para obtener más detalles sobre el nombre de la regla de cumplimiento, el término nombre de la regla, los criterios de coincidencia y la acción, consulte cumplimiento (Juniper Secure Connect).

Configuración de reglas de cumplimiento de prelogon

Consideremos las siguientes reglas mencionadas en la tabla 1 para esta tarea de configuración:

Tabla 1: Reglas de cumplimiento de prelogon

Nombre de término	de la regla de cumplimiento	Criterios de coincidencia (Valores)	Acción
Obediente	SecureConnect	Plataforma Windows app-version<23.4.13.14.29669 Macos versión os<12.5.1	Rechazar
	Desarmado	Deviceid c8163be5d7077d35989e0b0e6b9271bfa53003e4251a24e588c10302c4972123	Rechazar
	BYOD	Deviceid c8163be5d7077d35989e0b0e6b9271bfa5312fa2251a24e588c10302c4903kd2	Aceptar
	Dispositivos corporativos	Host dispositivo1 dispositivo2 ms-domain example.net Deviceid c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e578c10302c4972aff c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e588c10302c4972124	Aceptar

Para configurar reglas de cumplimiento de prelogon mediante la interfaz de línea de comandos:

1. Inicie sesión en el firewall de la serie SRX con la interfaz de línea de comandos (CLI).

2. Configure VPN de acceso remoto en modo de configuración de túnel completo. Consulte uno de los siguientes procedimientos basados en el método de autenticación utilizado:

   • Autenticación de usuario local con clave precompartida

   • Autenticación USer externa

   • Validación basada en certificados mediante autenticación EAP-MSCHAPv2

   • Validación basada en certificados mediante autenticación EAP-MSCHAPv2

3. Consulte las reglas de cumplimiento del prelogon como se muestra en la tabla 1 para configurar las reglas en el firewall de la serie SRX.

4. Configurar la política Compliant de cumplimiento de prelogon a [edit security remote-access] nivel jerárquico:

   • Con la regla de SecureConnect términos y sus criterios de coincidencia y acción,

     En esta regla de término, para la versión de la aplicación Juniper Secure Connect especificada para puntos de conexión de Windows y macOS, la conexión se rechazará. Para conocer la versión de la aplicación, consulte la Guía del usuario de Juniper Secure Connect para conocer el punto de conexión específico según el sistema operativo compatible.

   • Con la regla de OS términos y sus criterios de coincidencia y acción,

     En esta regla de término, para las versiones del sistema operativo especificadas para los puntos de conexión de Windows y macOS, la conexión se rechazará.

   • Con la regla de Decommissioned términos y sus criterios de coincidencia y acción,

     En esta regla de término, para el ID de dispositivo especificado, la conexión se rechazará. Para obtener el ID del dispositivo, consulte laGuía del usuario de Juniper Secure Connect

   • Con la regla de BYOD términos y sus criterios de coincidencia y acción,

     En esta regla de términos, para el ID de dispositivo especificado, se aceptará la conexión. Para conocer el ID del dispositivo, consulte la Guía del usuario de Juniper Secure Connect

   • Con la regla de CorpDevices términos y sus criterios de coincidencia y acción,

     En esta regla de términos, se aceptará la conexión para los nombres de host especificados, el nombre de dominio ms y el ID de dispositivo. Para conocer el ID del dispositivo, consulte laGuía del usuario de Juniper Secure Connect

5. Para cualquier otro criterio que no esté definido en esta regla Compliantde cumplimiento, es decir, cuando no se especifica ninguna otra regla de término para una regla inigualable, la acción predeterminada es reject.

6. Una vez definidas las reglas de cumplimiento para una política de cumplimiento, adjunte la política de cumplimiento al perfil de acceso remoto, ra.example.com creado en el paso 2-

7. Cuando termine de configurar la función en el dispositivo, ingrese confirmación desde el modo de configuración.

8. Según el caso de uso, puede crear varias políticas de cumplimiento como SecureConnect y adjuntar cada una de ellas a los perfiles de acceso remoto que cree. Asegúrese de que una política de cumplimiento esté asociada a un perfil de acceso remoto.

Estas funciones garantizan que la aplicación Juniper Secure Connect cumpla con los criterios de conexión con el firewall serie SRX, lo que proporciona medidas de seguridad mejoradas establecidas por el administrador.