Validación basada en certificados mediante autenticación EAP-TLS

RESUMEN En esta configuración, utilice el nombre de usuario y la contraseña para la autenticación de usuario externo (por servidor RADIUS) y el método de autenticación EAP-TLS para validar los certificados de usuario.

Suponemos que completó la configuración básica de sus firewalls serie SRX, incluidas las interfaces, las zonas y las políticas de seguridad, como se muestra en el escenario de despliegue de Juniper Secure Connect.

Para obtener más información acerca de los requisitos previos, consulte Requisitos del sistema.

Asegúrese de que tiene una infraestructura de clave pública (PKI) configurada como autenticación de backend. En este caso, debe instalar el certificado raíz de la CA en cada cliente, así como un certificado específico del usuario en cada dispositivo cliente. Tenga en cuenta que la autenticación local no es compatible en este caso.

Nota:

Debe asegurarse de que el firewall serie SRX usa un certificado firmado o autofirmado en lugar del certificado predeterminado generado por el sistema. Antes de comenzar a configurar Juniper Secure Connect, es importante que lea las instrucciones en Prerrequisitos para implementar Juniper Secure Connect.

Configurar la configuración de VPN de Juniper Secure Connect

Para configurar la configuración de VPN mediante la interfaz J-Web:

Inicie sesión en su firewall de la serie SRX con la interfaz J-Web. La Figura 1 muestra la página de inicio de sesión de J-Web.

Figura 1: Acceso e inicio de sesión de J-Web

Después de iniciar sesión correctamente, aterrizará en la página configuración básica. La Figura 2 muestra un ejemplo de la página de inicio.

Figura 2: Página de inicio de J-Web
En el panel lateral J-Web, vaya a Red > VPN > VPN IPsec.
1. Después de hacer clic en VPN IPsec, aparecerá la página VPN IPsec. La Figura 3 muestra un ejemplo de la página VPN IPsec.
  
  Figura 3: Página VPN IPsec
2. En la esquina derecha de la página, seleccione Create VPN > Remote Access > Juniper Secure Connect para crear la configuración VPN IPsec para Juniper Secure Connect.
  
  Aparecerá el siguiente mensaje de advertencia:
  
  Figura 4: Mensaje de advertencia para generar y enlazar certificado autofirmado
  
  Como se mencionó en el mensaje de advertencia, cree un certificado autofirmado y vincule el certificado al firewall serie SRX. Para obtener más información, consulte Preparación de la configuración de Juniper Secure Connect.
  
  Para obtener información detallada acerca de cómo crear una VPN de acceso remoto, consulte Crear una VPN de acceso remoto— Juniper Secure Connect.
3. Vuelva a navegar a Red > VPN > VPN IPsec y, en la esquina derecha de la página, seleccione Crear VPN > acceso remoto > Juniper Secure Connect para crear la configuración VPN IPsec para Juniper Secure Connect. Aparecerá la página Crear acceso remoto (Juniper Secure Connect). La Figura 5 muestra un ejemplo para crear VPN de acceso remoto.
  
  Figura 5: Crear VPN: acceso remoto
  
  La Figura 6 muestra un ejemplo de la página Crear acceso remoto con el método de autenticación basado en certificados.
  
  Figura 6: Crear página de acceso remoto para el método de autenticación basado en certificados
En la página Crear acceso remoto (Juniper Secure Connect) (consulte la figura 7):
1. Escriba el nombre de la conexión de acceso remoto (es decir, el nombre que se mostrará en el nombre del dominio del usuario final en la aplicación Juniper Secure Connect) y una descripción.
2. El modo de enrutamiento se establece como Selector de tráfico (inserción automática de ruta) de forma predeterminada.
3. Seleccione el método de autenticación. Para este ejemplo, seleccione Certificado basado en la lista desplegable.
4. Seleccione Sí para crear la política de firewall automáticamente mediante la opción Crear automáticamente política de firewall .
Figura 7: Método de autenticación basado en certificados

Haga clic en el icono de usuario remoto para configurar la configuración de la aplicación Juniper Secure Connect.

Figura 8: Página Remote User Page

de usuario remoto

La Figura 8 muestra un ejemplo de la página Usuario remoto.

Configure el cliente de usuario remoto seleccionando las opciones en la página Usuario remoto y, a continuación, haciendo clic en Aceptar :

En la tabla 1 se resumen las opciones de configuración del usuario remoto.

Tabla 1: Opciones de configuración del cliente de usuario remoto
Configuración de cliente de usuario remoto	Descripción
Perfil predeterminado	El perfil predeterminado está habilitado de forma predeterminada. Si no desea que este perfil sea el predeterminado, haga clic en el botón de alternar. Si habilita perfil predeterminado para el perfil de conexión VPN, Juniper Secure Connect selecciona automáticamente el perfil predeterminado como nombre de dominio (en este ejemplo: https://12.12.12.12/). En este caso, es opcional ingresar el nombre del reino en Juniper Secure Connect. Si deshabilita el perfil predeterminado para el perfil de conexión VPN, debe ingresar el nombre del reino junto con la dirección de puerta de enlace (en este ejemplo: https://12.12.12.12/JUNIPER_SECURE_CONNECT) en Juniper Secure Connect. Nota: A partir de la versión 23.1R1 de Junos OS, el perfil predeterminado está en desuso en J-Web. Sin embargo, en la CLI, en lugar de eliminarla de inmediato, proporcionamos compatibilidad con versiones anteriores y una oportunidad de hacer que su configuración existente se ajuste a la configuración modificada. Recibirá un mensaje de advertencia si continúa utilizando la opción de perfil predeterminado en su configuración. Sin embargo, las implementaciones existentes no se verán afectadas si modifica la configuración actual mediante CLI. Vea el perfil predeterminado (Juniper Secure)
Modo de conexión	Para establecer la conexión del cliente de forma manual o automática, seleccione la opción adecuada. Si selecciona Manual, luego en la aplicación Juniper Secure Connect, para establecer una conexión, debe hacer clic en el botón de alternar o seleccionar Conexión > Conectar en el menú. Si selecciona Siempre, Juniper Secure Connect establece automáticamente la conexión. Limitación conocida: Dispositivo Android: si usa o selecciona Siempre, la configuración se descarga desde el primer dispositivo SRX utilizado. Si la primera configuración del firewall serie SRX cambia o si se conecta a un nuevo dispositivo SRX, la configuración no se descarga a la aplicación Juniper Secure Connect. Esto significa que una vez que se conecta en el modo Siempre con el dispositivo Android, cualquier cambio de configuración en el firewall serie SRX no tendrá efecto en Juniper Secure Connect.
SSL VPN	Para habilitar la compatibilidad con la conexión VPN SSL desde la aplicación Juniper Secure Connect a los firewalls serie SRX, haga clic en el botón de alternar. Al habilitar VPN SSL, el cliente tiene la flexibilidad de conectar los firewalls serie SRX. De forma predeterminada, VPN SSL está habilitado.
Autenticación biométrica	Esta opción está deshabilitada de forma predeterminada. Si habilita esta opción, al hacer clic en conectar en Juniper Secure Connect, Juniper Secure Connect muestra un indicador de autenticación. Esta opción permite al usuario proteger sus credenciales mediante el soporte de autenticación biométrica integrado del sistema operativo.
Detección de pares muertos	La detección de par muerto (DPD) está habilitada de forma predeterminada para permitir que el cliente detecte si el firewall serie SRX no es accesible, desactive la conexión hasta que se restablezca la accesibilidad.
Certificados	Esta opción está habilitada de forma predeterminada para configurar las opciones de certificado. Advertencia de vencimiento: esta opción está habilitada de forma predeterminada. Cuando está habilitado, recibirá una advertencia de vencimiento del certificado en el cliente de Secure Connect, cuando el certificado está a punto de caducar. Intervalo de advertencia :escriba el intervalo en el que se muestra la advertencia en días. Req pin por conexión: esta opción está habilitada de forma predeterminada. Cuando está habilitado, debe escribir el pin de certificado para cada conexión.
EAP-TLS	EAP-TLS está habilitado de forma predeterminada.
Inicio de sesión de Windows	Esta opción permite a los usuarios iniciar sesión en el sistema Windows local a través de un túnel VPN ya establecido (mediante inicio de sesión previo de Windows), de modo que se autentifique en el dominio central de Windows o En Active Directory.

Haga clic en Puerta de enlace local para configurar la configuración de la puerta de enlace local.
La Figura 9 muestra un ejemplo de la configuración de la puerta de enlace local.

Figura 9: Configuración de puerta de enlace local
1. Si activa la puerta de enlace está detrás de TDR, aparecerá un cuadro de texto. En el cuadro de texto, escriba la dirección IP TDR. Solo admitemos direcciones IPv4. La dirección TDR es la dirección externa.
2. Introduzca un ID de ICR en formato user@hostname.com . Por ejemplo, abc@xyz.com.
3. En el campo Interfaz externa , seleccione la dirección IP para que los clientes se conecten. Debe introducir esta misma dirección IP (en este ejemplo: https://12.12.12.12/) para el campo Dirección de puerta de enlace en la aplicación Juniper Secure Connect.
  
  Si habilita la puerta de enlace está detrás de TDR, la dirección IP TDR se convierte en la dirección de puerta de enlace.
4. En la lista desplegable Interfaz de túnel , seleccione una interfaz para enlazarla a la VPN basada en rutas. Como alternativa, haga clic en Agregar. Si hace clic en Agregar, aparecerá la página Crear interfaz de túnel .
  
  La Figura 10 muestra un ejemplo de la página Crear interfaz de túnel.
  
  Figura 10: Página de creación de interfaz de túnel
  
  El siguiente número de interfaz lógica ST0 disponible se muestra en el campo Unidad de interfaz y puede escribir una descripción para esta interfaz. Seleccione la zona a la que se agregará esta interfaz de túnel. Si la política de creación automática de firewall (en la página Crear acceso remoto) está establecida en Sí, la política de firewall utilizará esta zona. Haga clic en Aceptar.
5. En el campo Certificado local , seleccione uno de los certificados locales ya firmados externamente. Haga clic en Agregar para agregar un nuevo certificado local o haga clic en Importar para importar el certificado local.
  
  La figura 11 muestra solo un ejemplo de configuración.
  
  Figura 11: Página generar certificado para certificado local
6. Para el certificado de CA, en el campo CA/Grupo de confianza , seleccione uno de sus certificados de CA ya firmados externamente, incluida la CA/Grupo de confianza correspondiente. Si no tiene ninguno de estos, haga clic en Agregar perfil de CA y complete los valores que coincidan con su entorno. La Figura 12 muestra un ejemplo de la página Agregar PERFIL de CA.
  
  Figura 12: Página AGREGAR PERFIL DE CA
7. En el menú desplegable Autenticación de usuario , puede seleccionar el perfil de acceso existente o hacer clic en Agregar para crear un nuevo perfil de acceso. Si hace clic en Agregar, aparecerá la ventana Crear perfil de acceso .
  
  La Figura 13 muestra un ejemplo de la página Crear perfil de acceso.
  
  Figura 13: Crear página de perfil de acceso
  
  Escriba el nombre del perfil de acceso. En la lista desplegable Asignación de direcciones, seleccione un conjunto de direcciones o haga clic en Crear conjunto de direcciones. Si hace clic en Crear agrupación de direcciones, aparecerá la página Crear conjunto de direcciones.
  
  La Figura 14 muestra un ejemplo de la página Crear conjunto de direcciones.
  
  Figura 14: Página crear conjunto de direcciones
  - Escriba los detalles del grupo de IP local que está en la política de VPN para los clientes. Escriba un nombre para el conjunto de direcciones IP.
  - Escriba la dirección de red que utilice para la asignación de direcciones.
  - Ingrese su dirección de servidor DNS. Escriba los detalles del servidor WINS, si es necesario. Ahora haga clic en el icono agregar (+) para crear el intervalo de direcciones y asignar direcciones IP a los clientes.
  - Escriba el nombre y los límites inferiores y superiores. Después de introducir los detalles, haga clic en Aceptar.
  Active la casilla RADIUS , en la que todos los detalles de autenticación se almacenan en un servidor de radio externo.
  - Haga clic en el icono agregar (+) para configurar los detalles del servidor radius. Véase la figura 15.
    
    Figura 15: Crear página del servidor RADIUS
  - Ingrese la dirección IP del servidor Radius, el secreto de Radius y la dirección de origen para las comunicaciones de radio desde las que se provendrá. Haga clic en Aceptar.
    
    En la orden de autenticación, en la lista desplegable Orden 1 seleccione RADIUS. Haga clic en Aceptar para completar la configuración del perfil de acceso.
    
    En la Figura 16 se muestra un ejemplo de la página Crear perfil de acceso.
    
    Figura 16: Crear página de perfil de acceso
8. En la lista desplegable Perfil de VPN SSL , seleccione un perfil existente o haga clic en Agregar para crear un nuevo perfil VPN SSL. Si hace clic en Agregar, aparecerá la página Agregar perfil de VPN SSL .
  
  La Figura 17 muestra un ejemplo de la página Agregar perfil DE VPN SSL.
  
  Figura 17: Página de perfil agregar VPN SSL
  
  En la página Agregar perfil de VPN SSL , puede configurar el perfil DE VPN SSL. Escriba el nombre del perfil de VPN SSL en el campo Nombre y habilite el registro mediante la alternancia, si es necesario. En el campo Perfil de terminación SSL , seleccione el perfil de terminación SSL de la lista desplegable. La terminación SSL es un proceso en el que los firewalls de la serie SRX actúan como un servidor proxy SSL y terminan la sesión SSL del cliente. Si desea crear un nuevo perfil de terminación SSL, haga clic en Agregar. Aparecerá la página Crear perfil de finalización SSL .
  
  La Figura 18 muestra un ejemplo de la página Crear perfil de terminación SSL.
  
  Figura 18: Crear página de perfil de terminación SSL
  - Escriba el nombre del perfil de terminación SSL y seleccione el certificado de servidor que utilice para la terminación SSL en los firewalls serie SRX. Haga clic en Agregar para agregar un nuevo certificado de servidor o haga clic en Importar para importar el certificado de servidor. El certificado de servidor es un identificador de certificado local. Los certificados de servidor se utilizan para autenticar la identidad de un servidor.
  - Haga clic en Aceptar.
9. La opción Tráfico TDR de origen está habilitada de forma predeterminada. Cuando el tráfico TDR de origen está habilitado, todo el tráfico desde la aplicación Juniper Secure Connect se NATed a la interfaz seleccionada de forma predeterminada. Haga clic en el botón de alternar para deshabilitar la opción Tráfico TDR de origen. Si la opción está deshabilitada, debe asegurarse de que tiene una ruta desde su red que apunta a los firewalls serie SRX para gestionar correctamente el tráfico devuelto.
10. En Redes protegidas, haga clic en el icono agregar (+) para seleccionar las redes a las que la aplicación Juniper Secure Connect puede conectarse.
  
  La Figura 19 muestra un ejemplo de la página Crear redes protegidas.
  
  Figura 19: Página crear redes protegidas
  
  De forma predeterminada, se permite cualquier red 0.0.0.0/0. Si configura una red específica, se habilita la tunelización dividida para la aplicación Juniper Secure Connect. Si conserva el valor predeterminado, puede restringir el acceso a las redes definidas ajustando la política de firewall desde la red del cliente. Haga clic en Aceptar y las redes seleccionadas se encuentran ahora en la lista de redes protegidas. Haga clic en Aceptar para completar la configuración de la puerta de enlace local.
  
  En la Figura 20 se muestra un ejemplo de la finalización correcta de la configuración de acceso remoto con usuario remoto y puerta de enlace local.
  
  Figura 20: Configuración completa de acceso remoto
  
  La configuración de ICR y la configuración de IPsec son opciones avanzadas. J-Web ya está configurado con valores predeterminados para los parámetros IKE e IPsec. No es obligatorio configurar estas opciones.
Ahora puede encontrar la dirección URL a la que se conectarán los usuarios remotos. Copie y almacene esta URL para compartirla con usuarios remotos. Solo necesita la información /xxxx si esta configuración no es su perfil predeterminado.
La Figura 21 destaca la URL que el usuario remoto debe ingresar en el campo dirección de puerta de enlace en la aplicación Juniper Secure Connect para establecer una conexión de acceso remoto.

Figura 21: Configuración de confirmación de acceso remoto
1. Haga clic en Guardar para completar la configuración de Secure Connect VPN de Juniper y la política asociada si ha seleccionado la opción de creación automática de políticas.
2. Haga clic en el botón Confirmar resaltado (en la parte superior derecha de la página junto al botón Comentarios) para confirmar la configuración.

Descargue e instale la aplicación Juniper Secure Connect en el equipo cliente. Inicie Juniper Secure Connect y conéctese a la dirección de puerta de enlace del firewall serie SRX. También debe colocar el certificado de CA raíz y el certificado de usuario en la ubicación de directorio adecuada para la plataforma respectiva en la que instaló la aplicación Juniper Secure Connect. Consulte la Guía del usuario de Juniper Secure Connect para obtener más información.

Validación basada en certificados mediante autenticación EAP-TLS

Configurar la configuración de VPN de Juniper Secure Connect

Documentación relacionada