Configurar el cumplimiento previo al inicio de sesión (procedimiento de la CLI)
Lea este tema para obtener información acerca de las comprobaciones de cumplimiento previo al inicio de sesión y cómo configurarlas en Juniper Secure Connect.
¿Qué es el cumplimiento de inicio de sesión previo?
La aplicación Juniper Secure Connect intercambia detalles con el firewall de la serie SRX para realizar comprobaciones de cumplimiento previas al inicio de sesión. El administrador configura las reglas de cumplimiento previas al inicio de sesión en el firewall de la serie SRX para validar el estado de un dispositivo cliente conectado. Estas comprobaciones de cumplimiento previo al inicio de sesión se refieren a las validaciones que se realizan antes de la autenticación. En función de los diferentes criterios de coincidencia, se toman medidas para admitir o rechazar un dispositivo cliente conectado.
Esta característica garantiza que la aplicación Juniper Secure Connect cumpla los criterios de conexión con el firewall de la serie SRX, lo que proporciona medidas de seguridad mejoradas establecidas por el administrador.
El propósito de las políticas de cumplimiento de inicio de sesión es validar el contexto actual del punto de conexión en función de los criterios de cumplimiento establecidos por su organización. Usted autoriza el acceso en función de estas políticas de cumplimiento. El dispositivo realiza la comprobación de cumplimiento previo al inicio de sesión mediante políticas de cumplimiento previo al inicio de sesión antes de la autenticación del usuario.
Como administrador, debe configurar un conjunto de reglas en el firewall de la serie SRX para permitir o rechazar un punto de conexión antes de establecer una conexión VPN de acceso remoto. En este caso, el punto de conexión se refiere al cliente o al host en el que está instalada la aplicación Secure Connect. Puede crear reglas basadas en las plataformas de cliente compatibles como Windows, macOS, Android e iOS. Puede usar varios otros criterios de coincidencia, como el ID del dispositivo, el nombre de host, el nombre de dominio de ms y el nombre de ms-workgroup para los criterios de coincidencia.
El firewall de la serie SRX procesa estas reglas en función de ciertos criterios de evaluación. Consulte los criterios de evaluación de cumplimiento (Juniper Secure Connect) para obtener más información sobre los criterios de evaluación. Para obtener más información sobre el nombre de la regla de cumplimiento, el nombre de la regla de términos, los criterios de coincidencia y la acción, consulte cumplimiento (Juniper Secure Connect).
Cómo configurar las reglas de cumplimiento previas al inicio de sesión
Consideremos las siguientes reglas mencionadas en la Tabla 1 para esta tarea de configuración:
| Nombre de la regla de cumplimiento | Nombre del término | Criterios de coincidencia (Valores) |
Acción |
|---|---|---|---|
| Dócil | Conexión segura | plataforma
|
rechazar |
| Desarmado | ID del dispositivo
|
rechazar | |
| BYOD | ID del dispositivo
|
aceptar | |
| Dispositivos corporativos |
|
aceptar |
Para configurar reglas de cumplimiento previas al inicio de sesión mediante la interfaz de línea de comandos:
-
Inicie sesión en su firewall de la serie SRX mediante la interfaz de línea de comandos (CLI).
-
Configure VPN de acceso remoto en modo de configuración de túnel completo. Consulte uno de los siguientes procedimientos basados en el método de autenticación utilizado:
-
Consulte las reglas de cumplimiento previas al inicio de sesión como se muestra en la Tabla 1 para configurar las reglas en su firewall de la serie SRX.
-
Configurar la política Compliant de cumplimiento previo al inicio de sesión en
[edit security remote-access]el nivel jerárquico:-
Con la regla SecureConnect del término y sus criterios de coincidencia y acción -
[edit security remote-access] user@host# set compliance pre-logon Compliant term SecureConnect match platform windows app-version less-than 23.4.13.14.29669 user@host# set compliance pre-logon Compliant term SecureConnect match platform macos app-version less-than 23.3.4.70.29996 user@host# set compliance pre-logon Compliant term SecureConnect action reject
En esta regla de término, para la versión especificada de la aplicación Juniper Secure Connect para puntos de conexión Windows y macOS, se rechazará la conexión. Para conocer la versión de la aplicación, consulte la Guía del usuario de Juniper Secure Connect para conocer el punto de conexión específico según el sistema operativo compatible.
-
Con la regla OS del término y sus criterios de coincidencia y acción -
[edit security remote-access] user@host# set compliance pre-logon Compliant term OS match platform windows os-version less-than 10.21H2.19044.2604 user@host# set compliance pre-logon Compliant term OS match platform macos os-version less-than 12.5.1 user@host# set compliance pre-logon Compliant term OS action reject
En esta regla de término, para las versiones del sistema operativo especificadas para los puntos de conexión de Windows y macOS, se rechazará la conexión.
-
Con la regla Decommissioned del término y sus criterios de coincidencia y acción -
[edit security remote-access] user@host# set compliance pre-logon Compliant term Decommissioned match deviceid c8163be5d7077d35989e0b0e6b9271bfa53003e4251a24e588c10302c4972123 user@host# set compliance pre-logon Compliant term Decommissioned action reject
En esta regla de término, para el ID de dispositivo especificado, se rechazará la conexión. Para obtener el ID del dispositivo, consulte la Guía del usuario de Juniper Secure Connect
-
Con la regla BYOD del término y sus criterios de coincidencia y acción -
[edit security remote-access] user@host# set compliance pre-logon Compliant term BYOD match deviceid c8163be5d7077d35989e0b0e6b9271bfa5312fa2251a24e588c10302c4903kd2 user@host# set compliance pre-logon Compliant term BYOD action accept
En esta regla de término, para el ID de dispositivo especificado, se aceptará la conexión. Para conocer el ID del dispositivo, consulte la Guía del usuario de Juniper Secure Connect
-
Con la regla CorpDevices del término y sus criterios de coincidencia y acción -
[edit security remote-access] user@host# set compliance pre-logon Compliant term CorpDevices match hostname device1 user@host# set compliance pre-logon Compliant term CorpDevices match hostname device2 user@host# set compliance pre-logon Compliant term CorpDevices match ms-domain example.net user@host# set compliance pre-logon Compliant term CorpDevices match deviceid c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e578c10302c4972aff user@host# set compliance pre-logon Compliant term CorpDevices match deviceid c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e588c10302c4972124 user@host# set compliance pre-logon Compliant term CorpDevices action accept
En esta regla de término, para los nombres de host, nombre de dominio ms e ID de dispositivo especificados, se aceptará la conexión. Para conocer el ID del dispositivo, consulte la Guía del usuario de Juniper Secure Connect
-
-
Para cualquier otro criterio que no esté definido en esta regla Compliantde cumplimiento, es decir, cuando no se especifica ninguna regla de término adicional para una regla no coincidente, la acción predeterminada es
reject. -
Una vez definidas las reglas de cumplimiento para una política de cumplimiento, adjunte la política de cumplimiento al perfil de acceso remoto, ra.example.com creado en el paso 2:
[edit security remote-access profile ra.example.com] user@host# set compliance pre-logon SecureConnect
-
Cuando haya terminado de configurar la función en el dispositivo, ingrese confirmar en el modo de configuración.
-
En función del caso de uso, puede crear varias políticas de cumplimiento, por ejemplo SecureConnect , y adjuntar cada una de ellas a los perfiles de acceso remoto que cree. Asegúrese de que una política de cumplimiento esté asociada a un perfil de acceso remoto.
Esta característica garantiza que la aplicación Juniper Secure Connect cumpla con los criterios de conexión con el firewall de la serie SRX, lo que proporciona medidas de seguridad mejoradas establecidas por el administrador.