NetScreen Secure Access and Secure Access

Transcripción

Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5".
Juniper Networks, Inc. has sales offices worldwide.
For contact information, refer to www.juniper.net.
530-010089-01, Revision 1
A book with .25" spine would cut here.
A book with 2.5" spine would cut here.
Juniper Networks, Inc.
Printed on recycled paper
Juniper
Networks,
Inc.
Guía de inicio de Secure Access
y de Secure Access FIPS
de NetScreen
Plataforma instantánea para extranet virtual de NetScreen
A 1.25" spine would fold here.
Cover size is 8.3 x 10.75".
This is the hardware version: has blue line and blue bar
1194 North Mathilda Avenue
Sunnyvale, CA 94089 USA
Phone 408 745 2000 or 888 JUNIPER
Fax 408 745 2100
™
CORPORATE HEADQUARTERS
M320 Internet Router Hardware Guide
™
M-series Routing Platforms
www.juniper.net
Serie NetScreen Secure Access de Juniper Networks
Serie NetScreen Secure Access FIPS de Juniper Networks
Guía de inicio
Versión 5.0
Sunnyvale, CA 94089
EE.UU.
+1-408-745-2000
www.juniper.net
Número de pieza: 093-1228-000-ES
Juniper Networks, el logotipo de Juniper Networks, NetScreen, NetScreen Technologies, el logotipo de NetScreen, NetScreen-Global Pro, ScreenOS y
GigaScreen son marcas comerciales registradas de Juniper Networks, Inc. en los Estados Unidos y en otros países.
Juniper Networks, el logotipo de Juniper Networks, NetScreen, NetScreen Technologies, Neoteris, Neoteris-Secure Access, Neoteris-Secure Meeting,
NetScreen-SA 1000, NetScreen-SA 3000, NetScreen-SA 5000, IVE, GigaScreen y el logotipo de NetScreen son marcas comerciales registradas de Juniper
Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500,
NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client,
NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC y NetScreen ScreenOS son marcas comerciales de Juniper
Networks, Inc. Todas las demás marcas comerciales y marcas comerciales registradas son propiedad de sus respectivas empresas.
Copyright © 2001 D. J. Bernstein. Copyright © 1985-2003 por Massachusetts Institute of Technology. Reservados todos los derechos. Copyright © 2000 por
Zero-Knowledge Systems, Inc. Copyright © 2001, Dr. Brian Gladman <[email protected]>, Worcester, Reino Unido. Reservados todos los derechos.
Copyright © 1989, 1991 Free Software Foundation, Inc. Copyright © 1989, 1991, 1992 por Carnegie Mellon University. Derivative Work - 1996, 1998-2000.
Copyright © 1996, 1998-2000 The Regents of the University of California. Reservados todos los derechos. Copyright © 1999-2001 The OpenLDAP
Foundation, Redwood City, California, EE.UU. Reservados todos los derechos. Se autorizan la copia y la distribución de copias íntegras de este documento.
Copyright © 1995 Tatu Ylonen <[email protected]>, Espoo, Finlandia. Reservados todos los derechos. Copyright © 1986 Gary S. Brown. Copyright © 1998 CORE
SDI S.A., Buenos Aires, Argentina. Copyright © 1995, 1996 por David Mazieres <[email protected]>. Copyright © 1998-2002. The OpenSSL Project.
Reservados todos los derechos. Copyright © 1989-2001, Larry Wall. Reservados todos los derechos. Copyright © 1989, 1991 Free Software Foundation, Inc.
Copyright © 1996-2002 Andy Wardley. Reservados todos los derechos. Copyright © 1998-2002. Canon Research Centre Europe Ltd. Copyright © 1995-1998.
Jean-loup Gailly y Mark Adler.
Guía de inicio de NetScreen Secure Access y NetScreen Secure Access FIPS de Juniper Networks, versión 4.x
Copyright © 2004, Juniper Networks, Inc.
Reservados todos los derechos. Impreso en los EE.UU.
Redactora: Carolyn A. Harding
Editora: Claudette deGiere
Historial de revisiones
14 de mayo de 2004 — Borrador Beta
28 de mayo de 2004 — Borrador final
Juniper Networks no asume responsabilidad alguna por ninguna imprecisión que pueda contener este documento. Juniper Networks se reserva el derecho a
cambiar, modificar, transferir o revisar de cualquier otro modo esta publicación sin previo aviso.
Contenido
Paso 1: Instalar el hardware .............................................................................1
Paso 2: Realizar la configuración básica ...........................................................4
Paso 3: Actualizar y registrar la licencia del IVE ............................................... 7
Paso 4: Verificar la accesibilidad de los usuarios ..............................................9
Paso 5: Crear un supuesto de prueba para aprender los conceptos y
prácticas recomendadas con el IVE .........................................................12
Ajustes predeterminados para administradores ............................................. 27
Contenido
iii
Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen
iv

Contenido
Gracias por elegir el dispositivo NetScreen Instant Virtual Extranet (IVE) de Juniper
Networks. Puede instalar el IVE y empezar a configurar el sistema en cinco sencillos
pasos:
Paso 1: Instalar el hardware ......................................................................1
Paso 2: Realizar la configuración básica.....................................................4
Paso 3: Actualizar y registrar la licencia del IVE...........................................7
Paso 4: Verificar la accesibilidad de los usuarios ........................................9
prácticas recomendadas con el IVE ..............................................12
Recomendamos que instale el dispositivo NetScreen Secure Access o NetScreen
Secure Access FIPS en su red de área local para asegurarse de que puede
comunicarse con los recursos necesarios, a saber:

Servidores de autenticación

Servidores DNS

Servidores web internos mediante HTTP/HTTPS

Sitios web externos mediante HTTP/HTTPS (opcional)

Servidores de archivos Windows (opcional)

Servidores de archivos NFS (opcional)

Aplicaciones cliente/servidor (opcional)
Si decide instalar el dispositivo en una DMZ, cerciórese de que el dispositivo IVE
pueda conectarse a estos recursos.
Las versiones francesa, alemana y japonesa de esta guía están disponibles en el sitio
web de Soporte Técnico.
Paso 1: Instalar el hardware
El dispositivo IVE se suministra con los soportes de montaje unidos a la parte
frontal del chasis. Utilizando estos soportes, monte el equipo en el bastidor, conecte
la alimentación eléctrica y conecte los cables incluidos al equipo siguiendo estos
pasos:
1. Monte el dispositivo IVE en el bastidor de su servidor.
2. En el panel trasero, enchufe el cable de alimentación en el receptáculo de CA y
presione el conmutador de alimentación para encender la unidad.
1
3. En el panel frontal:
1. Empuje el conmutador de palanca en la esquina derecha una vez. El LED
verde situado a la derecha del conmutador de alimentación se enciende. En
los dispositivos Secure Access FIPS, el piloto del disco duro del IVE se
ilumina siempre que se lean o escriban datos en el disco duro del IVE.
2. Enchufe el cable Ethernet en el puerto izquierdo. Este puerto izquierdo utiliza
dos LED para indicar el estado de la conexión LAN, que se describe en la
Tabla 1 en la página 3.
Figura 1: El puerto izquierdo está situado en el panel frontal.
3. Enchufe el cable serie en el puerto serie:
Figura 2: El puerto serie se encuentra en el panel frontal.
4. Si está instalando un dispositivo Secure Access FIPS, ejecute los pasos
siguientes en el panel del módulo de seguridad de hardware:
1. Ajuste el conmutador de modo en I (modo de inicialización). El indicador
de estado del módulo de seguridad de hardware (HSM) indica el modo del
módulo de seguridad de hardware, descrito en la Tabla 2 en la página 3.
2. Enchufe el cable del lector de tarjetas inteligente en el puerto del lector.
3. Inserte una de las tarjetas inteligentes en el lector con los contactos hacia
arriba. El LED verde HSM se ilumina. No extraiga la tarjeta mientras el
módulo se encuentre en el modo I.
2

Figura 3: Secure Access FIPS — Vista detallada del panel frontal
La instalación del hardware estará completa cuando haya montado el dispositivo en
el bastidor, conectado la alimentación, la red y los cables serie al dispositivo, y
encendido el equipo. El paso siguiente es conectarse a la consola serie del
dispositivo para introducir los ajustes básicos del equipo y de la red.
Tabla 1: Secure Access y Secure Access FIPS — LEDs del puerto izquierdo
Estado de la LAN
LED 1
LED2
Conexión a 10 Mbps
Apagado
n/a
Verde
n/a
Naranja
n/a
Acceso 1000/3000/5000
Conexión a 100 Mbps
Acceso 1000/3000/5000
Conexión a 1000 Mbps
Acceso 1000/3000/5000
Transfiriendo datos
Naranja, verde o apagado Intermitente
Sin conexión
Apagado
Apagado
Tabla 2: Secure Access FIPS — Indicador de estado del módulo de seguridad de
hardware
Estado de la LAN
LED 1
Descripción
Estado previo a la
inicialización
Destellos individuales,
cortos
El módulo está listo para
la inicialización.
Estado de funcionamiento Principalmente
El conmutador de modo
encendido, pero
se encuentra en O
periódicamente parpadea (operativo). Póngalo en I
para comenzar la
inicialización.
Estado previo al
mantenimiento
Destellos individuales,
largos
El conmutador de modo
se encuentra en M
(mantenimiento). Póngalo
en I para comenzar la
inicialización.
3
Paso 2: Realizar la configuración básica
Tras arrancar un dispositivo IVE no configurado, debe introducir la información
básica de la red y del equipo a través de la consola serie IVE para que el dispositivo
esté accesible a la red. Después de introducir estos ajustes, puede continuar la
configuración del IVE a través de la consola web del administrador. Esta sección
describe la configuración requerida para la consola serie y las tareas que deben
realizarse al conectarse al IVE por primera vez a través de la consola web.
Para realizar la configuración básica:
1. Configure una utilidad de terminal de consola o de emulación de terminal,
como Hyperterminal, para que utilice estos parámetros de conexión serie:

9600 bits por segundo

1 bit de parada

8 bits sin paridad (8N1)

Sin control de flujo
2. Conecte el terminal o el equipo portátil al cable serie enchufado en el puerto
serie del dispositivo y presione Intro hasta que el script de inicialización le pida
información.
Figura 4: Pantalla de bienvenida de la consola serie del IVE
3. Pulse y para proceder y luego y para aceptar los términos de la licencia (o bien
r para leerla primero).
4. Introduzca la información del equipo que se le solicite, incluyendo:
4

Dirección IP del puerto interno (opcionalmente, configure el puerto externo
a través de la consola web del administrador después de la configuración
inicial)

Máscara de red

Dirección de la puerta de enlace predeterminada

Velocidad de la tarjeta de red (NIC)

Dirección del servidor DNS principal

Dirección del servidor DNS secundario (opcional)

Nombre de dominio DNS predeterminado (por ejemplo: miempresa.com)

Nombre o dirección del servidor WINS (opcional)

Nombre de usuario del administrador

Contraseña del administrador

Nombre común del equipo (ejemplo: conexiones.miempresa.com)

Nombre de la organización (ejemplo: Recambios y Repuestos, S.A.)
Los dos últimos datos se utilizan para crear un certificado digital
autofirmado que se utiliza durante la evaluación del producto y la
configuración inicial. Recomendamos encarecidamente que importe un
certificado digital autofirmado expedido por una autoridad de
certificación fiable (CA) antes de entregar el IVE para su uso productivo.
Después de introducir esta información, habrá completado la configuración de
la consola serie. Cuando el IVE le pregunte si desea modificar sus ajustes, elija
la opción apropiada o continúe.
5. Si está instalando un dispositivo Secure Access FIPS, ponga el conmutador de
modo en O (modo de funcionamiento).
6. En un explorador web, introduzca la URL del equipo seguida de “/admin” para
acceder a la página de inicio de sesión del administrador. La URL está en el
formato: https://a.b.c.d/admin, donde a.b.c.d es la dirección IP del equipo,
que introdujo en el paso 4. Cuando aparezca el aviso de seguridad preguntando
si proceder sin un certificado firmado, haga clic en Yes. Si aparece la página de
inicio de sesión del administrador, significa que ha conectado correctamente su
dispositivo IVE a la red.
5
Figura 5: Página de inicio de sesión del administrador
7. En la página de inicio de sesión, introduzca el nombre de usuario y la
contraseña del administrador que creó en el paso 4 y, a continuación, haga clic
en Sign In para iniciar una sesión. Se abrirá la consola web del administrador
en la página de resumen de estado del sistema System>Status>Overview.
Figura 6: Página System > Status > Overview
8. Junto a System Date and Time, haga clic en Edit. En la página Date and Time,
especifique la hora del equipo y haga clic en Save Changes.
9. Elija Administrators>Delegation (opcional). En la página Delegated Admin
Roles, haga clic en .Administrators, vinculado a las páginas de configuración
de la función incorporada .Administrators. Para esta función:
1. Elija General>Session Options y, bajo Session Lifetime, cambie los
valores de temporización por inactividad y de duración máxima de la
sesión.
2. Haga clic en Save Changes.
6

Cuando termine esta configuración básica a través de las consolas serie y web, todo
estará listo para instalar el paquete de actualización de IVE más actualizado para su
sistema operativo y registrar la licencia del IVE.
Paso 3: Actualizar y registrar la licencia del IVE
Antes de verificar la accesibilidad de los usuarios, tómese un tiempo para actualizar
su IVE con el paquete de actualización del IVE más reciente para su sistema
operativo con el fin de asegurarse de disponer de la funcionalidad y documentación
más recientes del producto. Necesitará descargar el paquete de actualización del
sitio de Soporte Técnico de Juniper a un directorio de red accesible desde el IVE. El
mensaje de bienvenida que le enviará Juniper por correo electrónico contiene la
URL de Soporte Técnico y sus credenciales de inicio de sesión.
Para actualizar y registrar la licencia del IVE:
1. En un explorador web, introduzca la URL del sitio de Soporte Técnico indicada
en el mensaje de correo electrónico enviado por Juniper.
2. En la página de inicio de sesión para la obtención de asistencia, introduzca las
credenciales (nombre de usuario y contraseña) indicadas en el mensaje y haga
clic en Sign In para iniciar una sesión. Después de iniciar correctamente su
sesión en el sitio, navegue a la página de su versión de software dentro del sitio
de soporte.
3. Seleccione el vínculo correspondiente a la versión de producción más reciente
y haga clic en el vínculo de paquetes de actualización correspondiente. Cuando
le sea solicitado, guarde el paquete en un directorio de red.
4. En un explorador, introduzca la URL del equipo IVE seguida de “/admin” para
acceder a la página de inicio de sesión del administrador. La URL está en el
formato: https://a.b.c.d/admin, donde a.b.c.d es la dirección IP del equipo que
introdujo en el paso 2-4. Cuando aparezca el aviso de seguridad preguntando si
proceder sin un certificado firmado, haga clic en Yes.
5. En la página de inicio de sesión del administrador, introduzca el nombre y la
contraseña del administrador que creó en el paso 2-4 y haga clic en Sign In. Se
abrirá la consola web del administrador en la página de resumen de estado del
sistema System>Status>Overview.
6. Elija Maintenance>System>Upgrade/Downgrade.
7. En la página Install Service Package, navegue hasta el paquete de actualización
de su sistema operativo que descargó anteriormente. Después de seleccionar el
paquete, cuando el nombre del archivo aparezca en el campo Service package
to install, haga clic en Install Now.
El IVE transferirá el paquete de actualización desde el directorio de red y
comenzará a instalarlo. El proceso puede durar varios minutos. Puede
supervisar el estado a través de la consola web o de la consola serie. Cuando el
IVE acabe de instalar el paquete de actualización, el sistema se reiniciará.
Cuando el IVE se haya reiniciado, vuelva a iniciar una sesión en la consola web
del administrador para introducir la licencia (o licencias) del sistema.
7
8. Elija System>Configuration>Licensing. En la página Licensing:
1. En el campo Company Name, introduzca el nombre de su empresa según
aparece en el mensaje de correo electrónico enviado por Juniper.
2. En el campo License Key(s), introduzca las licencias enumeradas en el
mensaje de correo electrónico enviado por Juniper. Puede seleccionar todas
las licencias indicadas en el correo electrónico, copiarlas y pegarlas en el
campo License Key(s).
3. Haga clic en Save Changes. La información de su código de licencia
aparece en la página Licensing.
Si compró NetScreen-SA Central Manager de Juniper Networks, el
aspecto de la interfaz de usuario cambia a un color de fondo gris
después de guardar las licencias. Las demás ilustraciones de esta
guía presentan la interfaz de usuario de Central Manager.
Después de instalar el paquete de actualización de IVE más reciente para su sistema
operativo y registrar su licencia de IVE, estará listo para verificar la accesibilidad de los
usuarios.
8

Paso 4: Verificar la accesibilidad de los usuarios
Puede crear fácilmente una cuenta de usuario en el servidor de autenticación del
sistema para verificar la accesibilidad de ese usuario a su IVE. Después de crear la
cuenta a través de la consola web del administrador, inicie una sesión como usuario
en la página de inicio de sesión de usuarios del IVE.
Para verificar la accesibilidad de los usuarios:
1. En la consola web del administrador, elija Users>New User.
2. En la página New Local User, escriba “testuser1” como nombre de usuario y
una contraseña; luego haga clic en Save Changes. El IVE creará la cuenta
“testuser1”.
3. En otra ventana del explorador, introduzca la URL del equipo para acceder a la
página de inicio de sesión de usuarios. La URL está en el formato:
https://a.b.c.d, donde a.b.c.d es la dirección IP del equipo, que introdujo en el
paso 2-4. Cuando aparezca el aviso de seguridad preguntando si proceder sin
un certificado firmado, haga clic en Yes. Si aparece la página de inicio de sesión
del usuario, significa que se habrá conectado correctamente a su dispositivo
IVE.
Figura 7: Página de inicio de sesión de usuario
4. En la página de inicio de sesión, introduzca el nombre de usuario y la
contraseña que creó para la cuenta del usuario y haga clic en Sign In para
acceder a la página inicial del IVE para usuarios.

9
Figura 8: Página inicial del usuario (predeterminada)
5. En el campo Address del explorador, introduzca la URL de un servidor web
interno y haga clic en Browse. El IVE abrirá la página web en la misma ventana
del explorador, por lo que para regresar a la página inicial del IVE, deberá hacer
clic en el icono central de la barra de herramientas de navegación que aparece
en la página web de destino.
Figura 9: Página web interna de ejemplo con la barra de herramientas para examinar
archivos
6. En la página inicial del IVE, introduzca la URL de su sitio corporativo externo y
haga clic en Browse. El IVE abre la página web en la misma ventana del
explorador, de modo que, para regresar a la página inicial del IVE, deberá
utilizar la barra de herramientas para examinar archivos.
10

7. En la página inicial del IVE, haga clic en Browsing>Windows Files para
examinar los recursos compartidos disponibles para Windows o en
Browsing>UNIX/NFS Files para examinar recursos compartidos en redes
UNIX/NSF.
Después de verificar la accesibilidad de los usuarios, regrese a la consola web del
administrador para realizar el paso 5, que presenta el sistema de administración de
accesos del IVE.
11
prácticas recomendadas con el IVE
El IVE es un sistema flexible de administración de accesos que facilita la
personalización de los accesos remotos de un usuario mediante la utilización de
funciones (roles), directivas de recursos, servidores de autenticación, territorios de
autenticación y directivas de inicio de sesión. Para que pueda comenzar a trabajar
rápidamente con estas entidades, IVE se suministra de fábrica con ajustes
predeterminados para cada una de ellas. Esta sección describe estos preajustes del
sistema y muestra cómo crear cada entidad de administración de accesos mediante
las siguientes tareas:
Definir una función de usuario .................................................................12
Definir una directiva de recursos..............................................................15
Definir un servidor de autenticación .........................................................18
Definir un territorio de autenticación ........................................................20
Definir una directiva de inicio de sesión ...................................................23
El IVE reconoce dos tipos de usuarios:

Administrators — Un administrador es una persona que puede ver y modificar
los ajustes de configuración del IVE. Creará la primera cuenta de administrador
a través de la consola serie.

Users — Un usuario es una persona que utiliza el IVE para acceder a los
recursos corporativos de acuerdo con la configuración definida por un
administrador. Creará la primera cuenta de usuario (testuser1) en el “Paso 4:
Verificar la accesibilidad de los usuarios” en la página 9.
El siguiente supuesto de prueba se centra en utilizar los elementos de
administración de accesos del IVE para configurar los parámetros de acceso de un
usuario. Para obtener información sobre los ajustes predeterminados del sistema
para administradores, consulte “Ajustes predeterminados para administradores” en
la página 27.
Definir una función de usuario
Una función de usuario es una entidad que define parámetros de sesión, ajustes
de personalización y funciones de acceso habilitadas para los usuarios.1 El IVE
asigna a cada usuario autenticado una o más funciones. Las opciones especificadas
para las funciones definen a qué tipo de recursos puede acceder el usuario durante
la sesión de IVE.
1. Las funciones de acceso son la navegación web, la navegación en sistemas de archivos, Secure
Application Manager, Telnet/SSH, Terminal Services de Windows, Network Connect, Secure Meeting
y Secure Email Client.
12

Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE
El IVE se suministra preconfigurado con una función de usuario llamada “Users”.
Esta función predefinida habilita las funciones de acceso a web y archivos,
permitiendo a cualquier usuario asignado a la función Users su acceso a Internet, a
servidores web corporativos y a cualquier servidor de archivos Windows o UNIX/NFS
disponible. Puede ver esta función en la página Users>Roles.
Después de habilitar una característica de acceso para una función (en la página
Users>Roles>RoleName), configure las opciones apropiadas correspondientes y
accesibles desde la ficha de configuración de características de acceso.
Para definir una función de usuario:
1. En la consola web del administrador, elija Users>Roles.
2. En la página Roles, haga clic en New Role.
3. En la página New Role, escriba “Test Role” en el campo Name y haga clic en
Save Changes. Espere a que el IVE muestre la página General>Overview
correspondiente a Test Role.
4. En la página Overview, seleccione la casilla de verificación Web bajo Access
features y haga clic en Save Changes.
5. Elija Web>Options.
6. Bajo Browsing, seleccione la casilla de verificación User can type URLs y haga
clic en Save Changes.
Una vez completados estos pasos, habrá definido una función de usuario. Cuando
cree directivas de recursos, podrá aplicarlas a esta función. También podrá asignar
usuarios a esta función mediante reglas de asignación definidas para un territorio
de autenticación.
Para crear rápidamente una función de usuario que habilite el acceso a web y a
examinar archivos, duplique la función Users y habilite las características de
acceso adicionales que desee.
Figura 10: Página Users > Roles > New Role

13
Figura 11: Users > Roles > Test Role > General > Overview
14

Definir una directiva de recursos
Una directiva de recursos es una regla del sistema que especifica:

Recursos a los que debe aplicarse la directiva (como URLs, servidores y
archivos),

Usuarios a los que debe aplicarse la directiva (especificados mediante funciones
y otras variables de la sesión), y

Si el IVE debe permitir el acceso a un recurso o ejecutar una acción.
El IVE está preconfigurado con dos tipos de directivas de recursos:

Web Access — La directiva de recursos predefinida Web Access permite a todos
los usuarios acceder a Internet y a todos los servidores web corporativos a
través del IVE. De forma predeterminada, esta directiva de recursos es aplicable
a la función Users.

Windows Access — La directiva de recursos predefinida Windows Access
permite a todos los usuarios asignados a la función Users acceder a todos los
servidores corporativos de archivos Windows. De forma predeterminada, esta
directiva de recursos es aplicable a la función Users.
Puede ver las directivas predeterminadas de recursos web y de archivos en las páginas
Resource Policies>Web>Access y Resource Policies>Files>Windows>Access.
Si le preocupa que los usuarios tengan acceso a todos sus contenidos web y de
archivos, elimine las directivas predeterminadas de acceso a web y a archivos,
Web Access y Windows Access.
Para definir una directiva de recursos:
1. En la consola web del administrador, elija Resource Policies>Web>Access.
2. En la página Web Access Policies, haga clic en New Policy.
3. En la página New Policy:
1. En el campo Name, escriba: Test Web Access
2. En el campo Resources, escriba: http://www.google.com
3. Bajo Roles, active Policy applies to SELECTED roles y seleccione “Test
Role” en el campo Available Roles; a continuación, haga clic en Add para
moverlo al campo Selected Roles.
4. Bajo Action, seleccione Deny access.
5. Haga clic en Save Changes. El IVE agrega “Test Web Access” a la página
Web Access Policies.

15
4. En la página Web Access Policies, haga clic en la casilla de verificación junto a
“Test Web Access” en la lista Policies. El IVE resalta la fila de la tabla en
amarillo.
5. Haga clic en la flecha ascendente
en la parte superior de la página para
mover la fila “Test Web Access” por encima de la fila integrada “Initial Open
Policy” y, a continuación, haga clic en Save Changes.
El IVE procesa las directivas de recursos por orden, comenzando por
la primera directiva de la lista. Para asegurarse de que el IVE aplique
las restricciones de recursos correspondientes a los usuarios, ordene
las directivas de la lista en función de su nivel de restricción,
colocando la directiva más restrictiva en el primer puesto de la lista.
Una vez completados estos pasos, habrá configurado una directiva de recursos de
control de accesos a la web. Observe que, aunque la siguiente directiva de la lista
Web Access Policies permite a todos los usuarios acceder a todos los recursos web,
se continúa prohibiendo a los usuarios asignados a Test Role el acceso a
http://www.google.com, ya que cumplen las condiciones de la primera directiva,
Test Web Access, que tiene prioridad sobre la siguiente.
16

Figura 12: Resource Policies > Web > Access > New Policy

17
Figura 13: Resource Policies > Web > Access — Cambiar el orden de las directivas
Definir un servidor de autenticación
Un servidor de autenticación es una base de datos que almacena las credenciales
de los usuarios (nombre y contraseña) y, normalmente, información sobre el grupo
y atributos. Cuando un usuario se conecta al IVE, debe especificar un territorio de
autenticación, que está asociado a un servidor de autenticación. El IVE reenvía las
credenciales del usuario a este servidor de autenticación para verificar su identidad.
El IVE admite los servidores de autenticación más comunes, como Windows NT
Domain, Active Directory, RADIUS, LDAP, NIS, RSA ACE/Server y Netegrity SiteMinder,
lo que permite crear una o más bases de datos locales de usuarios que son
autenticados por el IVE. El IVE viene preconfigurado con un servidor de autenticación
local para usuarios llamado “System Local”. Este servidor de autenticación local
predefinido es una base de datos del IVE que permite crear rápidamente cuentas de
usuario para su autenticación. Esta funcionalidad proporciona la flexibilidad necesaria
para realizar pruebas y para permitir el acceso a terceros, eliminando la necesidad de
crear cuentas de usuario en un servidor de autenticación externo.
Puede ver el servidor de autenticación local predeterminado en la página
System>Signing In> Servers.
El IVE también es compatible con servidores de autorizaciones. Un servidor de
autorizaciones (o servidor de directorios) es una base de datos que almacena
información sobre los atributos de los usuarios y grupos. Puede configurar un
territorio de autenticación de modo que utilice un servidor de directorios con el fin
de consultar atributos del usuario o información del grupo, que se utilizarán en las
reglas y directivas de recursos durante la asignación de funciones.
Para definir un servidor de autenticación:
1. En la consola web del administrador, elija System>Signing In>Servers.
2. En la página Servers, elija IVE Authentication en la lista New y haga clic en
New Server.
18

3. En la página New IVE Authentication, escriba “Test Server” en el campo Name
y haga clic en Save Changes. Espere a que el IVE le notifique que los cambios
se han guardado, después de lo cual aparecerán fichas de configuración
adicionales.
4. Haga clic en la ficha Users y luego en New.
5. En la página New Local User, escriba “testuser2” en el campo Username,
escriba una contraseña y haga clic en Save Changes para crear la cuenta del
usuario en el servidor de autenticación Test Server.
Una vez completados estos pasos, habrá creado un servidor de autenticación que
contendrá una cuenta de usuario. Este usuario podrá conectarse a un territorio de
autenticación que utilice el servidor de autenticación Test Server.
Figura 14: System > Signing In > Servers > New Server
Figura 15: System > Signing In > Servers > Test Server > New User

19
Figura 16: System > Signing In > Servers
Definir un territorio de autenticación
Un territorio de autenticación es una agrupación de recursos de autenticación, a
saber:

Un servidor de autenticación, que verifica la identidad del usuario. El IVE
reenvía las credenciales enviadas desde la página de inicio de sesión a un
servidor de autenticación.

Una directiva de autenticación, que especifica qué requisitos de seguridad del
territorio deberán cumplirse para que el IVE envíe las credenciales a un
servidor de autenticación para su verificación.

Un servidor de directorios, que es un servidor LDAP que proporciona
información de atributos de usuario y de grupo al IVE para su utilización en las
reglas y directivas de recursos durante la asignación de funciones (opcional).

Reglas de asignación de funciones, que son condiciones que un usuario debe
satisfacer para que el IVE asigne al usuario a unas o más funciones. Estas
condiciones se basan en la información devuelta por el servidor de directorios
del territorio, el nombre de usuario de la persona o los atributos del certificado.
El IVE se suministra preconfigurado con un territorio de usuarios llamado “Users”.
Este territorio predefinido utiliza el servidor de autenticación System Local, una
directiva de autenticación que requiere una longitud de contraseña mínima de
cuatro caracteres, no utiliza servidor de directorios, y contiene una regla de
asignación de funciones que asigna la función Users a todos los usuarios que inicien
una sesión en el territorio Users. La cuenta “testuser1” que se creó en el “Paso 3:
Actualizar y registrar la licencia del IVE” en la página 7 forma parte del territorio
Users, porque se creó en el servidor de autenticación System Local. La cuenta
“testuser2” creada en “Definir un servidor de autenticación” en la página 18 no
forma parte del territorio Users, porque se creó en el nuevo servidor de
autenticación “Test Server”, que ese territorio no utiliza.
Puede ver el territorio de autenticación de usuarios predeterminado en la página
Users>Authentication.
20

Para definir un territorio de autenticación:
1. En la consola web del administrador, elija Users>Authentication.
2. En la página User Authentication Realms, haga clic en New.
3. En la página New Authentication Realm:
1. En el campo Name, escriba: Test Realm
2. Bajo Servers, elija “Test Server” en la lista Authentication server.
3. Haga clic en Save Changes. Espere a que el IVE le notifique que los
cambios han sido guardados y a que aparezcan las fichas de configuración
del territorio.
4. En la ficha Role Mapping, haga clic en New Rule.
5. En la página Role Mapping Rule:
1. Bajo Rule: If username..., escriba “testuser2” en el campo del valor.
2. Bajo ...then assign these roles, elija “Test Role” en el campo Available
Roles y haga clic en Add para moverlo al campo Selected Roles.
Una vez completados estos pasos, habrá terminado de crear un territorio de
autenticación. Este territorio utiliza Test Server para autenticar usuarios y una regla
de asignación de función que asigna “testuser2” a la función Test Role. Dado que la
directiva de recursos Test Web Access es aplicable a Test Role, ningún usuario
asignado a esta función puede acceder a http://www.google.com.
Figura 17: Users > Authentication > New Realm

21
Figura 18: Users > Authentication > Test Server > New Rule
22

Definir una directiva de inicio de sesión
Una directiva de inicio de sesión es una regla del sistema que especifica:

La URL en la que un usuario puede iniciar una sesión en el IVE,

Una página de inicio de sesión a mostrar al usuario,

Si el usuario debe o no escribir o seleccionar un territorio de autenticación al
que el IVE envía credenciales, y

Los territorios de autenticación a los que la directiva es aplicable.
Los dispositivos IVE de las series All Access Series y Access Series FIPS vienen
preconfigurados con una directiva de inicio de sesión aplicable a los usuarios: */ .
Esta directiva predeterminada de inicio de sesión de usuarios (*/) especifica que
cuando un usuario introduce la URL del IVE, el IVE muestra la página
predeterminada de inicio de sesión y exige al usuario seleccionar un territorio de
autenticación (si existe más de uno). La directiva */ de inicio de sesión está
configurada para ser aplicable al territorio de autenticación Users, por lo que esta
directiva de inicio de sesión no es aplicable al territorio de autenticación creado en
“Definir un territorio de autenticación” en la página 20.
Puede ver la directiva predeterminada de inicio de sesión de usuarios en la página
System>Signing In>Sign-in Policies. Si su IVE dispone de una licencia de
actualización Secure Meeting Upgrade, la directiva de inicio de sesión */meeting
también aparece en esta página. Esta directiva permite personalizar la página de
inicio de sesión para reuniones seguras.
La directiva predeterminada de inicio de sesión es aplicable a todos los usuarios.
Puede modificar la URL de la página de inicio de sesión de usuarios del IVE agregando
a la ruta, por ejemplo “*/empleados”, pero no puede crear directivas de inicio de
sesión adicionales a menos que compre la licencia Advanced para su IVE.
Para definir una directiva de inicio de sesión:
1.
En la consola web del administrador, elija System>Signing In>Sign-in Policies.
2. En la página Sign-in Policies, haga clic en */.
3. En la página */ :
1. En el campo Sign-in URL, escriba “test” después de “*/.”
2. Bajo Authentication realm, seleccione User picks from a list of
authentication realms y luego “Test Realm” en el campo Available Roles;
a continuación, haga clic en Add para moverlo al campo Selected Roles.
(Repita este proceso para la función Users si aún no se encuentra en el
campo Selected Roles).
Una vez completados estos pasos, habrá terminado de modificar la directiva
predeterminada de inicio de sesión de usuarios.

23
Opcional:
1. Elija System>Signing In>Sign-in Pages y haga clic en New Page.
2. En la página New Sign-In Page, escriba “Test Sign-in Page” en el campo Name,
escriba “#FF0000” (rojo) en el campo Background color y haga clic en Save
Changes.
3. Elija System>Signing In>Sign-in Policies y haga clic en */test/ bajo User
URLs.
4. En la página */test/, elija “Test Sign-in Page” en la lista Sign-in page y haga clic
en Save Changes.
Después de completar estos pasos opcionales, habrá terminado de definir una
nueva página de inicio de sesión asociada a la directiva de inicio de sesión “*/test/”.
Figura 19: System > Signing In > Sign-in Policies > */
24

Figura 20: System > Signing In > Sign-in Pages > New Page — Página nueva opcional de
inicio de sesión
Figura 21: System > Signing In > Sign-in Policies > */test/ — Usar nueva página de
inicio de sesión
Utilizar el supuesto de prueba
El supuesto de prueba le permite:

Acceder a la consola web del usuario utilizando la directiva predeterminada
modificada de inicio de sesión

Iniciar una sesión en el territorio Test Realm como el usuario creado en Test
Server

Comprobar sus posibilidades de navegación web, que dependen de una
configuración correcta de Test Role y Test Web Access
Para utilizar el supuesto de prueba:
1. En un explorador web, introduzca la URL del equipo seguida de “/test” para
acceder a la página de inicio de sesión del usuario. La URL está en el formato:
https://a.b.c.d/test, donde a.b.c.d es la dirección IP del equipo que introdujo
en el paso 2-4. Cuando aparezca el aviso de seguridad preguntando si proceder
sin un certificado firmado, haga clic en Yes. Si aparece la página de inicio de
sesión del usuario, significa que se habrá conectado correctamente a su
dispositivo IVE.

25
Figura 22: Página de inicio de sesión de usuario
Si realizó los pasos de configuración opcionales de “Definir una directiva
de inicio de sesión” en la página 23, el color del encabezado será rojo.
2. En la página de inicio de sesión, escriba el nombre de usuario y la contraseña
creada para esa cuenta de usuario en Test Server, seleccione “Test Realm” en la
lista Realm y haga clic en Sign In para acceder a la página inicial de IVE para
usuarios.
El IVE reenviará las credenciales a Test Realm, configurado para utilizar Test
Server. Tras la verificación correcta por parte de este servidor de autenticación,
el dispositivo IVE procesa la regla de asignación de función definida para Test
Realm, que asigna “testuser2” a la función Test Role. Test Role habilitará la
navegación web para los usuarios.
Figura 23: Página inicial del usuario
3. En el campo Address del explorador, introduzca la URL de su página web
corporativa y haga clic en Browse. El IVE abrirá la página web en la misma
ventana del explorador, por lo que para regresar a la página inicial del IVE,
deberá hacer clic en el icono central de la barra de herramientas de navegación
que aparece en la página web de destino.
26

4. En la página inicial del IVE, escriba “www.google.com” y haga clic en Browse.
El IVE mostrará un mensaje de error, porque la directiva de recursos Test Web
Access deniega el acceso a este sitio a todos los usuarios asignados a Test Role.
Figura 24: Ejemplo de un mensaje de error de recurso denegado
5.
Regrese a la página inicial del IVE, haga clic en Sign Out y luego regrese a la página
de inicio de sesión del usuario.
6. Introduzca las credenciales de testuser1, seleccione el territorio Users y haga clic
en Sign In.
7. En la página inicial del IVE, escriba “www.google.com” y haga clic en Browse.
Se abrirá la página web del IVE en la misma ventana del explorador.
Este supuesto de prueba muestra los mecanismos de administración de accesos del
IVE. Puede crear reglas de asignación de funciones y directivas de recursos muy
sofisticadas para controlar los accesos de los usuarios en función de factores tales
como una directiva de autenticación de un territorio, la pertenencia de un usuario a un
grupo y otras variables. Para obtener más información sobre la administración de
accesos del IVE, recomendamos que se tome unos minutos para leer la ayuda en línea
y familiarizarse con su contenido.

Cuando configure el IVE para su empresa, le recomendamos que configure los
accesos de usuarios en el orden presentado en esta sección.

Para obtener información detallada sobre la configuración, consulte la ayuda en
línea o el archivo PDF de la guía de administración, disponible tanto en la ayuda
en línea como en nuestro sitio web de Soporte Técnico.

Antes de poner su IVE disponible para las ubicaciones externas, recomendamos
que importe un certificado de firma digital de una autoridad de certificación
fiable (CA).
Ajustes predeterminados para administradores
Igual que para los usuarios, el IVE proporciona ajustes predeterminados que
permiten configurar rápidamente cuentas de administradores. Esta lista resume los
ajustes predeterminados del sistema para los administradores:
27

Funciones de administrador

.Administrators — Esta función integrada permite a los administradores
administrar todos los aspectos del IVE. El usuario administrador que creó
en la consola serie está asignado a esta función.

.Read-Only Administrators — Esta función integrada permite a usuarios
asignados a la función ver (pero no configurar) todos los ajustes del IVE. Si
desea restringir los accesos de los administradores, deberá asignarles a
esta función.
Necesita disponer de una licencia Advanced para poder crear
funciones de administrador adicionales.
28

Administrators local authentication server (El servidor de autenticación
Administrators) — El servidor de autenticación Administrators es una base de
datos de IVE en la que se almacenan cuentas de administradores. La primera
cuenta de administrador en este servidor se crea a través de la consola serie. (El
IVE agrega a este servidor todas las cuentas de administrador creadas a través
de la consola serie). No puede eliminar este servidor local.

Admin Users authentication realm (El territorio de autenticación Admin
Users) — El territorio de autenticación Admin Users utiliza el servidor de
autenticación predeterminado Administrators, una directiva de autenticación
que requiere una longitud mínima de contraseña de cuatro caracteres, ningún
servidor de directorios y contiene una regla de asignación de función que
asigna a todos los usuarios que inicien una sesión en el territorio Admin Users a
la función .Administrators. La cuenta de administrador que creó en la consola
serie es parte del territorio Admin Users.

Directiva de inicio de sesión */admin — La directiva predeterminada de inicio
de sesión (*/admin) especifica que cuando un usuario introduce la URL del IVE
seguida de “/admin,” el IVE muestra la página predeterminada de inicio de
sesión para administradores. Esta directiva también obliga al administrador a
seleccionar un territorio de autenticación (si existe más de uno). La directiva de
inicio de sesión */admin está configurada para ser aplicable al territorio de
autenticación Admin Users, por lo que esta directiva de inicio de sesión es
aplicable a la cuenta de administrador creada a través de la consola serie.
Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5".
Juniper Networks, Inc. tiene oficinas de ventas en todo el mundo.
Si desa ponerse en contacto con nosotros, visite www.juniper.net.
093-1228-000-ES
A book with .25" spine would cut here.
A book with 2.5" spine would cut here.
Impreso en papel reciclado
Juniper
Networks,
Inc.
NetScreen Secure Access
NetScreen Secure Access FIPS
Quick Start
NetScreen Instant Virtual Extranet Platform
Cover size is 8.3 x 10.75".
This is the hardware version: has blue line and blue bar
Sunnyvale, CA 94089 EE.UU.
Tel. 408 745 2000
Fax 408 745 2100
™
SEDE CENTRAL
M320 Internet Router Hardware Guide
™
M-series Routing Platforms
www.juniper.net

NetScreen Secure Access and Secure Access

Transcripción

Documentos relacionados

Díptico sobre la IVE - Consejería de Sanidad del Gobierno de

TENDENCIA FUNDAMENTAL DE FUTURO

Autobus Asturias Julio 2015