NetScreen Secure Access and Secure Access
Transcripción
NetScreen Secure Access and Secure Access
Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5". Juniper Networks, Inc. has sales offices worldwide. For contact information, refer to www.juniper.net. 530-010089-01, Revision 1 A book with .25" spine would cut here. A book with 2.5" spine would cut here. Juniper Networks, Inc. Printed on recycled paper Juniper Networks, Inc. Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Plataforma instantánea para extranet virtual de NetScreen A 1.25" spine would fold here. A 2.5" spine would fold here. Cover size is 8.3 x 10.75". This is the hardware version: has blue line and blue bar Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA Phone 408 745 2000 or 888 JUNIPER Fax 408 745 2100 ™ CORPORATE HEADQUARTERS M320 Internet Router Hardware Guide ™ M-series Routing Platforms www.juniper.net Serie NetScreen Secure Access de Juniper Networks Serie NetScreen Secure Access FIPS de Juniper Networks Guía de inicio Versión 5.0 Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 EE.UU. +1-408-745-2000 www.juniper.net Número de pieza: 093-1228-000-ES Juniper Networks, el logotipo de Juniper Networks, NetScreen, NetScreen Technologies, el logotipo de NetScreen, NetScreen-Global Pro, ScreenOS y GigaScreen son marcas comerciales registradas de Juniper Networks, Inc. en los Estados Unidos y en otros países. Juniper Networks, el logotipo de Juniper Networks, NetScreen, NetScreen Technologies, Neoteris, Neoteris-Secure Access, Neoteris-Secure Meeting, NetScreen-SA 1000, NetScreen-SA 3000, NetScreen-SA 5000, IVE, GigaScreen y el logotipo de NetScreen son marcas comerciales registradas de Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC y NetScreen ScreenOS son marcas comerciales de Juniper Networks, Inc. Todas las demás marcas comerciales y marcas comerciales registradas son propiedad de sus respectivas empresas. Copyright © 2001 D. J. Bernstein. Copyright © 1985-2003 por Massachusetts Institute of Technology. Reservados todos los derechos. Copyright © 2000 por Zero-Knowledge Systems, Inc. Copyright © 2001, Dr. Brian Gladman <[email protected]>, Worcester, Reino Unido. Reservados todos los derechos. Copyright © 1989, 1991 Free Software Foundation, Inc. Copyright © 1989, 1991, 1992 por Carnegie Mellon University. Derivative Work - 1996, 1998-2000. Copyright © 1996, 1998-2000 The Regents of the University of California. Reservados todos los derechos. Copyright © 1999-2001 The OpenLDAP Foundation, Redwood City, California, EE.UU. Reservados todos los derechos. Se autorizan la copia y la distribución de copias íntegras de este documento. Copyright © 1995 Tatu Ylonen <[email protected]>, Espoo, Finlandia. Reservados todos los derechos. Copyright © 1986 Gary S. Brown. Copyright © 1998 CORE SDI S.A., Buenos Aires, Argentina. Copyright © 1995, 1996 por David Mazieres <[email protected]>. Copyright © 1998-2002. The OpenSSL Project. Reservados todos los derechos. Copyright © 1989-2001, Larry Wall. Reservados todos los derechos. Copyright © 1989, 1991 Free Software Foundation, Inc. Copyright © 1996-2002 Andy Wardley. Reservados todos los derechos. Copyright © 1998-2002. Canon Research Centre Europe Ltd. Copyright © 1995-1998. Jean-loup Gailly y Mark Adler. Guía de inicio de NetScreen Secure Access y NetScreen Secure Access FIPS de Juniper Networks, versión 4.x Copyright © 2004, Juniper Networks, Inc. Reservados todos los derechos. Impreso en los EE.UU. Redactora: Carolyn A. Harding Editora: Claudette deGiere Historial de revisiones 14 de mayo de 2004 — Borrador Beta 28 de mayo de 2004 — Borrador final Juniper Networks no asume responsabilidad alguna por ninguna imprecisión que pueda contener este documento. Juniper Networks se reserva el derecho a cambiar, modificar, transferir o revisar de cualquier otro modo esta publicación sin previo aviso. Contenido Paso 1: Instalar el hardware .............................................................................1 Paso 2: Realizar la configuración básica ...........................................................4 Paso 3: Actualizar y registrar la licencia del IVE ............................................... 7 Paso 4: Verificar la accesibilidad de los usuarios ..............................................9 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE .........................................................12 Ajustes predeterminados para administradores ............................................. 27 Contenido iii Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen iv Contenido Gracias por elegir el dispositivo NetScreen Instant Virtual Extranet (IVE) de Juniper Networks. Puede instalar el IVE y empezar a configurar el sistema en cinco sencillos pasos: Paso 1: Instalar el hardware ......................................................................1 Paso 2: Realizar la configuración básica.....................................................4 Paso 3: Actualizar y registrar la licencia del IVE...........................................7 Paso 4: Verificar la accesibilidad de los usuarios ........................................9 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE ..............................................12 Recomendamos que instale el dispositivo NetScreen Secure Access o NetScreen Secure Access FIPS en su red de área local para asegurarse de que puede comunicarse con los recursos necesarios, a saber: Servidores de autenticación Servidores DNS Servidores web internos mediante HTTP/HTTPS Sitios web externos mediante HTTP/HTTPS (opcional) Servidores de archivos Windows (opcional) Servidores de archivos NFS (opcional) Aplicaciones cliente/servidor (opcional) Si decide instalar el dispositivo en una DMZ, cerciórese de que el dispositivo IVE pueda conectarse a estos recursos. Las versiones francesa, alemana y japonesa de esta guía están disponibles en el sitio web de Soporte Técnico. Paso 1: Instalar el hardware El dispositivo IVE se suministra con los soportes de montaje unidos a la parte frontal del chasis. Utilizando estos soportes, monte el equipo en el bastidor, conecte la alimentación eléctrica y conecte los cables incluidos al equipo siguiendo estos pasos: 1. Monte el dispositivo IVE en el bastidor de su servidor. 2. En el panel trasero, enchufe el cable de alimentación en el receptáculo de CA y presione el conmutador de alimentación para encender la unidad. Paso 1: Instalar el hardware 1 Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen 3. En el panel frontal: 1. Empuje el conmutador de palanca en la esquina derecha una vez. El LED verde situado a la derecha del conmutador de alimentación se enciende. En los dispositivos Secure Access FIPS, el piloto del disco duro del IVE se ilumina siempre que se lean o escriban datos en el disco duro del IVE. 2. Enchufe el cable Ethernet en el puerto izquierdo. Este puerto izquierdo utiliza dos LED para indicar el estado de la conexión LAN, que se describe en la Tabla 1 en la página 3. Figura 1: El puerto izquierdo está situado en el panel frontal. 3. Enchufe el cable serie en el puerto serie: Figura 2: El puerto serie se encuentra en el panel frontal. 4. Si está instalando un dispositivo Secure Access FIPS, ejecute los pasos siguientes en el panel del módulo de seguridad de hardware: 1. Ajuste el conmutador de modo en I (modo de inicialización). El indicador de estado del módulo de seguridad de hardware (HSM) indica el modo del módulo de seguridad de hardware, descrito en la Tabla 2 en la página 3. 2. Enchufe el cable del lector de tarjetas inteligente en el puerto del lector. 3. Inserte una de las tarjetas inteligentes en el lector con los contactos hacia arriba. El LED verde HSM se ilumina. No extraiga la tarjeta mientras el módulo se encuentre en el modo I. 2 Paso 1: Instalar el hardware Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Figura 3: Secure Access FIPS — Vista detallada del panel frontal La instalación del hardware estará completa cuando haya montado el dispositivo en el bastidor, conectado la alimentación, la red y los cables serie al dispositivo, y encendido el equipo. El paso siguiente es conectarse a la consola serie del dispositivo para introducir los ajustes básicos del equipo y de la red. Tabla 1: Secure Access y Secure Access FIPS — LEDs del puerto izquierdo Estado de la LAN LED 1 LED2 Conexión a 10 Mbps Apagado n/a Verde n/a Naranja n/a Acceso 1000/3000/5000 Conexión a 100 Mbps Acceso 1000/3000/5000 Conexión a 1000 Mbps Acceso 1000/3000/5000 Transfiriendo datos Naranja, verde o apagado Intermitente Sin conexión Apagado Apagado Tabla 2: Secure Access FIPS — Indicador de estado del módulo de seguridad de hardware Estado de la LAN LED 1 Descripción Estado previo a la inicialización Destellos individuales, cortos El módulo está listo para la inicialización. Estado de funcionamiento Principalmente El conmutador de modo encendido, pero se encuentra en O periódicamente parpadea (operativo). Póngalo en I para comenzar la inicialización. Estado previo al mantenimiento Destellos individuales, largos El conmutador de modo se encuentra en M (mantenimiento). Póngalo en I para comenzar la inicialización. Paso 1: Instalar el hardware 3 Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Paso 2: Realizar la configuración básica Tras arrancar un dispositivo IVE no configurado, debe introducir la información básica de la red y del equipo a través de la consola serie IVE para que el dispositivo esté accesible a la red. Después de introducir estos ajustes, puede continuar la configuración del IVE a través de la consola web del administrador. Esta sección describe la configuración requerida para la consola serie y las tareas que deben realizarse al conectarse al IVE por primera vez a través de la consola web. Para realizar la configuración básica: 1. Configure una utilidad de terminal de consola o de emulación de terminal, como Hyperterminal, para que utilice estos parámetros de conexión serie: 9600 bits por segundo 1 bit de parada 8 bits sin paridad (8N1) Sin control de flujo 2. Conecte el terminal o el equipo portátil al cable serie enchufado en el puerto serie del dispositivo y presione Intro hasta que el script de inicialización le pida información. Figura 4: Pantalla de bienvenida de la consola serie del IVE 3. Pulse y para proceder y luego y para aceptar los términos de la licencia (o bien r para leerla primero). 4. Introduzca la información del equipo que se le solicite, incluyendo: 4 Dirección IP del puerto interno (opcionalmente, configure el puerto externo a través de la consola web del administrador después de la configuración inicial) Máscara de red Paso 2: Realizar la configuración básica Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Dirección de la puerta de enlace predeterminada Velocidad de la tarjeta de red (NIC) Dirección del servidor DNS principal Dirección del servidor DNS secundario (opcional) Nombre de dominio DNS predeterminado (por ejemplo: miempresa.com) Nombre o dirección del servidor WINS (opcional) Nombre de usuario del administrador Contraseña del administrador Nombre común del equipo (ejemplo: conexiones.miempresa.com) Nombre de la organización (ejemplo: Recambios y Repuestos, S.A.) Los dos últimos datos se utilizan para crear un certificado digital autofirmado que se utiliza durante la evaluación del producto y la configuración inicial. Recomendamos encarecidamente que importe un certificado digital autofirmado expedido por una autoridad de certificación fiable (CA) antes de entregar el IVE para su uso productivo. Después de introducir esta información, habrá completado la configuración de la consola serie. Cuando el IVE le pregunte si desea modificar sus ajustes, elija la opción apropiada o continúe. 5. Si está instalando un dispositivo Secure Access FIPS, ponga el conmutador de modo en O (modo de funcionamiento). 6. En un explorador web, introduzca la URL del equipo seguida de “/admin” para acceder a la página de inicio de sesión del administrador. La URL está en el formato: https://a.b.c.d/admin, donde a.b.c.d es la dirección IP del equipo, que introdujo en el paso 4. Cuando aparezca el aviso de seguridad preguntando si proceder sin un certificado firmado, haga clic en Yes. Si aparece la página de inicio de sesión del administrador, significa que ha conectado correctamente su dispositivo IVE a la red. Paso 2: Realizar la configuración básica 5 Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Figura 5: Página de inicio de sesión del administrador 7. En la página de inicio de sesión, introduzca el nombre de usuario y la contraseña del administrador que creó en el paso 4 y, a continuación, haga clic en Sign In para iniciar una sesión. Se abrirá la consola web del administrador en la página de resumen de estado del sistema System>Status>Overview. Figura 6: Página System > Status > Overview 8. Junto a System Date and Time, haga clic en Edit. En la página Date and Time, especifique la hora del equipo y haga clic en Save Changes. 9. Elija Administrators>Delegation (opcional). En la página Delegated Admin Roles, haga clic en .Administrators, vinculado a las páginas de configuración de la función incorporada .Administrators. Para esta función: 1. Elija General>Session Options y, bajo Session Lifetime, cambie los valores de temporización por inactividad y de duración máxima de la sesión. 2. Haga clic en Save Changes. 6 Paso 2: Realizar la configuración básica Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Cuando termine esta configuración básica a través de las consolas serie y web, todo estará listo para instalar el paquete de actualización de IVE más actualizado para su sistema operativo y registrar la licencia del IVE. Paso 3: Actualizar y registrar la licencia del IVE Antes de verificar la accesibilidad de los usuarios, tómese un tiempo para actualizar su IVE con el paquete de actualización del IVE más reciente para su sistema operativo con el fin de asegurarse de disponer de la funcionalidad y documentación más recientes del producto. Necesitará descargar el paquete de actualización del sitio de Soporte Técnico de Juniper a un directorio de red accesible desde el IVE. El mensaje de bienvenida que le enviará Juniper por correo electrónico contiene la URL de Soporte Técnico y sus credenciales de inicio de sesión. Para actualizar y registrar la licencia del IVE: 1. En un explorador web, introduzca la URL del sitio de Soporte Técnico indicada en el mensaje de correo electrónico enviado por Juniper. 2. En la página de inicio de sesión para la obtención de asistencia, introduzca las credenciales (nombre de usuario y contraseña) indicadas en el mensaje y haga clic en Sign In para iniciar una sesión. Después de iniciar correctamente su sesión en el sitio, navegue a la página de su versión de software dentro del sitio de soporte. 3. Seleccione el vínculo correspondiente a la versión de producción más reciente y haga clic en el vínculo de paquetes de actualización correspondiente. Cuando le sea solicitado, guarde el paquete en un directorio de red. 4. En un explorador, introduzca la URL del equipo IVE seguida de “/admin” para acceder a la página de inicio de sesión del administrador. La URL está en el formato: https://a.b.c.d/admin, donde a.b.c.d es la dirección IP del equipo que introdujo en el paso 2-4. Cuando aparezca el aviso de seguridad preguntando si proceder sin un certificado firmado, haga clic en Yes. 5. En la página de inicio de sesión del administrador, introduzca el nombre y la contraseña del administrador que creó en el paso 2-4 y haga clic en Sign In. Se abrirá la consola web del administrador en la página de resumen de estado del sistema System>Status>Overview. 6. Elija Maintenance>System>Upgrade/Downgrade. 7. En la página Install Service Package, navegue hasta el paquete de actualización de su sistema operativo que descargó anteriormente. Después de seleccionar el paquete, cuando el nombre del archivo aparezca en el campo Service package to install, haga clic en Install Now. El IVE transferirá el paquete de actualización desde el directorio de red y comenzará a instalarlo. El proceso puede durar varios minutos. Puede supervisar el estado a través de la consola web o de la consola serie. Cuando el IVE acabe de instalar el paquete de actualización, el sistema se reiniciará. Cuando el IVE se haya reiniciado, vuelva a iniciar una sesión en la consola web del administrador para introducir la licencia (o licencias) del sistema. Paso 3: Actualizar y registrar la licencia del IVE 7 Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen 8. Elija System>Configuration>Licensing. En la página Licensing: 1. En el campo Company Name, introduzca el nombre de su empresa según aparece en el mensaje de correo electrónico enviado por Juniper. 2. En el campo License Key(s), introduzca las licencias enumeradas en el mensaje de correo electrónico enviado por Juniper. Puede seleccionar todas las licencias indicadas en el correo electrónico, copiarlas y pegarlas en el campo License Key(s). 3. Haga clic en Save Changes. La información de su código de licencia aparece en la página Licensing. Si compró NetScreen-SA Central Manager de Juniper Networks, el aspecto de la interfaz de usuario cambia a un color de fondo gris después de guardar las licencias. Las demás ilustraciones de esta guía presentan la interfaz de usuario de Central Manager. Después de instalar el paquete de actualización de IVE más reciente para su sistema operativo y registrar su licencia de IVE, estará listo para verificar la accesibilidad de los usuarios. 8 Paso 3: Actualizar y registrar la licencia del IVE Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Paso 4: Verificar la accesibilidad de los usuarios Puede crear fácilmente una cuenta de usuario en el servidor de autenticación del sistema para verificar la accesibilidad de ese usuario a su IVE. Después de crear la cuenta a través de la consola web del administrador, inicie una sesión como usuario en la página de inicio de sesión de usuarios del IVE. Para verificar la accesibilidad de los usuarios: 1. En la consola web del administrador, elija Users>New User. 2. En la página New Local User, escriba “testuser1” como nombre de usuario y una contraseña; luego haga clic en Save Changes. El IVE creará la cuenta “testuser1”. 3. En otra ventana del explorador, introduzca la URL del equipo para acceder a la página de inicio de sesión de usuarios. La URL está en el formato: https://a.b.c.d, donde a.b.c.d es la dirección IP del equipo, que introdujo en el paso 2-4. Cuando aparezca el aviso de seguridad preguntando si proceder sin un certificado firmado, haga clic en Yes. Si aparece la página de inicio de sesión del usuario, significa que se habrá conectado correctamente a su dispositivo IVE. Figura 7: Página de inicio de sesión de usuario 4. En la página de inicio de sesión, introduzca el nombre de usuario y la contraseña que creó para la cuenta del usuario y haga clic en Sign In para acceder a la página inicial del IVE para usuarios. Paso 4: Verificar la accesibilidad de los usuarios 9 Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Figura 8: Página inicial del usuario (predeterminada) 5. En el campo Address del explorador, introduzca la URL de un servidor web interno y haga clic en Browse. El IVE abrirá la página web en la misma ventana del explorador, por lo que para regresar a la página inicial del IVE, deberá hacer clic en el icono central de la barra de herramientas de navegación que aparece en la página web de destino. Figura 9: Página web interna de ejemplo con la barra de herramientas para examinar archivos 6. En la página inicial del IVE, introduzca la URL de su sitio corporativo externo y haga clic en Browse. El IVE abre la página web en la misma ventana del explorador, de modo que, para regresar a la página inicial del IVE, deberá utilizar la barra de herramientas para examinar archivos. 10 Paso 4: Verificar la accesibilidad de los usuarios Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen 7. En la página inicial del IVE, haga clic en Browsing>Windows Files para examinar los recursos compartidos disponibles para Windows o en Browsing>UNIX/NFS Files para examinar recursos compartidos en redes UNIX/NSF. Después de verificar la accesibilidad de los usuarios, regrese a la consola web del administrador para realizar el paso 5, que presenta el sistema de administración de accesos del IVE. Paso 4: Verificar la accesibilidad de los usuarios 11 Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE El IVE es un sistema flexible de administración de accesos que facilita la personalización de los accesos remotos de un usuario mediante la utilización de funciones (roles), directivas de recursos, servidores de autenticación, territorios de autenticación y directivas de inicio de sesión. Para que pueda comenzar a trabajar rápidamente con estas entidades, IVE se suministra de fábrica con ajustes predeterminados para cada una de ellas. Esta sección describe estos preajustes del sistema y muestra cómo crear cada entidad de administración de accesos mediante las siguientes tareas: Definir una función de usuario .................................................................12 Definir una directiva de recursos..............................................................15 Definir un servidor de autenticación .........................................................18 Definir un territorio de autenticación ........................................................20 Definir una directiva de inicio de sesión ...................................................23 El IVE reconoce dos tipos de usuarios: Administrators — Un administrador es una persona que puede ver y modificar los ajustes de configuración del IVE. Creará la primera cuenta de administrador a través de la consola serie. Users — Un usuario es una persona que utiliza el IVE para acceder a los recursos corporativos de acuerdo con la configuración definida por un administrador. Creará la primera cuenta de usuario (testuser1) en el “Paso 4: Verificar la accesibilidad de los usuarios” en la página 9. El siguiente supuesto de prueba se centra en utilizar los elementos de administración de accesos del IVE para configurar los parámetros de acceso de un usuario. Para obtener información sobre los ajustes predeterminados del sistema para administradores, consulte “Ajustes predeterminados para administradores” en la página 27. Definir una función de usuario Una función de usuario es una entidad que define parámetros de sesión, ajustes de personalización y funciones de acceso habilitadas para los usuarios.1 El IVE asigna a cada usuario autenticado una o más funciones. Las opciones especificadas para las funciones definen a qué tipo de recursos puede acceder el usuario durante la sesión de IVE. 1. Las funciones de acceso son la navegación web, la navegación en sistemas de archivos, Secure Application Manager, Telnet/SSH, Terminal Services de Windows, Network Connect, Secure Meeting y Secure Email Client. 12 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen El IVE se suministra preconfigurado con una función de usuario llamada “Users”. Esta función predefinida habilita las funciones de acceso a web y archivos, permitiendo a cualquier usuario asignado a la función Users su acceso a Internet, a servidores web corporativos y a cualquier servidor de archivos Windows o UNIX/NFS disponible. Puede ver esta función en la página Users>Roles. Después de habilitar una característica de acceso para una función (en la página Users>Roles>RoleName), configure las opciones apropiadas correspondientes y accesibles desde la ficha de configuración de características de acceso. Para definir una función de usuario: 1. En la consola web del administrador, elija Users>Roles. 2. En la página Roles, haga clic en New Role. 3. En la página New Role, escriba “Test Role” en el campo Name y haga clic en Save Changes. Espere a que el IVE muestre la página General>Overview correspondiente a Test Role. 4. En la página Overview, seleccione la casilla de verificación Web bajo Access features y haga clic en Save Changes. 5. Elija Web>Options. 6. Bajo Browsing, seleccione la casilla de verificación User can type URLs y haga clic en Save Changes. Una vez completados estos pasos, habrá definido una función de usuario. Cuando cree directivas de recursos, podrá aplicarlas a esta función. También podrá asignar usuarios a esta función mediante reglas de asignación definidas para un territorio de autenticación. Para crear rápidamente una función de usuario que habilite el acceso a web y a examinar archivos, duplique la función Users y habilite las características de acceso adicionales que desee. Figura 10: Página Users > Roles > New Role Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE 13 Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Figura 11: Users > Roles > Test Role > General > Overview 14 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Definir una directiva de recursos Una directiva de recursos es una regla del sistema que especifica: Recursos a los que debe aplicarse la directiva (como URLs, servidores y archivos), Usuarios a los que debe aplicarse la directiva (especificados mediante funciones y otras variables de la sesión), y Si el IVE debe permitir el acceso a un recurso o ejecutar una acción. El IVE está preconfigurado con dos tipos de directivas de recursos: Web Access — La directiva de recursos predefinida Web Access permite a todos los usuarios acceder a Internet y a todos los servidores web corporativos a través del IVE. De forma predeterminada, esta directiva de recursos es aplicable a la función Users. Windows Access — La directiva de recursos predefinida Windows Access permite a todos los usuarios asignados a la función Users acceder a todos los servidores corporativos de archivos Windows. De forma predeterminada, esta directiva de recursos es aplicable a la función Users. Puede ver las directivas predeterminadas de recursos web y de archivos en las páginas Resource Policies>Web>Access y Resource Policies>Files>Windows>Access. Si le preocupa que los usuarios tengan acceso a todos sus contenidos web y de archivos, elimine las directivas predeterminadas de acceso a web y a archivos, Web Access y Windows Access. Para definir una directiva de recursos: 1. En la consola web del administrador, elija Resource Policies>Web>Access. 2. En la página Web Access Policies, haga clic en New Policy. 3. En la página New Policy: 1. En el campo Name, escriba: Test Web Access 2. En el campo Resources, escriba: http://www.google.com 3. Bajo Roles, active Policy applies to SELECTED roles y seleccione “Test Role” en el campo Available Roles; a continuación, haga clic en Add para moverlo al campo Selected Roles. 4. Bajo Action, seleccione Deny access. 5. Haga clic en Save Changes. El IVE agrega “Test Web Access” a la página Web Access Policies. Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE 15 Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen 4. En la página Web Access Policies, haga clic en la casilla de verificación junto a “Test Web Access” en la lista Policies. El IVE resalta la fila de la tabla en amarillo. 5. Haga clic en la flecha ascendente en la parte superior de la página para mover la fila “Test Web Access” por encima de la fila integrada “Initial Open Policy” y, a continuación, haga clic en Save Changes. El IVE procesa las directivas de recursos por orden, comenzando por la primera directiva de la lista. Para asegurarse de que el IVE aplique las restricciones de recursos correspondientes a los usuarios, ordene las directivas de la lista en función de su nivel de restricción, colocando la directiva más restrictiva en el primer puesto de la lista. Una vez completados estos pasos, habrá configurado una directiva de recursos de control de accesos a la web. Observe que, aunque la siguiente directiva de la lista Web Access Policies permite a todos los usuarios acceder a todos los recursos web, se continúa prohibiendo a los usuarios asignados a Test Role el acceso a http://www.google.com, ya que cumplen las condiciones de la primera directiva, Test Web Access, que tiene prioridad sobre la siguiente. 16 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Figura 12: Resource Policies > Web > Access > New Policy Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE 17 Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Figura 13: Resource Policies > Web > Access — Cambiar el orden de las directivas Definir un servidor de autenticación Un servidor de autenticación es una base de datos que almacena las credenciales de los usuarios (nombre y contraseña) y, normalmente, información sobre el grupo y atributos. Cuando un usuario se conecta al IVE, debe especificar un territorio de autenticación, que está asociado a un servidor de autenticación. El IVE reenvía las credenciales del usuario a este servidor de autenticación para verificar su identidad. El IVE admite los servidores de autenticación más comunes, como Windows NT Domain, Active Directory, RADIUS, LDAP, NIS, RSA ACE/Server y Netegrity SiteMinder, lo que permite crear una o más bases de datos locales de usuarios que son autenticados por el IVE. El IVE viene preconfigurado con un servidor de autenticación local para usuarios llamado “System Local”. Este servidor de autenticación local predefinido es una base de datos del IVE que permite crear rápidamente cuentas de usuario para su autenticación. Esta funcionalidad proporciona la flexibilidad necesaria para realizar pruebas y para permitir el acceso a terceros, eliminando la necesidad de crear cuentas de usuario en un servidor de autenticación externo. Puede ver el servidor de autenticación local predeterminado en la página System>Signing In> Servers. El IVE también es compatible con servidores de autorizaciones. Un servidor de autorizaciones (o servidor de directorios) es una base de datos que almacena información sobre los atributos de los usuarios y grupos. Puede configurar un territorio de autenticación de modo que utilice un servidor de directorios con el fin de consultar atributos del usuario o información del grupo, que se utilizarán en las reglas y directivas de recursos durante la asignación de funciones. Para definir un servidor de autenticación: 1. En la consola web del administrador, elija System>Signing In>Servers. 2. En la página Servers, elija IVE Authentication en la lista New y haga clic en New Server. 18 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen 3. En la página New IVE Authentication, escriba “Test Server” en el campo Name y haga clic en Save Changes. Espere a que el IVE le notifique que los cambios se han guardado, después de lo cual aparecerán fichas de configuración adicionales. 4. Haga clic en la ficha Users y luego en New. 5. En la página New Local User, escriba “testuser2” en el campo Username, escriba una contraseña y haga clic en Save Changes para crear la cuenta del usuario en el servidor de autenticación Test Server. Una vez completados estos pasos, habrá creado un servidor de autenticación que contendrá una cuenta de usuario. Este usuario podrá conectarse a un territorio de autenticación que utilice el servidor de autenticación Test Server. Figura 14: System > Signing In > Servers > New Server Figura 15: System > Signing In > Servers > Test Server > New User Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE 19 Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Figura 16: System > Signing In > Servers Definir un territorio de autenticación Un territorio de autenticación es una agrupación de recursos de autenticación, a saber: Un servidor de autenticación, que verifica la identidad del usuario. El IVE reenvía las credenciales enviadas desde la página de inicio de sesión a un servidor de autenticación. Una directiva de autenticación, que especifica qué requisitos de seguridad del territorio deberán cumplirse para que el IVE envíe las credenciales a un servidor de autenticación para su verificación. Un servidor de directorios, que es un servidor LDAP que proporciona información de atributos de usuario y de grupo al IVE para su utilización en las reglas y directivas de recursos durante la asignación de funciones (opcional). Reglas de asignación de funciones, que son condiciones que un usuario debe satisfacer para que el IVE asigne al usuario a unas o más funciones. Estas condiciones se basan en la información devuelta por el servidor de directorios del territorio, el nombre de usuario de la persona o los atributos del certificado. El IVE se suministra preconfigurado con un territorio de usuarios llamado “Users”. Este territorio predefinido utiliza el servidor de autenticación System Local, una directiva de autenticación que requiere una longitud de contraseña mínima de cuatro caracteres, no utiliza servidor de directorios, y contiene una regla de asignación de funciones que asigna la función Users a todos los usuarios que inicien una sesión en el territorio Users. La cuenta “testuser1” que se creó en el “Paso 3: Actualizar y registrar la licencia del IVE” en la página 7 forma parte del territorio Users, porque se creó en el servidor de autenticación System Local. La cuenta “testuser2” creada en “Definir un servidor de autenticación” en la página 18 no forma parte del territorio Users, porque se creó en el nuevo servidor de autenticación “Test Server”, que ese territorio no utiliza. Puede ver el territorio de autenticación de usuarios predeterminado en la página Users>Authentication. 20 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Para definir un territorio de autenticación: 1. En la consola web del administrador, elija Users>Authentication. 2. En la página User Authentication Realms, haga clic en New. 3. En la página New Authentication Realm: 1. En el campo Name, escriba: Test Realm 2. Bajo Servers, elija “Test Server” en la lista Authentication server. 3. Haga clic en Save Changes. Espere a que el IVE le notifique que los cambios han sido guardados y a que aparezcan las fichas de configuración del territorio. 4. En la ficha Role Mapping, haga clic en New Rule. 5. En la página Role Mapping Rule: 1. Bajo Rule: If username..., escriba “testuser2” en el campo del valor. 2. Bajo ...then assign these roles, elija “Test Role” en el campo Available Roles y haga clic en Add para moverlo al campo Selected Roles. 3. Haga clic en Save Changes. Una vez completados estos pasos, habrá terminado de crear un territorio de autenticación. Este territorio utiliza Test Server para autenticar usuarios y una regla de asignación de función que asigna “testuser2” a la función Test Role. Dado que la directiva de recursos Test Web Access es aplicable a Test Role, ningún usuario asignado a esta función puede acceder a http://www.google.com. Figura 17: Users > Authentication > New Realm Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE 21 Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Figura 18: Users > Authentication > Test Server > New Rule 22 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Definir una directiva de inicio de sesión Una directiva de inicio de sesión es una regla del sistema que especifica: La URL en la que un usuario puede iniciar una sesión en el IVE, Una página de inicio de sesión a mostrar al usuario, Si el usuario debe o no escribir o seleccionar un territorio de autenticación al que el IVE envía credenciales, y Los territorios de autenticación a los que la directiva es aplicable. Los dispositivos IVE de las series All Access Series y Access Series FIPS vienen preconfigurados con una directiva de inicio de sesión aplicable a los usuarios: */ . Esta directiva predeterminada de inicio de sesión de usuarios (*/) especifica que cuando un usuario introduce la URL del IVE, el IVE muestra la página predeterminada de inicio de sesión y exige al usuario seleccionar un territorio de autenticación (si existe más de uno). La directiva */ de inicio de sesión está configurada para ser aplicable al territorio de autenticación Users, por lo que esta directiva de inicio de sesión no es aplicable al territorio de autenticación creado en “Definir un territorio de autenticación” en la página 20. Puede ver la directiva predeterminada de inicio de sesión de usuarios en la página System>Signing In>Sign-in Policies. Si su IVE dispone de una licencia de actualización Secure Meeting Upgrade, la directiva de inicio de sesión */meeting también aparece en esta página. Esta directiva permite personalizar la página de inicio de sesión para reuniones seguras. La directiva predeterminada de inicio de sesión es aplicable a todos los usuarios. Puede modificar la URL de la página de inicio de sesión de usuarios del IVE agregando a la ruta, por ejemplo “*/empleados”, pero no puede crear directivas de inicio de sesión adicionales a menos que compre la licencia Advanced para su IVE. Para definir una directiva de inicio de sesión: 1. En la consola web del administrador, elija System>Signing In>Sign-in Policies. 2. En la página Sign-in Policies, haga clic en */. 3. En la página */ : 1. En el campo Sign-in URL, escriba “test” después de “*/.” 2. Bajo Authentication realm, seleccione User picks from a list of authentication realms y luego “Test Realm” en el campo Available Roles; a continuación, haga clic en Add para moverlo al campo Selected Roles. (Repita este proceso para la función Users si aún no se encuentra en el campo Selected Roles). 3. Haga clic en Save Changes. Una vez completados estos pasos, habrá terminado de modificar la directiva predeterminada de inicio de sesión de usuarios. Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE 23 Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Opcional: 1. Elija System>Signing In>Sign-in Pages y haga clic en New Page. 2. En la página New Sign-In Page, escriba “Test Sign-in Page” en el campo Name, escriba “#FF0000” (rojo) en el campo Background color y haga clic en Save Changes. 3. Elija System>Signing In>Sign-in Policies y haga clic en */test/ bajo User URLs. 4. En la página */test/, elija “Test Sign-in Page” en la lista Sign-in page y haga clic en Save Changes. Después de completar estos pasos opcionales, habrá terminado de definir una nueva página de inicio de sesión asociada a la directiva de inicio de sesión “*/test/”. Figura 19: System > Signing In > Sign-in Policies > */ 24 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Figura 20: System > Signing In > Sign-in Pages > New Page — Página nueva opcional de inicio de sesión Figura 21: System > Signing In > Sign-in Policies > */test/ — Usar nueva página de inicio de sesión Utilizar el supuesto de prueba El supuesto de prueba le permite: Acceder a la consola web del usuario utilizando la directiva predeterminada modificada de inicio de sesión Iniciar una sesión en el territorio Test Realm como el usuario creado en Test Server Comprobar sus posibilidades de navegación web, que dependen de una configuración correcta de Test Role y Test Web Access Para utilizar el supuesto de prueba: 1. En un explorador web, introduzca la URL del equipo seguida de “/test” para acceder a la página de inicio de sesión del usuario. La URL está en el formato: https://a.b.c.d/test, donde a.b.c.d es la dirección IP del equipo que introdujo en el paso 2-4. Cuando aparezca el aviso de seguridad preguntando si proceder sin un certificado firmado, haga clic en Yes. Si aparece la página de inicio de sesión del usuario, significa que se habrá conectado correctamente a su dispositivo IVE. Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE 25 Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Figura 22: Página de inicio de sesión de usuario Si realizó los pasos de configuración opcionales de “Definir una directiva de inicio de sesión” en la página 23, el color del encabezado será rojo. 2. En la página de inicio de sesión, escriba el nombre de usuario y la contraseña creada para esa cuenta de usuario en Test Server, seleccione “Test Realm” en la lista Realm y haga clic en Sign In para acceder a la página inicial de IVE para usuarios. El IVE reenviará las credenciales a Test Realm, configurado para utilizar Test Server. Tras la verificación correcta por parte de este servidor de autenticación, el dispositivo IVE procesa la regla de asignación de función definida para Test Realm, que asigna “testuser2” a la función Test Role. Test Role habilitará la navegación web para los usuarios. Figura 23: Página inicial del usuario 3. En el campo Address del explorador, introduzca la URL de su página web corporativa y haga clic en Browse. El IVE abrirá la página web en la misma ventana del explorador, por lo que para regresar a la página inicial del IVE, deberá hacer clic en el icono central de la barra de herramientas de navegación que aparece en la página web de destino. 26 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen 4. En la página inicial del IVE, escriba “www.google.com” y haga clic en Browse. El IVE mostrará un mensaje de error, porque la directiva de recursos Test Web Access deniega el acceso a este sitio a todos los usuarios asignados a Test Role. Figura 24: Ejemplo de un mensaje de error de recurso denegado 5. Regrese a la página inicial del IVE, haga clic en Sign Out y luego regrese a la página de inicio de sesión del usuario. 6. Introduzca las credenciales de testuser1, seleccione el territorio Users y haga clic en Sign In. 7. En la página inicial del IVE, escriba “www.google.com” y haga clic en Browse. Se abrirá la página web del IVE en la misma ventana del explorador. Este supuesto de prueba muestra los mecanismos de administración de accesos del IVE. Puede crear reglas de asignación de funciones y directivas de recursos muy sofisticadas para controlar los accesos de los usuarios en función de factores tales como una directiva de autenticación de un territorio, la pertenencia de un usuario a un grupo y otras variables. Para obtener más información sobre la administración de accesos del IVE, recomendamos que se tome unos minutos para leer la ayuda en línea y familiarizarse con su contenido. Cuando configure el IVE para su empresa, le recomendamos que configure los accesos de usuarios en el orden presentado en esta sección. Para obtener información detallada sobre la configuración, consulte la ayuda en línea o el archivo PDF de la guía de administración, disponible tanto en la ayuda en línea como en nuestro sitio web de Soporte Técnico. Antes de poner su IVE disponible para las ubicaciones externas, recomendamos que importe un certificado de firma digital de una autoridad de certificación fiable (CA). Ajustes predeterminados para administradores Igual que para los usuarios, el IVE proporciona ajustes predeterminados que permiten configurar rápidamente cuentas de administradores. Esta lista resume los ajustes predeterminados del sistema para los administradores: Ajustes predeterminados para administradores 27 Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen Funciones de administrador .Administrators — Esta función integrada permite a los administradores administrar todos los aspectos del IVE. El usuario administrador que creó en la consola serie está asignado a esta función. .Read-Only Administrators — Esta función integrada permite a usuarios asignados a la función ver (pero no configurar) todos los ajustes del IVE. Si desea restringir los accesos de los administradores, deberá asignarles a esta función. Necesita disponer de una licencia Advanced para poder crear funciones de administrador adicionales. 28 Administrators local authentication server (El servidor de autenticación Administrators) — El servidor de autenticación Administrators es una base de datos de IVE en la que se almacenan cuentas de administradores. La primera cuenta de administrador en este servidor se crea a través de la consola serie. (El IVE agrega a este servidor todas las cuentas de administrador creadas a través de la consola serie). No puede eliminar este servidor local. Admin Users authentication realm (El territorio de autenticación Admin Users) — El territorio de autenticación Admin Users utiliza el servidor de autenticación predeterminado Administrators, una directiva de autenticación que requiere una longitud mínima de contraseña de cuatro caracteres, ningún servidor de directorios y contiene una regla de asignación de función que asigna a todos los usuarios que inicien una sesión en el territorio Admin Users a la función .Administrators. La cuenta de administrador que creó en la consola serie es parte del territorio Admin Users. Directiva de inicio de sesión */admin — La directiva predeterminada de inicio de sesión (*/admin) especifica que cuando un usuario introduce la URL del IVE seguida de “/admin,” el IVE muestra la página predeterminada de inicio de sesión para administradores. Esta directiva también obliga al administrador a seleccionar un territorio de autenticación (si existe más de uno). La directiva de inicio de sesión */admin está configurada para ser aplicable al territorio de autenticación Admin Users, por lo que esta directiva de inicio de sesión es aplicable a la cuenta de administrador creada a través de la consola serie. Ajustes predeterminados para administradores Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5". Juniper Networks, Inc. tiene oficinas de ventas en todo el mundo. Si desa ponerse en contacto con nosotros, visite www.juniper.net. 093-1228-000-ES A book with .25" spine would cut here. A book with 2.5" spine would cut here. Juniper Networks, Inc. Impreso en papel reciclado Juniper Networks, Inc. A 1.25" spine would fold here. A 2.5" spine would fold here. NetScreen Secure Access NetScreen Secure Access FIPS Quick Start NetScreen Instant Virtual Extranet Platform Cover size is 8.3 x 10.75". This is the hardware version: has blue line and blue bar Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 EE.UU. Tel. 408 745 2000 Fax 408 745 2100 ™ SEDE CENTRAL M320 Internet Router Hardware Guide ™ M-series Routing Platforms www.juniper.net