Juniper CLI

NetScreen conceptos y ejemplos
Manual de referencia de ScreenOS

Volumen 3: Administracin
ScreenOS 5.1.0 Ref. 093-1368-000-SP Revisin B
Copyright Notice
Copyright 2004 Juniper Networks, Inc. All rights reserved. Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies. Information in this document is subject to change without notice. No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from: Juniper Networks, Inc. ATTN: General Counsel 1194 N. Mathilda Ave. Sunnyvale, CA 94089-1206
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with NetScreens installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR NETSCREEN REPRESENTATIVE FOR A COPY.
Contenido
Contenido
Prefacio ......................................................................... v
Convenciones ........................................................... vi
Convenciones de la interfaz de lnea de comandos (CLI) ...................................................... vi Convenciones de la interfaz grfica (WebUI) ..............vii Convenciones para las ilustraciones........................... ix Convenciones de nomenclatura y conjuntos de caracteres .................................................................... x Secure Shell................................................................ 17 Requisitos del cliente ........................................... 19 Configuracin bsica de SSH en el dispositivo NetScreen ............................................................ 19 Autenticacin ...................................................... 21 SSH y Vsys ............................................................. 23 Clave del host...................................................... 24 Ejemplo: SSHv1 con PKA para inicios de sesin automatizados ..................................................... 25 Secure Copy (SCP) ..................................................... 26 Consola serie ............................................................. 27 Puerto de mdem................................................ 28
Documentacin de NetScreen de Juniper Networks .................................................. xi
Captulo 1 Administracin ............................................1

Administracin a travs de la interfaz de usuario web ..........................................................3
Ayuda de la interfaz grfica (WebUI)............................4 Copia de los archivos de ayuda a una unidad local ................................................4 Desvo de WebUI a la nueva ubicacin de la ayuda ...........................................................4 HTTP...............................................................................5 Identificacin de sesin .........................................5 Secure Sockets Layer....................................................8 Configuracin de SSL ...........................................10 Redireccionamiento de HTTP a SSL ......................12
Administracin a travs de NetScreen-Security Manager ..................................................................30

Inicio de la conectividad entre el agente y Management System .............................................. 31 Habilitacin, inhabilitacin y desactivacin del agente ................................................................. 32 Cambio de la direccin del servidor Management System ................................................. 33 Ejemplo: Establecer la direccin IP del servidor principal ........................................... 33 Ajuste de los parmetros de informes ........................ 34 Ejemplo: Habilitar la generacin de informes de alarmas y estadsticas .................................... 35 Sincronizacin de la configuracin ........................... 36 Ejemplo: Visualizar al estado de la configuracin............................................. 36 Ejemplo: Consultar el hash de la configuracin.. 37 i
Administracin a travs de la interfaz de lnea de comandos (CLI)...................................................14

Telnet ..........................................................................14 Conexiones Telnet seguras...................................15 Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin
Contenido Marca de hora de configuracin ..............................38 Ejemplo: Consultar la marca de hora de configuracin.......................................................38 Cambio de nombre y contrasea de inicio de sesin del administrador....................................... 54 Ejemplo: Cambiar el nombre de inicio de sesin y la contrasea de un usuario administrador....................................................... 55 Ejemplo: Cambiar su propia contrasea ............ 56 Establecimiento de la longitud mnima de la contrasea del administrador raz ....................... 57 Restablecimiento del dispositivo con los ajustes predeterminados de fbrica ..................................... 58 Restriccin del acceso administrativo ....................... 59 Ejemplo: Restriccin de la administracin a una sola estacin de trabajo ........................... 59 Ejemplo: Restringir la administracin a una subred ....................................................... 60 Restriccin del administrador raz a acceder desde la consola................................................. 60 Tneles de VPN para trfico administrativo................ 61 Ejemplo: Administracin a travs de un tnel VPN de clave manual basado en rutas............... 63 Ejemplo: Administracin a travs de un tnel VPN de clave manual basado en directivas ....... 69
Control del trfico administrativo .............................39

Interfaces MGT y VLAN1 ..............................................40 Ejemplo: Administracin a travs de la interfaz MGT ................................................40 Ejemplo: Administracin a travs de la interfaz VLAN1 .............................................41 Interfaz administrativa.................................................42 Ejemplo: Ajuste de las opciones de la interfaz administrativa.......................................................42 IP de administracin ...................................................44 Ejemplo: Ajuste de las direcciones IP de administracin para mltiples interfaces .............45
Niveles de administracin ........................................47

Administrador raz .................................................47 Administrador de lectura/escritura .......................48 Administrador de slo lectura ..............................48 Administrador de sistema virtual...........................48 Administrador de slo lectura del sistema virtual.................................................49 Definicin de usuarios con permisos de administrador ........................................................49 Ejemplo: Agregar un administrador de slo lectura .....................................................49 Ejemplo: Modificar un administrador ...................50 Ejemplo: Eliminar un administrador ......................50 Ejemplo: Borrar una sesin de administrador.......51
Captulo 2 Supervisin de dispositivos NetScreen ......77

Almacenamiento de la informacin del registro .....78 Registro de eventos..................................................80
Visualizacin del registro de eventos ......................... 81 Ejemplo: Ver el registro de eventos segn nivel de gravedad y palabra clave .................... 82 Clasificacin y filtrado del registro de eventos.......... 83 Ejemplo: Clasificar las entradas del registro de eventos por direcciones IP ............................. 84 Descarga del registro de eventos.............................. 85 Ejemplo: Descargar el registro de eventos.......... 85
Trfico administrativo seguro....................................52

Cambiar el nmero de puerto ...................................53 Ejemplo: Cambiar el nmero de puerto ..............53
Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin
ii
Contenido Ejemplo: Descargar los eventos crticos del registro de eventos.........................................86 Ejemplo: Notificacin de sistema comprometido..................................................... 99 Ejemplo: Enviar alertas de correo electrnico... 101
Registro de trfico ....................................................87

Visualizacin del registro de trfico............................89 Ejemplo: Visualizar las entradas del registro de trfico..............................................................89 Clasificacin y filtrado del registro de trfico ......90 Ejemplo: Clasificar el registro de trfico por horas ..............................................................90 Descarga del registro de trfico ................................91 Ejemplo: Descargar un registro de trfico ...........91
Syslog .....................................................................102
Ejemplo: Habilitar mltiples servidores Syslog .... 103 WebTrends ............................................................... 104 Ejemplo: Activacin de WebTrends para eventos de notificacin ............................ 104
SNMP ......................................................................106
Resumen de implementacin.................................. 109 Ejemplo: Definir una comunidad SNMP de lectura/escritura ................................................. 110
Registro propio .........................................................92

Visualizacin del registro propio.................................92 Clasificacin y filtrado del registro propio ...........93 Ejemplo: Filtrar el registro propio por horas ..........94 Descargar el registro propio.......................................95 Ejemplo: Descargar el registro propio..................95
Tneles VPN para trfico administrativo autogenerado........................................................112

Ejemplo: Trfico autogenerado a travs de tnel basado en rutas .................................. 114 Ejemplo: Trfico autogenerado a travs de tnel basado en directivas........................... 124
Registro de recuperacin de activos.......................96

Ejemplo: Descargar el registro de recuperacin de activos ............................................................96
Contadores ............................................................135
Ejemplo: Visualizar contadores de pantalla ...... 142
Alarmas de trfico....................................................97
Ejemplo: Deteccin de intrusiones basada en directivas.........................................................98
Apndice A Archivos MIB para SNMP .........................A-I ndice ......................................................................... IX-I
iii
Contenido
iv
Prefacio
Los dispositivos NetScreen de Juniper Networks ofrecen distintas formas de administrar los equipos, ya sea de forma local o remota. En el Volumen 3, Administracin se describen los distintos mtodos para gestionar los dispositivos NetScreen y explica los niveles administrativos de ScreenOS. En este volumen tambin se describe cmo conseguir una administracin segura, ya sea local o remota, de los dispositivos NetScreen y cmo supervisar el funcionamiento de dichos dispositivos. En el apndice se describen brevemente los archivos de la base de informacin de administracin (MIB, Management Information Base) de NetScreen, que permiten la comunicacin entre los dispositivos NetScreen y las aplicaciones de administracin del protocolo SNMP.
Prefacio
Convenciones
CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las siguientes secciones: Convenciones de la interfaz de lnea de comandos (CLI) Convenciones de la interfaz grfica (WebUI) en la pgina vii Convenciones para las ilustraciones en la pgina ix Convenciones de nomenclatura y conjuntos de caracteres en la pgina x
Convenciones de la interfaz de lnea de comandos (CLI)

Las siguientes convenciones se utilizan para representar la sintaxis de los comandos de la interfaz de lnea de comandos (CLI): Los comandos entre corchetes [ ] son opcionales. Los elementos entre llaves { } son obligatorios. Si existen dos o ms opciones alternativas, aparecern separadas entre s por barras verticales ( | ). Por ejemplo: set interface { ethernet1 | ethernet2 | ethernet3 } manage significa establecer las opciones de administracin de la interfaz ethernet1, ethernet2 o ethernet3. Las variables aparecen en cursiva. Por ejemplo: set admin user name password
Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvo en el caso de las variables, que siempre aparecen en cursiva ). Por ejemplo: Utilice el comando get system para visualizar el nmero de serie de un dispositivo NetScreen. Nota: Para escribir palabras clave, basta con introducir los primeros caracteres que permitan al sistema reconocer de forma inequvoca la palabra que se est introduciendo. Por ejemplo, es suficiente escribir set adm u joe j12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54 . Aunque este mtodo se puede utilizar para introducir comandos, en la presente documentacin todos ellos se representan con sus palabras completas.
vi
Prefacio
Convenciones
Convenciones de la interfaz grfica (WebUI)

En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegacin de la WebUI por las que se pasa al hacer clic en opciones de men y vnculos. Por ejemplo, la ruta para abrir el cuadro de dilogo de configuracin de direcciones se representa como sigue: Objects > Addresses > List > New . A continuacin se muestra la secuencia de navegacin.
4 1 2 3
1. Haga clic en Objects en la columna de men. La opcin de men Objects se desplegar para mostrar las opciones subordinadas que contiene. 2. (Men Applet) Site el mouse sobre Addresses. (Men DHTML) Haga clic en Addresses. La opcin de men Addresses se desplegar para mostrar las opciones subordinadas que contiene.
3. Haga clic en List. Aparecer la tabla de libretas de direcciones. 4. Haga clic en el vnculo New. Aparecer el cuadro de dilogo de configuracin de nuevas direcciones.
vii
Prefacio
Convenciones
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de dilogo apropiado, donde podr definir objetos y establecer parmetros de ajuste. El conjunto de instrucciones de cada tarea se divide en dos partes: la ruta de navegacin y los datos de configuracin. Por ejemplo, el siguiente conjunto de instrucciones incluye la ruta al cuadro de dilogo de configuracin de direcciones y los ajustes de configuracin que se deben realizar: Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: addr_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust
Address Name: addr_1
Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.
IP Address Name/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust Haga clic en OK .
viii
Prefacio
Convenciones
Convenciones para las ilustraciones

Los siguientes grficos conforman el conjunto bsico de imgenes utilizado en las ilustraciones de este manual:
Red de rea local (LAN) con una nica subred (ejemplo: 10.1.1.0/24)
Dispositivo NetScreen genrico
Dominio de enrutamiento virtual
Internet
Zona de seguridad
Rango de direcciones IP dinmicas (DIP) Equipo de escritorio
Interfaces de zonas de seguridad Blanca = interfaz de zona protegida (ejemplo: zona Trust) Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust) Interfaz de tnel Tnel VPN Icono de enrutador (router)
Equipo porttil Dispositivo de red genrico (ejemplos: servidor NAT, concentrador de acceso)
Servidor
Icono de conmutador (switch)
ix
Prefacio
Convenciones
Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios administradores, servidores de autenticacin, puertas de enlace IKE, sistemas virtuales, tneles de VPN y zonas) definidas en las configuraciones de ScreenOS. Si la secuencia de caracteres que conforma un nombre contiene al menos un espacio, la cadena completa deber entrecomillarse mediante comillas dobles ( ); por ejemplo, set address trust local LAN 10.1.1.0/24 . NetScreen eliminar cualquier espacio al comienzo o al final de una cadena entrecomillada; por ejemplo, local LAN se transformar en local LAN. NetScreen tratar varios espacios consecutivos como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en muchas palabras clave de la interfaz de lnea de comandos pueden utilizarse indistintamente. Por ejemplo, local LAN es distinto de local lan.
ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Nota: Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador web. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
Prefacio
Documentacin de NetScreen de Juniper Networks
DOCUMENTACIN DE NETSCREEN DE JUNIPER NETWORKS

Para obtener documentacin tcnica sobre cualquier producto NetScreen de Juniper Networks, visite www.juniper.net/techpubs/. Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculo Case Manager en la pgina web http://www.juniper.net/support/ o llame al telfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama desde fuera de los EE.UU.). Si encuentra algn error o omisin en esta documentacin, pngase en contacto con nosotros a travs de la siguiente direccin de correo electrnico: techpubs-comments@juniper.net
xi
Prefacio
Documentacin de NetScreen de Juniper Networks
xii
Captulo 1
Administracin
Este captulo describe varios mtodos y herramientas de administracin, formas de asegurar el trfico administrativo y los niveles de privilegios administrativos que se pueden asignar a los usuarios con permisos de administrador. Este captulo contiene las siguientes secciones: Administracin a travs de la interfaz de usuario web en la pgina 3 Ayuda de la interfaz grfica (WebUI) en la pgina 4 HTTP en la pgina 5 Secure Sockets Layer en la pgina 8 Administracin a travs de la interfaz de lnea de comandos (CLI) en la pgina 14 Telnet en la pgina 14 Secure Shell en la pgina 17 Secure Copy (SCP) en la pgina 26 Consola serie en la pgina 27 Administracin a travs de NetScreen-Security Manager en la pgina 30 Inicio de la conectividad entre el agente y Management System en la pgina 31 Habilitacin, inhabilitacin y desactivacin del agente en la pgina 32 Cambio de la direccin del servidor Management System en la pgina 33 Ajuste de los parmetros de informes en la pgina 34 Sincronizacin de la configuracin en la pgina 36 Marca de hora de configuracin en la pgina 38
Captulo 1 Administracin
Control del trfico administrativo en la pgina 39 Interfaces MGT y VLAN1 en la pgina 40 Interfaz administrativa en la pgina 42 IP de administracin en la pgina 44 Niveles de administracin en la pgina 47 Definicin de usuarios con permisos de administrador en la pgina 49 Trfico administrativo seguro en la pgina 52 Cambiar el nmero de puerto en la pgina 53 Cambio de nombre y contrasea de inicio de sesin del administrador en la pgina 54 Restablecimiento del dispositivo con los ajustes predeterminados de fbrica en la pgina 58 Restriccin del acceso administrativo en la pgina 59 Tneles de VPN para trfico administrativo en la pgina 61
Administracin a travs de la interfaz de usuario web
ADMINISTRACIN A TRAVS DE LA INTERFAZ DE USUARIO WEB

Para realizar las tareas administrativas con mayor facilidad y comodidad, puede utilizar la interfaz de usuario web (WebUI). Los dispositivos NetScreen utilizan una tecnologa de web que proporciona una interfaz de servidor web para configurar y administrar el software.
Interfaz de usuario web (WebUI) Columna de mens Ayuda
Opcin para cambiar entre los mens DHTML y Applet
Panel central
Para utilizar la WebUI, debe disponer de: Netscape Communicator (versin 4.7 o posterior) o Microsoft Internet Explorer (versin 5.5 o posterior) Conexin de red TCP/IP con el dispositivo NetScreen
3
Ayuda de la interfaz grfica (WebUI)

Puede ver los archivos de ayuda de WebUI en la direccin http://help.juniper.net/help/english/screenos_version /nsplatform_number (por ejemplo, http://help.juniper.net/help/english/5.1.0/ns500). Tambin tiene la opcin de guardar los archivos de ayuda en otra ubicacin. Puede guardarlos localmente y hacer que WebUI los busque en la estacin de trabajo del administrador o en un servidor seguro de la red local. Si no dispone de acceso a Internet, almacenar los archivos de ayuda localmente proporciona una accesibilidad a los mismos que de lo contrario no tendra.
Copia de los archivos de ayuda a una unidad local

Los archivos de ayuda estn disponibles en el CD de documentacin. Puede modificar WebUI para que busque los archivos de ayuda en el CD insertado en su unidad de CD local. Tambin puede copiar los archivos del CD a un servidor de la red local o a otra unidad de su estacin de trabajo y configurar WebUI para que abra los archivos de ayuda desde ah. Nota: Si desea ejecutar los archivos de ayuda directamente desde el CD de documentacin, puede omitir este procedimiento. Contine en la seccin Desvo de WebUI a la nueva ubicacin de la ayuda que aparece ms abajo. 1. 2. 3. Cargue el CD de documentacin en la unidad de CD de su estacin de trabajo. Navegue a la unidad de CD y copie el directorio denominado help. Navegue a la ubicacin en la que desea guardar el directorio Help y pguelo ah.
Desvo de WebUI a la nueva ubicacin de la ayuda

Ahora es necesario configurar WebUI para que apunte a la nueva ubicacin del directorio de ayuda. Cambie la URL predeterminada a la nueva ruta de archivos, donde path se refiere a la ruta especfica del directorio Help de la estacin de trabajo del administrador.
1.
2.
Configuration > Admin > Management: En el campo Help Link Path, reemplace la URL predeterminada http://help.juniper.net/help/english/screenos_version/nsplatform_number por (para la unidad local) file://path/help o bien (para el servidor local) http://server_name/path/help Haga clic en Apply . Al hacer clic en el vnculo help de la esquina superior derecha de la interfaz WebUI, el dispositivo ahora utiliza la nueva ruta especificada en el campo Help Link Path para localizar el archivo de ayuda correspondiente.
HTTP
Con un explorador web estndar se puede tener acceso, supervisar y controlar remotamente las configuraciones de seguridad de la red por medio del protocolo de transferencia de hipertextos (Hypertext Transfer Protocol, HTTP). Puede hacer que el trfico administrativo de HTTP sea seguro encapsulndolo en un tnel VPN (red privada virtual) o utilizando el protocolo Secure Sockets Layer (SSL). Tambin puede asegurar el trfico administrativo separndolo totalmente del trfico de los usuarios de la red. Para ello, puede canalizar todo el trfico administrativo a travs de la interfaz MGT (disponible en algunos dispositivos NetScreen) o vincular una interfaz a la zona MGT y dedicarla exclusivamente al trfico administrativo. Nota: Para obtener ms informacin, consulte Secure Sockets Layer en la pgina 8, Tneles de VPN para trfico administrativo en la pgina 61 e Interfaces MGT y VLAN1 en la pgina 40.
Identificacin de sesin
El dispositivo NetScreen asigna a cada sesin administrativa de HTTP un identificador de sesin nico. En los dispositivos NetScreen que admiten sistemas virtuales (vsys), el identificador es exclusivo a nivel mundial en cada sistema: raz (root) y virtual (vsys).
Cada identificador de sesin es un nmero de 39 bytes resultante de combinar cinco nmeros generados de forma pseudo-aleatoria. A diferencia de los esquemas numricos incrementales simples, la aleatoriedad en la generacin del identificador hace que ste sea casi imposible de predecir. Adems, dicha aleatoriedad combinada con la longitud del identificador hace que la duplicacin accidental de un mismo identificador para dos sesiones administrativas simultneas resulte extremadamente improbable.
A continuacin se explican dos ventajas que el uso de identificadores de sesin proporciona a los administradores de NetScreen: El dispositivo NetScreen puede distinguir varias sesiones simultneas de mltiples administradores detrs de un dispositivo NAT que asigne la misma direccin IP de origen a todos los paquetes salientes.
Dispositivo NAT Traduce todas las direcciones Dispositivo NetScreen IP de origen a 10.1.1.2
ORIG DEST 10.2.2.5 10.1.1.1 DATOS ORIG DEST 10.1.1.2 10.1.1.1 DATOS
Admin-A Direccin IP de origen: 10.2.2.5 Admin-B Direccin IP de origen: 10.2.2.6
ORIG DEST 10.2.2.6 10.1.1.1 DATOS
ORIG DEST 10.1.1.2 10.1.1.1 DATOS
Direccin IP de la interfaz: 10.1.1.1/24
El dispositivo NetScreen asigna a cada sesin un nmero nico de identificacin, que utiliza para distinguir una sesin de otra.
El dispositivo NetScreen puede distinguir diferentes sesiones administrativas de nivel raz simultneas procedentes de una misma direccin IP de origen y dirigidas al sistema raz, y desde all a diversos sistemas virtuales.
Admin raz 2.2.2.5

ORIG DEST 2.2.2.5 1.1.1.1 DATOS 2.2.2.5 1.1.1.1 DATOS 2.2.2.5 1.1.1.1 DATOS
Sistema raz 1.1.1.1
Dispositivo NetScreen El dispositivo NetScreen asigna a cada sesin un nmero nico de identificacin, que utiliza para poder distinguir las sesiones procedentes de un mismo host y dirigidas a diversos sistemas raz y virtuales.
ROOT VSYS1 VSYS2
Secure Sockets Layer

El nivel de sockets seguro (SSL, Secure Sockets Layer) es un conjunto de protocolos que permiten establecer una conexin segura entre un cliente web y un servidor web a travs de una red TCP/IP. SSL se compone del Protocolo de Enlace de SSL (SSLHP, SSL Handshake Protocol), que permite a los equipos servidor y cliente autenticarse y negociar un mtodo de encriptacin, y del Protocolo de Registro de SSL (SSLRP, SSL Record Protocol), que proporciona servicios bsicos de seguridad a los protocolos de nivel superior, tales como HTTP. Estos dos protocolos trabajan en las dos siguientes capas del modelo OSI (Open Systems Interconnection): SSLHP en la capa de aplicacin (capa 7) SSLRP en la capa de presentacin (capa 6) Al ser independiente del protocolo de aplicacin, SSL utiliza TCP para proporcionar servicios seguros. SSL utiliza certificados para autenticar primero el servidor o bien el cliente y el servidor, y luego para encriptar el trfico enviado durante la sesin. NetScreen solamente admite autenticarse desde el servidor (dispositivo NetScreen), no desde el cliente (administrador intentando conectarse al dispositivo NetScreen a travs de SSL).
Alicia (cliente SSL) establece contacto con el dispositivo NetScreen (servidor de SSL) para iniciar una sesin. El dispositivo NetScreen enva a Alicia un certificado y le propone utilizar una clave de cifrado secreta (3DES, DES, RC4 o RC4-40), un mtodo de compresin (PKZip o gzip) y un algoritmo hash (SHA-1 o MD5). Alicia encripta un nmero aleatorio con la clave pblica en el certificado y lo devuelve con una lista de los elementos propuestos que ella acept. (Mientras tanto, Alicia utiliza el nmero aleatorio y la clave de cifrado acordada para crear una clave secreta). El dispositivo NetScreen utiliza su clave privada para desencriptar el nmero. A continuacin, utiliza ese nmero y la clave de cifrado secreta acordada para crear una clave secreta. El dispositivo NetScreen y Alicia utilizan su clave secreta compartida para encriptar el trfico que intercambian.Tambin utilizan el mtodo de compresin acordado para comprimir datos y el algoritmo hash acordado para generar un hash de los datos y as proporcionar integridad al mensaje.
Dispositivo NetScreen (Servidor SSL)
Alicia, administrador de NetScreen (Cliente SSL)
Un dispositivo NetScreen puede redirigir trfico administrativo usando HTTP (puerto predeterminado 80) a SSL (puerto predeterminado 443). El certificado predeterminado para SSL es el certificado autofirmado generado automticamente, aunque posteriormente puede utilizar otro certificado si lo desea. Dado que SSL lleva integrada la administracin de claves/certificados PKI, puede seleccionar cualquiera de los certificados SSL que aparecen en la lista de certificados. Tambin puede utilizar el mismo certificado para una VPN IPSec. Nota: Para obtener informacin sobre la redireccin del trfico HTTP administrativo a SSL, consulte Redireccionamiento de HTTP a SSL en la pgina 12. Para obtener informacin sobre certificados autofirmados, consulte Certificados autofirmados (Self-Signed Certificates) en la pgina 5-47). Para ms informacin sobre la obtencin de certificados, consulte Certificados y CRLs en la pgina 5-29. La implementacin del protocolo SSL en ScreenOS proporciona las siguientes posibilidades, compatibilidades e integracin: Autenticacin del servidor SSL (no autenticacin de servidor y cliente SSL); es decir, el dispositivo NetScreen se autentica ante el administrador intentando conectarse a travs de SSL, pero el administrador no utiliza SSL para autenticarse ante el dispositivo. Compatibilidad con SSL versin 3 (no con la versin 2) Compatibilidad con Netscape Communicator 4.7x y versiones ms recientes y con Internet Explorer 5.x y versiones ms recientes1 Integracin de la administracin de claves de la infraestructura de claves pblicas (PKI) (consulte Criptografa de claves pblicas en la pgina 5-23.) Los siguientes algoritmos de codificacin para SSL: RC4-40 con teclas de 40 bits RC4 con teclas de 128 bits DES: Data Encryption Standard con teclas de 56 bits 3DES: Triple DES con teclas de 168 bits
1.
Compruebe el nivel de encriptacin (cifrado) de su explorador web y cules son los tipos que admite. (Tanto el dispositivo NetScreen como su explorador web deben admitir los mismos tipos y niveles de encriptacin que desee utilizar para SSL). En Internet Explorer 5x, haga clic en Help , About Internet Explorer , y compruebe el valor de Cipher Strength. Para obtener el paquete de seguridad avanzada, haga clic en el enlace Update Information . En Netscape Communicator, haga clic en Help , About Communicator , y compruebe la seccin sobre RSA. Para modificar los ajustes de configuracin SSL, haga clic en Security Info , Navigator , Configure SSL v3 .
Los algoritmos de autenticacin son los mismos para SSL que para VPNs: Message Digest versin 5 (MD5), teclas de 128 bits Secure Hash Algorithm versin 1 (SHA-1), teclas de 160 bits Nota: Los algoritmos RC4 siempre van emparejados con MD5, mientras que DES y 3DES van con SHA-1.
Configuracin de SSL
Los pasos bsicos para configurar SSL son los siguientes: 1. Utilice el certificado autofirmado que el dispositivo NetScreen genera automticamente durante su arranque inicial, cree otro certificado autofirmado, u obtenga un certificado firmado por una CA y crguelo en el 2 dispositivo NetScreen . Nota: Para obtener ms informacin acerca de los certificados autofirmados, consulte Certificados autofirmados (Self-Signed Certificates) en la pgina 5-47. Para obtener los detalles sobre cmo solicitar y cargar un certificado, consulte Certificados y CRLs en la pgina 5-29. 2. Habilite la administracin de SSL3:
WebUI
Configuration > Admin > Management: Introduzca los siguientes datos y haga clic en Apply : SSL: (seleccione) Port: Utilice el nmero de puerto predeterminado (443) o cambelo a otro . Certificate: Seleccione en la lista desplegable el certificado que desea utilizar.
2. 3. 4. Asegrese de especificar una longitud de bits que tambin admita su explorador web. SSL est habilitado de forma predeterminada. Si modifica el nmero de puerto SSL, los administradores deben especificar el nmero de puerto no predeterminado al introducir la URL en su explorador web.
4
10
Cipher: Seleccione en la lista desplegable la encriptacin que desea utilizar.
CLI
set ssl port num 5 set ssl cert id_num set ssl encrypt { { 3des | des } sha-1 | { rc4 | rc4-40 } | md5 } set ssl enable save Configure la interfaz a travs de la cual se administra el dispositivo NetScreen para permitir la administracin de SSL:
3.
WebUI
Network > Interfaces > Edit (para la interfaz que desea administrar): Active la casilla de verificacin del servicio de administracin de SSL y despus haga clic en OK .
CLI
set interface interface manage ssl save 4. Conctese al dispositivo NetScreen a travs del puerto de SSL. Es decir, cuando escriba la direccin IP de administracin del dispositivo NetScreen en el campo URL de su explorador, cambie http por https y agregue al final de la direccin IP dos puntos, seguidos del nmero de puerto HTTPS (SSL) si es diferente al predeterminado, (por ejemplo, https://123.45.67.89:1443).
5.
Para averiguar el nmero de identificacin de un certificado, utilice el comando siguiente: get pki x509 list cert .
11
Redireccionamiento de HTTP a SSL

Un dispositivo NetScreen puede redirigir trfico administrativo utilizando HTTP (puerto predeterminado 80) a SSL (puerto predeterminado 443).
Redireccin HTTP-a-SSL
HTTP-Get Texto puro Respuesta HTTP Alicia (administrador de NetScreen) Instrucciones para redirigir de HTTP a HTTPS Conexin de SSL Puerto de destino 443 Puerto de destino 80 Dispositivo NetScreen Durante el establecimiento de conexin de SSL, el dispositivo NetScreen enva a Alicia su certificado. Alicia encripta un nmero aleatorio con la clave pblica que se incluye en el certificado y lo devuelve al dispositivo NetScreen, que utiliza su clave privada para desencriptar el nmero. Ambos participantes utilizan el nmero aleatorio compartido y una clave de cifrado secreta negociada (3DES, DES, RC4, o RC4-40) para crear una clave secreta compartida, que utilizan para encriptar el trfico entre ellos. Tambin utilizan el mtodo de compresin acordado (PKZip or gzip) para comprimir datos y el algoritmo hash acordado (SHA-1 or MD-5) para generar un hash de los datos y as proporcionar integridad al mensaje.
HTTP-Get Encriptado
Para habilitar el redireccionamiento y utilizar certificado autofirmado generado automticamente para SSL, lleve a cabo cualquiera de los siguientes procedimientos:
WebUI
Configuration > Admin > Management: Introduzca los siguientes datos y haga clic en Apply : Redirect HTTP to HTTPS: (seleccione) Certificate: Default System Self-Signed Cert
12
CLI
set admin http redirect save
6
Aunque HTTP no proporciona la seguridad que da SSL, puede configurar el dispositivo NetScreen de modo que no redirija trfico HTTP. Para desactivar el mecanismo de redireccionamiento de HTTP a SSL, desactive la opcin Redirect HTTP to HTTPS (WebUI), o introduzca el comando unset admin http redirect (CLI).
6.
No tiene que introducir un comando CLI para aplicar el certificado autofirmado generado automticamente para su uso con SSL porque el dispositivo NetScreen lo aplica a SSL de forma predeterminada. Si previamente ha asignado otro certificado para su uso con SSL y ahora desea utilizar el certificado predeterminado en su lugar, debe desasignar el certificado anterior con el siguiente comando: unset ssl cert id_num , donde id_num es el nmero de identificacin del certificado asignado previamente.
13
Administracin a travs de la interfaz de lnea de comandos (CLI)
ADMINISTRACIN A TRAVS DE LA INTERFAZ DE LNEA DE COMANDOS (CLI)

Los administradores avanzados pueden aumentar el grado de control utilizando la interfaz de lnea de comandos (CLI). Para configurar un dispositivo NetScreen con la interfaz CLI , puede utilizar cualquier software que emule un terminal VT100. Con un emulador de terminal, puede configurar el dispositivo NetScreen abriendo una consola en cualquier sistema operativo Windows, UNIX o Macintosh . Para administrar remotamente utilizando la interfaz CLI , utilice Telnet o Secure Shell (SSH). Si dispone de una conexin directa a travs del puerto de consola, puede utilizar Hyperterminal . Nota: Para obtener un listado completo de los comandos de ScreenOS CLI, consulte el manual NetScreen CLI Reference Guide.
Telnet
Telnet es un protocolo de inicio de sesin y de emulacin de terminales que utiliza una relacin cliente/servidor para conectarse y configurar remotamente los dispositivos de una red TCP /IP. El administrador ejecuta un programa cliente de Telnet en la estacin de trabajo de administracin y crea una conexin con el programa servidor de Telnet instalado en el dispositivo NetScreen. Despus de iniciar la sesin, el administrador puede enviar comandos de la interfaz CLI , que se transmiten al programa de Telnet del dispositivo NetScreen, permitiendo configurar eficazmente el dispositivo como si se estuviese trabajando a travs de una conexin directa. Para utilizar Telnet con el fin de administrar los dispositivos NetScreen se requiere lo siguiente: Software Telnet en la estacin de trabajo de administracin Una conexin Ethernet al dispositivo NetScreen
14
El procedimiento de configuracin para establecer una conexin de Telnet es el siguiente:

Establecimiento de una conexin de Telnet 1. El cliente Telnet enva una peticin de conexin TCP al puerto 23 del dispositivo NetScreen (que acta como servidor Telnet).
2. NetScreen solicita al cliente que inicie una sesin con un nombre de usuario y una contrasea.
3. El cliente enva su nombre de usuario y contrasea, ya sea en modo transparente o encriptados en un tnel VPN.
Para reducir al mnimo las posibilidades de que un usuario no autorizado pueda iniciar una sesin en un dispositivo, puede limitar el nmero de intentos de conexin que el dispositivo NetScreen admitir antes de cerrar la sesin de Telnet. Esta restriccin tambin protege contra ciertos tipos de ataques, como los ataques de diccionario automatizados. De forma predeterminada, el dispositivo NetScreen permite hasta tres intentos fallidos de inicio de sesin antes de cerrar la sesin de Telnet. Para cambiar este nmero, introduzca el comando siguiente: set admin access attempts number Nota: Para establecer esta restriccin debe utilizarse la interfaz CLI .
Conexiones Telnet seguras

El trfico de datos Telnet se puede asegurar separndolo totalmente del trfico de los usuarios de la red. Dependiendo del modelo de su dispositivo NetScreen, puede transmitir todo el trfico administrativo a travs de la interfaz MGT o dedicar una interfaz especfica, como la DMZ, enteramente al trfico administrativo.
15
Adems, para asegurarse de que los usuarios con permisos de administrador utilicen una conexin segura para administrar dispositivos NetScreen mediante Telnet, puede obligar a tales usuarios a utilizar Telnet exclusivamente 7 a travs de un tnel de red privada virtual (VPN) . Una vez establecida esta restriccin, el dispositivo rechazar el acceso a cualquiera que intente ejecutar Telnet sin pasar por un tnel VPN. Para obligar a Telnet a acceder a travs de una VPN, introduzca el comando siguiente: set admin telnet access tunnel Nota: Para establecer esta restriccin debe utilizarse la interfaz CLI .
7.
Para obtener informacin sobre los tneles de VPN, consulte el Volumen 5, VPNs.
16
Secure Shell
El servidor Secure Shell (SSH) integrado en un dispositivo NetScreen proporciona a los administradores un medio seguro para la administracin remota de dispositivos utilizando las aplicaciones basadas en el Shell seguro (SSH). SSH permite abrir de forma segura un entorno de comandos remoto y ejecutar comandos. SSH proporciona proteccin contra los ataques de suplantacin de IP o DNS (spoofing) y contra la interceptacin de contraseas y datos. Puede elegir entre ejecutar un servidor SSH versin 1 (SSHv1) o SSH versin 2 (SSHv2) en el dispositivo NetScreen. SSHv2 se considera ms seguro que SSHv1 y en la actualidad se encuentra en etapa de desarrollo como estndar del IETF. Sin embargo, SSHv1 est ampliamente difundido y se utiliza comnmente. Observe que SSHv1 y SSHv2 no son compatibles entre s. Es decir, no se puede conectar un cliente SSHv1 a un servidor SSHv2 en el dispositivo NetScreen, ni viceversa. La consola o aplicacin de terminal del cliente debe ejecutar la misma versin de SSH que el servidor.
Trfico administrativo encriptado ScreenOS
Cliente SSH
Internet
Servidor SSH
Estacin de trabajo del administrador
Dispositivo NetScreen
17
A continuacin se muestra el procedimiento bsico de conexin de SSH:

1. El cliente de SSH enva una peticin de conexin TCP al puerto 22 del dispositivo NetScreen (que acta como servidor de SSH). 2. NetScreen y el cliente intercambian informacin sobre la versin de SSH que cada uno admite. 3. NetScreen enva el componente pblico de sus claves de host y de servidor, su cookie y los algoritmos de encriptacin y autenticacin que admite. 4. El cliente crea una clave secreta para la sesin, la encripta con el componente pblico de las claves de host y de servidor NetScreen, y enva la clave de la sesin a NetScreen.
5. NetScreen firma la clave de la sesin con su clave privada y enva la clave de la sesin firmada al cliente. El cliente verifica la firma con la clave de la sesin generada durante el intercambio de claves. De este modo se completa la creacin de un canal seguro.
6. NetScreen enva una seal al cliente de SSH para que pida al usuario final la informacin de autenticacin.
7. El cliente encripta un nombre de usuario y una contrasea o el componente pblico de su clave PKA, y enva ambos para su autenticacin.
Claves Host Key (Clave del host): Para autenticar el dispositivo o sistema virtual NetScreen ante el cliente y encriptar la clave de la sesin se utiliza el componente pblico de un par de claves pblica/privada. (Cada vsys tiene su propia clave de host). La clave de host est permanentemente asociada al dispositivo o vsys. Server Key (Clave del servidor): El par de claves pblica/privada RSA temporal utilizado para encriptar la clave de la sesin. (De forma predeterminada, NetScreen genera uno nuevo cada media hora para cada vsys). Session Key (Clave de la sesin): Clave secreta temporal (DES o 3DES) que el cliente y NetScreen crean conjuntamente durante el establecimiento de la conexin para encriptar la comunicacin (y que se descarta al terminar la sesin). PKA Key (Clave PKA): Par de claves pblica/ privada RSA persistente que reside en el cliente de SSH. La clave pblica del cliente tambin debe estar cargada en el dispositivo NetScreen antes de iniciar una conexin de SSH y la clave PKA debe estar asociada al usuario con permisos de administrador. Nota: Par de claves pblica/privada = Conjunto de claves encriptadas de modo que lo encriptado con una slo se pueda desencriptar con la otra.
Un dispositivo NetScreen admite un mximo de cinco sesiones SSH simultneas.
18
Requisitos del cliente

De acuerdo con lo indicado anteriormente, la aplicacin del equipo cliente debe ejecutar la misma versin de SSH que el servidor en el dispositivo NetScreen. Los clientes SSHv2 deben configurarse para solicitar el algoritmo de intercambio de claves Diffie-Hellman y el algoritmo de firma digital DSA (Digital Signature Algorithm) para la autenticacin del dispositivo mediante clave pblica. Los clientes SSHv1 deben configurarse para solicitar el algoritmo RSA para la autenticacin de dispositivos mediante clave pblica.
Configuracin bsica de SSH en el dispositivo NetScreen

A continuacin se enumeran los pasos bsicos para configurar SSH en un dispositivo NetScreen: 1. Decida si utilizar autenticacin mediante contrasea o mediante clave pblica (PKA) para acceder a SSH. Si decide utilizar PKA, las claves de PKA deben estar asociadas a un administrador antes de establecer las conexiones de SSH. Consulte Autenticacin en la pgina 21 para obtener ms informacin sobre si utilizar contraseas o PKA. Decida qu versin de SSH necesita habilitar en el dispositivo NetScreen. (Recuerde que la aplicacin del equipo cliente y el servidor de SSH en el dispositivo NetScreen deben ejecutar la misma versin de SSH). Si habilit SSH en el dispositivo NetScreen en una versin anterior de ScreenOS, al activar SSH ahora comenzar a ejecutarse SSHv1. Para consultar qu versin de SSH est activa pero no habilitada en el dispositivo NetScreen, utilice el comando get ssh de la interfaz CLI : ns-> get ssh SSH V1 is active SSH is not enabled SSH is not ready for connections Maximum sessions: 8 Active sessions: 0 En la representacin anterior, SSHv1 est activo y comienza a ejecutarse al habilitar SSH. Si desea utilizar otra versin de SSH, asegrese de que todas las claves creadas con la versin anterior queden eliminadas. Por ejemplo, para borrar las claves de SSHv1 y utilizar SSHv2, utilice los siguientes comandos CLI: ns-> delete ssh device all
2.
19
Aparecern los siguientes mensajes: SSH disabled for vsys: 1 PKA key deleted from device: 0 Host keys deleted from device: 1 Execute the set ssh version v2 command to activate SSH v2 for the device Para utilizar SSHv2, utilice el siguiente comando CLI: ns-> set ssh version v2 Nota: El hecho de establecer la versin de SSH no habilita SSH en el dispositivo NetScreen. 3. Si no desea utilizar el puerto 22 (el puerto predeterminado) para las conexiones de cliente de SSH, puede especificar un nmero de puerto entre 1024 y 327678. ns-> set admin ssh port 1024 Habilite SSH para el sistema raz o para el sistema virtual. Consulte SSH y Vsys en la pgina 23 para obtener ms informacin sobre cmo habilitar y utilizar SSH en cada sistema virtual vsys. Para habilitar SSH para el sistema raz: ns-> set ssh enable Si desea habilitar SSH para un vsys, primero debe entrar en dicho vsys y habilitar SSH: ns-> set vsys v1 ns(v1)-> set ssh enable Habilite SSH en la interfaz a la que se conectar el cliente de SSH. ns-> set interface manage ssh Distribuya la clave del host generada en el dispositivo NetScreen al cliente de SSH. Para obtener ms informacin, consulte Clave del host en la pgina 24.
4.
5. 6.
8.
Tambin puede utilizar WebUI para cambiar el nmero de puerto y habilitar SSHv2 y SCP en la pgina Configuration > Admin > Management.
20
Autenticacin
Un administrador puede conectarse a un dispositivo NetScreen mediante SSH usando uno de los dos mtodos de autenticacin: Autenticacin mediante contrasea: Este mtodo lo utilizan los administradores que necesitan configurar o supervisar un dispositivo NetScreen. El cliente de SSH inicia una conexin de SSH al dispositivo NetScreen. Si en la interfaz que recibe la peticin de conexin est habilitada la posibilidad de gestin de SSH, el dispositivo NetScreen enva una seal al cliente de SSH para que solicite al usuario su nombre y contrasea. Cuando el cliente de SSH dispone de esta informacin, la enva al dispositivo NetScreen, que la compara con el nombre de usuario y contrasea registrados en la cuenta del usuario administrador. Si coinciden, el dispositivo NetScreen autentica al usuario. Si no coinciden, el dispositivo NetScreen rechaza la peticin de conexin. Autenticacin mediante clave pblica (PKA, Public Key Authentication): Este mtodo proporciona mayor seguridad que el mtodo de autenticacin mediante contrasea y permite ejecutar guiones automatizados. En lugar del nombre y la contrasea del usuario, el cliente de SSH enva un nombre de 9 usuario y el componente pblico de un par de claves pblica/privada . El dispositivo NetScreen lo compara con hasta cuatro claves pblicas que se puedan asociar a un administrador. Si una de las claves coincide, el dispositivo NetScreen autentica al usuario. Si ninguna coincide, el dispositivo NetScreen rechaza la peticin de conexin.
Ambos mtodos de autenticacin requieren el establecimiento de una conexin segura antes de que el cliente de SSH pueda conectarse. Una vez que un cliente de SSH haya establecido una conexin de SSH con el dispositivo NetScreen, debe autenticarse con un nombre de usuario y una contrasea, o bien con un nombre de usuario y una clave pblica. Tanto la autenticacin mediante contrasea como mediante clave pblica (PKA) requieren crear una cuenta para el usuario administrador en el dispositivo NetScreen y activar la posibilidad de gestin de SSH en la interfaz por la que se pretende administrar el dispositivo NetScreen a travs de una conexin de SSH. (Para obtener informacin sobre cmo crear una cuenta de usuario con permisos de administrador, consulte Definicin de usuarios con permisos de administrador en la pgina 49.) El mtodo de autenticacin mediante contrasea no requiere ninguna configuracin adicional en el cliente de SSH.
9.
Los algoritmos de autenticacin admisibles son RSA para SSHv1 y DSA para SSHv2.
21
Por otra parte, los preparativos para PKA consisten en las siguientes tareas preliminares: 1. En el cliente de SSH, genere una par de claves (una pblica y una privada) usando un programa de generacin de claves. (El par de claves debe ser RSA para SSHv1 o DSA para SSHv2. Para obtener ms informacin, consulte la documentacin de la aplicacin cliente de SSH). Nota: Si desea utilizar PKA para realizar inicios de sesin automatizados, tambin debe cargar un agente en el equipo cliente de SSH para desencriptar el componente privado del par de claves pblica/privada PKA y mantener en memoria la versin desencriptada de la clave privada. 2. 3. 4. Mueva la clave pblica desde el directorio SSH local a un directorio en su servidor TFTP y ejecute el programa TFTP. Inicie una sesin en el dispositivo NetScreen para poder configurarlo con la interfaz CLI . Para transferir la clave pblica desde el servidor TFTP al dispositivo NetScreen, introduzca uno de los siguientes comandos CLI: Para SSHv1: exec ssh tftp pka-rsa [ username name ] file-name name_str ip-addr tftp_ip_addr Para SSHv2: exec ssh tftp pka-dsa [ user-name name ] file-name name_str ip-addr tftp_ip_addr Las opciones username o user-name slo estn disponibles para el administrador raz, por lo que slo este usuario puede asociar una clave RSA a otro administrador. Cuando el administrador raz o el administrador de lectura/escritura ejecuta el comando sin incluir un nombre de usuario, el dispositivo NetScreen asocia la clave a su propia cuenta de administrador, es decir, al administrador que ejecuta el comando. Nota: El dispositivo NetScreen admite hasta cuatro claves pblicas PKA por cada usuario con permisos de administrador.
10. Tambin puede pegar el contenido del archivo de clave pblica directamente en el comando CLI set ssh pka-rsa [username name_str ] key key_str (para SSHv1) o set ssh pka-dsa [user-name name_str ] key key_str (para SSHv2), pgandolo donde indique la variable key_str , o en el campo Key de WebUI (Configuration > Admin > Administrators > SSH PKA). Sin embargo, tanto CLI como WebUI tienen una restriccin en cuanto al tamao: el tamao de la clave pblica no puede ser superior a 512 bits. Esta restriccin no es aplicable cuando la clave se carga a travs de TFTP.
10
22
Cuando un administrador intenta iniciar una sesin a travs de SSH en una interfaz que tiene habilitada la gestin de SSH, el dispositivo NetScreen comprueba primero si ese administrador tiene asociada una clave pblica. En caso afirmativo, el dispositivo NetScreen autentica al administrador mediante PKA. Si no hay ninguna clave pblica asociada al administrador, el dispositivo NetScreen pide un nombre de usuario y una contrasea. (Puede utilizar el siguiente comando para obligar a un administrador a utilizar solamente el mtodo PKA: set admin ssh password disable username name_str ). Con independencia del mtodo de autenticacin que desee imponer al administrador, al definir inicialmente su cuenta deber incluir de todos modos una contrasea, aunque en el futuro sta pase a ser irrelevante si asocia una clave pblica a ese usuario.
SSH y Vsys
Para los dispositivos NetScreen que admitan vsys, puede habilitar y configurar SSH en cada vsys individualmente. Cada vsys tiene su propia clave de host (consulte Clave del host en la pgina 24) y mantiene y administra una clave de PKA para el administrador del sistema. Observe que el nmero mximo de sesiones de SSH es una limitacin inherente a cada dispositivo y oscila entre 2 y 24, dependiendo del dispositivo. Cuando en un dispositivo ya se ha registrado el nmero mximo de clientes de SSH, ningn otro cliente de SSH puede iniciar sesin en el servidor de SSH. El sistema raz y los vsys comparten el mismo nmero de puerto de SSH. Esto significa que si se modifica el puerto predeterminado de SSH (puerto 22), tambin cambia para todos los vsys.
23
Clave del host

La clave de host permite al dispositivo NetScreen identificarse ante un cliente de SSH. En los dispositivos NetScreen que admiten sistemas virtuales (vsys), cada vsys tiene su propia clave de host. Cuando se activa SSH por primera vez en un vsys (en dispositivos que admiten vsys) o en un dispositivo NetScreen, se genera una clave de host nica para dicho vsys o dispositivo. La clave de host se asocia con carcter permanente al vsys o dispositivo y se vuelve a utilizar incluso despus de inhabilitar y rehabilitar SSH. La clave de host del dispositivo NetScreen se debe distribuir al cliente de SSH mediante uno de los dos mtodos siguientes: Manualmente: El administrador raz o vsys enva la clave de host al usuario administrador del equipo cliente mediante correo electrnico, telfono, etc. El administrador receptor guarda la clave de host en el archivo SSH apropiado del sistema cliente. (La aplicacin cliente de SSH determina la ubicacin y el formato del archivo). Automticamente: Cuando el cliente de SSH se conecta al dispositivo NetScreen, el servidor de SSH enva al cliente el componente pblico de la clave de host sin encriptar. El cliente de SSH comprueba en su base de datos local si la clave de host recibida est asociada a la direccin del dispositivo NetScreen. Si la clave de host es desconocida (si la base de datos local de claves de host no contiene ninguna asociacin a la direccin del dispositivo NetScreen), el usuario administrador puede decidir si acepta la clave de host. De lo contrario, se termina la conexin. (Consulte la documentacin del cliente de SSH correspondiente para obtener ms informacin sobre la aceptacin de claves de host desconocidas).
Para verificar si el cliente de SSH ha recibido la clave de host correcta, el usuario administrador del sistema cliente puede generar el hash (resumen encriptado) SHA de la clave de host recibida. El usuario administrador del cliente puede entonces comparar este hash SHA con el hash SHA de la clave de host existente en el dispositivo NetScreen. En el dispositivo NetScreen, el hash SHA de la clave de host se puede mostrar ejecutando el comando CLI get ssh host-key .
24
Ejemplo: SSHv1 con PKA para inicios de sesin automatizados

En este ejemplo, usted (como administrador raz) configura la autenticacin mediante clave pblica (PKA) de SSHv1 para un host remoto que ejecuta un guin automatizado. El nico propsito de que este host remoto acceda al dispositivo NetScreen es descargar el archivo de configuracin cada noche. Dado que la autenticacin est automatizada, no se requiere intervencin humana para que el cliente de SSH inicie una sesin en el dispositivo NetScreen. Defina una cuenta de usuario con permisos de administrador denominada cfg, con la contrasea cfg y privilegios de lectura/escritura. Habilite la posibilidad de gestin de SSH en la interfaz ethernet1, asociada a la zona Untrust. Previamente, habr utilizado un programa de generacin de claves en su equipo cliente de SSH para generar un par de claves pblica/privada RSA, habr trasladado el archivo de clave pblica, llamado idnt_cfg.pub, a un directorio en su servidor TFTP y habr ejecutado el programa de TFTP. La direccin IP del servidor TFTP es 10.1.1.5.
WebUI
Configuration > Admin > Administrators > New: Introduzca los siguientes datos y haga clic en OK : Name: cfg New Password: cfg Confirm Password: cfg Privileges: Read-Write (seleccione) SSH Password Authentication: (seleccione) Network > Interfaces > Edit (para ethernet1): Seleccione SSH en Service Options y haga clic en OK . Nota: Slo es posible cargar un archivo de claves pblicas para SSH desde un servidor TFTP por medio del comando exec ssh .
25
CLI
set admin user cfg password cfg privilege all set interface ethernet1 manage ssh exec ssh tftp pka-rsa username cfg file-name idnt_cfg.pub ip-addr 10.1.1.5 save
Secure Copy (SCP)

Secure Copy (SCP) es un mtodo de transferencia de archivos entre un cliente remoto y el dispositivo NetScreen utilizando el protocolo SSH. (El protocolo SSH proporciona la autenticacin, la encriptacin y la integridad de datos a la conexin SCP). El dispositivo NetScreen acta como servidor de SCP para aceptar conexiones de clientes de SCP en hosts remotos. SCP requiere que el cliente remoto se haya autenticado antes de poder comenzar la transferencia de archivos. La autenticacin de SCP sigue exactamente el mismo proceso utilizado para autenticar clientes de SSH. El cliente de SCP se puede autenticar con una contrasea o una clave de PKA. Una vez autenticado el cliente de SCP, pueden transferirse uno o ms archivos hacia o desde el dispositivo NetScreen. La aplicacin cliente de SCP determina el mtodo exacto para especificar los nombres de archivo de origen y de destino; consulte la documentacin de la aplicacin cliente de SCP. De forma predeterminada, SCP est inhabilitado en el dispositivo NetScreen. Para habilitar SCP es necesario habilitar tambin SSH.
WebUI
Configuration > Admin > Management: Introduzca los siguientes datos y haga clic en Apply : Enable SSH: (seleccione) Enable SCP: (seleccione)
CLI
set ssh enable set scp enable save
26
Lo que sigue es un ejemplo de un comando del cliente de SCP para copiar el archivo de configuracin desde la memoria flash de un dispositivo NetScreen (el nombre del administrador es netscreen y la direccin IP es 10.1.1.1) al archivo ns_sys_config_backup del sistema cliente: scp netscreen@10.1.1.1:ns_sys_config ns_sys_config_backup Tambin puede tambin copiar una imagen ScreenOS a y desde un dispositivo NetScreen. Para guardar una imagen denominada ns.5.1.0r1en un dispositivo NetScreen de cliente SCP, introduzca el siguiente comando del cliente SCP, en el que el nombre de usuario es netscreen y la direccin IP del dispositivo NetScreen es 10.1.1.1: scp ns.5.1.0r1 netscreen@10.1.1.1:image Luego introduzca el comando reset para reiniciar el dispositivo NetScreen para cargar y ejecutar la nueva imagen ScreenOS. Para copiar una imagen ScreenOS desde un dispositivo NetScreen a un cliente SCP y para nombrar la imagen guardada current_image_backup, introduzca el siguiente comando del cliente SCP: scp netscreen@10.1.1.1:image current_image_backup Consulte la documentacin de la aplicacin cliente de SCP para obtener informacin sobre cmo especificar el nombre del administrador, la direccin IP del dispositivo y los archivos de origen y de destino.
Consola serie
Puede administrar un dispositivo NetScreen por medio de una conexin serie directa entre la estacin de trabajo del administrador y el dispositivo NetScreen a travs del puerto de consola. Aunque no siempre es posible establecer una conexin directa, ste es el mtodo ms seguro para administrar el dispositivo, siempre que el entorno donde se encuentre el dispositivo NetScreen tambin sea seguro. Nota: Para impedir que un usuarios no autorizado pueda iniciar sesiones remotamente como administrador raz, puede obligar a ste a iniciar sus sesiones en el dispositivo NetScreen exclusivamente a travs de la consola. Para obtener ms informacin sobre esta restriccin, consulte Restriccin del administrador raz a acceder desde la consola en la pgina 60.
27
Dependiendo del modelo de su dispositivo NetScreen, para establecer una conexin serie necesitar uno de los siguientes cables: Un cable serie directo con un conector hembra DB-9 y un conector macho DB-25 Un cable serie directo con un conector hembra DB-9 y un conector macho DB-9 Un cable serie con un conector hembra DB-9 y un conector macho MiniDIN-8 Un adaptador con un conector hembra DB-9 a RJ-45 y un cable Ethernet directo RJ-45 a RJ-45
Tambin necesitar el software Hyperterminal (u otro emulador del terminal VT100) en la estacin de trabajo de administracin, con los ajustes de puerto de Hyperterminal configurados como sigue: Comunicaciones serie a 9600 bps 8 bits Sin paridad 1 bit de parada Sin control de flujo Nota: Para ms detalles sobre el uso de Hyperterminal, consulte el captulo Getting Started del NetScreen CLI Reference Guide o el captulo Initial Configuration en uno de los manuales de instalacin.
Puerto de mdem
El dispositivo NetScreen tambin se puede administrar conectando la estacin de trabajo del administrador al puerto de mdem del dispositivo. El puerto de mdem funciona de forma similar al puerto de consola, salvo que no se pueden definir sus parmetros ni utilizar esta conexin para transferir una imagen.
28
Para impedir que usuarios no autorizados puedan administrar el dispositivo a travs de una conexin directa a la consola o al puerto de mdem, puede inhabilitar ambos puertos mediante los siguientes comandos: set console disable set console aux disable Nota: En el NetScreen-5XT, el puerto de mdem solamente se puede utilizar para conectarse a un mdem externo.
29
Administracin a travs de NetScreen-Security Manager
ADMINISTRACIN A TRAVS DE NETSCREEN-SECURITY MANAGER

NetScreen-Security Manager es una aplicacin de administracin a nivel corporativo para configurar mltiples dispositivos a travs de un entorno LAN o WAN. La interfaz de usuario de Security Manager permite a los administradores implementar, configurar y administrar muchos dispositivos desde puestos de trabajo centrales. NetScreen-Security Manager utiliza dos componentes para permitir la comunicacin remota con dispositivos NetScreen. El sistema Management System , un conjunto de servicios que reside en un host externo. Estos servicios procesan, supervisan y almacenan la informacin de administracin de dispositivos intercambiada entre el dispositivo y la interfaz de usuario de Security Manager. Agente, un servicio que reside en cada dispositivo NetScreen administrado. El agente recibe parmetros de configuracin procedentes del sistema de administracin Management System externo y los enva a NetScreen ScreenOS. El agente tambin supervisa el dispositivo y transmite informes a Management System. El agente puede descargar paquetes de firmas, certificados y derechos entre el dispositivo NetScreen y el NetScreen-Security Manager.
Dispositivo NetScreen FW/VPN con agente de Security Manager habilitado Management System Servidor principal El servidor principal contiene un servidor de dispositivos y el servidor de GUI. Agente NetScreen-Security Manager: El dispositivo NetScreen utiliza su agente NetScreen-Security Manager incorporado para comunicarse con el servidor de dispositivos. Servidores de dispositivos y GUI: El servidor de dispositivos enva cambios de configuracin al dispositivo NetScreen y recibe informes operativos y estadsticos del mismo. El servidor de GUI procesa los cambios de configuracin que recibe de uno o varios clientes de Security Manager. El administrador de NetScreen-Security Manager ejecuta Management System a travs del cliente. Interfaz de usuario de Security Manager
30
Para obtener ms informacin sobre stos y otros componentes de NetScreen-Security Manager, consulte el NetScreen-Security Manager 2004 Administrators Guide.
Inicio de la conectividad entre el agente y Management System

Para que NetScreen-Security Manager pueda acceder y administrar el dispositivo NetScreen, primero es necesario iniciar la comunicacin entre el agente (que reside en el dispositivo) y el sistema de administracin Management System (que reside en un host externo). La inicializacin puede requerir hasta dos usuarios en dos sitios diferentes, dependiendo de la disponibilidad actual del dispositivo NetScreen. Estos usuarios pueden incluir al administrador de Security Manager , que utiliza la interfaz de usuario de Security Manager en un equipo cliente, y al usuario local , que ejecuta comandos CLI en el dispositivo NetScreen a travs de una sesin de consola. Los casos posibles de inicializacin son los siguientes. Caso 1: El dispositivo ya tiene una direccin IP conocida y est accesible a travs de su infraestructura de red. En este caso, el administrador de Security Manager agrega el dispositivo usando la interfaz de usuario de Security Manager del cliente host. (No se precisa un usuario local). El dispositivo NetScreen se conecta automticamente a Management System, quedando listo para enviar informacin de configuracin a la base de datos NetScreen-Security Manager que reside all. Caso 2: La direccin IP es inalcanzable. En este caso, ambos usuarios realizan tareas de inicializacin. El administrador agrega el dispositivo a travs de la interfaz de usuario de Security Manager. El administrador tambin determina qu comandos CLI necesita el usuario local y se los entrega para que ste los ejecute a travs de la consola. Entonces, el dispositivo se conecta automticamente a Management System, quedando listo para enviar informacin de configuracin a la base de datos NetScreen-Security Manager. Caso 3: El dispositivo es un nuevo equipo y contiene los ajustes predeterminados de fbrica. En este caso, ambos usuarios realizan tareas de inicializacin. El usuario local puede utilizar un guin de configuracin encriptado denominado Configlet, que genera el administrador de Security Manager. El proceso es el siguiente:
31
a. El administrador de Security Manager selecciona la plataforma del dispositivo y la versin de NetScreen ScreenOS utilizando el asistente para agregar dispositivos Add Device Wizard de la interfaz de usuario de Security Manager. b. El administrador edita el dispositivo e introduce cualquier configuracin deseada. c. El administrador activa el dispositivo. d. El administrador genera y entrega el archivo Configlet (o los comandos CLI necesarios, como en el caso 2) al usuario local. e. El usuario local ejecuta Configlet (o los comandos CLI). Para obtener ms informacin, consulte Adding Devices en el NetScreen-Security Manager 2004 Administrators Guide.
Habilitacin, inhabilitacin y desactivacin del agente

Para que el dispositivo NetScreen pueda comunicarse con Management System, es necesario activar el agente que reside en el dispositivo. Si desea eliminar los ajustes de NetScreen-Security Manager, utilice el comando unset nsmgmt all . Este comando ajusta el agente con sus valores predeterminados iniciales, de modo que acta como si nunca se hubiera conectado con NetScreen-Security Manager. Utilice el comando nsmgmt all cuando desee reconfigurar los ajustes de NetScreen-Security Manager. Para habilitar el agente en el dispositivo NetScreen, lleve a cabo cualquiera de los siguientes procedimientos:
WebUI
Configuration > Admin > NSM: Seleccione Enable Communication with NetScreen-Security Manager (NSM) , y luego haga clic en Apply .
CLI
set nsmgt enable save
32
Para deshabilitar el agente en el dispositivo NetScreen, lleve a cabo cualquiera de los siguientes procedimientos:
WebUI
Configuration > Admin > NSM: Desactive Enable Communication with NetScreen-Security Manager (NSM) , y luego haga clic en Apply .
CLI
unset nsmgt enable save
Cambio de la direccin del servidor Management System

La direccin IP por la cual el agente identifica los servidores externos de Management System es un parmetro configurable.
Ejemplo: Establecer la direccin IP del servidor principal

En el siguiente ejemplo se establece la direccin IP del servidor principal en 1.1.1.100.
WebUI
Configuration > Admin > NSM: Introduzca los siguientes datos y haga clic en Apply : Primary IP Address/Name: 1.1.1.100
CLI
set nsmgmt server primary 1.1.1.100 save
33
Ajuste de los parmetros de informes

El agente supervisa los eventos del dispositivo NetScreen y devuelve informes a Management System. Esto permite al administrador de Security Manager ver los eventos de la interfaz de usuario de Security Manager. Los eventos registrados por el agente se dividen en las siguientes categoras: Alarms (Alarmas), que comunican anomalas o ataques potencialmente peligrosos en el trfico, incluyendo los ataques detectados por Deep Inspection (inspeccin minuciosa). Log (Eventos del registro), que informan sobre cambios en la configuracin del dispositivo y cambios de escasa relevancia que se producen en el mismo. Protocol distribution (Distribucin de protocolos), eventos que comunican los mensajes generados por los siguientes protocolos: AH (Authentication Header, encabezado de la autenticacin) ESP (Encapsulating Security Payload, carga de seguridad encapsulada) GRE (Generic Routing Encapsulation, encapsulado genrico de enrutamiento) ICMP (Internet Control Message Protocol, protocolo de mensajes de control de Internet) OSPF (Open Shortest Path First, abrir primero la ruta ms corta) TCP (Transmission Control Protocol, protocolo de control de la transmisin) UDP (User Datagram Protocol, protocolo de datagramas de usuario) Statistics (Estadsticas), mensajes que comunican la siguiente informacin estadstica: Attack statistics (Estadsticas de ataques) Ethernet statistics (Estadsticas de Ethernet) Traffic flow statistics (Estadsticas del flujo de trfico) Policy statistics (Estadsticas de directivas)
34
Ejemplo: Habilitar la generacin de informes de alarmas y estadsticas

En el ejemplo siguiente se activa la transmisin de todos los mensajes de alarma y de estadsticas a Management System.
WebUI
Configuration > Admin > NSM: Introduzca los siguientes datos y haga clic en Apply : Attack Statistics: (seleccione) Policy Statistics: (seleccione) Attack Alarms: (seleccione) Traffic Alarms: (seleccione) Flow Statistics: (seleccione) Ethernet Statistics: (seleccione) Deep Inspection Alarms: (seleccione) Event Alarms: (seleccione)
CLI
set nsmgmt set nsmgmt set nsmgmt set nsmgmt set nsmgmt set nsmgmt set nsmgmt set nsmgmt save report report report report report report report report statistics attack enable statistics policy enable alarm attack enable alarm traffic enable statistics flow enable statistics ethernet enable alarm idp enable alarm other enable
35
Sincronizacin de la configuracin
Si la configuracin de NetScreen ScreenOS sufre modificaciones desde la ltima vez que se sincroniz con NetScreen-Security Manager, el dispositivo NetScreen notifica el cambio al administrador del NetScreen-Security Manager. Por ejemplo, el dispositivo NetScreen enva un mensaje cuando un administrador de dispositivo utiliza la consola, el telnet, el SSH, o el WebUI para modificar la configuracin de un dispositivo NetScreen. Si se modifica la configuracin con una aplicacin que no sea NetScreen-Security Manager, sta deja de estar sincronizada. El archivo de configuracin NetScreen-Security Manager debe estar sincronizado con el archivo de configuracin del dispositivo NetScreen para que NetScreen-Security Manager pueda trabajar correctamente. La sincronizacin se logra cuando se importa el archivo de configuracin a NetScreen-Security Manager. Para obtener informacin acerca de los dispositivos de importacin, consulte la Juniper Networks NetScreen-Security Administrators Guide. El ejemplo siguiente muestra el comando que se emplea para visualizar el estado de la configuracin.
Ejemplo: Visualizar al estado de la configuracin

En el ejemplo siguiente, visualizar el estado de la sincronizacin de la configuracin de un dispositivo NetScreen.
WebUI
Nota: Debe utilizar la interfaz CLI para consultar el estado de la configuracin actual.
CLI
get config nsmgmt-dirty Nota: Si las aplicaciones que no pertenecen a NetScreen-Security Manager no han modificado el archivo de configuracin, el comando devuelve un espacio en blanco y en caso contrario, devuelve yes.
36
Ejemplo: Consultar el hash de la configuracin

NetScreen-Security Manager utiliza el hash de configuracin para verificar la sincronizacin de la configuracin de un dispositivo NetScreen. En el ejemplo siguiente, consultar el hash de configuracin actual de un sistema virtual especfico:
WebUI
Nota: Debe utilizar la interfaz CLI para consultar el hash de la configuracin actual.
CLI
ns-> enter vsys vsys1 ns(vsys1)-> get config hash a26a16cd6b8ef40dc79d5b2ec9e1ab4f ns(vsys1)-> ns(vsys1)-> exit
37
Marca de hora de configuracin

El dispositivo NetScreen de IA proporciona dos marcas de hora de configuracin: running-config y saved-config. La marca de hora running-config es la que indica cundo se ejecut por ltima vez el comando set o unset de cada sistema virtual. La marca de hora saved-config indica cundo se guard por ltima vez la configuracin del dispositivo.
Ejemplo: Consultar la marca de hora de configuracin

En el siguiente ejemplo, el dispositivo NetScreen consultar las marcas de hora de las configuraciones que se ejecutaron y se guardaron por ltima vez en el sistema virtual vsys1:
WebUI
Nota: Debe utilizar la interfaz CLI para consultar las marcas de hora de configuracin que se ejecutaron y se guardaron.
CLI
get config timestamp vsys vsys1 get config saved timestamp Nota: Si omite vsys vsys_name en el comando, el dispositivo NetScreen consulta la marca de hora de configuracin del sistema raz. Si la marca de hora est no disponible, se mostrar el mensaje unknown.
38
Control del trfico administrativo
CONTROL DEL TRFICO ADMINISTRATIVO

ScreenOS proporciona las siguientes opciones para configurar y administrar el dispositivo NetScreen: WebUI: Seleccionando esta opcin se permite a la interfaz recibir trfico HTTP de administracin a travs de la interfaz de usuario web (WebUI). Telnet: Un programa de emulacin de terminales para redes TCP/IP como Internet; Telnet es una forma muy comn de controlar remotamente los dispositivos de red. Seleccionando esta opcin se habilita la posibilidad de gestin de Telnet. SSH: El dispositivo NetScreen se puede administrar desde una conexin Ethernet o a travs de un mdem de acceso telefnico utilizando Secure Command Shell (SSH). Se requiere un cliente de SSH compatible con la versin 1.5 del protocolo SSH. Existen clientes para Windows 95 y posterior, Windows NT, Linux y UNIX. El dispositivo NetScreen se comunica con el cliente de SSH a travs de su servidor SSH integrado, que proporciona servicios de configuracin y administracin de dispositivos. Seleccionando esta opcin se habilita la posibilidad de gestin de SSH. SNMP: El dispositivo NetScreen admite tanto SNMPv1 como SNMPv2c, y todos los grupos relevantes de Management Information Base II (MIB II), segn lo definido en RFC-1213. Seleccionando esta opcin se habilita la posibilidad de gestin de SNMP. SSL: Seleccionando esta opcin se permite a la interfaz recibir trfico HTTPS para la administracin segura del dispositivo NetScreen a travs de WebUI. NS Security Manager: Seleccionando esta opcin se permite a la interfaz recibir trfico de NetScreen-Security Manager. Ping: Seleccionando esta opcin se permite al dispositivo NetScreen responder a una peticin de eco ICMP, o ping, que determina si una determinada direccin IP se encuentra accesible en la red. Ident-Reset: Servicios como Mail y FTP envan peticiones de identificacin. Si no obtienen ningn acuse de recibo, envan la peticin de nuevo. Mientras la peticin se est procesando, los usuarios no pueden acceder. Al activar la opcin Ident-reset, el dispositivo NetScreen enva un aviso de restablecimiento de TCP en respuesta a una peticin de identificacin IDENT al puerto 113 y restablece el acceso bloqueado previamente por una peticin de identificacin no atendida.
Para utilizar estas opciones, deben habilitarse en una o ms interfaces, dependiendo de las necesidades administrativas y de seguridad.
39
Interfaces MGT y VLAN1

Algunos dispositivos NetScreen tienen una interfaz fsica (Management, MGT) dedicada exclusivamente al trfico de administracin. Puede utilizar esta interfaz para el trfico administrativo cuando las interfaces se encuentren en modo NAT, de ruta, o transparente. En el modo transparente, puede configurar todos los dispositivos NetScreen para permitir la administracin a travs de la interfaz lgica, VLAN1. Para permitir que el trfico administrativo alcance la interfaz VLAN1, deben activarse las opciones de administracin deseadas tanto en VLAN1 como en las zonas Layer 2 (V1-Trust, V1-Untrust, V1-DMZ, zona Layer 2 definida por el usuario) por las que pasa el trfico administrativo para alcanzar VLAN1. Para mantener el nivel ms alto de seguridad, Juniper Networks recomienda limitar el trfico administrativo exclusivamente a las interfaces VLAN1 o MGT y el trfico de usuarios a las interfaces de la zona de seguridad. Separando el trfico administrativo del trfico de los usuarios de la red se aumenta significativamente la seguridad administrativa y se asegura un ancho de banda constante para la administracin.
Ejemplo: Administracin a travs de la interfaz MGT

En este ejemplo se establece la direccin IP de la interfaz MGT en 10.1.1.2/24 y se habilita la interfaz MGT para recibir trfico administrativo web y SSH.
WebUI
Network > Interfaces > Edit (para mgt): Introduzca los siguientes datos y haga clic en OK : IP Address/Netmask: 10.1.1.2/24 Management Services: WebUI, SSH: (seleccione)
CLI
set interface mgt ip 10.1.1.2/24 set interface mgt manage web set interface mgt manage ssh save
40
Ejemplo: Administracin a travs de la interfaz VLAN1

En este ejemplo se establece la direccin IP de la interfaz VLAN1 en 10.1.1.1/24 y se habilita la interfaz VLAN1 para recibir trfico administrativo Telnet y web a travs de la zona V1-Trust.
WebUI
Network > Interfaces > Edit (para VLAN1): Introduzca los siguientes datos y haga clic en OK : IP Address/Netmask: 10.1.1.1/24 Management Services: WebUI, Telnet: (seleccione) Network > Zones > Edit (para V1-Trust): Seleccione los siguientes datos y haga clic en OK : Management Services: WebUI, Telnet: (seleccione)
CLI
set interface vlan1 ip 10.1.1.1/24 set interface vlan1 manage web set interface vlan1 manage telnet set zone v1-trust manage web set zone v1-trust manage telnet save
41
Interfaz administrativa
En los dispositivos NetScreen equipados con interfaces fsicas mltiples para el trfico de red, pero con ninguna interfaz fsica MGT, se puede dedicar una interfaz fsica exclusivamente para la administracin, separando totalmente el trfico administrativo del trfico de los usuarios de la red. Por ejemplo, se puede tener acceso administrativo local al dispositivo a travs de una interfaz enlazada a la zona fiable Trust y realizar la administracin remota a travs de una interfaz enlazada a la zona sin confianza Untrust.
Ejemplo: Ajuste de las opciones de la interfaz administrativa

En este ejemplo se enlaza ethernet1 a la zona fiable Trust y ethernet3 a la zona sin confianza Untrust. Se asigna a ethernet1 la direccin IP 10.1.1.1/24 y la direccin IP de administracin 10.1.1.2. (Recuerde que la direccin IP de administracin debe encontrarse en la misma subred que la direccin IP de la interfaz de la zona de seguridad). Tambin se permite a ethernet1 recibir trfico web y Telnet. A continuacin, asigne a ethernet3 la direccin IP 1.1.1.1/24 y bloquee todo el trfico administrativo hacia dicha interfaz.
WebUI
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Manage IP: 10.1.1.2 Management Services: WebUI: (seleccione) SNMP: (anule la seleccin) Telnet: (seleccione) SSL: (anule la seleccin) SSH: (anule la seleccin)
42
Introduzca los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Management Services: WebUI: (anule la seleccin) SNMP: (anule la seleccin) Telnet: (anule la seleccin) SSL: (anule la seleccin) SSH: (anule la seleccin)
CLI
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 manage-ip 10.1.1.2 set interface ethernet1 manage web unset interface ethernet1 manage snmp set interface ethernet1 manage telnet unset interface ethernet1 manage ssl unset interface ethernet1 manage ssh set interface ethernet1 nat set interface ethernet3 zone untrust 11 set interface ethernet3 ip 1.1.1.1/24 save
11. Cuando se asocia una interfaz a cualquier zona de seguridad que no sean las zonas Trust y V1-Trust, todas las opciones de administracin se inhabilitan de forma predeterminada. Por lo tanto, en este ejemplo, no tiene que inhabilitar las opciones de administracin en ethernet3.
43
IP de administracin
Cualquier interfaz o subinterfaz fsica, redundante o agregada que se enlace a una zona de seguridad puede tener al menos dos direcciones IP: Una direccin IP de interfaz, para la conexi a una red. Una direccin IP lgica de administracin para recibir el trfico administrativo.
Cuando un dispositivo NetScreen acta como unidad de respaldo en un grupo redundante para la obtencin de HA (High Availability o alta disponibilidad), se puede acceder a la unidad y configurarla a travs de su direccin (o direcciones) IP de administracin. Nota: La direccin IP de administracin se diferencia de la direccin de VLAN1 en los dos aspectos siguientes: Cuando el dispositivo NetScreen se encuentra en modo transparente, la direccin IP de VLAN1 puede ser el punto final de un tnel VPN, pero la direccin IP de administracin no. Aunque se pueden definir mltiples direcciones IP de administracin (una por cada interfaz de red), slo se puede definir una direccin IP de VLAN1 para todo el sistema.
Si selecciona la opcin Manageable en la pgina de configuracin de la interfaz en WebUI, puede administrar el dispositivo NetScreen a travs de la direccin IP de la interfaz o a travs de la direccin IP de administracin asociada a esa interfaz.
44
Ejemplo: Ajuste de las direcciones IP de administracin para mltiples interfaces

En este ejemplo se enlaza ethernet2 a la zona DMZ y ethernet3 a la zona Untrust. Se trata de establecer las opciones de administracin en cada interfaz para proporcionar acceso a los diversos tipos de trfico administrativo. Usted permite el acceso HTTP y Telnet a travs de ethernet2 a un grupo de administradores locales en la zona DMZ, y el acceso SNMP a travs de ethernet3 para la supervisin central de un dispositivo desde un sitio remoto. Tanto ethernet2 como ethernet3 tienen una direccin IP de administracin a la que se dirige el trfico administrativo. Tambin puede establecer una ruta que dirija el trfico SNMP autogenerado fuera de ethernet3 al enrutador externo en 1.1.1.250.
Zona Untrust Ethernet3 IP: 1.1.1.1/24 Manage IP: 1.1.1.2 Estacin de administracin de SNMP
Internet
Enrutador 1.1.1.250 Administradores locales Zona DMZ Ethernet2 IP: 1.2.2.1/24 Manage IP: 1.2.2.2
LAN Zona Trust
WebUI
Network > Interfaces > Edit (ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.2.2.1/24 Manage IP: 1.2.2.2
45
Management Services: WebUI: (seleccione) Telnet: (seleccione) Network > Interfaces > Edit (ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Manage IP: 1.1.1.2 Management Services: SNMP: (seleccione)
CLI
set set set set set interface interface interface interface interface ethernet2 ethernet2 ethernet2 ethernet2 ethernet2 ethernet3 ethernet3 ethernet3 ethernet3 zone dmz ip 1.2.2.1/24 manage-ip 1.2.2.2 manage web manage telnet zone untrust ip 1.1.1.1/24 manage-ip 1.1.1.2 manage snmp
set interface set interface set interface set interface save
46
Niveles de administracin
NIVELES DE ADMINISTRACIN
Los dispositivos NetScreen admiten mltiples usuarios administrativos. Cualquier cambio en la configuracin realizado por un administrador queda registrado por el dispositivo NetScreen con la informacin siguiente: El nombre del administrador que efectu el cambio La direccin IP desde la que se realiz el cambio La hora en la que se realiz la modificacin
Existen varios niveles de usuarios administrativos. La disponibilidad de algunos de estos niveles depende del modelo de dispositivo NetScreen. En las secciones siguientes se enumeran todos los niveles de administrador y los privilegios de cada uno. Un administrador slo dispone de estos privilegios despus de haber iniciado correctamente una sesin indicando un nombre de usuario y una contrasea vlidos.
Administrador raz
El administrador raz tiene privilegios administrativos completos. Hay solamente un administrador raz por cada dispositivo NetScreen. El administrador raz tiene los siguientes privilegios: Administra el sistema raz del dispositivo NetScreen Agrega, elimina y administra a los dems administradores Establece y administra los sistemas virtuales, y les asigna interfaces fsicas y lgicas Crea, elimina y administra enrutadores virtuales (VRs) Agrega, elimina y administra zonas de seguridad Asigna interfaces a zonas de seguridad Realiza la recuperacin de activos Cambia el dispositivo al modo FIPS Restablece los ajustes predeterminados del dispositivo Actualiza el firmware Carga los archivos de configuracin Borra todas las sesiones activas de un administrador determinado o de todos los administradores activos
47
Administrador de lectura/escritura
El administrador de lectura/escritura tiene los mismos privilegios que el administrador raz, pero no puede crear, modificar ni eliminar otros usuarios con permisos de administrador. El administrador de lectura/escritura tiene los privilegios siguientes: Crea sistemas virtuales y asigna a cada uno un administrador del sistema virtual Supervisa cualquier sistema virtual Realiza un seguimiento estadstico (un privilegio que no se puede delegar en un administrador del sistema virtual)
Administrador de slo lectura

El administrador de slo lectura solamente tiene privilegios de visualizacin con WebUI y puede ejecutar exclusivamente los comandos CLI get y ping . El administrador de slo lectura tiene los privilegios siguientes: Privilegios de slo lectura en el sistema raz, con los cuatro comandos siguientes: enter , exit , get y ping Privilegios de slo lectura en sistemas virtuales
Administrador de sistema virtual

Algunos dispositivos NetScreen pueden trabajar con sistemas virtuales. Cada sistema virtual (vsys) es un dominio de seguridad nico que puede ser administrado por administradores del sistema virtual con privilegios aplicables solamente a dicho vsys. Los administradores de sistemas virtuales administran independientemente los sistemas virtuales a travs de la interfaz CLI o de WebUI. En cada vsys, el administrador del sistema virtual tiene los privilegios siguientes: Crea y edita auth, IKE, L2TP, XAuth y usuarios de clave manual Crea y edita servicios Crea y edita directivas Crea y edita direcciones Crea y edita VPNs
48
Modifica la contrasea de inicio de sesin del administrador del sistema virtual Crea y administra zonas de seguridad Agrega y elimina administradores de slo lectura del sistema virtual
Administrador de slo lectura del sistema virtual

Un administrador de slo lectura del sistema virtual dispone del mismo conjunto de privilegios que un administrador de slo lectura, pero solamente dentro de un sistema virtual determinado. Un administrador de slo lectura del sistema virtual tiene privilegios de visualizacin en su vsys particular a travs de WebUI y slo puede ejecutar los comandos CLI enter , exit , get y ping en su propio vsys. Nota: Para obtener ms informacin sobre sistemas virtuales, consulte Sistemas virtuales en la pgina 9-1.
Definicin de usuarios con permisos de administrador

El administrador raz es el nico que puede crear, modificar y eliminar usuarios con permisos de administrador. En el ejemplo siguiente, quien vaya a ejecutar el procedimiento debe ser administrador raz.
Ejemplo: Agregar un administrador de slo lectura

En este ejemplo, usted, como administrador raz, agregar un administrador de slo lectura llamado Roger con la contrasea 2bd21wG7.
WebUI
Configuration > Admin > Administrators > New: Introduzca los siguientes datos y haga clic en OK : Name: Roger New Password: 2bd21wG712 Confirm New Password: 2bd21wG7
12. La contrasea puede tener una longitud de hasta 31 caracteres; el sistema distingue entre maysculas y minsculas.
49
Privileges: Read-Only (seleccione)
CLI
set admin user Roger password 2bd21wG7 privilege read-only save
Ejemplo: Modificar un administrador

En este ejemplo, usted, como administrador raz, cambia los privilegios de Roger de slo lectura a lectura/escritura.
WebUI
Configuration > Admin > Administrators > Edit (para Roger): Introduzca los siguientes datos y haga clic en OK : Name: Roger New Password: 2bd21wG7 Confirm New Password: 2bd21wG7 Privileges: Read-Write (seleccione)
CLI
unset admin user Roger set admin user Roger password 2bd21wG7 privilege all save
Ejemplo: Eliminar un administrador

En este ejemplo, usted, como administrador raz, elimina el usuario con permisos de administrador Roger.
50
WebUI
Configuration > Admin > Administrators: Haga clic en Remove para Roger en la columna Configure.
CLI
unset admin user Roger save
Ejemplo: Borrar una sesin de administrador

En este ejemplo, usted, como administrador raz, termina todas las sesiones activas del usuario administrador Roger. Al ejecutar el comando siguiente, el dispositivo NetScreen cierra todas las sesiones y cierra automticamente la sesin de Roger en el sistema.
WebUI
Nota: Debe utilizar la interfaz CLI para eliminar las sesiones de administracin.
CLI
clear admin name Roger save
51
Trfico administrativo seguro
TRFICO ADMINISTRATIVO SEGURO

Para asegurar el dispositivo NetScreen durante la configuracin, realice los pasos siguientes: 1. En la interfaz web, cambie el puerto de administracin. Consulte Cambiar el nmero de puerto en la pgina 53. 2. 3. 4. 5. Cambie el nombre de usuario y la contrasea de acceso administrativo. Consulte Cambio de nombre y contrasea de inicio de sesin del administrador en la pgina 54. Defina las direcciones IP que tendrn los usuarios administradores en el equipo cliente de administracin. Consulte Restriccin del acceso administrativo en la pgina 59. Desactive cualquier opcin innecesaria de servicios de administracin de la interfaz. Consulte Control del trfico administrativo en la pgina 39. Desactive las opciones ping e ident-reset en las interfaces, ya que ambas responden a las peticiones iniciadas por interlocutores desconocidos y pueden revelar informacin sobre su red:
WebUI
Network > Interfaces > Edit (para la interfaz que desee editar): Introduzca las siguientes opciones de servicio y, a continuacin, haga clic en OK : Ping: Seleccionando esta opcin se permite al dispositivo NetScreen responder a una peticin de eco ICMP, o ping, que determina si una determinada direccin IP se encuentra desde el equipo. Ident-Reset: Si un servicio, como el correo electrnico o FTP, enva una solicitud de identificacin y no recibe confirmacin, volver a enviar la solicitud. Mientras dicha solicitud se encuentre en curso, el acceso de usuario estar inhabilitado. Si la casilla de verificacin Ident-Reset est habilitada, el dispositivo NetScreen restaurar automticamente el acceso de usuario.
CLI
unset interface interface manage ping unset interface interface manage ident-reset
52
Cambiar el nmero de puerto

Cambiar el nmero de puerto utilizado por el dispositivo NetScreen para escuchar el trfico administrativo de HTTP aumenta la seguridad. El ajuste predeterminado es el puerto 80, que es el puerto estndar para el trfico HTTP. Cuando haya cambiado el nmero de puerto, deber escribir el nuevo nmero en el campo URL de su explorador web cuando intente comunicarse con el dispositivo NetScreen. (En el ejemplo siguiente, el administrador debe escribir http://188.30.12.2:15522).
Ejemplo: Cambiar el nmero de puerto

En este ejemplo, la direccin IP de la interfaz asociada a la zona Trust es 10.1.1.1/24. Para administrar el dispositivo NetScreen a travs de WebUI en esta interfaz, debe utilizar HTTP. Para aumentar la seguridad de la conexin HTTP, cambie el nmero de puerto HTTP de 80 (el predeterminado) a 15522.
WebUI
Configuration > Admin > Management: En el campo HTTP Port, escriba 15522 , y hage clic en Apply .
CLI
set admin port 15522 save
53
Cambio de nombre y contrasea de inicio de sesin del administrador

De forma predeterminada, el nombre de inicio de sesin preajustado en fbrica para los dispositivos NetScreen es netscreen . La contrasea inicial tambin es netscreen . Dado que ambos han sido ampliamente divulgados, Juniper Networks recomienda cambiar inmediatamente el nombre de inicio de sesin y la contrasea. Tanto el nombre de inicio de sesin como la contrasea distinguen entre maysculas y minsculas. Pueden contener cualquier carcter que pueda introducirse mediante el teclado, salvo el signo de interrogacin ? y las comillas . Anote el nombre de inicio de sesin y la contrasea definitivos en un lugar seguro. Advertencia: No olvide memorizar su nueva contrasea. Si la olvida, deber restablecer los ajustes de fbrica del dispositivo NetScreen y perder todos sus ajustes de configuracin. Para obtener ms informacin, consulte Restablecimiento del dispositivo con los ajustes predeterminados de fbrica en la pgina 58. Los usuarios administradores del dispositivo NetScreen se pueden autenticar usando las bases de datos internas o un servidor de autenticacin externo13. Cuando el usuario administrador inicia una sesin en el dispositivo NetScreen, ste comprueba en primer lugar las bases de datos internas locales para autenticarlo. Si las bases de datos no contienen ninguna entrada y hay conectado un servidor de autenticacin externo, comprueba si ste contiene en su base de datos una entrada coincidente. Una vez que el usuario administrador se ha conectado con xito a un servidor de autenticacin externo, el dispositivo NetScreen conserva localmente su estado de inicio de sesin. Nota: Para obtener ms informacin sobre niveles de usuarios administradores, consulte Niveles de administracin en la pgina 47. Para obtener ms informacin sobre el uso de servidores de autenticacin externos, consulte Servidores de autenticacin externos en la pgina 8-21.
13. Para la autenticacin de usuarios administradores, NetScreen es compatible con servidores RADIUS, SecurID y LDAP. (Para obtener ms informacin, consulte Usuarios con permisos de administrador en la pgina 8-3). Aunque la cuenta del administrador raz debe almacenarse en la base de datos local, se pueden almacenar usuarios administradores de lectura/escritura de nivel raz y de slo lectura de nivel raz en un servidor de autenticacin externo. Para almacenar usuarios administradores de nivel raz y de nivel vsys en un servidor de autenticacin externo y consultar sus privilegios, en el servidor, que debe ser RADIUS, deber cargarse el archivo netscreen.dct. (Consulte Archivo de diccionario de NetScreen en la pgina 8-26).
54
Cuando el administrador raz cambia cualquier atributo del perfil de un usuario administrador (nombre de usuario, contrasea o privilegios), cualquier sesin administrativa que ese administrador tenga abierta en ese momento terminar automticamente. Si el administrador raz cambia cualquiera de estos atributos para s mismo, o si un administrador de lectura/escritura de nivel raz o de lectura/escritura de nivel vsys cambia su propia contrasea, 14 todas las sesiones que el usuario en cuestin tenga abiertas en ese momento se cerrarn, salvo la sesin desde la que realiz el cambio.
Ejemplo: Cambiar el nombre de inicio de sesin y la contrasea de un usuario administrador

En este ejemplo, usted, como administrador raz, cambiar el nombre de inicio de sesin del administrador de 15 lectura/escritura John a Smith y su contrasea de xL7s62a1 a 3MAb99j2 . Nota: Para obtener informacin sobre los diferentes niveles de administradores, consulte Niveles de administracin en la pgina 47.
WebUI
Configuration > Admin > Administrators > Edit (para John): Introduzca los siguientes datos y haga clic en OK : Name: Smith New Password: 3MAb99j2 Confirm New Password: 3MAb99j2
CLI
unset admin user John set admin user Smith password 3MAb99j2 privilege all save
14. El comportamiento de una sesin HTTP o HTTPS en la que se utiliza WebUI es diferente. Dado que HTTP no admite conexiones persistentes, cualquier cambio que realice en su propio perfil de usuario cerrar automticamente todas las sesiones que tenga abiertas en ese momento. 15. En lugar de utilizar palabras reales como contraseas, que resultan fciles de acertar o descubrir mediante un ataque de diccionario, puede utilizar una cadena aparentemente aleatoria de cifras y letras. Para crear tal cadena que pueda recordar fcilmente, componga una oracin y utilice la primera letra de cada palabra. Por ejemplo, la frase Carlos cumplir 6 aos el 21 de noviembre resultar en la contrasea Cc6ae21dn.
55
Ejemplo: Cambiar su propia contrasea

Los usuarios administradores con privilegios de lectura/escritura pueden cambiar su propia contrasea de administrador, pero no su nombre de inicio de sesin. En este ejemplo, un administrador con privilegios de lectura/escritura y el nombre de inicio de sesin Smith cambia su contrasea de 3MAb99j2 a ru494Vq5.
WebUI
Configuration > Admin > Administrators > Edit (para la primera entrada): Introduzca los siguientes datos y haga clic en OK : Name: Smith New Password: ru494Vq5 Confirm New Password: ru494Vq5
CLI
set admin password ru494Vq5 save
56
Establecimiento de la longitud mnima de la contrasea del administrador raz

En algunas empresas, una persona suele realizar la configuracin inicial del dispositivo como administrador raz, pero luego otra persona asume ese papel para, en adelante, administrar el dispositivo. Para evitar que el siguiente administrador raz utilice contraseas cortas mucho ms fciles de desencriptar, el administrador raz inicial puede establecer un requisito de longitud mnima de la contrasea del administrador raz, eligiendo cualquier nmero entre 1 y 31. Observe que solamente puede establecer la longitud mnima de la contrasea si es el administrador raz y su propia contrasea cumple el requisito de longitud mnima que est intentando establecer. De lo contrario, el dispositivo NetScreen muestra un mensaje del error. Para especificar una longitud mnima para la contrasea del administrador raz, escriba el siguiente comando: set admin password restrict length number Nota: Para establecer esta restriccin debe utilizarse la interfaz CLI .
57
Restablecimiento del dispositivo con los ajustes predeterminados de fbrica

Si se pierde la contrasea de administrador, puede utilizar el procedimiento siguiente para restablecer los ajustes predeterminados del dispositivo NetScreen. Las configuraciones se perdern, pero podr acceder de nuevo al dispositivo. Para realizar esta operacin es necesario establecer una conexin de consola, descrita detalladamente en el NetScreen CLI Reference Guide y en los manuales del instalador. Nota: De forma predeterminada, la funcin de restablecimiento del dispositivo est habilitada. Puede desactivarla con el comando unset admin device-reset. Asimismo, cuando el dispositivo NetScreen se encuentra en modo FIPS, la funcin de restablecimiento se desactiva automticamente. 1. 2. En la pantalla de inicio de sesin, escriba el nmero de serie del dispositivo. Cuando se le solicite la contrasea, escriba de nuevo el nmero de serie. Aparecer otro mensaje preguntndole si realmente desea continuar y advirtindole de que se recuperar la configuracin de fbrica, y se borrar toda la configuracin, las claves y los ajustes existentes: !!!! Lost Password Reset !!!! You have initiated a command to reset the device to factory defaults, clearing all current configuration, keys and settings. Would you like to continue? y/n Presione la tecla Y . Aparecer otro mensaje preguntndole si realmente desea continuar y advirtindole nuevamente de que, si responde de nuevo afirmativamente con la tecla y, se incrementar el contador de restablecimientos del dispositivo, la direccin IP del equipo pasar a ser 192.168.1.1, el nombre de usuario y la contrasea sern netscreen y se borrar toda la configuracin del dispositivo: !! Reconfirm Lost Password Reset !! If you continue, the entire configuration of the device will be erased. In addition, a permanent counter will be incremented to signify that this device has been reset. This is your last chance to cancel this command. If you proceed, the device will return to factory default configuration, which is: System IP: 192.168.1.1; username: netscreen; password: netscreen. Would you like to continue? y/n Presione la tecla Y para restablecer el dispositivo. Ahora podr conectarse de nuevo al dispositivo utilizando netscreen como nombre de usuario y contrasea predeterminados.
3.
4.
58
Restriccin del acceso administrativo

Los dispositivos NetScreen se pueden administrar desde una o varias direcciones de una subred. De forma predeterminada, cualquier host conectado a la interfaz confiable puede administrar un dispositivo NetScreen. Para restringir esta posibilidad slo a determinadas estaciones de trabajo, es necesario configurar direcciones IP de clientes de administracin. Nota: La asignacin de una direccin IP de cliente de administracin entra en vigor inmediatamente. Si est administrando el dispositivo a travs de una conexin de red y su estacin de trabajo no est incluida en la asignacin, el dispositivo NetScreen termina inmediatamente su sesin actual y, desde ese momento, le impedir administrar el dispositivo desde esa estacin de trabajo.
Ejemplo: Restriccin de la administracin a una sola estacin de trabajo

En este ejemplo, el administrador en la estacin de trabajo con la direccin IP 172.16.40.42 es el nico autorizado para administrar el dispositivo NetScreen.
WebUI
Configuration > Admin > Permitted IPs: Introduzca los siguientes datos y haga clic en Add : IP Address / Netmask: 172.16.40.42/32
CLI
set admin manager-ip 172.16.40.42/32 save
59
Ejemplo: Restringir la administracin a una subred

En este ejemplo, se designa al grupo de administradores con las estaciones de trabajo de la subred 172.16.40.0/24 para administrar un dispositivo NetScreen.
WebUI
Configuration > Admin > Permitted IPs: Introduzca los siguientes datos y haga clic en Add: IP Address / Netmask: 172.16.40.0/24
CLI
set admin manager-ip 172.16.40.0 255.255.255.0 save
Restriccin del administrador raz a acceder desde la consola

Tambin puede obligar a que el administrador raz inicie su sesin en el dispositivo NetScreen exclusivamente a travs de la consola. Esta restriccin requiere que el administrador raz tenga acceso fsico al dispositivo al que necesita conectarse, impidindose de este modo que usuarios no autorizados puedan iniciar sesiones remotamente como administrador raz. Una vez establecida esta restriccin, el dispositivo denegar el acceso a cualquier persona que intente iniciar una sesin como administrador raz por otros medios, como WebUI, Telnet o SSH, incluso aunque en la interfaz de ingreso estn habilitadas las opciones de administracin correspondientes a esos medios. Para restringir el acceso del administrador raz exclusivamente a travs de la consola, ejecute el comando siguiente: set admin root access console Nota: Para establecer esta restriccin debe utilizarse la interfaz CLI .
60
Tneles de VPN para trfico administrativo

Puede utilizar tneles de red privada virtual (VPN) para hacer segura la administracin remota de un dispositivo NetScreen desde una direccin IP fija o asignada dinmicamente. Usando un tnel VPN puede proteger cualquier tipo de trfico, tal como NetScreen-Security Manager, HTTP, Telnet o SSH. (Para obtener informacin sobre cmo crear un tnel VPN para hacer seguro el trfico autogenerado, como los informes de Security Manager, los informes syslog o las capturas SNMP, consulte Tneles VPN para trfico administrativo autogenerado en la pgina 112). NetScreen admite dos tipos de configuraciones de tneles de VPN: VPNs basadas en rutas : El dispositivo NetScreen utiliza entradas de la tabla de rutas para dirigir el trfico a las interfaces de tnel, asociadas a los tneles de VPN. (Para obtener ms detalles, consulte el Volumen 5, VPNs). VPNs basadas en directivas : El dispositivo NetScreen utiliza los nombres de los tneles de VPN indicados expresamente en las directivas para dirigir el trfico a travs de dichos tneles. (Para obtener ms detalles, consulte el Volumen 5, VPNs). Manual Key (clave manual) : El usuario establece manualmente los tres elementos que definen una asociacin de seguridad (SA) en ambos extremos del tnel: un ndice de parmetros de seguridad (Security Parameters Index o SPI), una clave de encriptacin y una clave de autenticacin. Para modificar cualquier elemento de la SA, debe introducirse manualmente en ambos extremos del tnel. AutoKey IKE with Preshared Key (AutoKey IKE con clave previamente compartida) : Una o dos claves secretas previamente compartidas (una para la autenticacin y otra para la encriptacin) funcionan como valores de inicializacin. El protocolo IKE genera con ellas un juego de claves simtricas en ambos extremos del tnel; es decir, se utiliza la misma clave para encriptar y desencriptar. Estas claves se regeneran automticamente a intervalos predeterminados.
Por cada tipo de configuracin de tnel VPN existen los siguientes tipos de tnel VPN:
61
AutoKey IKE with Certificates (AutoKey IKE con certificados) : Utilizando la infraestructura de claves pblicas (Public Key Infrastructure o PKI), los participantes situados en ambos extremos del tnel utilizan un certificado digital (para la autenticacin) y un par de claves pblica/privada RSA (para la encriptacin). La encriptacin es asimtrica; es decir, una de las claves del par se utiliza para encriptar y la otra para desencriptar. Nota: Para obtener una descripcin completa de los tneles VPN, consulte el Volumen 5, VPNs. Para obtener ms informacin sobre NetScreen-Remote, consulte el NetScreen-Remote Users Guide.
Si utiliza una configuracin de VPN basada en directivas, debe crear una entrada en la libreta de direcciones con la direccin IP de una interfaz de cualquier zona, salvo la que est asociada a la interfaz de salida. Puede entonces utilizarla como direccin de origen en las directivas que se refieren al tnel VPN. Esta direccin tambin sirve como direccin de entidad final para el interlocutor IPSec remoto. Si est utilizando una configuracin VPN basada en rutas, esta entrada en la libreta de direcciones es innecesaria.
62
Ejemplo: Administracin a travs de un tnel VPN de clave manual basado en rutas

En este ejemplo se configura un tnel VPN de clave manual basado en rutas para proporcionar confidencialidad al trfico administrativo. El tnel se extiende desde el cliente VPN de NetScreen-Remote que se ejecuta en una estacin de trabajo de administrador en la direccin 10.1.1.56 hasta ethernet1 (10.1.1.1/24). Tanto la estacin de trabajo del administrador como ethernet1 se encuentran en la zona Trust. El tnel se denomina tunnel-adm. Cree una interfaz de tnel sin numerar, llmela tunnel.1 y asciela a la zona Trust y al tnel VPN tunnel-adm. El dispositivo NetScreen utiliza la direccin IP interna configurada en NetScreen-Remote (10.10.10.1) como direccin de destino para apuntar ms all de la direccin 10.1.1.56 de la puerta de enlace del interlocutor. Defina una ruta hacia 10.10.10.1/32 a travs de tunnel.1. No se requiere ninguna directiva por las dos razones siguientes: El tnel VPN protege por s mismo el trfico administrativo que termina en el dispositivo NetScreen, en lugar de pasar por el dispositivo a otra zona de seguridad. Se trata de una VPN basada en rutas, lo que significa que la consulta de rutas (no la consulta de directivas) vincula la direccin de destino a la interfaz del tnel, que est asociada al tnel VPN correspondiente.
Nota: Compare este ejemplo con Ejemplo: Administracin a travs de un tnel VPN de clave manual basado en directivas en la pgina 69. NetScreen-Remote utiliza la direccin IP de ethernet3 (1.1.1.1) como direccin de destino para apuntar ms all de la puerta de enlace remota en 10.1.1.1. La configuracin de NetScreen-Remote especifica el tipo de identificador del interlocutor remoto como IP address y el protocolo como All.
ethernet1 10.1.1.1/24 Zona Trust LAN Admin 10.1.1.56 (direccin IP esttica) 10.10.10.1/32 (direccin IP interna) clave manual Tnel VPN tunnel-adm Dispositivo NetScreen Zona Untrust ethernet3 1.1.1.1/24
NetScreen-Remote
tunnel.1 no numerada
63
WebUI
1. Interfaces
Network > Interfaces > Edit (ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK : Tunnel Interface Name: Tunnel.1 Zone (VR): Trust (trust-vr) Unnumbered: (seleccione) Interface: ethernet1(trust-vr)16
16. La interfaz de tnel no numerada toma prestada la direccin IP de la interfaz de la zona de seguridad especificada.
64
2.
VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK : VPN Tunnel Name: tunnel-adm Gateway IP: 10.1.1.56 Security Index (HEX Number): 5555 (Local) 5555 (Remote) Outgoing Interface: ethernet1 ESP-CBC: (seleccione) Encryption Algorithm: DES-CBC Generate Key by Password : netscreen1 Authentication Algorithm: MD5 Generate Key by Password: netscreen2 > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica: Bind to Tunnel Interface: (seleccione), Tunnel.1
17
3.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.10.10.1/32 Gateway: (seleccione) Interface: Tunnel.1 Gateway IP Address: 0.0.0.0
17. Dado que NetScreen-Remote transforma las contraseas en claves de forma diferente a otros productos de NetScreen, despus de configurar el tnel haga lo siguiente: (1) Regrese al cuadro de dilogo Manual Key Configuration (haciendo clic en Edit en la columna Configure de tunnel-adm); (2) copie las claves hexadecimales generadas; y (3) utilice estas claves al configurar el extremo NetScreen-Remote del tnel.
65
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone trust set interface tunnel.1 ip unnumbered interface ethernet1
18
2.
VPN
set vpn tunnel-adm manual 5555 5555 gateway 10.1.1.56 outgoing ethernet1 esp 19 des password netscreen1 auth md5 password netscreen2 set vpn tunnel-adm bind interface tunnel.1
3.
Ruta
set vrouter trust-vr route 10.10.10.1/32 interface tunnel.1 save
18. La interfaz de tnel no numerada toma prestada la direccin IP de la interfaz de la zona de seguridad especificada. 19. Dado que NetScreen-Remote transforma las contraseas en claves de forma diferente a otros productos de NetScreen, despus de configurar el tnel haga lo siguiente: (1) Escriba get vpn admin-tun ; (2) copie las claves hexadecimales generadas por netscreen1 y netscreen2; (3) utilice estas claves hexadecimales al configurar el extremo NetScreen-Remote del tnel.
66
Editor de directivas de seguridad de NetScreen-Remote

1. 2. 3. 4. Haga clic en Options > Global Policy Settings y seleccione la casilla de verificacin Allow to Specify Internal Network Address . Haga clic en Options > Secure > Specified Connections . Haga clic en Add a new connection y escriba Admin junto al icono de nueva conexin que aparecer seguidamente. Configure las opciones de conexin: Connection Security: Secure Remote Party Identity and Addressing: ID Type: IP Address, 1.1.1.1 Protocol: All Connect using Secure Gateway Tunnel: (seleccione) ID Type: IP Address, 10.1.1.1 5. 6. 7. 8. 9. Haga clic en el signo MS situado a la izquierda del icono de unix para ampliar la directiva de la conexin. Haga clic en My Identity en la lista desplegable Select Certificate, seleccione None y en Internal Network IP Address escriba 10.10.10.1 . Haga clic en Security Policy y seleccione Use Manual Keys . Haga clic en el smbolo MS situado a la izquierda del icono Security Policy y luego en el smbolo MS a la izquierda de Key Exchange (Phase 2) para ampliar ms an la directiva. Haga clic en Proposal 1 y seleccione los siguientes protocolos IPSec: Encapsulation Protocol (ESP): (seleccione) Encrypt Alg: DES Hash Alg: MD5 Encapsulation: Tunnel
67
10. Haga clic en Inbound Keys y escriba 5555 en el campo Security Parameters Index. 11. Haga clic en Enter Key , escriba lo siguiente , y luego haga clic en OK : Choose key format: Binary ESP Encryption Key: dccbee96c7e546bc ESP Authentication Key: dccbe9e6c7e546bcb0b667794ab7290c 12. Haga clic en Outbound Keys y escriba 5555 en el campo Security Parameters Index. 13. Haga clic en Enter Key , escriba lo siguiente , y luego haga clic en OK : Choose key format: Binary ESP Encryption Key: dccbee96c7e546bc ESP Authentication Key: dccbe9e6c7e546bcb0b667794ab7290c 14. Haga clic en Save .
20 20
20. stas son las dos claves generadas que copi despus de configurar el dispositivo NetScreen.
68
Ejemplo: Administracin a travs de un tnel VPN de clave manual basado en directivas

En este ejemplo se configura un tnel VPN de clave manual basado en directivas para el trfico administrativo. El tnel se extiende desde el cliente VPN de NetScreen-Remote que se ejecuta en una estacin de trabajo de administrador en la direccin 10.1.1.56 hasta ethernet1 (10.1.1.1/24). Tanto la estacin de trabajo del administrador como ethernet1 se encuentran en la zona Trust. El tnel se llamar tunnel-adm y se asociar a la zona Trust. El dispositivo NetScreen utiliza la direccin IP interna configurada en NetScreen-Remote (10.10.10.1) como direccin de destino para apuntar ms all de la direccin 10.1.1.56 de la puerta de enlace del interlocutor. Tambin se definir una entrada en la libreta de direcciones de la zona Trust especificando 10.10.10.1/32 y otra entrada en la libreta de la zona Untrust especificando la direccin IP de ethernet3. Aunque la direccin de la interfaz ethernet3 es 1.1.1.1/24, la direccin que se crear tendr una mscara de red de 32 bits: 1.1.1.1/32. Esta direccin y la direccin interna de la estacin de trabajo del administrador se utilizarn en la directiva que se crear con relacin al tnel tunnel-adm. La directiva es necesaria porque se trata de una VPN basada en directivas, lo que quiere decir que la consulta de directivas (no la consulta de rutas) vincula la direccin de destino a la interfaz del tnel VPN correspondiente. Tambin se debe definir una ruta hacia 10.10.10.1/32 a travs de ethernet1. Nota: Compare este ejemplo con Ejemplo: Administracin a travs de un tnel VPN de clave manual basado en rutas en la pgina 63. NetScreen-Remote utiliza la direccin IP 1.1.1.1 como direccin de destino para apuntar ms all de la puerta de enlace remota en 10.1.1.1. La configuracin del tnel de NetScreen-Remote especifica el tipo de identificador del interlocutor remoto como direccin IP y el protocolo como All.
NetScreen-Remote Zona Trust Admin 10.1.1.56 (direccin IP esttica) LAN Tnel VPN con clave manual tunnel-adm Zona Untrust ethernet1 10.1.1.1/24 ethernet3 1.1.1.1/24
69
WebUI
1. Interfaces
Network > Interfaces > Edit (ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: Untrust-IF IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.1/32 Zone: Untrust Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: administradores IP Address/Domain Name: IP/Netmask: (seleccione), 10.10.10.1/32 Zone: Trust
70
3.
VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK : VPN Tunnel Name: tunnel-adm Gateway IP: 10.1.1.56 Security Index (HEX Number): 5555 (Local) 5555 (Remote) Outgoing Interface: ethernet1 ESP-CBC: (seleccione) Encryption Algorithm: DES-CBC Generate Key by Password : netscreen1 Authentication Algorithm: MD5 Generate Key by Password: netscreen2
21
4.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.10.10.1/32 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 0.0.0.0
21. Dado que NetScreen-Remote transforma las contraseas en claves de forma diferente a otros productos de NetScreen, despus de configurar el tnel haga lo siguiente: (1) Regrese al cuadro de dilogo Manual Key Configuration (haciendo clic en Edit en la columna Configure de tunnel-adm); (2) copie las claves hexadecimales generadas; y (3) utilice estas claves al configurar el extremo NetScreen-Remote del tnel.
71
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), admin Destination Address: Address Book Entry: (seleccione), Untrust-IF Service: Any Action: Tunnel Tunnel: VPN: tunnel-adm Modify matching bidirectional VPN policy: (seleccione) Position at Top: (seleccione)
72
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
2.
Direcciones
set address trust admin 10.10.10.1/32 set address untrust Untrust-IF 1.1.1.1/32
3.
VPN
set vpn tunnel-adm manual 5555 5555 gateway 10.1.1.56 outgoing ethernet1 esp 22 des password netscreen1 auth md5 password netscreen2
4. 5.
Ruta
set vrouter trust-vr route 10.10.10.1/32 interface ethernet1
Directivas
set policy top from trust to untrust admin Untrust-IF any tunnel vpn tunnel-adm set policy top from untrust to trust Untrust-IF admin any tunnel vpn tunnel-adm save
22. Dado que NetScreen-Remote transforma las contraseas en claves de forma diferente a otros productos de NetScreen, despus de configurar el tnel haga lo siguiente: (1) Escriba get vpn admin-tun ; (2) copie las claves hexadecimales generadas por netscreen1 y netscreen2; (3) utilice estas claves hexadecimales al configurar el extremo NetScreen-Remote del tnel.
73
Editor de directivas de seguridad NetScreen-Remote Security Policy Editor

1. 2. 3. Haga clic en Options > Secure > Specified Connections . Haga clic en Add a new connection y escriba Admin junto al icono de nueva conexin que aparecer seguidamente. Configure las opciones de conexin: Connection Security: Secure Remote Party Identity and Addressing: ID Type: IP Address, 1.1.1.1 Protocol: All Connect using Secure Gateway Tunnel: (seleccione) ID Type: IP Address, 10.1.1.1 4. 5. 6. 7. 8. Haga clic en el signo MS situado a la izquierda del icono de unix para ampliar la directiva de la conexin. Haga clic en My Identity y, en la lista desplegable Select Certificate, elija None . Haga clic en Security Policy y seleccione Use Manual Keys . Haga clic en el smbolo MS situado a la izquierda del icono Security Policy y luego en el smbolo MS a la izquierda de Key Exchange (Phase 2) para ampliar ms an la directiva. Haga clic en Proposal 1 y seleccione los siguientes protocolos IPSec: Encapsulation Protocol (ESP): (seleccione) Encrypt Alg: DES Hash Alg: MD5 Encapsulation: Tunnel
74
9.
Haga clic en Inbound Keys y escriba 5555 en el campo Security Parameters Index.
23
10. Haga clic en Enter Key , escriba lo siguiente , y luego haga clic en OK : Choose key format: Binary ESP Encryption Key: dccbee96c7e546bc ESP Authentication Key: dccbe9e6c7e546bcb0b667794ab7290c 11. Haga clic en Outbound Keys y escriba 5555 en el campo Security Parameters Index. 12. Haga clic en Enter Key , escriba lo siguiente , y luego haga clic en OK : Choose key format: Binary ESP Encryption Key: dccbee96c7e546bc ESP Authentication Key: dccbe9e6c7e546bcb0b667794ab7290c 13. Haga clic en Save .
20
23. stas son las dos claves generadas que copi despus de configurar el dispositivo NetScreen.
75
76
Captulo 2
Supervisin de dispositivos NetScreen

Este captulo trata de los siguientes temas relacionados con la supervisin de dispositivos NetScreen: Almacenamiento de la informacin del registro en la pgina 78 Registro de eventos en la pgina 80 Visualizacin del registro de eventos en la pgina 81 Clasificacin y filtrado del registro de eventos en la pgina 83 Descarga del registro de eventos en la pgina 85 Registro de trfico en la pgina 87 Visualizacin del registro de trfico en la pgina 89 Descarga del registro de trfico en la pgina 91 Registro propio en la pgina 92 Visualizacin del registro propio en la pgina 92 Descargar el registro propio en la pgina 95 Registro de recuperacin de activos en la pgina 96 Alarmas de trfico en la pgina 97 Syslog en la pgina 102 WebTrends en la pgina 104 SNMP en la pgina 106 Resumen de implementacin en la pgina 109 Tneles VPN para trfico administrativo autogenerado en la pgina 112 Contadores en la pgina 135
77
Captulo 2 Supervisin de dispositivos NetScreen
Almacenamiento de la informacin del registro
ALMACENAMIENTO DE LA INFORMACIN DEL REGISTRO

Todos los dispositivos NetScreen permiten almacenar datos del registro de eventos y de trfico en soportes internos (memoria flash) y externos (en una serie de ubicaciones). Aunque resulta muy cmodo almacenar la informacin del registro internamente, la cantidad de memoria disponible es limitada. Cuando el espacio de almacenamiento interno se llena totalmente, el dispositivo NetScreen comienza a sobrescribir las entradas ms antiguas del registro con las ms recientes. Si este mecanismo FIFO (first-in-first-out, es decir, las entradas ms antiguas son las primeras que se sobrescriben) entra en accin antes de que usted haya guardado la informacin registrada, puede perder datos. Para minimizar tal prdida de datos, puede almacenar los registros de eventos y trfico externamente en un servidor syslog o WebTrends, o bien en la base de datos NetScreen-Global PRO. El dispositivo NetScreen enva las nuevas entradas del registro de eventos y trfico a una ubicacin de almacenamiento externo cada segundo. La siguiente lista proporciona los posibles destinos de los datos registrados: Console (Consola): Un destino muy til para que todas las entradas del registro estn disponibles cuando se estn resolviendo problemas en un dispositivo NetScreen a travs de la consola. Opcionalmente, puede elegir que aqu solamente aparezcan mensajes de alarma (crtico, alerta, emergencia) para alertarle inmediatamente si se desencadena alguna alarma mientras usted est utilizando la consola. Internal (Interno): La base de datos interna de un dispositivo NetScreen es un destino muy prctico para las entradas del registro, pero su espacio es limitado. Email (Correo electrnico): Un mtodo cmodo para enviar registros de eventos y trfico a administradores remotos. SNMP: Adems de la transmisin de capturas SNMP, un dispositivo NetScreen tambin puede enviar mensajes de alarma (crtico, alerta, emergencia) desde su registro de eventos a una comunidad SNMP. Syslog: Un dispositivo NetScreen tambin puede enviar a un servidor syslog todas las entradas del registro de eventos y trfico que almacene en su interior. Dado que los servidores syslog tienen una capacidad de almacenamiento mucho mayor que las memorias flash internas de un dispositivo NetScreen, el envo de datos a un servidor syslog puede minimizar la prdida de datos que podra producirse cuando el nmero de entradas del registro supera la capacidad mxima de almacenamiento interno. Syslog almacena eventos de los niveles de alerta y emergencia en la utilidad de seguridad que usted especifique, y los dems eventos (incluyendo los datos de trfico) en otro equipo que tambin se puede especificar.
78
Almacenamiento de la informacin del registro
WebTrends: Permite visualizar los datos del registro de los niveles crtico, alerta y emergencia en un formato ms grfico que syslog, que es una herramienta de visualizacin en modo texto. CompactFlash (PCMCIA): La ventaja de este destino es la portabilidad. Despus de almacenar datos en una tarjeta CompactFlash, puede extraer fsicamente la tarjeta del dispositivo NetScreen y almacenarla o cargarla en otro dispositivo.
79
Registro de eventos
REGISTRO DE EVENTOS
NetScreen proporciona un registro de eventos para la supervisin de los eventos del sistema, tales como cambios de configuracin efectuados por administradores y mensajes y alarmas autogenerados en relacin con el comportamiento operativo y los ataques recibidos. El dispositivo NetScreen categoriza los eventos del sistema segn los siguientes niveles de gravedad: Emergency: mensajes sobre ataques de tipo SYN, Tear Drop y Ping of Death. Para obtener ms informacin sobre estos tipos de ataques, consulte el Volumen 4, Mecanismos de deteccin de ataques y defensa. Alert: mensajes sobre condiciones que requieren una atencin inmediata, como ataques al cortafuegos y vencimiento de claves de licencia. Critical: mensajes sobre condiciones que probablemente afectan a la funcionalidad del dispositivo, como cambios de estado de alta disponibilidad (HA). Error: mensajes sobre condiciones de error que probablemente afectan a la funcionalidad del dispositivo, como un fallo en el anlisis antivirus o un error de comunicacin con servidores SSH. Warning: mensajes sobre condiciones que podran afectar a la funcionalidad del dispositivo, como un fallo de conexin con servidores de correo electrnico o errores de autenticacin, vencimientos de tiempos de espera y xitos. Notification: mensajes sobre eventos normales, incluyendo cambios de configuracin iniciados por un administrador. Information: mensajes que ofrecen informacin general sobre operaciones del sistema. Debugging: mensajes que ofrecen informacin detallada utilizada con fines de depuracin.
El registro de eventos muestra la fecha y hora, el nivel y la descripcin de cada evento del sistema. Puede ver los eventos del sistema correspondientes a cada categora almacenada en la memoria flash del dispositivo NetScreen a travs de WebUI o CLI. Tambin puede abrir o guardar el archivo en la ubicacin que especifique, y luego utilizar un editor de textos ASCII (como Notepad o WordPad) para ver el archivo. Alternativamente, puede enviarlos a un almacenamiento externo (consulte Almacenamiento de la informacin del registro en la pgina 78). Nota: Para obtener informacin detallada sobre los mensajes que aparecen en el registro de eventos, consulte el manual NetScreen Message Log Reference Guide.
80
Registro de eventos
Visualizacin del registro de eventos

Puede ver el registro de eventos almacenado en el dispositivo mediante CLI o WebUI. Las entradas del registro se pueden mostrar segn el nivel de gravedad y buscar por palabras clave, tanto en WebUI como en CLI. Para mostrar el registro de eventos por niveles de gravedad, ejecute cualquiera de los siguientes procedimientos:
WebUI
Reports > System Log > Event: Seleccione un nivel de gravedad en la lista desplegable Log Level.
CLI
get event level { emergency | alert | critical | error | warning | notification | information | debugging } Para buscar en el registro de eventos por palabras clave, ejecute cualquiera de los siguientes procedimientos:
WebUI
Reports > System Log > Event: Escriba una palabra o una frase de hasta 15 caracteres en el campo de bsqueda y haga clic en Search .
CLI
get event include word_string
81
Registro de eventos
Ejemplo: Ver el registro de eventos segn nivel de gravedad y palabra clave

En este ejemplo visualizar entradas del registro de eventos con un nivel de gravedad warning y buscar la palabra clave AV.
WebUI
Reports > System Log > Event: Log Level: Warning (seleccione) Search: Introduzca AV y, a continuacin, haga clic en Search.
CLI
get event level warning include av Date Time Module Level Type Description 2003-05-16 15:56:20 system warn 00547 AV scanman is removed. 2003-05-16 09:45:52 system warn 00547 AV test1 is removed. Total entries matched = 2
82
Registro de eventos
Clasificacin y filtrado del registro de eventos

Tambin puede utilizar la interfaz de lnea de comandos (CLI) para clasificar o filtrar el registro de eventos basdose en los criterios siguientes: Direccin IP de origen o de destino: Slo ciertos eventos contienen una direccin IP de origen o de destino, como los ataques terrestres (land attacks) o los ataques de inundacin por ping. Cuando se clasifican los registros de eventos por direccin IP de origen o de destino, el dispositivo clasifica y muestra solamente los registros de eventos que contienen direcciones IP de origen o de destino. Ignora todos los registros de eventos que no contengan direccin IP de origen o de destino. Cuando se filtra el registro de eventos especificando una direccin IP de origen o de destino, o bien un rango de direcciones, el dispositivo muestra las entradas del registro correspondientes a la direccin IP de origen o de destino, o bien al rango de direcciones que se haya especificado. Fecha: El registro de eventos se puede clasificar por fecha solamente, o bien por fecha y hora. Cuando se clasifican las entradas del registro por fecha y hora, el dispositivo enumera las entradas del registro en orden descendente de fecha y hora. Tambin se pueden filtrar las entradas del registro de eventos especificando una fecha de comienzo, una fecha de final, o bien un intervalo de fechas. Cuando se especifica una fecha de comienzo, el dispositivo muestra las entradas del registro que tengan marcas de fecha/hora posteriores a la fecha de comienzo. Si se especifica una fecha de final, el dispositivo muestra las entradas del registro que tengan marcas de fecha/hora anteriores a la misma. Hora: Al clasificar registros por hora, el dispositivo muestra las entradas del registro en orden descendente segn su hora, sin importar la fecha. Si se especifica una hora de comienzo, el dispositivo muestra las entradas del registro cuyas marcas de hora sean posteriores a la hora de comienzo especificada, sin importar la fecha. Si se especifica una hora de final, el dispositivo muestra las entradas del registro cuyas marcas de hora sean anteriores a la hora de final especificada, sin importar la fecha. Si se especifica una hora de comienzo y otra de final, el dispositivo muestra las entradas del registro cuyas marcas de hora se encuentren dentro del periodo de tiempo especificado. Nmero de identificacin del tipo de mensaje: Se pueden mostrar las entradas del registro de eventos correspondientes a un determinado nmero de identificacin del tipo de mensaje, o bien las entradas cuyos nmeros de identificacin del tipo de mensaje coincidan con un rango especificado. El dispositivo muestra las entradas del registro con los nmero de identificacin de los tipos de mensaje especificados, clasificados por fecha y hora en orden descendente.
83
Registro de eventos
Ejemplo: Clasificar las entradas del registro de eventos por direcciones IP

En este ejemplo podr ver las entradas del registro de eventos que contienen direcciones IP de origen en el rango 10.100.0.0 a 10.200.0.0. Las entradas del registro tambin estn clasificadas por direcciones IP de origen.
WebUI
Nota: Debe utilizar el CLI para clasificar el registro de eventos segn las entradas de direcciones.
CLI
get event sort-by src-ip 10.100.0.0-10.200.0.0
84
Registro de eventos
Descarga del registro de eventos

Tambin puede abrir o guardar el registro de eventos en la ubicacin que especifique, y luego utilizar un editor de textos ASCII (como Notepad o WordPad) para ver el archivo. Alternativamente, puede enviar las entradas del registro a un almacenamiento externo (consulte Almacenamiento de la informacin del registro en la pgina 78). Tambin puede descargar el registro de eventos completo a travs de WebUI. Mediante la interfaz CLI se puede descargar el registro de eventos por niveles de gravedad.
Ejemplo: Descargar el registro de eventos

En este ejemplo, descargar el registro de eventos al directorio. Usando la WebUI, descrguelo en C:\netscreen\logs. Con CLI, puede descargarlo al directorio raz de un servidor TFTP en la direccin IP 10.1.1.5. Nombrar el archivo evnt07-02.txt.
WebUI
1. Reports > System Log > Event: Haga clic en Save . El cuadro de dilogo File Download le pedir que abra el archivo (con un editor ASCII) o que lo guarde en el disco. 2. 3. Seleccione la opcin Save y haga clic en OK . El cuadro de dilogo File Download le pedir que elija un directorio. Especifique C:\netscreen\logs , nombre el archivo evnt07-02.txt y haga clic en Save .
CLI
get event > tftp 10.1.1.5 evnt07-02.txt
85
Registro de eventos
Ejemplo: Descargar los eventos crticos del registro de eventos

En este ejemplo descargar los eventos crticos existentes en el registro de eventos al directorio raz de un servidor TFTP con la direccin IP 10.1.1.5 (CLI). Nombrar el archivo crt_evnt07-02.txt.
WebUI
Nota: Debe utilizar el CLI para descargar entradas segn el nivel de gravedad.
CLI
get event level critical > tftp 10.1.1.5 crt_evnt07-02.txt
86
Registro de trfico
REGISTRO DE TRFICO
El dispositivo NetScreen puede supervisar y registrar el trfico que autoriza o deniega basndose en las directivas previamente configuradas. Puede habilitar la opcin de registro para cada directiva que configure. Al habilitar la opcin de registro para una directiva de autorizacin de trfico, el dispositivo registra el trfico autorizado por esa directiva. Al habilitar la opcin de registro para una directiva de denegacin de trfico, el dispositivo registra el trfico que intenta pasar a travs del dispositivo pero que resulta anulado por esa directiva. En un registro de trfico se anotan los siguientes elementos de cada sesin: Fecha y hora de inicio de la conexin Direccin de origen y nmero de puerto Direccin de origen traducida y nmero de puerto Direccin de destino y nmero de puerto La duracin de la sesin El servicio utilizado en la sesin
Para registrar todo el trfico recibido por un dispositivo NetScreen, debe habilitarse la opcin de registro para todas las directivas. Para registrar trfico especfico, habilite el registro solamente para las directivas que afecten a ese tipo de trfico. Para habilitar la opcin de registro de una directiva, ejecute cualquiera de los siguientes procedimientos:
WebUI
Policies > (From: src_zone, To: dst_zone) New : Seleccione Logging y haga clic en OK .
CLI
set policy from src_zone to dst_zone src_addr dst_addr service action log
87
Registro de trfico
Adems de registrar el trfico de una directiva, el dispositivo tambin puede mantener una cuenta en bytes de todo el trfico de la red al que se aplic la directiva. Cuando se habilita la opcin de recuento, el dispositivo incluye la siguiente informacin al mostrar entradas del registro de trfico. El nmero de bytes transmitidos de un origen a un destino El nmero de bytes transmitidos de un destino a un origen
Para habilitar la opcin de recuento de una directiva, ejecute cualquiera de los siguientes procedimientos:
WebUI
Policies > (From: src_zone, To: dst_zone) New > Advanced: Seleccione Counting , haga clic en Return y luego haga clic en OK .
CLI
set policy from src_zone to dst_zone src_addr dst_addr service action log count
88
Registro de trfico
Visualizacin del registro de trfico

Las entradas del registro de trfico almacenadas en la memoria flash del dispositivo NetScreen se pueden visualizar a travs de CLI o de WebUI:
WebUI
Policies > o bien Reports > Policies > (para la directiva con number de ID) (para la directiva con number de ID)
CLI
get log traffic policy number
Ejemplo: Visualizar las entradas del registro de trfico

En este ejemplo se visualizan los detalles del registro de trfico de una directiva con la identificacin nmero 3, para la que previamente se ha habilitado el registro:
WebUI
Policies: Haga clic en el icono Aparece la informacin siguiente:
Source Address/Port Destination Address/Port
10.1.1.5:80
correspondiente a la directiva con el nmero de identificacin 3.
Date/Time
Translated Source Address/Port

1.1.1.1:1046
Translated Destination Address/Port

10.1.1.5:80
Service
HTTP
Duration
1800 sec.
Bytes Sent
326452
Bytes Received
289207
2003-01-09 21:33:43 1.1.1.1:1046
CLI
get log traffic policy 3
89
Registro de trfico
Clasificacin y filtrado del registro de trfico

De forma similar al registro de eventos, cuando se utiliza la interfaz CLI para ver el registro de trfico se pueden clasificar o filtrar las entradas del registro segn los criterios siguientes: Source or Destination IP Address (Direccin IP de origen o de destino): El registro de trfico se puede clasificar por direcciones IP de origen o de destino. Tambin se puede filtrar el registro de trfico especificando una direccin IP de origen o de destino, o bien un rango de direcciones. Date (Fecha): El registro de trfico se puede clasificar por fechas solamente, o bien por fecha y hora. El dispositivo muestra las entradas del registro en orden descendente por fecha y hora. Tambin se pueden filtrar las entradas del registro de eventos especificando una fecha de comienzo, una fecha de final, o bien un intervalo de fechas. Cuando se especifica una fecha de comienzo, el dispositivo muestra las entradas del registro que tengan marcas de fecha/hora posteriores a la fecha de comienzo. Si se especifica una fecha de final, el dispositivo muestra las entradas del registro que tengan marcas de fecha/hora anteriores a la misma. Time (Hora): Al clasificar el registro de trfico por hora, el dispositivo muestra las entradas del registro en orden descendente segn su hora, sin importar la fecha. Si se especifica una hora de comienzo, el dispositivo muestra las entradas del registro cuyas marcas de hora sean posteriores a la hora de comienzo especificada, sin importar la fecha. Si se especifica una hora de final, el dispositivo muestra las entradas del registro cuyas marcas de hora sean anteriores a la hora de final especificada, sin importar la fecha. Si se especifica una hora de comienzo y otra de final, el dispositivo muestra las entradas del registro cuyas marcas de hora se encuentren dentro del periodo de tiempo especificado.
Ejemplo: Clasificar el registro de trfico por horas

En este ejemplo se visualizan los registros de trfico clasificados por hora con una marca horaria posterior a las 01:00 horas.
WebUI
Nota: La posibilidad de clasificar el registro de trfico por tiempo est disponible nicamente con el CLI.
CLI
get log traffic sort-by time start-time 01:00:00
90
Registro de trfico
Descarga del registro de trfico

Tambin puede abrir o guardar el registro en la ubicacin que especifique, y luego utilizar un editor de textos ASCII (como Notepad o WordPad) para ver el archivo. Alternativamente, puede enviar las entradas del registro de trfico a un almacenamiento externo (consulte Almacenamiento de la informacin del registro en la pgina 78). El dispositivo NetScreen crea una entrada en el registro de trfico cuando se termina una sesin. El dispositivo NetScreen enva las nuevas entradas cada segundo cuando est habilitado para enviar entradas del registro de trfico a una ubicacin de almacenamiento externo. Dado que el dispositivo NetScreen genera una entrada en el registro de trfico cada vez que se cierra una sesin, enva las entradas del registro de trfico de todas las sesiones cerradas durante el ltimo segundo. Tambin se pueden incluir entradas del registro de trfico con las entradas del registro de eventos enviadas por correo electrnico a un administrador.
Ejemplo: Descargar un registro de trfico

En este ejemplo se descarga el registro de trfico correspondiente a una directiva con la identificacin nmero 12. Con WebUI se descarga al directorio local C:\netscreen\logs. Con CLI, se descarga al directorio raz de un servidor TFTP en la direccin IP 10.10.20.200. El archivo se nombra traf_log11-21-02.txt.
WebUI
1. Reports > Policies > (para la directiva con ID 12): Haga clic en Save . El cuadro de dilogo File Download le pedir que abra el archivo (con un editor ASCII) o que lo guarde en el disco. 2. 3. Seleccione la opcin Save y haga clic en OK . El cuadro de dilogo File Download le pedir que elija un directorio. Especifique C:\netscreen\logs, nombre el archivo traf_log11-21-02.txt y haga clic en Save .
CLI
get log traffic policy 12 > tftp 10.10.20.200 traf_log11-21-02.txt
91
Registro propio
REGISTRO PROPIO
NetScreen proporciona un registro propio para supervisar y registrar todos los paquetes llegados al dispositivo NetScreen. Por ejemplo, al desactivar algunas opciones de administracin en una interfaz, como WebUI, SNMP y el comando ping, y se enva trfico HTTP, SNMP o ICMP a esa interfaz, en el registro propio se generan entradas por cada paquete descartado. Para activar el registro propio, proceda de una de las siguientes maneras:
WebUI
Configuration > Report Settings > Log Settings: Active la casilla de verificacin Log Packets Terminated to Self y haga clic en Apply .
CLI
set firewall log-self Cuando se activa el registro propio, el dispositivo NetScreen registra las entradas en dos lugares: el registro propio y el registro de trfico. De forma similar al registro de trfico, el registro propio muestra a la fecha y hora, la direccin o puerto de origen, la direccin o puerto de destino, la duracin y el servicio de cada paquete descartado que termin en el dispositivo NetScreen. Normalmente, las entradas del registro propio tienen una zona de origen de cero y una zona de destino de "registro propio".
Visualizacin del registro propio

El registro propio, que se guarda en la memoria flash del dispositivo NetScreen, se puede visualizar a travs de CLI o de WebUI.
WebUI
Reports > System Log > Self
CLI
get log self
Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin 92
Registro propio
Clasificacin y filtrado del registro propio

De forma similar a los registros de eventos y trfico, cuando se utiliza la interfaz CLI para ver el registro propio se pueden clasificar o filtrar las entradas del registro segn los siguientes criterios: Source or Destination IP Address (Direccin IP de origen o de destino): El registro propio se puede clasificar por direcciones IP de origen o de destino. Tambin se puede filtrar el registro propio especificando una direccin IP de origen o de destino, o bien un rango de direcciones. Date (Fecha): El registro propio se puede clasificar por fecha solamente, o bien por fecha y hora. El dispositivo muestra las entradas del registro en orden descendente por fecha y hora. Tambin se pueden filtrar las entradas del registro propio especificando una fecha de comienzo, una fecha de final, o bien un intervalo de fechas. Cuando se especifica una fecha de comienzo, el dispositivo muestra las entradas del registro que tengan marcas de fecha/hora posteriores a la fecha de comienzo. Si se especifica una fecha de final, el dispositivo muestra las entradas del registro que tengan marcas de fecha/hora anteriores a la misma. Time (Hora): Al clasificar el registro propio por hora, el dispositivo muestra las entradas del registro en orden descendente segn su hora, sin importar la fecha. Si se especifica una hora de comienzo, el dispositivo muestra las entradas del registro cuyas marcas de hora sean posteriores a la hora de comienzo especificada, sin importar la fecha. Si se especifica una hora de final, el dispositivo muestra las entradas del registro cuyas marcas de hora sean anteriores a la hora de final especificada, sin importar la fecha. Si se especifica una hora de comienzo y otra de final, el dispositivo muestra las entradas del registro cuyas marcas de hora se encuentren dentro del periodo de tiempo especificado.
93
Registro propio
Ejemplo: Filtrar el registro propio por horas

En este ejemplo se filtran las entradas del registro propio por horas finales. El dispositivo NetScreen muestra las entradas del registro cuyas marcas de fecha/hora son anteriores a la hora de final especificada:WebUI Nota: La posibilidad de filtrar el registro propio segn tiempo est disponible nicamente con el CLI.
CLI
get log self end-time 16:32:57 ================================================================================== Date Time Duration Source IP Port Destination IP Port Service ================================================================================== 2003-08-21 16:32:57 0:00:00 10.100.25.1 0 224.0.0.5 0 OSPF 2003-08-21 16:32:47 0:00:00 10.100.25.1 0 224.0.0.5 0 OSPF Total entries matched = 2
94
Registro propio
Descargar el registro propio

El registro tambin se puede guardar como archivo de texto en la ubicacin especificada, y despus utilizar un editor de textos ASCII (como Notepad o WordPad) para visualizarlo.
Ejemplo: Descargar el registro propio

En este ejemplo se descarga un registro propio al directorio local C:\netscreen\logs (WebUI) o al directorio raz de un servidor TFTP con la direccin IP 10.1.1.5 (CLI). Nombrar el archivo self_log07-03-02.txt.
WebUI
1. Reports > System Log > Self: Haga clic en Save . El cuadro de dilogo File Download le pedir que abra el archivo (con un editor ASCII) o que lo guarde en el disco. 2. 3. Seleccione la opcin Save y haga clic en OK . El cuadro de dilogo File Download le pedir que elija un directorio. Especifique C:\netscreen\logs, nombre el archivo self_log07-03-02.txt y haga clic en Save .
CLI
get log self > tftp 10.1.1.5 self_log07-03-02.txt
95
Registro de recuperacin de activos
REGISTRO DE RECUPERACIN DE ACTIVOS

NetScreen proporciona un registro de recuperacin de activos para mostrar informacin sobre cada vez que se restablecen los ajustes predeterminados del dispositivo mediante el procedimiento de recuperacin de activos (consulte Restablecimiento del dispositivo con los ajustes predeterminados de fbrica en la pgina 58). Adems de ver el registro de recuperacin de activos con WebUI o CLI, tambin se puede abrir o guardar el archivo en la ubicacin que se especifique. Para ver el archivo, utilice un editor de textos ASCII (como Notepad).
Ejemplo: Descargar el registro de recuperacin de activos

En este ejemplo se descarga el registro de recuperacin de activos al directorio local C:\netscreen\logs (WebUI) o al directorio raz de un servidor TFTP con la direccin IP 10.1.1.5 (CLI). El archivo se nombrar sys_rst.txt.
WebUI
1. Reports > System Log > Asset Recovery: Haga clic en Save . El cuadro de dilogo File Download le pedir que abra el archivo (con un editor ASCII) o que lo guarde en el disco. 2. 3. Seleccione la opcin Save y haga clic en OK . El cuadro de dilogo File Download le pedir que elija un directorio. Especifique C:\netscreen\logs, nombre el archivo sys_rst.txt y haga clic en Save .
CLI
get log asset-recovery > tftp 10.1.1.5 sys_rst.txt
96
Alarmas de trfico
ALARMAS DE TRFICO
El dispositivo NetScreen permite la generacin de alarmas de trfico cuando ste supera los umbrales definidos mediante directivas. El dispositivo NetScreen se puede configurar para alertar mediante uno o varios de los mtodos siguientes cuando genere una alarma de trfico: Consola Interno (registro de eventos) Correo electrnico SNMP Syslog WebTrends NetScreen-Global PRO
Se establecen umbrales de alarma para detectar actividades anmalas. Para saber qu constituye una actividad anmala, primero debe establecer una lnea de base de actividad normal. Para crear tal lnea de base para el trfico de red, es necesario observar los patrones de trfico a lo largo de un periodo de tiempo. Entonces, cuando haya determinado qu cantidad de trfico considera normal, puede establecer umbrales de alarma por encima de esa cantidad. El trfico que supera ese umbral dispara una alarma para llamar su atencin hacia esta desviacin de la lnea de base. Entonces, usted puede evaluar la situacin para determinar qu caus la desviacin y si necesita iniciar acciones como respuesta. Las alarmas de trfico tambin se pueden utilizar para proporcionar un sistema de deteccin de intrusiones basado en directivas y notificar que el sistema est en situacin de riesgo. A continuacin se indican ejemplos de utilizacin de las alarmas de trfico con estos fines.
97
Alarmas de trfico
Ejemplo: Deteccin de intrusiones basada en directivas

En este ejemplo hay un servidor web con la direccin IP 211.20.1.5 (y el nombre web1) en la zona DMZ. Suponga que desea detectar cualquier intento de acceso a este servidor web a travs de Telnet desde la zona Untrust. Para conseguirlo, debe crear una directiva que deniegue el trfico de Telnet desde cualquier direccin de la zona Untrust dirigido al servidor web denominado web1 de la zona DMZ, as como establecer un umbral de alarma de trfico en 64 bytes. Debido a que el tamao ms pequeo de un paquete IP son 64 bytes, incluso un paquete de Telnet que intente acceder al servidor web desde la zona Untrust generar una alarma.
WebUI
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: web1 IP Address/Domain Name: IP / Netmask: (seleccione), 211.20.1.5/32 Zone: DMZ Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), web1 Service: Telnet Action: Deny > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica: Counting: (seleccione) Alarm Threshold: 64 Bytes/Sec, 0 Kbytes/Min
98
Alarmas de trfico
CLI
set address dmz web1 211.20.1.5/32 set policy from untrust to dmz any web1 telnet deny count alarm 64 0 save
Ejemplo: Notificacin de sistema comprometido

En este ejemplo se utilizan alarmas de trfico para generar notificaciones cuando el sistema est comprometido. Hay un servidor FTP con la direccin IP 211.20.1.10 (y nombre ftp1) en el zona DMZ. Se desea permitir el trfico FTP-get para que acceda a ese servidor. Pero no se desea que desde el servidor FTP se origine trfico de ninguna clase. La presencia de tal trfico indicara que el sistema est comprometido, quizs a causa de un virus similar al NIMDA. Se definir una direccin para el servidor FTP en la zona Global, de modo que se puedan crear dos directivas globales.
WebUI
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: ftp1 IP Address/Domain Name: IP/Netmask: (seleccione), 211.20.1.10/32 Zone: Global Policies > (From: Global, To: Global) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), ftp1 Service: FTP-Get Action: Permit
99
Alarmas de trfico
Policies > (From: Global, To: Global) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), ftp1 Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Deny > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica: Counting: (seleccione) Alarm Threshold: 64 Bytes/Sec, 0 Kbytes/Min
CLI
set address global ftp1 211.20.1.10/32 set policy global any ftp1 ftp-get permit set policy global ftp1 any any deny count alarm 64 0 save
100
Alarmas de trfico
Ejemplo: Enviar alertas de correo electrnico

En este ejemplo se configura la notificacin mediante alertas de correo electrnico cuando se produce una alarma. El servidor de correo est en 172.16.10.254, la primera direccin de correo electrnico a la que se debe notificar es jharker@juniper.net y la segunda direccin es driggs@juniper.net. El dispositivo NetScreen incluye registros de trfico con los registros de eventos enviados a travs de correo electrnico.
WebUI
Configuration > Report Settings > Email: Introduzca los siguientes datos y haga clic en Apply : Enable E-Mail Notification for Alarms: (seleccione) Include Traffic Log: (seleccione) SMTP Server Name: 172.16.10.2541 E-Mail Address 1: jharker@juniper.net E-Mail Address 2: driggs@juniper.net
CLI
set admin set admin set admin set admin set admin save mail mail mail mail mail alert mail-addr1 jharker@juniper.net mail-addr2 driggs@juniper.net server-name 172.16.10.254 traffic-log
1.
Si tiene DNS habilitado, tambin puede utilizar un nombre de host para referirse al servidor de correo, como por ejemplo mail.netscreen.com.
101
Syslog
SYSLOG
Un dispositivo NetScreen puede generar mensajes syslog para eventos del sistema segn niveles de gravedad predefinidos (consulte la lista de niveles de gravedad en Registro de eventos en la pgina 80) y, opcionalmente, para el trfico que las directivas permiten pasar a travs del cortafuegos. Enva estos mensajes hasta a cuatro hosts syslog determinados que se estn ejecutando en sistemas UNIX/Linux. Por cada host syslog se puede especificar lo siguiente: Si el dispositivo NetScreen debe incluir entradas del registro de trfico, entradas del registro de eventos, o ambos tipos de entradas Si se debe enviar trfico al servidor syslog a travs de un tnel VPN y, en tal caso, qu interfaz utilizar como interfaz de origen (consulte algunos ejemplos en Ejemplo: Trfico autogenerado a travs de tnel basado en rutas en la pgina 114 y Ejemplo: Trfico autogenerado a travs de tnel basado en directivas en la pgina 124) El puerto al que el dispositivo NetScreen debe enviar los mensajes syslog La utilidad de seguridad, que clasifica y enva los mensajes de niveles de emergencia y alerta al host Syslog, y el equipo habitual, que clasifica y enva el resto de mensajes correspondientes a eventos no relacionados con la seguridad
De forma predeterminada, el dispositivo NetScreen enva los mensajes a los host syslog a travs de UDP (puerto 514). Para aumentar la fiabilidad en la entrega de mensajes, puede cambiar el protocolo de transporte de cada host syslog a TCP. Puede utilizar mensajes de syslog para crear alertas de correo electrnico para el administrador del sistema o para mostrar mensajes en la consola del host designado siguiendo las convenciones syslog de UNIX. Nota: En plataformas UNIX/Linux, modifique el archivo /etc/rc.d/init.d/syslog de modo que syslog recupere la informacin del origen remoto (syslog -r).
102
Syslog
Ejemplo: Habilitar mltiples servidores Syslog

En este ejemplo se configura el dispositivo NetScreen para enviar registros de eventos y de trfico a travs de TCP a tres servidores syslog en las direcciones IP o nmeros de puerto siguientes: 1.1.1.1/1514, 2.2.2.1/2514 y 3.3.3.1/3514. Tanto los niveles de seguridad como de utilidad se establecern como Local0.
WebUI
Configuration > Report Settings > Syslog: Introduzca los siguientes datos y haga clic en Apply : Enable syslog messages: Seleccione esta opcin para enviar registros a los servidores syslog especificados. No.: Seleccione 1, 2 y 3 para indicar que est agregando 3 servidores syslog. IP/Hostname: 1.1.1.1, 2.2.2.1, 3.3.3.1 Port: 1514, 2514, 3514 Security Facility: Local0, Local0, Local0 Facility: Local0, Local0, Local0 Event Log: (seleccione) Traffic Log: (seleccione) TCP: (seleccione)
CLI
set set set set set set set set set syslog syslog syslog syslog syslog syslog syslog syslog syslog config config config config config config config config config 1.1.1.1 1.1.1.1 1.1.1.1 1.1.1.1 2.2.2.1 2.2.2.1 2.2.2.1 2.2.2.1 3.3.3.1 port 1514 log all facilities local0 local0 transport tcp port 2514 log all facilities local0 local0 transport tcp port 3514
103
Syslog
set syslog set syslog set syslog set syslog save
config 3.3.3.1 log all config 3.3.3.1 facilities local0 local0 config 2.2.2.1 transport tcp enable
WebTrends
NetIQ ofrece un producto denominado WebTrends Firewall Suite que permite crear informes personalizados basados en los registros generados por un dispositivo NetScreen. WebTrends analiza los archivos de registro y muestra la informacin necesaria en formato grfico. Puede crear informes sobre todos los eventos y niveles de gravedad, o centrarse en un rea determinada, como los ataques al cortafuegos. (Para obtener ms informacin sobre WebTrends, consulte la documentacin del producto WebTrends). Tambin se pueden enviar mensajes de WebTrends a travs de un tnel VPN. En WebUI, utilice la opcin Use Trust Zone Interface as Source IP for VPN . En la CLI, utilice el comando set webtrends vpn .
Ejemplo: Activacin de WebTrends para eventos de notificacin

En el ejemplo siguiente, enviaremos mensajes de notificacin al host WebTrends (172.10.16.25).
WebUI
1. Ajustes de WebTrends
Configuration > Report Settings > WebTrends: Introduzca los siguientes datos y haga clic en Apply : Enable WebTrends Messages: (seleccione) WebTrends Host Name/Port: 172.10.16.25/514
2.
Niveles de gravedad
Configuration > Report Settings > Log Settings: Introduzca los siguientes datos y haga clic en Apply : WebTrends Notification: (seleccione) Nota: Cuando se habilitan syslog y WebTrends en un dispositivo NetScreen que se est ejecutando en modo transparente, debe configurarse una ruta esttica. Consulte Tablas de enrutamiento y enrutamiento esttico en la pgina 6-1.
104
Syslog
CLI
1. Ajustes de WebTrends
set webtrends host-name 172.10.16.25 set webtrends port 514 set webtrends enable
2.
Niveles de gravedad
set log module system level notification destination webtrends save
105
SNMP
SNMP
El agente del protocolo simple de administracin de redes (Simple Network Management Protocol o SNMP) del dispositivo NetScreen proporciona a los administradores de red un mtodo de visualizacin de datos estadsticos sobre la red y los dispositivos que contiene, as como para recibir las notificaciones de eventos del sistema que desee. NetScreen es compatible con el protocolo SNMPv1, descrito en la norma RFC-1157, A Simple Network Management Protocol, y con el protocolo SNMPv2c, descrito en las normas RFC siguientes: RFC-1901, Introduction to Community-based SNMPv2 RFC-1905, Protocol Operations for Version 2 of the Simple Network Management Protocol (SNMPv2) RFC-1906, Transport Mappings for Version 2 of the Simple Network Management Protocol (SNMPv2) NetScreen tambin es compatible con todos los grupos de Management Information Base II (MIB II) relevantes definidos en la norma RFC-1213, Management Information Base for Network Management of TCP/IP-based internets: MIB-II. NetScreen tambin dispone de archivos MIB corporativos privados, que se pueden cargar en un explorador MIB SNMP. El apndice contiene una lista de los archivos MIB de NetScreen. (Consulte el Apndice A, Archivos MIB para SNMP). Por lo tanto, el agente SNMP de NetScreen genera las siguientes capturas, o notificaciones, cuando se producen las condiciones o eventos especificados: Captura de inicio en fro: El dispositivo NetScreen genera una captura de inicio en fro una vez que se encuentra operativo despus de encenderlo. Captura por fallo de autenticacin de SNMP: El agente SNMP del dispositivo NetScreen desencadena la captura por fallo de autenticacin cuando alguien intenta conectarse al mismo utilizando una cadena de comunidad SNMP incorrecta o cuando la direccin IP del host que intenta conectarse no est definida en una comunidad SNMP. (De forma predeterminada, esta opcin est habilitada). Capturas por alarmas del sistema: Las situaciones de error en el dispositivo NetScreen y en los cortafuegos desencadenan alarmas del sistema. Para identificar las alarmas relacionadas con el hardware, la seguridad y el software, NetScreen ha definido tres capturas corporativas. (Para obtener ms informacin sobre ajustes de cortafuegos y alarmas, consulte Fragmentos ICMP en la pgina 4-212 y Alarmas de trfico en la pgina 97). Capturas por alarmas del trfico: Las alarmas de trfico se desencadenan cuando el trfico excede los umbrales de alarma establecidos en las directivas. (Para obtener ms informacin sobre la configuracin de directivas, consulte Directivas en la pgina 2-305).
106
SNMP
La siguiente tabla muestra los posibles tipos de alarmas y los correspondientes nmeros de captura:
Captura de ID corporativa 100 200 300 400 500 600 800 900 Descripcin Problemas de hardware Problemas de cortafuegos Problemas de software Problemas de trfico Problemas de VPN Problemas de NSRP Problemas de DRP Problemas de conmutacin por fallo de interfaces Ataques al cortafuegos
1000
Nota: El administrador de la red debe disponer de una aplicacin de administracin de SNMP, como HP OpenView TM o SunNet Manager para examinar los datos MIB II SNMP y recibir capturas procedentes de la interfaz fiable o sin confianza. En Internet tambin existen varias aplicaciones shareware y freeware para la administracin de SNMP. Los dispositivos NetScreen no se suministran con una configuracin predeterminada para el administrador de SNMP. Si desea configurar su dispositivo NetScreen para SNMP, primero debe crear comunidades, definir sus host asociados y asignar permisos (de lectura/escritura o de slo lectura). Al crear una comunidad SNMP, se puede especificar si la comunidad es compatible con SNMPv1, SNMPv2c o con ambas versiones de SNMP, segn los requisitos de las estaciones de administracin de SNMP. (Para garantizar la compatibilidad con versiones anteriores de ScreenOS que solamente trabajan con SNMPv1, de forma predeterminada los dispositivos NetScreen son compatibles con SNMPv1). Si una comunidad SNMP admite ambas versiones de SNMP, debe especificarse una versin para las capturas por cada miembro de la comunidad.
SNMP
Por razones de seguridad, un miembro de la comunidad SNMP con privilegios de lectura/escritura solamente puede modificar las siguientes variables en un dispositivo NetScreen: sysContact : datos de contacto del administrador del dispositivo NetScreen por si el administrador de SNMP necesita ponerse en contacto con l. Puede ser el nombre, la direccin de correo electrnico, el nmero de telfono del administrador de NetScreen, o bien la ubicacin de su puesto de trabajo en una oficina, o una combinacin de todos estos datos. sysLocation : la ubicacin fsica del dispositivo NetScreen. Puede ser cualquier dato, desde el nombre de un pas, ciudad o edificio, hasta su ubicacin exacta en un bastidor en un centro de operaciones de red (NOC). sysName : el nombre que los administradores de SNMP utilizan para el dispositivo NetScreen. Por convencin, es un nombre de dominio completo (Fully-Qualified Domain Name o FQDN), pero tambin puede ser cualquier nombre significativo para los administradores de SNMP. snmpEnableAuthenTraps : habilita o inhabilita el agente SNMP en el dispositivo NetScreen para generar una captura tan pronto como alguien intenta entrar en contacto con el agente SNMP utilizando un nombre de comunidad SNMP incorrecto. ipDefaultTTL : el valor predeterminado que se inserta en el campo time-to-live (TTL) del encabezado IP de los datagramas originados en el dispositivo NetScreen cuando el protocolo de la capa de transporte no proporciona un valor de TTL. ipForwarding : indica si el dispositivo NetScreen reenva trfico o no, a excepcin del destinado al dispositivo NetScreen propiamente dicho. De forma predeterminada, el dispositivo NetScreen indica que no reenva trfico (un truco para ocultar su verdadera naturaleza).
108
SNMP
Resumen de implementacin
En los siguientes puntos se resume cmo Juniper Networks ha implementado SNMP en sus dispositivos: Los administradores SNMP estn agrupados en comunidades SNMP. Un dispositivo NetScreen puede admitir hasta tres comunidades, con un mximo de ocho miembros por comunidad. Un miembro de la comunidad puede ser un host individual o una subred de hosts, dependiendo de la mscara de red que se haya utilizado al definir el miembro. De forma predeterminada, el dispositivo NetScreen asigna a un miembro de la comunidad SNMP una mscara de red de 32 bits (255.255.255.255), que lo define como un host individual. Si un miembro de la comunidad SNMP se define como subred, cualquier dispositivo en esa subred puede consultar el dispositivo NetScreen para obtener la informacin MIB del SNMP. Sin embargo, el dispositivo NetScreen no puede enviar una captura de SNMP a una subred, sino slo a un host individual. Cada comunidad tiene permiso de slo lectura o de lectura/escritura sobre los datos MIB II. Cada comunidad puede trabajar con SNMPv1, SNMPv2c o con ambos. Si una comunidad SNMP admite ambas versiones de SNMP, debe especificarse una versin para las capturas por cada miembro de la comunidad. Se puede permitir o denegar a cada comunidad la recepcin de capturas. Se puede acceder a los datos MIB II y a las capturas a travs de cualquier interfaz fsica. Cada alarma del sistema (un evento del sistema clasificado con un nivel de gravedad crtico, de alerta o de emergencia) genera una sola captura corporativa SNMP de NetScreen a cada uno de los host de cada comunidad configurados para recibir capturas. El dispositivo NetScreen enva capturas de inicio en fro (Cold Start), de enlace activo (Link Up) y de enlace inactivo (Link Down) a todos los hosts de las comunidades configuradas para recibir capturas. Al especificar la activacin de capturas para una comunidad, tambin se tiene la opcin de permitir alarmas de trfico. Puede enviar mensajes SNMP a travs de un tnel VPN basado en rutas o basado en directivas. Para obtener ms informacin, consulte Tneles VPN para trfico administrativo autogenerado en la pgina 112.
109
SNMP
Ejemplo: Definir una comunidad SNMP de lectura/escritura

En este ejemplo crear una comunidad SNMP llamada MAge11. Le asignar privilegios de lectura/escritura y habilitar sus miembros para recibir datos MIB II y capturas. Tiene los dos miembros siguientes: 1.1.1.5/32 y 1.1.1.6/32. Cada uno de estos miembros tiene una aplicacin de administracin de SNMP y ambos ejecutan versiones de SNMP diferentes: SNMPv1 y SNMPv2c. Nota: Dado que el nombre de la comunidad funciona como una contrasea, deber protegerlo convenientemente. Proporcionar datos de contacto del administrador local del dispositivo NetScreen por si algn miembro de la comunidad SNMP necesita entrar en contacto con l (nombre: al_baker@mage.com). Tambin proporcionar la ubicacin del dispositivo NetScreen (ubicacin: 3-15-2). Estos nmeros indican que el dispositivo se encuentra en el tercer piso, en la decimoquinta fila y en la segunda posicin de esa fila. Tambin habilitar el agente SNMP para generar capturas siempre que alguien intente establecer una conexin SNMP ilegtima con el dispositivo NetScreen. Las capturas por fallo de autenticacin son un ajuste global aplicable a todas las comunidades SNMP y estn inhabilitadas de forma predeterminada. Finalmente, habilitar la posibilidad de gestin de SNMP en ethernet1, una interfaz que previamente habr asociado a la zona Trust. Se trata de la interfaz a travs de la cual la aplicacin de administracin de SNMP se comunica con el agente SNMP del dispositivo NetScreen.
WebUI
Configuration > Report Settings > SNMP: Introduzca los siguientes ajustes y haga clic en Apply : System Contact: al_baker@mage.com Location: 3-15-2 Enable Authentication Fail Trap: (seleccione) Configuration > Report Settings > SNMP > New Community : Introduzca los siguientes ajustes y haga clic en OK : Community Name: MAge11 Permissions: Write: (seleccione) Trap: (seleccione) Including Traffic Alarms: (anule la seleccin)
SNMP
Version: ANY (seleccione) Hosts IP Address/Netmask and Trap Version: 1.1.1.5/32 v1 1.1.1.6/32 v2c Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes ajustes y haga clic en OK : Service Options: Management Services: SNMP
CLI
set snmp contact al_baker@mage.com set snmp location 3-15-2 set snmp auth-trap enable set snmp community MAge11 read-write trap-on version any set snmp host Mage 1.1.1.5/32 trap v1 set snmp host Mage 1.1.1.6/32 trap v2 set interface ethernet1 manage snmp save
111
Tneles VPN para trfico administrativo autogenerado

Puede utilizar tneles de red privada virtual (VPN) para hacer segura la supervisin remota de un dispositivo NetScreen desde una direccin IP fija. Utilizando un tnel VPN se puede proteger el trfico dirigido a un dispositivo NetScreen o generado por ste. Los tipos de trfico iniciados desde un dispositivo NetScreen pueden ser informes de NetScreen-Global PRO, entradas del registro de eventos enviadas a syslog y a servidores WebTrends, y capturas SNMP MIB. NetScreen admite dos tipos de configuraciones de tneles de VPN: VPNs basadas en rutas : El dispositivo NetScreen utiliza entradas de la tabla de rutas para dirigir el trfico a las interfaces de tnel, asociadas a los tneles de VPN. Para enviar trfico como entradas del registro de eventos, informes de NetScreen-Global PRO o capturas SNMP generadas por el dispositivo NetScreen a travs de un tnel VPN basado en rutas, se debe introducir manualmente la ruta de destino apropiada. La ruta debe apuntar a la interfaz de tnel asociada al tnel VPN por el que usted desea que el dispositivo NetScreen dirija el trfico. No se requieren directivas. VPNs basadas en directivas : El dispositivo NetScreen utiliza los nombres de los tneles de VPN indicados expresamente en las directivas para dirigir el trfico a travs de dichos tneles. Para enviar trfico autogenerado a travs de un tnel VPN basado en directivas, debe incluir las direcciones de origen y de destino en la directiva. Como direccin de origen, utilice la direccin IP de una interfaz del dispositivo NetScreen. Como direccin de destino, utilice la direccin IP del servidor de almacenamiento o la estacin de trabajo del miembro de la comunidad SNMP, si se encuentra detrs de un dispositivo NetScreen remoto. Si el miembro remoto de la comunidad SNMP utiliza el cliente VPN NetScreen-Remote para establecer las conexiones VPN al dispositivo NetScreen local, utilice una direccin IP interna definida en NetScreen-Remote como direccin de destino. Nota: En versiones anteriores a ScreenOS 5.0.0, la direccin de origen deba ser la interfaz predeterminada asociada a la zona Trust, mientras que la direccin de destino tena que encontrarse en la zona Untrust. En la versin actual, est restriccin ha sido eliminada.
112
Si la puerta de enlace remota o la entidad final tiene asignada una direccin IP dinmica, el dispositivo NetScreen no podr iniciar la formacin de un tnel VPN, ya que estas direcciones no se pueden predeterminar y, por lo tanto, no se podrn definir rutas para ellas. En tales casos, el host remoto debe iniciar la conexin VPN. Una vez establecido un tnel VPN basado en directivas o en rutas, ambos extremos del tnel pueden iniciar el trfico, siempre que las directivas lo permitan. Adems, en el caso de una VPN basada en rutas, debe haber una ruta a la entidad de uno de los extremos a travs de una interfaz Tunnel asociada al tnel VPN, ya sea porque se ha introducido manualmente o porque el dispositivo NetScreen local recibi la ruta mediante el intercambio de mensajes de enrutamiento dinmico cuando se estableci el tnel. (Para ms informacin sobre los protocolos de enrutamiento dinmico, consulte el Volumen 6, Enrutamiento). Tambin puede utilizar la supervisin de VPN con la opcin Rekey o latidos de IKE para asegurarse de que una vez establecido un tnel, permanecer activo independientemente de la actividad de VPN. (Para ms informacin sobre estas opciones, consulte Supervisin de VPNs en la pgina 5-361 y Mecanismos de supervisin en la pgina 5-443). Por cada tipo de configuracin de tnel VPN es posible utilizar los siguientes tipos de tnel VPN: Manual Key (clave manual) : El usuario establece manualmente los tres elementos que definen una asociacin de seguridad (SA) en ambos extremos del tnel: un ndice de parmetros de seguridad (Security Parameters Index o SPI), una clave de encriptacin y una clave de autenticacin. Para modificar cualquier elemento de la SA, debe introducirse manualmente en ambos extremos del tnel. AutoKey IKE with Preshared Key (AutoKey IKE con clave previamente compartida) : Una o dos claves secretas previamente compartidas (una para la autenticacin y otra para la encriptacin) funcionan como valores de inicializacin. El protocolo IKE genera con ellas un juego de claves simtricas en ambos extremos del tnel; es decir, se utiliza la misma clave para encriptar y desencriptar. Estas claves se regeneran automticamente a intervalos predeterminados. AutoKey IKE with Certificates (AutoKey IKE con certificados) : Utilizando la infraestructura de claves pblicas (Public Key Infrastructure o PKI), los participantes en ambos extremos del tnel utilizan un certificado digital (para la autenticacin) y un par de claves pblica/privada RSA (para la encriptacin). La encriptacin es asimtrica; es decir, una de las claves del par se utiliza para encriptar y la otra para desencriptar. Nota: Para obtener una descripcin completa de los tneles VPN, consulte el Volumen 5, VPNs. Para obtener ms informacin sobre NetScreen-Remote, consulte el NetScreen-Remote Users Guide.
113
Ejemplo: Trfico autogenerado a travs de tnel basado en rutas

En este ejemplo configurar un dispositivo NetScreen local (NetScreen-A) para enviar capturas SNMPv1 MIB e informes syslog a travs de un tnel VPN AutoKey IKE basado en rutas a un miembro de una comunidad SNMP ubicado tras un dispositivo NetScreen remoto (NetScreen-B). El tnel utiliza una clave previamente compartida (Ci5y0a1aAG) para la autenticacin del origen de los datos y el nivel de seguridad predefinido como Compatible para las propuestas de las fases 1 y 2. Como administrador local de NetScreen-A, deber crear la interfaz tunnel.1 y asociarla a vpn1. Adems, junto con el administrador de NetScreen-B, administrar las siguientes IDs de proxy:
NetScreen-A IP local IP remota Servicio 10.1.1.1/32 10.2.2.2/32 Any IP local IP remota Servicio NetScreen-B 10.2.2.2/32 10.1.1.1/32 Any
En este ejemplo se enlaza ethernet1 a la zona Trust y ethernet3 a la zona Untrust. La direccin IP predeterminada para la puerta de enlace es 1.1.1.250. Todas las zonas se encuentran en el dominio de enrutamiento trust-vr. Nota: Compare este ejemplo con Ejemplo: Trfico autogenerado a travs de tnel basado en directivas en la pgina 124.
Ubicacin local Zona Untrust
tunnel.1, sin numerar Eth3, 1.1.1.1/24 Puerta de enlace, 1.1.1.250
Zona Trust
Eth1 10.1.1.1/24 NAT
NetScreen-A enva capturas SNMP MIB y entradas de registro de eventos a travs de vpn1 a la administracin de SNMP y al servidor syslog en 10.2.2.2.
LAN 10.2.2.0/24 Eth1 10.2.2.1/24 NAT Manager de SNMP y servidor Syslog 10.2.2.2
NetScreen-A
LAN 10.1.1.0/24
Internet Tnel: vpn1

puerta de enlace, 2.2.2.250 Eth3, 2.2.2.2/24 tunnel.1, sin numerar
NetScreen-B
Zona Untrust
Ubicacin remota
Zona Trust
114
El administrador remoto de NetScreen-B utiliza ajustes similares para definir aquel extremo del tnel de VPN AutoKey IKE, de forma que la clave previamente compartida, las propuestas y las IDs de proxy coinciden. Tambin puede configurar una comunidad SNMP llamada remote_admin con permisos de lectura/escritura y permitir que reciba capturas. Definir el host en 10.2.2.2/32 como miembro de la comunidad2.
WebUI (NetScreen-A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24
3
Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT (seleccione) Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Service Options: Management Services: SNMP
2. En este ejemplo se parte de la base de que el administrador remoto ya ha configurado el servidor syslog y una aplicacin de administracin de SNMP compatible con SNMPv1. Cuando el administrador remoto configura el tnel VPN en su dispositivo NetScreen, utiliza 1.1.1.1 como puerta de enlace remota y 10.1.1.1 como direccin de destino. Cuando el administrador remoto configure la administracin SNMP, deber introducir 10.1.1.1 en el campo Remote SNMP Agent. sta ser la direccin a la que la administracin de SNMP enviar las consultas. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estar en modo NAT. Por lo tanto, esta opcin ya est habilitada para las interfaces asociadas a la zona Trust.
4
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :
3. 4.
115
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK : Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet1(trust-vr)
2.
Syslog y SNMP
Configuration > Report Settings > Syslog: Introduzca los siguientes datos y haga clic en Apply: Enable Syslog Messages: (seleccione) No.: Seleccione 1 para indicar que va a agregar un servidor syslog. IP / Hostname: 10.2.2.2 Port: 514 Security Facility: auth/sec Facility: Local0 Configuration > Report Settings > SNMP > New Community: Introduzca los siguientes datos y haga clic en OK: Community Name: remote_admin Permissions: Write: (seleccione) Trap: (seleccione) Including Traffic Alarms: (anule la seleccin) Version: V1 Hosts IP Address/Netmask: 10.2.2.2/32 V1 Trap Version: V1
116
3.
VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK : VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: (seleccione) Gateway Name: to_admin Type: Static IP, Address/Hostname: 2.2.2.2 Preshared Key: Ci5y0a1aAG Security Level: Compatible Outgoing interface: ethernet3 > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de AutoKey IKE: Bind to: Tunnel Interface: (seleccione), tunnel.1 Proxy-ID: (seleccione) Local IP/Netmask: 10.1.1.1/32 Remote IP/Netmask: 10.2.2.2/32 Service: ANY
4.
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask:10.2.2.2/32 Gateway: (seleccione) Interface: tunnel.1 Gateway IP Address: 0.0.0.0
117
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: (seleccione) 1.1.1.250
CLI (NetScreen-A)
1. Interfaces
set set set set set set set set interface interface interface interface interface interface interface interface ethernet1 zone trust 5 ethernet1 ip 10.1.1.1/24 6 ethernet1 nat ethernet3 zone untrust ethernet3 ip 1.1.1.1/24 ethernet3 manage snmp tunnel.1 zone untrust tunnel.1 ip unnumbered interface ethernet1
2.
VPN
set ike gateway to_admin address 2.2.2.2 outgoing-interface ethernet3 preshare Ci5y0a1aAG sec-level compatible set vpn vpn1 gateway to_admin sec-level compatible set vpn vpn1 bind interface tunnel.1 set vpn vpn1 proxy-id local-ip 10.1.1.1/32 remote-ip 10.2.2.2/32 any
5. 6.
Cuando el administrador remoto configure la administracin SNMP, deber introducir 10.1.1.1 en el campo Remote SNMP Agent. sta ser la direccin a la que la administracin de SNMP enviar las consultas. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estar en modo NAT. Por lo tanto, esta opcin ya est habilitada para las interfaces asociadas a la zona Trust.
118
3.
Syslog y SNMP
set set set set syslog config 10.2.2.2 auth/sec local0 syslog enable snmp community remote_admin read-write trap-on version v1 snmp host remote_admin 10.2.2.2/32
4.
Rutas
set vrouter trust-vr route 10.2.2.2/32 interface tunnel.1 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 save
WebUI (NetScreen-B)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
119
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet1(trust-vr)
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: addr1 IP Address/Domain Name: IP/Netmask: 10.2.2.2/32 Zone: Trust Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: ns-a IP Address/Domain Name: IP/Netmask: 10.1.1.1/32 Zone: Untrust
3.
Grupo de servicios
Objects > Services > Groups > New: Introduzca el siguiente nombre de grupo, mueva los siguientes servicios y haga clic en OK: Group Name: s-grp1 Seleccione Syslog y utilice el botn << para mover el servicio de la columna Available Members a la columna Group Members. Seleccione SNMP y utilice el botn << para mover el servicio de la columna Available Members a la columna Group Members.
120
4.
VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK : VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: (seleccione) Gateway Name: to_admin Type: Static IP, Address/Hostname: 1.1.1.1 Preshared Key: Ci5y0a1aAG Security Level: Compatible Outgoing Interface: ethernet3 > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de AutoKey IKE: Bind to: Tunnel Interface: (seleccione), tunnel.1 Proxy-ID: (seleccione) Local IP/Netmask: 10.2.2.2/32 Remote IP/Netmask: 10.1.1.1/32 Service: Any
5.
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.1.1.1/32 Gateway: (seleccione) Interface: tunnel.1 Gateway IP Address: 0.0.0.0
121
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: (seleccione) 2.2.2.250
6.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), addr1 Destination Address: Address Book Entry: (seleccione), ns-a Service: s-grp1 Action: Permit Position at Top: (seleccione) Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), ns-a Destination Address: Address Book Entry: (seleccione), addr1 Service: s-grp1 Action: Permit Position at Top: (seleccione)
122
CLI (NetScreen B)
1. Interfaces
set set set set set set set interface interface interface interface interface interface interface ethernet1 zone trust ethernet1 ip 10.2.2.1/24 ethernet1 nat ethernet3 zone untrust ethernet3 ip 2.2.2.2/24 tunnel.1 zone untrust tunnel.1 ip unnumbered interface ethernet1
2.
Direcciones
set address trust addr1 10.2.2.2/32 set address untrust ns-a 10.1.1.1/32
3.
Grupo de servicios
set group service s-grp1 set group service s-grp1 add syslog set group service s-grp1 add snmp
4.
VPN
set ike gateway to_admin address 1.1.1.1 outgoing-interface ethernet3 preshare Ci5y0a1aAG sec-level compatible set vpn vpn1 gateway to_admin sec-level compatible set vpn vpn1 bind interface tunnel.1 set vpn vpn1 proxy-id local-ip 10.2.2.2/32 remote-ip 10.1.1.1/32 any
5.
Rutas
set vrouter trust-vr route 10.1.1.1/32 interface tunnel.1 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
6.
Directivas
set policy top from trust to untrust addr1 ns-a s-grp1 permit set policy top from untrust to trust ns-a addr1 s-grp1 permit save
123
Ejemplo: Trfico autogenerado a travs de tnel basado en directivas

En este ejemplo configurar un dispositivo NetScreen local (NetScreen-A) para enviar capturas SNMPv2c MIB e informes syslog7 a travs de un tnel de VPN AutoKey IKE (vpn1) basado en directivas a un miembro de una comunidad SNMP ubicado tras un dispositivo NetScreen remoto (NetScreen-B). El tnel utiliza una clave previamente compartida (Ci5y0a1aAG) para la autenticacin del origen de los datos y el nivel de seguridad predefinido como Compatible para las propuestas de las fases 1 y 2. Tanto usted como el administrador remoto asocian ethernet1 a la zona Trust y ethernet3 a la zona Untrust de los dispositivos NetScreen-A y NetScreen-B. La direccin IP predeterminada de la pasarela de enlace para NetScreen-A es 1.1.1.250. La direccin IP predeterminada de la pasarela de enlace para NetScreen-B es 2.2.2.250. Todas las zonas se encuentran en el dominio de enrutamiento trust-vr. Nota: Compare este ejemplo con Ejemplo: Trfico autogenerado a travs de tnel basado en rutas en la pgina 114.
Ubicacin local NetScreen-A enva capturas SNMP MIB y entradas de registro de eventos a travs de vpn1 a la administracin de SNMP y al servidor syslog en 10.2.2.2.
Zona Trust
Eth1 10.1.1.1/24 NAT LAN 10.1.1.0/24
Zona Untrust
Eth3, 1.1.1.1/24
NetScreen-A
Puerta de enlace, 1.1.1.250
Internet Tnel: vpn1

puerta de enlace, 2.2.2.250 Eth3, 2.2.2.2/24
NetScreen-B
LAN 10.2.2.0/24 Eth1 10.2.2.1/24 NAT
Manager de SNMP y servidor Syslog 10.2.2.2
Zona Untrust
Ubicacin remota
Zona Trust
7.
En este ejemplo se parte de la base de que el administrador remoto ya ha configurado el servidor syslog y una aplicacin de administracin de SNMP compatible con SNMPv2c. Cuando el administrador remoto configura el tnel VPN en su dispositivo NetScreen, utiliza 1.1.1.1 como puerta de enlace remota y 10.1.1.1 como direccin de destino.
124
Tambin puede configurar una comunidad SNMP llamada remote_admin con permisos de lectura/escritura y permitir que reciba capturas. Definir el host en 10.2.2.2/32 como miembro de la comunidad. Las directivas de entrada y salida de NetScreen-A coinciden con las de NetScreen-B. Las direcciones y servicios utilizados en las directivas son: 10.1.1.1/32, la direccin de la interfaz de zona Trust en NetScreen-A 10.2.2.2/32, la direccin del host para el miembro de la comunidad SNMP y el servidor syslog Grupo de servicios llamado s-grp1, que contiene los servicios SNMP y syslog A partir de las polticas creadas para NetScreen-B por su parte y por parte de la administracin, los dos dispositivos NetScreen derivarn las siguientes IDs de proxy para vpn1:
NetScreen-A IP local IP remota Servicio 10.1.1.1/32 10.2.2.2/32 Any IP local IP remota Servicio NetScreen-B 10.2.2.2/32 10.1.1.1/32 Any
Nota: NetScreen trata cada grupo de servicios como any en las IDs de proxy.
WebUI (NetScreen-A)
1. Interfaces y zonas de seguridad
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/248 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT (seleccione)9
8. 9. Cuando el administrador remoto configure la administracin SNMP, deber introducir 10.1.1.1 en el campo Remote SNMP Agent. sta ser la direccin a la que la administracin de SNMP enviar las consultas. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estar en modo NAT. Por lo tanto, esta opcin ya est habilitada para las interfaces asociadas a la zona Trust.
125
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK: Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Service Options: Management Services: SNMP
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: trust_int IP Address/Domain Name: IP/Netmask: 10.1.1.1/32 Zone: Trust Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: remote_admin IP Address/Domain Name: IP/Netmask: 10.2.2.2/32 Zone: Untrust
3.
Grupo de servicios
Objects > Services > Groups > New: Introduzca el siguiente nombre de grupo, mueva los siguientes servicios y haga clic en OK: Group Name: s-grp1 Seleccione Syslog y utilice el botn << para mover el servicio de la columna Available Members a la columna Group Members. Seleccione SNMP y utilice el botn << para mover el servicio de la columna Available Members a la columna Group Members.
126
4.
VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK : VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: (seleccione) Gateway Name: to_admin Type: Static IP, Address/Hostname: 2.2.2.2 Preshared Key: Ci5y0a1aAG Security Level: Compatible Outgoing Interface: ethernet3
5.
Syslog y SNMP
Configuration > Report Settings > Syslog: Introduzca los siguientes datos y haga clic en Apply : Enable Syslog Messages: (seleccione) Source Interface: ethernet1 No.: Seleccione 1 para indicar que va a agregar un servidor syslog. IP/Hostname: 10.2.2.2 Port: 514 Security Facility: auth/sec Facility: Local0 Configuration > Report Settings > SNMP > New Community: Introduzca los siguientes datos y haga clic en OK : Community Name: remote_admin Permissions: Write: (seleccione)
127
Trap: (seleccione) Including Traffic Alarms: (anule la seleccin) Version: V2C Hosts IP Address/Netmask: 10.2.2.2/32 V2C Trap Version: V2C Source Interface: ethernet1 (seleccione) Configuration > Report Settings > SNMP: Introduzca los siguientes datos y haga clic en Apply : Enable Authentication Fail Trap: (seleccione)
6.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250
7.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), trust_int Destination Address: Address Book Entry: (seleccione), remote_admin
128
Service: s-grp1 Action: Tunnel Tunnel VPN: vpn1 Modify matching outgoing VPN policy: (seleccione) Position at Top: (seleccione)
CLI (NetScreen-A)
set set set set set set interface interface interface interface interface interface ethernet1 ethernet1 ethernet1 ethernet3 ethernet3 ethernet3 zone trust ip 10.1.1.1/24 10 nat zone untrust ip 1.1.1.1/24 manage snmp
2.
Direcciones
set address trust trust_int 10.1.1.1/32 set address untrust remote_admin 10.2.2.2/32
3.
Grupo de servicios
10. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estar en modo NAT. Por lo tanto, esta opcin ya est habilitada para las interfaces asociadas a la zona Trust.
129
4.
VPN
set ike gateway to_admin address 2.2.2.2 outgoing-interface ethernet3 preshare Ci5y0a1aAG sec-level compatible set vpn vpn1 gateway to_admin sec-level compatible
5.
Syslog y SNMP
set set set set set syslog config 10.2.2.2 auth/sec local0 syslog src-interface ethernet1 syslog enable snmp community remote_admin read-write trap-on version v2c snmp host remote_admin 10.2.2.2/32 src-interface ethernet1
6. 7.
Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
Directivas
set policy top from trust to untrust trust_int remote_admin s-grp1 tunnel vpn vpn1 set policy top from untrust to trust remote_admin trust_int s-grp1 tunnel vpn vpn1 save
130
WebUI (NetScreen-B)
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: addr1 IP Address/Domain Name: IP/Netmask: 10.2.2.2/32 Zone: Trust Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: ns-a IP Address/Domain Name: IP/Netmask: 10.1.1.1/32 Zone: Untrust
131
3.
Grupo de servicios
Objects > Services > Groups: Introduzca el siguiente nombre de grupo, mueva los siguientes servicios y haga clic en OK : Group Name: s-grp1 Seleccione Syslog y utilice el botn << para mover el servicio de la columna Available Members a la columna Group Members. Seleccione SNMP y utilice el botn << para mover el servicio de la columna Available Members a la columna Group Members.
4.
VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK : VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: (seleccione) Gateway Name: to_admin Type: Static IP, IP Address: 1.1.1.1 Preshared Key: Ci5y0a1aAG Security Level: Compatible Outgoing interface: ethernet3
5.
Ruta
Network > Routing > Routing Table > trust-vr New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: (seleccione) 2.2.2.250
132
6.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), addr1 Destination Address: Address Book Entry: (seleccione), ns-a Service: s-grp1 Action: Tunnel Tunnel VPN: vpn1 Modify matching outgoing VPN policy: (seleccione) Position at Top: (seleccione)
133
CLI (NetScreen-B)
set set set set set interface interface interface interface interface ethernet1 ethernet1 ethernet1 ethernet3 ethernet3 zone trust ip 10.2.2.1/24 nat zone untrust ip 2.2.2.2/24
2.
Direcciones
set address trust addr1 10.2.2.2/32 set address untrust ns-a 10.1.1.1/32
3.
Grupo de servicios
4.
VPN
set ike gateway to_admin address 1.1.1.1 outgoing-interface ethernet3 preshare Ci5y0a1sec-level compatible set vpn vpn1 gateway to_admin sec-level compatible
5. 6.
Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
Directivas
set policy top from trust to untrust addr1 ns-a s-grp1 tunnel vpn vpn1 set policy top from untrust to trust ns-a addr1 s-grp1 tunnel vpn vpn1 save
134
Contadores
CONTADORES
NetScreen dispone de contadores de pantalla, hardware y flujos para supervisar el trfico. Estos contadores ofrecen informacin de proceso sobre las zonas e interfaces especificadas y permiten verificar la configuracin de cualquier directiva deseada. NetScreen dispone de los siguientes contadores de pantalla para supervisar el comportamiento general de los cortafuegos y visualizar la cantidad de trfico afectada por las directivas especificadas: Bad IP Option Protection: nmero de tramas descartadas por opciones de IP mal formadas o incompletas. Dst IP-based session limiting: nmero de sesiones descartadas despus de alcanzar el lmite de la sesin. FIN bit with no ACK bit: nmero de paquetes detectados y descartados con una combinacin de flags no permitida. Fragmented packet protection: nmero de fragmentos de paquetes de IP bloqueados. HTTP Component Blocked: nmero de paquetes bloqueados con componentes HTTP. HTTP Component Blocking for ActiveX controls: nmero de componentes ActiveX bloqueados. HTTP Component Blocking for .exe files: nmero de paquetes HTTP bloqueados con archivos .exe. HTTP Component Blocking for Java applets: nmero de componentes Java bloqueados. HTTP Component Blocking for .zip files: nmero de paquetes HTTP bloqueados con archivos .zip. ICMP Flood Protection: nmero de paquetes ICMP bloqueados como parte de una inundacin ICMP. ICMP Fragment: nmero de tramas ICMP con el flag More Fragments ajustado o con un offset indicado en el campo de offset. IP Spoofing Attack Protection: nmero de direcciones IP bloqueadas como parte de un ataque de simulacin de IP. IP Sweep Protection: nmero de paquetes de ataque de limpieza de IP detectados y bloqueados. Land Attack Protection: nmero de paquetes bloqueados como parte de una sospecha de ataque terrestre.
135
Contadores
Large ICMP Packet: nmero de tramas ICMP detectadas con una longitud de IP superior a 1024. Limit session: nmero de paquetes no entregados por haberse alcanzado el lmite de sesin. Loose Src Route IP Option: nmero de paquetes de IP detectados con la opcin Loose Source Route habilitada. Malicious URL Protection: nmero de direcciones URL bloqueadas por existir la sospecha de que son maliciosas. Ping-of-Death Protection: nmero de paquetes ICMP sospechosos y rechazados por su tamao excesivo o irregular. Port Scan Protection: nmero de anlisis de puerto detectados y bloqueados. Record Route IP Option: nmero de tramas detectadas con la opcin Record Route habilitada. Security IP Option: nmero de tramas descartadas con la opcin IP Security activada. Src IP-based session limiting: nmero de sesiones descartadas despus de alcanzar el lmite de la sesin. Source Route IP Option Filter: nmero de rutas IP de origen filtradas. Stream IP Option: nmero de paquetes descartados con el identificador IP Stream activado. Strict Src Route IP Option: nmero de paquetes detectados con la opcin Strict Source Route habilitada. SYN-ACK-ACK-Proxy DoS: nmero de paquetes bloqueados por la opcin SYN-ACK-ACK-proxy DoS SCREEN. SYN and FIN bits set: nmero de paquetes detectados con una combinacin de flags no permitida. SYN Flood Protection: nmero de paquetes SYN detectados cuando se sospecha de una inundacin SYN. SYN Fragment Detection: nmero de fragmentos de paquete descartados como parte de una sospecha de ataque de fragmentos SYN. Timestamp IP Option: nmero de paquetes IP descartados con la opcin Internet Timestamp activada. TCP Packet without Flag: nmero de paquetes no permitidos descartados sin campo de flags o con el campo mal formado. Teardrop Attack Protection: nmero de paquetes bloqueados como parte de un ataque Teardrop.
136
Contadores
UDP Flood Protection: nmero de paquetes UDP descartados como parte de una inundacin UDP sospechosa. Unknown Protocol Protection: nmero de paquetes bloqueados como parte de un protocolo desconocido. WinNuke Attack Protection: nmero de paquetes detectados como parte de una sospecha de ataque de WinNuke.
NetScreen dispone de los siguientes contadores para supervisar el funcionamiento del hardware y los paquetes con errores: drop vlan: nmero de paquetes descartados por falta de etiquetas VLAN, una subinterfaz no definida o porque no se habilit el entroncamiento de VLAN mientras el dispositivo NetScreen estaba en modo transparente. early frame: contadores utilizados en una administracin de descriptores de bfer de controlador Ethernet. in align err: nmero de paquetes entrantes con un error de alineacin en la secuencia de bits. in bytes: nmero de bytes recibidos. in coll err: nmero de paquetes de colisin entrantes. in crc err: nmero de paquetes entrantes con un error de comprobacin de redundancia cclica (CRC). in dma err: nmero de paquetes entrantes con un error dma. in misc err: nmero de paquetes entrantes con errores de otro tipo. in no buffer: nmero de paquetes que no se pueden recibir porque los bfers no estn disponibles. in overrun: nmero de paquetes transmitidos por exceso (desbordamiento de bfer). in packets: nmero de paquetes recibidos. in short frame: nmero de paquetes entrantes con una trama Ethernet de menos de 64 bytes (incluyendo la suma de comprobacin). in underrun: nmero de paquetes transmitidos por defecto (agotamiento de bfer). late frame: contadores utilizados en una administracin de descriptores de bfer de controlador Ethernet.
137
Contadores
out bs pak: la cantidad de paquetes que se encuentran en almacenamiento en segundo plano mientras se busca una direccin MAC desconocida. Cuando el dispositivo NetScreen reenva un paquete, primero comprueba si la direccin MAC de destino se encuentra en la tabla ARP. Si no encuentra la direccin MAC de destino en la tabla ARP, el dispositivo NetScreen enva una peticin ARP a la red. Si el dispositivo NetScreen recibe otro paquete con la misma direccin MAC de destino antes de recibir una respuesta a la primera peticin ARP, aumenta el contador out bs pak en uno. out bytes: nmero de bytes enviados. out coll err: nmero de paquetes de colisin salientes. out cs lost: nmero de paquetes salientes descartados porque el protocolo CSMA/CD (Carrier Sense Multiple Access/Collision Detect) perdi la seal11. out defer: nmero de paquetes salientes aplazados. out discard: nmero de paquetes salientes descartados. out heartbeat: nmero de paquetes de latido salientes. out misc err: nmero de paquetes salientes con errores de otro tipo. out no buffer: nmero de paquetes no enviados porque no hay bfers disponibles. out packets: nmero de paquetes enviados. re xmt limit: nmero de paquetes descartados al exceder el lmite de retransmisin mientras una interfaz estaba funcionando en semidplex.
12
NetScreen tambin dispone de los siguientes contadores de flujo para vigilar el nmero de paquetes inspeccionados en el nivel de flujo: address spoof: nmero de paquetes sospechosos de ataque de simulacin de direccin recibidos. auth deny: nmero de veces que se ha rechazado la autenticacin de usuario. auth fail: nmero de veces que ha fallado la autenticacin de usuario. big bkstr: nmero de paquetes que son demasiado grandes para el bfer del almacenamiento en segundo plano ARP mientras se espera la resolucin de la direccin MAC a IP.
11. Para ms informacin sobre el protocolo CSMA/CD (Carrier Sense Multiple Access/Collision Detect), consulte la norma IEEE 802.3 disponible en http://standards.ieee.org. 12. Los contadores precedidos por un asterisco an no funcionan en el momento de publicacin de este manual, por lo que siempre muestran el valor 0.
138
Contadores
connections: nmero de sesiones establecidas desde el ltimo arranque. encrypt fail: nmero de paquetes PPTP (Point-to-Point Tunneling Protocol) con errores. *icmp broadcast: nmero de difusiones ICMP recibidas. icmp flood: nmero de paquetes ICMP contabilizados justo antes del umbral de flujo ICMP. illegal pak: nmero de paquetes descartados porque no cumplen las normas de protocolo. in arp req: nmero de paquetes de peticin ARP entrantes. in arp resp: nmero de paquetes de peticin ARP salientes. in bytes: nmero de bytes recibidos. in icmp: nmero de paquetes ICMP (Internet Control Message Protocol) recibidos. in other: nmero de paquetes entrantes con un tipo Ethernet distinto. in packets: nmero de paquetes recibidos. in self: nmero de paquetes asignados a la direccin IP de administracin de NetScreen. *in un auth: nmero de paquetes entrantes TCP, UDP e ICMP no autorizados. *in unk prot: nmero de paquetes entrantes que utilizan un protocolo de Ethernet desconocido. in vlan: nmero de paquetes de vlan entrantes. in vpn: nmero de paquetes IPSec recibidos. invalid zone: nmero de paquetes destinados a una zona de seguridad no vlida. ip sweep: nmero de paquetes recibidos y descartados ms all del umbral de limpieza de IPs especificado. land attack: RFCs:1349, Type of Service in the Internet Protocol Suite nmero de paquetes sospechosos de ataque terrestre recibidos. loopback drop: nmero de paquetes descartados porque no se pueden someter a un bucle invertido (loopback) a travs del dispositivo NetScreen. Un ejemplo de sesin de bucle invertido sera cuando un host en la zona Trust enva datos a una direccin MIP o VIP asignada a un servidor que tambin se encuentra en la zona Trust. El dispositivo NetScreen crea una sesin de bucle invertido que dirige este trfico desde el host al servidor MIP o VIP.
139
Contadores
mac relearn: nmero de veces que la tabla de aprendizaje de direcciones MAC tuvo que volver a memorizar la interfaz asociada a una direccin MAC porque la ubicacin de dicha direccin cambi. mac tbl full: nmero de veces que se llen completamente la tabla de aprendizaje de direcciones MAC. mal url: nmero de paquetes bloqueados destinados a una direccin URL que se considera maliciosa. *misc prot: nmero de paquetes que utilizan un protocolo distinto de TCP, UDP o ICMP. mp fail: nmero de veces que se produjo un problema al enviar un mensaje PCI entre el mdulo procesador master y el mdulo procesador. no conn: nmero de paquetes descartados porque las conexiones NAT (Network Address Translation) no estaban disponibles para la puerta de enlace. no dip: nmero de paquetes descartados porque las direcciones DIP (Dynamic IP) no estaban disponibles. no frag netpak: nmero de veces que el espacio libre en el bfer netpak ha cado por debajo del 70%. *no frag sess: nmero de veces que las sesiones fragmentadas han superado la mitad del nmero mximo de sesiones NAT. no g-parent: nmero de paquetes descartados porque no se pudo localizar la conexin principal. no gate: nmero de paquetes descartados porque no haba puerta de enlace disponible. no gate sess: nmero de sesiones terminadas porque no haba puertas para ellas en la puerta de enlace. no map: nmero de paquetes descartados porque no haba ninguna asignacin a un zona Trust. no nat vector: nmero de paquetes descartados porque la conexin NAT (Network Address Translation) no estaba disponible para la puerta. *no nsp tunnel: nmero de paquetes descartados enviados a una interfaz Tunnel sin tnel VPN asociado. no route: nmero de paquetes no enrutables recibidos. no sa: nmero de paquetes descartados porque no hay definidas asociaciones de seguridad (SA). no sa policy: nmero de paquetes descartados porque no hay ninguna directiva asociada a una SA. *no xmit vpnf: nmero de paquetes de VPN descartados por causa de la fragmentacin. null zone: nmero de paquetes descartados enviados errneamente a una interfaz asociada a la zona Null. nvec err: nmero de paquetes descartados por un error de vector NAT.
140
Contadores
out bytes: nmero de bytes enviados. out packets: nmero de paquetes enviados. out vlan: nmero de paquetes de vlan salientes. ping of death: nmero de paquetes recibidos sospechosos de ataque de tipo Ping of Death. policy deny: nmero de paquetes rechazados por una directiva definida. port scan: nmero de paquetes contabilizados como intentos de anlisis de puerto. proc sess: nmero de veces que las sesiones totales en un mdulo procesador excedieron el umbral mximo. sa inactive: nmero de paquetes descartados por una SA inactiva. sa policy deny: nmero de paquetes rechazados por una directiva de SA. sessn thresh: umbral para el nmero mximo de sesiones. *slow mac: nmero de tramas cuyas direcciones MAC eran lentas de resolver. src route: nmero de paquetes descartados por la opcin para filtrar la ruta de origen. syn frag: nmero de paquetes SYN descartados por causa de la fragmentacin. tcp out of seq: nmero de segmentos TCP recibidos cuyo nmero de secuencia se encuentra fuera de un rango aceptable. tcp proxy: nmero de paquetes descartados por haber utilizado un proxy TCP, como la opcin de proteccin de flujo SYN o autenticacin de usuario. tear drop: nmero de paquetes bloqueados como parte de una sospecha de ataque Tear Drop. tiny frag: nmero de pequeos paquetes fragmentados recibidos. trmn drop: nmero de paquetes descartados por la administracin de trfico. trmng queue: nmero de paquetes que esperan en cola. udp flood: nmero de paquetes UDP por debajo del umbral de inundacin UDP. url block: nmero de solicitudes HTTP que han sido bloqueadas. winnuke: nmero de paquetes de ataque WinNuke recibidos. wrong intf: nmero de mensajes de creacin de sesin enviados desde un mdulo procesador al mdulo procesador master.
141
Contadores
wrong slot: nmero de paquetes enviados errneamente a un mdulo procesador incorrecto.
Ejemplo: Visualizar contadores de pantalla

En este ejemplo veremos los contadores de pantalla de NetScreen para la zona Trust.
WebUI
Reports > Counters > Zone Screen: Seleccione Trust en la lista desplegable Zone.
CLI
get counter screen zone trust
142
Apndice A
Archivos MIB para SNMP
Juniper Networks proporciona archivos MIB para permitir la comunicacin SNMP entre las aplicaciones de su organizacin y el agente SNMP en el dispositivo NetScreen. Para obtener los archivos MIB ms recientes, abra un explorador web y visite www.juniper.net/support. Seleccione un producto NetScreen y, a continuacin, seleccione los archivos MIB para la versin de ScreenOS cargada en su dispositivo NetScreen. Los archivos MIB de la versin actual de ScreenOS son completamente compatibles con los agentes SNMP de las versiones anteriores de ScreenOS. Los archivos MIB de NetScreen se organizan en una estructura jerrquica de mltiples niveles, tal y como se describe a continuacin: Carpetas de archivos MIB del nivel principal en la pgina II Carpetas de archivos MIB del segundo nivel en la pgina IV netscreenProducts en la pgina IV netScreenIds en la pgina V netscreenVpn en la pgina V netscreenQos en la pgina VI netscreenSetting en la pgina VI netscreenZone en la pgina VI netscreenPolicy en la pgina VII netscreenNAT en la pgina VII netscreenAddr en la pgina VII netscreenService en la pgina VII netscreenSchedule en la pgina VII netscreenVsys en la pgina VIII netscreenResource en la pgina VIII netscreenIp en la pgina VIII netscreenVR en la pgina VIII
I
Apndice A Archivos MIB para SNMP
Carpetas de archivos MIB del nivel principal

Los archivos MIB se organizan en una estructura jerrquica de carpetas. A continuacin se muestran las carpetas MIB del nivel principal:
Cada carpeta contiene una categora de archivos MIB.

netscreenProducts netscreenTrapInfo netscreenIDS Asigna identificadores de objeto (OIDs) a las distintas series de productos NetScreen. Define las capturas de empresa enviadas por el dispositivo NetScreen. Define la configuracin del servicio de deteccin de intrusin (IDS) del dispositivo NetScreen.
II
netscreenVpn netscreenQos netscreenNsrp netscreenSetting netscreenZone netscreenInterface netscreenPolicy netscreenNAT netscreenAddr netscreenService netscreenSchedule netscreenVsys netscreenResource netscreenIp netScreen Chassis netscreenVR
Define la configuracin de VPN y la informacin de tiempo de ejecucin del dispositivo NetScreen. Define la configuracin de la calidad de servicio (QoS) del dispositivo NetScreen. Define la configuracin NSRP del dispositivo NetScreen. Define otros ajustes de configuracin del dispositivo NetScreen, como DHCP, correo electrnico, autenticacin y el administrador. Define la informacin de zona que se encuentra en el dispositivo NetScreen. Define la configuracin de interfaz del dispositivo NetScreen, incluida la interfaz virtual. Define la configuracin de directivas de entrada y salida del dispositivo NetScreen. Define la configuracin de NAT, incluyendo las direcciones Map IP (IP asignada), Dynamic IP (IP dinmica) y Virtual IP (IP virtual). Representa la tabla de direcciones de una interfaz NetScreen. Describe los servicios (incluyendo los servicios definidos por el usuario) reconocidos por el dispositivo NetScreen. Define la informacin de programacin de tareas del dispositivo NetScreen, configurada por el usuario. Define la configuracin de sistema virtual (VSYS) del dispositivo NetScreen. Accede a informacin sobre la utilizacin de recursos por parte del dispositivo NetScreen. Accede a informacin sobre la IP privada del dispositivo NetScreen. Marcador de posicin vaco para futuras carpetas de archivos MIB. Define la configuracin del enrutador virtual (VR) del dispositivo NetScreen.
III
Carpetas de archivos MIB del segundo nivel

En esta seccin se describen los archivos MIB del segundo nivel para los dispositivos NetScreen. Cada carpeta de segundo nivel puede contener archivos MIB o subcarpetas.
netscreenProducts
netscreenGeneric Identificadores de objeto (OIDs) dinmicos para productos NetScreen OIDs de NetScreen-5XP OIDs de NetScreen-10XP OIDs de NetScreen-100 OIDs de NetScreen-1000 OIDs de NetScreen-500 OIDs de NetScreen-50 OIDs de NetScreen-25 OIDs de NetScreen-204 OIDs de NetScreen-208
netscreenNs5 netscreenNs10 netscreenNs100 netscreenNs1000 netscreenNs500 netscreenNs50 netscreenNs25 netscreenNs204 netscreenNs208
IV
netScreenIds
nsldsProtect nsldsProtectSetTable Servicio IDS en el dispositivo NetScreen Servicio IDS habilitado en el dispositivo NetScreen Configuracin del umbral del servicio IDS Informacin estadstica sobre intentos de intrusin
nsldsProtectThreshTable nsldsAttkMonTable
netscreenVpn
netscreenVpnMon nsVpnManualKey nsVpnIke nsVpnGateway nsVpnPhaseOneCfg nsVpnPhaseTwoCfg nsVpnCert nsVpnL2TP nsVpnPool nsVpnUser Muestra informacin de la direccin de origen del tnel VPN Configuracin de clave manual Configuracin IKE Configuracin de puerta de enlace del tnel de VPN Configuracin IPSec de Fase 1 Configuracin IPSec de Fase 2 Configuracin de certificado Configuracin de L2TP Configuracin de rango IP Configuracin de usuario de VPN
netscreenQos
nsQosPly Configuracin de calidad del servicio (QoS) segn la directiva
netscreenSetting
nsSetGeneral nsSetAuth nsSetDNS nsSetURLFilter nsSetDHCP nsSetSysTime nsSetEmail nsSetLog nsSetSNMP nsSetGlbMng nsSetAdminUser nsSetWebUI Configuracin general del dispositivo NS Configuracin del mtodo de autenticacin Ajustes del servidor DNS Ajuste del filtro de URL Ajustes del servidor DHCP Ajuste de la hora del sistema Ajuste de correo electrnico Ajuste de Syslog Configuracin del agente SNMP Configuracin de administracin global Configuracin de usuario administrativo Configuracin de la Web UI
netscreenZone
nsZoneCfg Configuracin de zona del dispositivo
VI
netscreenPolicy
NsPlyTable NsPlyMonTable Configuracin de directivas Informacin estadstica sobre cada directiva
netscreenNAT
nsNatMipTable nsNatDipTable nsNatVip Configuracin de IPs asignadas Configuracin de IPs dinmicas Configuracin de IPs virtuales
netscreenAddr
nsAddrTable Tabla de direcciones en una interfaz NetScreen
netscreenService
nsServiceTable nsServiceGroupTable nsServiceGrpMemberTable Informacin de servicio Informacin de grupo de servicios Informacin de un miembro de un grupo de servicios
netscreenSchedule
nschOnceTable nschRecurTable Informacin de programacin puntual Informacin de programacin recurrente
VII
netscreenVsys
nsVsysCfg Configuracin de sistema virtual (VSYS) del dispositivo NetScreen
netscreenResource
nsresCPU nsresMem nsresSession Utilizacin de la CPU Utilizacin de memoria Uso de sesin
Note: ScreenOS ya no es compatible con el contador failedSession.
netscreenIp
nslpArp Tabla de ARP
netscreenVR1
nsOSPF nsBGP nsRIP Informacin de protocolo OSPF (Open Shortest Path First) Informacin de protocolo BGP (Border Gateway Protocol) Informacin de protocolo RIP (Routing Information Protocol)
1.
Las MIBs netscreenVR se basan en SMIv2 (Structure of Management Information versin 2). El resto se basa en SMIv1. Es posible acceder a todos los datos MIB II independientemente de si se utiliza SNMPv1 o SNMPv2c.
VIII
ndice
ndice
A
administracin CLI (interfaz de lnea de comandos) 14 restringir 59, 60 WebUI 3 ajustes de configuracin consultar la marca de hora 38 hash de configuracin 37 requisitos del explorador 3 visualizar el estado de la configuracin 36 alarmas alerta de correo electrnico 97 comunicar a NSM 34 trfico 97101 umbrales 97 almacenamiento en segundo plano 138 almacenamiento flash interno 78 archivos de ayuda 4 archivos MIB A-I asociaciones de seguridad (SA) 140 conjuntos de caracteres compatibles con ScreenOS x consola 78 contrasea administrador raz 57 olvidada 54 convenciones CLI vi ilustracin ix nombres x WebUI vii Network Address Translation (NAT) 140 no enrutables 140 paquetes 141 PPTP (Point to Point Tunneling Protocol) 139 que no se pueden recibir 137, 138 rechazados 141 recibidos 137, 138, 139, 141 transmitidos por defecto (underrun) 137
H
HTTP 5 ID de sesin 5
D
DIP 140 direcciones IP IP administrativa 44 servidores NSM 33 direcciones IP de cliente de administracin 59 directiva de SA 141 distribucin de protocolos comunicar a NSM 34
I
ID de sesin 5 Ident-Reset 39 ilustracin convenciones ix inicio de sesin administrador raz 60 Telnet 15 interfaces gestionables 44 opciones de administracin 39 interfaz de lnea de comandos vase CLI interfaz de usuario vase WebUI IP administrativa 44 IP del servidor SMTP 101 IP dinmica vase DIP
C
cables serie 28 capturas SNMP 100, problemas de hardware 107 200, problemas de cortafuegos 107 300, problemas de software 107 400, problemas de trfico 107 500, problemas de VPN 107 permitir o denegar 109 carpetas MIB principal A-II clave manual VPNs 61, 113 CLI 14, 40, 41 convenciones vi CompactFlash 79 conexin principal 140 configuracin de la marca de hora 38
E
error de vector NAT 140 error in-short 137 estadsticas comunicar a NSM 34
F
filtrar ruta de origen 141 fragmentados 141 ataque de simulacin de direccin 138 ataque terrestre 139 colisin 137, 138 descartados 140, 141 entrantes 137 Internet Control Message Protocol (ICMP) 135, 139 IPSec 139
M
Management Information Base II vase MIB II mensajes alerta 80 crticos 80
IX-I
ndice
depurar 80 emergencia 80 error 80 informacin 80 notificacin 80 WebTrends 104 mtodos de administracin CLI 14 consola 27 SSL 8 Telnet 14 WebUI 3 MGT, interfaz opciones de administracin 40 MIB II 39, 106 modo transparente opciones de administracin 40
ping 39 SNMP 39 SSH 39 SSL 39 Telnet 39 WebUI 39
P
PCMCIA 79 ping opciones de administracin 39 PKI clave 9 PPTP (Point to Point Tunneling Protocol) 139 protocolo de transferencia de hipertextos (HTTP) vase HTTP puerto de mdem 28 puertos mdem 28
N
NetScreen-Security Manager vase NSM Network Address Translation (NAT) 140 nombres convenciones x notificacin mediante alertas de correo electrnico 101, 104 NSM activar agente 32 agente 30, 33 comunicar eventos 34, 35 configuracin de la conectividad inicial NSM Management System 31 definicin 30 interfaz de usuario 30 Management System 30, 33 marca de hora de configuracin 38 opciones de administracin 39 sincronizacin de la configuracin 36
RFCs 1157, A Simple Network Management Protocol 106 1213, Management Information Base for Net work Management of TCP/IP-based internets MIB-II 39 106 1349, Type of Service in the Internet Protocol Suite 139 1901, Introduction to Community-based SNMPv2 106 1905, Protocol Operations for Version 2 of the Simple Network Management Protocol (SNMPv2) 106 1906, Transport Mappings for Version 2 of the Simple Network Management Protocol (SNMPv2) 106 ruta de origen 141
R
RADIUS 54 recuperacin de la marca de hora 38 red privada virtual vase VPNs registro 7896 CompactFlash (PCMCIA) 79 comunicar a NSM 34 consola 78 correo electrnico 78 interno 78 registro de eventos 80 registro de recuperacin de activos 96 registro propio 92 SNMP 78, 106 syslog 78, 102 WebTrends 79, 104 registro de eventos 80 registro de recuperacin de activos 96 registro propio 92 requisitos del explorador 3 requisitos del explorador de web 3 restablecimiento de los ajustes predeterminados de fbrica 58
S
SA inactiva 141 SCP 26 ejemplo de comando del cliente 27 habilitar 26 secuencia de bits 137 Secure Copy vase SCP Secure Shell vase SSH Secure Sockets Layer vase SSL serie, cables 28 sincronizacin configuracin 36 consulta del hash de configuracin 37 visualizar el estado 36 sistema operativo 14 sistema virtual administradores 48 administradores de slo lectura 48 SNMP 39, 106 archivos MIB A-I captura de inicio en fro 106
O
opciones de administracin 39 gestionables 44 modo transparente 40 NSM 39
IX-II
ndice
capturas por alarma del sistema 106 capturas por alarmas de trfico 106 carpetas MIB, nivel principal A-II comunidad, privada 110 comunidad, pblica 110 configuracin 110 encriptacin 109, 112 implementacin 109 opciones de administracin 39 tipos de captura 107 SSH 1723, 39 autenticacin mediante contrasea 21 autenticacin mediante PKA 21 cargar claves pblicas, CLI 22 cargar claves pblicas, TFTP 22, 25 cargar claves pblicas, WebUI 22 clave de host 18 clave de sesin 18 clave del servidor 18 clave PKA 18 forzar la autenticacin mediante PKA exclusivamente 23 inicios de sesin automatizados 25 PKA 22
prioridad del mtodo de autenticacin 23 procedimiento de conexin 18 SSL 8 opciones de administracin 39 SSL Handshake Protocol vase SSLHP SSLHP 8 syslog 78 encriptacin 112 host 102 mensajes 102 nombre de host 103, 104, 116, 127 puerto 103, 116, 127 utilidad 103, 116, 127 utilidad de seguridad 103, 116, 127
U
usuarios mltiples usuarios administrativos 47
V
VLAN1 opciones de administracin 40 VPN AutoKey IKE 61, 113 VPNs AutoKey IKE 61, 113 clave manual 61, 113 para trfico administrativo 112
T
TCP proxy 141 Telnet 14, 39 trfico alarmas 97101 trfico administrativo 40
W
WebTrends 79, 104 encriptacin 104, 112 mensajes 104 WebUI 3, 40, 41 archivos de ayuda 4 convenciones vii
IX-III
ndice
IX-IV

Juniper CLI

Uploaded by

Document Information

Original Description:

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Juniper CLI

Uploaded by

Copyright:

Available Formats

NetScreen conceptos y ejemplos

Manual de referencia de ScreenOS

ScreenOS 5.1.0 Ref. 093-1368-000-SP Revisin B

Documentacin de NetScreen de Juniper Networks .................................................. xi

Captulo 1 Administracin ............................................1

Administracin a travs de NetScreen-Security Manager ..................................................................30

Administracin a travs de la interfaz de lnea de comandos (CLI)...................................................14

Control del trfico administrativo .............................39

Niveles de administracin ........................................47

Captulo 2 Supervisin de dispositivos NetScreen ......77

Trfico administrativo seguro....................................52

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Registro de trfico ....................................................87

Registro propio .........................................................92

Tneles VPN para trfico administrativo autogenerado........................................................112

Registro de recuperacin de activos.......................96

Apndice A Archivos MIB para SNMP .........................A-I ndice ......................................................................... IX-I

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Convenciones de la interfaz de lnea de comandos (CLI)

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Convenciones de la interfaz grfica (WebUI)

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Address Name: addr_1

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Convenciones para las ilustraciones

Dispositivo NetScreen genrico

Dominio de enrutamiento virtual

Rango de direcciones IP dinmicas (DIP) Equipo de escritorio

Icono de conmutador (switch)

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Convenciones de nomenclatura y conjuntos de caracteres

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Documentacin de NetScreen de Juniper Networks

DOCUMENTACIN DE NETSCREEN DE JUNIPER NETWORKS

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Documentacin de NetScreen de Juniper Networks

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Administracin a travs de la interfaz de usuario web

ADMINISTRACIN A TRAVS DE LA INTERFAZ DE USUARIO WEB

Opcin para cambiar entre los mens DHTML y Applet

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Administracin a travs de la interfaz de usuario web

Ayuda de la interfaz grfica (WebUI)

Copia de los archivos de ayuda a una unidad local

Desvo de WebUI a la nueva ubicacin de la ayuda

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Administracin a travs de la interfaz de usuario web

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Administracin a travs de la interfaz de usuario web

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin

Administracin a travs de la interfaz de usuario web

Admin-A Direccin IP de origen: 10.2.2.5 Admin-B Direccin IP de origen: 10.2.2.6

ORIG DEST 10.2.2.6 10.1.1.1 DATOS

ORIG DEST 10.1.1.2 10.1.1.1 DATOS

Direccin IP de la interfaz: 10.1.1.1/24

Admin raz 2.2.2.5

Sistema raz 1.1.1.1

ROOT VSYS1 VSYS2

Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin