Professional Documents
Culture Documents
Copyright Notice
Copyright 2004 Juniper Networks, Inc. All rights reserved. Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies. Information in this document is subject to change without notice. No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from: Juniper Networks, Inc. ATTN: General Counsel 1194 N. Mathilda Ave. Sunnyvale, CA 94089-1206
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with NetScreens installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR NETSCREEN REPRESENTATIVE FOR A COPY.
Contenido
Contenido
Prefacio ......................................................................... v
Convenciones ........................................................... vi
Convenciones de la interfaz de lnea de comandos (CLI) ...................................................... vi Convenciones de la interfaz grfica (WebUI) ..............vii Convenciones para las ilustraciones........................... ix Convenciones de nomenclatura y conjuntos de caracteres .................................................................... x Secure Shell................................................................ 17 Requisitos del cliente ........................................... 19 Configuracin bsica de SSH en el dispositivo NetScreen ............................................................ 19 Autenticacin ...................................................... 21 SSH y Vsys ............................................................. 23 Clave del host...................................................... 24 Ejemplo: SSHv1 con PKA para inicios de sesin automatizados ..................................................... 25 Secure Copy (SCP) ..................................................... 26 Consola serie ............................................................. 27 Puerto de mdem................................................ 28
Contenido Marca de hora de configuracin ..............................38 Ejemplo: Consultar la marca de hora de configuracin.......................................................38 Cambio de nombre y contrasea de inicio de sesin del administrador....................................... 54 Ejemplo: Cambiar el nombre de inicio de sesin y la contrasea de un usuario administrador....................................................... 55 Ejemplo: Cambiar su propia contrasea ............ 56 Establecimiento de la longitud mnima de la contrasea del administrador raz ....................... 57 Restablecimiento del dispositivo con los ajustes predeterminados de fbrica ..................................... 58 Restriccin del acceso administrativo ....................... 59 Ejemplo: Restriccin de la administracin a una sola estacin de trabajo ........................... 59 Ejemplo: Restringir la administracin a una subred ....................................................... 60 Restriccin del administrador raz a acceder desde la consola................................................. 60 Tneles de VPN para trfico administrativo................ 61 Ejemplo: Administracin a travs de un tnel VPN de clave manual basado en rutas............... 63 Ejemplo: Administracin a travs de un tnel VPN de clave manual basado en directivas ....... 69
ii
Contenido Ejemplo: Descargar los eventos crticos del registro de eventos.........................................86 Ejemplo: Notificacin de sistema comprometido..................................................... 99 Ejemplo: Enviar alertas de correo electrnico... 101
Syslog .....................................................................102
Ejemplo: Habilitar mltiples servidores Syslog .... 103 WebTrends ............................................................... 104 Ejemplo: Activacin de WebTrends para eventos de notificacin ............................ 104
SNMP ......................................................................106
Resumen de implementacin.................................. 109 Ejemplo: Definir una comunidad SNMP de lectura/escritura ................................................. 110
Contadores ............................................................135
Ejemplo: Visualizar contadores de pantalla ...... 142
Alarmas de trfico....................................................97
Ejemplo: Deteccin de intrusiones basada en directivas.........................................................98
iii
Contenido
iv
Prefacio
Los dispositivos NetScreen de Juniper Networks ofrecen distintas formas de administrar los equipos, ya sea de forma local o remota. En el Volumen 3, Administracin se describen los distintos mtodos para gestionar los dispositivos NetScreen y explica los niveles administrativos de ScreenOS. En este volumen tambin se describe cmo conseguir una administracin segura, ya sea local o remota, de los dispositivos NetScreen y cmo supervisar el funcionamiento de dichos dispositivos. En el apndice se describen brevemente los archivos de la base de informacin de administracin (MIB, Management Information Base) de NetScreen, que permiten la comunicacin entre los dispositivos NetScreen y las aplicaciones de administracin del protocolo SNMP.
Prefacio
Convenciones
CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las siguientes secciones: Convenciones de la interfaz de lnea de comandos (CLI) Convenciones de la interfaz grfica (WebUI) en la pgina vii Convenciones para las ilustraciones en la pgina ix Convenciones de nomenclatura y conjuntos de caracteres en la pgina x
Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvo en el caso de las variables, que siempre aparecen en cursiva ). Por ejemplo: Utilice el comando get system para visualizar el nmero de serie de un dispositivo NetScreen. Nota: Para escribir palabras clave, basta con introducir los primeros caracteres que permitan al sistema reconocer de forma inequvoca la palabra que se est introduciendo. Por ejemplo, es suficiente escribir set adm u joe j12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54 . Aunque este mtodo se puede utilizar para introducir comandos, en la presente documentacin todos ellos se representan con sus palabras completas.
vi
Prefacio
Convenciones
4 1 2 3
1. Haga clic en Objects en la columna de men. La opcin de men Objects se desplegar para mostrar las opciones subordinadas que contiene. 2. (Men Applet) Site el mouse sobre Addresses. (Men DHTML) Haga clic en Addresses. La opcin de men Addresses se desplegar para mostrar las opciones subordinadas que contiene.
3. Haga clic en List. Aparecer la tabla de libretas de direcciones. 4. Haga clic en el vnculo New. Aparecer el cuadro de dilogo de configuracin de nuevas direcciones.
vii
Prefacio
Convenciones
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de dilogo apropiado, donde podr definir objetos y establecer parmetros de ajuste. El conjunto de instrucciones de cada tarea se divide en dos partes: la ruta de navegacin y los datos de configuracin. Por ejemplo, el siguiente conjunto de instrucciones incluye la ruta al cuadro de dilogo de configuracin de direcciones y los ajustes de configuracin que se deben realizar: Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: addr_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust
Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.
IP Address Name/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust Haga clic en OK .
viii
Prefacio
Convenciones
Internet
Zona de seguridad
Interfaces de zonas de seguridad Blanca = interfaz de zona protegida (ejemplo: zona Trust) Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust) Interfaz de tnel Tnel VPN Icono de enrutador (router)
Equipo porttil Dispositivo de red genrico (ejemplos: servidor NAT, concentrador de acceso)
Servidor
ix
Prefacio
Convenciones
ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Nota: Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador web. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
Prefacio
xi
Prefacio
xii
Captulo 1
Administracin
Este captulo describe varios mtodos y herramientas de administracin, formas de asegurar el trfico administrativo y los niveles de privilegios administrativos que se pueden asignar a los usuarios con permisos de administrador. Este captulo contiene las siguientes secciones: Administracin a travs de la interfaz de usuario web en la pgina 3 Ayuda de la interfaz grfica (WebUI) en la pgina 4 HTTP en la pgina 5 Secure Sockets Layer en la pgina 8 Administracin a travs de la interfaz de lnea de comandos (CLI) en la pgina 14 Telnet en la pgina 14 Secure Shell en la pgina 17 Secure Copy (SCP) en la pgina 26 Consola serie en la pgina 27 Administracin a travs de NetScreen-Security Manager en la pgina 30 Inicio de la conectividad entre el agente y Management System en la pgina 31 Habilitacin, inhabilitacin y desactivacin del agente en la pgina 32 Cambio de la direccin del servidor Management System en la pgina 33 Ajuste de los parmetros de informes en la pgina 34 Sincronizacin de la configuracin en la pgina 36 Marca de hora de configuracin en la pgina 38
Captulo 1 Administracin
Control del trfico administrativo en la pgina 39 Interfaces MGT y VLAN1 en la pgina 40 Interfaz administrativa en la pgina 42 IP de administracin en la pgina 44 Niveles de administracin en la pgina 47 Definicin de usuarios con permisos de administrador en la pgina 49 Trfico administrativo seguro en la pgina 52 Cambiar el nmero de puerto en la pgina 53 Cambio de nombre y contrasea de inicio de sesin del administrador en la pgina 54 Restablecimiento del dispositivo con los ajustes predeterminados de fbrica en la pgina 58 Restriccin del acceso administrativo en la pgina 59 Tneles de VPN para trfico administrativo en la pgina 61
Captulo 1 Administracin
Panel central
Para utilizar la WebUI, debe disponer de: Netscape Communicator (versin 4.7 o posterior) o Microsoft Internet Explorer (versin 5.5 o posterior) Conexin de red TCP/IP con el dispositivo NetScreen
3
Captulo 1 Administracin
Captulo 1 Administracin
1.
2.
Configuration > Admin > Management: En el campo Help Link Path, reemplace la URL predeterminada http://help.juniper.net/help/english/screenos_version/nsplatform_number por (para la unidad local) file://path/help o bien (para el servidor local) http://server_name/path/help Haga clic en Apply . Al hacer clic en el vnculo help de la esquina superior derecha de la interfaz WebUI, el dispositivo ahora utiliza la nueva ruta especificada en el campo Help Link Path para localizar el archivo de ayuda correspondiente.
HTTP
Con un explorador web estndar se puede tener acceso, supervisar y controlar remotamente las configuraciones de seguridad de la red por medio del protocolo de transferencia de hipertextos (Hypertext Transfer Protocol, HTTP). Puede hacer que el trfico administrativo de HTTP sea seguro encapsulndolo en un tnel VPN (red privada virtual) o utilizando el protocolo Secure Sockets Layer (SSL). Tambin puede asegurar el trfico administrativo separndolo totalmente del trfico de los usuarios de la red. Para ello, puede canalizar todo el trfico administrativo a travs de la interfaz MGT (disponible en algunos dispositivos NetScreen) o vincular una interfaz a la zona MGT y dedicarla exclusivamente al trfico administrativo. Nota: Para obtener ms informacin, consulte Secure Sockets Layer en la pgina 8, Tneles de VPN para trfico administrativo en la pgina 61 e Interfaces MGT y VLAN1 en la pgina 40.
Identificacin de sesin
El dispositivo NetScreen asigna a cada sesin administrativa de HTTP un identificador de sesin nico. En los dispositivos NetScreen que admiten sistemas virtuales (vsys), el identificador es exclusivo a nivel mundial en cada sistema: raz (root) y virtual (vsys).
Captulo 1 Administracin
Cada identificador de sesin es un nmero de 39 bytes resultante de combinar cinco nmeros generados de forma pseudo-aleatoria. A diferencia de los esquemas numricos incrementales simples, la aleatoriedad en la generacin del identificador hace que ste sea casi imposible de predecir. Adems, dicha aleatoriedad combinada con la longitud del identificador hace que la duplicacin accidental de un mismo identificador para dos sesiones administrativas simultneas resulte extremadamente improbable.
Captulo 1 Administracin
A continuacin se explican dos ventajas que el uso de identificadores de sesin proporciona a los administradores de NetScreen: El dispositivo NetScreen puede distinguir varias sesiones simultneas de mltiples administradores detrs de un dispositivo NAT que asigne la misma direccin IP de origen a todos los paquetes salientes.
Dispositivo NAT Traduce todas las direcciones Dispositivo NetScreen IP de origen a 10.1.1.2
ORIG DEST 10.2.2.5 10.1.1.1 DATOS ORIG DEST 10.1.1.2 10.1.1.1 DATOS
El dispositivo NetScreen asigna a cada sesin un nmero nico de identificacin, que utiliza para distinguir una sesin de otra.
El dispositivo NetScreen puede distinguir diferentes sesiones administrativas de nivel raz simultneas procedentes de una misma direccin IP de origen y dirigidas al sistema raz, y desde all a diversos sistemas virtuales.
Dispositivo NetScreen El dispositivo NetScreen asigna a cada sesin un nmero nico de identificacin, que utiliza para poder distinguir las sesiones procedentes de un mismo host y dirigidas a diversos sistemas raz y virtuales.
Captulo 1 Administracin
Captulo 1 Administracin
Un dispositivo NetScreen puede redirigir trfico administrativo usando HTTP (puerto predeterminado 80) a SSL (puerto predeterminado 443). El certificado predeterminado para SSL es el certificado autofirmado generado automticamente, aunque posteriormente puede utilizar otro certificado si lo desea. Dado que SSL lleva integrada la administracin de claves/certificados PKI, puede seleccionar cualquiera de los certificados SSL que aparecen en la lista de certificados. Tambin puede utilizar el mismo certificado para una VPN IPSec. Nota: Para obtener informacin sobre la redireccin del trfico HTTP administrativo a SSL, consulte Redireccionamiento de HTTP a SSL en la pgina 12. Para obtener informacin sobre certificados autofirmados, consulte Certificados autofirmados (Self-Signed Certificates) en la pgina 5-47). Para ms informacin sobre la obtencin de certificados, consulte Certificados y CRLs en la pgina 5-29. La implementacin del protocolo SSL en ScreenOS proporciona las siguientes posibilidades, compatibilidades e integracin: Autenticacin del servidor SSL (no autenticacin de servidor y cliente SSL); es decir, el dispositivo NetScreen se autentica ante el administrador intentando conectarse a travs de SSL, pero el administrador no utiliza SSL para autenticarse ante el dispositivo. Compatibilidad con SSL versin 3 (no con la versin 2) Compatibilidad con Netscape Communicator 4.7x y versiones ms recientes y con Internet Explorer 5.x y versiones ms recientes1 Integracin de la administracin de claves de la infraestructura de claves pblicas (PKI) (consulte Criptografa de claves pblicas en la pgina 5-23.) Los siguientes algoritmos de codificacin para SSL: RC4-40 con teclas de 40 bits RC4 con teclas de 128 bits DES: Data Encryption Standard con teclas de 56 bits 3DES: Triple DES con teclas de 168 bits
1.
Compruebe el nivel de encriptacin (cifrado) de su explorador web y cules son los tipos que admite. (Tanto el dispositivo NetScreen como su explorador web deben admitir los mismos tipos y niveles de encriptacin que desee utilizar para SSL). En Internet Explorer 5x, haga clic en Help , About Internet Explorer , y compruebe el valor de Cipher Strength. Para obtener el paquete de seguridad avanzada, haga clic en el enlace Update Information . En Netscape Communicator, haga clic en Help , About Communicator , y compruebe la seccin sobre RSA. Para modificar los ajustes de configuracin SSL, haga clic en Security Info , Navigator , Configure SSL v3 .
Captulo 1 Administracin
Los algoritmos de autenticacin son los mismos para SSL que para VPNs: Message Digest versin 5 (MD5), teclas de 128 bits Secure Hash Algorithm versin 1 (SHA-1), teclas de 160 bits Nota: Los algoritmos RC4 siempre van emparejados con MD5, mientras que DES y 3DES van con SHA-1.
Configuracin de SSL
Los pasos bsicos para configurar SSL son los siguientes: 1. Utilice el certificado autofirmado que el dispositivo NetScreen genera automticamente durante su arranque inicial, cree otro certificado autofirmado, u obtenga un certificado firmado por una CA y crguelo en el 2 dispositivo NetScreen . Nota: Para obtener ms informacin acerca de los certificados autofirmados, consulte Certificados autofirmados (Self-Signed Certificates) en la pgina 5-47. Para obtener los detalles sobre cmo solicitar y cargar un certificado, consulte Certificados y CRLs en la pgina 5-29. 2. Habilite la administracin de SSL3:
WebUI
Configuration > Admin > Management: Introduzca los siguientes datos y haga clic en Apply : SSL: (seleccione) Port: Utilice el nmero de puerto predeterminado (443) o cambelo a otro . Certificate: Seleccione en la lista desplegable el certificado que desea utilizar.
2. 3. 4. Asegrese de especificar una longitud de bits que tambin admita su explorador web. SSL est habilitado de forma predeterminada. Si modifica el nmero de puerto SSL, los administradores deben especificar el nmero de puerto no predeterminado al introducir la URL en su explorador web.
4
10
Captulo 1 Administracin
CLI
set ssl port num 5 set ssl cert id_num set ssl encrypt { { 3des | des } sha-1 | { rc4 | rc4-40 } | md5 } set ssl enable save Configure la interfaz a travs de la cual se administra el dispositivo NetScreen para permitir la administracin de SSL:
3.
WebUI
Network > Interfaces > Edit (para la interfaz que desea administrar): Active la casilla de verificacin del servicio de administracin de SSL y despus haga clic en OK .
CLI
set interface interface manage ssl save 4. Conctese al dispositivo NetScreen a travs del puerto de SSL. Es decir, cuando escriba la direccin IP de administracin del dispositivo NetScreen en el campo URL de su explorador, cambie http por https y agregue al final de la direccin IP dos puntos, seguidos del nmero de puerto HTTPS (SSL) si es diferente al predeterminado, (por ejemplo, https://123.45.67.89:1443).
5.
Para averiguar el nmero de identificacin de un certificado, utilice el comando siguiente: get pki x509 list cert .
11
Captulo 1 Administracin
HTTP-Get Encriptado
Para habilitar el redireccionamiento y utilizar certificado autofirmado generado automticamente para SSL, lleve a cabo cualquiera de los siguientes procedimientos:
WebUI
Configuration > Admin > Management: Introduzca los siguientes datos y haga clic en Apply : Redirect HTTP to HTTPS: (seleccione) Certificate: Default System Self-Signed Cert
12
Captulo 1 Administracin
CLI
set admin http redirect save
6
Aunque HTTP no proporciona la seguridad que da SSL, puede configurar el dispositivo NetScreen de modo que no redirija trfico HTTP. Para desactivar el mecanismo de redireccionamiento de HTTP a SSL, desactive la opcin Redirect HTTP to HTTPS (WebUI), o introduzca el comando unset admin http redirect (CLI).
6.
No tiene que introducir un comando CLI para aplicar el certificado autofirmado generado automticamente para su uso con SSL porque el dispositivo NetScreen lo aplica a SSL de forma predeterminada. Si previamente ha asignado otro certificado para su uso con SSL y ahora desea utilizar el certificado predeterminado en su lugar, debe desasignar el certificado anterior con el siguiente comando: unset ssl cert id_num , donde id_num es el nmero de identificacin del certificado asignado previamente.
13
Captulo 1 Administracin
Telnet
Telnet es un protocolo de inicio de sesin y de emulacin de terminales que utiliza una relacin cliente/servidor para conectarse y configurar remotamente los dispositivos de una red TCP /IP. El administrador ejecuta un programa cliente de Telnet en la estacin de trabajo de administracin y crea una conexin con el programa servidor de Telnet instalado en el dispositivo NetScreen. Despus de iniciar la sesin, el administrador puede enviar comandos de la interfaz CLI , que se transmiten al programa de Telnet del dispositivo NetScreen, permitiendo configurar eficazmente el dispositivo como si se estuviese trabajando a travs de una conexin directa. Para utilizar Telnet con el fin de administrar los dispositivos NetScreen se requiere lo siguiente: Software Telnet en la estacin de trabajo de administracin Una conexin Ethernet al dispositivo NetScreen
14
Captulo 1 Administracin
2. NetScreen solicita al cliente que inicie una sesin con un nombre de usuario y una contrasea.
3. El cliente enva su nombre de usuario y contrasea, ya sea en modo transparente o encriptados en un tnel VPN.
Para reducir al mnimo las posibilidades de que un usuario no autorizado pueda iniciar una sesin en un dispositivo, puede limitar el nmero de intentos de conexin que el dispositivo NetScreen admitir antes de cerrar la sesin de Telnet. Esta restriccin tambin protege contra ciertos tipos de ataques, como los ataques de diccionario automatizados. De forma predeterminada, el dispositivo NetScreen permite hasta tres intentos fallidos de inicio de sesin antes de cerrar la sesin de Telnet. Para cambiar este nmero, introduzca el comando siguiente: set admin access attempts number Nota: Para establecer esta restriccin debe utilizarse la interfaz CLI .
15
Captulo 1 Administracin
Adems, para asegurarse de que los usuarios con permisos de administrador utilicen una conexin segura para administrar dispositivos NetScreen mediante Telnet, puede obligar a tales usuarios a utilizar Telnet exclusivamente 7 a travs de un tnel de red privada virtual (VPN) . Una vez establecida esta restriccin, el dispositivo rechazar el acceso a cualquiera que intente ejecutar Telnet sin pasar por un tnel VPN. Para obligar a Telnet a acceder a travs de una VPN, introduzca el comando siguiente: set admin telnet access tunnel Nota: Para establecer esta restriccin debe utilizarse la interfaz CLI .
7.
Para obtener informacin sobre los tneles de VPN, consulte el Volumen 5, VPNs.
16
Captulo 1 Administracin
Secure Shell
El servidor Secure Shell (SSH) integrado en un dispositivo NetScreen proporciona a los administradores un medio seguro para la administracin remota de dispositivos utilizando las aplicaciones basadas en el Shell seguro (SSH). SSH permite abrir de forma segura un entorno de comandos remoto y ejecutar comandos. SSH proporciona proteccin contra los ataques de suplantacin de IP o DNS (spoofing) y contra la interceptacin de contraseas y datos. Puede elegir entre ejecutar un servidor SSH versin 1 (SSHv1) o SSH versin 2 (SSHv2) en el dispositivo NetScreen. SSHv2 se considera ms seguro que SSHv1 y en la actualidad se encuentra en etapa de desarrollo como estndar del IETF. Sin embargo, SSHv1 est ampliamente difundido y se utiliza comnmente. Observe que SSHv1 y SSHv2 no son compatibles entre s. Es decir, no se puede conectar un cliente SSHv1 a un servidor SSHv2 en el dispositivo NetScreen, ni viceversa. La consola o aplicacin de terminal del cliente debe ejecutar la misma versin de SSH que el servidor.
Trfico administrativo encriptado ScreenOS
Cliente SSH
Internet
Servidor SSH
Dispositivo NetScreen
17
Captulo 1 Administracin
5. NetScreen firma la clave de la sesin con su clave privada y enva la clave de la sesin firmada al cliente. El cliente verifica la firma con la clave de la sesin generada durante el intercambio de claves. De este modo se completa la creacin de un canal seguro.
6. NetScreen enva una seal al cliente de SSH para que pida al usuario final la informacin de autenticacin.
7. El cliente encripta un nombre de usuario y una contrasea o el componente pblico de su clave PKA, y enva ambos para su autenticacin.
Claves Host Key (Clave del host): Para autenticar el dispositivo o sistema virtual NetScreen ante el cliente y encriptar la clave de la sesin se utiliza el componente pblico de un par de claves pblica/privada. (Cada vsys tiene su propia clave de host). La clave de host est permanentemente asociada al dispositivo o vsys. Server Key (Clave del servidor): El par de claves pblica/privada RSA temporal utilizado para encriptar la clave de la sesin. (De forma predeterminada, NetScreen genera uno nuevo cada media hora para cada vsys). Session Key (Clave de la sesin): Clave secreta temporal (DES o 3DES) que el cliente y NetScreen crean conjuntamente durante el establecimiento de la conexin para encriptar la comunicacin (y que se descarta al terminar la sesin). PKA Key (Clave PKA): Par de claves pblica/ privada RSA persistente que reside en el cliente de SSH. La clave pblica del cliente tambin debe estar cargada en el dispositivo NetScreen antes de iniciar una conexin de SSH y la clave PKA debe estar asociada al usuario con permisos de administrador. Nota: Par de claves pblica/privada = Conjunto de claves encriptadas de modo que lo encriptado con una slo se pueda desencriptar con la otra.
18
Captulo 1 Administracin
2.
19
Captulo 1 Administracin
Aparecern los siguientes mensajes: SSH disabled for vsys: 1 PKA key deleted from device: 0 Host keys deleted from device: 1 Execute the set ssh version v2 command to activate SSH v2 for the device Para utilizar SSHv2, utilice el siguiente comando CLI: ns-> set ssh version v2 Nota: El hecho de establecer la versin de SSH no habilita SSH en el dispositivo NetScreen. 3. Si no desea utilizar el puerto 22 (el puerto predeterminado) para las conexiones de cliente de SSH, puede especificar un nmero de puerto entre 1024 y 327678. ns-> set admin ssh port 1024 Habilite SSH para el sistema raz o para el sistema virtual. Consulte SSH y Vsys en la pgina 23 para obtener ms informacin sobre cmo habilitar y utilizar SSH en cada sistema virtual vsys. Para habilitar SSH para el sistema raz: ns-> set ssh enable Si desea habilitar SSH para un vsys, primero debe entrar en dicho vsys y habilitar SSH: ns-> set vsys v1 ns(v1)-> set ssh enable Habilite SSH en la interfaz a la que se conectar el cliente de SSH. ns-> set interface manage ssh Distribuya la clave del host generada en el dispositivo NetScreen al cliente de SSH. Para obtener ms informacin, consulte Clave del host en la pgina 24.
4.
5. 6.
8.
Tambin puede utilizar WebUI para cambiar el nmero de puerto y habilitar SSHv2 y SCP en la pgina Configuration > Admin > Management.
20
Captulo 1 Administracin
Autenticacin
Un administrador puede conectarse a un dispositivo NetScreen mediante SSH usando uno de los dos mtodos de autenticacin: Autenticacin mediante contrasea: Este mtodo lo utilizan los administradores que necesitan configurar o supervisar un dispositivo NetScreen. El cliente de SSH inicia una conexin de SSH al dispositivo NetScreen. Si en la interfaz que recibe la peticin de conexin est habilitada la posibilidad de gestin de SSH, el dispositivo NetScreen enva una seal al cliente de SSH para que solicite al usuario su nombre y contrasea. Cuando el cliente de SSH dispone de esta informacin, la enva al dispositivo NetScreen, que la compara con el nombre de usuario y contrasea registrados en la cuenta del usuario administrador. Si coinciden, el dispositivo NetScreen autentica al usuario. Si no coinciden, el dispositivo NetScreen rechaza la peticin de conexin. Autenticacin mediante clave pblica (PKA, Public Key Authentication): Este mtodo proporciona mayor seguridad que el mtodo de autenticacin mediante contrasea y permite ejecutar guiones automatizados. En lugar del nombre y la contrasea del usuario, el cliente de SSH enva un nombre de 9 usuario y el componente pblico de un par de claves pblica/privada . El dispositivo NetScreen lo compara con hasta cuatro claves pblicas que se puedan asociar a un administrador. Si una de las claves coincide, el dispositivo NetScreen autentica al usuario. Si ninguna coincide, el dispositivo NetScreen rechaza la peticin de conexin.
Ambos mtodos de autenticacin requieren el establecimiento de una conexin segura antes de que el cliente de SSH pueda conectarse. Una vez que un cliente de SSH haya establecido una conexin de SSH con el dispositivo NetScreen, debe autenticarse con un nombre de usuario y una contrasea, o bien con un nombre de usuario y una clave pblica. Tanto la autenticacin mediante contrasea como mediante clave pblica (PKA) requieren crear una cuenta para el usuario administrador en el dispositivo NetScreen y activar la posibilidad de gestin de SSH en la interfaz por la que se pretende administrar el dispositivo NetScreen a travs de una conexin de SSH. (Para obtener informacin sobre cmo crear una cuenta de usuario con permisos de administrador, consulte Definicin de usuarios con permisos de administrador en la pgina 49.) El mtodo de autenticacin mediante contrasea no requiere ninguna configuracin adicional en el cliente de SSH.
9.
Los algoritmos de autenticacin admisibles son RSA para SSHv1 y DSA para SSHv2.
21
Captulo 1 Administracin
Por otra parte, los preparativos para PKA consisten en las siguientes tareas preliminares: 1. En el cliente de SSH, genere una par de claves (una pblica y una privada) usando un programa de generacin de claves. (El par de claves debe ser RSA para SSHv1 o DSA para SSHv2. Para obtener ms informacin, consulte la documentacin de la aplicacin cliente de SSH). Nota: Si desea utilizar PKA para realizar inicios de sesin automatizados, tambin debe cargar un agente en el equipo cliente de SSH para desencriptar el componente privado del par de claves pblica/privada PKA y mantener en memoria la versin desencriptada de la clave privada. 2. 3. 4. Mueva la clave pblica desde el directorio SSH local a un directorio en su servidor TFTP y ejecute el programa TFTP. Inicie una sesin en el dispositivo NetScreen para poder configurarlo con la interfaz CLI . Para transferir la clave pblica desde el servidor TFTP al dispositivo NetScreen, introduzca uno de los siguientes comandos CLI: Para SSHv1: exec ssh tftp pka-rsa [ username name ] file-name name_str ip-addr tftp_ip_addr Para SSHv2: exec ssh tftp pka-dsa [ user-name name ] file-name name_str ip-addr tftp_ip_addr Las opciones username o user-name slo estn disponibles para el administrador raz, por lo que slo este usuario puede asociar una clave RSA a otro administrador. Cuando el administrador raz o el administrador de lectura/escritura ejecuta el comando sin incluir un nombre de usuario, el dispositivo NetScreen asocia la clave a su propia cuenta de administrador, es decir, al administrador que ejecuta el comando. Nota: El dispositivo NetScreen admite hasta cuatro claves pblicas PKA por cada usuario con permisos de administrador.
10. Tambin puede pegar el contenido del archivo de clave pblica directamente en el comando CLI set ssh pka-rsa [username name_str ] key key_str (para SSHv1) o set ssh pka-dsa [user-name name_str ] key key_str (para SSHv2), pgandolo donde indique la variable key_str , o en el campo Key de WebUI (Configuration > Admin > Administrators > SSH PKA). Sin embargo, tanto CLI como WebUI tienen una restriccin en cuanto al tamao: el tamao de la clave pblica no puede ser superior a 512 bits. Esta restriccin no es aplicable cuando la clave se carga a travs de TFTP.
10
22
Captulo 1 Administracin
Cuando un administrador intenta iniciar una sesin a travs de SSH en una interfaz que tiene habilitada la gestin de SSH, el dispositivo NetScreen comprueba primero si ese administrador tiene asociada una clave pblica. En caso afirmativo, el dispositivo NetScreen autentica al administrador mediante PKA. Si no hay ninguna clave pblica asociada al administrador, el dispositivo NetScreen pide un nombre de usuario y una contrasea. (Puede utilizar el siguiente comando para obligar a un administrador a utilizar solamente el mtodo PKA: set admin ssh password disable username name_str ). Con independencia del mtodo de autenticacin que desee imponer al administrador, al definir inicialmente su cuenta deber incluir de todos modos una contrasea, aunque en el futuro sta pase a ser irrelevante si asocia una clave pblica a ese usuario.
SSH y Vsys
Para los dispositivos NetScreen que admitan vsys, puede habilitar y configurar SSH en cada vsys individualmente. Cada vsys tiene su propia clave de host (consulte Clave del host en la pgina 24) y mantiene y administra una clave de PKA para el administrador del sistema. Observe que el nmero mximo de sesiones de SSH es una limitacin inherente a cada dispositivo y oscila entre 2 y 24, dependiendo del dispositivo. Cuando en un dispositivo ya se ha registrado el nmero mximo de clientes de SSH, ningn otro cliente de SSH puede iniciar sesin en el servidor de SSH. El sistema raz y los vsys comparten el mismo nmero de puerto de SSH. Esto significa que si se modifica el puerto predeterminado de SSH (puerto 22), tambin cambia para todos los vsys.
23
Captulo 1 Administracin
Para verificar si el cliente de SSH ha recibido la clave de host correcta, el usuario administrador del sistema cliente puede generar el hash (resumen encriptado) SHA de la clave de host recibida. El usuario administrador del cliente puede entonces comparar este hash SHA con el hash SHA de la clave de host existente en el dispositivo NetScreen. En el dispositivo NetScreen, el hash SHA de la clave de host se puede mostrar ejecutando el comando CLI get ssh host-key .
24
Captulo 1 Administracin
WebUI
Configuration > Admin > Administrators > New: Introduzca los siguientes datos y haga clic en OK : Name: cfg New Password: cfg Confirm Password: cfg Privileges: Read-Write (seleccione) SSH Password Authentication: (seleccione) Network > Interfaces > Edit (para ethernet1): Seleccione SSH en Service Options y haga clic en OK . Nota: Slo es posible cargar un archivo de claves pblicas para SSH desde un servidor TFTP por medio del comando exec ssh .
25
Captulo 1 Administracin
CLI
set admin user cfg password cfg privilege all set interface ethernet1 manage ssh exec ssh tftp pka-rsa username cfg file-name idnt_cfg.pub ip-addr 10.1.1.5 save
WebUI
Configuration > Admin > Management: Introduzca los siguientes datos y haga clic en Apply : Enable SSH: (seleccione) Enable SCP: (seleccione)
CLI
set ssh enable set scp enable save
26
Captulo 1 Administracin
Lo que sigue es un ejemplo de un comando del cliente de SCP para copiar el archivo de configuracin desde la memoria flash de un dispositivo NetScreen (el nombre del administrador es netscreen y la direccin IP es 10.1.1.1) al archivo ns_sys_config_backup del sistema cliente: scp netscreen@10.1.1.1:ns_sys_config ns_sys_config_backup Tambin puede tambin copiar una imagen ScreenOS a y desde un dispositivo NetScreen. Para guardar una imagen denominada ns.5.1.0r1en un dispositivo NetScreen de cliente SCP, introduzca el siguiente comando del cliente SCP, en el que el nombre de usuario es netscreen y la direccin IP del dispositivo NetScreen es 10.1.1.1: scp ns.5.1.0r1 netscreen@10.1.1.1:image Luego introduzca el comando reset para reiniciar el dispositivo NetScreen para cargar y ejecutar la nueva imagen ScreenOS. Para copiar una imagen ScreenOS desde un dispositivo NetScreen a un cliente SCP y para nombrar la imagen guardada current_image_backup, introduzca el siguiente comando del cliente SCP: scp netscreen@10.1.1.1:image current_image_backup Consulte la documentacin de la aplicacin cliente de SCP para obtener informacin sobre cmo especificar el nombre del administrador, la direccin IP del dispositivo y los archivos de origen y de destino.
Consola serie
Puede administrar un dispositivo NetScreen por medio de una conexin serie directa entre la estacin de trabajo del administrador y el dispositivo NetScreen a travs del puerto de consola. Aunque no siempre es posible establecer una conexin directa, ste es el mtodo ms seguro para administrar el dispositivo, siempre que el entorno donde se encuentre el dispositivo NetScreen tambin sea seguro. Nota: Para impedir que un usuarios no autorizado pueda iniciar sesiones remotamente como administrador raz, puede obligar a ste a iniciar sus sesiones en el dispositivo NetScreen exclusivamente a travs de la consola. Para obtener ms informacin sobre esta restriccin, consulte Restriccin del administrador raz a acceder desde la consola en la pgina 60.
27
Captulo 1 Administracin
Dependiendo del modelo de su dispositivo NetScreen, para establecer una conexin serie necesitar uno de los siguientes cables: Un cable serie directo con un conector hembra DB-9 y un conector macho DB-25 Un cable serie directo con un conector hembra DB-9 y un conector macho DB-9 Un cable serie con un conector hembra DB-9 y un conector macho MiniDIN-8 Un adaptador con un conector hembra DB-9 a RJ-45 y un cable Ethernet directo RJ-45 a RJ-45
Tambin necesitar el software Hyperterminal (u otro emulador del terminal VT100) en la estacin de trabajo de administracin, con los ajustes de puerto de Hyperterminal configurados como sigue: Comunicaciones serie a 9600 bps 8 bits Sin paridad 1 bit de parada Sin control de flujo Nota: Para ms detalles sobre el uso de Hyperterminal, consulte el captulo Getting Started del NetScreen CLI Reference Guide o el captulo Initial Configuration en uno de los manuales de instalacin.
Puerto de mdem
El dispositivo NetScreen tambin se puede administrar conectando la estacin de trabajo del administrador al puerto de mdem del dispositivo. El puerto de mdem funciona de forma similar al puerto de consola, salvo que no se pueden definir sus parmetros ni utilizar esta conexin para transferir una imagen.
28
Captulo 1 Administracin
Para impedir que usuarios no autorizados puedan administrar el dispositivo a travs de una conexin directa a la consola o al puerto de mdem, puede inhabilitar ambos puertos mediante los siguientes comandos: set console disable set console aux disable Nota: En el NetScreen-5XT, el puerto de mdem solamente se puede utilizar para conectarse a un mdem externo.
29
Captulo 1 Administracin
30
Captulo 1 Administracin
Para obtener ms informacin sobre stos y otros componentes de NetScreen-Security Manager, consulte el NetScreen-Security Manager 2004 Administrators Guide.
31
Captulo 1 Administracin
a. El administrador de Security Manager selecciona la plataforma del dispositivo y la versin de NetScreen ScreenOS utilizando el asistente para agregar dispositivos Add Device Wizard de la interfaz de usuario de Security Manager. b. El administrador edita el dispositivo e introduce cualquier configuracin deseada. c. El administrador activa el dispositivo. d. El administrador genera y entrega el archivo Configlet (o los comandos CLI necesarios, como en el caso 2) al usuario local. e. El usuario local ejecuta Configlet (o los comandos CLI). Para obtener ms informacin, consulte Adding Devices en el NetScreen-Security Manager 2004 Administrators Guide.
WebUI
Configuration > Admin > NSM: Seleccione Enable Communication with NetScreen-Security Manager (NSM) , y luego haga clic en Apply .
CLI
set nsmgt enable save
32
Captulo 1 Administracin
Para deshabilitar el agente en el dispositivo NetScreen, lleve a cabo cualquiera de los siguientes procedimientos:
WebUI
Configuration > Admin > NSM: Desactive Enable Communication with NetScreen-Security Manager (NSM) , y luego haga clic en Apply .
CLI
unset nsmgt enable save
WebUI
Configuration > Admin > NSM: Introduzca los siguientes datos y haga clic en Apply : Primary IP Address/Name: 1.1.1.100
CLI
set nsmgmt server primary 1.1.1.100 save
33
Captulo 1 Administracin
34
Captulo 1 Administracin
WebUI
Configuration > Admin > NSM: Introduzca los siguientes datos y haga clic en Apply : Attack Statistics: (seleccione) Policy Statistics: (seleccione) Attack Alarms: (seleccione) Traffic Alarms: (seleccione) Flow Statistics: (seleccione) Ethernet Statistics: (seleccione) Deep Inspection Alarms: (seleccione) Event Alarms: (seleccione)
CLI
set nsmgmt set nsmgmt set nsmgmt set nsmgmt set nsmgmt set nsmgmt set nsmgmt set nsmgmt save report report report report report report report report statistics attack enable statistics policy enable alarm attack enable alarm traffic enable statistics flow enable statistics ethernet enable alarm idp enable alarm other enable
35
Captulo 1 Administracin
Sincronizacin de la configuracin
Si la configuracin de NetScreen ScreenOS sufre modificaciones desde la ltima vez que se sincroniz con NetScreen-Security Manager, el dispositivo NetScreen notifica el cambio al administrador del NetScreen-Security Manager. Por ejemplo, el dispositivo NetScreen enva un mensaje cuando un administrador de dispositivo utiliza la consola, el telnet, el SSH, o el WebUI para modificar la configuracin de un dispositivo NetScreen. Si se modifica la configuracin con una aplicacin que no sea NetScreen-Security Manager, sta deja de estar sincronizada. El archivo de configuracin NetScreen-Security Manager debe estar sincronizado con el archivo de configuracin del dispositivo NetScreen para que NetScreen-Security Manager pueda trabajar correctamente. La sincronizacin se logra cuando se importa el archivo de configuracin a NetScreen-Security Manager. Para obtener informacin acerca de los dispositivos de importacin, consulte la Juniper Networks NetScreen-Security Administrators Guide. El ejemplo siguiente muestra el comando que se emplea para visualizar el estado de la configuracin.
WebUI
Nota: Debe utilizar la interfaz CLI para consultar el estado de la configuracin actual.
CLI
get config nsmgmt-dirty Nota: Si las aplicaciones que no pertenecen a NetScreen-Security Manager no han modificado el archivo de configuracin, el comando devuelve un espacio en blanco y en caso contrario, devuelve yes.
36
Captulo 1 Administracin
WebUI
Nota: Debe utilizar la interfaz CLI para consultar el hash de la configuracin actual.
CLI
ns-> enter vsys vsys1 ns(vsys1)-> get config hash a26a16cd6b8ef40dc79d5b2ec9e1ab4f ns(vsys1)-> ns(vsys1)-> exit
37
Captulo 1 Administracin
WebUI
Nota: Debe utilizar la interfaz CLI para consultar las marcas de hora de configuracin que se ejecutaron y se guardaron.
CLI
get config timestamp vsys vsys1 get config saved timestamp Nota: Si omite vsys vsys_name en el comando, el dispositivo NetScreen consulta la marca de hora de configuracin del sistema raz. Si la marca de hora est no disponible, se mostrar el mensaje unknown.
38
Captulo 1 Administracin
Para utilizar estas opciones, deben habilitarse en una o ms interfaces, dependiendo de las necesidades administrativas y de seguridad.
39
Captulo 1 Administracin
WebUI
Network > Interfaces > Edit (para mgt): Introduzca los siguientes datos y haga clic en OK : IP Address/Netmask: 10.1.1.2/24 Management Services: WebUI, SSH: (seleccione)
CLI
set interface mgt ip 10.1.1.2/24 set interface mgt manage web set interface mgt manage ssh save
40
Captulo 1 Administracin
WebUI
Network > Interfaces > Edit (para VLAN1): Introduzca los siguientes datos y haga clic en OK : IP Address/Netmask: 10.1.1.1/24 Management Services: WebUI, Telnet: (seleccione) Network > Zones > Edit (para V1-Trust): Seleccione los siguientes datos y haga clic en OK : Management Services: WebUI, Telnet: (seleccione)
CLI
set interface vlan1 ip 10.1.1.1/24 set interface vlan1 manage web set interface vlan1 manage telnet set zone v1-trust manage web set zone v1-trust manage telnet save
41
Captulo 1 Administracin
Interfaz administrativa
En los dispositivos NetScreen equipados con interfaces fsicas mltiples para el trfico de red, pero con ninguna interfaz fsica MGT, se puede dedicar una interfaz fsica exclusivamente para la administracin, separando totalmente el trfico administrativo del trfico de los usuarios de la red. Por ejemplo, se puede tener acceso administrativo local al dispositivo a travs de una interfaz enlazada a la zona fiable Trust y realizar la administracin remota a travs de una interfaz enlazada a la zona sin confianza Untrust.
WebUI
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Manage IP: 10.1.1.2 Management Services: WebUI: (seleccione) SNMP: (anule la seleccin) Telnet: (seleccione) SSL: (anule la seleccin) SSH: (anule la seleccin)
42
Captulo 1 Administracin
Introduzca los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Management Services: WebUI: (anule la seleccin) SNMP: (anule la seleccin) Telnet: (anule la seleccin) SSL: (anule la seleccin) SSH: (anule la seleccin)
CLI
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 manage-ip 10.1.1.2 set interface ethernet1 manage web unset interface ethernet1 manage snmp set interface ethernet1 manage telnet unset interface ethernet1 manage ssl unset interface ethernet1 manage ssh set interface ethernet1 nat set interface ethernet3 zone untrust 11 set interface ethernet3 ip 1.1.1.1/24 save
11. Cuando se asocia una interfaz a cualquier zona de seguridad que no sean las zonas Trust y V1-Trust, todas las opciones de administracin se inhabilitan de forma predeterminada. Por lo tanto, en este ejemplo, no tiene que inhabilitar las opciones de administracin en ethernet3.
43
Captulo 1 Administracin
IP de administracin
Cualquier interfaz o subinterfaz fsica, redundante o agregada que se enlace a una zona de seguridad puede tener al menos dos direcciones IP: Una direccin IP de interfaz, para la conexi a una red. Una direccin IP lgica de administracin para recibir el trfico administrativo.
Cuando un dispositivo NetScreen acta como unidad de respaldo en un grupo redundante para la obtencin de HA (High Availability o alta disponibilidad), se puede acceder a la unidad y configurarla a travs de su direccin (o direcciones) IP de administracin. Nota: La direccin IP de administracin se diferencia de la direccin de VLAN1 en los dos aspectos siguientes: Cuando el dispositivo NetScreen se encuentra en modo transparente, la direccin IP de VLAN1 puede ser el punto final de un tnel VPN, pero la direccin IP de administracin no. Aunque se pueden definir mltiples direcciones IP de administracin (una por cada interfaz de red), slo se puede definir una direccin IP de VLAN1 para todo el sistema.
Si selecciona la opcin Manageable en la pgina de configuracin de la interfaz en WebUI, puede administrar el dispositivo NetScreen a travs de la direccin IP de la interfaz o a travs de la direccin IP de administracin asociada a esa interfaz.
44
Captulo 1 Administracin
Internet
Enrutador 1.1.1.250 Administradores locales Zona DMZ Ethernet2 IP: 1.2.2.1/24 Manage IP: 1.2.2.2
WebUI
Network > Interfaces > Edit (ethernet2): Introduzca los siguientes datos y haga clic en OK : Zone Name: DMZ Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.2.2.1/24 Manage IP: 1.2.2.2
45
Captulo 1 Administracin
Management Services: WebUI: (seleccione) Telnet: (seleccione) Network > Interfaces > Edit (ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Manage IP: 1.1.1.2 Management Services: SNMP: (seleccione)
CLI
set set set set set interface interface interface interface interface ethernet2 ethernet2 ethernet2 ethernet2 ethernet2 ethernet3 ethernet3 ethernet3 ethernet3 zone dmz ip 1.2.2.1/24 manage-ip 1.2.2.2 manage web manage telnet zone untrust ip 1.1.1.1/24 manage-ip 1.1.1.2 manage snmp
46
Captulo 1 Administracin
Niveles de administracin
NIVELES DE ADMINISTRACIN
Los dispositivos NetScreen admiten mltiples usuarios administrativos. Cualquier cambio en la configuracin realizado por un administrador queda registrado por el dispositivo NetScreen con la informacin siguiente: El nombre del administrador que efectu el cambio La direccin IP desde la que se realiz el cambio La hora en la que se realiz la modificacin
Existen varios niveles de usuarios administrativos. La disponibilidad de algunos de estos niveles depende del modelo de dispositivo NetScreen. En las secciones siguientes se enumeran todos los niveles de administrador y los privilegios de cada uno. Un administrador slo dispone de estos privilegios despus de haber iniciado correctamente una sesin indicando un nombre de usuario y una contrasea vlidos.
Administrador raz
El administrador raz tiene privilegios administrativos completos. Hay solamente un administrador raz por cada dispositivo NetScreen. El administrador raz tiene los siguientes privilegios: Administra el sistema raz del dispositivo NetScreen Agrega, elimina y administra a los dems administradores Establece y administra los sistemas virtuales, y les asigna interfaces fsicas y lgicas Crea, elimina y administra enrutadores virtuales (VRs) Agrega, elimina y administra zonas de seguridad Asigna interfaces a zonas de seguridad Realiza la recuperacin de activos Cambia el dispositivo al modo FIPS Restablece los ajustes predeterminados del dispositivo Actualiza el firmware Carga los archivos de configuracin Borra todas las sesiones activas de un administrador determinado o de todos los administradores activos
47
Captulo 1 Administracin
Niveles de administracin
Administrador de lectura/escritura
El administrador de lectura/escritura tiene los mismos privilegios que el administrador raz, pero no puede crear, modificar ni eliminar otros usuarios con permisos de administrador. El administrador de lectura/escritura tiene los privilegios siguientes: Crea sistemas virtuales y asigna a cada uno un administrador del sistema virtual Supervisa cualquier sistema virtual Realiza un seguimiento estadstico (un privilegio que no se puede delegar en un administrador del sistema virtual)
48
Captulo 1 Administracin
Niveles de administracin
Modifica la contrasea de inicio de sesin del administrador del sistema virtual Crea y administra zonas de seguridad Agrega y elimina administradores de slo lectura del sistema virtual
WebUI
Configuration > Admin > Administrators > New: Introduzca los siguientes datos y haga clic en OK : Name: Roger New Password: 2bd21wG712 Confirm New Password: 2bd21wG7
12. La contrasea puede tener una longitud de hasta 31 caracteres; el sistema distingue entre maysculas y minsculas.
49
Captulo 1 Administracin
Niveles de administracin
CLI
set admin user Roger password 2bd21wG7 privilege read-only save
WebUI
Configuration > Admin > Administrators > Edit (para Roger): Introduzca los siguientes datos y haga clic en OK : Name: Roger New Password: 2bd21wG7 Confirm New Password: 2bd21wG7 Privileges: Read-Write (seleccione)
CLI
unset admin user Roger set admin user Roger password 2bd21wG7 privilege all save
50
Captulo 1 Administracin
Niveles de administracin
WebUI
Configuration > Admin > Administrators: Haga clic en Remove para Roger en la columna Configure.
CLI
unset admin user Roger save
WebUI
Nota: Debe utilizar la interfaz CLI para eliminar las sesiones de administracin.
CLI
clear admin name Roger save
51
Captulo 1 Administracin
WebUI
Network > Interfaces > Edit (para la interfaz que desee editar): Introduzca las siguientes opciones de servicio y, a continuacin, haga clic en OK : Ping: Seleccionando esta opcin se permite al dispositivo NetScreen responder a una peticin de eco ICMP, o ping, que determina si una determinada direccin IP se encuentra desde el equipo. Ident-Reset: Si un servicio, como el correo electrnico o FTP, enva una solicitud de identificacin y no recibe confirmacin, volver a enviar la solicitud. Mientras dicha solicitud se encuentre en curso, el acceso de usuario estar inhabilitado. Si la casilla de verificacin Ident-Reset est habilitada, el dispositivo NetScreen restaurar automticamente el acceso de usuario.
CLI
unset interface interface manage ping unset interface interface manage ident-reset
52
Captulo 1 Administracin
WebUI
Configuration > Admin > Management: En el campo HTTP Port, escriba 15522 , y hage clic en Apply .
CLI
set admin port 15522 save
53
Captulo 1 Administracin
13. Para la autenticacin de usuarios administradores, NetScreen es compatible con servidores RADIUS, SecurID y LDAP. (Para obtener ms informacin, consulte Usuarios con permisos de administrador en la pgina 8-3). Aunque la cuenta del administrador raz debe almacenarse en la base de datos local, se pueden almacenar usuarios administradores de lectura/escritura de nivel raz y de slo lectura de nivel raz en un servidor de autenticacin externo. Para almacenar usuarios administradores de nivel raz y de nivel vsys en un servidor de autenticacin externo y consultar sus privilegios, en el servidor, que debe ser RADIUS, deber cargarse el archivo netscreen.dct. (Consulte Archivo de diccionario de NetScreen en la pgina 8-26).
54
Captulo 1 Administracin
Cuando el administrador raz cambia cualquier atributo del perfil de un usuario administrador (nombre de usuario, contrasea o privilegios), cualquier sesin administrativa que ese administrador tenga abierta en ese momento terminar automticamente. Si el administrador raz cambia cualquiera de estos atributos para s mismo, o si un administrador de lectura/escritura de nivel raz o de lectura/escritura de nivel vsys cambia su propia contrasea, 14 todas las sesiones que el usuario en cuestin tenga abiertas en ese momento se cerrarn, salvo la sesin desde la que realiz el cambio.
WebUI
Configuration > Admin > Administrators > Edit (para John): Introduzca los siguientes datos y haga clic en OK : Name: Smith New Password: 3MAb99j2 Confirm New Password: 3MAb99j2
CLI
unset admin user John set admin user Smith password 3MAb99j2 privilege all save
14. El comportamiento de una sesin HTTP o HTTPS en la que se utiliza WebUI es diferente. Dado que HTTP no admite conexiones persistentes, cualquier cambio que realice en su propio perfil de usuario cerrar automticamente todas las sesiones que tenga abiertas en ese momento. 15. En lugar de utilizar palabras reales como contraseas, que resultan fciles de acertar o descubrir mediante un ataque de diccionario, puede utilizar una cadena aparentemente aleatoria de cifras y letras. Para crear tal cadena que pueda recordar fcilmente, componga una oracin y utilice la primera letra de cada palabra. Por ejemplo, la frase Carlos cumplir 6 aos el 21 de noviembre resultar en la contrasea Cc6ae21dn.
55
Captulo 1 Administracin
WebUI
Configuration > Admin > Administrators > Edit (para la primera entrada): Introduzca los siguientes datos y haga clic en OK : Name: Smith New Password: ru494Vq5 Confirm New Password: ru494Vq5
CLI
set admin password ru494Vq5 save
56
Captulo 1 Administracin
57
Captulo 1 Administracin
3.
4.
58
Captulo 1 Administracin
WebUI
Configuration > Admin > Permitted IPs: Introduzca los siguientes datos y haga clic en Add : IP Address / Netmask: 172.16.40.42/32
CLI
set admin manager-ip 172.16.40.42/32 save
59
Captulo 1 Administracin
WebUI
Configuration > Admin > Permitted IPs: Introduzca los siguientes datos y haga clic en Add: IP Address / Netmask: 172.16.40.0/24
CLI
set admin manager-ip 172.16.40.0 255.255.255.0 save
60
Captulo 1 Administracin
Por cada tipo de configuracin de tnel VPN existen los siguientes tipos de tnel VPN:
61
Captulo 1 Administracin
AutoKey IKE with Certificates (AutoKey IKE con certificados) : Utilizando la infraestructura de claves pblicas (Public Key Infrastructure o PKI), los participantes situados en ambos extremos del tnel utilizan un certificado digital (para la autenticacin) y un par de claves pblica/privada RSA (para la encriptacin). La encriptacin es asimtrica; es decir, una de las claves del par se utiliza para encriptar y la otra para desencriptar. Nota: Para obtener una descripcin completa de los tneles VPN, consulte el Volumen 5, VPNs. Para obtener ms informacin sobre NetScreen-Remote, consulte el NetScreen-Remote Users Guide.
Si utiliza una configuracin de VPN basada en directivas, debe crear una entrada en la libreta de direcciones con la direccin IP de una interfaz de cualquier zona, salvo la que est asociada a la interfaz de salida. Puede entonces utilizarla como direccin de origen en las directivas que se refieren al tnel VPN. Esta direccin tambin sirve como direccin de entidad final para el interlocutor IPSec remoto. Si est utilizando una configuracin VPN basada en rutas, esta entrada en la libreta de direcciones es innecesaria.
62
Captulo 1 Administracin
Nota: Compare este ejemplo con Ejemplo: Administracin a travs de un tnel VPN de clave manual basado en directivas en la pgina 69. NetScreen-Remote utiliza la direccin IP de ethernet3 (1.1.1.1) como direccin de destino para apuntar ms all de la puerta de enlace remota en 10.1.1.1. La configuracin de NetScreen-Remote especifica el tipo de identificador del interlocutor remoto como IP address y el protocolo como All.
ethernet1 10.1.1.1/24 Zona Trust LAN Admin 10.1.1.56 (direccin IP esttica) 10.10.10.1/32 (direccin IP interna) clave manual Tnel VPN tunnel-adm Dispositivo NetScreen Zona Untrust ethernet3 1.1.1.1/24
NetScreen-Remote
tunnel.1 no numerada
63
Captulo 1 Administracin
WebUI
1. Interfaces
Network > Interfaces > Edit (ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK : Tunnel Interface Name: Tunnel.1 Zone (VR): Trust (trust-vr) Unnumbered: (seleccione) Interface: ethernet1(trust-vr)16
16. La interfaz de tnel no numerada toma prestada la direccin IP de la interfaz de la zona de seguridad especificada.
64
Captulo 1 Administracin
2.
VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK : VPN Tunnel Name: tunnel-adm Gateway IP: 10.1.1.56 Security Index (HEX Number): 5555 (Local) 5555 (Remote) Outgoing Interface: ethernet1 ESP-CBC: (seleccione) Encryption Algorithm: DES-CBC Generate Key by Password : netscreen1 Authentication Algorithm: MD5 Generate Key by Password: netscreen2 > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica: Bind to Tunnel Interface: (seleccione), Tunnel.1
17
3.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.10.10.1/32 Gateway: (seleccione) Interface: Tunnel.1 Gateway IP Address: 0.0.0.0
17. Dado que NetScreen-Remote transforma las contraseas en claves de forma diferente a otros productos de NetScreen, despus de configurar el tnel haga lo siguiente: (1) Regrese al cuadro de dilogo Manual Key Configuration (haciendo clic en Edit en la columna Configure de tunnel-adm); (2) copie las claves hexadecimales generadas; y (3) utilice estas claves al configurar el extremo NetScreen-Remote del tnel.
65
Captulo 1 Administracin
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone trust set interface tunnel.1 ip unnumbered interface ethernet1
18
2.
VPN
set vpn tunnel-adm manual 5555 5555 gateway 10.1.1.56 outgoing ethernet1 esp 19 des password netscreen1 auth md5 password netscreen2 set vpn tunnel-adm bind interface tunnel.1
3.
Ruta
set vrouter trust-vr route 10.10.10.1/32 interface tunnel.1 save
18. La interfaz de tnel no numerada toma prestada la direccin IP de la interfaz de la zona de seguridad especificada. 19. Dado que NetScreen-Remote transforma las contraseas en claves de forma diferente a otros productos de NetScreen, despus de configurar el tnel haga lo siguiente: (1) Escriba get vpn admin-tun ; (2) copie las claves hexadecimales generadas por netscreen1 y netscreen2; (3) utilice estas claves hexadecimales al configurar el extremo NetScreen-Remote del tnel.
66
Captulo 1 Administracin
67
Captulo 1 Administracin
10. Haga clic en Inbound Keys y escriba 5555 en el campo Security Parameters Index. 11. Haga clic en Enter Key , escriba lo siguiente , y luego haga clic en OK : Choose key format: Binary ESP Encryption Key: dccbee96c7e546bc ESP Authentication Key: dccbe9e6c7e546bcb0b667794ab7290c 12. Haga clic en Outbound Keys y escriba 5555 en el campo Security Parameters Index. 13. Haga clic en Enter Key , escriba lo siguiente , y luego haga clic en OK : Choose key format: Binary ESP Encryption Key: dccbee96c7e546bc ESP Authentication Key: dccbe9e6c7e546bcb0b667794ab7290c 14. Haga clic en Save .
20 20
20. stas son las dos claves generadas que copi despus de configurar el dispositivo NetScreen.
68
Captulo 1 Administracin
69
Captulo 1 Administracin
WebUI
1. Interfaces
Network > Interfaces > Edit (ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: Untrust-IF IP Address/Domain Name: IP/Netmask: (seleccione), 1.1.1.1/32 Zone: Untrust Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: administradores IP Address/Domain Name: IP/Netmask: (seleccione), 10.10.10.1/32 Zone: Trust
70
Captulo 1 Administracin
3.
VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK : VPN Tunnel Name: tunnel-adm Gateway IP: 10.1.1.56 Security Index (HEX Number): 5555 (Local) 5555 (Remote) Outgoing Interface: ethernet1 ESP-CBC: (seleccione) Encryption Algorithm: DES-CBC Generate Key by Password : netscreen1 Authentication Algorithm: MD5 Generate Key by Password: netscreen2
21
4.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 10.10.10.1/32 Gateway: (seleccione) Interface: ethernet1 Gateway IP Address: 0.0.0.0
21. Dado que NetScreen-Remote transforma las contraseas en claves de forma diferente a otros productos de NetScreen, despus de configurar el tnel haga lo siguiente: (1) Regrese al cuadro de dilogo Manual Key Configuration (haciendo clic en Edit en la columna Configure de tunnel-adm); (2) copie las claves hexadecimales generadas; y (3) utilice estas claves al configurar el extremo NetScreen-Remote del tnel.
71
Captulo 1 Administracin
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), admin Destination Address: Address Book Entry: (seleccione), Untrust-IF Service: Any Action: Tunnel Tunnel: VPN: tunnel-adm Modify matching bidirectional VPN policy: (seleccione) Position at Top: (seleccione)
72
Captulo 1 Administracin
CLI
1. Interfaces
set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24
2.
Direcciones
set address trust admin 10.10.10.1/32 set address untrust Untrust-IF 1.1.1.1/32
3.
VPN
set vpn tunnel-adm manual 5555 5555 gateway 10.1.1.56 outgoing ethernet1 esp 22 des password netscreen1 auth md5 password netscreen2
4. 5.
Ruta
set vrouter trust-vr route 10.10.10.1/32 interface ethernet1
Directivas
set policy top from trust to untrust admin Untrust-IF any tunnel vpn tunnel-adm set policy top from untrust to trust Untrust-IF admin any tunnel vpn tunnel-adm save
22. Dado que NetScreen-Remote transforma las contraseas en claves de forma diferente a otros productos de NetScreen, despus de configurar el tnel haga lo siguiente: (1) Escriba get vpn admin-tun ; (2) copie las claves hexadecimales generadas por netscreen1 y netscreen2; (3) utilice estas claves hexadecimales al configurar el extremo NetScreen-Remote del tnel.
73
Captulo 1 Administracin
74
Captulo 1 Administracin
9.
Haga clic en Inbound Keys y escriba 5555 en el campo Security Parameters Index.
23
10. Haga clic en Enter Key , escriba lo siguiente , y luego haga clic en OK : Choose key format: Binary ESP Encryption Key: dccbee96c7e546bc ESP Authentication Key: dccbe9e6c7e546bcb0b667794ab7290c 11. Haga clic en Outbound Keys y escriba 5555 en el campo Security Parameters Index. 12. Haga clic en Enter Key , escriba lo siguiente , y luego haga clic en OK : Choose key format: Binary ESP Encryption Key: dccbee96c7e546bc ESP Authentication Key: dccbe9e6c7e546bcb0b667794ab7290c 13. Haga clic en Save .
20
23. stas son las dos claves generadas que copi despus de configurar el dispositivo NetScreen.
75
Captulo 1 Administracin
76
Captulo 2
77
78
WebTrends: Permite visualizar los datos del registro de los niveles crtico, alerta y emergencia en un formato ms grfico que syslog, que es una herramienta de visualizacin en modo texto. CompactFlash (PCMCIA): La ventaja de este destino es la portabilidad. Despus de almacenar datos en una tarjeta CompactFlash, puede extraer fsicamente la tarjeta del dispositivo NetScreen y almacenarla o cargarla en otro dispositivo.
79
Registro de eventos
REGISTRO DE EVENTOS
NetScreen proporciona un registro de eventos para la supervisin de los eventos del sistema, tales como cambios de configuracin efectuados por administradores y mensajes y alarmas autogenerados en relacin con el comportamiento operativo y los ataques recibidos. El dispositivo NetScreen categoriza los eventos del sistema segn los siguientes niveles de gravedad: Emergency: mensajes sobre ataques de tipo SYN, Tear Drop y Ping of Death. Para obtener ms informacin sobre estos tipos de ataques, consulte el Volumen 4, Mecanismos de deteccin de ataques y defensa. Alert: mensajes sobre condiciones que requieren una atencin inmediata, como ataques al cortafuegos y vencimiento de claves de licencia. Critical: mensajes sobre condiciones que probablemente afectan a la funcionalidad del dispositivo, como cambios de estado de alta disponibilidad (HA). Error: mensajes sobre condiciones de error que probablemente afectan a la funcionalidad del dispositivo, como un fallo en el anlisis antivirus o un error de comunicacin con servidores SSH. Warning: mensajes sobre condiciones que podran afectar a la funcionalidad del dispositivo, como un fallo de conexin con servidores de correo electrnico o errores de autenticacin, vencimientos de tiempos de espera y xitos. Notification: mensajes sobre eventos normales, incluyendo cambios de configuracin iniciados por un administrador. Information: mensajes que ofrecen informacin general sobre operaciones del sistema. Debugging: mensajes que ofrecen informacin detallada utilizada con fines de depuracin.
El registro de eventos muestra la fecha y hora, el nivel y la descripcin de cada evento del sistema. Puede ver los eventos del sistema correspondientes a cada categora almacenada en la memoria flash del dispositivo NetScreen a travs de WebUI o CLI. Tambin puede abrir o guardar el archivo en la ubicacin que especifique, y luego utilizar un editor de textos ASCII (como Notepad o WordPad) para ver el archivo. Alternativamente, puede enviarlos a un almacenamiento externo (consulte Almacenamiento de la informacin del registro en la pgina 78). Nota: Para obtener informacin detallada sobre los mensajes que aparecen en el registro de eventos, consulte el manual NetScreen Message Log Reference Guide.
80
Registro de eventos
WebUI
Reports > System Log > Event: Seleccione un nivel de gravedad en la lista desplegable Log Level.
CLI
get event level { emergency | alert | critical | error | warning | notification | information | debugging } Para buscar en el registro de eventos por palabras clave, ejecute cualquiera de los siguientes procedimientos:
WebUI
Reports > System Log > Event: Escriba una palabra o una frase de hasta 15 caracteres en el campo de bsqueda y haga clic en Search .
CLI
get event include word_string
81
Registro de eventos
WebUI
Reports > System Log > Event: Log Level: Warning (seleccione) Search: Introduzca AV y, a continuacin, haga clic en Search.
CLI
get event level warning include av Date Time Module Level Type Description 2003-05-16 15:56:20 system warn 00547 AV scanman is removed. 2003-05-16 09:45:52 system warn 00547 AV test1 is removed. Total entries matched = 2
82
Registro de eventos
Registro de eventos
WebUI
Nota: Debe utilizar el CLI para clasificar el registro de eventos segn las entradas de direcciones.
CLI
get event sort-by src-ip 10.100.0.0-10.200.0.0
84
Registro de eventos
WebUI
1. Reports > System Log > Event: Haga clic en Save . El cuadro de dilogo File Download le pedir que abra el archivo (con un editor ASCII) o que lo guarde en el disco. 2. 3. Seleccione la opcin Save y haga clic en OK . El cuadro de dilogo File Download le pedir que elija un directorio. Especifique C:\netscreen\logs , nombre el archivo evnt07-02.txt y haga clic en Save .
CLI
get event > tftp 10.1.1.5 evnt07-02.txt
85
Registro de eventos
WebUI
Nota: Debe utilizar el CLI para descargar entradas segn el nivel de gravedad.
CLI
get event level critical > tftp 10.1.1.5 crt_evnt07-02.txt
86
Registro de trfico
REGISTRO DE TRFICO
El dispositivo NetScreen puede supervisar y registrar el trfico que autoriza o deniega basndose en las directivas previamente configuradas. Puede habilitar la opcin de registro para cada directiva que configure. Al habilitar la opcin de registro para una directiva de autorizacin de trfico, el dispositivo registra el trfico autorizado por esa directiva. Al habilitar la opcin de registro para una directiva de denegacin de trfico, el dispositivo registra el trfico que intenta pasar a travs del dispositivo pero que resulta anulado por esa directiva. En un registro de trfico se anotan los siguientes elementos de cada sesin: Fecha y hora de inicio de la conexin Direccin de origen y nmero de puerto Direccin de origen traducida y nmero de puerto Direccin de destino y nmero de puerto La duracin de la sesin El servicio utilizado en la sesin
Para registrar todo el trfico recibido por un dispositivo NetScreen, debe habilitarse la opcin de registro para todas las directivas. Para registrar trfico especfico, habilite el registro solamente para las directivas que afecten a ese tipo de trfico. Para habilitar la opcin de registro de una directiva, ejecute cualquiera de los siguientes procedimientos:
WebUI
Policies > (From: src_zone, To: dst_zone) New : Seleccione Logging y haga clic en OK .
CLI
set policy from src_zone to dst_zone src_addr dst_addr service action log
87
Registro de trfico
Adems de registrar el trfico de una directiva, el dispositivo tambin puede mantener una cuenta en bytes de todo el trfico de la red al que se aplic la directiva. Cuando se habilita la opcin de recuento, el dispositivo incluye la siguiente informacin al mostrar entradas del registro de trfico. El nmero de bytes transmitidos de un origen a un destino El nmero de bytes transmitidos de un destino a un origen
Para habilitar la opcin de recuento de una directiva, ejecute cualquiera de los siguientes procedimientos:
WebUI
Policies > (From: src_zone, To: dst_zone) New > Advanced: Seleccione Counting , haga clic en Return y luego haga clic en OK .
CLI
set policy from src_zone to dst_zone src_addr dst_addr service action log count
88
Registro de trfico
WebUI
Policies > o bien Reports > Policies > (para la directiva con number de ID) (para la directiva con number de ID)
CLI
get log traffic policy number
WebUI
Policies: Haga clic en el icono Aparece la informacin siguiente:
Source Address/Port Destination Address/Port
10.1.1.5:80
Date/Time
Service
HTTP
Duration
1800 sec.
Bytes Sent
326452
Bytes Received
289207
CLI
get log traffic policy 3
89
Registro de trfico
WebUI
Nota: La posibilidad de clasificar el registro de trfico por tiempo est disponible nicamente con el CLI.
CLI
get log traffic sort-by time start-time 01:00:00
90
Registro de trfico
WebUI
1. Reports > Policies > (para la directiva con ID 12): Haga clic en Save . El cuadro de dilogo File Download le pedir que abra el archivo (con un editor ASCII) o que lo guarde en el disco. 2. 3. Seleccione la opcin Save y haga clic en OK . El cuadro de dilogo File Download le pedir que elija un directorio. Especifique C:\netscreen\logs, nombre el archivo traf_log11-21-02.txt y haga clic en Save .
CLI
get log traffic policy 12 > tftp 10.10.20.200 traf_log11-21-02.txt
91
Registro propio
REGISTRO PROPIO
NetScreen proporciona un registro propio para supervisar y registrar todos los paquetes llegados al dispositivo NetScreen. Por ejemplo, al desactivar algunas opciones de administracin en una interfaz, como WebUI, SNMP y el comando ping, y se enva trfico HTTP, SNMP o ICMP a esa interfaz, en el registro propio se generan entradas por cada paquete descartado. Para activar el registro propio, proceda de una de las siguientes maneras:
WebUI
Configuration > Report Settings > Log Settings: Active la casilla de verificacin Log Packets Terminated to Self y haga clic en Apply .
CLI
set firewall log-self Cuando se activa el registro propio, el dispositivo NetScreen registra las entradas en dos lugares: el registro propio y el registro de trfico. De forma similar al registro de trfico, el registro propio muestra a la fecha y hora, la direccin o puerto de origen, la direccin o puerto de destino, la duracin y el servicio de cada paquete descartado que termin en el dispositivo NetScreen. Normalmente, las entradas del registro propio tienen una zona de origen de cero y una zona de destino de "registro propio".
WebUI
Reports > System Log > Self
CLI
get log self
Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin 92
Registro propio
93
Registro propio
CLI
get log self end-time 16:32:57 ================================================================================== Date Time Duration Source IP Port Destination IP Port Service ================================================================================== 2003-08-21 16:32:57 0:00:00 10.100.25.1 0 224.0.0.5 0 OSPF 2003-08-21 16:32:47 0:00:00 10.100.25.1 0 224.0.0.5 0 OSPF Total entries matched = 2
94
Registro propio
WebUI
1. Reports > System Log > Self: Haga clic en Save . El cuadro de dilogo File Download le pedir que abra el archivo (con un editor ASCII) o que lo guarde en el disco. 2. 3. Seleccione la opcin Save y haga clic en OK . El cuadro de dilogo File Download le pedir que elija un directorio. Especifique C:\netscreen\logs, nombre el archivo self_log07-03-02.txt y haga clic en Save .
CLI
get log self > tftp 10.1.1.5 self_log07-03-02.txt
95
WebUI
1. Reports > System Log > Asset Recovery: Haga clic en Save . El cuadro de dilogo File Download le pedir que abra el archivo (con un editor ASCII) o que lo guarde en el disco. 2. 3. Seleccione la opcin Save y haga clic en OK . El cuadro de dilogo File Download le pedir que elija un directorio. Especifique C:\netscreen\logs, nombre el archivo sys_rst.txt y haga clic en Save .
CLI
get log asset-recovery > tftp 10.1.1.5 sys_rst.txt
96
Alarmas de trfico
ALARMAS DE TRFICO
El dispositivo NetScreen permite la generacin de alarmas de trfico cuando ste supera los umbrales definidos mediante directivas. El dispositivo NetScreen se puede configurar para alertar mediante uno o varios de los mtodos siguientes cuando genere una alarma de trfico: Consola Interno (registro de eventos) Correo electrnico SNMP Syslog WebTrends NetScreen-Global PRO
Se establecen umbrales de alarma para detectar actividades anmalas. Para saber qu constituye una actividad anmala, primero debe establecer una lnea de base de actividad normal. Para crear tal lnea de base para el trfico de red, es necesario observar los patrones de trfico a lo largo de un periodo de tiempo. Entonces, cuando haya determinado qu cantidad de trfico considera normal, puede establecer umbrales de alarma por encima de esa cantidad. El trfico que supera ese umbral dispara una alarma para llamar su atencin hacia esta desviacin de la lnea de base. Entonces, usted puede evaluar la situacin para determinar qu caus la desviacin y si necesita iniciar acciones como respuesta. Las alarmas de trfico tambin se pueden utilizar para proporcionar un sistema de deteccin de intrusiones basado en directivas y notificar que el sistema est en situacin de riesgo. A continuacin se indican ejemplos de utilizacin de las alarmas de trfico con estos fines.
97
Alarmas de trfico
WebUI
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: web1 IP Address/Domain Name: IP / Netmask: (seleccione), 211.20.1.5/32 Zone: DMZ Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), web1 Service: Telnet Action: Deny > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica: Counting: (seleccione) Alarm Threshold: 64 Bytes/Sec, 0 Kbytes/Min
98
Alarmas de trfico
CLI
set address dmz web1 211.20.1.5/32 set policy from untrust to dmz any web1 telnet deny count alarm 64 0 save
WebUI
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: ftp1 IP Address/Domain Name: IP/Netmask: (seleccione), 211.20.1.10/32 Zone: Global Policies > (From: Global, To: Global) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), ftp1 Service: FTP-Get Action: Permit
99
Alarmas de trfico
Policies > (From: Global, To: Global) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), ftp1 Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Deny > Advanced: Escriba lo siguiente y haga clic en Return para establecer las opciones avanzadas y regresar a la pgina de configuracin bsica: Counting: (seleccione) Alarm Threshold: 64 Bytes/Sec, 0 Kbytes/Min
CLI
set address global ftp1 211.20.1.10/32 set policy global any ftp1 ftp-get permit set policy global ftp1 any any deny count alarm 64 0 save
100
Alarmas de trfico
WebUI
Configuration > Report Settings > Email: Introduzca los siguientes datos y haga clic en Apply : Enable E-Mail Notification for Alarms: (seleccione) Include Traffic Log: (seleccione) SMTP Server Name: 172.16.10.2541 E-Mail Address 1: jharker@juniper.net E-Mail Address 2: driggs@juniper.net
CLI
set admin set admin set admin set admin set admin save mail mail mail mail mail alert mail-addr1 jharker@juniper.net mail-addr2 driggs@juniper.net server-name 172.16.10.254 traffic-log
1.
Si tiene DNS habilitado, tambin puede utilizar un nombre de host para referirse al servidor de correo, como por ejemplo mail.netscreen.com.
101
Syslog
SYSLOG
Un dispositivo NetScreen puede generar mensajes syslog para eventos del sistema segn niveles de gravedad predefinidos (consulte la lista de niveles de gravedad en Registro de eventos en la pgina 80) y, opcionalmente, para el trfico que las directivas permiten pasar a travs del cortafuegos. Enva estos mensajes hasta a cuatro hosts syslog determinados que se estn ejecutando en sistemas UNIX/Linux. Por cada host syslog se puede especificar lo siguiente: Si el dispositivo NetScreen debe incluir entradas del registro de trfico, entradas del registro de eventos, o ambos tipos de entradas Si se debe enviar trfico al servidor syslog a travs de un tnel VPN y, en tal caso, qu interfaz utilizar como interfaz de origen (consulte algunos ejemplos en Ejemplo: Trfico autogenerado a travs de tnel basado en rutas en la pgina 114 y Ejemplo: Trfico autogenerado a travs de tnel basado en directivas en la pgina 124) El puerto al que el dispositivo NetScreen debe enviar los mensajes syslog La utilidad de seguridad, que clasifica y enva los mensajes de niveles de emergencia y alerta al host Syslog, y el equipo habitual, que clasifica y enva el resto de mensajes correspondientes a eventos no relacionados con la seguridad
De forma predeterminada, el dispositivo NetScreen enva los mensajes a los host syslog a travs de UDP (puerto 514). Para aumentar la fiabilidad en la entrega de mensajes, puede cambiar el protocolo de transporte de cada host syslog a TCP. Puede utilizar mensajes de syslog para crear alertas de correo electrnico para el administrador del sistema o para mostrar mensajes en la consola del host designado siguiendo las convenciones syslog de UNIX. Nota: En plataformas UNIX/Linux, modifique el archivo /etc/rc.d/init.d/syslog de modo que syslog recupere la informacin del origen remoto (syslog -r).
102
Syslog
WebUI
Configuration > Report Settings > Syslog: Introduzca los siguientes datos y haga clic en Apply : Enable syslog messages: Seleccione esta opcin para enviar registros a los servidores syslog especificados. No.: Seleccione 1, 2 y 3 para indicar que est agregando 3 servidores syslog. IP/Hostname: 1.1.1.1, 2.2.2.1, 3.3.3.1 Port: 1514, 2514, 3514 Security Facility: Local0, Local0, Local0 Facility: Local0, Local0, Local0 Event Log: (seleccione) Traffic Log: (seleccione) TCP: (seleccione)
CLI
set set set set set set set set set syslog syslog syslog syslog syslog syslog syslog syslog syslog config config config config config config config config config 1.1.1.1 1.1.1.1 1.1.1.1 1.1.1.1 2.2.2.1 2.2.2.1 2.2.2.1 2.2.2.1 3.3.3.1 port 1514 log all facilities local0 local0 transport tcp port 2514 log all facilities local0 local0 transport tcp port 3514
103
Syslog
config 3.3.3.1 log all config 3.3.3.1 facilities local0 local0 config 2.2.2.1 transport tcp enable
WebTrends
NetIQ ofrece un producto denominado WebTrends Firewall Suite que permite crear informes personalizados basados en los registros generados por un dispositivo NetScreen. WebTrends analiza los archivos de registro y muestra la informacin necesaria en formato grfico. Puede crear informes sobre todos los eventos y niveles de gravedad, o centrarse en un rea determinada, como los ataques al cortafuegos. (Para obtener ms informacin sobre WebTrends, consulte la documentacin del producto WebTrends). Tambin se pueden enviar mensajes de WebTrends a travs de un tnel VPN. En WebUI, utilice la opcin Use Trust Zone Interface as Source IP for VPN . En la CLI, utilice el comando set webtrends vpn .
WebUI
1. Ajustes de WebTrends
Configuration > Report Settings > WebTrends: Introduzca los siguientes datos y haga clic en Apply : Enable WebTrends Messages: (seleccione) WebTrends Host Name/Port: 172.10.16.25/514
2.
Niveles de gravedad
Configuration > Report Settings > Log Settings: Introduzca los siguientes datos y haga clic en Apply : WebTrends Notification: (seleccione) Nota: Cuando se habilitan syslog y WebTrends en un dispositivo NetScreen que se est ejecutando en modo transparente, debe configurarse una ruta esttica. Consulte Tablas de enrutamiento y enrutamiento esttico en la pgina 6-1.
104
Syslog
CLI
1. Ajustes de WebTrends
set webtrends host-name 172.10.16.25 set webtrends port 514 set webtrends enable
2.
Niveles de gravedad
set log module system level notification destination webtrends save
105
SNMP
SNMP
El agente del protocolo simple de administracin de redes (Simple Network Management Protocol o SNMP) del dispositivo NetScreen proporciona a los administradores de red un mtodo de visualizacin de datos estadsticos sobre la red y los dispositivos que contiene, as como para recibir las notificaciones de eventos del sistema que desee. NetScreen es compatible con el protocolo SNMPv1, descrito en la norma RFC-1157, A Simple Network Management Protocol, y con el protocolo SNMPv2c, descrito en las normas RFC siguientes: RFC-1901, Introduction to Community-based SNMPv2 RFC-1905, Protocol Operations for Version 2 of the Simple Network Management Protocol (SNMPv2) RFC-1906, Transport Mappings for Version 2 of the Simple Network Management Protocol (SNMPv2) NetScreen tambin es compatible con todos los grupos de Management Information Base II (MIB II) relevantes definidos en la norma RFC-1213, Management Information Base for Network Management of TCP/IP-based internets: MIB-II. NetScreen tambin dispone de archivos MIB corporativos privados, que se pueden cargar en un explorador MIB SNMP. El apndice contiene una lista de los archivos MIB de NetScreen. (Consulte el Apndice A, Archivos MIB para SNMP). Por lo tanto, el agente SNMP de NetScreen genera las siguientes capturas, o notificaciones, cuando se producen las condiciones o eventos especificados: Captura de inicio en fro: El dispositivo NetScreen genera una captura de inicio en fro una vez que se encuentra operativo despus de encenderlo. Captura por fallo de autenticacin de SNMP: El agente SNMP del dispositivo NetScreen desencadena la captura por fallo de autenticacin cuando alguien intenta conectarse al mismo utilizando una cadena de comunidad SNMP incorrecta o cuando la direccin IP del host que intenta conectarse no est definida en una comunidad SNMP. (De forma predeterminada, esta opcin est habilitada). Capturas por alarmas del sistema: Las situaciones de error en el dispositivo NetScreen y en los cortafuegos desencadenan alarmas del sistema. Para identificar las alarmas relacionadas con el hardware, la seguridad y el software, NetScreen ha definido tres capturas corporativas. (Para obtener ms informacin sobre ajustes de cortafuegos y alarmas, consulte Fragmentos ICMP en la pgina 4-212 y Alarmas de trfico en la pgina 97). Capturas por alarmas del trfico: Las alarmas de trfico se desencadenan cuando el trfico excede los umbrales de alarma establecidos en las directivas. (Para obtener ms informacin sobre la configuracin de directivas, consulte Directivas en la pgina 2-305).
106
SNMP
La siguiente tabla muestra los posibles tipos de alarmas y los correspondientes nmeros de captura:
Captura de ID corporativa 100 200 300 400 500 600 800 900 Descripcin Problemas de hardware Problemas de cortafuegos Problemas de software Problemas de trfico Problemas de VPN Problemas de NSRP Problemas de DRP Problemas de conmutacin por fallo de interfaces Ataques al cortafuegos
1000
Nota: El administrador de la red debe disponer de una aplicacin de administracin de SNMP, como HP OpenView TM o SunNet Manager para examinar los datos MIB II SNMP y recibir capturas procedentes de la interfaz fiable o sin confianza. En Internet tambin existen varias aplicaciones shareware y freeware para la administracin de SNMP. Los dispositivos NetScreen no se suministran con una configuracin predeterminada para el administrador de SNMP. Si desea configurar su dispositivo NetScreen para SNMP, primero debe crear comunidades, definir sus host asociados y asignar permisos (de lectura/escritura o de slo lectura). Al crear una comunidad SNMP, se puede especificar si la comunidad es compatible con SNMPv1, SNMPv2c o con ambas versiones de SNMP, segn los requisitos de las estaciones de administracin de SNMP. (Para garantizar la compatibilidad con versiones anteriores de ScreenOS que solamente trabajan con SNMPv1, de forma predeterminada los dispositivos NetScreen son compatibles con SNMPv1). Si una comunidad SNMP admite ambas versiones de SNMP, debe especificarse una versin para las capturas por cada miembro de la comunidad.
Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin 107
SNMP
Por razones de seguridad, un miembro de la comunidad SNMP con privilegios de lectura/escritura solamente puede modificar las siguientes variables en un dispositivo NetScreen: sysContact : datos de contacto del administrador del dispositivo NetScreen por si el administrador de SNMP necesita ponerse en contacto con l. Puede ser el nombre, la direccin de correo electrnico, el nmero de telfono del administrador de NetScreen, o bien la ubicacin de su puesto de trabajo en una oficina, o una combinacin de todos estos datos. sysLocation : la ubicacin fsica del dispositivo NetScreen. Puede ser cualquier dato, desde el nombre de un pas, ciudad o edificio, hasta su ubicacin exacta en un bastidor en un centro de operaciones de red (NOC). sysName : el nombre que los administradores de SNMP utilizan para el dispositivo NetScreen. Por convencin, es un nombre de dominio completo (Fully-Qualified Domain Name o FQDN), pero tambin puede ser cualquier nombre significativo para los administradores de SNMP. snmpEnableAuthenTraps : habilita o inhabilita el agente SNMP en el dispositivo NetScreen para generar una captura tan pronto como alguien intenta entrar en contacto con el agente SNMP utilizando un nombre de comunidad SNMP incorrecto. ipDefaultTTL : el valor predeterminado que se inserta en el campo time-to-live (TTL) del encabezado IP de los datagramas originados en el dispositivo NetScreen cuando el protocolo de la capa de transporte no proporciona un valor de TTL. ipForwarding : indica si el dispositivo NetScreen reenva trfico o no, a excepcin del destinado al dispositivo NetScreen propiamente dicho. De forma predeterminada, el dispositivo NetScreen indica que no reenva trfico (un truco para ocultar su verdadera naturaleza).
108
SNMP
Resumen de implementacin
En los siguientes puntos se resume cmo Juniper Networks ha implementado SNMP en sus dispositivos: Los administradores SNMP estn agrupados en comunidades SNMP. Un dispositivo NetScreen puede admitir hasta tres comunidades, con un mximo de ocho miembros por comunidad. Un miembro de la comunidad puede ser un host individual o una subred de hosts, dependiendo de la mscara de red que se haya utilizado al definir el miembro. De forma predeterminada, el dispositivo NetScreen asigna a un miembro de la comunidad SNMP una mscara de red de 32 bits (255.255.255.255), que lo define como un host individual. Si un miembro de la comunidad SNMP se define como subred, cualquier dispositivo en esa subred puede consultar el dispositivo NetScreen para obtener la informacin MIB del SNMP. Sin embargo, el dispositivo NetScreen no puede enviar una captura de SNMP a una subred, sino slo a un host individual. Cada comunidad tiene permiso de slo lectura o de lectura/escritura sobre los datos MIB II. Cada comunidad puede trabajar con SNMPv1, SNMPv2c o con ambos. Si una comunidad SNMP admite ambas versiones de SNMP, debe especificarse una versin para las capturas por cada miembro de la comunidad. Se puede permitir o denegar a cada comunidad la recepcin de capturas. Se puede acceder a los datos MIB II y a las capturas a travs de cualquier interfaz fsica. Cada alarma del sistema (un evento del sistema clasificado con un nivel de gravedad crtico, de alerta o de emergencia) genera una sola captura corporativa SNMP de NetScreen a cada uno de los host de cada comunidad configurados para recibir capturas. El dispositivo NetScreen enva capturas de inicio en fro (Cold Start), de enlace activo (Link Up) y de enlace inactivo (Link Down) a todos los hosts de las comunidades configuradas para recibir capturas. Al especificar la activacin de capturas para una comunidad, tambin se tiene la opcin de permitir alarmas de trfico. Puede enviar mensajes SNMP a travs de un tnel VPN basado en rutas o basado en directivas. Para obtener ms informacin, consulte Tneles VPN para trfico administrativo autogenerado en la pgina 112.
109
SNMP
WebUI
Configuration > Report Settings > SNMP: Introduzca los siguientes ajustes y haga clic en Apply : System Contact: al_baker@mage.com Location: 3-15-2 Enable Authentication Fail Trap: (seleccione) Configuration > Report Settings > SNMP > New Community : Introduzca los siguientes ajustes y haga clic en OK : Community Name: MAge11 Permissions: Write: (seleccione) Trap: (seleccione) Including Traffic Alarms: (anule la seleccin)
Juniper Networks NetScreen conceptos y ejemplos Volumen 3: Administracin 110
SNMP
Version: ANY (seleccione) Hosts IP Address/Netmask and Trap Version: 1.1.1.5/32 v1 1.1.1.6/32 v2c Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes ajustes y haga clic en OK : Service Options: Management Services: SNMP
CLI
set snmp contact al_baker@mage.com set snmp location 3-15-2 set snmp auth-trap enable set snmp community MAge11 read-write trap-on version any set snmp host Mage 1.1.1.5/32 trap v1 set snmp host Mage 1.1.1.6/32 trap v2 set interface ethernet1 manage snmp save
111
112
Si la puerta de enlace remota o la entidad final tiene asignada una direccin IP dinmica, el dispositivo NetScreen no podr iniciar la formacin de un tnel VPN, ya que estas direcciones no se pueden predeterminar y, por lo tanto, no se podrn definir rutas para ellas. En tales casos, el host remoto debe iniciar la conexin VPN. Una vez establecido un tnel VPN basado en directivas o en rutas, ambos extremos del tnel pueden iniciar el trfico, siempre que las directivas lo permitan. Adems, en el caso de una VPN basada en rutas, debe haber una ruta a la entidad de uno de los extremos a travs de una interfaz Tunnel asociada al tnel VPN, ya sea porque se ha introducido manualmente o porque el dispositivo NetScreen local recibi la ruta mediante el intercambio de mensajes de enrutamiento dinmico cuando se estableci el tnel. (Para ms informacin sobre los protocolos de enrutamiento dinmico, consulte el Volumen 6, Enrutamiento). Tambin puede utilizar la supervisin de VPN con la opcin Rekey o latidos de IKE para asegurarse de que una vez establecido un tnel, permanecer activo independientemente de la actividad de VPN. (Para ms informacin sobre estas opciones, consulte Supervisin de VPNs en la pgina 5-361 y Mecanismos de supervisin en la pgina 5-443). Por cada tipo de configuracin de tnel VPN es posible utilizar los siguientes tipos de tnel VPN: Manual Key (clave manual) : El usuario establece manualmente los tres elementos que definen una asociacin de seguridad (SA) en ambos extremos del tnel: un ndice de parmetros de seguridad (Security Parameters Index o SPI), una clave de encriptacin y una clave de autenticacin. Para modificar cualquier elemento de la SA, debe introducirse manualmente en ambos extremos del tnel. AutoKey IKE with Preshared Key (AutoKey IKE con clave previamente compartida) : Una o dos claves secretas previamente compartidas (una para la autenticacin y otra para la encriptacin) funcionan como valores de inicializacin. El protocolo IKE genera con ellas un juego de claves simtricas en ambos extremos del tnel; es decir, se utiliza la misma clave para encriptar y desencriptar. Estas claves se regeneran automticamente a intervalos predeterminados. AutoKey IKE with Certificates (AutoKey IKE con certificados) : Utilizando la infraestructura de claves pblicas (Public Key Infrastructure o PKI), los participantes en ambos extremos del tnel utilizan un certificado digital (para la autenticacin) y un par de claves pblica/privada RSA (para la encriptacin). La encriptacin es asimtrica; es decir, una de las claves del par se utiliza para encriptar y la otra para desencriptar. Nota: Para obtener una descripcin completa de los tneles VPN, consulte el Volumen 5, VPNs. Para obtener ms informacin sobre NetScreen-Remote, consulte el NetScreen-Remote Users Guide.
113
En este ejemplo se enlaza ethernet1 a la zona Trust y ethernet3 a la zona Untrust. La direccin IP predeterminada para la puerta de enlace es 1.1.1.250. Todas las zonas se encuentran en el dominio de enrutamiento trust-vr. Nota: Compare este ejemplo con Ejemplo: Trfico autogenerado a travs de tnel basado en directivas en la pgina 124.
Ubicacin local Zona Untrust
tunnel.1, sin numerar Eth3, 1.1.1.1/24 Puerta de enlace, 1.1.1.250
Zona Trust
Eth1 10.1.1.1/24 NAT
NetScreen-A enva capturas SNMP MIB y entradas de registro de eventos a travs de vpn1 a la administracin de SNMP y al servidor syslog en 10.2.2.2.
LAN 10.2.2.0/24 Eth1 10.2.2.1/24 NAT Manager de SNMP y servidor Syslog 10.2.2.2
NetScreen-A
LAN 10.1.1.0/24
NetScreen-B
Zona Untrust
Ubicacin remota
Zona Trust
114
El administrador remoto de NetScreen-B utiliza ajustes similares para definir aquel extremo del tnel de VPN AutoKey IKE, de forma que la clave previamente compartida, las propuestas y las IDs de proxy coinciden. Tambin puede configurar una comunidad SNMP llamada remote_admin con permisos de lectura/escritura y permitir que reciba capturas. Definir el host en 10.2.2.2/32 como miembro de la comunidad2.
WebUI (NetScreen-A)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/24
3
Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT (seleccione) Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Service Options: Management Services: SNMP
2. En este ejemplo se parte de la base de que el administrador remoto ya ha configurado el servidor syslog y una aplicacin de administracin de SNMP compatible con SNMPv1. Cuando el administrador remoto configura el tnel VPN en su dispositivo NetScreen, utiliza 1.1.1.1 como puerta de enlace remota y 10.1.1.1 como direccin de destino. Cuando el administrador remoto configure la administracin SNMP, deber introducir 10.1.1.1 en el campo Remote SNMP Agent. sta ser la direccin a la que la administracin de SNMP enviar las consultas. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estar en modo NAT. Por lo tanto, esta opcin ya est habilitada para las interfaces asociadas a la zona Trust.
4
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :
3. 4.
115
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK : Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet1(trust-vr)
2.
Syslog y SNMP
Configuration > Report Settings > Syslog: Introduzca los siguientes datos y haga clic en Apply: Enable Syslog Messages: (seleccione) No.: Seleccione 1 para indicar que va a agregar un servidor syslog. IP / Hostname: 10.2.2.2 Port: 514 Security Facility: auth/sec Facility: Local0 Configuration > Report Settings > SNMP > New Community: Introduzca los siguientes datos y haga clic en OK: Community Name: remote_admin Permissions: Write: (seleccione) Trap: (seleccione) Including Traffic Alarms: (anule la seleccin) Version: V1 Hosts IP Address/Netmask: 10.2.2.2/32 V1 Trap Version: V1
116
3.
VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK : VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: (seleccione) Gateway Name: to_admin Type: Static IP, Address/Hostname: 2.2.2.2 Preshared Key: Ci5y0a1aAG Security Level: Compatible Outgoing interface: ethernet3 > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de AutoKey IKE: Bind to: Tunnel Interface: (seleccione), tunnel.1 Proxy-ID: (seleccione) Local IP/Netmask: 10.1.1.1/32 Remote IP/Netmask: 10.2.2.2/32 Service: ANY
4.
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask:10.2.2.2/32 Gateway: (seleccione) Interface: tunnel.1 Gateway IP Address: 0.0.0.0
117
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK : Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: (seleccione) 1.1.1.250
CLI (NetScreen-A)
1. Interfaces
set set set set set set set set interface interface interface interface interface interface interface interface ethernet1 zone trust 5 ethernet1 ip 10.1.1.1/24 6 ethernet1 nat ethernet3 zone untrust ethernet3 ip 1.1.1.1/24 ethernet3 manage snmp tunnel.1 zone untrust tunnel.1 ip unnumbered interface ethernet1
2.
VPN
set ike gateway to_admin address 2.2.2.2 outgoing-interface ethernet3 preshare Ci5y0a1aAG sec-level compatible set vpn vpn1 gateway to_admin sec-level compatible set vpn vpn1 bind interface tunnel.1 set vpn vpn1 proxy-id local-ip 10.1.1.1/32 remote-ip 10.2.2.2/32 any
5. 6.
Cuando el administrador remoto configure la administracin SNMP, deber introducir 10.1.1.1 en el campo Remote SNMP Agent. sta ser la direccin a la que la administracin de SNMP enviar las consultas. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estar en modo NAT. Por lo tanto, esta opcin ya est habilitada para las interfaces asociadas a la zona Trust.
118
3.
Syslog y SNMP
set set set set syslog config 10.2.2.2 auth/sec local0 syslog enable snmp community remote_admin read-write trap-on version v1 snmp host remote_admin 10.2.2.2/32
4.
Rutas
set vrouter trust-vr route 10.2.2.2/32 interface tunnel.1 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 save
WebUI (NetScreen-B)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
119
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet1(trust-vr)
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: addr1 IP Address/Domain Name: IP/Netmask: 10.2.2.2/32 Zone: Trust Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: ns-a IP Address/Domain Name: IP/Netmask: 10.1.1.1/32 Zone: Untrust
3.
Grupo de servicios
Objects > Services > Groups > New: Introduzca el siguiente nombre de grupo, mueva los siguientes servicios y haga clic en OK: Group Name: s-grp1 Seleccione Syslog y utilice el botn << para mover el servicio de la columna Available Members a la columna Group Members. Seleccione SNMP y utilice el botn << para mover el servicio de la columna Available Members a la columna Group Members.
120
4.
VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK : VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: (seleccione) Gateway Name: to_admin Type: Static IP, Address/Hostname: 1.1.1.1 Preshared Key: Ci5y0a1aAG Security Level: Compatible Outgoing Interface: ethernet3 > Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de AutoKey IKE: Bind to: Tunnel Interface: (seleccione), tunnel.1 Proxy-ID: (seleccione) Local IP/Netmask: 10.2.2.2/32 Remote IP/Netmask: 10.1.1.1/32 Service: Any
5.
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.1.1.1/32 Gateway: (seleccione) Interface: tunnel.1 Gateway IP Address: 0.0.0.0
121
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: (seleccione) 2.2.2.250
6.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), addr1 Destination Address: Address Book Entry: (seleccione), ns-a Service: s-grp1 Action: Permit Position at Top: (seleccione) Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), ns-a Destination Address: Address Book Entry: (seleccione), addr1 Service: s-grp1 Action: Permit Position at Top: (seleccione)
122
CLI (NetScreen B)
1. Interfaces
set set set set set set set interface interface interface interface interface interface interface ethernet1 zone trust ethernet1 ip 10.2.2.1/24 ethernet1 nat ethernet3 zone untrust ethernet3 ip 2.2.2.2/24 tunnel.1 zone untrust tunnel.1 ip unnumbered interface ethernet1
2.
Direcciones
set address trust addr1 10.2.2.2/32 set address untrust ns-a 10.1.1.1/32
3.
Grupo de servicios
set group service s-grp1 set group service s-grp1 add syslog set group service s-grp1 add snmp
4.
VPN
set ike gateway to_admin address 1.1.1.1 outgoing-interface ethernet3 preshare Ci5y0a1aAG sec-level compatible set vpn vpn1 gateway to_admin sec-level compatible set vpn vpn1 bind interface tunnel.1 set vpn vpn1 proxy-id local-ip 10.2.2.2/32 remote-ip 10.1.1.1/32 any
5.
Rutas
set vrouter trust-vr route 10.1.1.1/32 interface tunnel.1 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
6.
Directivas
set policy top from trust to untrust addr1 ns-a s-grp1 permit set policy top from untrust to trust ns-a addr1 s-grp1 permit save
123
Zona Trust
Eth1 10.1.1.1/24 NAT LAN 10.1.1.0/24
Zona Untrust
Eth3, 1.1.1.1/24
NetScreen-A
NetScreen-B
Zona Untrust
Ubicacin remota
Zona Trust
7.
En este ejemplo se parte de la base de que el administrador remoto ya ha configurado el servidor syslog y una aplicacin de administracin de SNMP compatible con SNMPv2c. Cuando el administrador remoto configura el tnel VPN en su dispositivo NetScreen, utiliza 1.1.1.1 como puerta de enlace remota y 10.1.1.1 como direccin de destino.
124
Tambin puede configurar una comunidad SNMP llamada remote_admin con permisos de lectura/escritura y permitir que reciba capturas. Definir el host en 10.2.2.2/32 como miembro de la comunidad. Las directivas de entrada y salida de NetScreen-A coinciden con las de NetScreen-B. Las direcciones y servicios utilizados en las directivas son: 10.1.1.1/32, la direccin de la interfaz de zona Trust en NetScreen-A 10.2.2.2/32, la direccin del host para el miembro de la comunidad SNMP y el servidor syslog Grupo de servicios llamado s-grp1, que contiene los servicios SNMP y syslog A partir de las polticas creadas para NetScreen-B por su parte y por parte de la administracin, los dos dispositivos NetScreen derivarn las siguientes IDs de proxy para vpn1:
NetScreen-A IP local IP remota Servicio 10.1.1.1/32 10.2.2.2/32 Any IP local IP remota Servicio NetScreen-B 10.2.2.2/32 10.1.1.1/32 Any
Nota: NetScreen trata cada grupo de servicios como any en las IDs de proxy.
WebUI (NetScreen-A)
1. Interfaces y zonas de seguridad
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.1.1.1/248 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT (seleccione)9
8. 9. Cuando el administrador remoto configure la administracin SNMP, deber introducir 10.1.1.1 en el campo Remote SNMP Agent. sta ser la direccin a la que la administracin de SNMP enviar las consultas. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estar en modo NAT. Por lo tanto, esta opcin ya est habilitada para las interfaces asociadas a la zona Trust.
125
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK: Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 1.1.1.1/24 Service Options: Management Services: SNMP
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: trust_int IP Address/Domain Name: IP/Netmask: 10.1.1.1/32 Zone: Trust Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: remote_admin IP Address/Domain Name: IP/Netmask: 10.2.2.2/32 Zone: Untrust
3.
Grupo de servicios
Objects > Services > Groups > New: Introduzca el siguiente nombre de grupo, mueva los siguientes servicios y haga clic en OK: Group Name: s-grp1 Seleccione Syslog y utilice el botn << para mover el servicio de la columna Available Members a la columna Group Members. Seleccione SNMP y utilice el botn << para mover el servicio de la columna Available Members a la columna Group Members.
126
4.
VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK : VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: (seleccione) Gateway Name: to_admin Type: Static IP, Address/Hostname: 2.2.2.2 Preshared Key: Ci5y0a1aAG Security Level: Compatible Outgoing Interface: ethernet3
5.
Syslog y SNMP
Configuration > Report Settings > Syslog: Introduzca los siguientes datos y haga clic en Apply : Enable Syslog Messages: (seleccione) Source Interface: ethernet1 No.: Seleccione 1 para indicar que va a agregar un servidor syslog. IP/Hostname: 10.2.2.2 Port: 514 Security Facility: auth/sec Facility: Local0 Configuration > Report Settings > SNMP > New Community: Introduzca los siguientes datos y haga clic en OK : Community Name: remote_admin Permissions: Write: (seleccione)
127
Trap: (seleccione) Including Traffic Alarms: (anule la seleccin) Version: V2C Hosts IP Address/Netmask: 10.2.2.2/32 V2C Trap Version: V2C Source Interface: ethernet1 (seleccione) Configuration > Report Settings > SNMP: Introduzca los siguientes datos y haga clic en Apply : Enable Authentication Fail Trap: (seleccione)
6.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: 1.1.1.250
7.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), trust_int Destination Address: Address Book Entry: (seleccione), remote_admin
128
Service: s-grp1 Action: Tunnel Tunnel VPN: vpn1 Modify matching outgoing VPN policy: (seleccione) Position at Top: (seleccione)
CLI (NetScreen-A)
1. Interfaces y zonas de seguridad
set set set set set set interface interface interface interface interface interface ethernet1 ethernet1 ethernet1 ethernet3 ethernet3 ethernet3 zone trust ip 10.1.1.1/24 10 nat zone untrust ip 1.1.1.1/24 manage snmp
2.
Direcciones
set address trust trust_int 10.1.1.1/32 set address untrust remote_admin 10.2.2.2/32
3.
Grupo de servicios
set group service s-grp1 set group service s-grp1 add syslog set group service s-grp1 add snmp
10. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estar en modo NAT. Por lo tanto, esta opcin ya est habilitada para las interfaces asociadas a la zona Trust.
129
4.
VPN
set ike gateway to_admin address 2.2.2.2 outgoing-interface ethernet3 preshare Ci5y0a1aAG sec-level compatible set vpn vpn1 gateway to_admin sec-level compatible
5.
Syslog y SNMP
set set set set set syslog config 10.2.2.2 auth/sec local0 syslog src-interface ethernet1 syslog enable snmp community remote_admin read-write trap-on version v2c snmp host remote_admin 10.2.2.2/32 src-interface ethernet1
6. 7.
Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
Directivas
set policy top from trust to untrust trust_int remote_admin s-grp1 tunnel vpn vpn1 set policy top from untrust to trust remote_admin trust_int s-grp1 tunnel vpn vpn1 save
130
WebUI (NetScreen-B)
1. Interfaces y zonas de seguridad
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply : Zone Name: Trust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK : Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK : Zone Name: Untrust Static IP: (seleccione esta opcin si es posible) IP Address/Netmask: 2.2.2.2/24
2.
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: addr1 IP Address/Domain Name: IP/Netmask: 10.2.2.2/32 Zone: Trust Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK : Address Name: ns-a IP Address/Domain Name: IP/Netmask: 10.1.1.1/32 Zone: Untrust
131
3.
Grupo de servicios
Objects > Services > Groups: Introduzca el siguiente nombre de grupo, mueva los siguientes servicios y haga clic en OK : Group Name: s-grp1 Seleccione Syslog y utilice el botn << para mover el servicio de la columna Available Members a la columna Group Members. Seleccione SNMP y utilice el botn << para mover el servicio de la columna Available Members a la columna Group Members.
4.
VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK : VPN Name: vpn1 Security Level: Compatible Remote Gateway: Create a Simple Gateway: (seleccione) Gateway Name: to_admin Type: Static IP, IP Address: 1.1.1.1 Preshared Key: Ci5y0a1aAG Security Level: Compatible Outgoing interface: ethernet3
5.
Ruta
Network > Routing > Routing Table > trust-vr New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet3 Gateway IP Address: (seleccione) 2.2.2.250
132
6.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK : Source Address: Address Book Entry: (seleccione), addr1 Destination Address: Address Book Entry: (seleccione), ns-a Service: s-grp1 Action: Tunnel Tunnel VPN: vpn1 Modify matching outgoing VPN policy: (seleccione) Position at Top: (seleccione)
133
CLI (NetScreen-B)
1. Interfaces y zonas de seguridad
set set set set set interface interface interface interface interface ethernet1 ethernet1 ethernet1 ethernet3 ethernet3 zone trust ip 10.2.2.1/24 nat zone untrust ip 2.2.2.2/24
2.
Direcciones
set address trust addr1 10.2.2.2/32 set address untrust ns-a 10.1.1.1/32
3.
Grupo de servicios
set group service s-grp1 set group service s-grp1 add syslog set group service s-grp1 add snmp
4.
VPN
set ike gateway to_admin address 1.1.1.1 outgoing-interface ethernet3 preshare Ci5y0a1sec-level compatible set vpn vpn1 gateway to_admin sec-level compatible
5. 6.
Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250
Directivas
set policy top from trust to untrust addr1 ns-a s-grp1 tunnel vpn vpn1 set policy top from untrust to trust ns-a addr1 s-grp1 tunnel vpn vpn1 save
134
Contadores
CONTADORES
NetScreen dispone de contadores de pantalla, hardware y flujos para supervisar el trfico. Estos contadores ofrecen informacin de proceso sobre las zonas e interfaces especificadas y permiten verificar la configuracin de cualquier directiva deseada. NetScreen dispone de los siguientes contadores de pantalla para supervisar el comportamiento general de los cortafuegos y visualizar la cantidad de trfico afectada por las directivas especificadas: Bad IP Option Protection: nmero de tramas descartadas por opciones de IP mal formadas o incompletas. Dst IP-based session limiting: nmero de sesiones descartadas despus de alcanzar el lmite de la sesin. FIN bit with no ACK bit: nmero de paquetes detectados y descartados con una combinacin de flags no permitida. Fragmented packet protection: nmero de fragmentos de paquetes de IP bloqueados. HTTP Component Blocked: nmero de paquetes bloqueados con componentes HTTP. HTTP Component Blocking for ActiveX controls: nmero de componentes ActiveX bloqueados. HTTP Component Blocking for .exe files: nmero de paquetes HTTP bloqueados con archivos .exe. HTTP Component Blocking for Java applets: nmero de componentes Java bloqueados. HTTP Component Blocking for .zip files: nmero de paquetes HTTP bloqueados con archivos .zip. ICMP Flood Protection: nmero de paquetes ICMP bloqueados como parte de una inundacin ICMP. ICMP Fragment: nmero de tramas ICMP con el flag More Fragments ajustado o con un offset indicado en el campo de offset. IP Spoofing Attack Protection: nmero de direcciones IP bloqueadas como parte de un ataque de simulacin de IP. IP Sweep Protection: nmero de paquetes de ataque de limpieza de IP detectados y bloqueados. Land Attack Protection: nmero de paquetes bloqueados como parte de una sospecha de ataque terrestre.
135
Contadores
Large ICMP Packet: nmero de tramas ICMP detectadas con una longitud de IP superior a 1024. Limit session: nmero de paquetes no entregados por haberse alcanzado el lmite de sesin. Loose Src Route IP Option: nmero de paquetes de IP detectados con la opcin Loose Source Route habilitada. Malicious URL Protection: nmero de direcciones URL bloqueadas por existir la sospecha de que son maliciosas. Ping-of-Death Protection: nmero de paquetes ICMP sospechosos y rechazados por su tamao excesivo o irregular. Port Scan Protection: nmero de anlisis de puerto detectados y bloqueados. Record Route IP Option: nmero de tramas detectadas con la opcin Record Route habilitada. Security IP Option: nmero de tramas descartadas con la opcin IP Security activada. Src IP-based session limiting: nmero de sesiones descartadas despus de alcanzar el lmite de la sesin. Source Route IP Option Filter: nmero de rutas IP de origen filtradas. Stream IP Option: nmero de paquetes descartados con el identificador IP Stream activado. Strict Src Route IP Option: nmero de paquetes detectados con la opcin Strict Source Route habilitada. SYN-ACK-ACK-Proxy DoS: nmero de paquetes bloqueados por la opcin SYN-ACK-ACK-proxy DoS SCREEN. SYN and FIN bits set: nmero de paquetes detectados con una combinacin de flags no permitida. SYN Flood Protection: nmero de paquetes SYN detectados cuando se sospecha de una inundacin SYN. SYN Fragment Detection: nmero de fragmentos de paquete descartados como parte de una sospecha de ataque de fragmentos SYN. Timestamp IP Option: nmero de paquetes IP descartados con la opcin Internet Timestamp activada. TCP Packet without Flag: nmero de paquetes no permitidos descartados sin campo de flags o con el campo mal formado. Teardrop Attack Protection: nmero de paquetes bloqueados como parte de un ataque Teardrop.
136
Contadores
UDP Flood Protection: nmero de paquetes UDP descartados como parte de una inundacin UDP sospechosa. Unknown Protocol Protection: nmero de paquetes bloqueados como parte de un protocolo desconocido. WinNuke Attack Protection: nmero de paquetes detectados como parte de una sospecha de ataque de WinNuke.
NetScreen dispone de los siguientes contadores para supervisar el funcionamiento del hardware y los paquetes con errores: drop vlan: nmero de paquetes descartados por falta de etiquetas VLAN, una subinterfaz no definida o porque no se habilit el entroncamiento de VLAN mientras el dispositivo NetScreen estaba en modo transparente. early frame: contadores utilizados en una administracin de descriptores de bfer de controlador Ethernet. in align err: nmero de paquetes entrantes con un error de alineacin en la secuencia de bits. in bytes: nmero de bytes recibidos. in coll err: nmero de paquetes de colisin entrantes. in crc err: nmero de paquetes entrantes con un error de comprobacin de redundancia cclica (CRC). in dma err: nmero de paquetes entrantes con un error dma. in misc err: nmero de paquetes entrantes con errores de otro tipo. in no buffer: nmero de paquetes que no se pueden recibir porque los bfers no estn disponibles. in overrun: nmero de paquetes transmitidos por exceso (desbordamiento de bfer). in packets: nmero de paquetes recibidos. in short frame: nmero de paquetes entrantes con una trama Ethernet de menos de 64 bytes (incluyendo la suma de comprobacin). in underrun: nmero de paquetes transmitidos por defecto (agotamiento de bfer). late frame: contadores utilizados en una administracin de descriptores de bfer de controlador Ethernet.
137
Contadores
out bs pak: la cantidad de paquetes que se encuentran en almacenamiento en segundo plano mientras se busca una direccin MAC desconocida. Cuando el dispositivo NetScreen reenva un paquete, primero comprueba si la direccin MAC de destino se encuentra en la tabla ARP. Si no encuentra la direccin MAC de destino en la tabla ARP, el dispositivo NetScreen enva una peticin ARP a la red. Si el dispositivo NetScreen recibe otro paquete con la misma direccin MAC de destino antes de recibir una respuesta a la primera peticin ARP, aumenta el contador out bs pak en uno. out bytes: nmero de bytes enviados. out coll err: nmero de paquetes de colisin salientes. out cs lost: nmero de paquetes salientes descartados porque el protocolo CSMA/CD (Carrier Sense Multiple Access/Collision Detect) perdi la seal11. out defer: nmero de paquetes salientes aplazados. out discard: nmero de paquetes salientes descartados. out heartbeat: nmero de paquetes de latido salientes. out misc err: nmero de paquetes salientes con errores de otro tipo. out no buffer: nmero de paquetes no enviados porque no hay bfers disponibles. out packets: nmero de paquetes enviados. re xmt limit: nmero de paquetes descartados al exceder el lmite de retransmisin mientras una interfaz estaba funcionando en semidplex.
12
NetScreen tambin dispone de los siguientes contadores de flujo para vigilar el nmero de paquetes inspeccionados en el nivel de flujo: address spoof: nmero de paquetes sospechosos de ataque de simulacin de direccin recibidos. auth deny: nmero de veces que se ha rechazado la autenticacin de usuario. auth fail: nmero de veces que ha fallado la autenticacin de usuario. big bkstr: nmero de paquetes que son demasiado grandes para el bfer del almacenamiento en segundo plano ARP mientras se espera la resolucin de la direccin MAC a IP.
11. Para ms informacin sobre el protocolo CSMA/CD (Carrier Sense Multiple Access/Collision Detect), consulte la norma IEEE 802.3 disponible en http://standards.ieee.org. 12. Los contadores precedidos por un asterisco an no funcionan en el momento de publicacin de este manual, por lo que siempre muestran el valor 0.
138
Contadores
connections: nmero de sesiones establecidas desde el ltimo arranque. encrypt fail: nmero de paquetes PPTP (Point-to-Point Tunneling Protocol) con errores. *icmp broadcast: nmero de difusiones ICMP recibidas. icmp flood: nmero de paquetes ICMP contabilizados justo antes del umbral de flujo ICMP. illegal pak: nmero de paquetes descartados porque no cumplen las normas de protocolo. in arp req: nmero de paquetes de peticin ARP entrantes. in arp resp: nmero de paquetes de peticin ARP salientes. in bytes: nmero de bytes recibidos. in icmp: nmero de paquetes ICMP (Internet Control Message Protocol) recibidos. in other: nmero de paquetes entrantes con un tipo Ethernet distinto. in packets: nmero de paquetes recibidos. in self: nmero de paquetes asignados a la direccin IP de administracin de NetScreen. *in un auth: nmero de paquetes entrantes TCP, UDP e ICMP no autorizados. *in unk prot: nmero de paquetes entrantes que utilizan un protocolo de Ethernet desconocido. in vlan: nmero de paquetes de vlan entrantes. in vpn: nmero de paquetes IPSec recibidos. invalid zone: nmero de paquetes destinados a una zona de seguridad no vlida. ip sweep: nmero de paquetes recibidos y descartados ms all del umbral de limpieza de IPs especificado. land attack: RFCs:1349, Type of Service in the Internet Protocol Suite nmero de paquetes sospechosos de ataque terrestre recibidos. loopback drop: nmero de paquetes descartados porque no se pueden someter a un bucle invertido (loopback) a travs del dispositivo NetScreen. Un ejemplo de sesin de bucle invertido sera cuando un host en la zona Trust enva datos a una direccin MIP o VIP asignada a un servidor que tambin se encuentra en la zona Trust. El dispositivo NetScreen crea una sesin de bucle invertido que dirige este trfico desde el host al servidor MIP o VIP.
139
Contadores
mac relearn: nmero de veces que la tabla de aprendizaje de direcciones MAC tuvo que volver a memorizar la interfaz asociada a una direccin MAC porque la ubicacin de dicha direccin cambi. mac tbl full: nmero de veces que se llen completamente la tabla de aprendizaje de direcciones MAC. mal url: nmero de paquetes bloqueados destinados a una direccin URL que se considera maliciosa. *misc prot: nmero de paquetes que utilizan un protocolo distinto de TCP, UDP o ICMP. mp fail: nmero de veces que se produjo un problema al enviar un mensaje PCI entre el mdulo procesador master y el mdulo procesador. no conn: nmero de paquetes descartados porque las conexiones NAT (Network Address Translation) no estaban disponibles para la puerta de enlace. no dip: nmero de paquetes descartados porque las direcciones DIP (Dynamic IP) no estaban disponibles. no frag netpak: nmero de veces que el espacio libre en el bfer netpak ha cado por debajo del 70%. *no frag sess: nmero de veces que las sesiones fragmentadas han superado la mitad del nmero mximo de sesiones NAT. no g-parent: nmero de paquetes descartados porque no se pudo localizar la conexin principal. no gate: nmero de paquetes descartados porque no haba puerta de enlace disponible. no gate sess: nmero de sesiones terminadas porque no haba puertas para ellas en la puerta de enlace. no map: nmero de paquetes descartados porque no haba ninguna asignacin a un zona Trust. no nat vector: nmero de paquetes descartados porque la conexin NAT (Network Address Translation) no estaba disponible para la puerta. *no nsp tunnel: nmero de paquetes descartados enviados a una interfaz Tunnel sin tnel VPN asociado. no route: nmero de paquetes no enrutables recibidos. no sa: nmero de paquetes descartados porque no hay definidas asociaciones de seguridad (SA). no sa policy: nmero de paquetes descartados porque no hay ninguna directiva asociada a una SA. *no xmit vpnf: nmero de paquetes de VPN descartados por causa de la fragmentacin. null zone: nmero de paquetes descartados enviados errneamente a una interfaz asociada a la zona Null. nvec err: nmero de paquetes descartados por un error de vector NAT.
140
Contadores
out bytes: nmero de bytes enviados. out packets: nmero de paquetes enviados. out vlan: nmero de paquetes de vlan salientes. ping of death: nmero de paquetes recibidos sospechosos de ataque de tipo Ping of Death. policy deny: nmero de paquetes rechazados por una directiva definida. port scan: nmero de paquetes contabilizados como intentos de anlisis de puerto. proc sess: nmero de veces que las sesiones totales en un mdulo procesador excedieron el umbral mximo. sa inactive: nmero de paquetes descartados por una SA inactiva. sa policy deny: nmero de paquetes rechazados por una directiva de SA. sessn thresh: umbral para el nmero mximo de sesiones. *slow mac: nmero de tramas cuyas direcciones MAC eran lentas de resolver. src route: nmero de paquetes descartados por la opcin para filtrar la ruta de origen. syn frag: nmero de paquetes SYN descartados por causa de la fragmentacin. tcp out of seq: nmero de segmentos TCP recibidos cuyo nmero de secuencia se encuentra fuera de un rango aceptable. tcp proxy: nmero de paquetes descartados por haber utilizado un proxy TCP, como la opcin de proteccin de flujo SYN o autenticacin de usuario. tear drop: nmero de paquetes bloqueados como parte de una sospecha de ataque Tear Drop. tiny frag: nmero de pequeos paquetes fragmentados recibidos. trmn drop: nmero de paquetes descartados por la administracin de trfico. trmng queue: nmero de paquetes que esperan en cola. udp flood: nmero de paquetes UDP por debajo del umbral de inundacin UDP. url block: nmero de solicitudes HTTP que han sido bloqueadas. winnuke: nmero de paquetes de ataque WinNuke recibidos. wrong intf: nmero de mensajes de creacin de sesin enviados desde un mdulo procesador al mdulo procesador master.
141
Contadores
WebUI
Reports > Counters > Zone Screen: Seleccione Trust en la lista desplegable Zone.
CLI
get counter screen zone trust
142
Apndice A
Juniper Networks proporciona archivos MIB para permitir la comunicacin SNMP entre las aplicaciones de su organizacin y el agente SNMP en el dispositivo NetScreen. Para obtener los archivos MIB ms recientes, abra un explorador web y visite www.juniper.net/support. Seleccione un producto NetScreen y, a continuacin, seleccione los archivos MIB para la versin de ScreenOS cargada en su dispositivo NetScreen. Los archivos MIB de la versin actual de ScreenOS son completamente compatibles con los agentes SNMP de las versiones anteriores de ScreenOS. Los archivos MIB de NetScreen se organizan en una estructura jerrquica de mltiples niveles, tal y como se describe a continuacin: Carpetas de archivos MIB del nivel principal en la pgina II Carpetas de archivos MIB del segundo nivel en la pgina IV netscreenProducts en la pgina IV netScreenIds en la pgina V netscreenVpn en la pgina V netscreenQos en la pgina VI netscreenSetting en la pgina VI netscreenZone en la pgina VI netscreenPolicy en la pgina VII netscreenNAT en la pgina VII netscreenAddr en la pgina VII netscreenService en la pgina VII netscreenSchedule en la pgina VII netscreenVsys en la pgina VIII netscreenResource en la pgina VIII netscreenIp en la pgina VIII netscreenVR en la pgina VIII
I
II
netscreenVpn netscreenQos netscreenNsrp netscreenSetting netscreenZone netscreenInterface netscreenPolicy netscreenNAT netscreenAddr netscreenService netscreenSchedule netscreenVsys netscreenResource netscreenIp netScreen Chassis netscreenVR
Define la configuracin de VPN y la informacin de tiempo de ejecucin del dispositivo NetScreen. Define la configuracin de la calidad de servicio (QoS) del dispositivo NetScreen. Define la configuracin NSRP del dispositivo NetScreen. Define otros ajustes de configuracin del dispositivo NetScreen, como DHCP, correo electrnico, autenticacin y el administrador. Define la informacin de zona que se encuentra en el dispositivo NetScreen. Define la configuracin de interfaz del dispositivo NetScreen, incluida la interfaz virtual. Define la configuracin de directivas de entrada y salida del dispositivo NetScreen. Define la configuracin de NAT, incluyendo las direcciones Map IP (IP asignada), Dynamic IP (IP dinmica) y Virtual IP (IP virtual). Representa la tabla de direcciones de una interfaz NetScreen. Describe los servicios (incluyendo los servicios definidos por el usuario) reconocidos por el dispositivo NetScreen. Define la informacin de programacin de tareas del dispositivo NetScreen, configurada por el usuario. Define la configuracin de sistema virtual (VSYS) del dispositivo NetScreen. Accede a informacin sobre la utilizacin de recursos por parte del dispositivo NetScreen. Accede a informacin sobre la IP privada del dispositivo NetScreen. Marcador de posicin vaco para futuras carpetas de archivos MIB. Define la configuracin del enrutador virtual (VR) del dispositivo NetScreen.
III
netscreenProducts
netscreenGeneric Identificadores de objeto (OIDs) dinmicos para productos NetScreen OIDs de NetScreen-5XP OIDs de NetScreen-10XP OIDs de NetScreen-100 OIDs de NetScreen-1000 OIDs de NetScreen-500 OIDs de NetScreen-50 OIDs de NetScreen-25 OIDs de NetScreen-204 OIDs de NetScreen-208
IV
netScreenIds
nsldsProtect nsldsProtectSetTable Servicio IDS en el dispositivo NetScreen Servicio IDS habilitado en el dispositivo NetScreen Configuracin del umbral del servicio IDS Informacin estadstica sobre intentos de intrusin
nsldsProtectThreshTable nsldsAttkMonTable
netscreenVpn
netscreenVpnMon nsVpnManualKey nsVpnIke nsVpnGateway nsVpnPhaseOneCfg nsVpnPhaseTwoCfg nsVpnCert nsVpnL2TP nsVpnPool nsVpnUser Muestra informacin de la direccin de origen del tnel VPN Configuracin de clave manual Configuracin IKE Configuracin de puerta de enlace del tnel de VPN Configuracin IPSec de Fase 1 Configuracin IPSec de Fase 2 Configuracin de certificado Configuracin de L2TP Configuracin de rango IP Configuracin de usuario de VPN
netscreenQos
nsQosPly Configuracin de calidad del servicio (QoS) segn la directiva
netscreenSetting
nsSetGeneral nsSetAuth nsSetDNS nsSetURLFilter nsSetDHCP nsSetSysTime nsSetEmail nsSetLog nsSetSNMP nsSetGlbMng nsSetAdminUser nsSetWebUI Configuracin general del dispositivo NS Configuracin del mtodo de autenticacin Ajustes del servidor DNS Ajuste del filtro de URL Ajustes del servidor DHCP Ajuste de la hora del sistema Ajuste de correo electrnico Ajuste de Syslog Configuracin del agente SNMP Configuracin de administracin global Configuracin de usuario administrativo Configuracin de la Web UI
netscreenZone
nsZoneCfg Configuracin de zona del dispositivo
VI
netscreenPolicy
NsPlyTable NsPlyMonTable Configuracin de directivas Informacin estadstica sobre cada directiva
netscreenNAT
nsNatMipTable nsNatDipTable nsNatVip Configuracin de IPs asignadas Configuracin de IPs dinmicas Configuracin de IPs virtuales
netscreenAddr
nsAddrTable Tabla de direcciones en una interfaz NetScreen
netscreenService
nsServiceTable nsServiceGroupTable nsServiceGrpMemberTable Informacin de servicio Informacin de grupo de servicios Informacin de un miembro de un grupo de servicios
netscreenSchedule
nschOnceTable nschRecurTable Informacin de programacin puntual Informacin de programacin recurrente
VII
netscreenVsys
nsVsysCfg Configuracin de sistema virtual (VSYS) del dispositivo NetScreen
netscreenResource
nsresCPU nsresMem nsresSession Utilizacin de la CPU Utilizacin de memoria Uso de sesin
netscreenIp
nslpArp Tabla de ARP
netscreenVR1
nsOSPF nsBGP nsRIP Informacin de protocolo OSPF (Open Shortest Path First) Informacin de protocolo BGP (Border Gateway Protocol) Informacin de protocolo RIP (Routing Information Protocol)
1.
Las MIBs netscreenVR se basan en SMIv2 (Structure of Management Information versin 2). El resto se basa en SMIv1. Es posible acceder a todos los datos MIB II independientemente de si se utiliza SNMPv1 o SNMPv2c.
VIII
ndice
ndice
A
administracin CLI (interfaz de lnea de comandos) 14 restringir 59, 60 WebUI 3 ajustes de configuracin consultar la marca de hora 38 hash de configuracin 37 requisitos del explorador 3 visualizar el estado de la configuracin 36 alarmas alerta de correo electrnico 97 comunicar a NSM 34 trfico 97101 umbrales 97 almacenamiento en segundo plano 138 almacenamiento flash interno 78 archivos de ayuda 4 archivos MIB A-I asociaciones de seguridad (SA) 140 conjuntos de caracteres compatibles con ScreenOS x consola 78 contrasea administrador raz 57 olvidada 54 convenciones CLI vi ilustracin ix nombres x WebUI vii Network Address Translation (NAT) 140 no enrutables 140 paquetes 141 PPTP (Point to Point Tunneling Protocol) 139 que no se pueden recibir 137, 138 rechazados 141 recibidos 137, 138, 139, 141 transmitidos por defecto (underrun) 137
H
HTTP 5 ID de sesin 5
D
DIP 140 direcciones IP IP administrativa 44 servidores NSM 33 direcciones IP de cliente de administracin 59 directiva de SA 141 distribucin de protocolos comunicar a NSM 34
I
ID de sesin 5 Ident-Reset 39 ilustracin convenciones ix inicio de sesin administrador raz 60 Telnet 15 interfaces gestionables 44 opciones de administracin 39 interfaz de lnea de comandos vase CLI interfaz de usuario vase WebUI IP administrativa 44 IP del servidor SMTP 101 IP dinmica vase DIP
C
cables serie 28 capturas SNMP 100, problemas de hardware 107 200, problemas de cortafuegos 107 300, problemas de software 107 400, problemas de trfico 107 500, problemas de VPN 107 permitir o denegar 109 carpetas MIB principal A-II clave manual VPNs 61, 113 CLI 14, 40, 41 convenciones vi CompactFlash 79 conexin principal 140 configuracin de la marca de hora 38
E
error de vector NAT 140 error in-short 137 estadsticas comunicar a NSM 34
F
filtrar ruta de origen 141 fragmentados 141 ataque de simulacin de direccin 138 ataque terrestre 139 colisin 137, 138 descartados 140, 141 entrantes 137 Internet Control Message Protocol (ICMP) 135, 139 IPSec 139
M
Management Information Base II vase MIB II mensajes alerta 80 crticos 80
IX-I
ndice
depurar 80 emergencia 80 error 80 informacin 80 notificacin 80 WebTrends 104 mtodos de administracin CLI 14 consola 27 SSL 8 Telnet 14 WebUI 3 MGT, interfaz opciones de administracin 40 MIB II 39, 106 modo transparente opciones de administracin 40
P
PCMCIA 79 ping opciones de administracin 39 PKI clave 9 PPTP (Point to Point Tunneling Protocol) 139 protocolo de transferencia de hipertextos (HTTP) vase HTTP puerto de mdem 28 puertos mdem 28
N
NetScreen-Security Manager vase NSM Network Address Translation (NAT) 140 nombres convenciones x notificacin mediante alertas de correo electrnico 101, 104 NSM activar agente 32 agente 30, 33 comunicar eventos 34, 35 configuracin de la conectividad inicial NSM Management System 31 definicin 30 interfaz de usuario 30 Management System 30, 33 marca de hora de configuracin 38 opciones de administracin 39 sincronizacin de la configuracin 36
RFCs 1157, A Simple Network Management Protocol 106 1213, Management Information Base for Net work Management of TCP/IP-based internets MIB-II 39 106 1349, Type of Service in the Internet Protocol Suite 139 1901, Introduction to Community-based SNMPv2 106 1905, Protocol Operations for Version 2 of the Simple Network Management Protocol (SNMPv2) 106 1906, Transport Mappings for Version 2 of the Simple Network Management Protocol (SNMPv2) 106 ruta de origen 141
R
RADIUS 54 recuperacin de la marca de hora 38 red privada virtual vase VPNs registro 7896 CompactFlash (PCMCIA) 79 comunicar a NSM 34 consola 78 correo electrnico 78 interno 78 registro de eventos 80 registro de recuperacin de activos 96 registro propio 92 SNMP 78, 106 syslog 78, 102 WebTrends 79, 104 registro de eventos 80 registro de recuperacin de activos 96 registro propio 92 requisitos del explorador 3 requisitos del explorador de web 3 restablecimiento de los ajustes predeterminados de fbrica 58
S
SA inactiva 141 SCP 26 ejemplo de comando del cliente 27 habilitar 26 secuencia de bits 137 Secure Copy vase SCP Secure Shell vase SSH Secure Sockets Layer vase SSL serie, cables 28 sincronizacin configuracin 36 consulta del hash de configuracin 37 visualizar el estado 36 sistema operativo 14 sistema virtual administradores 48 administradores de slo lectura 48 SNMP 39, 106 archivos MIB A-I captura de inicio en fro 106
O
opciones de administracin 39 gestionables 44 modo transparente 40 NSM 39
IX-II
ndice
capturas por alarma del sistema 106 capturas por alarmas de trfico 106 carpetas MIB, nivel principal A-II comunidad, privada 110 comunidad, pblica 110 configuracin 110 encriptacin 109, 112 implementacin 109 opciones de administracin 39 tipos de captura 107 SSH 1723, 39 autenticacin mediante contrasea 21 autenticacin mediante PKA 21 cargar claves pblicas, CLI 22 cargar claves pblicas, TFTP 22, 25 cargar claves pblicas, WebUI 22 clave de host 18 clave de sesin 18 clave del servidor 18 clave PKA 18 forzar la autenticacin mediante PKA exclusivamente 23 inicios de sesin automatizados 25 PKA 22
prioridad del mtodo de autenticacin 23 procedimiento de conexin 18 SSL 8 opciones de administracin 39 SSL Handshake Protocol vase SSLHP SSLHP 8 syslog 78 encriptacin 112 host 102 mensajes 102 nombre de host 103, 104, 116, 127 puerto 103, 116, 127 utilidad 103, 116, 127 utilidad de seguridad 103, 116, 127
U
usuarios mltiples usuarios administrativos 47
V
VLAN1 opciones de administracin 40 VPN AutoKey IKE 61, 113 VPNs AutoKey IKE 61, 113 clave manual 61, 113 para trfico administrativo 112
T
TCP proxy 141 Telnet 14, 39 trfico alarmas 97101 trfico administrativo 40
W
WebTrends 79, 104 encriptacin 104, 112 mensajes 104 WebUI 3, 40, 41 archivos de ayuda 4 convenciones vii
IX-III
ndice
IX-IV