Conceptos y ejemplos Manual de referencia de ScreenOS Volumen 3: Administración Versión 6.0.0, Rev. 02 Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000 www.juniper.net Número de pieza: 530-017769-01-SP, Revisión 02 Copyright Notice Copyright © 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice. FCC Statement The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks’ installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: (cid:132) Reorient or relocate the receiving antenna. (cid:132) Increase the separation between the equipment and receiver. (cid:132) Consult the dealer or an experienced radio/TV technician for help. (cid:132) Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device. Disclaimer THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY. ii (cid:132) Contenido Acerca de este volumen vii Convenciones del documento........................................................................vii Convenciones de la interfaz de usuario web............................................vii Convenciones de interfaz de línea de comandos....................................viii Convenciones de nomenclatura y conjuntos de caracteres.......................ix Convenciones para las ilustraciones..........................................................x Asistencia y documentación técnica.................................................................x Capítulo 1 Administración 1 Administración a través de la interfaz de usuario web.....................................2 Ayuda de la interfaz gráfica (WebUI).........................................................2 Copia de los archivos de ayuda a una unidad local..............................3 Desvío de WebUI a la nueva ubicación de la ayuda.............................3 Protocolo de transferencia de hipertextos .................................................4 Identificación de sesión.............................................................................4 Secure Sockets Layer.................................................................................5 Configuración de SSL..........................................................................7 Redireccionamiento de HTTP a SSL....................................................8 Administración a través de la interfaz de línea de comandos.........................10 Telnet......................................................................................................10 Conexiones Telnet seguras......................................................................11 Secure Shell.............................................................................................11 Requisitos del cliente........................................................................13 Configuración básica de SSH en el dispositivo...................................13 Autenticación....................................................................................14 SSH y Vsys........................................................................................16 Clave de host....................................................................................17 Ejemplo: SSHv1 con PKA para inicios de sesión de automatizados...17 Copia segura............................................................................................18 Consola serie...........................................................................................19 Consola remota.......................................................................................20 Consola remota con el puerto de módem V.92.................................20 Consola remota con el puerto AUX...................................................21 Puerto de módem....................................................................................22 Administración a través de NetScreen-Security Manager................................23 Inicio de la conectividad entre el agente de NSM y el sistema MGT.........24 Habilitar, inhabilitar y desactivar el agente de NSM.................................25 Ajustar la dirección IP del servidor principal del sistema de administración (Management System)..............................................26 Ajustar la generación de informes de alarmas y de estadísticas...............26 Sincronización de la configuración..........................................................28 Ejemplo: Visualizar al estado de la configuración..............................28 Ejemplo: Consultar el hash de configuración.....................................28 Contenido (cid:132) iii Manual de referencia de ScreenOS: Conceptos y ejemplos Consultar la marca de hora de configuración...........................................29 Control del tráfico administrativo...................................................................29 Interfaces MGT y VLAN1..........................................................................30 Ejemplo: Administración a través de la interfaz MGT........................30 Ejemplo: Administración a través de la interfaz VLAN1.....................31 Ajuste de las opciones de la interfaz administrativa.................................31 Ajuste de las direcciones IP de administración para múltiples interfaces..........................................................................................33 Niveles de administración..............................................................................35 Administrador raíz...................................................................................35 Administrador de lectura/escritura...........................................................36 Administrador de sólo lectura..................................................................36 Administrador de sistema virtual.............................................................36 Administrador de sólo lectura del sistema virtual....................................37 Definición de usuarios con permisos de administrador..................................37 Ejemplo: Agregar un administrador de sólo lectura.................................37 Ejemplo: Modificar un administrador......................................................37 Ejemplo: Eliminar un administrador........................................................38 Ejemplo: Configurar las cuentas del administrador para las conexiones de acceso telefónico..........................................................................38 Ejemplo: Borrar una sesión de administrador..........................................39 Tráfico administrativo seguro.........................................................................40 Cambiar el número de puerto..................................................................41 Cambio de nombre y contraseña de inicio de sesión del administrador..41 Ejemplo: Cambiar el nombre de inicio de sesión y la contraseña de un usuario administrador...........................................................42 Ejemplo: Cambiar su propia contraseña............................................43 Ajuste de la longitud mínima de la contraseña del administrador raíz.............................................................................................43 Restablecimiento del dispositivo con los ajustes predeterminados de fábrica...............................................................................................44 Restricción del acceso administrativo......................................................44 Ejemplo: Restringir la administración a una sola estación de trabajo........................................................................................45 Ejemplo: Restringir la administración a una subred..........................45 Restringir el administrador raíz a acceder desde la consola..............45 Túneles de VPN para tráfico administrativo.............................................46 Administración a través de un túnelVPN de clave manualbasado en rutas...........................................................................................47 Administración a través de un túnelVPN de clave manualbasado en directivas....................................................................................51 Directiva de contraseñas................................................................................55 Establecimiento de una directiva de contraseñas....................................55 Eliminación de una directiva de contraseñas...........................................56 Visualización de una directiva de contraseñas.........................................56 Recuperación de una contraseña de administrador predeterminada rechazada.........................................................................................56 Creación de un mensaje de bienvenida de inicio de sesión............................57 Capítulo 2 Supervisión de dispositivos de seguridad 59 Almacenamiento de la información del registro.............................................59 Registro de eventos........................................................................................61 Ver el registro de eventos según nivel de gravedad y palabra clave.........62 Clasificación y filtrado del registro de eventos.........................................63 iv (cid:132) Contenido Contenido Descargar el registro de eventos..............................................................64 Ejemplo: Descargar el registro de eventos completo.........................64 Ejemplo: Descargar los eventos críticos del registro de eventos........64 Registro de tráfico..........................................................................................65 Visualización del registro de tráfico.........................................................66 Ejemplo: Visualizar las entradas del registro de tráfico......................66 Clasificación y filtrado del registro de tráfico.....................................67 Ejemplo: Clasificar el registro de tráfico por horas............................67 Descarga del registro de tráfico...............................................................68 Eliminación del campo del motivo de cierre............................................68 Registro propio..............................................................................................70 Visualización del registro propio..............................................................70 Clasificación y filtrado del registro propio.........................................71 Ejemplo: Filtrar el registro propio por horas......................................71 Descargar el registro propio.....................................................................72 Descargar el registro de recuperación de posición.........................................72 Alarmas de tráfico..........................................................................................73 Ejemplo: Detección de intrusiones basada en directivas..........................74 Ejemplo: Notificación de sistema comprometido.....................................74 Ejemplo: Enviar alertas de correo electrónico..........................................75 Syslog............................................................................................................76 Ejemplo: Habilitar múltiples servidores Syslog.........................................77 Activación de WebTrends para eventos de notificación...........................77 Protocolo simple de administración de redes.................................................78 Vista general de implementación.............................................................81 Definición de una comunidad SNMP de lectura/escritura.........................82 Túneles VPN para tráfico autogenerado.........................................................83 Ejemplo: Tráfico autogenerado a través de túnel basado en rutas...........85 Ejemplo: Tráfico autogenerado a través de túnel basado en directivas....91 Visualizar contadores de pantalla...................................................................98 Índice........................................................................................................................IX-I Contenido (cid:132) v Manual de referencia de ScreenOS: Conceptos y ejemplos vi (cid:132) Contenido Acerca de este volumen Los dispositivos de seguridad de Juniper Networks ofrecen distintas formas de administrar los dispositivos tanto local como remotamente. El Volumen3: Administración contiene las siguientes secciones: (cid:132) Capítulo1, “Administración,” donde se explican los distintos medios disponibles para gestionar un dispositivo de seguridad de forma local y remota. En este capítulo también se explican los privilegios asociados a cada uno de los cuatro niveles de administradores de red que se pueden definir. (cid:132) Capítulo2, “Supervisión de dispositivos de seguridad,” donde se explican los diversos métodos de supervisión y se ofrecen instrucciones para interpretar los resultados de dicha supervisión. Convenciones del documento Este documento utiliza las convenciones que se describen en las secciones siguientes: (cid:132) “Convenciones de la interfaz de usuario web” en esta página (cid:132) “Convenciones de interfaz de línea de comandos” en la páginaviii (cid:132) “Convenciones de nomenclatura y conjuntos de caracteres” en la páginaviii (cid:132) “Convenciones para las ilustraciones” en la páginax Convenciones de la interfaz de usuario web En la interfaz de usuario web (WebUI), el conjunto de instrucciones de cada tarea se divide en ruta de navegación y ajustes de configuración. Para abrir una página de WebUI e introducir parámetros de configuración, navegue hacia la página en cuestión haciendo clic en un elemento del menú en el árbol de navegación en el lado izquierdo de la pantalla, luego en los elementos subsiguientes. A medida que avanza, su ruta de navegación aparece en la parte superior de la pantalla, cada página separada por signos de mayor y menor. Lo siguiente muestra los parámetros y ruta de WebUI para la definición de una dirección: Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Convenciones del documento (cid:132) vii Manual de referencia de ScreenOS: Conceptos y ejemplos Address Name: dir_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust Para abrir la ayuda en línea para los ajustes de configuración, haga clic en el signo de interrogación (?) en la parte superior izquierda de la pantalla. El árbol de navegación también proporciona una página de configuración de Ayuda > Guía de configuración para ayudarle a configurar las directivas de seguridad y la Seguridad de protocolo de Internet (IPSec). Seleccione una opción del menú desplegable y siga las instrucciones en la página. Haga clic en el carácter? en la parte superior izquierda para la Ayuda en línea en la Guía de configuración. Convenciones de interfaz de línea de comandos Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos de interfaz de línea de comandos (CLI) en ejemplos y en texto. En ejemplos: (cid:132) Los elementos entre corchetes [ ] son opcionales. (cid:132) Los elementos entre llaves { } son obligatorios. (cid:132) Si existen dos o más opciones alternativas, aparecerán separadas entre sí por barras verticales ( | ). Por ejemplo: set interface { ethernet1 | ethernet2 | ethernet3 } manage (cid:132) Las variables aparecen en cursiva: set admin user nombre1 contraseña xyz En el texto, los comandos están en negrita y las variables en cursiva. NOTA: Para introducir palabras clave, basta con introducir los primeros caracteres para identificar la palabra de forma inequívoca. Al escribir set adm u whee j12fmt54 se ingresará el comando set admin user wheezer j12fmt54. Sin embargo, todos los comandos documentados aquí se encuentran presentes en su totalidad. Convenciones de nomenclatura y conjuntos de caracteres ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios administradores, servidores de autenticación, puertas de enlace IKE, sistemas virtuales, túneles de VPN y zonas) definidos en las configuraciones de ScreenOS: (cid:132) Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá estar entre comillas dobles; por ejemplo: set address trust “local LAN” 10.1.1.0/24 (cid:132) Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina; por ejemplo, “ local LAN ” se transformará en “local LAN”. viii (cid:132) Convenciones del documento Acerca de este volumen (cid:132) Los espacios consecutivos múltiples se tratan como uno solo. (cid:132) En las cadenas de nombres se distingue entre mayúsculas y minúsculas; por el contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente. Por ejemplo, “local LAN” es distinto de “local lan”. ScreenOS admite los siguientes conjuntos de caracteres: (cid:132) Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de múltiples bytes (MBCS). Algunos ejemplos de SBCS son los caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, también conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, elcoreano y el japonés. (cid:132) Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepción de las comillas dobles ( “ ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios. NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, según el conjunto de caracteres que admita el explorador. Convenciones del documento (cid:132) ix Manual de referencia de ScreenOS: Conceptos y ejemplos Convenciones para las ilustraciones La siguiente figura muestra el conjunto básico de imágenes utilizado en las ilustraciones de este volumen: Figura1: Imágenes de las ilustraciones Sistema autónomo Red de área local (LAN) con o bien una única subred dominio de enrutamiento virtual o bien zona de seguridad Rango dinámico de IP (DIP) Internet Motor de directivas Interfaces de zonas de seguridad: Blanco = Interfaz de zona protegida (ejemplo = zona Trust) Negro = Interfaz de zona externa (ejemplo = zona Untrust) Dispositivo de red genérico Interfaz de túnel Servidor Túnel VPN Enrutador Dispositivos de seguridad Conmutador Juniper Networks Concentrador x (cid:132) Convenciones del documento