- play_arrow Aulas de login e configurações de login
- play_arrow Contas de usuário
- play_arrow Senhas para acesso ao usuário
- play_arrow Módulo de plataforma confiável
- play_arrow Autenticação do usuário
- play_arrow Controle de acesso
- Métodos de autenticação de controle de acesso
- Prevenção do acesso não autorizado a switches da Série EX usando modo autônomo para u-boot
- Prevenção do acesso não autorizado a switches da Série EX usando modo autônomo para u-boot
- Configuração do servidor RADIUS para autenticação
- RADIUS over TLS (RADSEC)
- Autenticação 802.1X
- Autenticação MAC RADIUS
- Contabilidade 802.1X e RADIUS
- Exemplo: Configuração do 802.1X para configurações de suplicante único ou múltiplo suplicante em um switch da Série EX
- Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um switch da Série EX
- Interfaces habilitadas para autenticação 802.1X ou MAC RADIUS
- Bypass MAC estático de autenticação MAC 802.1X e MAC RADIUS
- Configuração do PEAP para autenticação MAC RADIUS
- Autenticação de portal cativo
- Ordem de autenticação flexível nos switches da Série EX
- Falha no fallback e autenticação do servidor
- Tempo limite da sessão de autenticação
- Autenticação central da Web
- Atribuição dinâmica de VLAN para portas incolores
- VoIP nos switches da Série EX
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x
- play_arrow Configuração do controle de acesso à rede baseado em porta IEEE 802.1x no modo LAN aprimorado
- 802.1X para roteadores da Série MX em visão geral aprimorada do modo LAN
- Entenda o 802.1X e LLDP e LLDP-MED em roteadores da Série MX no modo LAN aprimorado
- Entenda a contabilidade 802.1X e RADIUS em roteadores da Série MX no modo LAN aprimorado
- Entenda o 802.1X e o VoIP em roteadores da Série MX no modo LAN aprimorado
- Entendendo as VLANs convidadas para 802.1X em roteadores da Série MX no modo LAN aprimorado
- Entendendo as VLANs dinâmicas para 802.1X em roteadores da Série MX no modo LAN aprimorado
- Entendendo o fail fallback do servidor e a autenticação em roteadores da Série MX no modo LAN aprimorado
- Configuração da contabilidade RADIUS 802.1X em roteadores da Série MX no modo LAN aprimorado
- Configuração das configurações da interface 802.1X em roteadores da Série MX no modo LAN aprimorado
- Configuração do LLDP-MED em roteadores da Série MX no modo LAN aprimorado
- Configuração de LLDP em roteadores da Série MX no modo LAN aprimorado
- Configuração de falha de servidor em roteadores da Série MX no modo LAN aprimorado
- Entendendo a autenticação de portal cativo nos roteadores da Série MX
- Entendendo o tempo limite de sessão de autenticação nos roteadores da Série MX
- Fluxo de processo de autenticação para roteadores da Série MX no modo LAN aprimorado
- Especificando conexões de servidor RADIUS em um roteador da Série MX no modo LAN aprimorado
- Configuração da autenticação cativa do portal em roteadores da Série MX no modo LAN aprimorado
- Projetando uma página de login de autenticação de portal cativo em um roteador da Série MX
- Configuração do desvio estático mac da autenticação em roteadores da Série MX no modo LAN aprimorado
- Controle dos intervalos de sessão de autenticação em um roteador da Série MX no modo LAN aprimorado
- Configuração da autenticação MAC RADIUS em roteadores da Série MX no modo LAN aprimorado
- Exemplo: Configuração da autenticação MAC RADIUS em um roteador da Série MX
- Exemplo: Configuração da autenticação de portal cativo em um roteador da Série MX
- Exemplo: Conectando um servidor RADIUS para 802.1X a um roteador da Série MX
- Exemplo: Configurando o 802.1X em salas de conferência para fornecer acesso à Internet a visitantes corporativos em um roteador da Série MX
- Exemplo: Configuração do desvio de autenticação mac estático em um roteador da Série MX
- Exemplo: Aplicação de filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS em roteadores da Série MX
- play_arrow Descoberta de dispositivos
- play_arrow Segurança de nomes de domínio
- Visão geral do DNSSEC
- Configuração do valor de TTL para caching de servidor DNS
- Exemplo: Configuração do DNSSEC
- Exemplo: Configuração de domínios seguros e chaves confiáveis para DNSSEC
- Exemplo: Configuração de chaves para DNSSEC
- Visão geral do proxy de DNS
- Configurando o dispositivo como um proxy de DNS
- play_arrow Bandeiras de permissão
- acesso
- controle de acesso
- admin
- controle de administração
- todo
- claro
- configurar
- Controle
- campo
- firewall
- controle de firewall
- disquete
- flow-tap
- controle de fluxo de tap
- operação flow-tap
- operação de idp-profiler
- interface
- controle de interface
- manutenção
- rede
- espelhamento de sessão pgcp
- pgcp-session-mirroring-control
- repor
- reversão
- roteamento
- controle de roteamento
- segredo
- controle secreto
- segurança
- controle de segurança
- concha
- Snmp
- controle de snmp
- sistema
- controle do sistema
- traço
- trace-control
- vista
- configuração de visualização
- play_arrow Declarações de configuração e comandos operacionais
Nesta página
Acesso seguro à Web para gerenciamento remoto
Você pode gerenciar um dispositivo da Juniper Networks remotamente por meio da interface J-Web. Para permitir acesso seguro à Web, os dispositivos da Juniper Networks oferecem suporte a HTTP sobre Secure Sockets Layer (HTTPS). Você pode habilitar o acesso HTTP ou HTTPS em interfaces e portas específicas no dispositivo conforme necessário. Leia este tópico para obter informações.
Visão geral segura do acesso web
Você pode gerenciar um dispositivo da Juniper Networks remotamente por meio da interface J-Web. Para se comunicar com o dispositivo, a interface J-Web usa o Hypertext Transfer Protocol (HTTP). O HTTP permite acesso fácil à Web, mas sem criptografia. Os dados transmitidos entre o navegador da Web e o dispositivo por meio de HTTP são vulneráveis a interceptações e ataques. Para permitir acesso seguro à Web, os dispositivos da Juniper Networks oferecem suporte a HTTP sobre Secure Sockets Layer (HTTPS). Você pode habilitar o acesso HTTP ou HTTPS em interfaces e portas específicas, conforme necessário.
O dispositivo da Juniper Networks usa o protocolo Secure Sockets Layer (SSL) para fornecer gerenciamento seguro de dispositivos por meio da interface Web. A SSL usa uma tecnologia de chave público-privada que requer uma chave privada pareada e um certificado de autenticação para fornecer o serviço SSL. A SSL criptografa a comunicação entre seu dispositivo e o navegador da Web com uma chave de sessão negociada pelo certificado de servidor SSL.
Um certificado SSL inclui a identificação de informações como uma chave pública e uma assinatura feita por uma autoridade de certificado (CA). Ao acessar o dispositivo pelo HTTPS, um SSL autentica o servidor e o cliente e inicia uma sessão segura. Se as informações não corresponderem ou o certificado expirar, você não poderá acessar o dispositivo por meio de HTTPS.
Sem criptografia SSL, a comunicação entre seu dispositivo e o navegador é enviada ao ar livre e pode ser interceptada. Recomendamos que você habilite o acesso HTTPS em suas interfaces WAN.
O acesso HTTP é habilitado por padrão nas interfaces de gerenciamento integradas. Por padrão, o acesso HTTPS é suportado em qualquer interface com um certificado de servidor SSL.
Consulte também
Gerando certificados SSL para acesso seguro à Web (firewalls da Série SRX)
Para gerar um certificado SSL usando o openssl
comando:
Gerando certificados SSL a serem usados para acesso seguro à Web (switch da Série EX)
Você pode configurar acesso seguro à Web para um switch da Série EX. Para permitir acesso seguro à Web, você deve gerar um certificado de Camada de Sockets Seguro (SSL) digital e, em seguida, habilitar o acesso HTTPS no switch.
Para gerar um certificado SSL:
Você pode usar a página de configuração J-Web para instalar o certificado SSL no switch. Para fazer isso, copie o arquivo que contém o certificado do sistema BSD ou Linux para o switch. Em seguida, abra o arquivo, copie seu conteúdo e cole-os na caixa de certificados na página de configuração de acesso seguro J-Web.
Você também pode usar a seguinte declaração de CLI para instalar o certificado SSL no switch:
[edit] user@switch# set security certificates local my-signed-cert load-key-file my-certificate.pem
Para obter mais informações sobre a instalação de certificados, veja Exemplo: Configuração do acesso seguro à Web.
Consulte também
Gerando automaticamente um certificado SSL auto-assinado
Para gerar um certificado SSL auto-assinado em dispositivos da Juniper Networks:
Geração manual de certificados SSL auto-assinados
Para gerar manualmente um certificado SSL auto-assinado em dispositivos da Juniper Networks:
Exclusão de certificados autoassinados (procedimento CLI)
Você pode excluir um certificado auto-assinado que é gerado automaticamente ou manualmente a partir do switch da Série EX. Ao excluir o certificado autoassinado gerado automaticamente, o switch gera um novo certificado autoassinado e o armazena no sistema de arquivos.
Para excluir o certificado gerado automaticamente e seu par-chave associado do switch:
content_copy zoom_out_mapuser@switch> clear security pki local-certificate system-generated
Para excluir um certificado gerado manualmente e seu par-chave associado do switch:
content_copy zoom_out_mapuser@switch> clear security pki local-certificate certificate-id certificate-id-name
Para excluir todos os certificados gerados manualmente e seus pares-chave associados do switch:
content_copy zoom_out_mapuser@switch> clear security pki local-certificate all
Entendendo certificados auto-assinados em switches da Série EX
Quando você inicia um switch de ethernet da Série EX da Juniper Networks com a configuração padrão de fábrica, o switch gera um certificado auto-assinado, permitindo acesso seguro ao switch através do protocolo Secure Sockets Layer (SSL). O protocolo de transferência de hipertexto sobre a camada de sockets seguros (HTTPS) e o gerenciamento de rede XML sobre a camada secure sockets (XNM-SSL) são os dois serviços que podem fazer uso dos certificados auto-assinados.
Os certificados auto-assinados não fornecem segurança adicional, assim como os gerados pelas Autoridades de Certificados (CAs). Isso ocorre porque um cliente não pode verificar se o servidor ao qual ele ou ela se conectou é o anunciado no certificado.
Os switches fornecem dois métodos para gerar um certificado autoassinado:
Geração automática
Neste caso, o criador do certificado é o switch. Um certificado autoassinado gerado automaticamente (também chamado de "gerado pelo sistema") é configurado no switch por padrão.
Após a inicialização do switch, ele verifica a presença de um certificado autoassinado gerado automaticamente. Se não encontrar um, o switch gera um e o salva no sistema de arquivos.
Um certificado auto-assinado que é gerado automaticamente pelo switch é semelhante a uma chave de host SSH. Ele é armazenado no sistema de arquivos, não como parte da configuração. Ele persiste quando o switch é reiniciado, e é preservado quando um
request system snapshot
comando é emitido.O switch usa o seguinte nome distinto para o certificado gerado automaticamente:
“ CN=<device serial number>, CN=system generated, CN=self-signed”
Se você excluir o certificado auto-assinado gerado pelo sistema no switch, o switch gera automaticamente um certificado autoassinado.
Geração manual
Neste caso, você cria o certificado auto-assinado para o switch. A qualquer momento, você pode usar a CLI para gerar um certificado autoassinado. Os certificados auto-assinados gerados manualmente são armazenados no sistema de arquivos, não como parte da configuração.
Os certificados auto-assinados são válidos por cinco anos a partir do momento em que são gerados. Quando expira a validade de um certificado auto-assinado gerado automaticamente, você pode deletá-lo do switch para que o switch gere um novo certificado autoassinado.
Certificados autoassinados gerados pelo sistema e certificados autoassinados gerados manualmente podem coexistir no switch.
Geração manual de certificados autoassinados em switches (procedimento CLI)
Os switches da Série EX permitem que você gere certificados autoassinados personalizados e os armazene no sistema de arquivos. O certificado gerado manualmente pode coexistir com o certificado autoassinado gerado automaticamente no switch. Para permitir um acesso seguro ao switch por SSL, você pode usar o certificado autoassinado gerado pelo sistema ou um certificado gerado manualmente.
Para gerar certificados autoassinar manualmente, você deve realizar as seguintes tarefas:
Gerando um par de chaves público-privado em switches
Um certificado digital tem um par de chave criptográfica associado que é usado para assinar o certificado digitalmente. O par de chaves criptográficas compreende uma chave pública e uma chave privada. Ao gerar um certificado autoassinado, você deve fornecer um par de chaves público-privado que pode ser usado para assinar o certificado autoassinado. Portanto, você deve gerar um par de chaves público-privado antes de poder gerar um certificado autoassinado.
Para gerar um par de chaves público-privado:
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
Opcionalmente, você pode especificar o algoritmo de criptografia e o tamanho da chave de criptografia. Se você não especificar o algoritmo de criptografia e o tamanho da chave da criptografia, os valores padrão são usados. O algoritmo de criptografia padrão é RSA, e o tamanho padrão da chave de criptografia é de 1024 bits.
Após a geração do par chave público-privado, o switch exibe o seguinte:
generated key pair certificate-id-name, key size 1024 bits
Gerando certificados autoassinados em switches
Para gerar o certificado auto-assinado manualmente, inclua o nome de ID do certificado, o assunto do nome distinto (DN), o nome de domínio, o endereço IP do switch e o endereço de e-mail do titular do certificado:
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
O certificado gerado por você está armazenado no sistema de arquivos do switch. A ID do certificado que você especificou ao gerar o certificado é um identificador exclusivo que você pode usar para habilitar os serviços HTTPS ou XNM-SSL.
Para verificar se o certificado foi gerado e carregado corretamente, entre no show security pki local-certificate
comando operacional.
Exemplo: Configuração do acesso seguro à Web
Este exemplo mostra como configurar o acesso seguro à Web em seu dispositivo.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Você pode habilitar o acesso HTTPS em interfaces especificadas. Se você habilitar o HTTPS sem especificar uma interface, o HTTPS será habilitado em todas as interfaces.
Visão geral
Neste exemplo, você importa o certificado SSL que você gerou como uma chave nova e privada no formato PEM. Em seguida, você habilita o acesso HTTPS e especifica o certificado SSL a ser usado para autenticação. Por fim, você especifica a porta como 8443 em que o acesso HTTPS deve ser habilitado.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set security certificates local new load-key-file /var/tmp/new.pem set system services web-management https local-certificate new port 8443
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar o acesso seguro à Web em seu dispositivo:
Importe o certificado SSL e a chave privada.
content_copy zoom_out_map[edit security] user@host# set certificates local new load-key-file /var/tmp/new.pem
Habilite o acesso HTTPS e especifique o certificado e a porta SSL.
content_copy zoom_out_map[edit system] user@host# set services web-management https local-certificate new port 8443
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security certificates { local { new { "-----BEGIN RSA PRIVATE KEY-----\nMIICXQIBAAKBgQC/C5UI4frNqbi qPwbTiOkJvqoDw2YgYse0Z5zzVJyErgSg954T\nEuHM67Ck8hAOrCnb0YO+SY Y5rCXLf4+2s8k9EypLtYRw/Ts66DZoXI4viqE7HSsK\n5sQw/UDBIw7/MJ+OpA ... KYiFf4CbBBbjlMQJ0HFudW6ISVBslONkzX+FT\ni95ddka6iIRnArEb4VFCRh+ e1QBdp1UjziYf7NuzDx4Z\n -----END RSA PRIVATE KEY-----\n-----BEGIN CERTIFICATE----- \nMIIDjDCCAvWgAwIBAgIBADANBgkqhkiG9w0BAQQ ... FADCBkTELMAkGA1UEBhMCdXMx\nCzAJBgNVBAgTAmNhMRIwEAYDVQQHEwlzdW5ue HB1YnMxDTALBgNVBAMTBGpucHIxJDAiBgkqhkiG\n9w0BCQEWFW5iaGFyZ2F2YUB fLUYAnBYmsYWOH\n -----END CERTIFICATE-----\n"; ## SECRET-DATA } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Verificando a configuração de um certificado SSL
Propósito
Verifique a configuração do certificado SSL.
Ação
A partir do modo operacional, entre no show security
comando.
Verificando uma configuração de acesso seguro
Propósito
Verifique a configuração de acesso seguro.
Ação
A partir do modo operacional, entre no show system services
comando. A saída de amostra a seguir exibe os valores de amostra para acesso seguro à Web:
[edit] user@host# show system services web-management { http; https { port 8443; local-certificate new; } }