Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Validação baseada em certificados usando autenticação EAP-TLS (procedimento CLI)

Visão geral

Nesta configuração, você usa o nome de usuário e a senha para autenticação externa do usuário (por servidor RADIUS) e usa o método de autenticação EAP-TLS para validar os certificados de usuário.

Presumimos que você tenha concluído a configuração básica de seus firewalls da Série SRX, incluindo interfaces, zonas e políticas de segurança, conforme ilustrado na Figura 1.

Figura 1: Topologia Topology

Para obter informações sobre pré-requisitos, consulte os requisitos do sistema.

Garanta que você tenha uma infraestrutura de chave pública (PKI) configurada como a autenticação de back-end. Nesse caso, você precisa instalar o certificado raiz do CA em cada cliente, bem como um certificado específico do usuário em cada dispositivo cliente. Observe que a autenticação local não é suportada neste cenário.

Você deve garantir que o firewall da Série SRX use um certificado assinado ou um certificado auto-assinado em vez do certificado padrão gerado pelo sistema. Antes de começar a configurar o Juniper Secure Connect, você deve vincular o certificado ao firewall da Série SRX executando o seguinte comando:

Por exemplo:

Onde SRX_Certificate está o certificado auto-assinado.

Configuração rápida da CLI

Para configurar rapidamente este exemplo em seus firewalls da Série SRX, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede e, em seguida, copie e cole os comandos na CLI no nível de hierarquia [editar].

Procedimento passo a passo

Para configurar configurações de VPN usando a interface da linha de comando:

  1. Faça login no firewall da Série SRX usando a interface de linha de comando (CLI).
  2. Insira o modo de configuração.
  3. Configure UMA VPN de acesso remoto.

    Para implantar o Juniper Secure Connect, você deve criar um certificado auto-assinado e vincular o certificado ao Firewall da Série SRX. Para obter mais informações, veja como preparar a configuração do Juniper Secure Connect.

    Configuração do IKE:

    1. Configure a proposta do IKE.

      Configure rsa-signatures como método de autenticação para configurar a autenticação baseada em certificados.

      Habilite essa opção para o processo de autenticação. O IKEv2 requer EAP para autenticação do usuário. O firewall da Série SRX não pode funcionar como um servidor EAP. Um servidor RADIUS externo deve ser usado para IKEv2 EAP para fazer a autenticação EAP. O SRX atuará como um autenticador de passagem que transmite mensagens EAP entre o cliente Juniper Secure Connect e o servidor RADIUS.

      O EAP-TLS é habilitado por padrão quando você seleciona o método de autenticação baseado em certificados.

      Defina o método de autenticação de propostas do IKE, o grupo Diffie-Hellman e o algoritmo de autenticação.
      Veja a proposta (Security IKE).
    2. Configure a política de IKE.

      Defina o modo de política da Fase 1 do IKE, referência à proposta do IKE e ao método de autenticação de políticas da Fase 1 do IKE.

      Consulte a política (Security IKE).
      Para carregar um certificado local, especifique um certificado local específico usando o set security ike policy policy-name certificate local-certificate certificate-id comando quando o dispositivo local tiver vários certificados carregados. Você pode selecionar um dos certificados locais já assinados externamente. Neste exemplo, SRX_Certificate é o certificado local existente carregado para JUNIPER_SECURE_CONNECT a política.
      Se você não tiver um certificado local existente, você pode criar um seguindo essas etapas:
      Depois de criar um certificado local, você pode anexar o certificado a uma política de IKE usando o set security ike policy policy-name certificate local-certificate certificate-id comando.
    3. Configure opções de gateway IKE. Veja a dinâmica.

      Se você não configurar os valores de DPD e as informações da versão, o Junos OS atribui o valor padrão para essas opções. Veja a detecção de peer morto.

      Configure o endereço IP da interface externa para que os clientes se conectem. Você deve inserir este mesmo endereço IP (neste exemplo: https://192.0.2.0) para o campo de Endereço gateway no aplicativo Juniper Secure Connect. Veja o gateway.

    Configuração do IPsec:

    1. Configure a proposta do IPsec.
      Especifique o protocolo de proposta de fase 2 do IPsec, o algoritmo de criptografia e outras opções de fase 2.
      Veja a proposta (Security IPsec).
    2. Configure a política IPsec.
      • Especifique o IPsec fase 2 PFS para usar o grupo Diffie-Hellman 19.
      • Especifique a referência da proposta da Fase 2 do IPsec.
      Consulte a política (Security IPsec).

    Configuração de VPN IPsec:

    1. Configure parâmetros de VPN IPsec. Consulte vpn (Segurança).
    2. Configure seletores de tráfego VPN. Consulte o seletor de tráfego.
  4. Configure as opções de cliente do usuário remoto.
    1. Configure o perfil de acesso remoto. Veja o acesso remoto.
    2. Configure a configuração do cliente de acesso remoto. Consulte a configuração do cliente.

    A Tabela 1 resume as opções de configurações remotas do usuário.

    Tabela 1: opções de configurações remotas do usuário

    Configurações remotas do usuário

    Descrição

    modo de conexão

    Para estabelecer a conexão do cliente manualmente ou automaticamente, configure a opção apropriada.

    • Se você configurar a opção manual e, em seguida, no aplicativo Juniper Secure Connect, para estabelecer uma conexão, você deve clicar no botão de alternar ou selecionar Conexão > Conectar a partir do menu.

    • Se você configurar sempre a opção, o Juniper Secure Connect estabelece automaticamente a conexão.

    Limitação conhecida:

    Dispositivo Android: se você usar ou selecionar Sempre, a configuração é baixada do primeiro dispositivo SRX usado. Se a primeira configuração de firewall da Série SRX mudar ou se você se conectar a um novo dispositivo SRX, a configuração não será baixada para o aplicativo Juniper Secure Connect.

    Isso significa que, uma vez que você se conecta no modo Always usando o dispositivo Android, quaisquer alterações de configuração no Firewall da Série SRX não fazem efeito no Juniper Secure Connect.

    detecção de dead-peer

    A detecção de peer morto (DPD) é habilitada por padrão para permitir que o cliente detecte se o firewall da Série SRX é alcançável e, se o dispositivo não for acessível, desabiibilize a conexão até que a acessibilidade seja restaurada.

    perfil padrão

    Se você configurar um perfil de conexão VPN como um perfil padrão, então você deve inserir apenas o endereço de gateway no aplicativo Juniper Secure Connect. É opcional inserir o nome real no aplicativo Juniper Secure Connect, já que o aplicativo seleciona automaticamente o perfil padrão como nome do reino. Neste exemplo, insira ra.example.com no campo de endereço de gateway do aplicativo Juniper Secure Connect.

    Nota:

    A partir do Junos OS Release 23.1R1, ocultamos a opção default-profile no nível [edit security remote-access] de hierarquia. Em versões antes do Junos OS Release 23.1R1, você usa essa opção para especificar um dos perfis de acesso remoto como o perfil padrão no Juniper Secure Connect. Mas, com mudanças no formato de nomes de perfil de acesso remoto, não precisamos mais da opção default-profile .

    Preterimos default-profile a opção — em vez de removê-la imediatamente — para fornecer compatibilidade reversa e uma chance de fazer sua configuração existente estar em conformidade com a configuração alterada. Você receberá uma mensagem de aviso se continuar a usar a opção default-profile em sua configuração. No entanto, as implantações existentes não são afetadas se você modificar a configuração atual. Veja o perfil padrão (Juniper Secure Connect).
  5. Configure o gateway local.
    1. Crie um pool de endereços para atribuição de IP dinâmica do cliente. Consulte a atribuição de endereço (Acesso).

      • Digite o endereço de rede que você usa para a atribuição de endereços.

      • Insira seu endereço de servidor DNS. Insira os detalhes do servidor WINS, se necessário. Crie a faixa de endereço para atribuir endereços IP aos clientes.

      • Insira o nome e os limites inferiores e superiores.

    2. Crie um perfil de acesso.

      Para autenticação externa de usuários, forneça o Endereço IP radius server, o Radius Secret e o endereço de origem para que as comunicações de raio sejam originadas. Configure o raio para a ordem de autenticação.

    3. Configure atributos de infraestrutura de chave pública (PKI). Veja pki.
    4. Crie um perfil de encerramento de SSL. O encerramento de SSL é um processo em que os firewalls da Série SRX atuam como um servidor proxy SSL e encerra a sessão SSL do cliente. Digite o nome do perfil de encerramento de SSL e selecione o certificado de servidor que você usa para o encerramento de SSL nos firewalls da Série SRX. O certificado do servidor é um identificador de certificado local. Os certificados de servidor são usados para autenticar a identidade de um servidor.
    5. Crie um perfil de VPN SSL. Ver tcp-encap
    6. Crie políticas de firewall.
      Crie a política de segurança para permitir o tráfego da zona de confiança até a zona vpn.
      Crie a política de segurança para permitir o tráfego da zona vpn até a zona de confiança.
  6. Configure as informações da interface Ethernet.

    Configure a interface st0 com o conjunto familiar como inet.

  7. Configure zonas de segurança.
  8. A configuração de acesso remoto com usuário remoto e gateway local é configurada com sucesso.
  9. Lance o aplicativo Juniper Secure Connect e forneça o mesmo endereço IP que você configurou para endereço IP externo no campo de Endereço gateway no aplicativo Juniper Secure Connect.

    Neste exemplo, você configurou https://192.0.2.0/ como o endereço IP de interface externa para os clientes se conectarem. Você deve inserir este mesmo endereço IP (https://192.0.2.0/) para o campo de Endereço gateway no aplicativo Juniper Secure Connect.

Resultado

A partir do modo operacional, confirme sua configuração entrando no show security, show accesse show security pki comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Quando terminar de configurar o recurso em seu dispositivo, insira o commit a partir do modo de configuração.

Documentação relacionada