Validação baseada em certificados usando autenticação EAP-TLS

Após fazer login com sucesso, você pousa na página De Configurações Básicas. A Figura 2 mostra um exemplo da página de destino.

1. Depois de clicar em VPN IPsec, a página de VPN IPsec aparece. A Figura 3 mostra um exemplo da página vpn IPsec.

   Figura 3: Página VPN IPsec

2. No canto direito da página, selecione Criar VPN > acesso remoto > Juniper Secure Connect para criar a configuração de VPN IPsec para o Juniper Secure Connect.

   A mensagem de aviso a seguir aparece:

   Figura 4: Mensagem de aviso para gerar e vincular certificado autoassinado

   Como mencionado na mensagem de aviso, crie um certificado autoassinado e vincule o certificado ao firewall da Série SRX. Para obter mais informações, veja Preparando a configuração do Juniper Secure Connect.

   Para obter informações detalhadas sobre a criação de uma VPN de acesso remoto, consulte Crie uma VPN de acesso remoto — Juniper Secure Connect.

3. Navegue novamente até a VPN > rede > VPN IPsec e, no canto direito da página, selecione Criar VPN > acesso remoto > Juniper Secure Connect para criar a configuração de VPN IPsec para o Juniper Secure Connect. A página Criar acesso remoto (Juniper Secure Connect) é exibida. A Figura 5 mostra um exemplo para criar VPN de acesso remoto.

   Figura 5: Crie VPN — Acesso remoto

   A Figura 6 mostra um exemplo da página Criar acesso remoto com método de autenticação baseado em certificados.

   Figura 6: Crie uma página de acesso remoto para método de autenticação baseado em certificados

1. Insira o nome da conexão de acesso remoto (este é, o nome que será exibido no nome do reino dos usuários finais no aplicativo Juniper Secure Connect) e uma descrição.

2. O modo de roteamento é definido para Seletor de tráfego (Inserção de rota automática) por padrão.

3. Selecione o método de autenticação. Para este exemplo, vamos selecionar certificados com base na lista de quedas.

4. Selecione Sim para criar a política de firewall automaticamente usando a opção De política de firewall de criação automática.

A Figura 8 mostra um exemplo da página do Usuário Remoto.

Configure o cliente do usuário remoto selecionando as opções na página do usuário remoto e, em seguida, clicando em OK :

A Tabela 1 resume as opções de configurações remotas do usuário.

Tabela 1: Opções de configurações remotas do cliente do usuário

Configurações remotas do cliente do usuário	Descrição
Perfil padrão	O perfil padrão é habilitado por padrão. Se você não quiser que esse perfil seja o perfil padrão, clique no botão de alternar. Se você habilitar o perfil padrão para o perfil de conexão vpn, o Juniper Secure Connect seleciona automaticamente o perfil padrão como nome de reino (neste exemplo: https://12.12.12.12/). Neste caso, é opcional inserir o nome realm no Juniper Secure Connect. Se você desativar o perfil padrão do perfil de conexão vpn, você deve inserir o nome do reino junto com o endereço de gateway (neste exemplo: https://12.12.12.12/JUNIPER_SECURE_CONNECT) no Juniper Secure Connect. Nota: A partir da versão Junos OS 23.1R1, o perfil padrão é preterido na J-Web. No entanto, na CLI — em vez de removê-la imediatamente — fornecemos compatibilidade retrógrada e uma chance de fazer com que sua configuração existente esteja em conformidade com a configuração alterada. Você receberá uma mensagem de aviso se continuar a usar a opção de perfil padrão em sua configuração. No entanto, as implantações existentes não serão afetadas se você modificar a configuração atual usando CLI. Veja o perfil padrão (Juniper Secure
Modo de conexão	Para estabelecer a conexão do cliente manualmente ou automaticamente, selecione a opção apropriada. Se você selecionar o Manual e depois no aplicativo Juniper Secure Connect para estabelecer uma conexão, clique no botão de alternar ou selecione Conexão > Conecte no menu. Se você selecionar Sempre, o Juniper Secure Connect estabelece automaticamente a conexão. Limitação conhecida: Dispositivo Android: se você usar ou selecionar Sempre, então a configuração é baixada do primeiro dispositivo SRX usado. Se a primeira configuração de firewall da Série SRX mudar ou se você se conectar a um novo dispositivo SRX, a configuração não será baixada para o aplicativo Juniper Secure Connect. Isso significa que uma vez que você se conecta no modo Always usando o dispositivo Android, qualquer mudança de configuração no firewall da Série SRX não surtiu efeito no Juniper Secure Connect.
SSL VPN	Para permitir o suporte à conexão SSL VPN do aplicativo Juniper Secure Connect aos firewalls da Série SRX, clique no botão de alternar. Ao habilitar a VPN SSL, o cliente tem a flexibilidade de conectar os firewalls da Série SRX. Por padrão, a VPN SSL está habilitada.
Autenticação biométrica	Essa opção é desabilitada por padrão. Se você habilitar essa opção, ao clicar em conectar-se no Juniper Secure Connect, o Juniper Secure Connect exibe um prompt de autenticação. Essa opção permite que o usuário proteja suas credenciais usando o suporte de autenticação biométrica integrado do sistema operacional.
Detecção de peer morto	A detecção de peer morto (DPD) é habilitada por padrão para permitir que o cliente detecte se o firewall da Série SRX não for acessível, desativar a conexão até que a acessibilidade seja restaurada.
Certificados	Essa opção é habilitada por padrão para configurar opções de certificado. Aviso de expiração — essa opção é habilitada por padrão. Quando habilitado, você recebe aviso de expiração de certificado no cliente Secure Connect quando o certificado está prestes a expirar. Intervalo de aviso — Digite o intervalo em que o aviso é exibido em dias Pin Req Por Conexão — Essa opção é habilitada por padrão. Quando habilitado, você deve inserir o pino de certificado para cada conexão.
EAP-TLS	O EAP-TLS é habilitado por padrão.
Logotipo do Windows	Essa opção permite que os usuários façam o logotipo do sistema Windows local por meio de um túnel VPN já estabelecido (usando o Windows Pre-Logon), para que ele seja autenticado para o domínio central do Windows ou Active Directory.

A Figura 9 mostra um exemplo das configurações de configuração de gateway local.

1. Se você habilitar o Gateway estiver por trás do NAT, uma caixa de texto será exibida. Na caixa de texto, digite o endereço IP NAT. Oferecemos suporte apenas a endereços IPv4. O endereço NAT é o endereço externo.

2. Insira uma ID IKE no formato user@hostname.com . Por exemplo, abc@xyz.com.

3. No campo interface externa , selecione o endereço IP para os clientes se conectarem. Você deve inserir este mesmo endereço IP (neste exemplo: https://12.12.12.12/) para o campo de Endereço gateway no aplicativo Juniper Secure Connect.

   Se você habilitar o Gateway por trás do NAT, o endereço IP NAT se tornará o endereço de gateway.

4. Na lista de quedas da Interface de Túnel , selecione uma interface para vinculá-la à VPN baseada em rota. Alternativamente, clique em Adicionar. Se você clicar em Adicionar, a página Criar interface de túnel aparecerá.

   A Figura 10 mostra um exemplo da página Criar interface de túnel.

   Figura 10: Crie uma página de interface de túnel

   O próximo número de interface lógica ST0 disponível é exibido no campo da Unidade de Interface e você pode inserir uma descrição para esta interface. Selecione a zona para adicionar essa interface de túnel. Se a política de firewall de criação automática (em Criar página de acesso remoto) for definida como Sim, a política de firewall usa essa zona. Clique em OK.

5. No campo de certificados locais , selecione um de seus certificados locais já assinados externamente. Clique em Adicionar para adicionar um novo certificado local ou clique em Importar para importar o certificado local.

   A Figura 11 mostra apenas um exemplo de configuração.

   Figura 11: Gerar página de certificado para certificado local

6. Para o certificado ca, no campo CA/Grupo confiável , selecione um dos seus certificados de CA já assinados externamente, incluindo o CA/Grupo confiável correspondente. Se você não tiver nenhum desses, clique em Adicionar perfil de CA e preencha os valores compatíveis com o seu ambiente. A Figura 12 mostra um exemplo de Adicionar página de perfil de CA.

   Figura 12: ADICIONAR página DE PERFIL DO CA

7. No menu suspenso da autenticação do usuário , você pode selecionar o perfil de acesso existente ou clicar em Adicionar para criar um novo perfil de acesso. Se você clicar em Adicionar, a janela criar o perfil de acesso aparece.

   A Figura 13 mostra um exemplo da página Criar perfil de acesso.

   Figura 13: Crie uma página de perfil de acesso

   Digite o nome do perfil de acesso. Na lista de retirada de atribuição de endereços , selecione um pool de endereços ou clique em Criar grupo de endereços. Se você clicar em Criar grupo de endereços, a página criar pool de endereços será exibida.

   A Figura 14 mostra um exemplo da página de pool de endereços Criar.

   Figura 14: Crie a página do grupo de endereços

   • Digite os detalhes do pool de IP local que está na política de VPN para os clientes. Digite um nome para o pool de endereços IP.

   • Digite o endereço de rede que você usa para a atribuição de endereços.

   • Insira seu endereço de servidor DNS. Insira os detalhes do servidor WINS, se necessário. Agora clique no ícone adicionar (+) para criar a faixa de endereços para atribuir endereços IP aos clientes.

   • Digite o nome e os limites mais baixos e superiores. Depois de inserir os detalhes, clique em OK.

   Selecione a caixa de verificação RADIUS , onde todos os detalhes de autenticação são armazenados em um servidor de raio externo.

   • Clique no ícone adicionar (+) para configurar os detalhes do servidor de raio. Veja a Figura 15.

     Figura 15: Crie a página do servidor RADIUS

   • Digite o endereço IP do Radius Server, o Radius Secret e o endereço fonte para que as comunicações de raio sejam originadas. Clique em OK.

     Na Ordem de Autenticação, da lista de quedas da Ordem 1 selecione RADIUS. Clique em OK para concluir a configuração do perfil de acesso.

     A Figura 16 mostra um exemplo da página Criar perfil de acesso.

     Figura 16: Criar página de perfil de acesso

8. Na lista de quedas do perfil de VPN SSL , selecione um perfil existente ou clique em Adicionar para criar um novo perfil de VPN SSL. Se você clicar em Adicionar, a página de perfil de VPN Add SSL aparece.

   A Figura 17 mostra um exemplo da página de perfil de VPN Add SSL.

   Figura 17: Adicionar página de perfil de VPN SSL

   Na página de perfil de VPN SSL Add , você pode configurar o perfil de VPN SSL. Insira o nome do perfil de VPN SSL no campo Name e habilite o registro usando o alternância, se necessário. No campo de perfil de rescisão de SSL , selecione o perfil de rescisão de SSL da lista de quedas. A rescisão de SSL é um processo em que os firewalls da Série SRX atuam como um servidor proxy SSL, e encerra a sessão de SSL do cliente. Se você quiser criar um novo perfil de rescisão de SSL, clique em Adicionar. A página de perfil de rescisão do Create SSL aparece.

   A Figura 18 mostra um exemplo da página de perfil de rescisão do SSL.

   Figura 18: Crie a página de perfil de terminação SSL

   • Digite o nome do perfil de terminação SSL e selecione o certificado de servidor que você usa para a rescisão de SSL nos firewalls da Série SRX. Clique em Adicionar para adicionar um novo certificado de servidor ou clique em Importar para importar o certificado do servidor. O certificado do servidor é um identificador de certificado local. Os certificados de servidor são usados para autenticar a identidade de um servidor.

   • Clique em OK.

9. A opção de tráfego NAT de origem é habilitada por padrão. Quando o tráfego NAT de origem é habilitado, todo o tráfego do aplicativo Juniper Secure Connect é NATed para a interface selecionada por padrão. Clique no botão de alternar para desativar a opção de tráfego NAT de origem. Se a opção estiver desabilitada, você deve garantir que tenha uma rota da sua rede apontando para os firewalls da Série SRX para lidar corretamente com o tráfego de devolução.

10. Em Redes protegidas, clique no ícone adicionar (+) para selecionar as redes às quais o aplicativo Juniper Secure Connect pode se conectar.

    A Figura 19 mostra um exemplo da página Criar redes protegidas.

    Figura 19: Criar página de redes protegidas

    Por padrão, qualquer rede 0.0.0.0/0 é permitida. Se você configurar uma rede específica, o tunelamento dividido para o aplicativo Juniper Secure Connect será habilitado. Se você reter o valor padrão, você pode restringir o acesso às suas redes definidas ajustando a política de firewall da rede do cliente. Clique em OK e as redes selecionadas estão agora na lista de redes protegidas. Clique em OK para concluir a configuração local do gateway.

    A Figura 20 mostra um exemplo de conclusão bem-sucedida da configuração de acesso remoto com usuário remoto e gateway local.

    Figura 20: Configuração completa de acesso remoto

    Configurações de IKE e configurações de IPsec são opções avançadas. A J-Web já está configurada com valores padrão para os parâmetros IKE e IPsec. Não é obrigatório configurar essas configurações.

A Figura 21 destaca a URL que o usuário remoto deve entrar no campo de endereços Gateway no aplicativo Juniper Secure Connect para estabelecer conexão de acesso remoto.

1. Clique em Salvar para concluir a configuração de VPN Juniper Secure Connect e a política associada se você tiver selecionado a opção de criação de políticas automáticas.

2. Clique no botão Commit destacado (no canto superior direito da página ao lado do Botão de Feedback) para confirmar a configuração.