Junos OS EnforcerとICシリーズUACアプライアンス間の通信を設定する
統合型アクセスコントロール(UAC)ネットワークでは、SRXシリーズファイアウォールがUAC環境に導入されると、Junos OS Enforcerと呼ばれます。SRXシリーズファイアウォールは、ICシリーズアプライアンスが提出する証明書を検証します。SRXシリーズファイアウォールとICシリーズアプライアンスは、相互認証を実行します。認証後、ICシリーズアプライアンスは、Junos OS Enforcerとして機能するために、ユーザーとリソースアクセスポリシー情報をSRXシリーズファイアウォールに送信します。
Junos OS EnforcerとICシリーズUACアプライアンス間の通信について
SRXシリーズファイアウォールをICシリーズUACアプライアンスに接続するように設定すると、SRXシリーズファイアウォールとICシリーズアプライアンスは、次のようにセキュアな通信を確立します:
-
SRXシリーズファイアウォールで複数のICシリーズデバイスがインフラネットコントローラとして設定されている場合、ラウンドロビンアルゴリズムにより、設定されたICシリーズデバイスのうち、アクティブなインフラネットコントローラが決定されます。その他はフェイルオーバーデバイスです。アクティブなインフラネットコントローラが動作しなくなった場合、アルゴリズムは、新しいアクティブなインフラネットコントローラを確立するように設定されている残りのICシリーズデバイスに再適用されます。
-
アクティブなICシリーズアプライアンスは、そのサーバー証明書をSRXシリーズファイアウォールに提示します。そのように設定されている場合、SRXシリーズファイアウォールは証明書を検証します。(サーバー証明書の検証は必須ではありませんが、追加のセキュリティ対策として、証明書を検証して追加の信頼層を実装できます)。
-
SRXシリーズファイアウォールとICシリーズアプライアンスは、独自のチャレンジ/レスポンス認証を使用して相互認証を実行します。セキュリティ上の理由から、パスワードはICシリーズアプライアンスに送信されるメッセージに含まれていません。
-
SRXシリーズファイアウォールによる認証に成功すると、ICシリーズアプライアンスはユーザー認証とリソースアクセスポリシー情報を送信します。SRXシリーズファイアウォールは、この情報を使用して、UACネットワークでJunos OS Enforcerとして機能します。
その後は、ICシリーズアプライアンスとJunos OS Enforcerは、SSL接続を介して相互に自由に通信できます。通信は、 Junos UAC Enforcer Protocol(JUEP)と呼ばれる独自のプロトコルによって制御されます。
Junos OS Enforcer と IC シリーズ UAC アプライアンスのクラスタ間の通信について
Junos OS Enforcerは、ICシリーズアプライアンスクラスターと呼ばれる高可用性構成で、複数のICシリーズUACアプライアンスと連携するように設定することができます。Junos OS Enforcerは、一度に1つのICシリーズアプライアンスとのみ通信します。他のICシリーズアプライアンスは、フェイルオーバーに使用されます。Junos OS Enforcerは、クラスタに追加した最初のICシリーズアプライアンスに接続できない場合、障害が発生したICシリーズアプライアンスへの接続を再試行します。その後、クラスタ内の他のICシリーズアプライアンスにフェイルオーバーします。接続が発生するまで、クラスタ内のICシリーズアプライアンスへの接続を試行し続けます。
Junos OS Enforcerは、Infranet Enforcerへの接続を確立できない場合、既存の認証テーブルのエントリーと統合アクセス制御(UAC)ポリシーをすべて保持し、指定したタイムアウトアクションを実行します。タイムアウトアクションには次のものが含まれます。
close- 既存のセッションを閉じ、それ以上のトラフィックをブロックします。これはデフォルトのオプションです。no-change- 既存のセッションを保持し、新しいセッションには認証を要求します。open- 既存のセッションを保持し、新しいセッションへのアクセスを許可します。
Junos OS EnforcerがICシリーズアプライアンスへの接続を再確立できるようになると、ICシリーズアプライアンスはJunos OS Enforcerに保存されている認証テーブルのエントリーとUACポリシーを、ICシリーズアプライアンスに保存されている認証テーブルのエントリーとポリシーと比較し、必要に応じて2つを調整します。
Junos OS Enforcerで設定されたICシリーズアプライアンスは、すべて同じICシリーズアプライアンスクラスターのメンバーである必要があります。
Junos OS EnforcerとICシリーズUACアプライアンス間の通信を設定する(CLI手順)
始める前に:
関連するJunos OSセキュリティポリシーでUACを有効にします。 Junos OS環境でUACを有効にする(CLI手順)を参照してください。
-
(オプション)ICシリーズアプライアンスのサーバー証明書に署名した認証局(CA)のプロファイルを作成し、CA証明書をSRXシリーズファイアウォールにインポートします。 例: CA 証明書とローカル証明書の手動ロードを参照してください。
IC シリーズ アプライアンスでユーザー ロール、認証および承認サーバー、認証レルムを設定して、ユーザーの認証と許可を構成します。
IC Series アプライアンスでリソースアクセスポリシーを構成して、保護されたリソースへのアクセスを許可または拒否するエンドポイントを指定します。
UAC導入でJunos OS Enforcerとして機能するようSRXシリーズファイアウォールを設定し、ICシリーズUACアプライアンスポリシーを適用するには、SRXシリーズファイアウォールが接続するICシリーズアプライアンスを指定する必要があります。
SRXシリーズファイアウォールをJunos OS Enforcerとして動作するよう設定するには、次の手順に従います。
-
SRXシリーズファイアウォールが接続するICシリーズアプライアンスを指定します。
-
ICシリーズアプライアンスのホスト名を指定するには:
user@host# set services unified-access-control infranet-controller hostname
-
ICシリーズアプライアンスのIPアドレスを指定するには:
user@host# set services unified-access-control infranet-controller hostname address ip-address
メモ:複数のICシリーズアプライアンスへのアクセスを設定する場合は、それぞれを個別に定義する必要があります。例えば:
user@host# set services unified-access-control infranet-controller IC1 user@host# set services unified-access-control infranet-controller IC2 user@host# set services unified-access-control infranet-controller IC3
user@host# set services unified-access-control infranet-controller IC1 address 10.10.10.1 user@host# set services unified-access-control infranet-controller IC2 address 10.10.10.2 user@host# set services unified-access-control infranet-controller IC3 address 10.10.10.3
すべてのICシリーズアプライアンスが同じクラスタのメンバーであることを確認します。
メモ:デフォルトでは、ICシリーズアプライアンスはポート11123を選択する必要があります。
-
ICシリーズアプライアンスが接続するJunos OSインターフェイスを指定します。
user@host# set services unified-access-control infranet-controller hostname interface interface-name
-
SRXシリーズファイアウォールがICシリーズアプライアンスとのセキュアな通信を開始するために使用するパスワードを指定します。
メモ:SRXシリーズファイアウォールでの統合型アクセスコントロール(UAC)の連絡間隔とタイムアウト値の変更は、SRXシリーズファイアウォールがICシリーズアプライアンスに次回再接続された後にのみ有効になります。
user@host# set services unified-access-control infranet-controller hostname password password
-
(オプション)SRXシリーズファイアウォールが証明書を検証するために必要な、ICシリーズアプライアンスのサーバー証明書に関する情報を指定します。
-
SRXシリーズファイアウォールがチェックするサーバー証明書のサブジェクトを指定するには:
user@host# set services unified-access-control infranet-controller hostname server-certificate-subject certificate-name
-
証明書に関連付けられている CA プロファイルを指定するには:
user@host# set services unified-access-control infranet-controller hostname ca-profile ca-profile
-
ICシリーズアプライアンスサーバー証明書は、中間CAによって発行できます。CA には、ルート CA と中間 CA の 2 種類があります。中間 CA はルート CA のセカンダリであり、公開キー基盤 (PKI) 階層内の他の CA に証明書を発行します。したがって、証明書が中間 CA によって発行されている場合は、証明書チェーン内の CA プロファイルの完全な一覧を指定する必要があります。
IPsecを使用したJunos OS Enforcerの実装について
IPsecを使用してJunos OS Enforcerとして機能するようSRXシリーズファイアウォールを設定するには、以下を実行する必要があります。
セキュリティ IKE ゲートウェイの下で構成された ID を含めます。ID は "gateway1.mycompany.com" などの文字列で、gateway1.mycompany.com は IKE ゲートウェイを区別します。(ID は、どのトンネル トラフィックが意図されているかを指定します)。
事前共有シードを含めます。これにより、フェーズ1クレデンシャル用のリモートユーザーの完全なIDから事前共有キーが生成されます。
RADIUS 共有シークレットを含めます。これにより、ICシリーズUACアプライアンスは、Junos OSインフラストラクチャエンフォーサーからの拡張認証(XAuth)用のRADIUSパケットを受け入れることができます。
ICシリーズアプライアンス、Odysseyアクセスクライアント、SRXシリーズファイアウォールの間でIPsecを設定する場合、ICシリーズアプライアンスからOdysseyアクセスクライアントまでサポートされているIKE(またはフェーズ1)プロポーザル方法またはプロトコル設定は次のとおりです。
IKEプロポーザル:
authentication-method pre-shared-keys(指定pre-shared-keysする必要があります)IKEポリシー:
mode aggressive(アグレッシブモードを使用する必要があります)pre-shared-key ascii-text key(ASCIIテキストの事前共有キーのみがサポートされます)
IKEゲートウェイ:ダイナミック
hostname identity(ゲートウェイ間で一意の ID を指定する必要があります)ike-user-type group-ike-id(指定group-ike-idする必要があります)xauth access-profile profile(指定xauthする必要があります)
以下は、ICシリーズアプライアンスからOdysseyアクセスクライアントでサポートされているIPsec(またはフェーズ2)プロポーザル方法またはプロトコル設定です。
IPsecプロポーザル:
protocol esp(指定espする必要があります)IPsec VPN:
establish-tunnels immediately(指定establish-tunnels immediatelyする必要があります)
IPsec VPNトンネルは、from-zone間セキュリティポリシーごとに1つだけサポートされます。これは、ICシリーズアプライアンスの制限です。
Junos OSのセキュリティポリシーにより、異なる送信元アドレス、宛先アドレス、またはその両方で区別された複数のポリシーを定義できます。ただし、ICシリーズアプライアンスでは、このような構成を区別することはできません。この方法で複数のポリシーを有効にすると、ICシリーズアプライアンスが不正なIKEゲートウェイを識別する可能性があります。
例:IPsec を使用した Junos OS エンフォーサーとしてのデバイスの設定(CLI)
IPsecを使用して、SRXシリーズファイアウォールをJunos OS Enforcerとして動作するよう設定するには、次の手順に従います。
以下の設定ステートメントを使用して、システムとsyslogの情報を設定します。
system { host-name test_host; domain-name test.mycompany.com; host-name test_host; root-authentication { encrypted-password "$ABC123"; } services { ftp; ssh; telnet; web-management { http { interface ge-0/0/0.0; } } } syslog { user * { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 5; license { autoupdate { url https://ae1.mycompany.com/junos/key_retrieval; } } ntp { boot-server 1.2.3.4; server 1.2.3.4; } }メモ:SRXシリーズファイアウォールでは、許可されるバックアップ設定の最大数の工場出荷時のデフォルトは5つです。したがって、1つのアクティブなコンフィギュレーションと最大5つのロールバックコンフィギュレーションを持つことができます。このバックアップ構成数を増やすと、ディスクのメモリ使用量が増加し、コミット時間が長くなります。
工場出荷時のデフォルトを変更するには、次のコマンドを使用します。
root@host# set system max-configurations-on-flash number root@host# set system max-configuration-rollbacks number
ここで、 max-configuration-on-flash はバックアップ設定をコンフィギュレーションパーティションに保存することを示し、 max-configuration-rollbacks はバックアップコンフィギュレーションの最大数を示します。
以下の設定ステートメントを使用してインターフェイスを設定します。
interfaces { ge-0/0/0 { unit 0 { family inet { address 10.64.75.135/16; } } } ge-0/0/1 { unit 0 { family inet { address 10.100.54.1/16; } } } ge-0/0/2 { unit 0 { family inet { 10.101.54.1/16; } } }以下の設定ステートメントを使用してルーティングオプションを設定します。
routing-options { static { route 0.0.0.0/0 next-hop 10.64.0.1; route 10.11.0.0/16 next-hop 10.64.0.1; route 172.0.0.0/8 next-hop 10.64.0.1; route 10.64.0.0/16 next-hop 10.64.0.1; } }以下の構成ステートメントを使用して、セキュリティー・オプションを構成します。
security { ike { traceoptions { file ike; flag all; } proposal prop1 { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy pol1 { mode aggressive; proposals prop1; pre-shared-key ascii-text "$ABC123"; } gateway gateway1 { ike-policy pol1; dynamic { hostname gateway1.mycompany.com; connections-limit 1000; ike-user-type group-ike-id; } external-interface ge-0/0/0; xauth access-profile infranet; } gateway gateway2 { ike-policy pol1; dynamic { hostname gateway2.mycompany.com; connections-limit 1000; ike-user-type group-ike-id; } external-interface ge-0/0/0; xauth access-profile infranet; } }次の構成ステートメントを使用して、IPsec パラメーターを構成します。
ipsec { proposal prop1 { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 86400; } policy pol1 { proposals prop1; } vpn vpn1 { ike { gateway gateway1; ipsec-policy pol1; } } vpn vpn2 { ike { gateway gateway2; ipsec-policy pol1; } } }以下の設定ステートメントを使用して画面オプションを設定します。
screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; queue-size 2000; timeout 20; } land; } } }以下の構成ステートメントを使用してゾーンを設定します。
zones { security-zone trust { tcp-rst; host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone zone101 { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } } }以下の構成ステートメントを使用して、UAC のポリシーを構成します。
policies { from-zone trust to-zone trust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone untrust { policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } policy default-deny { match { source-address any; destination-address any; application any; } then { permit; } } policy pol1 { match { source-address any; destination-address any; application any; } then { permit { tunnel { ipsec-vpn vpn1; } application-services { uac-policy; } } log { session-init; session-close; } } } } from-zone untrust to-zone trust { policy pol1 { match { source-address any; destination-address any; application any; } then { permit; log { session-init; session-close; } } } } from-zone trust to-zone zone101 { policy pol1 { match { source-address any; destination-address any; application any; } then { permit { tunnel { ipsec-vpn vpn2; } application-services { uac-policy; } } log { session-init; session-close; } } } policy test { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { deny-all; } } }以下の設定ステートメントを使用して、RADIUSサーバー認証アクセスを設定します。
access { profile infranet { authentication-order radius; radius-server { 10.64.160.120 secret "$ABC123"; } } }以下の構成ステートメントを使用して、UAC のサービスを構成します。
services { unified-access-control { infranet-controller IC27 { address 3.23.1.2; interface ge-0/0/0.0; password "$ABC123"; } infranet-controller prabaIC { address 10.64.160.120; interface ge-0/0/0.0; password "$ABC123"; } certificate-verification optional; traceoptions { flag all; } } }