Cumplimiento de prelogon (procedimiento de CLI)
Visión general
La comprobación de cumplimiento de prelogon mediante políticas de cumplimiento de prelogon se realiza antes de la autenticación de usuario. El propósito de estas políticas de cumplimiento es validar el contexto actual del punto de conexión según los criterios de cumplimiento establecidos por su organización. Usted autoriza el acceso según estas políticas de cumplimiento.
Como administrador, configura un conjunto de reglas en el firewall serie SRX para permitir o rechazar un punto de conexión antes de establecer una conexión VPN de acceso remoto. Aquí el punto de conexión hace referencia al cliente o al host en el que está instalada la aplicación Secure Connect. Puede crear reglas basadas en las plataformas de clientes compatibles como Windows, macOS, Android e iOS. Puede usar varios otros criterios de coincidencia, como id. de dispositivo, nombre de host, nombre de dominio ms y nombre de grupo de trabajo de ms para los criterios de coincidencia.
El firewall de la serie SRX procesa estas reglas según ciertos criterios de evaluación. Consulte los criterios de evaluación de cumplimiento (Juniper Secure Connect) para obtener más detalles sobre los criterios de evaluación. Para obtener más detalles sobre el nombre de la regla de cumplimiento, el término nombre de la regla, los criterios de coincidencia y la acción, consulte cumplimiento (Juniper Secure Connect).
Configuración de reglas de cumplimiento de prelogon
Consideremos las siguientes reglas mencionadas en la tabla 1 para esta tarea de configuración:
Nombre de término | de la regla de cumplimiento | Criterios de coincidencia (Valores) |
Acción |
---|---|---|---|
Obediente | SecureConnect | Plataforma
|
Rechazar |
Desarmado | Deviceid
|
Rechazar | |
BYOD | Deviceid
|
Aceptar | |
Dispositivos corporativos |
|
Aceptar |
Para configurar reglas de cumplimiento de prelogon mediante la interfaz de línea de comandos:
-
Inicie sesión en el firewall de la serie SRX con la interfaz de línea de comandos (CLI).
-
Configure VPN de acceso remoto en modo de configuración de túnel completo. Consulte uno de los siguientes procedimientos basados en el método de autenticación utilizado:
-
Consulte las reglas de cumplimiento del prelogon como se muestra en la tabla 1 para configurar las reglas en el firewall de la serie SRX.
-
Configurar la política Compliant de cumplimiento de prelogon a
[edit security remote-access]
nivel jerárquico:-
Con la regla de SecureConnect términos y sus criterios de coincidencia y acción,
[edit security remote-access] user@host# set compliance pre-logon Compliant term SecureConnect match platform windows app-version less-than 23.4.13.14.29669 user@host# set compliance pre-logon Compliant term SecureConnect match platform macos app-version less-than 23.3.4.70.29996 user@host# set compliance pre-logon Compliant term SecureConnect action reject
En esta regla de término, para la versión de la aplicación Juniper Secure Connect especificada para puntos de conexión de Windows y macOS, la conexión se rechazará. Para conocer la versión de la aplicación, consulte la Guía del usuario de Juniper Secure Connect para conocer el punto de conexión específico según el sistema operativo compatible.
-
Con la regla de OS términos y sus criterios de coincidencia y acción,
[edit security remote-access] user@host# set compliance pre-logon Compliant term OS match platform windows os-version less-than 10.21H2.19044.2604 user@host# set compliance pre-logon Compliant term OS match platform macos os-version less-than 12.5.1 user@host# set compliance pre-logon Compliant term OS action reject
En esta regla de término, para las versiones del sistema operativo especificadas para los puntos de conexión de Windows y macOS, la conexión se rechazará.
-
Con la regla de Decommissioned términos y sus criterios de coincidencia y acción,
[edit security remote-access] user@host# set compliance pre-logon Compliant term Decommissioned match deviceid c8163be5d7077d35989e0b0e6b9271bfa53003e4251a24e588c10302c4972123 user@host# set compliance pre-logon Compliant term Decommissioned action reject
En esta regla de término, para el ID de dispositivo especificado, la conexión se rechazará. Para obtener el ID del dispositivo, consulte laGuía del usuario de Juniper Secure Connect
-
Con la regla de BYOD términos y sus criterios de coincidencia y acción,
[edit security remote-access] user@host# set compliance pre-logon Compliant term BYOD match deviceid c8163be5d7077d35989e0b0e6b9271bfa5312fa2251a24e588c10302c4903kd2 user@host# set compliance pre-logon Compliant term BYOD action accept
En esta regla de términos, para el ID de dispositivo especificado, se aceptará la conexión. Para conocer el ID del dispositivo, consulte la Guía del usuario de Juniper Secure Connect
-
Con la regla de CorpDevices términos y sus criterios de coincidencia y acción,
[edit security remote-access] user@host# set compliance pre-logon Compliant term CorpDevices match hostname device1 user@host# set compliance pre-logon Compliant term CorpDevices match hostname device2 user@host# set compliance pre-logon Compliant term CorpDevices match ms-domain example.net user@host# set compliance pre-logon Compliant term CorpDevices match deviceid c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e578c10302c4972aff user@host# set compliance pre-logon Compliant term CorpDevices match deviceid c8163be5d7077d35989e0b0e6b9271bfa5300fa2251a24e588c10302c4972124 user@host# set compliance pre-logon Compliant term CorpDevices action accept
En esta regla de términos, se aceptará la conexión para los nombres de host especificados, el nombre de dominio ms y el ID de dispositivo. Para conocer el ID del dispositivo, consulte laGuía del usuario de Juniper Secure Connect
-
-
Para cualquier otro criterio que no esté definido en esta regla Compliantde cumplimiento, es decir, cuando no se especifica ninguna otra regla de término para una regla inigualable, la acción predeterminada es
reject
. -
Una vez definidas las reglas de cumplimiento para una política de cumplimiento, adjunte la política de cumplimiento al perfil de acceso remoto, ra.example.com creado en el paso 2-
[edit security remote-access profile ra.example.com] user@host# set compliance pre-logon SecureConnect
-
Cuando termine de configurar la función en el dispositivo, ingrese confirmación desde el modo de configuración.
-
Según el caso de uso, puede crear varias políticas de cumplimiento como SecureConnect y adjuntar cada una de ellas a los perfiles de acceso remoto que cree. Asegúrese de que una política de cumplimiento esté asociada a un perfil de acceso remoto.
Estas funciones garantizan que la aplicación Juniper Secure Connect cumpla con los criterios de conexión con el firewall serie SRX, lo que proporciona medidas de seguridad mejoradas establecidas por el administrador.