Beruflich Dokumente
Kultur Dokumente
Volumen 5:
Redes privadas virtuales
www.juniper.net
Nmero de pieza: 530-017771-01-SP, Revisin 02
Copyright Notice
Copyright 2007 Juniper Networks, Inc. All rights reserved.
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
ii
Contenido
Acerca de este volumen
vii
19
Contenido
iii
49
Opciones criptogrficas.................................................................................. 50
Opciones criptogrficas punto a punto ....................................................50
Opciones VPN de acceso telefnico ......................................................... 57
Tneles basados en directivas y en rutas ....................................................... 64
Flujo de paquetes: VPN punto a punto ........................................................... 66
Directrices para la configuracin de tneles ................................................... 72
Consideraciones sobre seguridad en redes privadas virtuales basadas en
rutas ........................................................................................................ 74
Ruta Null.................................................................................................. 74
Lnea de acceso telefnico o arrendada ................................................... 76
Conmutacin por error de la VPN hacia la lnea arrendada o la ruta
Null ................................................................................................... 77
Interfaz Tunnel ficticia ............................................................................. 79
Enrutador virtual para interfaces Tunnel.................................................. 80
Reenrutamiento a otro tnel.................................................................... 80
Captulo 4
81
163
iv
Contenido
Contenido
211
239
NAT-Traversal ..............................................................................................240
Sondeos de NAT ....................................................................................241
Atravesar un dispositivo NAT.................................................................243
Suma de comprobacin de UDP ............................................................245
Paquetes de mantenimiento de conexin..............................................246
Simetra iniciador/respondedor .............................................................246
Habilitacin de NAT-Traversal ...............................................................248
Uso de identificaciones de IKE con NAT-Traversal .................................249
Supervisin de VPN......................................................................................250
Opciones de reencriptacin y optimizacin ...........................................251
Interfaz de origen y direccin de destino...............................................252
Consideraciones sobre directivas...........................................................253
Configuracin de la funcin de supervisin de VPN...............................254
Objetos y capturas SNMP para la supervisin de VPN............................262
Mltiples tneles por interfaz de tnel .........................................................263
Asignacin de rutas a tneles ................................................................264
Direcciones de interlocutores remotos...................................................266
Entradas de tabla manuales y automticas ............................................267
Entradas manuales en la tabla ........................................................267
Entradas automticas en la tabla.....................................................267
Ajuste de VPN en una interfaz de tnel para subredes
superpuestas ............................................................................269
Asociacin de entradas automticas en la tabla de rutas y en la
tabla NHTB ...............................................................................288
Uso de OSPF para entradas automticas en la tabla de rutas ..........300
Puertas de enlace VPN redundantes.............................................................301
Grupos VPN ...........................................................................................302
Mecanismos de supervisin...................................................................303
Pulsos de IKE ..................................................................................304
Deteccin de interlocutor muerto....................................................304
Procedimiento de recuperacin IKE ................................................306
Contenido
331
vi
Contenido
vii
Para abrir la ayuda en lnea para los ajustes de configuracin, haga clic en el signo
de interrogacin (?) en la parte superior izquierda de la pantalla.
El rbol de navegacin tambin proporciona una pgina de configuracin de Help >
Config Guide de configuracin para ayudarle a configurar las directivas de seguridad
y la Seguridad de protocolo de Internet (IPSec). Seleccione una opcin del men
desplegable y siga las instrucciones en la pgina. Haga clic en el carcter ? en la
parte superior izquierda para la Ayuda en lnea en la Gua de configuracin.
viii
NOTA:
Para introducir palabras clave, basta con introducir los primeros caracteres para
identificar la palabra de forma inequvoca. Al escribir set adm u whee j12fmt54
se ingresar el comando set admin user wheezer j12fmt54. Sin embargo, todos
los comandos documentados aqu se encuentran presentes en su totalidad.
NOTA:
Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.
ix
Internet
Motor de directivas
Interfaz de tnel
Servidor
Tnel VPN
Enrutador
Conmutador
Concentrador
Dispositivos de seguridad
Juniper Networks
xi
xii
Captulo 1
Modos en la pgina 4
Protocolos en la pgina 6
Fase 1 en la pgina 9
Fase 2 en la pgina 11
NOTA:
Clave manual
Conceptos de IPSec
La seguridad IP (IPSec) es un conjunto de protocolos relacionados utilizados para
garantizar la seguridad de las comunicaciones en la capa de paquetes IP mediante
encriptacin. La IPSec se compone de dos modos y dos protocolos principales:
Modo de tnel
Nota: ScreenOS
no admite el modo de
transporte
transporte con AH.
Protocolo AH
Protocolo ESP
Algoritmo de encriptacin
(DES, 3DES)
Algoritmo de autenticacin
(MD5, SHA-1)
Dominio de interpretacin
(DOI)
Administracin de claves y SA
(manual y automtica)
NOTA:
Conceptos de IPSec
Modos
La seguridad IPSec funciona en uno de dos modos: transporte o tnel Cuando
ambos extremos del tnel son hosts, se puede utilizar tanto el modo de transporte
como el modo de tnel. Cuando al menos uno de los puntos finales de un tnel es
una puerta de enlace de seguridad (como un enrutador o un cortafuegos), hay que
utilizar el modo de tnel. Los dispositivos de seguridad de Juniper Networks
funcionan siempre en modo de tnel cuando se trata de tneles IPSec y en modo
de transporte cuando se trata de tneles L2TP sobre IPSec.
Modo de transporte
El paquete IP original no est encapsulado en otro paquete IP, como se muestra en
la Figura 3. El paquete completo se puede autenticar (con AH), la carga se puede
encriptar (con ESP), y el encabezado original contina en texto sin formato tal
como se enva por la WAN.
Figura 3: Modos de transporte
Paquetes IP
Modo de transporte, AH
Original
AH
Carga de datos
Autenticado
Modo de transporte,
ESP
Original
ESP
Carga de datos
Encriptado
Autenticado
Modo de tnel
El paquete IP original completo (carga y encabezado) est encapsulado dentro de
otra carga IP y tiene adjunto un nuevo encabezado, como se muestra en la Figura 4.
El paquete original completo se puede encriptar, autenticar o ambas cosas. Con AH,
se autentican el AH y los nuevos encabezados. Con ESP, se autentica el encabezado
ESP.
Figura 4: Modos de tnel
Paquetes IP
Modo de tnel, AH
Nuevo
encabezado
Encabezado AH
Encabezado
original
Carga de datos
Autenticado
Nuevo
encabezado
Encabezado ESP
Encabezado
original
Carga de datos
Encriptado
Autenticado
Conceptos de IPSec
Dispositivo B
Puerta de enlace de tnel
Internet
LAN
LAN
Tnel
2
B
A
A
Carga de datos
Carga de datos
Carga de datos
NOTA:
LAN
Tnel
A=1
Carga de datos
2
1
Carga de datos
B
A
Carga de datos
Conceptos de IPSec
Protocolos
IPSec utiliza dos protocolos para garantizar la seguridad de las comunicaciones en
la capa IP:
Encabezado de autenticacin
El protocolo de encabezado de autenticacin (AH) ofrece un medio para verificar la
autenticidad/integridad del contenido y el origen de un paquete. Puede autenticar el
paquete por la suma de comprobacin calculada a travs de un cdigo de
autenticacin de mensajes basado en hash (HMAC) mediante una clave secreta y
funciones MD5 o SHA-1 hash.
NOTA:
Para obtener ms informacin sobre los algoritmos MD5 y SHA-1, consulte las
siguientes normas RFC: (MD5) 1321, 2403; (SHA-1) 2404. Para obtener
informacin sobre HMAC, consulte la norma RFC 2104.
Conceptos de IPSec
NOTA:
Administracin de claves
La distribucin y la administracin de claves son fundamentales para el uso
satisfactorio de las redes VPN. IPSec admite los mtodos de distribucin de claves
manual y automtico.
Clave manual
Con las claves manuales, los administradores de ambos extremos de un tnel
configuran todos los parmetros de seguridad. sta es una tcnica viable para redes
pequeas y estticas, donde la distribucin, el mantenimiento y el seguimiento de
las claves no resulta difcil. Sin embargo, la distribucin segura de configuraciones
de clave manual a travs de largas distancias genera problemas de seguridad.
Excepto en el caso de que las claves se transmitan cara a cara, no es posible estar
completamente seguro de que las claves no hayan quedado comprometidas
durante la transferencia. Adems, a la hora de modificar la clave nos enfrentamos a
los mismos problemas que a la hora de distribuirla inicialmente.
AutoKey IKE
Cuando es necesario crear y administrar numerosos tneles, se requiere un mtodo
en el que no haya que configurar cada elemento de forma manual. IPSec admite la
generacin y negociacin automatizada de claves y asociaciones de seguridad
mediante el protocolo de intercambio de claves de Internet (IKE). ScreenOS
denomina estas negociaciones de tnel automatizadas AutoKey IKE y admite
AutoKey IKE con claves previamente compartidas y AutoKey IKE con certificados.
AutoKey IKE con claves previamente compartidas
Si AutoKey IKE utiliza claves previamente compartidas para autenticar a sus
participantes en una sesin IKE, cada parte debe configurar e intercambiar de
forma segura la clave compartida por adelantado. En este sentido, el problema de
distribucin segura de claves es idntico al que presentan las claves manuales. Sin
embargo, al contrario de lo que ocurre con las claves manuales, una AutoKey, una
vez distribuida, puede modificar sus claves automticamente a intervalos
predeterminados mediante el protocolo IKE. Con frecuencia, la modificacin de
claves aumenta la seguridad de forma considerable. Adems, la automatizacin de
esta tarea reduce significativamente las responsabilidades de administracin de
claves. Sin embargo, la modificacin de claves eleva el nivel mximo de trfico; por
lo tanto, si se realiza a menudo, puede disminuir la eficacia de la transmisin de
datos.
Conceptos de IPSec
NOTA:
Una clave previamente compartida es una clave que se utiliza tanto para la
encriptacin como para la desencriptacin y que ambos participantes deben
poseer antes de iniciar la comunicacin.
AutoKey IKE con certificados
Cuando se utilizan certificados para autenticar a los participantes durante una
negociacin AutoKey IKE, cada parte genera un par de claves pblicas/privadas
(consulte Criptografa de claves pblicas en la pgina 19) y adquiere un
certificado (consulte Certificados y CRL en la pgina 24). Si la autoridad de
certificacin (CA) es fiable para ambas partes, los participantes podrn recuperar la
clave pblica del interlocutor y verificar la firma del interlocutor. No es necesario
realizar un seguimiento de las claves y SA; IKE lo hace automticamente.
NOTA:
Para obtener ejemplos de ambos tneles (clave manual y AutoKey IKE), consulte
Redes privadas virtuales de punto a punto en la pgina 81.
Asociaciones de seguridad
Una asociacin de seguridad (SA) es un acuerdo unidireccional entre los
participantes VPN por lo que respecta a los mtodos y parmetros empleados para
garantizar la seguridad de un canal de comunicaciones. Una comunicacin
bidireccional completa requiere al menos dos SA, una para cada direccin.
Una SA agrupa los siguientes componentes para garantizar la seguridad de las
comunicaciones:
Periodo de vigencia de SA
Para el trfico VPN saliente, la directiva invoca la SA asociada al tnel VPN. Para el
trfico entrante, el dispositivo de seguridad consulta la SA mediante los siguientes
tres elementos:
Conceptos de IPSec
IP de destino
Negociacin de tnel
Para un tnel IPSec de clave manual, como todos los parmetros de la SA se han
definido previamente, no es necesario negociar cul SA utilizar. Bsicamente, el
tnel ya se ha establecido. Cuando el trfico coincide con una directiva que utilice
ese tnel de clave manual o cuando una ruta utiliza el tnel, el dispositivo de
seguridad simplemente encripta y autentica los datos, como se haya determinado y
los enva a la puerta de enlace de destino.
Para establecer un tnel IPSec AutoKey IKE se requieren dos fases de negociacin:
Fase 1
La fase 1 de una negociacin de tnel AutoKey IKE consiste en el intercambio de
propuestas sobre cmo autenticar y garantizar la seguridad del canal. El
intercambio se puede realizar en uno de estos dos modos: inmico o principal. En
cualquiera de los dos modos, los participantes intercambian propuestas de servicios
de seguridad aceptables, como por ejemplo:
Una negociacin de fase 1 correcta concluye cuando ambos extremos del tnel se
ponen de acuerdo para aceptar al menos un conjunto de los parmetros de
seguridad de fase 1 propuestos y comienzan a procesarlos. Los dispositivos de
seguridad de Juniper Networks admiten hasta cuatro propuestas para negociaciones
de fase 1 y permiten definir el grado de restriccin del rango aceptable de
parmetros de seguridad para la negociacin de claves.
Las propuestas predefinidas de fase 1 que ofrece ScreenOS son las siguientes:
Negociacin de tnel
NOTA:
10
Negociacin de tnel
Cuando un usuario VPN de acceso telefnico negocia un tnel AutoKey IKE con
una clave previamente compartida, se debe utilizar el modo dinmico. Recuerde
tambin que un usuario VPN de acceso telefnico puede utilizar una direccin de
correo electrnico, un nombre de dominio completo (FQDN) o una direccin IP
como su ID IKE. Un interlocutor dinmico puede utilizar una direccin de correo
electrnico o un FQDN, pero no una direccin IP.
Intercambio Diffie-Hellman
Un intercambio Diffie-Hellman (DH) permite a los participantes elaborar un valor
secreto compartido. El punto fuerte de esta tcnica es que permite a los
participantes crear el valor secreto a travs de un medio no seguro sin tener que
transmitir este valor por la lnea. Hay cinco grupos Diffie-Hellman; ScreenOS
admite los grupos 1, 2 y 5. El tamao del mdulo primario utilizado en el clculo de
cada grupo vara del siguiente modo:
NOTA:
NOTA:
Fase 2
Una vez que los participantes han establecido un canal seguro y autenticado,
continan con la fase 2, en la que negocian las SA para garantizar la seguridad de
los datos que se van a transmitir a travs del tnel IPSec.
Al igual que ocurre en la fase 1, los participantes intercambian propuestas para
determinar los parmetros de seguridad que se van a emplear en la SA. Una
propuesta de fase 2 incluye tambin un protocolo de seguridad (encabezado de
autenticacin, AH, o carga de seguridad encapsulada, ESP) y algoritmos de
encriptacin y autenticacin seleccionados. La propuesta tambin puede especificar
un grupo Diffie-Hellman si se desea una confidencialidad directa perfecta (PFS).
Independientemente del modo utilizado en la fase 1, la fase 2 funciona siempre en
modo rpido e implica el intercambio de tres mensajes.
Los dispositivos de seguridad de Juniper Networks admiten hasta cuatro propuestas
para negociaciones de fase 2 y permiten definir el grado de restriccin del rango
aceptable de parmetros de tnel. ScreenOS tambin ofrece una funcin de
proteccin contra reprocesamiento de paquetes. El uso de esta funcin no requiere
negociacin porque los paquetes se envan siempre con nmeros de secuencia.
Slo existe la opcin de comprobar o no los nmeros de secuencia. (Para ms
informacin sobre la proteccin contra reprocesamiento de paquetes, consulte
Proteccin contra reprocesamiento de paquetes en la pgina 12).
Negociacin de tnel
11
Las propuestas predefinidas de fase 2 que ofrece ScreenOS son las siguientes:
12
Seguridad aplicada: IPSec protege el trfico enviado entre los dos puntos
terminales del tnel usando los parmetros de seguridad definidos en las SA
que los interlocutores acordaron durante la configuracin del tnel. IPSec
puede aplicarse en uno de dos modos: transporte o tnel. Ambos modos
admiten los dos protocolos IPSec: carga de seguridad encapsulada (ESP) y
encabezado de autenticacin (AH).
Paquetes IKE
Cuando un paquete de texto sin formato que requiere encapsulamiento llega al
dispositivo de seguridad y no existe ninguna SA activa de fase 2 para ese tnel, el
dispositivo de seguridad inicia las negociaciones IKE (y descarta el paquete). Las
direcciones de origen y de destino en el encabezado del paquete IP son las de las
puertas de enlace IKE local y remota, respectivamente. La carga de datos del
paquete IP icnluye un segmento UDP que encapsula una asociacin de seguridad
de Internet y protocolo de gestin de claves (ISAKMP), o paquete IKE. El formato de
los paquetes IKE es igual para la fase 1 y la fase 2.
NOTA:
13
Encabezado
UDP
Encabezado
ISAKMP
Carga de
datos
Encabezado IP
Longitud del
encabezado
Versin
Tipo de servicio
Identificacin
Tiempo de vida (TTL)
Relleno
Carga de datos IP
Encabezado UDP
Puerto de origen (500 para IKE)
Longitud
Carga de datos UDP
Encabezado ISAKMP (para IKE)
Cookie del iniciador
Cookie del respondedor
(0000 para el primer paquete)
Carga de datos siguiente
Ver may
Ver men
Indicadores
ID del mensaje
Longitud del mensaje
Carga de datos ISAKMP
El campo de carga de datos siguiente contiene un nmero que indica uno de los
siguientes tipos de carga de datos:
14
Cada carga de datos ISAKMP comienza con el mismo encabezado genrico, como
se muestra en la Figura 8.
Figura 8: Encabezado genrico de la carga de datos ISAKMP
Siguiente encabezado
Reservado
Carga de datos
Puede haber mltiples cargas de datos ISAKMP encadenadas, indicndose cada tipo
de carga de datos subsiguiente en el valor del campo del siguiente encabezado. Un
valor de 0000 indica la ltima carga de datos ISAKMP. Consulte la Figura 9 en la
pgina 16 para obtener un ejemplo.
15
Maj Ver
Min Ver
Indicadores
Encabezado
de ISAKMP
ID del mensaje
Longitud total del mensaje
Encabezado siguiente
(0004 para propuesta)
Reservado
Encabezado siguiente
(0008 para transformacin)
Reservado
Carga de datos propuesta
Encabezado siguiente
(0000 para fin)
Reservado
Carga de datos
SA
Carga de
datos
propuesta
Carga de datos
de
transformacin
Paquetes IPSec
Una vez completadas las negociaciones IKE y despus de que las dos puertas de
enlace IKE hayan establecido las asociaciones de seguridad de fase 1 y fase 2 (SA),
el dispositivo NetScreen aplica la proteccin IPSec a los paquetes IP de texto sin
formato subsiguientes que los hosts situados detrs de una puerta de enlace IKE
envan a los hosts que se encuentran detrs de la otra puerta de enlace (asumiendo
que las directivas permitan el trfico). Si la SA de fase 2 especifica el protocolo de
seguridad encapsulada (ESP) en modo de tnel, el paquete se parecer al que
aparece debajo. El dispositivo de seguridad agrega dos encabezados adicionales al
paquete original enviado por el host.
NOTA:
Figura 10: Paquete IPSec datos de seguridad encapsulada (ESP) en el modo de tnel
Paquete IPSec
enviado por la puerta
de enlace IKE
Encabezado
IP2
Encabezado
ESP
Paquete original
enviado por el host iniciador
Encabezado
IP1
Encabezado
TCP
Carga de datos
Como muestra la Figura 10, el paquete que el host iniciador construye incluye la
carga de datos, el encabezado TCP y el encabezado IP interno (IP1).
16
Longitud de
encabezado
Tipo de servicio
0
Identificacin
Tiempo de vida (TTL)
Relleno
Carga de datos
Encabezado ESP
ndice de parmetros de seguridad (Security Parameters Index o SPI) del interlocutor remoto *
Nmero correlativo*
Vector de inicializacin* (IV) Primeros 8 octetos del campo de datos
Autenticado
Encriptado
Longitud de relleno**
Encabezado siguiente
(4 para IP)**
17
Longitud de
encabezado
Tipo de servicio
Identificacin
Tiempo de vida (TTL)
Relleno
Carga de datos
Encabezado TCP
Puerto de destino
Puerto de origen
Nmero de secuencia
Nmero de reconocimiento
Longitud de
encabezado
Reservado
U A
R C
G K
Suma de comprobacin
P
S
H
R
S
T
S
Y
N
F
I
N
Tamao de la ventana
Indicador Urgente
Padding
Opciones (si las hay)
Datos
18
Relleno
Captulo 2
19
Firma de un certificado
1. La autoridad de certificacin (CA) que emite el certificado lo somete a una
operacin matemtica en la que se utiliza un algoritmo hash (MD5 o SHA-1)
para generar una codificacin.
2. A continuacin, la CA firma el certificado encriptando la codificacin con su
clave privada. El resultado es una firma digital.
3. La CA enva el certificado firmado digitalmente a la persona que lo solicit.
20
Codif. A
Cert.
Algoritmo hash
(MD5 o SHA-1)
Codif. B
Clave privada de la CA
Receptor
Codif. A
Comparacin
Cert.
Algoritmo hash
(MD5 o SHA-1)
Codif. B
Clave privada de la CA
21
Las CA subordinadas
validan certificados locales
y a otras CA.
22
Dominio CA: A
Certificacin cruzada
NOTA:
23
NOTA:
Certificados y CRL
Un certificado digital es un mtodo electrnico para verificar la identidad de un
usuario utilizando la palabra de una tercera parte en la que se confa, conocida
como autoridad de certificacin (CA). El servidor de CA que se utilice puede ser
propiedad de una CA, que tambin se encargue de su manejo, o de su propia
organizacin, en cuyo caso usted ser su propia CA. Si utiliza una CA independiente,
debe ponerse en contacto con ella para obtener las direcciones de los servidores de
CA y CRL (y conseguir certificados y listas de revocacin de certificados) o la
informacin que dichos servidores necesitan cuando envan peticiones de
certificados personales. Si es su propia CA, podr hacerlo usted mismo.
NOTA:
ScreenOS admite las siguientes CA: Baltimore, Entrust, Microsoft, Netscape, RSA
Keon y Verisign.
ScreenOS dispone de un certificado de CA para las descargas de autenticacin
desde el servidor de archivos de firmas de virus y el servidor de la base de datos
de objetos de ataque Deep Inspection (DI). Para obtener ms informacin sobre el
servidor de archivos de firmas de virus, consulte Anlisis antivirus en la
pgina 4-62. Para obtener ms informacin sobre el servidor de la base de datos
de objetos de ataque DI, consulte Servidor de la base de datos de objetos de
ataque en la pgina 4-124.
Para utilizar un certificado digital y as autenticar su identidad al establecer una
conexin VPN segura, siga estos pasos:
24
Certificados y CRL
Durante el proceso de negociacin, puede haber muchos casos en los que sea
necesario revocar un certificado. Es posible que quiera revocar un certificado si
sospecha que es peligroso o si su propietario ha dejado la empresa. Las
revocaciones y validaciones de certificados se pueden administrar localmente
(aunque esta solucin es limitada) o con referencia a la CRL de una CA, a la que se
puede acceder en lnea de forma automtica en intervalos diarios, semanales o
mensuales o segn el intervalo predefinido por la CA.
Para conseguir un certificado firmado digitalmente siguiendo el mtodo manual,
debe seguir estos pasos:
1. Generar un par de claves pblica/privada
2. Llenar la peticin de certificado
3. Enviar la peticin a la CA que desee
4. Una vez recibido el certificado firmado, cargarlo en el dispositivo de seguridad
junto con el certificado de CA
Ahora dispondr de los siguientes elementos con los siguientes objetivos:
NOTA:
NOTA:
Certificados y CRL
25
NOTA:
Objects > Certificates > New: Introduzca los siguientes datos y haga clic
en Generate:
Name: Michael Zhang
Phone: 408-730-6000
Unit/Department: Development
Organization: Juniper Networks
County/Locality: Sunnyvale
State: CA
Country: US
E-mail: mzhang@juniper.net
IP Address: 10.10.5.44
Write to file: (seleccione)
RSA: (seleccione)
Create new key pair of 1024 length: (seleccione)
Certificados y CRL
NOTA:
Peticin de certificado
Certificados y CRL
27
NOTA:
Peticin de certificado
NOTA:
28
Certificados y CRL
Certificados y CRL
29
NOTA:
NOTA:
Objects > Certificates > Default Cert Validation Settings: Introduzca los
siguientes datos y haga clic en OK:
X509 Certificate Path Validation Level: Full
Certificate Revocation Settings:
Check Method: CRL
URL Address:
ldap:///CN=NetScreen,CN=safecert,CN=PublicKeyServices,
CN=Services,CN=Configuration,DC=SAFECERT,DC=com?CertificateRevoc
ationList?base?objectclass=CRLDistributionPoint
LDAP Server: 10.1.1.200
30
Certificados y CRL
CLI
set pki authority 1 cert-path full
set pki authority 1 cert-status crl url ldap:///CN=Entrust,CN=en2001,
CN=PublicKeyServices,CN=Services,CN=Configuration,DC=EN2000,DC=com?
CertificateRevocationList?base?objectclass=CRLDistributionPoint
set pki authority 1 cert-status crl server-name 2.2.2.121
set pki authority 1 cert-status crl refresh daily
set pki authority default cert-path full
set pki authority default cert-status crl url ldap:///CN=NetScreen,
CN=safecert,CN=PublicKeyServices,CN=Services,CN=Configuration,DC=SAFE
CERT,
DC=com?CertificateRevocationList?base?objectclass=CRLDistributionPoint
set pki authority default cert-status crl server-name 10.1.1.200
set pki authority default cert-status crl refresh daily
save
Ajustar el reloj del sistema. (Consulte Reloj del sistema en la pgina 2-256.)
RA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe
Certificados y CRL
31
NOTA:
CA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe
Contrasea de desafo
Objects > Certificates > Show CA > Server Settings (para Verisign): Introduzca
los siguientes datos y haga clic en OK:
X509 certificate path validation level: Full
SCEP Settings:
RA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe
CA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe
32
Certificados y CRL
2.
Objects > Certificates > New: Introduzca los siguientes datos y haga clic
en Generate:
Name: Michael Zhang
Phone: 408-730-6000
Unit/Department: Development
Organization: Juniper Networks
County/Locality: Sunnyvale
State: CA
Country: US
Email: mzhang@juniper.net
IP Address: 10.10.5.44
Key Pair Information
RSA: (seleccione)
Create new key pair of 1024 length.
NOTA:
3.
Guardarlo en disco
Inscripcin automtica
Certificados y CRL
33
NOTA:
Inscripcin automtica
34
Certificados y CRL
Para evitar problemas con esta funcin, el dispositivo de seguridad debe ser capaz
de acceder al servidor SCEP y el certificado debe estar presente en el propio
dispositivo de seguridad durante el proceso de renovacin. Tambin debe
asegurarse de que la CA que emite el certificado pueda hacer lo siguiente:
NOTA:
NOTA:
36
Certificados autofirmados
Un certificado autofirmado es un certificado firmado y emitido por la misma
entidad; es decir, el emisor y el sujeto del certificado coinciden. Por ejemplo, los
certificados CA de todas las autoridades de certificacin raz (CA) son autofirmados.
Los dispositivos de seguridad generan automticamente un certificado autofirmado
al encenderse, si no hay ningn certificado ya configurado para Secure Sockets
Layer (SSL), como es el caso cuando se enciende por primera vez. El dispositivo de
seguridad que crea un certificado autogenerado y autofirmado es el nico
dispositivo que lo utiliza. El dispositivo nunca exporta este certificado fuera de s
mismo. Aunque el dispositivo de seguridad se encuentra en un clster del protocolo
de redundancia de NetScreen (NetScreen Redundancy Protocol o NSRP), no
incluye el certificado autofirmado y autogenerado con otros tipos de certificados al
sincronizar objetos PKI con otros miembros del clster. (Los miembros del NSRP
intercambian certificados autofirmados generados manualmente. Para obtener
informacin sobre la generacin manual de certificados autofirmados, consulte
Creacin manual de certificados autofirmados en la pgina 40).
Aunque no se pueden exportar certificados autofirmados y autogenerados, puede
copiar su nombre de sujeto y huella. A continuacin, puede entregarlo a un
administrador remoto que ms adelante podr utilizar el nombre del sujeto y la
huella digital para verificar el certificado autofirmado recibido durante las
negociaciones SSL. Comprobar el nombre del sujeto y la huella digital es una
precaucin importante contra los ataques por interposicin de intrusos
(man-in-the-middle attacks), en los que alguien intercepta un intento de conexin
SSL y finge ser el dispositivo de seguridad de destino, respondiendo con su propio
certificado autofirmado. (Para obtener ms informacin sobre la verificacin de
certificados autofirmados, consulte Validacin de certificados en la pgina 39).
Puede utilizar un certificado autofirmado al establecer una conexin Secure Sockets
Layer (SSL) con el dispositivo de seguridad. Si administra el dispositivo a travs de
WebUI, SSL puede proporcionar autenticacin y encriptacin para asegurar su
trfico administrativo. Puede incluso configurar un dispositivo de seguridad para
redirigir un intento de conexin administrativo utilizando HTTP (puerto
predeterminado 80) hacia SSL (puerto predeterminado 443).
NOTA:
38
Certificados autofirmados
NOTA:
Validacin de certificados
Durante el establecimiento de conexin SSL, el dispositivo de seguridad se
autentica enviando un certificado al cliente SSL. Cuando el dispositivo de seguridad
enva un certificado autofirmado, el cliente SSL no puede validarlo comprobando la
firma de la CA emisora porque no la public ninguna CA. Cuando el dispositivo de
seguridad presenta un certificado autofirmado para establecer una sesin SSL, el
explorador del equipo del administrador intenta validarlo con un certificado CA en
su almacn de CA (autoridades de certificacin). Si no puede encontrar esa
autoridad, el explorador visualiza un mensaje como el que se muestra en la
Figura 16, pidiendo al administrador que acepte o rechace el certificado.
Figura 16: Alertas de seguridad para certificados autofirmados
Certificados autofirmados
39
NOTA:
40
Certificados autofirmados
Puede que desee utilizar un certificado con un nombre de sujeto distinto del
creado automticamente.
NOTA:
Establecer una conexin Secure Sockets Layer (SSL) para proteger el trfico
administrativo hacia un dispositivo de seguridad
Name: 4ssl
Organization: jnpr
FQDN: www.juniper.net
Certificados autofirmados
41
WebUI
1.
Objects > Certificates > New: Introduzca los siguientes datos y haga clic
en Generate:
Certificate Subject Information:
Name: 4ssl
Organization: jnpr
FQDN: www.juniper.net
Key Pair Information:
RSA: (seleccione)
Create new key pair of 1024 length.
2.
Objects > Certificates > Show Local: Haga clic en Detail para ver el certificado
recin creado.
La pgina de detalles de certificados aparece, como se muestra en la Figura 17.
Figura 17: Detalles del certificado:
Puede copiar el nombre del sujeto y la huella digital desde esta pgina y
comunicarlos a otros administradores que pretendan utilizar SSL al administrar el
dispositivo de seguridad. Cuando inicien una conexin SSL, podrn utilizar esta
informacin para asegurarse de que el certificado que reciben procede, de hecho,
del dispositivo de seguridad.
CLI
1.
42
Certificados autofirmados
2.
Certificados autofirmados
43
3.
Puede copiar el nombre del sujeto subject name y la huella digital fingerprint
desde esta pgina y comunicarlos a otros administradores que pretendan utilizar
SSL para administrar el dispositivo de seguridad. Cuando inicien una conexin SSL,
podrn utilizar esta informacin para asegurarse de que el certificado que reciben
procede, de hecho, del dispositivo de seguridad.
44
Certificados autofirmados
Autogeneracin de certificados
La primera vez que se encienda el dispositivo de seguridad, generar
automticamente un certificado autofirmado. El principal propsito de este
certificado es reconocer inmediatamente SSL despus del arranque inicial de un
dispositivo de seguridad. Para ver este certificado, utilice el comando CLI siguiente:
get pki x509 cert system
CN=0010062001000021,CN=system generated,CN=self-signed,
Expire on 08- 3-2014 16:19, Issued By:
CN=0010062001000021,CN=system generated,CN=self-signed,
Serial Number: <c927f2044ee0cf8dc931cdb1fc363119>
finger print (md5) <fd591375 83798574 88b3e698 62890b5d>
finger print (sha) <40a1bda8 dcd628fe e9deaee1 92a2783c 817e26d9>
subject name hash: <0324d38d 52f814fe 647aba3a 86eda7d4 a7834581>
Certificados autofirmados
45
Existe un
cert generado
automticamente y
autofirmado?
Existe Cert
para
SSL?
No generar
automticamente
un certificado
autofirmado.
No
Generar automticamente un
certificado autofirmado.
46
Certificados autofirmados
NOTA:
Certificados autofirmados
47
48
Certificados autofirmados
Captulo 3
49
Opciones criptogrficas
Durante la configuracin de una VPN es necesario tomar numerosas decisiones
sobre la criptografa que se desea utilizar. Surgirn preguntas sobre cul es el grupo
Diffie-Hellman adecuado, qu algoritmo de encriptacin ofrece el mejor equilibrio
entre seguridad y rendimiento, etc. En esta seccin se presentan todas las opciones
criptogrficas requeridas para configurar un tnel VPN punto a punto bsico y un
tnel VPN de acceso telefnico bsico. Tambin se indican una o ms ventajas de
cada opcin para ayudarle a tomar una decisin.
La primera decisin que hay que tomar es si se va a optar por un tnel VPN punto a
punto (entre dos dispositivos de seguridad) o por un tnel VPN de acceso telefnico
(desde el cliente VPN NetScreen-Remote hasta el dispositivo de seguridad). Aunque
esta decisin depende de la configuracin de red, las diferencias entre estos dos
tipos de tneles afectan a algunas opciones criptogrficas. Por lo tanto, las opciones
se presentan en dos figuras distintas:
Cuando haya decidido qu tipo de tnel desea configurar (de acceso telefnico o
punto a punto), consulte la Figura 19 o la Figura 20 para obtener las indicaciones
oportunas. En cada figura se presentan las decisiones criptogrficas que deber
tomar durante la configuracin del tnel. A continuacin, se sealan los motivos
que justifican la eleccin de cada opcin de la figura.
NOTA:
NOTA:
50
Opciones criptogrficas
6. Grupo Diffie-Hellman
Grupo: 1, 2 5
3. Tipo de autenticacin:
Certificados o clave previamente
compartida
4. Tipo de certificado:
RSA o DSA
14. Modo:
Tnel o transporte
7. Encriptacin IKE y
algoritmos de autenticacin:
AES, DES o 3DES
y
MD5 o SHA-1
5. Longitud de bits:
512 768
1024 2048
9. ID IKE remota:
Direccin IP o U-FQDN
o FQDN o ASN1-DN
8. ID IKE local:
Direccin IP o U-FQDN
o FQDN o ASN1-DN
17. Algoritmos de
autenticacin:
MD5 o SHA-1
1.
AutoKey IKE
Recomendado.
Clave manual
2.
Dinmico
Recomendado.
Opciones criptogrficas
51
3.
Certificados
Recomendado
512
1024
Recomendado
2048
Grupo de Diffie-Hellman 1
Grupo de Diffie-Hellman 2
52
Opciones criptogrficas
Recomendado
Grupo de Diffie-Hellman 5
AES
Recomendado
Tiene un mayor nivel de encriptacin que DES y 3DES si las longitudes de clave
son iguales
DES
3DES
MD5
Recomendado
8.
Direccin IP
Recomendado.
Opciones criptogrficas
53
U-FQDN
Resulta til para puertas de enlace VPN que tengan direcciones IP dinmicas.
ASN1-DN
9.
Direccin IP
Recomendado.
U-FQDN
54
Opciones criptogrficas
Resulta til para puertas de enlace VPN que tengan direcciones IP dinmicas.
ASN1-DN
Recomendado
No
Desactivar esta opcin tal vez sea la solucin a problemas de compatibilidad con
interlocutores de terceros.
11. Confidencialidad directa perfecta: S o no
S
Recomendado
Confidencialidad directa perfecta (PFS): ofrece una mayor seguridad porque los
interlocutores realizan un segundo intercambio Diffie-Hellman para generar la
clave utilizada para la encriptacin/desencriptacin IPSec.
No
Grupo de Diffie-Hellman 2
Recomendado
Grupo de Diffie-Hellman 5
Opciones criptogrficas
55
Recomendado
AH
Recomendado
Transporte
Encriptacin y autenticacin
Recomendado
Autenticacin
56
Opciones criptogrficas
Recomendado
Tiene un mayor nivel de encriptacin que DES y 3DES si las longitudes de clave
son iguales
DES
3DES
Recomendado
Modo principal
Modo de tnel
Encriptacin = AES
Encriptacin y autenticacin
Autenticacin = SHA-1
Encriptacin = AES
Autenticacin = SHA-1
predeterminado)
Proteccin contra reprocesamiento de
paquetes = s
NOTA:
Opciones criptogrficas
57
5. IKE Diffie-Hellman
Grupo: 1, 2 5
3. Tipo de certificado:
RSA o DSA
13. Modo:
Tnel o transporte
6. Encriptacin IKE y
algoritmos de autenticacin:
AES, DES o 3DES
y
MD5 o SHA-1
4. Longitud de bits:
512 768
1024 2048
8. ID IKE remota:
7. ID IKE local:
Direccin IP (valor predeterminado) o Direccin IP (valor predeterminado) o 9. Comprobacin contra
reprocesamiento: S o No
U-FQDN, FQDN o ASN1-DN
U-FQDN, FQDN o ASN1-DN
1.
Dinmico
Recomendado
Principal
Certificados
Recomendado
58
Opciones criptogrficas
3.
512
1024
Recomendado
2048
Grupo de Diffie-Hellman 1
Grupo de Diffie-Hellman 2
Recomendado
Grupo de Diffie-Hellman 5
AES
Recomendado
Tiene un mayor nivel de encriptacin que DES y 3DES si las longitudes de clave
son iguales
Opciones criptogrficas
59
DES
3DES
MD5
Recomendado
7.
U-FQDN
Recomendado
FQDN
Resulta til para puertas de enlace VPN que tengan direcciones IP dinmicas.
ASN1-DN
60
Opciones criptogrficas
8.
U-FQDN
Recomendado
FQDN
Resulta til para puertas de enlace VPN que tengan direcciones IP dinmicas.
ASN1-DN
9.
Recomendado
No
Desactivar esta opcin tal vez sea la solucin a problemas de compatibilidad con
interlocutores de terceros
10. Confidencialidad directa perfecta: S o no?
S
Recomendado
Confidencialidad directa perfecta (PFS): ofrece una mayor seguridad porque los
interlocutores realizan un segundo intercambio Diffie-Hellman para generar la
clave utilizada para la encriptacin/desencriptacin IPSec
Opciones criptogrficas
61
No
Grupo de Diffie-Hellman 2
Recomendado.
Grupo de Diffie-Hellman 5
Recomendado
AH
Recomendado
Transporte
62
Opciones criptogrficas
Encriptacin y autenticacin
Recomendado
Autenticacin
Recomendado
Tiene un mayor nivel de encriptacin que DES y 3DES si las longitudes de clave
son iguales
DES
3DES
Recomendado
Opciones criptogrficas
63
Encriptacin = AES
Modo de tnel
Autenticacin = SHA-1
Encriptacin y autenticacin
Encriptacin = AES
electrnico)
Proteccin contra reprocesamiento de
Autenticacin = SHA-1
paquetes = s
NOTA:
64
El nmero de tneles VPN basados en directivas que se puede crear est limitado
por el nmero de directivas que admita el dispositivo. El nmero de tneles VPN
basados en rutas que se puede crear est limitado por el nmero de entradas de
ruta o por el nmero de interfaces Tunnel que admita el dispositivo (el que sea ms
pequeo).
La configuracin de un tnel VPN basado en rutas es una eleccin acertada si desea
conservar los recursos de tnel y ajustar restricciones granulares para el trfico
VPN. Aunque puede crear numerosas directivas que hagan referencia al mismo
tnel VPN, cada directiva crea una asociacin de seguridad (SA) IPSec individual
con el interlocutor remoto; cada una de estas asociaciones cuenta como un tnel
VPN independiente. Con un planteamiento basado en rutas para las VPN, la
regulacin del trfico no est ligada a los medios de entrega. Es posible configurar
docenas de directivas para regular el trfico que circula a travs de un nico tnel
VPN entre dos puntos, si slo hay una SA IPSec operativa. Adems, la configuracin
de una VPN basada en rutas permite crear directivas que hagan referencia a un
destino alcanzado a travs de un tnel VPN donde la accin sea deny, en contraste
con la configuracin de una VPN basada en directivas, donde, como hemos
indicado antes, la accin debe ser tunnel con la accin implcita permit.
Otra ventaja de las VPN basadas en rutas es el intercambio de informacin de
enrutamiento dinmico a travs de tneles VPN. Es posible habilitar una instancia
de un protocolo de enrutamiento dinmico, como BGP (Border Gateway Protocol),
en una interfaz Tunnel asociada a un tnel VPN. La instancia de enrutamiento local
intercambia informacin de enrutamiento a travs del tnel con un vecino
habilitado en una interfaz Tunnel asociada al otro extremo.
Si un tnel no conecta grandes redes en las que se ejecuten protocolos de
enrutamiento dinmico y no es necesario conservar tneles o definir diversas
directivas para filtrar el trfico a travs del tnel, tiene sentido configurar un tnel
basado en directivas. Adems, como no existe ninguna red ms all de un cliente
VPN de acceso telefnico, los tneles VPN basados en directivas pueden ser una
buena eleccin para configuraciones VPN de acceso telefnico.
Dicho esto, si el cliente de acceso telefnico admite una direccin IP interna virtual
(como NetScreen-Remote), existen argumentos convincentes para utilizar una
configuracin VPN basada en rutas. Un tnel VPN de acceso telefnico basado en
rutas presenta las siguientes ventajas:
Se pueden definir rutas para forzar el trfico a travs del tnel, al contrario de lo
que ocurre con una configuracin VPN basada en directivas.
Puede ajustar la ID de proxy para que acepte cualquier direccin IP del cliente
VPN de acceso telefnico configurando la direccin del cliente remoto como
255.255.255.255/32.
65
NOTA:
Oficina
de Tokio
Zona Untrust
tunnel.1, 10.1.2.1/24
Interfaz de salida: ethernet3, 1.1.1.1/24
ethernet1
10.1.1.1/24
10.1.1.5
Internet
Tokio
LAN
Pars
LAN
VPN1
10.2.2.5
ethernet1
10.2.2.1/24
Oficina
de Pars
Zona Trust
67
7. El motor de directivas realiza una consulta de directivas entre las zonas Trust y
Untrust (segn lo determinado por las correspondientes interfaces de entrada y
de salida). La accin especificada en la directiva que coincide con la direccin
de origen y la zona, la direccin de destino y la zona, y el servicio es permitir.
8. El mdulo IPSec comprueba si existe una asociacin de seguridad (SA) de fase
2 activa con el interlocutor remoto. Mediante la comprobacin de SA de fase 2
se pueden obtener los siguientes resultados:
68
69
70
Tokio (iniciador)
Las primeras etapas del flujo de paquetes saliente son las mismas para las
configuraciones VPN basadas en rutas y las basadas en directivas hasta que se
producen las consultas de rutas y de directivas:
71
NOTA:
72
NOTA:
1.1.1.8 1.1.1.8
1.1.1.8/32
1.1.1.20 1.1.1.50
1.1.1.20/26
1.1.1.100 1.1.1.200
1.1.1.100/25
1.1.1.0 1.1.1.255
1.1.1.0/24
Para obtener ms informacin sobre las ID de proxy cuando se utilizan con NAT-src
y NAT-dst, consulte Sitios VPN con direcciones superpuestas en la pgina 142.
NOTA:
73
Ruta Null
Si el estado de un tnel VPN cambia a fuera de lnea, el dispositivo de seguridad
cambia cualquier ruta que haga referencia a esa interfaz Tunnel a fuera de lnea. Si
la ruta a la interfaz Tunnel deja de estar disponible y la opcin siguiente es la ruta
predeterminada (por ejemplo), a continuacin el dispositivo de seguridad utiliza la
ruta predeterminada para reenviar el trfico previsto originalmente para el tnel
VPN. Para evitar enviar trfico en texto sin formato hacia la WAN pblica cuando se
produce un cambio de ruta, puede utilizar una ruta Null. Una ruta Null apunta a la
misma direccin de destino que la ruta a travs de la interfaz Tunnel, pero dirige el
trfico hacia la interfaz Null. La interfaz Null es una interfaz lgica que descarta el
trfico enviado hacia ella. Asigne a la ruta Null una mtrica ms elevada (ms
alejada de cero) que la ruta que utiliza la interfaz Tunnel para que la ruta Null tenga
una prioridad inferior.
74
NOTA:
IP-Prefix
Interface
Gateway
Pref
Mtr
Vsys
0.0.0.0/0
eth3
1.1.1.250
20
Root
1.1.1.0/24
eth3
0.0.0.0
Root
10.1.1.0/24
eth1
0.0.0.0
Root
10.2.2.0/24
tun.1
0.0.0.0
20
Root
En la tabla de enrutamiento anterior, un asterisco (*) indica que una ruta est
activa, S indica una ruta esttica y C indica una ruta conectada.
En la tabla de enrutamiento anterior, el dispositivo de seguridad tiene dos rutas
para alcanzar cualquier direccin en la subred 10.2.2.0/24. La primera opcin es la
ruta n 4 porque coincide en mayor medida con esa direccin. La segunda opcin
es la ruta predeterminada (0.0.0.0/0).
Si a continuacin agrega otra ruta a 10.2.2.0/24 a travs de la interfaz Null y le
asigna un valor mayor que 1, esa ruta se convierte en la segunda opcin de
enrutamiento hacia cualquier direccin de la subred 10.2.2.0/24. Si la ruta hacia
10.2.2.0/24 a travs de tunnel.1 se desactiva, el dispositivo de seguridad utiliza la
ruta hacia la interfaz Null. El dispositivo de seguridad reenva el trfico destinado a
10.2.2.0/24 hacia esa interfaz y luego lo descarta.
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10
get route
IP-Prefix
Interface
Gateway
Pref
Mtr Vsys
0.0.0.0/0
eth3
1.1.1.250
20
Root
1.1.1.0/24
eth3
0.0.0.0
Root
10.1.1.0/24
eth1
0.0.0.0
Root
10.2.2.0/24
tun.1
0.0.0.0
20
Root
10.2.2.0/24
null
0.0.0.0
20
10
Root
75
Dispositivo de
seguridad
local
ethernet3 1.1.1.1/24
Zona Trust
LAN
local
Segunda opcin: Una ruta esttica sobre
una lnea de acceso telefnico o arrendada
hacia el interlocutor de la VPN. Su mtrica
es mayor que la de la ruta que utiliza el
tnel VPN. Esta opcin de enrutamiento
reenva el trfico como texto sin formato a
travs de la lnea protegida al interlocutor.
tunnel.1
Internet
LAN remota
Tnel VPN
ethernet4
1.2.2.1/24
Lnea de acceso
telefnico o arrendada
Interfaz
Null
76
Zona Untrust
Interlocutor remoto
de la VPN
Descartar
trfico
Ruta terciaria: utilice la interfaz Null para descartar trfico (mtrica = 10)
NOTA:
Este ejemplo muestra nicamente la configuracin para cuatro rutas (tres para la
conmutacin por error ms la ruta predeterminada) en el dispositivo-A.
Figura 23: Fallo de enrutamiento hacia una lnea arrendada y despus a la ruta Null
El trfico fluye desde la sucursal a la
oficina corporativa.
Preferencias de rutas:
1. tunnel.1 -> vpn1
2. ethernet4 -> lnea arrendada
3. interfaz null -> descartar
ethernet3
1.1.1.1/24
Puerta de enlace
1.1.1.250
ethernet3
2.2.2.2/24
tunnel.1
tunnel.1
LAN
10.1.1.0/24
Dispositivo A
Dispositivo B
Internet
LAN
10.2.2.0/24
vpn1
Lnea arrendada (ruta de respaldo)
Ruta NULL
ethernet4
2.3.3.2/24
77
WebUI (dispositivo-A)
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Metric: 1
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Metric: 1
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: ethernet4
Gateway IP Address: 1.2.2.5
Metric: 2
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
CLI (dispositivo-A)
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1
set vrouter trust-vr route 10.2.2.0/24 interface ethernet4 gateway 1.2.2.5 metric
2
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10
save
78
Puede verificar la presencia de las nuevas rutas ejecutando el comando get route.
device-C-> get route
NOTA:
NOTA:
Si una interfaz Tunnel est asociada a una zona de tnel, su estado siempre ser
activo.
79
2. Defina una segunda ruta hacia el mismo destino utilizando esta segunda
interfaz Tunnel y asgnele una mtrica ms alta (ms alejada de cero) que la de
la ruta preferida.
Cuando el estado de la interfaz Tunnel en funcionamiento pase de en lnea a
fuera de lnea y la entrada de la tabla de rutas relativa a esa interfaz quede
inactiva, las consultas de rutas encontrarn esta segunda ruta a la interfaz
Tunnel no operativa. El dispositivo de seguridad reenviar el trfico a la
segunda interfaz Tunnel y como no est asociada a un tnel VPN, el dispositivo
descartar el trfico.
80
Captulo 4
81
Tnel VPN punto a punto AutoKey IKE (con clave previamente compartida o
certificados)
Si una puerta de enlace tiene una direccin esttica, y la otra tiene una direccin
asignada de forma dinmica, se puede configurar el siguiente tipo de tnel:
Tnel VPN punto a punto de interlocutor dinmico AutoKey IKE (con clave
previamente compartida o certificados)
Tal como se utiliza aqu, una VPN punto a punto esttica implica la existencia de un
tnel IPSec para conectar dos puntos, cada uno de ellos con un dispositivo de
seguridad operativo como puerta de enlace segura. La interfaz o subinterfaz fsica
utilizada como interfaz de salida en ambos dispositivos tiene una direccin IP fija,
y los hosts internos tambin tienen direcciones IP estticas. Si el dispositivo de
seguridad se encuentra en modo transparente, utiliza la direccin VLAN1 como
direccin IP para la interfaz de salida. Con una VPN punto a punto esttica, los
hosts situados en cualquier extremo del tnel pueden iniciar la configuracin del
tnel VPN porque la direccin IP de la puerta de enlace remota se mantiene
constante y, por tanto, accesible.
Si la interfaz de salida de uno de los dispositivos de seguridad tiene una direccin IP
asignada dinmicamente, dicho dispositivo se considera un interlocutor dinmico y
la VPN se configura de forma distinta. Con una VPN punto a punto de interlocutor
dinmico, slo los hosts ubicados detrs del interlocutor dinmico pueden iniciar la
configuracin del tnel VPN, ya que slo su puerta de enlace remota tiene una
direccin IP fija y, por tanto, es accesible desde su puerta de enlace local. Sin
embargo, una vez que se ha establecido un tnel entre un interlocutor dinmico y
un interlocutor esttico, los hosts ubicados detrs de cualquier puerta de enlace
pueden iniciar trfico VPN si los hosts de destino tienen direcciones IP fijas.
NOTA:
82
Zona Trust
Oficin
de Tokio
Zona Untrust
tunnel.1, sin numerar
ethernet1
10.1.1.1/24
NAT
LAN
10.1.1.0/24
ethernet3, 1.1.1.1/24
enrutador externo, 1.1.1.250
Dispositivo de
seguridad
de Tokio
Internet
Tunnel:vpn1
enrutador externo, 2.2.2.250
LAN
10.2.2.0/24
Dispositivo de
seguridad
de Pars
ethernet1
10.2.2.1/24
ethernet3, 2.2.2.2/24
tunnel.1, sin numerar
Zona Untrust
Oficina
de Pars
Zona Trust
Direcciones
AutoKey IKE
Interlocutor dinmico
Clave manual
Rutas
Directivas
83
Zona Trust
Oficina
de Tokio
Zona Untrust
tunnel.1, sin numerar
ethernet1
10.1.1.1/24
NAT
Eth3, 1.1.1.1/24
Dispositivo de
seguridad
de Tokio
Internet
Dispositivo de
seguridad
de Pars
Eth3, 2.2.2.2/24
ethernet1
10.2.2.1/24
NAT
Zona Untrust
1.
Oficina
de Pars
Zona Trust
84
Zona Trust
Trust_LAN
Trust, 10.1.1.0/24
Tokio
Untrust 10.1.1.0/24
ethernet1
10.1.1.1/24
NAT
Zona Untrust
tunnel.1, sin numerar
ethernet3, 1.1.1.1/24
Dispositivo de
seguridad
de Tokio
Internet
LAN
ethernet3, 2.2.2.2/24
LAN
Dispositivo de
seguridad
de Pars
ethernet1
10.2.2.1/24
NAT
2.
Pars
Untrust, 10.2.2.0/24
Trust_LAN
Trust 10.2.2.0/24
Oficina
de Pars
Zona Trust
Direcciones
NOTA:
85
Trust_LAN
Trust, 10.1.1.0/24
Tokio
Untrust 10.1.1.0/24
Zona Untrust
Oficina
de Tokio
Zona Trust
ethernet1
10.1.1.1/24
NAT
Dispositivo de
seguridad
de Tokio
LAN
Trust_LAN
Trust 10.2.2.0/24
Internet
Tnel: vpn1
ethernet3, 2.2.2.2/24
LAN
Dispositivo de
seguridad
de Pars
3.
Oficina
de Pars
Pars
Untrust, 10.2.2.0/24
ethernet1
10.2.2.1/24
NAT
Zona Trust
VPN
AutoKey IKE
El mtodo AutoKey IKE utiliza una clave previamente compartida o un
certificado para renovar (es decir, modificar) las claves de encriptacin y
autenticacin automticamente en intervalos definidos por el usuario
(conocidos como periodos de vigencia de clave). En esencia, actualizar estas
claves con frecuencia refuerza la seguridad, aunque unos periodos de vigencia
de clave excesivamente breves pueden reducir el rendimiento general.
Interlocutor dinmico
Un interlocutor dinmico es una puerta de enlace remota que tiene una
direccin IP asignada de forma dinmica. Como es posible que la direccin IP
del interlocutor remoto sea diferente cada vez que comienzan las
negociaciones IKE, los hosts situados detrs del interlocutor deben iniciar el
trfico VPN. Asimismo (si se utiliza una clave previamente compartida para la
autenticacin), el interlocutor debe enviar una ID IKE durante el primer
mensaje de las negociaciones de fase 1 en modo dinmico para identificarse.
Clave manual
El mtodo de clave manual requiere la configuracin y actualizacin manual de
las claves de encriptacin y autenticacin. Este mtodo es una opcin viable
para un pequeo conjunto de tneles VPN.
86
Oficina
de Tokio
Zona Trust
ethernet1
10.1.1.1/24
NAT
Interfaz Null
Zona Untrust
tunnel.1, sin numerar
ethernet3, 1.1.1.1/24
Enrutador externo, 1.1.1.250
Internet
LAN
LAN
Tunnel:vpn1
enrutador externo, 2.2.2.250
ethernet3, 2.2.2.2/24
Interfaz Null
Tokio
Untrust, 10.1.1.0/24
Zona Untrust
4.
Oficina de
Pars
Trust_LAN
Trust, 10.2.2.0/24
Pars
Untrust,
10.2.2.0/24
trust-vr
Dest 10.1.1.0/24
Utilizar tunnel. 1
Dest 10.1.1.0/24
ethernet1 Utilizar NULL
10.2.2.1/24 Metric: 50
NAT
Zona Trust
Dest 0.0.0.0/0
Utilizar eth3
Puerta de enlace:
2.2.2.250
Rutas
Los administradores de cada extremo del tnel deben configurar al menos las rutas
siguientes:
NOTA:
Una ruta para el trfico destinado a una direccin de la LAN remota a travs de
tunnel.1.
Una ruta predeterminada para el resto del trfico, incluyendo el trfico de tnel
VPN externo, para el acceso a Internet a travs de ethernet3 y el enrutador
externo situado ms all (1.1.1.250 para la oficina de Tokio y 2.2.2.250 para la
de Pars). El enrutador externo es la puerta de enlace predeterminada hacia la
que el dispositivo de seguridad reenva todo el trfico para el que no disponga
de una ruta especfica en su tabla de enrutamiento.
Una ruta Null, de modo que si en algn momento el estado cambia de tunnel.1
a fuera de lnea y cualquier ruta que haga referencia a tunnel.1 se desactiva,
el dispositivo de seguridad no utilice la ruta predeterminada para reenviar el
trfico destinado a la LAN remota fuera de ethernet3 sin encriptar. Una ruta
Null utiliza la LAN remota como direccin de destino, pero enva trfico a la
interfaz Null, una interfaz lgica que descarta todo el trfico que recibe. Asigne
a la ruta Null una mtrica superior (ms alejada de cero) que la ruta a la LAN
remota que utiliza tunnel.1, haciendo la ruta Null menos preferente que la ruta
que hace referencia a la interfaz de tunnel.1.
87
Zona Trust
Dest 0.0.0.0/0
Utilizar eth1
puerta de enlace:
1.1.1.250
ethernet1
10.1.1.1/24
NAT
Trust_LAN
Trust, 10.1.1.0/24
Oficina
de Tokio
trust-vr
Dest 10.1.1.0/24
Utilizar tunnel. 1
Zona Untrust
Dest 0.0.0.0/0
Utilizar eth3
puerta de enlace:
2.2.2.250
Interfaz Null
Internet
LAN
LAN
Tunnel:vpn1
enrutador externo, 2.2.2.250
Tokio
Untrust,
10.1.1.0/24
Interfaz Null
ethernet3, 2.2.2.2/24
tunnel.1, sin numerar
Zona Untrust
Oficina
de Pars
Trust_LAN
Trust, 10.2.2.0/24
Pars
ethernet1 Untrust,
10.2.2.1/24 10.2.2.0/24
NAT
Trust -> Untrust
Trust_LAN ->
Pars
Zona Trust
ANY), Permit
Untrust -> Trust
Pars->
Trust_LAN
ANY, Permit
5.
Directivas
Los administradores de cada extremo del tnel definen directivas para permitir el
trfico entre las dos oficinas:
Una directiva que permita cualquier tipo de trfico desde Pars o Tokio en la
zona Untrust hasta Trust_LAN en la zona Trust
Como la ruta preferente al punto remoto indica tunnel.1, que est asociada al tnel
VPN vpn1, no es necesario que la directiva haga referencia al tnel VPN.
88
Zona
Trust
Pars
Zona
Untrust
Tokio
Zona Trust
eth1, 10.1.1.1/24
Pars
Tokio
Zona
Untrust
Interfaz de salida
Zona Untrust
eth3, 1.1.1.1/24
Puerta de enlace
1.1.1.250
Interfaz de salida
Zona Untrust
eth3, 2.2.2.2/24
Puerta de enlace
2.2.2.250
Internet
Zona
Trust
Pars
Zona Trust
eth1, 10.2.2.1/24
Tnel VPN
Interfaz de tnel
Tunnel.1
Interfaz de tnel
Tunnel.1
89
WebUI (Tokio)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Policy > Policy Elements> > Addresses > List > New: Introduzca los
siguientes datos y haga clic en OK:
Address Name: Paris_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Untrust
3.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: To_Paris
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2
90
(o bien)
Certificados
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: Tokyo_Paris
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Paris
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
91
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: Tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: To_Paris
Source Address: Trust_LAN
Destination Address: Paris_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Paris
Source Address: Paris_Office
Destination Address: Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
WebUI (Pars)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.2.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 2.2.2.2/24
92
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2.
Direcciones
Policy > Policy Elements> > Addresses > List > New: Introduzca los
siguientes datos y haga clic en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Trust
Policy > Policy Elements> > Addresses > List > New: Introduzca los
siguientes datos y haga clic en OK:
Address Name: Tokyo_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: To_Tokyo
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1
Clave previamente compartida
(o bien)
93
Certificados
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Name: Paris_Tokyo
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Tokyo
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
94
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: To_Tokyo
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Tokyo_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Tokyo
Source Address:
Address Book Entry: (seleccione), Tokyo_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
CLI (Tokio)
1.
Interfaces
Direcciones
VPN
(o bien)
95
Certificado
Rutas
Directivas
set policy top name To Paris from trust to untrust Trust_LAN Paris_Office any
permit
set policy top name From Paris from untrust to trust Paris_Office Trust_LAN any
permit
save
CLI (Pars)
1.
Interfaces
Direcciones
VPN
(o bien)
Certificado
4.
Rutas
Directivas
set policy top name To Tokyo from trust to untrust Trust_LAN Tokyo_Office any
permit
set policy top name From Tokyo from untrust to trust Tokyo_Office Trust_LAN any
permit
save
Pars
Zona
Untrust-Tun
Zona
Untrust
Zona
Untrust
Tokio
Zona Trust
eth1, 10.1.1.1/24
Pars
Tokio
Interfaz de salida
Zona Untrust
eth3, 1.1.1.1/24
Puerta de enlace
1.1.1.250
Interfaz de salida
Zona Untrust
eth3, 2.2.2.2/24
Puerta de enlace
2.2.2.250
Internet
Zona
Untrust-Tun
Zona
Untrust
Pars
Zona Trust
eth1, 10.2.2.1/24
Tnel VPN
97
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Paris_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Untrust
3.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: To_Paris
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2
98
(o bien)
Certificados
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: Tokyo_Paris
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), To_Paris
4.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: To/From Paris
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Paris_Office
Service: ANY
Action: Zona
Tunnel VPN: Tokyo_Paris
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
99
WebUI (Pars)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.2.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 2.2.2.2/24
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Tokyo_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: To_Tokyo
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1
100
(o bien)
Certificados
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: Paris_Tokyo
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), To_Tokyo
4.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
101
5.
Diresctivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: To/From Tokyo
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Tokyo_Office
Service: ANY
Action: Zona
Tunnel VPN: Paris_Tokyo
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
CLI (Tokio)
1.
Interfaces
Direcciones
VPN
(o bien)
Certificados
Ruta
Directivas
set policy top name To/From Paris from trust to untrust Trust_LAN paris_office
any tunnel vpn tokyo_paris
set policy top name To/From Paris from untrust to trust paris_office Trust_LAN
any tunnel vpn tokyo_paris
save
102
CLI (Pars)
1.
Interfaces
Direcciones
VPN
(o bien)
Certificados
Ruta
Directivas
set policy top name To/From Tokyo from trust to untrust Trust_LAN tokyo_office
any tunnel vpn paris_tokyo
set policy top name To/From Tokyo from untrust to trust tokyo_office Trust_LAN
any tunnel vpn paris_tokyo
save
103
Zona
Trust
Zona
Untrust
Zona
Untrust
Interfaz de salida
Zona Untrust
eth3 y puerta de enlace
asignadas dinmicamente
por el ISP
Tokio
Zona Trust
eth1, 10.1.1.1/24
Pars
Tokio
Pars
Interfaz de salida
Zona Untrust
eth3, 2.2.2.2/24
Puerta de enlace
2.2.2.250
Zona
Trust
Pars
Zona Trust
eth1, 10.2.2.1/24
Internet
Tnel VPN
Interfaz de tnel
Tunnel.1
Interfaz de tnel
Tunnel.1
Servidor DHCP
2.1.1.5
Una ruta Null al destino. Asigne una mtrica ms alta (ms alejada de cero) a la
ruta Null para que se convierta en la siguiente opcin de ruta al destino.
A continuacin, si el estado de la interfaz de tnel cambia a fuera de lnea y la
ruta que hace referencia a esa interfaz tambin se desactiva, el dispositivo de
seguridad utiliza la ruta Null, que descarta todo trfico enviado hacia l, en
lugar de la ruta predeterminada, que reenva trfico no encriptado.
Finalmente, configure directivas para permitir trfico bidireccional entre los dos
sitios.
WebUI (Tokio)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
104
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Untrust
NOTA:
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Paris_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Untrust
3.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: To_Paris
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2
Clave previamente compartida
105
(o bien)
Certificados
NOTA:
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: Tokyo_Paris
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Paris
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 0.0.0.0
106
NOTA:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Paris_Office
Service: Any
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Paris_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: Any
Action: Permit
Position at Top: (seleccione)
WebUI (Pars)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.2.2.1/24
107
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address: 2.2.2.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Tokyo_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: To_Tokyo
Security Level: Custom
Remote Gateway Type:
Dynamic IP Address: (seleccione), Peer ID: pmason@abc.com
Clave previamente compartida
(o bien)
108
Certificados
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: Paris_Tokyo
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Tokyo
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: (seleccione), 2.2.2.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
109
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Tokyo_Office
Service: Any
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Tokyo_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: Any
Action: Permit
Position at Top: (seleccione)
CLI (Tokio)
1.
Interfaces
Direcciones
VPN
(o bien)
Certificados
110
NOTA:
Rutas
Directivas
set policy top from trust to untrust Trust_LAN Paris_Office any permit
set policy top from untrust to trust Paris_Office Trust_LAN any permit
save
CLI (Pars)
1.
Interfaces
Direcciones
VPN
(o bien)
Certificados
111
NOTA:
Rutas
Directivas
set policy top from trust to untrust Trust_LAN Tokyo_Office any permit
set policy top from untrust to trust Tokyo_Office Trust_LAN any permit
save
Sucursal
Zona Trust
eth1, 10.1.1.1/24
Zona
DMZ
Zona
Untrust
Zona
Untrust
Zona
Trust
Interfaz de salida
Zona Untrust
eth3 y puerta de enlace
asignados dinmicamente
por el ISP
Interfaz de salida
Zona Untrust
eth3, 2.2.2.2/24
Gateway 2.2.2.250
Oficina
corporativa
Zona DMZ
eth2, 3.3.3.3/24
Servidor de
correo
electrnico
3.3.3.5
Internet
Dispositivo A
Peticin
SMTP o POP3
ID
Usuario de
autenticacin
Nombre de usuario: pmason
Contrasea: Nd4syst4
Phil
112
Tnel VPN
Servidor
DHCP
2.1.1.5
Dispositivo B
Peticin
IDENT
NOTA:
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Obtain IP using DHCP: (seleccione)
NOTA:
113
2.
Usuario
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
User Name: pmason
Status: Enable
Authentication User: (seleccione)
User Password: Nd4syst4
Confirm Password: Nd4syst4
3.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Trusted_network
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Mail_Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 3.3.3.5/32
Zone: Untrust
4.
Servicios
Policy > Policy Elements > Services > Custom > New: Introduzca los
siguientes datos y haga clic en OK:
Service Name: Ident
Service Timeout:
Use protocol default: (seleccione)
Transport Protocol: TCP (seleccione)
Source Port: Low 0, High 65535
Destination Port: Low 113, High 113
Policy > Policy Elements > Services > Group > New: Introduzca los
siguientes datos, mueva los siguientes servicios; finalmente, haga clic en OK:
Group Name: Remote_Mail
Group Members << Available Members:
HTTP
FTP
Telnet
Ident
MAIL
POP3
114
5.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: To_Mail
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2
Clave previamente compartida
(o bien)
Certificados
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Name: branch_corp
Security Level: Compatible
Remote Gateway Tunnel: To_Mail
6.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 0.0.0.0
115
NOTA:
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (select), Trusted_network
Destination Address:
Address Book Entry: (seleccione), Mail_Server
Service: Remote_Mail
Action: Tunnel
VPN Tunnel: branch_corp
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
WebUI (dispositivo-B)
1.
Interfaces
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: DMZ
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 3.3.3.3/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 2.2.2.2/24
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Mail Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 3.3.3.5/32
Zone: DMZ
116
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: branch office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3.
Servicios
Policy > Policy Elements > Services > Custom > New: Introduzca los
siguientes datos y haga clic en OK:
Service Name: Ident
Service Timeout:
Use protocol default: (seleccione)
Transport Protocol: TCP (seleccione)
Source Port: Low 0, High 65535
Destination Port: Low 113, High 113
Policy > Policy Elements > Services > Groups > New: Introduzca los
siguientes datos, mueva los siguientes servicios; finalmente, haga clic en OK:
Group Name: Remote_Mail
Group Members << Available Members:
Ident
MAIL
POP3
4.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: To_branch
Security Level: Custom
Remote Gateway Type:
Dynamic IP Address: (seleccione), Peer ID: pmason@abc.com
Clave previamente compartida
(o bien)
117
Certificados
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: corp_branch
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_branch
5.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
6.
Directivas
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Mail_Server
Destination Address:
Address Book Entry: (select), branch_office
Service: Remote_Mail
Action: Tunnel
VPN Tunnel: corp_branch
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
CLI (dispositivo-A)
1.
Interfaces
Usuario
118
3.
Direcciones
Servicios
set
set
set
set
set
set
set
set
5.
VPN
(o bien)
Certificados
Ruta
Directivas
set policy top from trust to untrust trusted network mail server remote_mail
tunnel vpn branch_corp auth server Local user pmason
set policy top from untrust to trust mail server trusted network remote_mail
tunnel vpn branch_corp
save
CLI (dispositivo-B)
1.
Interfaces
119
2.
Direcciones
Servicios
set
set
set
set
set
4.
VPN
(o bien)
Certificados
Ruta
Directivas
set policy top from dmz to untrust mail server branch office remote_mail
tunnel vpn corp_branch
set policy top from untrust to dmz branch office mail server remote_mail
tunnel vpn corp_branch
save
120
Tokio:
Pars:
Zona
Trust
Pars
Zona
Untrust
Tokio
Zona Trust
eth1, 10.1.1.1/24
Pars
Tokio
Zona
Untrust
Interfaz de salida
Zona Untrust
eth3, 1.1.1.1/24
Puerta de enlace
1.1.1.250
Interfaz de salida
Zona Untrust
eth3, 2.2.2.2/24
Puerta de enlace
2.2.2.250
Internet
Zona
Trust
Pars
Zona Trust
eth1, 10.2.2.1/24
Tnel VPN
Interfaz de tnel
Tunnel.1
Interfaz de tnel
Tunnel.1
Para configurar el tnel, lleve a cabo los siguientes pasos en los dispositivos de
seguridad situados a ambos extremos del tnel:
1. Asignar direcciones IP a las interfaces fsicas asociadas a las zonas de seguridad
y a la interfaz de tnel.
2. Configurar el tnel VPN, designar su interfaz de salida en la zona Untrust y
asociarla a la interfaz de tnel.
3. Introducir las direcciones IP de los puntos finales local y remoto en las libretas
de direcciones para las zonas Trust y Untrust.
4. Introducir una ruta predeterminada al enrutador externo en trust-vr, una ruta al
destino a travs de la interfaz de tnel y otra ruta Null al destino. Asigne una
mtrica ms alta (ms alejada de cero) a la ruta Null para que se convierta en la
siguiente opcin de ruta al destino. A continuacin, si el estado de la interfaz de
tnel cambia a fuera de lnea y la ruta que hace referencia a esa interfaz
tambin se desactiva, el dispositivo de seguridad utiliza la ruta Null, que
descarta todo trfico enviado hacia l, en lugar de la ruta predeterminada, que
reenva trfico no encriptado.
5. Definir directivas para la circulacin del trfico VPN entre ambos sitios.
121
WebUI (Tokio)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Paris_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Untrust
3.
VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK:
VPN Tunnel Name: Tokyo_Paris
Gateway IP: 2.2.2.2
Security Index: 3020 (Local), 3030 (Remote)
Outgoing Interface: ethernet3
ESP-CBC: (seleccione)
Encryption Algorithm: 3DES-CBC
Generate Key by Password: asdlk24234
Authentication Algorithm: SHA-1
Generate Key by Password: PNas134a
122
> Advanced: Introduzca los siguientes ajustes avanzados; luego haga clic
en Return para regresar a la pgina de configuracin bsica del tnel de clave
manual:
Bind to: Tunnel Interface, tunnel.1
4.
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: To_Paris
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Paris_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Paris
Source Address:
Address Book Entry: (seleccione), Paris_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
123
WebUI (Pars)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.2.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Tokyo_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3.
VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK:
VPN Tunnel Name: Paris_Tokyo
Gateway IP: 1.1.1.1
Security Index: 3030 (Local), 3020 (Remote)
Outgoing Interface: ethernet3
ESP-CBC: (seleccione)
Encryption Algorithm: 3DES-CBC
Generate Key by Password: asdlk24234
Authentication Algorithm: SHA-1
Generate Key by Password: PNas134a
124
> Advanced: Introduzca los siguientes ajustes avanzados; luego haga clic
en Return para regresar a la pgina de configuracin bsica del tnel de
clave manual:
Bind to: Tunnel Interface, tunnel.1
4.
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: To_Tokyo
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Tokyo_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Tokyo
Source Address:
Address Book Entry: (seleccione), Tokyo_Office
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
125
CLI (Tokio)
1.
Interfaces
Direcciones
VPN
Rutas
Directivas
set policy top name To Paris from trust to untrust Trust_LAN Paris_Office any
permit
set policy top name From Paris from untrust to trust Paris_Office Trust_LAN any
permit
save
CLI (Pars)
1.
Interfaces
Direcciones
VPN
Rutas
126
5.
Directivas
set policy top name To Tokyo from trust to untrust Trust_LAN Tokyo_Office any
permit
set policy top name From Tokyo from untrust to trust Tokyo_Office Trust_LAN any
permit
save
Tokio:
Pars:
Zona
Trust
Pars
Zona
Untrust-Tun
Zona
Untrust
Zona
Untrust
Tokio
Zona Trust
ethernet1, 10.1.1.1/24
Pars
Tokio
Interfaz de salida
Zona Untrust
ethernet3, 2.2.2.2/24
Puerta de enlace
2.2.2.250
Interfaz de salida
Zona Untrust
ethernet3, 1.1.1.1/24
Puerta de enlace
1.1.1.250
Internet
Zona
Untrust-Tun
Zona
Trust
Pars
Zona Trust
ethernet1, 10.2.2.1/24
Tnel VPN
Para configurar el tnel, lleve a cabo los siguientes pasos en los dispositivos de
seguridad situados a ambos extremos del tnel:
1. Asignar direcciones IP a las interfaces fsicas asociadas a las zonas de
seguridad.
127
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Paris_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Untrust
128
3.
VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK:
VPN Tunnel Name: Tokyo_Paris
Gateway IP: 2.2.2.2
Security Index: 3020 (Local), 3030 (Remote)
Outgoing Interface: ethernet3
ESP-CBC: (seleccione)
Encryption Algorithm: 3DES-CBC
Generate Key by Password: asdlk24234
Authentication Algorithm: SHA-1
Generate Key by Password: PNas134a
> Advanced: Introduzca los siguientes ajustes avanzados; luego haga clic
en Return para regresar a la pgina de configuracin bsica del tnel de
clave manual:
Bind to: Tunnel Zone, Untrust-Tun
4.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: To/From Paris
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Paris_Office
Service: ANY
Action: Zona
Tunnel VPN: Tokyo_Paris
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
WebUI (Pars)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.2.2.1/24
129
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 2.2.2.2/24
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Tokyo_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3.
VPN
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK:
VPN Tunnel Name: Paris_Tokyo
Gateway IP: 1.1.1.1
Security Index (HEX Number): 3030 (Local), 3020 (Remote)
Outgoing Interface: ethernet3
ESP-CBC: (seleccione)
Encryption Algorithm: 3DES-CBC
Generate Key by Password: asdlk24234
Authentication Algorithm: SHA-1
Generate Key by Password: PNas134a
> Advanced: Introduzca los siguientes ajustes avanzados; luego haga clic
en Return para regresar a la pgina de configuracin bsica del tnel de
clave manual:
Bind to: Tunnel Zone, Untrust-Tun
4.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
130
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: To/From Tokyo
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Tokyo_Office
Service: ANY
Action: Zona
Tunnel VPN: Paris_Tokyo
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
CLI (Tokio)
1.
Interfaces
Direcciones
VPN
Ruta
Directivas
set policy top name To/From Paris from trust to untrust Trust_LAN paris_office
any tunnel vpn tokyo_paris
set policy top name To/From Paris from untrust to trust paris_office Trust_LAN
any tunnel vpn tokyo_paris
save
CLI (Pars)
1.
Interfaces
Direcciones
131
3.
VPN
Ruta
Directivas
set policy top name To/From Tokyo from trust to untrust Trust_LAN tokyo_office
any tunnel vpn paris_tokyo
set policy top name To/From Tokyo from untrust to trust tokyo_office Trust_LAN
any tunnel vpn paris_tokyo
save
132
www.jnpr.net
Tnel VPN
1.1.1.202 = www.jnpr.net
Conjunto de direcciones IP
1.1.1.10
1.1.7.9
Servidor DHCP
Servidor DNS
Alias
Tambin es posible utilizar un alias para el FQDN del interlocutor IKE remoto si el
servidor DNS al que consulta el dispositivo de seguridad local devuelve slo una
direccin IP. Si el servidor DNS devuelve varias direcciones IP, el dispositivo local
utilizar la primera que reciba. Como no existe ninguna garanta sobre el orden de
aparicin de las direcciones en la respuesta del servidor DNS, es posible que el
dispositivo de seguridad local utilice la direccin IP incorrecta y, por tanto, las
negociaciones IKE podran fracasar.
Figura 37: Respuestas mltiples de DNS que derivan en el xito o el fracaso de la negociacin IKE
Dispositivo de seguridad local
El dispositivo utiliza
esta direccin IP.
Servidor DNS
Respuesta DNS:
www.jnpr.net = 1.1.1.202
www.jnpr.net = 1.1.1.114
www.jnpr.net = 1.1.1.20
133
Pars
Zona
Untrust
Zona
Untrust
Tokio
Zona Trust
ethernet1, 10.1.1.1/24
Interfaz de salida
Zona Untrust
ethernet3, IP y puerta de
enlace a travs del
protocolo DHCP
www.nspar.com
Interfaz de salida
Zona Untrust
ethernet3, 1.1.1.1/24
Puerta de enlace
1.1.1.250
Internet
Pars
Zona
Trust
Pars
Zona Trust
ethernet1, 10.2.2.1/24
Tnel VPN
Interfaz Tunnel: tunnel.1
Puerta de enlace remota: www.nspar.com
134
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
135
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Paris_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Untrust
3.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: To_Paris
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: www.nspar.com
Clave previamente compartida
(o bien)
Certificados
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: Tokyo_Paris
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Paris
136
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 0.0.0.0
NOTA:
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: To_Paris
Source Address: Trust_LAN
Destination Address: Paris_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
137
Policies > Policy (From: Untrust, To: Trust) > New Policy: Introduzca los
siguientes datos y haga clic en OK:
Name: From_Paris
Source Address: Paris_Office
Destination Address: Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
WebUI (Pars)
1.
Network > DNS: Introduzca los siguientes datos y haga clic en Apply:
Host Name: www
Domain Name: nspar.com
2.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.2.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Obtain IP using DHCP: (seleccione)
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
3.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Trust
138
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Tokyo_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
4.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: To_Tokyo
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1
Clave previamente compartida
(o bien)
Certificados
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Name: Paris_Tokyo
Security Level: Custom
Remote Gateway:
Predefined: (seleccione), To_Tokyo
139
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
6.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: To_Tokyo
Source Address: Trust_LAN
Destination Address: Tokyo_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Name: From_Tokyo
Source Address: Tokyo_Office
Destination Address: Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
140
CLI (Tokio)
1.
Interfaces
Direcciones
VPN
(o bien)
Certificado
set ike gateway to_paris address www.nspar.com main outgoing-interface
ethernet3 proposal rsa-g2-3des-sha
set ike gateway to_paris cert peer-ca 1
set ike gateway to_paris cert peer-cert-type x509-sig
set vpn tokyo_paris gateway to_paris sec-level compatible
set vpn tokyo_paris bind interface tunnel.1
set vpn tokyo_paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any
NOTA:
Rutas
Directivas
set policy top name To Paris from trust to untrust Trust_LAN paris_office any
permit
set policy top name From Paris from untrust to trust paris_office Trust_LAN any
permit
save
CLI (Pars)
1.
141
2.
Interfaces
Direcciones
VPN
(o bien)
Certificado
Rutas
Directivas
set policy top name To Tokyo from trust to untrust Trust_LAN tokyo_office any
permit
set policy top name From Tokyo from untrust to trust tokyo_office Trust_LAN any
permit
save
NOTA:
142
Para NAT-src, las interfaces situadas a ambos extremos del tnel deben poseer
direcciones IP en subredes exclusivas entre s, con un conjunto de direcciones IP
dinmicas (DIP) en cada una de dichas subredes. Las directivas que regulan el
trfico VPN saliente pueden aplicar NAT-src mediante direcciones de conjunto DIP
para traducir las direcciones de origen originales y convertirlas en direcciones de un
espacio de direcciones neutro.
NOTA:
NAT-dst basada en directivas: una directiva puede aplicar NAT-dst para traducir
el trfico VPN entrante y convertirlo en una direccin que se encuentre en la
misma subred que la interfaz de tnel (pero no en el mismo rango que el
conjunto de DIP local utilizado para el trfico VPN saliente) o en una direccin
de otra subred a la que el dispositivo de seguridad tenga una entrada en su
tabla de rutas. (Para encontrar informacin acerca de los aspectos que rodean a
la configuraciin de NAT-dst, consulte Enrutamiento para NAT-Dst en la
pgina 8-32.)
Direccin IP asignada (MIP): una directiva puede hacer referencia a una MIP
como direccin de destino. La MIP utiliza una direccin que se encuentra en la
misma subred que la interfaz de tnel (pero no en el mismo rango que el
conjunto de DIP local utilizado para el trfico VPN de salida). (Para encontrar
informacin acerca de las MIP, consulte Direcciones IP asignadas en la
pgina 8-63.)
El trfico VPN entre dos puntos con direcciones superpuestas requiere la traduccin
de direcciones en ambos sentidos. Como la direccin de origen del trfico saliente
no puede ser la misma que la direccin de destino del trfico entrante (la direccin
NAT-dst o MIP no puede estar en el conjunto de DIP), las direcciones de las que se
incluyen referencias en las directivas de entrada y salida no pueden ser simtricas.
Si desea que el dispositivo de seguridad realice una traduccin de direcciones de
origen y destino para el trfico VPN direccional que atraviese el mismo tnel,
dispone de las dos opciones siguientes:
143
NOTA:
Puede utilizar una configuracin de tnel VPN basada en rutas, que debe tener
una ID de proxy definida por el usuario. Con una configuracin de tnel VPN
basada en rutas, no se hace referencia de forma especfica a un tnel VPN en
una directiva. En su lugar, la directiva controla (permite o deniega) el acceso a
un destino en particular. La ruta que conduce a dicho destino apunta a una
interfaz de tnel que, a su vez, est asociada a un tnel VPN. Como el tnel
VPN no est asociado directamente a ninguna directiva a partir de la que se
pueda derivar una ID de proxy de la direccin de origen, la direccin de destino
y el servicio, habr que definir una ID de proxy de forma manual. (Recuerde
que una configuracin VPN basada en rutas tambin permite crear mltiples
directivas que hagan uso de un nico tnel VPN; es decir, una SA de fase 2
sencilla).
Examine las direcciones de la Figura 39, en la que se ejemplifica un tnel VPN entre
dos puntos con espacios de direcciones superpuestas.
Figura 39: Superposicin de direcciones en ubicaciones de interlocutores
Tnel VPN
Dispositivo A
Espacio de
direcciones
interno
10.1.1.0/24
Dispositivo B
tunnel.1
10.10.1.1/24
tunnel.2
10.20.2.1/24
Espacio de
direcciones
interno
10.1.1.0/24
Direcciones en directivas
10.10.1.2 10.10.1.2 DIP
10.10.1.5 (a 10.1.1.5) MIP
Dispositivo B
Local
Remota
Servicio
Salida
10.10.1.2/32
10.20.2.5/32
Any
Entrada
10.10.1.5/32
10.20.2.2/32
Any
Local
Remota
Servicio
Entrada
10.20.2.5/32
10.10.1.2/32
Any
Salida
10.20.2.2/32
10.10.1.5/32
Any
Como se muestra en la tabla, existen dos ID de proxy: una para el trfico VPN
entrante y otra para el saliente. Cuando el dispositivo A enva trfico por primera
vez desde 10.10.1.2/32 hasta 10.20.2.5/32, los dos interlocutores realizan
negociaciones IKE y generan asociaciones de seguridad (SA) de fase 1 y fase 2. La
SA de fase 2 da como resultado la ID de proxy de salida anterior para el dispositivo
A y la ID de proxy de entrada para el dispositivo B.
144
Dispositivo B
Remota
Servicio
Local
Remota
Servicio
0.0.0.0/0
0.0.0.0/0
Any
0.0.0.0/0
0.0.0.0/0
Any
NOTA:
La direccin 0.0.0.0/0 incluye todas las direcciones IP y, por tanto, las direcciones
del conjunto de DIP y MIP.
Para crear un tnel VPN para el trfico bidireccional entre dos puntos con espacios
de direcciones superpuestas cuando las direcciones para NAT-src y NAT-dst
configuradas en el mismo dispositivo se encuentran en subredes distintas, la ID de
proxy para el tnel debe ser (IP local) 0.0.0.0/0 (IP remota) 0.0.0.0/0 tipo de
servicio. Si desea utilizar direcciones ms restrictivas en la ID de proxy, las
direcciones para NAT-src y NAT-dst debern encontrarse en la misma subred.
En este ejemplo vamos a configurar un tnel VPN entre el dispositivo A situado en
el sitio corporativo y el dispositivo B situado en la sucursal de la empresa. El
espacio de direcciones para las entidades finales VPN se superpone; ambas utilizan
direcciones en la subred 10.1.1.0/24. Para superar este conflicto, utilizaremos
NAT-src para traducir la direccin de origen del trfico VPN saliente y NAT-dst para
traducir la direccin de destino del trfico VPN entrante. Las directivas permiten
que todas las direcciones de la LAN corporativa accedan a un servidor FTP de la
sucursal, y que todas las direcciones de la sucursal accedan a un servidor FTP de la
sede central.
145
NOTA:
Las configuraciones de ambos extremos del tnel utilizan los siguientes parmetros:
AutoKey IKE, clave previamente compartida (netscreen1) y el nivel de seguridad
predefinido como Compatible para propuestas de fase 1 y fase 2. (Para ver los
detalles sobre estas propuestas, consulte Negociacin de tnel en la pgina 9).
La interfaz de salida del dispositivo-A en el sitio corporativo es ethernet3, que tiene
la direccin IP 1.1.1.1/24 y est asociada a la zona Untrust. El dispositivo-B, en la
sucursal, utiliza esta direccin como puerta de enlace IKE remota.
La interfaz de salida del dispositivo-B en la sucursal es ethernet3, que tiene la
direccin IP 2.2.2.2/24 y est asociada a la zona Untrust. El dispositivo-A, en el sitio
corporativo, utiliza esta direccin como puerta de enlace IKE remota.
La interfaz de zona Trust de ambos dispositivos de seguridad es ethernet1 y tiene la
direccin IP 10.1.1.1/24. Todas las zonas de ambos dispositivos de seguridad se
encuentran en el dominio de enrutamiento trust-vr.
Figura 40: Interfaz de tnel con NAT-Src y NAT-Dst
Topologa de las zonas
configuradas en el
dispositivo-A en la sucursal.
A
Zona Trust
servidorA
10.1.1.5
A
Zona Trust
Zona Untrust
Puerta de enlace
2.2.2.250
Puerta de
enlace
Dispositivo A
Internet
Dispositivo B
servidorB
10.1.1.5
Red B
10.1.1.0/24
Tunnel.1 10.10.1.1/24
Tunnel.1 10.20.1.1/24
Red A
server A
Zona Untrust
Red A
10.1.1.0/24
146
Tnel VPN
vpn1
servidorB
Red B
WebUI (dispositivo-A)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask: 10.10.1.1/24
2.
DIP
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: (seleccione), 10.10.1.2 ~ 10.10.1.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
3.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: virtualA
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.1.5/32
Zone: Trust
147
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: branch1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.20.1.2/32
Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: servidorB
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.20.1.5/32
Zone: Untrust
4.
VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: branch1
Type: Static IP: (seleccione), Address/Hostname: 2.2.2.2
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
NOTA:
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.20.1.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
148
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.20.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
6.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), servidorB
Service: FTP
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), branch1
Destination Address:
Address Book Entry: (seleccione), virtualA
Service: FTP
Action: Permit
Position at Top: (seleccione)
WebUI (dispositivo-B)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
149
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask: 10.20.1.1/24
2.
DIP
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 6
IP Address Range: (seleccione), 10.20.1.2 ~ 10.20.1.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
3.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: branch1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: virtualB
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.20.1.5/32
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.1.2/32
Zone: Untrust
150
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: servidorA
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.1.5/32
Zone: Untrust
4.
VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: corp
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.10.1.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
151
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.10.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
6.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), servidorA
Service: FTP
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), virtualB
Service: FTP
Action: Permit
Position at Top: (seleccione)
CLI (dispositivo-A)
1.
Interfaces
152
2.
DIP
Direcciones
set
set
set
set
4.
VPN
Rutas
Directivas
set policy top from trust to untrust corp servidorB ftp nat src dip-id 5 permit
set policy top from untrust to trust branch1 virtualA ftp nat dst ip 10.1.1.5 permit
save
CLI (dispositivo-B)
1.
Interfaces
DIP
Direcciones
VPN
153
NOTA:
Rutas
Directivas
set policy top from trust to untrust branch1 servidorA ftp nat src dip-id 6 permit
set policy top from untrust to trust corp virtualB ftp nat dst ip 10.1.1.5 permit
save
NOTA:
NOTA:
154
Dispositivo A
Dispositivo B
Zona V1-Trust
Zona V1-Untrust
Interfaz VLAN1
Direcciones
Tnel VPN
seguridad: compatible
seguridad: compatible
Directivas
Enrutador externo
Ruta
1.Puede separar el trfico VPN del administrativo utilizando la direccin IP de administracin para recibir el trfico
administrativo y la direccin VLAN1 para terminar el trfico VPN.
WebUI (dispositivo-A)
1.
NOTA:
Interfaces
NOTA:
Se deben habilitar las opciones de administracin para WebUI, Telnet y Ping tanto
en la zona V1-Trust como en la interfaz VLAN1 para que un administrador local de
la zona V1-Trust pueda acceder a la direccin IP de administracin de VLAN1. Si la
administracin a travs de la WebUI an no est habilitada en las interfaces de
zona V1-Trust y VLAN1, no ser posible acceder al dispositivo de seguridad a
travs de la WebUI para realizar estos ajustes. En su lugar, deber habilitar la
administracin mediante WebUI en estas interfaces a travs de una conexin de
consola.
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Management Services: WebUI, Telnet
Other Services: Ping
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: V1-Untrust
IP Address/Netmask: 0.0.0.0/0
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: lan_local
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.0/24
Zone: V1-Trust
156
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: lan_interlocutor
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.0/24
Zone: V1-Untrust
3.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: gw1
Security Level: Compatible
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2
Preshared Key: h1p8A24nG5
Outgoing Zone: V1-Untrust
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), gw1
4.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: VLAN1 (VLAN)
Gateway IP Address: 1.1.1.250
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), lan_local
Destination Address:
Address Book Entry: (seleccione), lan_interlocutor
Service: ANY
Action: Zona
Tunnel VPN: vpn1
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
WebUI (dispositivo-B)
1.
NOTA:
Interfaces
NOTA:
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: V1-Untrust
IP Address/Netmask: 0.0.0.0/0
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: lan_local
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.0/24
Zone: V1-Trust
158
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: lan_interlocutor
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.0/24
Zone: V1-Untrust
3.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: gw1
Security Level: Compatible
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1
Preshared Key: h1p8A24nG5
Outgoing Zone: V1-Untrust
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), gw1
4.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: VLAN1 (VLAN)
Gateway IP Address: 2.2.2.250
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), lan_local
Destination Address:
Address Book Entry: (seleccione), lan_interlocutor
Service: ANY
Action: Zona
Tunnel VPN: vpn1
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
CLI (dispositivo-A)
1.
Interfaces y zonas
Se deben habilitar las opciones de administracin para WebUI, Telnet y Ping tanto
en la zona V1-Trust como en la interfaz VLAN1 para que un administrador local de
la zona V1-Trust pueda acceder a la direccin IP de administracin de VLAN1.
2.
Direcciones
VPN
set ike gateway gw1 address 2.2.2.2 main outgoing-interface v1-untrust preshare
h1p8A24nG5 sec-level compatible
set vpn vpn1 gateway gw1 sec-level compatible
4.
Rutas
Directivas
set policy top from v1-trust to v1-untrust lan_local lan_interlocutor any tunnel vpn
vpn1
set policy top from v1-untrust to v1-trust lan_interlocutor lan_local any tunnel vpn
vpn1
save
CLI (dispositivo-B)
1.
Interfaces y zonas
160
2.
Direcciones
VPN
set ike gateway gw1 address 1.1.1.1 main outgoing-interface v1-untrust preshare
h1p8A24nG5 sec-level compatible
set vpn vpn1 gateway gw1 sec-level compatible
4.
Rutas
Directivas
set policy top from v1-trust to v1-untrust lan_local lan_interlocutor any tunnel vpn
vpn1
set policy top from v1-untrust to v1-trust lan_interlocutor lan_local any tunnel vpn
vpn1
save
162
Captulo 5
163
Acceso telefnico
Es posible configurar tneles para usuarios de VPN de acceso telefnico de forma
individual o reuniendo varios usuarios en un grupo VPN de acceso telefnico, en
cuyo caso slo tendr que configurar un tnel. Tambin es posible crear un usuario
de identificacin IKE de grupo, lo que permite definir un usuario cuya identificacin
IKE se utilizar como parte de todas las ID IKE de los usuarios IKE de acceso
telefnico. Esto permite ahorrar bastante tiempo cuando hay grandes grupos de
usuarios de acceso telefnico, puesto que no tendr que configurar a cada usuario
IKE individualmente.
NOTA:
NOTA:
NOTA:
164
Acceso telefnico
NOTA:
Oficina corporativa
Zona Trust
ethernet1, 10.1.1.1/24
Zona Untrust
Servidor UNIX
10.1.1.5
Internet
LAN
Tnel VPN
Zona
Untrust
Zona
Trust
Acceso telefnico
165
WebUI
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
2.
Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: UNIX
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
3.
Usuario
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
User Name: Wendy
Status: Enable (seleccione)
IKE User: (seleccione)
Simple Identity: (seleccione)
IKE Identity: wparker@email.com
4.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: Wendy_NSR
Security Level: Custom
Remote Gateway Type:
Dialup User: (seleccione), User: Wendy
166
Acceso telefnico
Certificados
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: Wendy_UNIX
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), Wendy_NSR
(o bien)
Clave previamente compartida
protocolo, el modo principal IKE junto con la clave previamente compartida (PSK)
no se puede utilizarse en los usuarios VPN de acceso telefnico. Adems, se
recomienda nunca utilizar el modo dinmico debido a que dicho modo tiene
problemas de seguridad inherentes. Por consecuencia, se recomienda firmemente
configurar a los usuarios VPN de acceso telefnico con los certificados PKI y en
modo principal.
Preshared Key: h1p8A24nG5
Outgoing Interface: ethernet3
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Acceso telefnico
167
6.
Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), UNIX
Service: ANY
Action: Tunnel
Tunnel VPN: Wendy_UNIX
Modify matching bidirectional VPN policy: (anule la seleccin)
Position at Top: (seleccione)
CLI
1.
Interfaces
Direccin
Usuario
VPN
Certificados
protocolo, el modo principal IKE junto con la clave previamente compartida (PSK)
no se puede utilizarse en los usuarios VPN de acceso telefnico. Adems, se
recomienda nunca utilizar el modo dinmico debido a que dicho modo tiene
problemas inherentes de poca seguridad. Por consecuencia, se recomienda
firmemente configurar a los usuarios VPN de acceso telefnico con los certificados
PKI y en modo principal.
set ike gateway wendy_nsr dialup wendy aggressive outgoing-interface ethernet3
preshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn wendy_unix gateway wendy_nsr sec-level compatible
168
Acceso telefnico
5.
Ruta
Directiva
set policy top from untrust to trust Dial-Up VPN unix any tunnel vpn wendy_unix
save
4. Haga clic en el signo MS, que se ubica a la izquierda del icono de UNIX para
ampliar la directiva de la conexin.
5. Haga clic en My Identity: Siga uno de estos dos pasos:
Haga clic en Pre-shared Key > Enter Key: Escriba h1p8A24nG5, despus
haga clic en OK.
ID Type: (seleccione E-mail Address) y escriba wparker@email.com.
(o bien)
Seleccione un certificado de la lista desplegable para seleccionar el
certificado.
ID Type: (seleccione E-mail Address)
NOTA:
Acceso telefnico
169
(o bien)
Authentication Method: RSA Signatures
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Tunnel
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Tunnel
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Tunnel
170
Acceso telefnico
Puede crear una ruta asociando la direccin con una interfaz de tnel unida a
un tnel VPN apropiado.
Interfaz de salida
ethernet3
1.1.1.1/24
Oficina corporativa
ethernet2
1.2.2.1/24
Peticin
SMTP
Direccin IP externa
dinmica
Servidor de
correo
1.2.2.5
Peticin
IDENT
Tnel VPN
Direccin IP interna
10.10.10.1
Zona DMZ
Interfaz de tnel
Tunnel.1
NOTA:
El servidor de correo puede enviar la peticin IDENT a travs del tnel slo si el
administrador de seguridad agrega un servicio personalizado para ello (TCP,
puerto 113) y establece una directiva de salida que permita el trfico a travs del
tnel hacia 10.10.10.1.
La clave previamente compartida es h1p8A24nG5. Partiremos de la base de que
ambos participantes ya tienen certificados RSA emitidos por Verisign y que el
certificado local en NetScreen-Remote contiene el U-FQDN pm@juniper.net. (Para
encontrar informacin sobre cmo obtener y cargar certificados, consulte
Certificados y CRL en la pgina 24.) Para los niveles de seguridad de las fases 1
y 2, debe especificar una propuesta de fase 1 (pre-g2-3des-sha para el mtodo de
clave previamente compartida o rsa-g2-3des-sha para certificados) y seleccionar el
conjunto de propuestas Compatible para la fase 2.
Introduzca las tres rutas siguientes en el dispositivo de seguridad:
Una ruta Null al destino. Asigne una mtrica ms alta (ms alejada de cero) a la
ruta Null para que se convierta en la siguiente opcin de ruta al destino.
A continuacin, si el estado de la interfaz de tnel cambia a fuera de lnea y la
ruta que hace referencia a esa interfaz tambin se desactiva, el dispositivo de
seguridad utiliza la ruta Null, que descarta todo trfico enviado hacia l, en
lugar de la ruta predeterminada, que reenva trfico no encriptado.
Finalmente, crear directivas que permitan el flujo del trfico fluya en ambas
direcciones entre Phil y el servidor de correo.
Acceso telefnico
171
WebUI
1.
Interfaces
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: DMZ
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.2.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Mail Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.5/32
Zone: DMZ
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Phil
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.10.1/32
Zone: Untrust
3.
Servicios
Policy > Policy Elements > Services > Custom > New: Introduzca los
siguientes datos y haga clic en OK:
Service Name: Ident
Service Timeout:
Use protocol default: (seleccione)
Transport Protocol: TCP (seleccione)
Source Port: Low 1, High 65535
Destination Port: Low 113, High 113
172
Acceso telefnico
Policy > Policy Elements > Services > Group > New: Introduzca los
siguientes datos, mueva los siguientes servicios; finalmente, haga clic en OK:
Group Name: Remote_Mail
Group Members << Available Members:
Ident
MAIL
POP3
4.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: To_Phil
Security Level: Custom
Remote Gateway Type:
Dynamic IP Address: (seleccione), Peer ID: pm@juniper.net
Clave previamente compartida
(o bien)
Certificados
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: corp_Phil
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Phil
Acceso telefnico
173
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.10.10.1/32
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.10.10.1/32
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
6.
Directivas
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Phil
Destination Address:
Address Book Entry: (seleccione), Mail Server
Service: Remote_Mail
Action: Permit
Position at Top: (seleccione)
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Mail Server
Destination Address:
Address Book Entry: (seleccione), Phil
Service: Remote_Mail
Action: Permit
Position at Top: (seleccione)
174
Acceso telefnico
CLI
1.
Interfaces
Direcciones
Servicios
set
set
set
set
set
4.
VPN
(o bien)
Certificados
Rutas
Directivas
set policy top from dmz to untrust Mail Server phil remote_mail permit
set policy top from untrust to dmz phil Mail Server remote_mail permit
save
NetScreen-Remote
1. Haga clic en Options > Global Policy Settings y seleccione la casilla de
verificacin Allow to Specify Internal Network Address.
Acceso telefnico
175
5. Haga clic en el signo MS, que se ubica a la izquierda del icono de UNIX para
ampliar la directiva de la conexin.
6. Haga clic en el icono Security Policy, despus seleccione Aggressive Mode y
desactive Enable Perfect Forward Secrecy (PFS).
7. Haga clic en My Identity y elija una de estas dos opciones:
Haga clic en Pre-shared Key > Enter Key: Escriba h1p8A24nG5, despus haga
clic en OK.
ID Type: E-mail Address; pm@juniper.net
Internal Network IP Address: 10.10.10.1
(o bien)
Seleccione el certificado que contiene la direccin de correo electrnico
pm@juniper.net en la lista desplegable Select Certificate.
ID Type: E-mail Address; pm@juniper.net
Internal Network IP Address: 10.10.10.1
(o bien)
Authentication Method: RSA Signatures
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
176
Acceso telefnico
10. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Tunnel
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Tunnel
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Tunnel
Acceso telefnico
177
Servidor de correo
electrnico
1.2.2.5
Internet
Peticin
IDENT
Tnel VPN
Direccin IP interna
10.10.10.1
Zona Untrust
Direccin IP externa
dinmica
Zona DMZ
NOTA:
El servidor de correo puede enviar la peticin IDENT a travs del tnel slo si el
administrador de seguridad agrega un servicio personalizado para ello (TCP,
puerto 113) y establece una directiva de salida que permita el trfico a travs del
tnel hacia 10.10.10.1.
La clave previamente compartida es h1p8A24nG5. En este ejemplo se asume que
ambos participantes ya tienen certificados RSA emitidos por Verisign y que el
certificado local en NetScreen-Remote contiene el U-FQDN pm@juniper.net. (Para
ms informacin sobre cmo obtener y cargar certificados, consulte Certificados y
CRL en la pgina 24.) Para los niveles de seguridad de las fases 1 y 2, debe
especificar una propuesta de fase 1 (pre-g2-3des-sha para el mtodo de clave
previamente compartida o rsa-g2-3des-sha para certificados) y seleccionar el
conjunto de propuestas Compatible para la fase 2.
WebUI
1.
Interfaces
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: DMZ
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.2.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
178
Acceso telefnico
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Mail Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.5/32
Zone: DMZ
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Phil
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.10.1/32
Zone: Untrust
3.
Servicios
Policy > Policy Elements > Services > Custom > New: Introduzca los
siguientes datos y haga clic en OK:
Service Name: Ident
Service Timeout:
Use protocol default: (seleccione)
Transport Protocol: TCP (seleccione)
Source Port: Low 1, High 65535
Destination Port: Low 113, High 113
Policy > Policy Elements > Services > Group > New: Introduzca los
siguientes datos, mueva los siguientes servicios; finalmente, haga clic en OK:
Group Name: Remote_Mail
Group Members << Available Members:
Ident
MAIL
POP3
4.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: To_Phil
Security Level: Custom
Remote Gateway Type:
Dynamic IP Address: (seleccione), Peer ID: pm@juniper.net
Acceso telefnico
179
(o bien)
Certificados
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: corp_Phil
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Phil
5.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
180
Acceso telefnico
6.
Directivas
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Phil
Destination Address:
Address Book Entry: (seleccione), Mail Server
Service: Remote_Mail
Action: Tunnel
VPN Tunnel: corp_Phil
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
CLI
1.
Interfaces
Direcciones
Servicios
set
set
set
set
set
4.
VPN
(o bien)
Certificados
Ruta
Acceso telefnico
181
6.
Directivas
set policy top from untrust to dmz phil mail server remote_mail tunnel vpn
corp_phil
set policy top from dmz to untrust mail server phil remote_mail tunnel vpn
corp_phil
save
NetScreen-Remote
1. Haga clic en Options > Global Policy Settings y seleccione Allow to Specify
Internal Network Address.
2. Options > Secure > Specified Connections.
3. Haga clic en Add a new connection y escriba Mail junto al icono de nueva
conexin que aparecer en pantalla.
4. Configure las opciones de conexin:
Connection Security: Secure
Remote Party Identity and Addressing:
ID Type: IP Address, 1.2.2.5
Protocol: All
Connect using Secure Gateway Tunnel: (seleccione)
ID Type: IP Address, 1.1.1.1
5. Haga clic en el signo MS, que se ubica a la izquierda del icono de UNIX para
ampliar la directiva de la conexin.
6. Haga clic en el icono Security Policy, despus seleccione Aggressive Mode y
desactive Enable Perfect Forward Secrecy (PFS).
7. Click My Identity and do either of the following:
Click Pre-shared Key > Enter Key: Escriba h1p8A24nG5, despus haga clic
en OK.
Internal Network IP Address: 10.10.10.1
ID Type: E-mail Address; pm@juniper.net
(o bien)
Select the certificate that contains the email address pmason@email.com
from the Select Certificate dropdown list.
Internal Network IP Address: 10.10.10.1
ID Type: E-mail Address; pm@juniper.net
182
Acceso telefnico
(o bien)
Authentication Method: RSA Signatures
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
10. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Tunnel
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Tunnel
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Tunnel
Acceso telefnico
183
NOTA:
184
Acceso telefnico
El usuario IKE inicia una conexin VPN al dispositivo de seguridad desde la zona
Untrust para acceder a los servidores corporativos de la zona Trust. Una vez el
usuario IKE establece la conexin VPN, el trfico se puede iniciar desde cualquiera
de los dos extremos del tnel.
La interfaz de la zona Trust es ethernet1, tiene la direccin IP 10.1.1.1/24 y se
encuentra en modo NAT. La interfaz de la zona Untrust es ethernet3 y tiene la
direccin IP 1.1.1.1/24. La ruta predeterminada apunta al enrutador externo
situado en 1.1.1.250.
WebUI
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
2.
Objetos
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: trust_net
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Policy > Policy Elements > Users > Local > New: Introduzca los siguientes
datos y haga clic en OK:
User Name: dialup-j
Status: Enable
IKE User: (seleccione)
Simple Identity: (seleccione); jf@ns.com
3.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: dialup1
Security Level: Custom
Remote Gateway Type:
Dialup User: (seleccione); dialup-j
Preshared Key: Jf11d7uU
Acceso telefnico
185
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: VPN_dial
Security Level: Compatible
Remote Gateway:
Create a Simple Gateway: (seleccione)
Gateway Name: dialup1
Type:
Dialup User: (seleccione); dialup-j
Preshared Key: Jf11d7uU
Security Level: Compatible
Outgoing Interface: ethernet3
4.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 1.1.1.250
5.
Directivas
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), trust_net
Service: ANY
Action: Tunnel
VPN Tunnel: VPN_dial
Modify matching bidirectional VPN policy: (seleccione)
CLI
1.
Interfaces
Objetos
186
Acceso telefnico
3.
VPN
Ruta
Directivas
set policy from untrust to trust Dial-Up VPN trust_net any tunnel vpn VPN_dial
set policy from trust to untrust trust_net Dial-Up VPN any tunnel vpn VPN_dial
save
4. Haga clic en el signo MS, que se ubica a la izquierda del icono de UNIX para
ampliar la directiva de la conexin.
5. Haga clic en My Identity: Siga uno de estos dos pasos:
Click Pre-shared Key > Enter Key: Escriba Jf11d7uU y despus haga clic
en OK.
ID Type: (seleccione E-mail Address) y escriba jf@ns.com.
6. Haga clic en el icono Security Policy, despus seleccione Aggressive Mode y
desactive Enable Perfect Forward Secrecy (PFS).
7. Haga clic en el smbolo MS situado a la izquierda del icono Security Policy y
despus en el smbolo MS situado a la izquierda de Authentication (Phase 1) y
de Key Exchange (Phase 2) para ampliar an ms la directiva.
Acceso telefnico
187
(o bien)
Authentication Method: RSA Signatures
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Tunnel
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Tunnel
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Tunnel
188
Para evitar este problema, el mtodo de identificacin IKE de grupo permite que
una sola definicin est disponible para mltiples usuarios. La definicin de usuario
para una identificacin IKE de grupo se aplica a todos los usuarios que tengan
certificados con valores especficos en el nombre completo (DN) o a todos los
usuarios cuya identificacin IKE completa y clave previamente compartida en su
cliente VPN coincida con una identificacin IKE parcial y una clave previamente
compartida del dispositivo de seguridad.
NOTA:
Usuario de identificacin
IKE de grupo
Tipo de ID IKE ASN1-DN
ID IKE parcial: ou=eng
Certificado
DN:
cn=bob
ou=eng
------------------Certificado
DN:
cn=carol
ou=sales
-------------------
Puede configurar una identificacin IKE de grupo con certificados tal y como se
indica a continuacin:
En el dispositivo de seguridad:
1. Cree un nuevo usuario de identificacin IKE de grupo con una identidad IKE
parcial (como ou=sales,o=netscreen) y especifique cuntos usuarios de acceso
telefnico podrn utilizar el perfil de la identificacin IKE de grupo para
conectarse.
2. Asigne el nuevo usuario de ID IKE de grupo al grupo de usuarios de acceso
telefnico y asigne un nombre al grupo.
NOTA:
190
C=us
General
ST=ca
Leyenda:
C = Pas
ST = Estado
L = Localidad
L=sunnyvale
O = Organizacin
O=juniper
OU = Unidad organizativa
CN = Nombre comn
OU=sales
CN=jozef
Especfico
Un ASN1-DN de tipo Wildcard hace necesario que los valores de la ID IKE del
nombre completo del interlocutor remoto coincidan con los valores de la ID IKE
parcial del ASN1-DN del usuario IKE de grupo. El orden que sigan estos valores en la
cadena del ASN1-DN es irrelevante. Por ejemplo, si la ID del usuario IKE de acceso
telefnico y la ID del usuario IKE de grupo son las siguientes:
una ID IKE de tipo Wildcard del ASN1-DN compara las dos ID IKE, aunque el orden
de los valores en las dos ID difiera.
Figura 46: Autenticacin exitosa de ASN1-DN Wildcard
usuario de acceso telefnico IKE
ID IKE ASN1-DN
El ASN1-DN del usuario IKE de
acceso telefnico contiene los valores
especificados en el ASN1-DN del
usuario IKE de grupo. El orden de los
valores es irrelevante.
E=
CN=kristine
OU=finance
192
Autenticacin
satisfactoria
C=us
ST=
O=juniper
L=
L=
O=juniper
ST=ca
OU=
C=us
CN=
Una ID de tipo Container del ASN1-DN permite que la ID del usuario IKE de grupo
tenga mltiples entradas en cada campo identificativo. ScreenOS autentica un
usuario IKE de acceso telefnico si la ID de usuario de acceso telefnico contiene
valores que coinciden al cien por cien con los valores de la ID del usuario IKE de
grupo. Al contrario de lo que sucede con el tipo Wildcard, el orden de los campos
del ASN1-DN tambin debe coincidir en las ID del usuario IKE de acceso telefnico
y del usuario IKE de grupo. Si hay varios valores, su orden en los campos
correspondientes tambin deber ser igual.
Figura 47: xito y fallo de la autenticacin utilizando las ID de tipo Container del ASN1-DN
E=
E=
C=us
C=us
ST=ca
Autenticacin
satisfactoria
ST=
L= sf
L=
O=juniper
O=juniper
OU=mkt,OU=dom,OU=west
OU=mkt,OU=dom,OU=west
CN=rick
CN=
E=
E=
C=us
C=us
ST=ca
Autenticacin
fallida
ST=
L= la
L=
O=juniper
O=juniper
OU=mkt,OU=west,OU=dom
OU=mkt,OU=dom,OU=west
CN=tony
CN=
Zona Trust
ethernet1, 10.1.1.1/24
Modo NAT
Zona Untrust
Zona Trust
Internet
Tnel VPN
LAN
web1
10.1.1.5
Perfil de usuario de
identificacin IKE de grupo
Nombre de usuario:
Usuario1
Grupo de usuarios: oficina_1
Nombre distinguido:
o=juniper
ou=marketing
Los usuarios IKE de acceso telefnico envan un nombre completo como su ID IKE.
El nombre completo (DN) en un certificado para un usuario IKE de acceso
telefnico en este grupo puede aparecer como la siguiente cadena:
C=us,ST=ca,L=sunnyvale,O=netscreen,OU=marketing,CN=carrie
nowocin,CN=a2010002,CN=ns500,
CN=4085557800,CN=rsa-key,CN=10.10.5.44
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
194
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
2.
Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: web1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
3.
Usuarios
Policy > Policy Elements > Users > Local > New: Introduzca los siguientes
datos y haga clic en OK:
Nombre de usuario: Usuario1
Status Enable: (seleccione)
IKE User: (seleccione)
Number of Multiple Logins with same ID: 10
Use Distinguished Name For ID: (seleccione)
OU: marketing
Organization: juniper
Objects > User Groups > Local > New: Escriba oficina_1 en el campo Group
Name, realice la accin que se indica a continuacin y despus haga clic en OK:
Seleccione Usuario1 y utilice el botn << para mover esta definicin de la
columna Available Members a la columna Group Members.
4.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: Corp_GW
Security Level: Custom
Remote Gateway Type: Dialup User Group: (seleccione), Group: oficina_1
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: Corp_VPN
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), Corp_GW
5.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
6.
Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), web1
Service: HTTP
Action: Tunnel
Tunnel VPN: Corp_VPN
Modify matching bidirectional VPN policy: (anule la seleccin)
Position at Top: (seleccione)
CLI
1.
Interfaces
Direccin
Usuarios
VPN
Ruta
196
6.
Directiva
set policy top from untrust to trust Dial-Up VPN web1 http tunnel vpn Corp_VPN
save
4. Haga clic en el signo MS situado a la izquierda del icono de web1 para ampliar
la directiva de la conexin.
5. Haga clic en My Identity: Seleccione el certificado que tiene los elementos
o=netscreen,ou=marketing en su nombre completo en la lista desplegable
Select Certificate.
ID Type: Seleccione Distinguished Name en la lista desplegable.
NOTA:
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Tunnel
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Tunnel
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Tunnel
198
ID IKE completa
+
Clave previamente
compartida
alice.eng.jnpr.net
+
011fg3322eda837c
bob.eng.jnpr.net
+
bba7e22561c5da82
carol.jnpr.net
+
834a2bbd32adc4e9
El tipo de ID IKE que utilice para la ID IKE de grupo con funcin de clave
previamente compartida puede ser una direccin de correo electrnico o un
nombre de dominio completo (FQDN).
Puede configurar una identificacin IKE de grupo con claves previamente
compartidas tal y como se indica a continuacin:
En el dispositivo de seguridad:
1. Cree un nuevo usuario de identificacin IKE de grupo con una identidad IKE
parcial (como juniper.net) y especifique la cantidad de usuarios de acceso
telefnico que podrn utilizar el perfil de la identificacin IKE de grupo para
conectarse.
2. Asigne el nuevo usuario de ID IKE de grupo a un grupo de usuarios de acceso
telefnico.
3. En la configuracin de la VPN de acceso telefnico AutoKey IKE, asigne un
nombre para la puerta de enlace remota (p. ej., road1), especifique el grupo de
usuarios de acceso telefnico e introduzca un valor inicial de clave previamente
compartida.
4. Utilice el siguiente comando CLI para generar una clave previamente
compartida individual para el usuario de acceso telefnico utilizando el valor
inicial de clave previamente compartida y la ID IKE completa del usuario (como
lisa@juniper.net).
exec ike preshare-gen cadena_nombre cadena_nombre_usuario
(por ejemplo) exec ike preshare-gen road1 lisa@juniper.net
En el cliente VPN:
Zona Trust
ethernet1, 10.1.1.1/24
Modo NAT
Zona Untrust
Usuario de acceso
telefnico con
ID IKE:
joe@juniper.net
Zona Trust
Internet
LAN
Tnel VPN
web1
10.1.1.5
Perfil de usuario de
identificacin IKE de grupo
Nombre de usuario: Usuario2
Grupo de usuario: oficina_2
ID simple: juniper.net
Tanto para las negociaciones de fase 1 como para las de fase 2, deber seleccionar
el nivel de seguridad predefinido como Compatible. Todas las zonas de seguridad
se encuentran en el dominio de enrutamiento trust-vr.
WebUI
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
200
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
2.
Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: web1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
3.
Usuarios
Policy > Policy Elements > Users > Local > New: Introduzca los siguientes
datos y haga clic en OK:
User Name: Usuario2
Status: Enable
IKE User: (seleccione)
Number of Multiple Logins with same ID: 10
Simple Identity: (seleccione)
IKE Identity: juniper.net
Policy > Policy Elements > User Groups > Local > New: Escriba oficina_2 en
el campo Group Name, realice la accin que se indica a continuacin y despus
haga clic en OK:
Seleccione Usuario2 y utilice el botn << para trasladarlo de la columna
Available Members a la columna Group Members.
4.
NOTA:
VPN
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
6.
Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), web1
Service: HTTP
Action: Tunnel
Tunnel VPN: Corp_VPN
Modify matching bidirectional VPN policy: (anule la seleccin)
Position at Top: (seleccione)
CLI
1.
Interfaces
Direccin
Usuarios
VPN
Ruta
Directiva
set policy top from untrust to trust Dial-Up VPN web1 http tunnel vpn Corp_VPN
save
202
4. Haga clic en el signo MS situado a la izquierda del icono de web1 para ampliar
la directiva de la conexin.
5. Haga clic en el icono Security Policy, despus seleccione Aggressive Mode y
desactive Enable Perfect Forward Secrecy (PFS).
6. Haga clic en My Identity: Click Pre-shared Key > Enter Key: Escriba
11ccce1d396f8f29ffa93d11257f691af96916f2, despus haga clic en OK.
ID Type: (seleccione E-mail Address) y escriba heidi@juniper.net.
7. Haga clic en el smbolo MS situado a la izquierda del icono Security Policy y
despus en el smbolo MS situado a la izquierda de Authentication (Fase 1) y
de Key Exchange (Fase 2) para ampliar an ms la directiva.
8. Haga clic en Authentication (Phase 1) > Proposal 1: Seleccione los siguientes
algoritmos de encriptacin e integridad de datos:
Authentication Method: Pre-Shared Key
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
9. Haga clic en Authentication (Fase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Authentication Method: Pre-Shared Key
Encrypt Alg: Triple DES
Hash Alg: MD5
Key Group: Diffie-Hellman Group 2
10. Haga clic en Authentication (Fase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Authentication Method: Pre-Shared Key
Encrypt Alg: DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
11. Haga clic en Authentication (Fase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Authentication Method: Pre-Shared Key
Encrypt Alg: DES
Hash Alg: MD5
Key Group: Diffie-Hellman Group 2
12. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Tunnel
14. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Tunnel
15. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Tunnel
204
Con la funcin de ID IKE de grupo, la ID IKE puede ser una direccin de correo
electrnico o un nombre de dominio completo (FQDN). Para esta funcin, la ID
IKE debe ser una direccin de correo electrnico.
Interfaz de salida
ethernet3, 1.1.1.1/24
ethernet1, 10.1.1.1/24
Modo NAT
Zona Untrust
Zona Trust
LAN
Tneles VPN
web1
10.1.1.5
Usuario de acceso
telefnico con
ID IKE: mike@ns.com
Contrasea XAuth: 5678
WebUI
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
2.
Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: web1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
3.
Usuarios
Policy > Policy Elements > Users > Local > New: Introduzca los siguientes
datos y haga clic en OK:
User Name: Ventas_remotas
Status: Enable
IKE User: (seleccione)
Number of Multiple Logins with same ID: 250
Simple Identity: (seleccione)
IKE Identity: sales@ns.com
206
Policy > Policy Elements > User Groups > Local > New: Escriba V_R en el
campo Group Name, realice la accin que se indica a continuacin y despus
haga clic en OK:
Seleccione Ventas_remotas y utilice el botn << para moverlo de la columna
Available Members a la columna Group Members.
Policy > Policy Elements > Users > Local > New: Introduzca los siguientes
datos y haga clic en OK:
User Name: Joe
Status: Enable
XAuth User: (seleccione)
Contrasea: 1234
Confirm Password: 1234
Policy > Policy Elements > Users > Local > New: Introduzca los siguientes
datos y haga clic en OK:
User Name: Mike
Status: Enable
XAuth User: (seleccione)
Password: 5678
Confirm Password: 5678
4.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: sales_gateway
Security Level: Compatible (seleccione)
Remote Gateway Type: Dialup Group (seleccione), V_R
Preshared Key: abcd1234
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes datos, despus haga clic en Return
para regresar a la pgina de configuracin bsica de puerta de enlace:
Enable XAuth: (seleccione)
Local Authentication: (seleccione)
Allow Any: (seleccione)
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: Sales_VPN
Security Level: Compatible
Remote Gateway: Predefined: (seleccione) sales_gateway
5.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
6.
Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), web1
Service: HTTP
Action: Tunnel
Tunnel VPN: Sales_VPN
Modify matching bidirectional VPN policy: (anule la seleccin)
Position at Top: (seleccione)
CLI
1.
Interfaces
Direccin
Usuarios
set
set
set
set
set
set
4.
VPN
Ruta
Directiva
set policy top from untrust to trust Dial-Up VPN web1 http tunnel vpn sales_vpn
save
208
4. Haga clic en el signo MS situado a la izquierda del icono de web1 para ampliar
la directiva de la conexin.
5. Haga clic en el icono Security Policy, despus seleccione Aggressive Mode y
desactive Enable Perfect Forward Secrecy (PFS).
6. Haga clic en My Identity: Click Pre-shared Key > Enter Key: Escriba
abcd1234, despus haga clic en OK.
ID Type: (seleccione E-mail Address) y escriba sales@ns.com.
7. Haga clic en el smbolo MS situado a la izquierda del icono Security Policy y
despus en el smbolo MS situado a la izquierda de Authentication (Fase 1) y
de Key Exchange (Fase 2) para ampliar an ms la directiva.
8. Haga clic en Authentication (Phase 1) > Proposal 1: Seleccione los siguientes
algoritmos de encriptacin e integridad de datos:
Authentication Method: Pre-Shared Key; Extended Authentication
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
9. Haga clic en Authentication (Fase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Authentication Method: Pre-Shared Key; Extended Authentication
Encrypt Alg: Triple DES
Hash Alg: MD5
Key Group: Diffie-Hellman Group 2
10. Haga clic en Authentication (Fase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Authentication Method: Pre-Shared Key; Extended Authentication
Encrypt Alg: DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
11. Haga clic en Authentication (Fase 1) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Authentication Method: Pre-Shared Key; Extended Authentication
Encrypt Alg: DES
Hash Alg: MD5
Key Group: Diffie-Hellman Group 2
12. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Tunnel
14. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Tunnel
15. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Tunnel
210
Captulo 6
Protocolo de encapsulamiento de la
capa 2
Este captulo proporciona una introduccin al protocolo de encapsulamiento de la
capa (Layer 2 Tunneling Protocol, L2TP), su utilizacin en solitario y con soporte
IPSec, y algunos ejemplos de la configuracin de L2TP y L2TP sobre IPSec. Incluye
las siguientes secciones:
Introduccin al L2TP
El protocolo L2TP proporciona a un usuario de acceso telefnico una forma de
realizar una conexin con un protocolo punto a punto virtual (PPP) a un servidor de
red L2TP (LNS), que puede ser un dispositivo de seguridad. L2TP enva tramas PPP
por un tnel entre un concentrador de acceso L2TP (LAC) y el LNS.
En origen, el protocolo L2TP se dise para que un LAC residente en un sitio ISP se
conectase por tnel a un LNS en el sitio de otro ISP o empresa. El tnel L2TP no
llega hasta al equipo del usuario de acceso telefnico, sino nicamente hasta el LAC
en el ISP local del usuario de acceso telefnico. (A veces, a esto se le llama
configuracin L2TP obligatoria.)
Introduccin al L2TP
211
Internet
Dispositivo de
seguridad (LNS)
LAN
corporativa
Tnel L2TP
(reenvo de sesiones PPP
del LAC al LNS)
ISP
Despus, cuando el tnel L2TP reenva las tramas PPP encapsuladas al dispositivo
de seguridad, ste asigna al cliente una direccin IP y los ajustes de DNS y WINS. La
direccin IP puede ser del conjunto de direcciones privadas no utilizadas en
Internet. sta se convierte en la direccin IP interna del tnel L2TP.
212
Introduccin al L2TP
Internet
Dispositivo de
seguridad (LNS)
LAN corporativa
10.1.1.0/24
NOTA:
Conjunto de direcciones IP
10.10.1.1 10.10.1.254
Las direcciones IP asignadas al cliente L2TP deben estar en una subred diferente
de la de las direcciones IP en la LAN corporativa.
La versin actual de ScreenOS proporciona el siguiente soporte al L2TP:
NOTA:
De forma predeterminada, Windows 2000 realiza L2TP sobre IPSec. Para obligarlo
a utilizar slo L2TP, debe dirigirse a la clave ProhibitIPSec en el registro y cambiar
0 (L2TP sobre IPSec) por 1 (slo L2TP). (Antes de hacerlo, Juniper Networks
recomienda hacer una copia de seguridad del registro). Haga clic en Inicio >
Ejecutar: Escriba regedit. Haga doble clic en HKEY_LOCAL_MACHINE >
System > CurrentControlSet > Services > RasMan > Parameters. Haga doble
clic en ProhibitIPSec: Escriba 1 en el campo Value data, seleccione Hexadecimal
como base de numeracin y despus haga clic en OK. Reinicie. (Si no encuentra
esta entrada en el registro, consulte la documentacin de Microsoft Windows para
obtener informacin sobre como crear una).
Directiva de acceso telefnico saliente para tneles L2TP y L2TP sobre IPSec
(Una directiva de acceso telefnico saliente se puede emparejar con una
entrante para proporcionar un tnel bidirecciones).
Introduccin al L2TP
213
NOTA:
NOTA:
La base de datos local y los servidores RADIUS son compatibles con PAP y con
CHAP SecurID y los servidores LDAP slo son compatibles con PAP.
Tneles L2TP y L2TP sobre IPSec para el sistema raz y los sistemas virtuales
214
Encapsulado
Cuando un usuario de acceso telefnico dentro de una red IP enva datos por un
tnel L2TP, el LAC encapsula el paquete IP dentro de una serie de tramas de la
capa 2, paquetes de la capa 3 y segmentos de la capa 4. Suponiendo que el usuario
de acceso telefnico se conecte al ISP local por un enlace PPP, el encapsulado ser
como se muestra en la Figura 55 en la pgina 215.
Figura 55: Encapsulado de paquetes L2TP
DATOS
IP
PPP
IP
PPP
CARGA DE DATOS
CARGA DE DATOS
L2TP
UDP
CARGA DE DATOS
CARGA DE DATOS
CARGA DE DATOS
CARGA DE DATOS
215
Desencapsulado
Cuando el LAC inicia el enlace PPP hacia el ISP, el desencapsulado y reenvo del
contenido anidado ser como se indica en la Figura 56 en la pgina 216.
Figura 56: Desencapsulado de paquetes L2TP
ISP
PPP
CARGA DE DATOS
IP
CARGA DE DATOS
UDP
CARGA DE DATOS
L2TP
CARGA DE DATOS
LNS
PPP
CARGA DE DATOS
IP
CARGA DE DATOS
DATOS
1. El ISP finaliza el enlace PPP y asigna una direccin IP al equipo del usuario.
En la carga PPP hay un paquete IP.
2. El ISP quita el encabezado PPP y reenva el paquete IP al LNS.
3. El LNS quita el encabezado IP.
En la carga IP hay un segmento UDP que especifica el puerto 1701, el nmero
del puerto reservado para L2TP.
4. El LNS quita el encabezado UDP.
En la carga UDP hay una trama L2TP.
5. El LNS procesa la trama L2TP, utilizando los datos tunnel ID y call ID del
encabezado L2TP para identificar el tnel L2TP concreto. Despus, el LNS quita
el encabezado L2TP.
En la carga L2TP hay una trama PPP.
6. El LNS procesa la trama PPP y asigna una direccin lgica IP al equipo del
usuario.
En la carga PPP hay un paquete IP.
7. El LNS enruta el paquete IP hacia su ltimo destino, donde el encabezado IP se
elimina y los datos se extraen del paquete IP.
216
NOTA:
El servidor RADIUS o SecurID que se utiliza para autenticar a los usuarios L2TP
puede ser el mismo servidor utilizado para los usuarios de red, u otro diferente.
Adems, puede especificar uno de los siguientes esquemas para la autenticacin
PPP:
217
NOTA:
Zona Trust
Zona Untrust
Internet
ethernet1,
10.1.1.1/24
Conjunto de direcciones IP
L2TP 10.1.3.40 10.1.3.100
DNS 1
1.1.1.2
DNS 2
1.1.1.3
ethernet3,
1.1.1.1/24
WebUI
1.
Conjunto de direcciones IP
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK:
IP Pool Name: Sutro
Start IP: 10.1.3.40
End IP: 10.1.3.100
2.
VPNs > L2TP > Default Settings: Introduzca los siguientes datos y haga clic
en Apply:
IP Pool Name: Sutro
PPP Authentication: CHAP
DNS Primary Server IP: 1.1.1.2
DNS Secondary Server IP: 1.1.1.3
WINS Primary Server IP: 0.0.0.0
WINS Secondary Server IP: 0.0.0.0
CLI
1.
Conjunto de direcciones IP
218
NOTA:
Configuracin de L2TP
En este ejemplo, como se muestra en la Figura 58 en la pgina 220, se crea un
grupo de usuarios de acceso telefnico llamado fs (de field-sales) y se configura
un tnel L2TP llamado sales_corp, utilizando ethernet3 (Untrust zone) como
interfaz de salida de tnel L2TP. El dispositivo de seguridad aplica los siguientes
ajustes del tnel L2TP predeterminados al grupo de usuarios de acceso telefnico.
219
NOTA:
Zona de acceso
telefnico
DNS1: 1.1.1.2
DNS2: 1.1.1.3
Conjunto de direcciones
IP: global 10.10.2.100
10.10.2.180
Red
corporativa
Zona Trust
Betty
Internet
Carol
Tnel L2TP:
sales_corp
Clientes
NetScreen-Remote
Interfaz de salida
ethernet3, 1.1.1.1/24
ethernet1,
10.1.1.1/24
Los clientes remotos L2TP usan el sistema operativo Windows 2000. Para obtener
informacin sobre la configuracin del L2TP en los clientes remotos, consulte la
documentacin de Windows 2000. A continuacin se proporciona slo la
configuracin del dispositivo de seguridad al final del tnel L2TP.
WebUI
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
220
2.
Usuarios L2TP
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
User Name: Adam
Status: Enable
L2TP User: (seleccione)
User Password: AJbioJ15
Confirm Password: AJbioJ15
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
User Name: Betty
Status: Enable
L2TP User: (seleccione)
User Password: BviPsoJ1
Confirm Password: BviPsoJ1
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
User Name: Carol
Status: Enable
L2TP User: (seleccione)
User Password: Cs10kdD3
Confirm Password: Cs10kdD3
3.
Objects > User > Local Groups> New: Escriba fs en el campo Group Name,
realice la accin que se indica a continuacin y despus haga clic en OK:
Seleccione Adam y utilice el botn << para trasladarlo de la columna
Available Members a la columna Group Members.
Seleccione Betty y utilice el botn << para trasladarla de la columna
Available Members a la columna Group Members.
Seleccione Carol y utilice el botn << para trasladarla de la columna
Available Members a la columna Group Members.
4.
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK:
IP Pool Name: global
Start IP: 10.10.2.100
End IP: 10.10.2.180
VPNs > L2TP > Default Settings: Introduzca los siguientes datos y haga clic
en OK:
IP Pool Name: global
PPP Authentication: CHAP
DNS Primary Server IP: 1.1.1.2
DNS Secondary Server IP: 1.1.1.3
WINS Primary Server IP: 0.0.0.0
WINS Secondary Server IP: 0.0.0.0
221
5.
Tnel L2TP
VPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic
en OK:
Name: sales_corp
Use Custom Settings: (seleccione)
Authentication Server: Local
Dialup Group: Local Dialup Group - fs
Outgoing Interface: ethernet3
Peer IP: 0.0.0.0
Host Name (optional): Introduzca el nombre del equipo que acta como LAC.
Secret (optional): Introduzca un secreto compartido entre el LAC y el LNS.
Keep Alive: 60
Peer IP: Debido a que el ISP del interlocutor le asigna dinmicamente una direccin
IP, ingresara en el ejemplo anterior 0.0.0.0.
LAC: Para encontrar el nombre del equipo que ejecuta Windows 2000, haga lo
siguiente: Haga clic en Inicio > Configuracin > Panel de Control > Sistema.
Aparece el cuadro de dilogo de propiedades del sistema. Haga clic en la ficha de
Identificacin de red, y consulte la entrada Nombre completo del equipo.
Para aadir un secreto al LAC para autenticar el tnel L2TP, se debe modificar el
registro de Windows 2000 de la siguiente forma:
1. Haga clic en Inicio > Ejecutar y luego escriba regedit. Se abre el editor del
registro.
2. Haga clic en HKEY_LOCAL_MACHINE.
3. Haga clic con el botn secundario en SYSTEM y luego seleccione Buscar en el
men emergente que aparece.
4. Escriba ms_l2tpminiport y luego haga clic en Buscar siguiente.
5. En el men Edit, resalte la opcin New y luego seleccione String Value.
6. Escriba Password.
7. Haga doble clic en Password. Aparece el cuadro de dilogo Edit String.
8. Escriba la contrasea en el campo Value data. Debe coincidir con la palabra
introducida en el campo L2TP Tunnel Configuration Secret en el dispositivo de
seguridad.
9. Reinicie el equipo Windows 2000.
Cuando se utiliza L2TP sobre IPSec, que es la opcin predeterminada de
Windows 2000, no es necesaria la autenticacin del tnel; todos los mensajes
L2TP son encriptados y autenticados por IPSec.
Keep Alive: El valor Keep Alive (mantenimiento de conexin) es el nmero de
segundos de inactividad antes de que el dispositivo de seguridad enve una seal
Hello L2TP al LAC.
222
6.
Ruta
Network > Routing > Routing Entries > New: Introduzca los siguientes datos
y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
7.
Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), Any
NAT: Off
Service: ANY
Action: Tunnel
Tunnel L2TP: sales_corp
Position at Top: (seleccione)
CLI
1.
set
set
set
set
3.
set
set
set
set
set
set
4.
Tnel L2TP
223
5.
Ruta
Directiva
set policy top from untrust to trust Dial-Up VPN any any tunnel l2tp sales_corp
save
NOTA:
Para configurar un tnel L2TP sobre IPSec para Windows 2000 (sin
NetScreen-Remote), las negociaciones de la fase 1 deben ser en modo principal y
el tipo de identificacin IKE debe ser ASN1-DN.
Zona de acceso
telefnico
DNS1: 1.1.1.2
DNS2: 1.1.1.3
Conjunto de direcciones
IP: global 10.10.2.100
10.10.2.180
Red
corporativa
Zona Trust
Betty
Internet
Carol
Clientes
NetScreen-Remote
224
Interfaz de salida
ethernet2, 1.1.1.1/24
ethernet1,
10.1.1.1/24
WebUI
1.
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: Dialup
Virtual Router Name: trust-vr
Zone Type: Layer 3 (seleccione)
Block Intra-Zone Traffic: (seleccione)
TCP/IP Reassembly for ALG: (anule la seleccin)
NOTA:
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Dialup
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.3.3.1/24
3.
Usuarios IKE/L2TP
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
User Name: Adam
Status: Enable
IKE User: (seleccione)
Simple Identity: (seleccione)
IKE Identity: ajackson@abc.com
L2TP User: (seleccione)
User Password: AJbioJ15
Confirm Password: AJbioJ15
NOTA:
La ID IKE debe ser la misma que la que enva el cliente NetScreen-Remote, que es
la direccin de correo electrnico que aparece en el certificado que el cliente
utiliza para la autenticacin.
225
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
User Name: Betty
Status: Enable
IKE User: (seleccione)
Simple Identity: (seleccione)
IKE Identity: bdavis@abc.com
L2TP User: (seleccione)
User Password: BviPsoJ1
Confirm Password: BviPsoJ1
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
User Name: Carol
Status: Enable
IKE User: (seleccione)
Simple Identity: (seleccione)
IKE Identity: cburnet@abc.com
L2TP User: (seleccione)
User Password: Cs10kdD3
Confirm Password: Cs10kdD3
4.
Objects > Users > Local Groups > New: Escriba fs en el campo Group Name,
realice la accin que se indica a continuacin y despus haga clic en OK:
Seleccione Adam y utilice el botn << para trasladarlo de la columna
Available Members a la columna Group Members.
Seleccione Betty y utilice el botn << para trasladarla de la columna
Available Members a la columna Group Members.
Seleccione Carol y utilice el botn << para trasladarla de la columna
Available Members a la columna Group Members.
5.
Conjunto de direcciones IP
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK:
IP Pool Name: global
Start IP: 10.10.2.100
End IP: 10.10.2.180
6.
VPNs > L2TP > Default Settings: Introduzca los siguientes datos y haga clic
en Apply:
IP Pool Name: global
PPP Authentication: CHAP
DNS Primary Server IP: 1.1.1.2
DNS Secondary Server IP: 1.1.1.3
WINS Primary Server IP: 0.0.0.0
WINS Secondary Server IP: 0.0.0.0
226
7.
Tnel L2TP
VPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic
en OK:
Name: sales_corp
Dialup Group: (seleccione) Local Dialup Group - fs
Authentication Server: Local
Outgoing Interface: ethernet2
Peer IP: 0.0.0.0
LAC: Para encontrar el nombre del equipo que ejecuta Windows 2000, haga lo
siguiente: Haga clic en Inicio > Configuracin > Panel de Control > Sistema.
Aparece el cuadro de dilogo de propiedades del sistema. Haga clic en la ficha de
Identificacin de red, y consulte la entrada Nombre completo del equipo.
Secret: Para aadir un secreto al LAC para autenticar el tnel L2TP, se debe
modificar el registro de Windows 2000 de la siguiente forma:
1. Haga clic en Inicio > Ejecutar y luego escriba regedit. Se abre el editor del
registro.
2. Haga clic en HKEY_LOCAL_MACHINE.
3. Haga clic con el botn secundario en SYSTEM y luego seleccione Buscar en el
men emergente que aparece.
4. Escriba ms_l2tpminiport y luego haga clic en Buscar siguiente.
5. En el men Edit, resalte la opcin New y luego seleccione String Value.
6. Escriba Password.
7. Haga doble clic en Password. Aparece el cuadro de dilogo Edit String.
8. Escriba la contrasea en el campo Value data. Debe coincidir con la palabra
introducida en el campo L2TP Tunnel Configuration Secret en el dispositivo de
seguridad.
9. Reinicie el equipo Windows 2000.
Cuando se utiliza L2TP sobre IPSec, que es la opcin predeterminada de
Windows 2000, no es necesaria la autenticacin del tnel; todos los mensajes
L2TP son encriptados y autenticados por IPSec.
Keep Alive: El valor Keep Alive (mantenimiento de conexin) es el nmero de
segundos de inactividad antes de que el dispositivo de seguridad enve una seal
Hello L2TP al LAC.
227
NOTA:
El nombre del host y los ajustes del secreto pueden pasarse por alto. Se
recomienda que slo los usuarios avanzados utilicen estos ajustes.
8.
Tnel VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: field
Security Level: Custom
Remote Gateway Type:
Dialup User Group: (seleccione), Group: fs
Outgoing Interface: ethernet2
Directiva
Policies > (From: Dialup, To: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Tunnel
Tunnel VPN: from_sales
Modify matching bidirectional VPN policy: (anule la seleccin)
L2TP: sales_corp
Position at Top: (seleccione)
228
CLI
1.
Interfaces
Usuarios L2TP/IKE
set
set
set
set
5.
Conjunto de direcciones IP
set
set
set
set
7.
Tnel L2TP
Tnel VPN
229
NOTA:
Directiva
set policy top from dialup to trust Dial-Up VPN any any tunnel vpn from_sales
l2tp sales_corp
save
230
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes
protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Transport
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Transport
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Transport
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Transport
NOTA:
231
ethernet3
10.1.1.1/24
Internet
LAN
Cliente de NetScreen-Remote
ejecutando X-Windows Server
NOTA:
Enrutador
externo1.1.1.250
Servidor UNIX
Para configurar un tnel L2TP sobre IPSec para Windows 2000 (sin
NetScreen-Remote), las negociaciones de la fase 1 deben ser en modo principal y
el tipo de identificacin IKE debe ser ASN1-DN.
WebUI
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
232
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
2.
Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: trust_net
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
3.
Usuario L2TP/IKE
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
en OK:
User Name: dialup-j
Status: Enable
IKE User: (seleccione)
Simple Identity: (seleccione)
IKE Identity: jf@ns.com
Authentication User: (seleccione)
L2TP User: (seleccione)
User Password: abc123
Confirm Password: abc123
NOTA:
La ID IKE debe ser la misma que la que enva el cliente NetScreen-Remote, que es
la direccin de correo electrnico que aparece en el certificado que el cliente
utiliza para la autenticacin.
4.
L2TP
VPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic
en OK:
Name: tun1
Use Default Settings: (seleccione)
Secret: netscreen
Keepalive: 60
5.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: dialup1
Security Level: (select), Standard
Remote Gateway Type: Dialup User; (seleccione), dialup-j
Preshared Key: n3TsCr33N
Outgoing Interface: (select), ethernet3
233
> Advanced: Introduzca los siguientes datos y haga clic en Return para
regresar a la pgina de configuracin bsica de la puerta de enlace AutoKey
IKE:
Mode (Initiator): Aggressive
Enable NAT-Traversal: (seleccione)
UDP Checksum: (seleccione)
Keepalive Frequency: 5
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: VPN_dial
Remote Gateway: Predefined: (seleccione), dialup1
> Advanced: Introduzca los siguientes datos y haga clic en Return para
regresar a la pgina de configuracin bsica de AutoKey IKE:
Security Level: Standard (seleccione)
Transport Mode (slo para L2TP sobre IPSec): (seleccione)
6.
Ruta
Network > Routing > Routing Entries > New: Introduzca los siguientes datos
y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
7.
Directivas
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Dial-Up VPN
Destination Address:
Address Book Entry: (seleccione), trust_net
Service: ANY
Action: Tunnel
Tunnel VPN: VPN_dial
Modify matching bidirectional VPN policy: (seleccione)
L2TP: (seleccione) tun1
Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), trust_net
Destination Address:
Address Book Entry: (seleccione), Dial-Up VPN
Service: ANY
Action: Tunnel
Tunnel VPN: VPN_dial
Modify matching bidirectional VPN policy: (seleccione)
L2TP: tun1
234
CLI
1.
Interfaces
Direccin
Usuario L2TP/IKE
L2TP
VPN
Ruta
Directivas
set policy from untrust to trust Dial-Up VPN trust_net any tunnel vpn VPN_dial
tun1
set policy from trust to untrust trust_net Dial-Up VPN any tunnel vpn VPN_dial
l2tp tun1
save
235
NOTA:
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Transport
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Transport
236
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal: Seleccione los
siguientes protocolos IPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Transport
NOTA:
237
238
Captulo 7
239
NAT-Traversal
Las normas de Internet NAT (traduccin de direcciones de red, Network Address
Translation ) y NAPT (traduccin de puertos de direcciones de red, Network Address
Port Translation) permiten que una red de rea local (LAN) utilice un grupo de
direcciones IP para el trfico interno y un segundo grupo de direcciones para el
trfico externo. Los dispositivos NAT generan estas direcciones externas utilizando
conjuntos predeterminados de direcciones IP.
Cuando se configura un tnel IPSec, la presencia de un dispositivo NAT en la ruta de
datos no afecta a las negociaciones IKE de fase 1 y fase 2, que siempre encapsulan
paquetes IKE dentro de segmentos de protocolo de datagrama de usuarios UDP
(User Datagram Protocol). Sin embargo, si se aplica NAT a los paquetes IPSec una
vez finalizadas las negociaciones de fase 2, el tnel fallar. Una de las muchas
razones por las que NAT provoca el fallo de IPSec es que en el protocolo de
seguridad encapsulada ESP (Encapsulating Security Protocol), los dispositivos NAT
no pueden distinguir la ubicacin del encabezado de capa 4 para la traduccin del
puerto (porque est encriptado). En el protocolo de encabezado de la autenticacin
(AH, o Authentication Header), los dispositivos NAT no pueden modificar el
nmero de puerto, pero falla la comprobacin de autenticacin, que incluye el
paquete IPSec completo.
NOTA:
NOTA:
240
NAT-Traversal
Los dispositivos NAT pueden crear otro problema si tambin estn preparados para
IKE/IPSec e intentan procesar paquetes con el nmero de puerto IKE 500 o con los
nmeros de protocolo 50 (para ESP) y 51 (para AH). Para evitar ese procesamiento
intermedio de paquetes IKE, la versin 2 de las especificaciones IETF previamente
mencionadas propone el desplazamiento (o flotacin) de los nmeros de puertos
UDP 500 a 4500 para IKE. Para evitar el procesamiento intermedio de paquetes
IPSec, ambas especificaciones 0 y 2 insertan un encabezado UDP entre el
encabezado IP externo y el encabezado ESP o AH, cambiando as el valor 50 o 51
del campo Protocol (para ESP o AH, respectivamente) a 17 (para UDP). Adems,
el encabezado UDP insertado tambin utiliza el puerto 4500. La versin actual de
ScreenOS es compatible con NAT-T de acuerdo con las especificaciones
draft-ietf-ipsec-nat-t-ike-02.txt y draft-ietf-ipsec-udp-encaps-02.txt, as como con la
versin 0 de estas especificaciones.
NOTA:
NetScreen no admite NAT-T para los tneles de clave manual ni para el trfico
IPSec usando AH. ScreenOS slo admite NAT-T para tneles AutoKey IKE con ESP.
Sondeos de NAT
Para comprobar si ambos extremos del tnel VPN admiten NAT-T, ScreenOS enva
dos hashes MD-5 en la carga de datos de ID del fabricante en los dos primeros
intercambios de las negociaciones de fase 1, un hash para el ttulo de la
especificacin 0 y otro para el ttulo de la especificacin 2:
NOTA:
NAT-Traversal
241
NOTA:
NAT-T admite mltiples hashes de origen NAT-D para dispositivos equipados con
mltiples interfaces e implementaciones que no especifiquen una interfaz
saliente.
Cuando cada interlocutor compara los hashes que recibe con los que enva, puede
reconocer si entre ellos se ha producido una traduccin de direcciones. La
identificacin de los paquetes modificados implica la de la ubicacin del dispositivo
NAT:
242
NAT-Traversal
Si
coincide con
entonces
no se ha producido ninguna
traduccin de direcciones.
no se ha producido ninguna
traduccin de direcciones.
Si
no coincide con
entonces
no se ha producido ninguna
traduccin de direcciones
no se ha producido ninguna
traduccin de direcciones
Hotel
Dispositivo NAT
Internet
Dispositivo de seguridad
Tnel VPN
Cliente VPN telefnico
IP de origen 200.1.1.1 -> 210.2.2.2
Si se encapsulan los paquetes IPSec dentro de paquetes UDP (cosa que harn tanto
el cliente VPN como el dispositivo de seguridad) se resuelve el problema de fallo en
la comprobacin de autenticacin. El dispositivo NAT los procesa como paquetes
UDP, cambiando el puerto de origen en el encabezado UDP sin modificar el SPI en
el encabezado AH o ESP. Los participantes VPN retiran la capa UDP y procesan los
paquetes IPSec, que no tendrn problemas en la comprobacin de autenticacin,
ya que los contenidos autenticados no habrn cambiado.
NAT-Traversal
243
Encabezado
UDP
Encabezado
ISAKMP
Carga de datos
Longitud
Carga de datos
Segmento UDP despus de detectar un dispositivo NAT
Puerto de origen (4500 para IKE)
Longitud
Marcador no ESP (0000)
Carga de datos
244
NAT-Traversal
Encabezado
ESP
Paquete original
Enviado por el host iniciador
Encabezado Encabezado
IP1
TCP
Carga de datos
Encabezado UDP
Puerto de origen (4500 para IKE)
Longitud
Suma de comprobacin
Carga de datos
NAT-Traversal
245
WebUI
VPN > AutoKey Advanced > Gateway > New:
Introduzca los parmetros necesarios para la nueva puerta de enlace del tnel,
segn se describe en Redes privadas virtuales de punto a punto en la
pgina 81 o en Redes privadas virtuales de acceso telefnico en la
pgina 163; introduzca los siguientes datos y, finalmente, haga clic en OK:
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic
en Return para regresar a la pgina de configuracin bsica de puerta de
enlace:
Enable NAT-Traversal: (seleccione)
UDP Checksum: Enable
CLI
set ike gateway nombre nat-traversal udp-checksum
unset ike gateway nombre nat-traversal udp-checksum
NOTA:
Simetra iniciador/respondedor
Cuando dos dispositivos de seguridad establecen un tnel en ausencia de un
dispositivo NAT, cada dispositivo puede funcionar como iniciador o respondedor.
Sin embargo, si uno de los hosts se encuentra tras un dispositivo NAT, esta simetra
iniciador/respondedor podra llegar a ser imposible. Esto sucede cuando el
dispositivo NAT genera direcciones IP dinmicamente.
246
NAT-Traversal
Figura 64: Dispositivo de seguridad con una direccin IP asignada dinmicamente detrs de un dispositivo NAT
Nota: Las zonas de seguridad ilustradas se
muestran desde la perspectiva del
Zona Untrust
dispositivo-B.
Dispositivo A
Host A
Zona Trust
Dispositivo
NAT
Internet
Host B
10.1.1.5
Zona
1.2.1.1
Conjunto de
direcciones IP
1.2.1.2 - 1.2.1.50
Dispositivo B
1.1.1.250
El dispositivo NAT traduce la direccin IP de origen en
paquetes que recibe del dispositivo-B, utilizando
direcciones que toma de su conjunto de direcciones IP.
NOTA:
NAT-Traversal
247
Habilitacin de NAT-Traversal
En la Figura 65, un dispositivo NAT ubicado en el permetro de la red local (LAN) de
un hotel asigna una direccin al cliente VPN de acceso telefnico utilizado por Jose,
un comercial que est participando en una convencin. Para que Jose pueda
acceder a la LAN corporativa por medio de un tnel VPN de acceso telefnico, se
debe habilitar NAT-T para la puerta de enlace remota jose, configurada en el
dispositivo de seguridad y para la puerta de enlace remota, configurada en el cliente
VPN de acceso telefnico. Tambin deber habilitar el dispositivo de seguridad para
que incluya una suma de comprobacin de UDP en sus transmisiones, y establecer
una frecuencia de mantenimiento de conexin de 8 segundos.
Figura 65: Habilitacin de NAT-Traversal
Empresa
Hotel
Dispositivo NAT
Internet
Dispositivo de seguridad
Tnel VPN
Cliente VPN telefnico
WebUI
VPN > AutoKey Advanced > Gateway > New: Introduzca los parmetros
necesarios para la nueva puerta de enlace del tnel, segn se describe en el
Captulo 4, Redes privadas virtuales de punto a punto, o en el Captulo 5,
Redes privadas virtuales de acceso telefnico, introduzca los datos siguientes
y, a continuacin, haga clic en OK:
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic
en Return para regresar a la pgina de configuracin bsica de puerta de
enlace:
Enable NAT-Traversal: (seleccione)
UDP Checksum: Enable
Keepalive Frequency: 8 seconds (0~300 sec.)
NOTA:
248
NAT-Traversal
NAT-Traversal
249
CLI
En el cortafuegos1, introduzca lo siguiente:
set ike gateway test-gw address 0.0.0.0 id cortafuegos2 main local-id
cortafuegos1 outgoing-interface ethernet0/0 proposal standard
Supervisin de VPN
Cuando se habilita la supervisin de VPN para un tnel especfico, el dispositivo de
seguridad enva peticiones de eco ICMP (o pings) a travs del tnel en intervalos
determinados (configurados en segundos) para supervisar la conectividad de la red
a travs del tnel.
NOTA:
Para cambiar el intervalo de pings, puede utilizar el siguiente comando CLI: set
vpnmonitor interval nmero. El intervalo predeterminado es de 10 segundos.
Si la actividad de estas peticiones indica que el estado de supervisin de VPN ha
cambiado, el dispositivo de seguridad activar una de las siguientes capturas del
protocolo simple de gestin de redes (SNMP, o Simple Network Management
Protocol):
NOTA:
250
Supervisin de VPN
La supervisin de VPN se aplica por cada objeto VPN, no necesariamente por cada
tnel VPN. Un objeto VPN es el que se define con el comando set vpn, o con sus
equivalentes de WebUI. Una vez definido un objeto VPN, puede hacer referencia a
l en unas o ms directivas (creando VPN basadas en directivas). Dado que
ScreenOS deriva un tnel de VPN basada en directivas a partir de un objeto VPN
ms los dems parmetros de la directiva, un solo objeto VPN puede ser un
elemento de numerosos tneles VPN. Esta distincin entre objeto VPN y tnel VPN
es importante porque Juniper Networks recomienda aplicar la supervisin de VPN a
no ms de 100 tneles IPSec VPN (si no habilita la optimizacin). Si habilita la
optimizacin, no habr lmite al nmero de tneles VPN a los que pueda aplicar la
supervisin de VPN. Para obtener informacin sobre la opcin de optimizacin,
consulte Opciones de reencriptacin y optimizacin en la pgina 251.
NOTA:
NOTA:
Supervisin de VPN
251
252
Supervisin de VPN
Direccin de origen:
Interfaz de salida
Dispositivo A
LAN
Tnel VPN
Zona Trust
(comportamiento predeterminado)
Dispositivo-A >NetScreen-Remote
El dispositivo-A enva peticiones
de eco desde la interfaz de zona
Trust a NetScreen-Remote.
NetScreen-Remote necesita una
directiva que admita el trfico
ICMP entrante desde una
direccin ms all de la puerta
de enlace remota; es decir,
desde ms all de la interfaz de
zona Untrust del dispositivo-A.
Dispositivo B
LAN
Zona Untrust
Direccin de origen:
Interfaz de la zona Trust
Dispositivo A
LAN
Direccin de destino:
NetScreen-Remote
Tnel VPN
Zona Untrust
Zona Trust
Nota: El dispositivo-A precisa de una directiva que permita el trfico de
peticiones de eco de la zona Trust a la zona Untrust.
NOTA:
Direccin de destino:
puerta de enlace remota
Direccin de destino:
remoto
Direccin de origen:
Interfaz de la zona Trust
Dispositivo A
LAN
Tnel VPN
Zona Trust
Terminador de VPN
de otro fabricante
Zona Untrust
Supervisin de VPN
253
Asimismo, debe crear una directiva en el dispositivo receptor para permitir que las
peticiones de eco procedentes de la zona donde se encuentra la direccin de origen
pasen a travs del tnel VPN a la zona que contiene la direccin de destino si:
NOTA:
254
Supervisin de VPN
(o bien)
VPNs > Manual Key > New: Configure la VPN, haga clic en Advanced,
introduzca los datos siguientes, haga clic en Return para regresar a la pgina de
configuracin bsica de VPN y, finalmente, haga clic en OK:
VPN Monitor: seleccione la opcin para habilitar la supervisin de VPN en
este tnel VPN.
Source Interface: Elija una interfaz en la lista desplegable. Si elige default,
el dispositivo de seguridad utilizar la interfaz de salida.
Destination IP: introduzca una direccin IP de destino. Si no introduce
ningn dato, el dispositivo de seguridad utilizar la direccin IP de puerta
de enlace remota.
CLI
set vpnmonitor frequency nmero
set vpnmonitor threshold nmero
set vpn cadena_nombre monitor [ source-interface interfaz [ destination-ip dir_ip ] ]
[optimized] [ rekey ]
save
NOTA:
Supervisin de VPN
255
Dispositivo A
Dispositivo B
Zonas e interfaces
ethernet1
ethernet1
Zona: Trust
Zone: Trust
ethernet3
ethernet3
Zona: Untrust
Zone: Untrust
Fase 1
2.2.2.2
1.1.1.1
Propuestas: Compatible
Modo: Principal
Fase 2
Modo: Principal
Fase 2
dest = 10.2.1.1
Asociado a la interfaz: tunnel.1
= 10.1.1.5
Asociado a la interfaz: tunnel.1
1.El nivel de seguridad Compatible en la fase 1 incluye las siguientes propuestas: pre-g2-3des-sha,
pre-g2-3des-md5, pre-g2-des-sha y pre-g2-des-md5.
2.El nivel de seguridad Compatible en la fase 2 incluye las siguientes propuestas:
nopfs-esp-3des-sha, nopfs-esp-3des-md5, nopfs-esp-des-sha y nopfs-esp-des-md5.
Dispositivo A
Dispositivo B
Rutas
A 0.0.0.0/0, utilizar ethernet3, puerta de
enlace 1.1.1.250
(Ruta Null: para derivar el trfico a 10.2.1.0/24 (Ruta Null: para derivar el trfico a 10.1.1.0/24 si
si tunnel.1 queda fuera de lnea) Para
tunnel.1 queda fuera de lnea) Para 10.1.1.0/24,
10.2.1.0/24, utilizar interfaz Null, mtrica: 10 utilizar interfaz Null, mtrica: 10
Como los dos dispositivos envan peticiones de eco ICMP desde una interfaz en su
zona Trust a una direccin de su zona Untrust, los administradores situados en
ambos extremos del tnel VPN deben definir directivas que permitan que las
peticiones pasen de una zona a otra.
256
Supervisin de VPN
NOTA:
Como los dos terminadores VPN de este ejemplo son dispositivos de seguridad, es
posible utilizar las direcciones predeterminadas de origen y destino para la
supervisin de VPN. El uso de otras opciones se incluye nicamente para ilustrar
la configuracin de un dispositivo de seguridad para que pueda utilizarlas.
WebUI (dispositivo-A)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Tunnel IF New: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Trust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet1(trust-vr)
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Remote_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.1.0/24
Zone: Untrust
Supervisin de VPN
257
3.
VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway:
Create a Simple Gateway: (seleccione)
Gateway Name: gw1
Type:
Static IP: (seleccione), Address/Hostname: 2.2.2.2
Preshared Key: Ti82g4aX
Security Level: Compatible
Outgoing Interface: ethernet3
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.1.0/24
Gateway: (seleccione)
Interface: Tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
258
Supervisin de VPN
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Remote_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Remote_LAN
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: Any
Action: Permit
Position at Top: (seleccione)
WebUI (dispositivo-B)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.2.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > Tunnel IF New: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Trust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet1(trust-vr)
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.1.0/24
Zone: Trust
Supervisin de VPN
259
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Remote_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3.
VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway:
Create a Simple Gateway: (seleccione)
Gateway Name: gw1
Type:
Static IP: (seleccione), Address/Hostname: 1.1.1.1
Preshared Key: Ti82g4aX
Security Level: Compatible
Outgoing Interface: ethernet3
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Tunnel.1
Gateway IP Address: 0.0.0.0
260
Supervisin de VPN
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Trust_LAN
Destination Address:
Address Book Entry: (seleccione), Remote_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Remote_LAN
Destination Address:
Address Book Entry: (seleccione), Trust_LAN
Service: Any
Action: Permit
Position at Top: (seleccione)
CLI (dispositivo-A)
1.
Interfaces
Direcciones
VPN
set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshare
Ti82g4aX sec-level compatible
set vpn vpn1 gateway gw1 sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.1.0/24 any
set vpn vpn1 monitor source-interface ethernet1 destination-ip 10.2.1.1
Supervisin de VPN
261
4.
Rutas
Directivas
set policy top from trust to untrust Trust_LAN Remote_LAN any permit
set policy top from untrust to trust Remote_LAN Trust_LAN any permit
save
CLI (dispositivo-B)
1.
Interfaces
Direcciones
VPN
set ike gateway gw1 address 1.1.1.1 main outgoing-interface ethernet3 preshare
Ti82g4aX sec-level compatible
set vpn vpn1 gateway gw1 sec-level compatible
set vpn vpn1 bind interface tunnel.1
set vpn vpn1 proxy-id local-ip 10.2.1.0/24 remote-ip 10.1.1.0/24 any
set vpn vpn1 monitor source-interface ethernet1 destination-ip 10.1.1.5
4.
Rutas
Directivas
set policy top from trust to untrust Trust_LAN Remote_LAN any permit
set policy top from untrust to trust Remote_LAN Trust_LAN any permit
save
NOTA:
262
Supervisin de VPN
Para permitir que la aplicacin de gestin SNMP reconozca las MIB de supervisin
de VPN, es necesario importar en la aplicacin los archivos de extensin MIB
especficos de ScreenOS. Puede encontrar los archivos de extensin MIB en el CD
de documentacin que recibi con su dispositivo de seguridad.
NOTA:
264
Figura 68: Tabla de rutas y tabla de asociacin de tneles a saltos siguientes (NHTB)
Interlocutores VPN remotos (con direcciones IP
externas asignadas dinmicamente y
direcciones IP de interfaz de tnel fijas) y sus
LAN protegidas
10.1.1.1
10.1.0.0/24
vpn1
tunnel.1
10.2.1.5
10.1.1.5
10.1.2.1
vpn2
10.1.1.0/24
vpn3
10.2.0.0/16
LAN de zona Trust
10.1.3.1
10.1.2.0/24
Tabla de rutas
ID
IP-Prefix (Dst)
Interface
Gateway
Next-Hop
VPN
Indicador
10.1.0.0/24
tunnel.1
10.1.1.1
10.1.1.1
vpn1
static
10.1.1.0/24
tunnel.1
10.1.2.1
10.1.2.1
vpn2
static
10.1.2.0/24
tunnel.1
10.1.3.1
10.1.3.1
vpn3
static
En las entradas anteriores, la direccin IP de la puerta de enlace en la tabla de rutas (que tambin es la direccin IP de salto siguiente en la
tabla NHTB) es la interfaz de tnel en la ubicacin del interlocutor remoto. Esta direccin IP vincula la ruta (y, en consecuencia, la interfaz de
tnel especificada en la ruta) a un tnel VPN determinado para el trfico destinado al prefijo IP especificado.
Dest. en tabla
local de rutas
Interfaz de tnel
local
Puerta de enlace/salto
siguiente
(Interfaz de tnel del
Tnel VPN
interlocutor)
10.0.3.0/24
tunnel.1
10.0.2.1/24
vpn1
10.0.5.0/24
tunnel.1
10.0.4.1/24
vpn2
10.0.7.0/24
tunnel.1
10.0.6.1/24
vpn3
10.0.251.0/24
tunnel.1
10.0.250.1/24
vpn125
10.1.3.0/24
tunnel.1
10.1.2.1/24
vpn126
10.1.5.0/24
tunnel.1
10.1.4.1/24
vpn127
10.1.7.0/24
tunnel.1
10.1.6.1/24
vpn128
10.1.251.0/24
tunnel.1
10.1.250.1/24
vpn250
10.2.3.0/24
tunnel.1
10.2.2.1/24
vpn251
10.2.251.0/24
tunnel.1
10.2.250.1/24
vpn375
10.7.3.0/24
tunnel.1
10.7.2.1/24
vpn876
10.7.251.0/24
tunnel.1
10.7.250.1/24
vpn1000
266
Figura 69: Mltiples tneles asociados a una nica interfaz de tnel con traduccin de direcciones
El dispositivo de seguridad local y todos
10.0.4.1/24
sus interlocutores ejecutan la
NAT-dst 10.0.5.1 ->
traduccin de direcciones de destino
direcciones IP internas
(NAT-dst) con desplazamiento de IP en
IF 10.0.2.1/24
el trfico VPN entrante y traduccin de
NAT-dst 10.0.3.1 ->
direcciones de origen (NAT-src) desde
direcciones IP internas
la direccin IP de interfaz de tnel de
vpn1
salida con traduccin de puertos en el
trfico VPN saliente.
IF 10.0.2.1/24
NAT-dst 10.0.3.1 ->
direcciones IP internas
Dispositivo de
seguridad local
10.0.0.1/24
NAT-dst 10.0.1.1 ->
direcciones IP internas
10.0.6.1/24
NAT-dst 10.0.7.1 ->
direcciones IP internas
vpn2
vpn3
10.1.1.1/24
NAT-dst 10.1.2.1 ->
direcciones IP internas
vpn251
vpn751
vpn1000
10.6.2.1/24
NAT-dst 10.6.3.1->
direcciones IP internas
10.7.250.1/24
NAT-dst 10.7.251.1 ->
direcciones IP internas
Una vez hecho esto, podr introducir una ruta esttica en la tabla de rutas que
utiliza la direccin IP de interfaz de tnel como puerta de enlace. Puede introducir
la ruta por medio de la WebUI o con el siguiente comando CLI:
set vrouter cadena_nombre route dir_dest interface tunnel.1 gateway
dir_interfaz_tnel_interloc
Los interlocutores remotos de todos los tneles VPN asociados a una sola
interfaz de tnel local deben ser dispositivos de seguridad con ScreenOS 5.0.0
o posterior.
Cada interlocutor remoto debe asociar su tnel a una interfaz de tnel, y esa
interfaz debe tener una direccin IP nica entre todas las direcciones de
interfaz de tnel de los interlocutores.
En ambos extremos del tnel VPN, habilite la supervisin de VPN con la opcin
de reencriptacin (Rekey), o habilite la opcin de nueva conexin de pulsos de
IKE (IKE Heartbeat Reconnect) para cada puerta de enlace remota.
NOTA:
268
Zona Untrust
interloc1
vpn1
vpn2
vpn3
Zona Trust
ethernet1
10.1.1.1/24
tunnel.1
ethernet3
ethernet3
10.0.0.1/30
1.1.1.1/24
1.1.1.1/24
Conjunto de DIP 5:
external
router
externo
1.1.1.250
10.0.0.2 - 10.0.0.2 Enrutador
1.1.1.250
vpn1
Puerta de enlace IKE: interloc1, 2.2.2.2
Interfaz de tnel del interlocutor remoto: 10.0.2.1
LAN
interloc2
interloc3
LAN
LAN
vpn2
Puerta de enlace IKE:
interloc2, 3.3.3.3
Interfaz de tnel del
interlocutor remoto: 10.0.4.1
vpn3
Puerta de enlace IKE: interloc3, 4.4.4.4
Interfaz de tnel del interlocutor remoto:
10.0.6.1
Las configuraciones de tnel VPN a ambos extremos de cada tnel utilizan los
siguientes parmetros:
AutoKey IKE
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask: 10.0.0.1/30
270
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 5
IP Address Range: (seleccione), 10.0.0.2 ~ 10.0.0.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: oda1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.1.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: peers
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.0.0/16
Zone: Untrust
3.
VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: interloc1
Type: Static IP: (seleccione), Address/Hostname: 2.2.2.2
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: interloc2
Type: Static IP: (seleccione), Address/Hostname: 3.3.3.3
Preshared Key: netscreen2
Security Level: Compatible
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn3
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: interloc3
Type: Static IP: (seleccione), Address/Hostname: 4.4.4.4
Preshared Key: netscreen3
Security Level: Compatible
Outgoing Interface: ethernet3
Rutas
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.1.0/24
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 0.0.0.0
272
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.3.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 10.0.2.1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.2.2/32
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 10.0.2.1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.5.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 10.0.4.1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.4.2/32
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 10.0.4.1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.7.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 10.0.6.1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.6.2/32
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 10.0.6.1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.0.0/16
Gateway: (seleccione)
Interface: null
Gateway IP Address: 0.0.0.0
Metric: 10
Network > Interfaces > Edit (para tunnel.1) > NHTB > New: Introduzca los
siguientes datos y haga clic en Add:
New Next Hop Entry:
IP Address: 10.0.2.1
VPN: vpn1
Network > Interfaces > Edit (para tunnel.1) > NHTB: Introduzca los
siguientes datos y haga clic en Add:
New Next Hop Entry:
IP Address: 10.0.4.1
VPN: vpn2
Network > Interfaces > Edit (para tunnel.1) > NHTB: Introduzca los
siguientes datos y haga clic en Add:
New Next Hop Entry:
IP Address: 10.0.6.1
VPN: vpn3
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book: (seleccione), corp
Destination Address:
Address Book: (seleccione), peers
Service: Any
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), peers
Destination Address:
Address Book Entry: (seleccione), oda1
Service: Any
Action: Permit
Position at Top: (seleccione)
274
CLI (dispositivo-A)
1.
Interfaces
Direcciones
VPN
Rutas
Directivas
set policy from trust to untrust corp peers any nat src dip-id 5 permit
set policy from untrust to trust peers oda1 any nat dst ip 10.1.1.0 10.1.1.254
permit
save
Interloc1
tunnel.10
10.0.2.1/30
Conjunto de DIP 6
10.0.2.2 - 10.0.2.2
Zona Untrust
Rango NAT-dst
10.0.3.0 10.0.3.255
ethernet1
10.1.1.1/24
Interloc1
NAT-dst de
10.0.3.0 10.0.3.255
a
10.1.1.0 10.1.1.255
con desplazamiento de
direcciones
Zona Trust
vpn1 de
dispositivo-A
LAN
10.1.1.0/24
NOTA:
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.10
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask: 10.0.2.1/30
276
Network > Interfaces > Edit (para tunnel.10) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 6
IP Address Range: (seleccione), 10.0.2.2 ~ 10.0.2.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: lan
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: oda2
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.3.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: to_corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.1.0/24
Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: fr_corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.0.2/32
Zone: Untrust
3.
VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: corp
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
Rutas
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Metric: 1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.3.0/24
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 0.0.0.0
Metric: 1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.0.0/8
Gateway: (seleccione)
Interface: tunnel.10
Gateway IP Address: 0.0.0.0
Metric: 10
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.0.0/8
Gateway: (seleccione)
Interface: null
Gateway IP Address: 0.0.0.0
Metric: 12
5.
Directivas
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), fr_corp
Destination Address:
Address Book Entry: (seleccione), oda2
Service: Any
Action: Permit
Position at Top: (seleccione)
278
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), lan
Destination Address:
Address Book Entry: (seleccione), to_corp
Service: Any
Action: Permit
Position at Top: (seleccione)
CLI (Interloc1)
1.
Interfaces
Direcciones
set
set
set
set
3.
VPN
Rutas
5.
Directivas
set policy from trust to untrust lan to_corp any nat src dip-id 6 permit
set policy from untrust to trust fr_corp oda2 any nat dst ip 10.1.1.0 10.1.1.254
permit
save
Interloc2
ethernet3
3.3.3.3/24
Enrutador externo
3.3.3.250
Zona Untrust
Rango NAT-dst
10.0.5.0 10.0.5.255
ethernet1
10.1.1.1/24
Interloc2
vpn2 desde
dispositivo-A
Zona Trust
NAT-dst de
10.0.5.0 10.0.5.255
a
10.1.1.0 10.1.1.255
con desplazamiento
de direcciones
LAN
10.1.1.0/24
NOTA:
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 3.3.3.3/24
280
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.20
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask: 10.0.4.1/30
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 7
IP Address Range: (seleccione), 10.0.4.2 ~ 10.0.4.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: lan
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: oda3
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.5.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: to_corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.1.0/24
Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: fr_corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.0.2/32
Zone: Untrust
3.
VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: corp
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1
Preshared Key: netscreen2
Security Level: Compatible
Outgoing Interface: ethernet3
Rutas
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 3.3.3.250
Metric: 1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.5.0/24
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 0.0.0.0
Metric: 1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.1.0/24
Gateway: (seleccione)
Interface: tunnel.20
Gateway IP Address: 0.0.0.0
Metric: 10
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.1.0/24
Gateway: (seleccione)
Interface: null
Gateway IP Address: 0.0.0.0
Metric: 12
282
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), lan
Destination Address:
Address Book Entry: (seleccione), to_corp
Service: Any
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), fr_corp
Destination Address:
Address Book Entry: (seleccione), oda3
Service: Any
Action: Permit
Position at Top: (seleccione)
CLI (Interloc2)
1.
Interfaces
Direcciones
set
set
set
set
3.
VPN
Rutas
Directivas
set policy from trust to untrust lan to_corp any nat src dip-id 7 permit
set policy from untrust to trust fr_corp oda3 any nat dst ip 10.1.1.0 10.1.1.254
permit
save
Interloc3
ethernet3
tunnel.30
4.4.4.4/24
10.0.6.1/30
Enrutador externo
Conjunto de DIP 8
4.4.4.250
10.0.6.2 - 10.0.6.2
Rango NAT-dst
10.0.7.0 10.0.7.255
ethernet1
10.1.1.1/24
Interloc3
NAT-dst de
10.0.7.0 10.0.7.255
a
10.1.1.0 10.1.1.255
con desplazamiento
de direcciones
Zona Trust
LAN
10.1.1.0/24
NOTA:
284
WebUI (Interloc3)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 4.4.4.4/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.30
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask: 10.0.6.1/30
Network > Interfaces > Edit (para tunnel.30) > DIP > New: Introduzca los
siguientes datos y haga clic en OK:
ID: 7
IP Address Range: (seleccione), 10.0.6.2 ~ 10.0.6.2
Port Translation: (seleccione)
In the same subnet as the interface IP or its secondary IPs: (seleccione)
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: lan
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: oda4
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.7.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: to_corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.1.0/24
Zone: Untrust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: fr_corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.0.2/32
Zone: Untrust
3.
VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn3
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: corp
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1
Preshared Key: netscreen3
Security Level: Compatible
Outgoing Interface: ethernet3
Rutas
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 4.4.4.250
Metric: 1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.7.0/24
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 0.0.0.0
Metric: 1
286
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.0.0/8
Gateway: (seleccione)
Interface: tunnel.20
Gateway IP Address: 10.0.0.1
Metric: 10
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.0.0.0/8
Gateway: (seleccione)
Interface: null
Gateway IP Address: 10.0.0.1
Metric: 12
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), lan
Destination Address:
Address Book Entry: (seleccione), to_corp
Service: Any
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), fr_corp
Destination Address:
Address Book Entry: (seleccione), oda4
Service: Any
Action: Permit
Position at Top: (seleccione)
CLI (Interloc3)
1.
Interfaces
Direcciones
set
set
set
set
3.
VPN
Rutas
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250 metric
1
set vrouter trust-vr route 10.0.7.0/24 interface ethernet1 metric 1
set vrouter trust-vr route 10.0.0.0/8 interface tunnel.30 metric 10
set vrouter trust-vr route 10.0.0.0/8 interface null metric 12
5.
Directivas
set policy from trust to untrust lan to_corp any nat src dip-id 8 permit
set policy from untrust to trust fr_corp oda4 any nat dst ip 10.1.1.0 10.1.1.254
permit
save
NOTA:
288
En este ejemplo tambin puede utilizar OSPF (Open Shortest Path First = abrir
primero la ruta ms corta) en lugar de BGP como protocolo de enrutamiento.
Consulte Uso de OSPF para entradas automticas en la tabla de rutas en la
pgina 300 para ver las configuraciones de OSPF.
Zona Untrust
interloc1
vpn1
Dispositivo A
interloc2
Zona Trust
ethernet1
10.1.1.1/24
ethernet3
1.1.1.1/24
Enrutador externo
1.1.1.250
tunnel.1
10.0.0.1/30
vpn2
vpn2
Puerta de enlace IKE: interloc2, 3.3.3.3
Interfaz de tnel del interlocutor remoto: 3.4.4.1
Las configuraciones de tnel VPN a ambos extremos de cada tnel utilizan los
siguientes parmetros: AutoKey IKE, clave previa compartida (interloc1:
netscreen1, interloc2: netscreen2) y el nivel de seguridad predefinido como
Compatible para las propuestas de fase 1 y fase 2. (Para ver los detalles sobre
estas propuestas, consulte Negociacin de tnel en la pgina 9).
Antes de configurar las dos siguientes funciones, puede habilitar el dispositivo-A
para que rellene sus tablas de rutas y NHTB automticamente:
NOTA:
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask: 10.0.0.1/30
290
2.
VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: interloc1
Type: Static IP: (seleccione), Address/Hostname: 2.2.2.2
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return
para regresar a la pgina de configuracin bsica de AutoKey IKE:
Bind to: Tunnel Interface, tunnel.1
Proxy-ID: (seleccione)
Local IP/Netmask: 0.0.0.0/0
Remote IP/Netmask: 0.0.0.0/0
Service: ANY
VPN Monitor: (seleccione)
Rekey: (seleccione)
NOTA:
3.
Ruta esttica
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 2.3.3.1/32
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 2.3.3.1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 3.4.4.1/32
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 3.4.4.1
4.
Enrutamiento dinmico
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP
Instance: Introduzca los siguientes datos y haga clic en OK:
AS Number (obligatorio): 99
BGP Enabled: (seleccione)
Network > Interfaces > Edit (para tunnel.1) > BGP: Seleccione la casilla de
verificacin Protocol BGP, luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 99
Remote IP: 2.3.3.1
Outgoing Interface: tunnel.1
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 99
Remote IP: 3.4.4.1
Outgoing Interface: tunnel.1
292
5.
Directiva
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book: (seleccione), Any
Destination Address:
Address Book: (seleccione), Any
Service: ANY
Action: Permit
CLI (dispositivo-A)
1.
Interfaces
VPN
Rutas estticas
Enrutamiento dinmico
5.
Directiva
ethernet1
2.3.4.1/24
tunnel.10
2.3.3.1/30
Zona Trust
Zona Untrust
2.3.
Interloc1
2.3.4.0/24
vpn2 desde
dispositivo-A
2.3.
WebUI (Interloc1)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 2.3.4.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.10
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask: 2.3.3.1/30
294
2.
Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3.
VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: corp
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
Rutas estticas
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Metric: 1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: tunnel.10
Gateway IP Address: 0.0.0.0
Metric: 1
5.
Enrutamiento dinmico
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP
Instance: Introduzca los siguientes datos y haga clic en OK:
AS Number (obligatorio): 99
BGP Enabled: (seleccione)
Network > Interfaces > Edit (para tunnel.10) > BGP: Seleccione la casilla de
verificacin Protocol BGP, luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 99
Remote IP: 10.0.0.1
Outgoing Interface: tunnel.10
6.
Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
CLI (Interloc1)
1.
Interfaces
Direccin
VPN
Rutas estticas
Enrutamiento dinmico
296
6.
Directiva
tunnel.20
3.4.4.1/30
Zona Trust
ethernet1
3.4.5.1/24
3.4.
Interloc
3.4.5.0/24
Zona Untrust
3.4.
WebUI (Interloc2)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 2.3.4.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 3.3.3.3/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.20
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask: 3.4.4.1/30
2.
Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3.
VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: vpn2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: corp
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1
Preshared Key: netscreen2
Security Level: Compatible
Outgoing Interface: ethernet3
Rutas estticas
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 3.3.3.250
Metric: 1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: tunnel.20
Gateway IP Address: 0.0.0.0
Metric: 1
5.
Enrutamiento dinmico
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP
Instance: Introduzca los siguientes datos y haga clic en OK:
AS Number (obligatorio): 99
BGP Enabled: (seleccione)
298
Network > Interfaces > Edit (para tunnel.20) > BGP: Seleccione la casilla de
verificacin Protocol BGP, luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP
Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add:
AS Number: 99
Remote IP: 10.0.0.1
Outgoing Interface: tunnel.20
6.
Directiva
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
CLI (Interloc2)
1.
Interfaces
Direccin
VPN
Rutas estticas
Enrutamiento dinmico
6.
Directiva
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF
Instance: Seleccione OSPF Enabled, luego haga clic en Apply.
Area > Configure (para el rea 0.0.0.0): Haga clic en << Add para mover
la interfaz tunnel.1 de la lista Available Interface(s) a la lista Selected
Interface(s) y luego haga clic en OK.
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes
datos y haga clic en Apply:
Bind to Area: (seleccione), Seleccione 0.0.0.0 en la lista desplegable
Protocol OSPF: Enable
Link Type: Point-to-Multipoint (seleccione)
CLI (dispositivo-A)
Enrutamiento dinmico (OSPF)
WebUI (Interloc1)
Enrutamiento dinmico (OSPF)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF
Instance: Seleccione OSPF Enabled, luego haga clic en Apply.
Area > Configure (para el rea 0.0.0.0): Haga clic en << Add para mover
la interfaz tunnel.1 de la lista Available Interface(s) a la lista Selected
Interface(s) y luego haga clic en OK.
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes
datos y haga clic en Apply:
Bind to Area: (seleccione), Seleccione 0.0.0.0 en la lista desplegable
Protocol OSPF: Enable
300
CLI (Interloc1)
Enrutamiento dinmico (OSPF)
WebUI (Interloc2)
Enrutamiento dinmico (OSPF)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF
Instance: Seleccione OSPF Enabled, luego haga clic en Apply.
Area > Configure (para el rea 0.0.0.0): Haga clic en << Add para mover
la interfaz tunnel.1 de la lista Available Interface(s) a la lista Selected
Interface(s) y luego haga clic en OK.
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes
datos y haga clic en Apply:
Bind to Area: (seleccione), Seleccione 0.0.0.0 en la lista desplegable
Protocol OSPF: Enable
CLI (Interloc2)
Enrutamiento dinmico (OSPF)
301
NOTA:
Figura 77: Puertas de enlace VPN redundantes para conmutacin por error del tnel VPN
Grupo VPN, ID 1
= Datos
= Pulsos de IKE
Grupo VPN, ID 1
Grupos VPN
Un grupo VPN es un conjunto de configuraciones de tnel VPN para hasta cuatro
puertas de enlace remotas de destino. Los parmetros de asociacin de seguridad
(SA) de fase 1 y fase 2 para cada tnel de un grupo pueden ser distintos o idnticos
(excepto en el caso de la direccin IP de la puerta de enlace remota, que,
lgicamente, debe ser diferente). El grupo VPN, que se muestra en la Figura 78 en
la pgina 303, tiene un nmero de ID inequvoco, y a cada miembro del grupo se le
asigna un peso inequvoco para indicar su lugar en el rango de preferencia para
convertirse en el tnel activo. Un valor de 1 constituye el rango inferior o de menor
preferencia.
302
Peso
E
S
Supervisor
T
I
N
O
Nota: En esta ilustracin, el sombreado simboliza el peso de cada
tnel. Cuanto ms oscuro sea el tnel, mayor ser su prioridad.
El dispositivo de seguridad que se comunica con los miembros del grupo VPN y los
propios miembros tienen una relacin supervisor/destino. El dispositivo de
supervisin supervisa continuamente la conectividad y el correcto estado de cada
dispositivo de destino. El supervisor utiliza las siguientes herramientas para ello:
Pulsos de IKE
NOTA:
Mecanismos de supervisin
Dos mecanismos supervisan los miembros de un grupo VPN con el fin de
determinar su capacidad para terminar trfico VPN:
Pulsos de IKE
Utilizando estas dos herramientas junto con la opcin de conmutacin por error de
aplicacin TCP (consulte Comprobacin de indicador TCP SYN en la pgina 307),
los dispositivos de seguridad pueden detectar si es necesario realizar una
conmutacin por error de la VPN y desviar el trfico al nuevo tnel sin tener que
interrumpir el servicio de VPN.
303
Pulsos de IKE
Los pulsos de IKE son mensajes de saludo que los interlocutores IKE se envan
mutuamente bajo la proteccin de una asociacin de seguridad (SA) de fase 1
establecida para confirmar la conectividad y el correcto estado del otro. Por
ejemplo, si dispositivo_s (el supervisor) no recibe un determinado nmero de
pulsos (el valor predeterminado es 5) de dispositivo_d (el destino), dispositivo_s
llega a la conclusin de que dispositivo_d est fuera de lnea. Dispositivo_s elimina
de su memoria cach las asociaciones de seguridad (SA) de fase 1 y fase 2
correspondientes y comienza el procedimiento de recuperacin IKE. (Consulte
Procedimiento de recuperacin IKE en la pgina 306.) Dispositivo_d tambin
elimina sus SA.
NOTA:
Los pulsos de IKE deben fluir en ambos sentidos a travs del tnel VPN.
Para definir el intervalo de pulsos de IKE y el umbral para un tnel VPN especfico
(el valor predeterminado es 5), realice los siguientes pasos:
WebUI
VPN > AutoKey Advanced > Gateway > Edit (para la puerta de enlace
cuyo umbral de pulsos de IKE desee modificar) > Advanced: Introduzca los
nuevos valores en los campos Heartbeat Hello y Heartbeat Threshold y
haga clic en OK.
CLI
set ike gateway cadena_nombre heartbeat hello nmero
set ike gateway cadena_nombre heartbeat threshold nmero
304
VPN > AutoKey Advanced > Gateway > Edit (our_gateway): Introduzca los
siguientes valores y haga clic en OK.
Predefined: Standard (seleccione)
DPD:
Interval: 5
CLI
set ike gateway our_gateway address 1.1.1.1 main outgoing-interface untrust
preshare jun9345 sec-level standard
set ike gateway our_gateway dpd interval 5
305
Supervisor
Intervalo:
5 minutos
(300 segundos)
..
.
..
.
Intentos de
negociacin de fase 1
IKE cada 5 minutos
Destino
Intento fallido
.
..
..
.
Intento fallido
..
.
..
.
Intento con xito
Para definir el intervalo de recuperacin IKE para un tnel VPN especfico (el ajuste
mnimo es 60 segundos), realice uno de los siguientes pasos:
WebUI
VPN > AutoKey Advanced > Gateway > Edit (para la puerta de enlace
cuyo intervalo de reconexin de IKE desee modificar) > Advanced:
Introduzca el valor en segundos en el campo Heartbeat Reconnect; luego,
haga clic en OK.
CLI
set ike gateway cadena_nombre heartbeat reconnect nmero
Cuando el miembro con el mayor peso de un grupo VPN realiza una conmutacin
por error del tnel a otro miembro del grupo y, a continuacin, conecta de nuevo
con el dispositivo de supervisin, se realiza automticamente una conmutacin por
recuperacin del tnel al primer miembro. El sistema de ponderacin hace que la
puerta de enlace que tiene la mayor valoracin del grupo se encargue siempre de
gestionar los datos VPN si es posible.
La Figura 81 en la pgina 307 muestra el proceso al que se somete un miembro de
un grupo VPN cuando la ausencia de pulsos de una puerta de enlace de destino
sobrepasa el umbral de fallo.
306
Supervisor
El supervisor realiza una conmutacin por error de la VPN (si el destino estaba
gestionando datos VPN), elimina las SA de fase 1 y fase 2 e intenta establecer
de nuevo el tnel VPN con los intervalos especificados.
307
CLI
unset flow tcp-syn-check-in-tunnel
NOTA:
Ubicacin del
dispositivo
Interfaz fsica y
Nombre del direccin IP
dispositivo (zona Trust)
Empresa
Monitor1
Centro de datos
(primario)
Destino1
ethernet1, 10.1.1.1/16
ID = 1, Peso = 2
Destino2
ethernet1, 10.1.1.1/16
ID = 1, Peso = 1
NOTA:
308
Trust, ethernet1
10.1.1.1/16
Destino1
10.1.0.0/16
Sitio corporativo
Monitor1
Internet
10.10.1.0/24
Trust, ethernet1
10.10.1.1/24
Untrust, ethernet3
1.1.1.1/24
Destino2
10.1.0.0/16
Untrust, ethernet3
3.3.3.1/24
Ubicacin del
centro de datos
primario
Ubicacin del
respaldo del
centro de datos
Trust, ethernet1
10.1.1.1/16
WebUI (Monitor1)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.10.1.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: in_trust
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.1.0/24
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: data_ctr
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.0.0/16
Zone: Untrust
309
3.
VPN
VPNs > AutoKey Advanced > VPN Group: Introduzca 1 en el campo VPN
Group ID; luego, haga clic en Add.
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: target1
Security Level: Compatible
Remote Gateway Type: Static IP Address: (seleccione), IP Address: 2.2.2.1
Preshared Key: SLi1yoo129
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: to_target1
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), target1
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: target2
Security Level: Compatible
Remote Gateway Type: Static IP Address: (seleccione), IP Address: 3.3.3.1
Preshared Key: CMFwb7oN23
Outgoing Interface: ethernet3
310
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: to_target2
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), target2
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.2(untrust)
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), in_trust
Destination Address:
Address Book Entry: (seleccione), data_ctr
Service: ANY
Action: Tunnel
VPN: VPN Group-1
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
WebUI (destino1)
1.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/16
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 2.2.2.1/24
311
2.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: in_trust
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.0.0/16
Zone: Trust
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.1.0/24
Zone: Untrust
3.
VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: monitor1
Security Level: Compatible
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1
Preshared Key: SLi1yoo129
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
Name: to_monitor1
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), monitor1
4.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.2
312
5.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), in_trust
Destination Address:
Address Book Entry: (seleccione), corp
Service: ANY
Action: Zona
Tunnel VPN: monitor1
Modify matching bidirectional VPN policy: (seleccione)
Position at Top: (seleccione)
WebUI (destino2)
NOTA:
Siga los pasos de configuracin de destino1 para configurar destino2, pero defina
la direccin IP de la interfaz de zona Untrust como 3.3.3.1/24, la direccin IP de
puerta de enlace predeterminada como 3.3.3.2 y utilice CMFwb7oN23 para
generar la clave previamente compartida.
CLI (Monitor1)
1.
Interfaces
Direcciones
VPN
Ruta
313
5.
Directivas
set policy top from trust to untrust in_trust data_ctr any tunnel vpn-group 1
set policy top from untrust to trust data_ctr in_trust any tunnel vpn-group 1
save
CLI (destino1)
1.
Interfaces
Direcciones
VPN
Ruta
Directivas
set policy top from trust to untrust in_trust corp any tunnel vpn to_monitor
set policy top from untrust to trust corp in_trust any tunnel vpn to_monitor
save
CLI (destino2)
NOTA:
Siga los pasos de configuracin de destino1 para configurar destino2, pero defina
la direccin IP de la interfaz de zona Untrust como 3.3.3.1/24, la direccin IP de
puerta de enlace predeterminada como 3.3.3.2 y utilice CMFwb7oN23 para
generar la clave previamente compartida.
NOTA:
314
Zona X1
Zona X2
Red radial A
Red radial B
VPN1
VPN2
Consulta
de
directivas
Concentrador
Puede conservar el nmero de VPN que necesite crear. Por ejemplo, el punto de
permetro A puede enlazar con el concentrador y los puntos de permetro B, C,
D, etc., pero A slo tiene que configurar un tnel VPN. Especialmente para
usuarios de NetScreen-5XP, que pueden utilizar un mximo de diez tneles
VPN de forma simultnea, aplicar el mtodo radial aumenta de manera
significativa las opciones y capacidades VPN.
315
NOTA:
Para crear zonas definidas por el usuario, primero se debera adquirir y cargar una
clave de software de zona en el dispositivo de seguridad.
El tnel VPN1 se asocia a la interfaz tunnel.1, y el tnel VPN2 se asocia a la interfaz
tunnel.2. Aunque no se asignan direcciones IP a las interfaces de zona X1 y X2, se
asignan direcciones a ambas interfaces de tnel. Las rutas para estas interfaces
aparecen automticamente en la tabla de enrutamiento Trust-VR. Colocando la
direccin IP de una interfaz de tnel en la misma subred que la de destino, el
trfico destinado a dicha subred se enruta a la interfaz de tnel.
La interfaz de salida es ethernet3, que est asociada a la zona Untrust. Como puede
ver en la Figura 84, ambos tneles terminan en la zona Untrust; sin embargo, los
puntos finales para el trfico que utiliza estos tneles se encuentran en las zonas X1
y X2. Los tneles utilizan AutoKey IKE con claves previamente compartidas. Hay
que seleccionar el nivel de seguridad predefinido como Compatible para ambas
propuestas de fase 1 y fase 2. La zona Untrust se asocia a untrust-vr. Como los
tneles estn basados en rutas (es decir, el tnel correcto se determina por el
enrutamiento, no por un nombre de tnel especificado en una directiva), las ID de
proxy se incluyen en la configuracin de cada tnel.
Figura 84: VPN adosadas con dos dominios de enrutamiento y mltiples zonas de seguridad
Nueva York
Interfaz de salida
Zona Untrust
ethernet3, IP 123.1.1.1/24
Dominio de
enrutamiento
Trust-VR
Interfaz:
tunnel.1
10.10.1.2/24
Sede central en
Nueva York
(concentrador)
ethernet1
10.1.1.1/24
VPN1
Interfaz:
tunnel.2
10.20.1.2/24
Dominio de
enrutamiento
Untrust-VR
VPN2
Zona X1
LAN de Tokio
10.10.1.0/24
Zona X2
LAN de Pars
10.20.1.0/24
Consulta
de
directivas
Zona Trust
316
Tokio (radio)
110.1.1.1
Pars (radio)
220.2.2.2
Puerta de enlace
predeterminada
IP 123.1.1.2
WebUI
1.
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Null
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga
clic en OK:
Virtual Router Name: untrust-vr
Block Intra-Zone Traffic: (seleccione)
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: X1
Virtual Router Name: trust-vr
Block Intra-Zone Traffic: (seleccione)
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: X2
Virtual Router Name: trust-vr
Block Intra-Zone Traffic: (seleccione)
2.
Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 123.1.1.1/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): X1 (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask: 10.10.1.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.2
Zone (VR): X2 (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask: 10.20.1.2/24
317
3.
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: VPN1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: Tokio
Type: Static IP: (seleccione), Address/Hostname: 110.1.1.1
Preshared Key: netscreen1
Outgoing Interface: ethernet3
Para configurar el tnel VPN en el dispositivo de seguridad que protege las oficinas
de Tokio y Pars, ejecute uno de estos procedimientos:
(VPN basada en rutas) Seleccione la casilla de verificacin Enable Proxy-ID y
escriba 10.10.1.0/24 (Tokio) y 10.20.1.0/24 (Pars) para Local IP/Netmask,
y 10.20.1.0/24 (Tokio) y 10.10.1.0/24 (Pars) para Remote IP/Netmask.
(VPN basada en directivas) Realice una entrada en la libreta de direcciones de la
zona Trust para 10.10.1.0/24 (Tokio) y 10.20.1.0/24 (Pars), y otra en la libreta de
direcciones de la zona Untrust para 10.20.1.0/24 (Tokio) y 10.10.1.0/24 (Pars).
Utilcelas como direcciones de origen y destino en la directiva relativa al tnel VPN
al sitio del concentrador (hub).
4.
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: VPN2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: Pars
Type: Static IP: (seleccione), Address/Hostname: 220.2.2.2
Preshared Key: netscreen2
Outgoing Interface: ethernet3
318
5.
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Next Hop Virtual Router Name: (seleccione), untrust-vr
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 123.1.1.2
6.
Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Tokio LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.1.0/24
Zone: X1
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: LAN de Pars
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.20.1.0/24
Zone: X2
7.
Directivas
Policy > (From: X1, To: X2) New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione), Tokio LAN
Destination Address:
Address Book Entry: (seleccione), Paris LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policy > (From: X2, To: X1) New: Introduzca los siguientes datos y haga clic
en OK:
Source Address:
Address Book Entry: (seleccione), Paris LAN
Destination Address:
Address Book Entry: (seleccione), Tokio LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
319
CLI
1.
Interfaces
Para configurar el tnel VPN en el dispositivo de seguridad que protege las oficinas
de Tokio y Pars, ejecute uno de estos procedimientos:
(VPN basada en rutas) Introduzca los siguientes comandos: set vpn VPN1
proxy-id local-ip 10.20.1.0/24 remote-ip 10.10.1.0/24 (Tokio) y set vpn VPN1
proxy-id local-ip 10.10.1.0/24 remote-ip 10.20.1.0/24 (Pars).
(VPN basada en directivas) Realice una entrada en la libreta de direcciones de la
zona Trust para 10.10.1.0/24 (Tokio) y 10.20.1.0/24 (Pars), y otra en la libreta de
direcciones de la zona Untrust para 10.20.1.0/24 (Tokio) y 10.10.1.0/24 (Pars).
Utilcelas como direcciones de origen y destino en las directivas relativas al tnel
VPN al sitio del concentrador (hub).
4.
Rutas
Direcciones
320
7.
Directivas
set policy top from x1 to x2 Tokio LAN Paris LAN any permit
set policy top from x2 to x1 Paris LAN Tokio LAN any permit
save
NOTA:
Puede hacer caso omiso al siguiente mensaje, que aparece porque las interfaces
de tnel estn en modo NAT:
Warning (Advertencia): Some interfaces in the nombre_zona zone are in NAT
mode. Traffic might not pass through them!
Zona Untrust
NOTA:
321
Los tneles se asocian a las interfaces de tnel (tunnel.1 y tunnel.2), que estn sin
numerar. Los tneles utilizan AutoKey IKE con claves previamente compartidas.
Hay que seleccionar el nivel de seguridad predefinido como Compatible para
ambas propuestas de fase 1 y fase 2. La zona Untrust se asocia a untrust-vr. La
interfaz de zona Untrust es ethernet3.
NOTA:
Zona Untrust
Interfaz
de salida
ethernet3
IP 1.1.1.1
Puerta de enlace
predeterminada
IP 1.1.1.250
Tokio 2.2.2.2
(radio)
LAN de Tokio
10.2.2.0/24
Internet
VPN1
VPN2
Pars 3.3.3.3
(radio)
Interfaz:
tunnel.1
LAN de Pars
10.3.3.0/24
Interfaz:
tunnel.2
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Null
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga
clic en OK:
Virtual Router Name: untrust-vr
Block Intra-Zone Traffic: (anule la seleccin)
2.
Interfaces
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 1.1.1.1/24
322
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (untrust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (untrust-vr)
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.2
Zone (VR): Untrust (untrust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (untrust-vr)
3.
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: VPN1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: Tokio
Type: Static IP: (seleccione), Address/Hostname: 2.2.2.2
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: VPN2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: Pars
Type: Static IP: (seleccione), Address/Hostname: 3.3.3.3
Preshared Key: netscreen2
Security Level: Compatible
Outgoing Interface: ethernet3
323
5.
Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.3.3.0/24
Gateway: (seleccione)
Interface: tunnel.2
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
WebUI (Tokio)
1.
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Null
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga
clic en OK:
Virtual Router Name: untrust-vr
Block Intra-Zone Traffic: (seleccione)
2.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.2.2.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
324
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (untrust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (untrust-vr)
3.
Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Pars
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.3.3.0/24
Zone: Untrust
4.
VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: VPN1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: Nueva York
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Next Hop Virtual Router Name: (seleccione); untrust-vr
325
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.3.3.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
6.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Paris
Service: ANY
Action: Permit
WebUI (Pars)
1.
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Null
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga
clic en OK:
Virtual Router Name: untrust-vr
Block Intra-Zone Traffic: (seleccione)
2.
Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.3.3.1/24
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
326
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 3.3.3.3/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (untrust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (untrust-vr)
3.
Direccin
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes
datos y haga clic en OK:
Address Name: Tokio
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Untrust
4.
VPN
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: VPN2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway: (seleccione)
Gateway Name: Nueva York
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1
Preshared Key: netscreen2
Security Level: Compatible
Outgoing Interface: ethernet3
Rutas
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Next Hop Virtual Router Name: (seleccione); untrust-vr
327
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 3.3.3.250
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
6.
Directivas
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Tokio
Service: ANY
Action: Permit
Interfaces
328
5.
Rutas
CLI (Tokio)
1.
Interfaces
Direccin
VPN
Rutas
Directivas
CLI (Pars)
1.
Interfaces
329
3.
Direccin
VPN
Rutas
Directivas
330
Captulo 8
Vista general
Las organizaciones de empresas pequeas que aseguran sus sitios satlites remotos
con los tneles de red privada virtual (VPN) suelen interconectar todos los sitios en
una VPN de malla completa, ya que los sitios remotos se deben comunicar entre s,
al igual que con las oficinas centrales. En este tipo de red, generalmente los sitios
remotos ejecutan dispositivos de seguridad finales de pocas prestaciones que
admiten un mximo de 25 tneles VPN. Sin embargo, cuando la cantidad total de
sitios es superior a 25, la empresa debe colocar dispositivos de seguridad con
mayor capacidad en sus sitios remotos (a un costo considerable) o cambiar de una
topologa de malla completa a una red radial.
Una configuracin radial soluciona el problema de escalabilidad, pero su resultado
fundamental es que toda la comunicacin entre las redes radiales debe pasar por el
concentrador. Esto por lo general, no es un problema cuando el trfico consta de
pocos datos, incluso con ms de mil redes radiales. Sin embargo, si el trfico es de
vdeo o de voz sobre protocolo de Internet (VoIP), la carga mxima de
procesamiento en el concentrador puede ocasionar latencia, un problema serio
para estas aplicaciones.
AC-VPN le proporciona un mtodo para configurar su red radial, de manera que las
redes radiales puedan crear tneles VPN de forma dinmica, directamente entre s,
segn sea necesario. Esto no slo resuelve el problema de latencia entre las redes
radiales sino tambin reduce el gasto de procesamiento en el concentrador,
mejorando todo el funcionamiento de la red. Adicionalmente, debido a que AC-VPN
crea tneles de forma dinmica, que tienen un tiempo de espera cuando el trfico
se detiene para fluir a travs de los mismos, los administradores de la red se liberan
de la tarea de mantener una red compleja de tneles VPN estticos, que exige
mucho tiempo de trabajo.
Vista general
331
Cmo funciona
AC-VPN est diseada para implementarse en una red radial, donde todas las redes
radiales estn conectadas al concentrador por medio de los tneles VPN. Despus
de configurar un tnel VPN esttico entre el concentrador y cada una de las redes
radiales, configure la AC-VPN en el concentrador y las redes radiales, y luego
habilite el protocolo de resolucin de siguiente salto (NHRP). El concentrador utiliza
NHRP para obtener un rango de informacin sobre cada red radial, incluso sobre
sus asignaciones de direcciones pblicas y privadas, longitud de la mscara de
subred y enrutamiento e informacin de recuento de saltos, que el concentrador
guarda en cach. Luego, cuando alguna red radial comienza a comunicarse con otra
red radial (a travs del concentrador), el concentrador utiliza esta informacin,
junto con la informacin obtenida a travs de la configuracin de AC-VPN de las
redes radiales, para habilitar las redes radiales para configurar un tnel AC-VPN
entre dichas redes. Mientras se negocia el tnel, la comunicacin contina fluyendo
entre las dos redes radiales a travs del concentrador. Cuando el tnel dinmico se
activa, el concentrador se desconecta y el trfico fluye directamente entre las dos
redes radiales. Cuando el trfico deja de fluir a travs del tnel dinmico, el tnel
entra a tiempo de espera.
Mensajes NHRP
En el contexto de NHRP, el concentrador que est en una red radial se conoce como
servidor de siguiente salto (NHS) y la red radial se llama cliente de siguiente salto
(NHC). La comunicacin NHRP entre NHS y NHC se lleva a cabo a travs de un
intercambio formal de mensajes NHRP. El protocolo de resolucin de siguiente salto
(RFC 2332) de acceso mltiple sin difusin (NBMA) define siete mensajes de NHRP.
A estos siete mensajes, ScreenOS agrega dos ms. Estos nueve mensajes y su
funcionamiento en una red radial AC-VPN se definen de la siguiente manera:
NOTA:
332
Cmo funciona
Cmo funciona
333
2.
3.
4.
Peticin de registro
5.
(enva subredes protegidas, hash self-cert, ID local)
Respuesta de registro
6.
7.
8.
RR2 enva Resolution-ack
El concentrador enva Resolution-set con detalles de RR2
9.
10.
RR1 enva Resolution-ac
11.
Configuracin de AC-VPN
Se aplican las siguientes restricciones generales:
334
Cmo funciona
Nat-Traversal: AC-VPN puede crear un tnel dinmico entre dos redes radiales,
si una de las redes est detrs de un dispositivo NAT en la ruta hacia el
concentrador; si ambas redes radiales estn detrs de los dispositivos NAT, pero
no se crear un tnel dinmico y la comunicacin entre las redes radiales
continuar a travs del concentrador. Consulte NAT-Traversal en la pgina 240
para obtener ms informacin sobre NAT-Traversal.
La traduccin de direcciones de puerto (PAT) slo se admite entre una red radial
y el concentrador. Por ejemplo, puede tener un dispositivo NAT entre una red
radial y el concentrador y se puede crear un tnel dinmico entre esa red radial
y otra red radial, siempre y cuando no exista un dispositivo NAT entre esa otra
red radial y el concentrador. En este escenario, el concentrador forzar la red
radial detrs del dispositivo de NAT para iniciar el tnel hacia otra red radial.
Configuracin en el concentrador
La configuracin de la red radial incluye lo siguiente:
1. Crear una puerta de enlace esttica y VPN.
2. Crear tneles estticos en las redes radiales y conectar las VPN a los tneles.
3. Crear un perfil de puerta de enlace de AC-VPN.
4. Crear un perfil de VPN de AC-VPN.
5. Habilitar NHRP en el enrutador virtual.
6. Seleccione ACVPN-Perfil para NHRP.
7. Habilitar NHRP en la interfaz del tnel.
8. Configurar el enrutamiento.
Cmo funciona
335
Ejemplo
En este ejemplo, un dispositivo de seguridad final de altas prestaciones, que acta
como el concentrador en una red radial, est configurado para actuar como el
servidor de siguiente salto (NHS) en una configuracin AC-VPN, en la que
red_radial1 y red_radial2 (dispositivos de seguridad finales de bajas prestaciones)
son clientes de siguiente salto (NHC). Despus de configurar las interfaces en los
dispositivos, configurar los tneles VPN estticos entre el concentrador y cada una
de las redes radiales, luego configure la AC-VPN y habilite NHRP en las interfaces de
conexin. Aunque este ejemplo utiliza el protocolo de enrutamiento de abrir
primero la ruta ms corta (OSPF), ScreenOS admite todos los protocolos de
enrutamiento dinmico con AC-VPN.
NOTA: AC-VPN tambin admite el protocolo de control de host dinmico (DHCP).
336
Cmo funciona
10.1.1.0/24
Concentrador
t.1--10.0.0.2
e2/1--1.1.1.1
Internet
t.1--10.0.0.2
e0/0--3.3.3.1
e0/0--2.2.2.1/24
t.1--10.0.0.3/24
Red radial--1
Red radial--2
Tnel dinmico
10.1.2.0/24
10.1.3.0/24
WebUI (concentrador)
NOTA: Despus de configurar las puertas de enlace estticas y las VPN estticas del
concentrador a las redes radiales y de las redes radiales al concentrador, puede
utilizar el asistente de AC-VPN para completar la configuracin de AC-VPN.
1.
Interfaces
Network > Interfaces > Edit (para ethernet2/1): Introduzca los siguientes
datos y haga clic en Apply:
Zone Name: Untrust
IP Address/Netmask: 1.1.1.1/24
Interface Mode: Route
Network > Interfaces > Edit (para ethernet2/2): Introduzca los siguientes
datos y haga clic en Apply:
Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24
Interface Mode: NAT
Cmo funciona
337
Network > Interfaces > New (Tunnel IF): Introduzca los siguientes datos y
haga clic en Apply:
Tunnel Interface Name: 1
Zone (VR): Trust-vr
Fixed IP
IP Address/Netmask: 10.0.0.1/24
Unnumbered
Interface:
NHRP Enable: (Seleccione)
2.
VPN > AutoKey Advanced > Gateway > New: Configure la puerta de enlace de
IKE, haga clic en Advanced y establezca el nivel de seguridad, luego haga clic
en Return para regresar a la pgina de configuracin de la puerta de enlace IKE
y haga clic en OK:
Gateway Name: Red_radial1
Remote Gateway: (Seleccione)
Static IP Address: (Seleccione) IPvc4/v6 Address/Hostname: 2.2.2.1
Preshare key: Juniper
Outgoing interface: (seleccione) ethernet2/1
Security Level: Standard
VPN > AutoKey Advanced > Gateway > New: Configure la puerta de enlace de
IKE, haga clic en Advanced y establezca el nivel de seguridad, luego haga clic
en Return para regresar a la pgina de configuracin de la puerta de enlace IKE
y haga clic en OK:
Gateway Name: Red_radial2
Remote Gateway: (Seleccione)
Static IP Address: (Seleccione) IPvc4/v6 Address/Hostname: 3.3.3.1
Preshare key: Juniper
Outgoing interface: (seleccione) ethernet2/1
Security Level: Standard
3.
VPN > AutoKey IKE > New: Configure la puerta de enlace de IKE, haga clic
en Advanced y establezca el nivel de seguridad, luego haga clic en Return para
regresar a la pgina de configuracin de la puerta de enlace IKE y haga clic
en OK:
VPN Name: red_radial1
Remote Gateway: (seleccione) Predefined
(seleccione el nombre de puerta de enlace correcto de la lista predefinida del
men desplegable)
Security Level (seleccione) Standard
Bind To: (seleccione) Tunnel Interface
(seleccione Tunnel.1 del men desplegable)
338
Cmo funciona
VPN > AutoKey IKE > New: Configure la puerta de enlace de IKE, haga clic
en Advanced y establezca el nivel de seguridad, luego haga clic en Return para
regresar a la pgina de configuracin de la puerta de enlace IKE y haga clic
en OK:
VPN Name: red_radial2
Remote Gateway: (seleccione) Predefined
(seleccione el nombre de puerta de enlace correcto de la lista predefinida del
men desplegable)
Security Level (seleccione) Standard
Bind To: (seleccione) Tunnel Interface
(seleccione Tunnel.1 del men desplegable)
4.
Configure ACVPN-Perfil
VPN > AutoKey Advanced > Gateway > New: Configure la puerta de enlace de
IKE, haga clic en Advanced y establezca el nivel de seguridad, luego haga clic
en Return para regresar a la pgina de configuracin de la puerta de enlace IKE
y haga clic en OK:
Gatewary Name: ac-spoke-gw
ACVPN-Profile: (seleccione)
Security Level: (seleccione) Standard
VPN > AutoKey IKE > New: Configure el perfil de ACVPN, haga clic
en Advanced y establezca el nivel de seguridad y la Proteccin de respuesta,
luego haga clic en Return para regresar a la pgina de configuracin de VPN y
haga clic en OK
VPN Name: ac-vpn
ACVPN-Profile: (seleccione)
Binding to tunnel: (seleccione) ac-spoke-gw
Security Level: (seleccione) Standard
Replay Protection: (seleccione)
5.
Configure el vrouter
Network > Routing > Virtual Router > (para el trust-vr) Edit: Introduzca los
siguientes datos y haga clic en Apply:
Next Hop Resolution Protocol(NHRP) Support
NHRP: (seleccione) NHRP Setting
NHS Setting: (seleccione)
Profile: (seleccione) ACVPN-Profile name
6.
Network > Interfaces > New (para TunnelIF): Introduzca los siguientes datos y
haga clic en Apply:
Tunnel Interface Name: 1
NHRP Enable: (seleccione)
Cmo funciona
339
7.
Configure el enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en Apply:
IP Address/netmask: 0.0.0.0
Gateway (seleccione)
Gateway IP Address: 1.1.1.2
CLI (concentrador)
set interface ethernet2/1 zone Untrust
set interface ethernet2/2 zone Trust
set interface tunnel.1 zone Trust
set
set
set
set
set
340
Cmo funciona
WebUI (Red_radial1)
1.
Interfaces
Network > Interfaces > Edit (para ethernet0/0): Introduzca los siguientes
datos y haga clic en Apply:
Zone Name: Untrust
IP Address/Netmask: 2.2.2.1/24
Interface Mode: Route
Network > Interfaces > Edit (para bgroup0): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Network > Interfaces > Edit (para ethernet2/2): Introduzca los siguientes
datos y haga clic en Apply:
Zone Name: Trust
IP Address/Netmask: 10.1.2.1/24
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2/2), Seleccione Bind Port, ingrese
lo siguiente, luego haga clic en Apply:
ethernet0/2 bgroup0: (seleccione) Bind to Current Bgroup
Network > Interfaces > New (Tunnel IF): Introduzca los siguientes datos y
haga clic en Apply:
Tunnel Interface Name: 1
Zone (VR): Trust-vr
Fixed IP
IP Address/Netmask: 10.0.0.2/24
NHRP Enable: (Seleccione)
2.
VPN > AutoKey Advanced > Gateway > New: Configure la puerta de enlace de
IKE, haga clic en Advanced y establezca el nivel de seguridad, luego haga clic
en Return para regresar a la pgina de configuracin de la puerta de enlace IKE
y haga clic en OK:
Gateway Name: hub-gw
Remote Gateway: (Seleccione)
Static IP Address: (Seleccione) IPvc4/v6 Address/Hostname: 1.1.1.1
Preshare key: Juniper
Outgoing interface: (seleccione) ethernet2/1
Security Level: Standard
Cmo funciona
341
3.
VPN > AutoKey IKE > New: Configure la puerta de enlace de IKE, haga clic
en Advanced y establezca el nivel de seguridad, luego haga clic en Return para
regresar a la pgina de configuracin de la puerta de enlace IKE y haga clic
en OK:
VPN Name: vpn-hub
Remote Gateway: (seleccione) Predefined
(seleccione el nombre de puerta de enlace correcto de la lista predefinida del
men desplegable)
Security Level (seleccione) Standard
Bind To: (seleccione) Tunnel Interface
(seleccione Tunnel.1 del men desplegable)
4.
Configure ACVPN-Dinmica
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gatewary Name: ac-hub-gw
ACVPN-Dynamic: (seleccione)
VPN > AutoKey > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: ac-hub-vpn
ACVPN-Dynamic: (seleccione)
Gateway (seleccione): ac-hub-gw
Tunnel Towards Hub: (seleccione) vpn-hub
5.
Network > Routing > Virtual Router > (para el trust-vr) Edit: Introduzca los
siguientes datos y haga clic en Apply:
Next Hop Resolution Protocol (NHRP) Support
NHRP Enable: (seleccione)
NHC Setting: (seleccione)
NHS IP Address: 10.1.1.1
6.
Network > Interfaces > New (para TunnelIF): Introduzca los siguientes datos y
haga clic en Apply:
Tunnel Interface Name: 1
NHRP Enable: (seleccione)
7.
Configure el enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en Apply:
IP Address/netmask: 0.0.0.0
Gateway (seleccione)
Gateway IP Address: 2.2.2.2
342
Cmo funciona
CLI (Red_radial1)
set interface ethernet0/0 zone Untrust
set interface bgroup0 zone Trust
set interface bgroup0 port ethernet0/2
set interface tunnel.1 zone Trust
set
set
set
set
set
WebUI (Red_radial2)
1.
Interfaces
Network > Interfaces > Edit (para ethernet0/0): Introduzca los siguientes
datos y haga clic en Apply:
Zone Name: Untrust
IP Address/Netmask: 3.3.3.1/24
Interface Mode: Route
Network > Interfaces > Edit (para bgroup0): Introduzca los siguientes datos y
haga clic en Apply:
Zone Name: Trust
Network > Interfaces > Edit (para ethernet2/2): Introduzca los siguientes
datos y haga clic en Apply:
Zone Name: Trust
IP Address/Netmask: 10.1.3.1/24
Interface Mode: NAT
Cmo funciona
343
Network > Interfaces > Edit (para ethernet2/2), seleccione Bind Port, ingrese
lo siguiente, luego haga clic en Apply:
ethernet0/2 bgroup0: (seleccione) Bind to Current Bgroup
Network > Interfaces > New (Tunnel IF): Introduzca los siguientes datos y
haga clic en Apply:
Tunnel Interface Name: 1
Zone (VR): Trust-vr
Fixed IP
IP Address/Netmask: 10.0.0.3/24
NHRP Enable: (Seleccione)
2.
VPN > AutoKey Advanced > Gateway > New: Configure la puerta de enlace de
IKE, haga clic en Advanced y establezca el nivel de seguridad, luego haga clic
en Return para regresar a la pgina de configuracin de la puerta de enlace IKE
y haga clic en OK:
Gateway Name: hub-gw
Remote Gateway: (Seleccione)
Static IP Address: (Seleccione) IPvc4/v6 Address/Hostname: 1.1.1.1
Preshare key: Juniper
Outgoing interface: (seleccione) ethernet2/1
Security Level: Standard
3.
VPN > AutoKey IKE > New: Configure la puerta de enlace de IKE, haga clic
en Advanced y establezca el nivel de seguridad, luego haga clic en Return para
regresar a la pgina de configuracin de la puerta de enlace IKE y haga clic
en OK:
VPN Name: vpn-hub
Remote Gateway: (seleccione) Predefined
(seleccione el nombre de puerta de enlace correcto de la lista predefinida del
men desplegable)
Security Level (seleccione) Standard
Bind To: (seleccione) Tunnel Interface
(seleccione Tunnel.1 del men desplegable)
4.
Configure ACVPN-Dinmica
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gatewary Name: ac-hub-gw
ACVPN-Dynamic: (seleccione)
VPN > AutoKey > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: ac-hub-vpn
ACVPN-Dynamic: (seleccione)
Gateway (seleccione): ac-hub-gw
Tunnel Towards Hub: (seleccione) vpn-hub
344
Cmo funciona
5.
Configure el vrouter
Network > Routing > Virtual Router > (para el trust-vr) Edit: Introduzca los
siguientes datos y haga clic en Apply:
Next Hop Resolution Protocol(NHRP) Support
NHRP Enable: (seleccione)
NHC Setting: (seleccione)
NHS IP Address: 1.1.1.1
6.
Network > Interfaces > New (para TunnelIF): Introduzca los siguientes datos y
haga clic en Apply:
Tunnel Interface Name: 1
NHRP Enable: (seleccione)
7.
Configure el enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en Apply:
IP Address/netmask: 0.0.0.0
Gateway (seleccione)
Gateway IP Address: 3.3.3.3
CLI (Red_radial2)
set interface ethernet0/0 zone Untrust
set interface bgroup0 zone Trust
set interface bgroup0 port ethernet0/2
set interface tunnel.1 zone Trust
set
set
set
set
set
Cmo funciona
345
346
Cmo funciona
ndice
Numerics
3DES .................................................................................6
A
Advanced Encryption Standard (AES) ...........................7
AES ....................................................................................7
AH..................................................................................3, 6
Ajustes de L2TP, DNS ..................................................217
archivos MIB, importacin .........................................262
asociaciones de seguridad
vase SA
ataques
repeticin .................................................................12
Autenticacin
algoritmos ..........................................6, 53, 57, 60, 63
C
carga de seguridad encapsulada
vase ESP
certificado local ..............................................................25
certificados .......................................................................8
CA........................................................................22, 25
carga .........................................................................28
carga de CRL ............................................................23
local...........................................................................25
peticin .....................................................................26
por medio del correo electrnico ..........................25
revocacin ..........................................................25, 35
certificados de CA ....................................................22, 25
Challenge Handshake Authentication Protocol
vase CHAP
CHAP .....................................................................213, 217
clave manual
administracin...........................................................7
claves
manuales ........................................................120, 127
previamente compartidas ....................................165
claves previamente compartidas ...........................8, 165
cdigo de autenticacin de mensajes basado en
hash ................................................................................6
comodines ....................................................................192
comprobacin contra reprocesamiento de
paquetes ................................................................55, 61
confidencialidad directa perfecta
vase PFS
conjuntos de DIP
interfaces extendidas ............................................143
NAT para VPNs ......................................................143
contenedores ................................................................193
CRL
vase Lista de revocacin de certificados
D
DES ....................................................................................6
Diffie-Hellman ................................................................11
Direcciones de protocolo de Internet (IP)
vase direcciones IP
Direcciones IP
extendidas ..............................................................143
directivas
VPN bidireccionales ..............................................128
DN .................................................................................189
E
Encabezado de autenticacin (AH) ................................6
encriptacin
algoritmos ..............................................6, 53, 56 a 63
ESP ................................................................................3, 6
encriptacin y autenticacin ............................56, 63
slo autenticacin ...................................................56
slo encriptacin .....................................................56
F
Fase 1 ................................................................................9
propuestas ..................................................................9
propuestas, predefinidas ..........................................9
Fase 2 ..............................................................................11
propuestas ................................................................11
propuestas, predefinidas ........................................12
firma digital ....................................................................20
flujo de paquetes
VPN basada en directivas ...............................70 a 71
VPN basada en rutas .......................................66 a 70
VPN de entrada ...............................................68 a 70
VPN de salida ...........................................................68
H
HMAC ................................................................................6
ndice
IX-I
I
ID de proxy .................................................................... 12
coincidencia ....................................................... 65, 72
identificacin IKE de grupo
certificados .................................................. 189 a 198
claves previamente compartidas .............. 198 a 204
IDs de proxy
VPNs y NAT ................................................. 142 a 144
IKE................................................................. 7, 88, 97, 165
ID de proxy .............................................................. 12
ID IKE, Windows 2000 ................................. 225, 233
ID local, ASN1-DN ................................................. 192
ID remota, ASN1-DN ............................................ 192
identificacin IKE .............................. 53 a 55, 60 a 61
identificacin IKE de grupo, comodines ............ 192
identificacin IKE de grupo, container ............... 193
mensajes de saludo .............................................. 304
propuestas de fase 1, predefinidas ......................... 9
propuestas de fase 2, predefinidas ....................... 12
puertas de enlace redundantes ................. 301 a 314
pulsos ..................................................................... 304
recomendaciones de ID IKE .................................. 73
usuario de identificacin IKE
compartida ................................................ 204 a 210
usuario de identificacin IKE de grupo .... 189 a 204
infraestructura de claves pblicas
vase PKI
intercambio de claves de Internet
vase IKE
Interfaces
extendidas ............................................................. 143
null ............................................................................ 87
IPSec
AH ................................................................... 2, 56, 62
ESP .................................................................. 2, 56, 62
firma digital ............................................................. 20
L2TP sobre IPSec ...................................................... 4
modo de transporte .......................... 4, 213, 219, 224
modo de tnel ........................................................... 4
negociacin de tnel................................................. 9
SA .................................................................. 2, 8, 9, 11
SPI ............................................................................... 2
tnel ............................................................................ 2
L
L2TP .................................................................... 211 a 237
autenticado del tnel Windows 2000 ......... 222, 227
bidireccional .......................................................... 213
concentrador de accesos: vase LAC
configuracin obligatoria ..................................... 211
configuracin voluntaria ...................................... 212
desencapsulado ..................................................... 216
Encapsulamiento................................................... 214
Keep Alive ...................................................... 222, 227
IX-II
ndice
M
mantenimiento de conexin
frecuencia, NAT-T de ............................................246
L2TP ........................................................................222
MD5...................................................................................6
Message Digest versin 5 (MD5)....................................6
MIP, VPNs .....................................................................143
modo de transporte.................................4, 213, 219, 224
Modo de tnel ..................................................................4
modo dinmico..............................................................10
modo principal...............................................................10
modos
Criptografa Fase 1 ............................................51, 58
dinmico ..................................................................10
operacional L2TP ..................................................214
principal ...................................................................10
Transporte ....................................4, 62, 213, 219, 224
tnel ......................................................................4, 62
mdulo ............................................................................11
N
NAT
IPSec y NAT ...........................................................240
servidores NAT ......................................................240
NAT-dst
VPN .........................................................................143
NAT-src
VPN .........................................................................145
NAT-T ................................................................... 240 a 248
frecuencia de mantenimiento de conexin .......246
habilitar ..................................................................248
iniciador y respondedor .......................................246
obstculos para VPN .............................................243
ndice
O
OCSP (Online Certificate Status Protocol)...................35
cliente .......................................................................35
servidor de respuesta .............................................35
opcin de reencriptacin, supervisin de VPN ........251
opciones criptogrficas ......................................... 50 a 64
acceso telefnico ............................................. 57 a 64
algoritmos de autenticacin.................53, 57, 60, 63
algoritmos de encriptacin ...................... 53 a 59, 63
comprobacin contra reprocesamiento de
paquetes ...........................................................55, 61
ESP ......................................................................56, 63
identificacin IKE .............................. 53 a 55, 60 a 61
longitudes de bits de los certificados ..............52, 59
mtodos de administracin de claves ..................51
modo de transporte ................................................62
Modo de tnel ..........................................................62
modos de fase 1 ................................................51, 58
PFS ......................................................................55, 61
protocolos IPSec ................................................56, 62
punto a punto .................................................. 50 a 57
recomendaciones VPN de acceso telefnico .......64
recomendaciones VPN punto a punto ..................57
tipos de autenticacin.......................................52, 58
P
PAP ........................................................................213, 217
par de claves pblica/privada .......................................23
Password Authentication Protocol
vase PAP
PFS ......................................................................12, 55, 61
PKI ...................................................................................22
PPP ................................................................................212
propuestas
Fase 1 ...................................................................9, 72
Fase 2 .................................................................11, 72
proteccin contra reprocesamiento de paquetes.......12
protocolo punto a punto
vase PPP
Protocolos
CHAP.......................................................................213
PAP..........................................................................213
PPP ..........................................................................212
puertas de enlace redundantes ........................301 a 314
comprobacin de indicador TCP SYN.................307
procedimiento de recuperacin ..........................306
R
RADIUS
L2TP ........................................................................217
ruta Null ..........................................................................87
rutas
null ............................................................................87
S
SA.............................................................................8, 9, 11
SAs
comprobacin en flujo de paquetes ......................68
SCEP (Simple Certificate Enrollment Protocol) ..........31
Secure Hash Algorithm-1
vase SHA-1
SecurID
L2TP ........................................................................217
Seguridad IP
vase IPSec
SHA-1 ................................................................................6
SNMP
archivos MIB, importacin ...................................262
supervisin de VPN ...............................................262
supervisin de VPN ...........................................250 a 262
cambios de estado ........................................250, 254
direccin de destino ....................................252 a 255
direccin de destino, XAuth .................................253
directivas ................................................................253
diseo de rutas ........................................................74
interfaz de salida .........................................252 a 255
opcin de reencriptacin..............................251, 268
peticiones de eco ICMP ........................................262
SNMP ......................................................................262
T
tabla NHTB .........................................................263 a 268
asignacin de rutas a tneles ...............................264
entradas automticas ............................................267
entradas manuales ................................................267
esquema de direccionamiento ............................266
TCP
comprobacin de indicador SYN.........................307
Triple DES
vase 3DES
ndice
IX-III
U
UDP
encapsulacin NAT-T ............................................ 240
suma de comprobacin........................................ 245
usuarios
identificacin IKE compartida ................... 204 a 210
identificacin IKE de grupo ....................... 188 a 204
V
Verisign ........................................................................... 35
VPN
alias FQDN ............................................................. 133
AutoKey IKE .............................................................. 7
basadas en rutas o basadas en directivas ............ 64
consejos de configuracin.............................. 72 a 73
Diffie-Hellman, grupos ........................................... 11
directiva para bidireccionales .............................. 128
Fase 1 ......................................................................... 9
Fase 2 ....................................................................... 11
flujo de paquetes ............................................. 66 a 71
grupos redundantes, procedimiento de
recuperacin........................................................ 306
grupos VPN ............................................................ 302
ID de proxy, coincidencia ...................................... 72
intercambio Diffie-Hellman ................................... 11
MIP.......................................................................... 143
modo de transporte .................................................. 4
IX-IV
ndice
W
WINS
ajustes de L2TP......................................................217
X
XAuth
supervisin de VPN ...............................................253