Upload
eliteagent
View
85
Download
1
Tags:
Embed Size (px)
Citation preview
NetScreen conceptos y ejemplosreenOS
ScreenOS 5.1.0
Ref. 093-1370-000-SP
Revisión B
Manual de referencia de Sc
Volumen 5: VPNs
compliance of Class B devices: The enerates and may radiate radio-frequency nce with NetScreen’s installation e with radio and television reception. This d to comply with the limits for a Class B specifications in part 15 of the FCC rules. provide reasonable protection against allation. However, there is no guarantee rticular installation. interference to radio or television y turning the equipment off and on, the e interference by one or more of the
ing antenna.
en the equipment and receiver.
ienced radio/TV technician for help.
utlet on a circuit different from that to d.
o this product could void the user's device.
ITED WARRANTY FOR THE ET FORTH IN THE INFORMATION PRODUCT AND ARE INCORPORATED OU ARE UNABLE TO LOCATE THE
WARRANTY, CONTACT YOUR OR A COPY.
Copyright NoticeCopyright © 2004 Juniper Networks, Inc. All rights reserved.Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies.Information in this document is subject to change without notice.No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from: Juniper Networks, Inc.ATTN: General Counsel1194 N. Mathilda Ave.Sunnyvale, CA 94089-1206
FCC StatementThe following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC equipment described in this manual genergy. If it is not installed in accordainstructions, it may cause interferencequipment has been tested and foundigital device in accordance with the These specifications are designed tosuch interference in a residential instthat interference will not occur in a paIf this equipment does cause harmfulreception, which can be determined buser is encouraged to try to correct thfollowing measures:
• Reorient or relocate the receiv
• Increase the separation betwe
• Consult the dealer or an exper
• Connect the equipment to an owhich the receiver is connecte
Caution: Changes or modifications twarranty and authority to operate this
DisclaimerTHE SOFTWARE LICENSE AND LIMACCOMPANYING PRODUCT ARE SPACKET THAT SHIPPED WITH THEHEREIN BY THIS REFERENCE. IF YSOFTWARE LICENSE OR LIMITEDNETSCREEN REPRESENTATIVE F
Contenido
i
................................................... 13d directa perfecta ..................... 15a reprocesamiento.................... 15
..............................................16................................................... 16
................................................... 20
claves públicas ...............23
ografía de claves públicas...24
..............................................26
..............................................29e un certificado........................ 30 de certificado manual ............ 31
de certificados y CRLs ............... 34ración de ajustes de CRL ......... 36
ca de un certificado local ........ 38 automática de certificado...... 39
tica de certificado .................... 43pares de claves ......................... 43
ado mediante OCSP.............44CSP............................................. 45e CRL u OCSP ............................ 45 los atributos de comprobación ................................................... 45e la URL de un servidor SP .............................................. 46tributos de comprobación ................................................... 46
dos (“Self-Signed ..............................................47
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
ContenidoPrefacio ......................................................................... v
Convenciones ........................................................... viConvenciones de la interfaz de línea de comandos (CLI) ...................................................... vi
Convenciones de la interfaz gráfica (WebUI) ..............vii
Convenciones para las ilustraciones........................... ix
Convenciones de nomenclatura y conjuntos de caracteres .................................................................... x
Documentación de NetScreen de Juniper Networks .................................................. xi
Capítulo 1 IPSec ...........................................................1
Introducción a las VPNs..............................................2
Conceptos de IPSec...................................................3Modos...........................................................................4
Modo de transporte ...............................................4
Modo de túnel........................................................5
Protocolos .....................................................................7
AH...........................................................................7
ESP ..........................................................................8
Administración de claves .............................................9
Clave manual ........................................................9
AutoKey IKE.............................................................9
Asociación de seguridad ...........................................10
Negociación de túnel ..............................................11Fase 1 .........................................................................11
Modo principal y modo dinámico .......................12
Intercambio Diffie-Hellman...................................13
Fase 2......................ConfidencialidaProtección contr
Paquetes IKE e IPSec ..Paquetes IKE............
Paquetes IPSec........
Capítulo 2 Criptografía de
Introducción a la cript
PKI...............................
Certificados y CRLs.....Obtención manual d
Ejemplo: PeticiónEjemplo: Carga Ejemplo: Configu
Obtención automátiEjemplo: Petición
Renovación automáGeneración de
Comprobación de estConfiguración de O
Especificación dVisualización dede estado .........Especificación dde respuesta OCEliminación de ade estado .........
Certificados autofirmaCertificates”)...............
Contenido
ii
nto a punto basada en rutas, mico ........................................ 137nto a punto basada erlocutor dinámico .................. 152nto a punto basada anual...................................... 166
nto a punto basada ve manual .............................. 177
dinámicas con FQDN .........186................................................. 187utor AutoKey IKE con FQDN ..... 188
nes superpuestas ...............203 de túnel con NAT-Src ................................................. 206
rente ....................................221toKey IKE basada en do transparente ...................... 222
o telefónico.....................233
nico ....................................234 acceso telefónico basada toKey IKE.................................. 235 acceso telefónico basada utor dinámico.......................... 244 acceso telefónico basada erlocutor dinámico .................. 256
nales para usuarios de VPN o .............................................. 266as bidireccionales para VPNs nico ........................................ 267
rupo....................................275 grupo con certificados........... 276ación IKE ASN1-DN Wildcard ................................................. 278
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Asegurar el tráfico administrativo con SSL ..................48Validación de certificados...................................49Creación manual de certificados autofirmados..51Ejemplo: Certificado autofirmado y definido por el administrador .............................................53Autogeneración de certificados ..........................58Eliminación de certificados autofirmados............60
Capítulo 3 Directivas VPN ...........................................61
Opciones criptográficas...........................................62Opciones criptográficas punto a punto.....................63
Opciones VPN de acceso telefónico .........................72
Túneles basados en directivas y en rutas.................80
Flujo de paquetes: VPN punto a punto ....................82
Consejos para la configuración de un túnel ...........90
Consideraciones sobre seguridad en VPNs basadas en rutas .....................................................93
Ruta nula ....................................................................94
Línea de acceso telefónico o arrendada..................96Ejemplo: Conmutación por error de la VPN hacia la línea arrendada o la ruta nula ..............97
Interfaz de túnel ficticia ............................................100
Enrutador virtual para interfaces de túnel ................101
Reencaminar a otro túnel.........................................101
Capítulo 4 VPNs punto a punto ................................103
Configuraciones VPN punto a punto......................104Pasos de configuración de túneles punto a punto ..105
Ejemplo: VPN punto a punto basada en rutas, AutoKey IKE.........................................................111Ejemplo: VPN punto a punto basada en directivas, AutoKey IKE ..................................126
Ejemplo: VPN puinterlocutor dináEjemplo: VPN puen directivas, intEjemplo: VPN puen rutas, clave mEjemplo: VPN puen directivas, cla
Puertas de enlace IKE Alias.........................
Ejemplo: Interloc
Sitios VPN con direccioEjemplo: Interfazy NAT-Dst ...........
VPN en modo transpaEjemplo: VPN Audirectivas en mo
Capítulo 5 VPNs de acces
VPNs de acceso telefóEjemplo: VPN deen directivas, AuEjemplo: VPN deen rutas, interlocEjemplo: VPN deen directivas, int
Directivas bidirecciode acceso telefónic
Ejemplo: Directivde acceso telefó
Identificación IKE de gIdentificación IKE de
Tipos de identificy Container .......
Contenido
iii
.......................................361ción y optimización ........... 362ción de destino................ 363irectivas............................ 365
ción de supervisión ........................................... 365ión de las direcciones de
a la supervisión de VPN ..... 368P para la supervisión ........................................... 380
az de túnel ....................381neles.................................. 382tores remotos..................... 383ales y automáticas............ 385n la tabla ......................... 385s en la tabla ..................... 386Ns en una interfaz es superpuestas ............... 388
utomáticas en la tabla HTB..................................... 420SPF para entradas bla de rutas ...................... 438
dundantes .....................441........................................... 442ión ..................................... 443........................................... 443cuperación IKE.................. 444TCP SYN .............................. 447enlace VPN redundantes .. 448
.......................................460das ................................... 461
.......................................471es....................................... 472
.................................... IX-I
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Identificación IKE de grupo (certificados) ......................................................281
ID IKE de grupo con claves previamente compartidas .............................................................288
Ejemplo: ID IKE de grupo (claves previamente compartidas) ................................290
Identificación IKE compartida................................297Ejemplo: ID IKE compartida (claves previamente compartidas) ................................298
Capítulo 6. L2TP .........................................................307
Introducción al L2TP ...............................................308
Encapsulado y desencapsulado de paquetes .....312Encapsulado ............................................................312
Desencapsulado ......................................................313
Parámetros L2TP......................................................314Ejemplo: Configuración de un conjunto de direcciones IP y los ajustes predeterminados L2TP.....................................................................315
L2TP y L2TP sobre IPSec...........................................317Ejemplo: Configuración de L2TP ........................318
Ejemplo: Configuración de L2TP sobre IPSec .....326
Ejemplo: L2TP bidireccional sobre IPSec ............339
Capítulo 7. Funciones de VPN avanzadas ................349
NAT-Traversal ..........................................................351Sondeos de NAT........................................................352
Atravesar un dispositivo NAT .....................................354
Suma de comprobación de UDP .............................357
Paquetes de mantenimiento de conexión...............357
Simetría iniciador/respondedor ................................358
Ejemplo: Habilitación de NAT-Traversal ..............359
Supervisión de VPNs.........Opciones de reencriptaInterfaz de origen y direcConsideraciones sobre dConfiguración de la funde VPN ..........................
Ejemplo: Especificacorigen y destino par
Objetos y capturas SNMde VPN ..........................
Múltiples túneles por interfAsignación de rutas a túDirecciones de interlocuEntradas de tabla manu
Entradas manuales eEntradas automáticaEjemplo: Múltiples VPde túnel para subredEjemplo: Entradas ade rutas y la tabla NAnexo al ejemplo: Oautomáticas en la ta
Puertas de enlace VPN reGrupos VPN ...................Mecanismos de supervis
Latidos de IKE..........Procedimiento de re
Comprobación de flag Ejemplo: Puertas de
VPNs adosadas................Ejemplo: VPNs adosa
VPNs radiales ...................Ejemplo: VPNs radial
Índice .....................................
Contenido
iv
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNsv
ofrece a los usuarios acceso ntre sí a través de Internet. Las s privadas especializadas. Los
VPN de acceso telefónico y
isponibles en los dispositivos
“IKE”) y de la seguridad del
infraestructura de claves
PN, asociación de múltiples s y comportamiento de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Prefacio
Una red privada virtual (VPN) es un medio rentable y seguro para las empresas quetelefónico a la red de la empresa y permite que las redes remotas se comuniquen econexiones privadas seguras a través de Internet son más económicas que las líneadispositivos NetScreen ofrecen una funcionalidad VPN completa para aplicaciones punto a punto seguras.
En el Volumen 5, “VPNs”, se describen los siguientes conceptos y funciones VPN dNetScreen:
• Elementos del intercambio de claves de Internet (“Internet Key Exchange” oprotocolo de Internet (“Internet Protocol Security” o “IPSec”)
• Certificados y listas de revocación de certificados (CRLs) en el contexto depúblicas (PKI)
• VPNs punto a punto
• VPNs de acceso telefónico
• Protocolo de encapsulamiento de capa 2 (L2TP) y L2TP sobre IPSec
• Características avanzadas de VPN, como NAT-Traversal, supervisión de Vtúneles VPN a una sola interfaz de túnel, puertas de enlace IKE redundanteconmutación por error en túneles VPN.
Este volumen incluye numerosos ejemplos que ilustran todas estas funciones.
Prefacio Convenciones
vi
uientes secciones:
s de la interfaz de línea de
or barras verticales ( | ).
manage ethernet2 o ethernet3”.
o en el caso de las variables, a visualizar el número de serie
permitan al sistema reconocer e escribir set adm u joe . Aunque este método se e representan con sus
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las sig
• “Convenciones de la interfaz de línea de comandos (CLI)”
• “Convenciones de la interfaz gráfica (WebUI)” en la página vii
• “Convenciones para las ilustraciones” en la página ix
• “Convenciones de nomenclatura y conjuntos de caracteres” en la página x
Convenciones de la interfaz de línea de comandos (CLI)Las siguientes convenciones se utilizan para representar la sintaxis de los comandocomandos (CLI):
• Los comandos entre corchetes [ ] son opcionales.
• Los elementos entre llaves { } son obligatorios.
• Si existen dos o más opciones alternativas, aparecerán separadas entre sí pPor ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } significa “establecer las opciones de administración de la interfaz ethernet1,
• Las variables aparecen en cursiva. Por ejemplo:
set admin user name password
Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvque siempre aparecen en cursiva ). Por ejemplo: “Utilice el comando get system parde un dispositivo NetScreen”.
Nota: Para escribir palabras clave, basta con introducir los primeros caracteres quede forma inequívoca la palabra que se está introduciendo. Por ejemplo, es suficientj12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54puede utilizar para introducir comandos, en la presente documentación todos ellos spalabras completas.
Prefacio Convenciones
vii
e la WebUI por las que se adro de diálogo de New . A continuación se
bretas de direcciones.
New. diálogo de configuración
4
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Convenciones de la interfaz gráfica (WebUI)En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegación dpasa al hacer clic en opciones de menú y vínculos. Por ejemplo, la ruta para abrir el cuconfiguración de direcciones se representa como sigue: Objects > Addresses > List >muestra la secuencia de navegación.
1. Haga clic en Objects en la columna de menú.La opción de menú Objects se desplegará para mostrar las opciones subordinadas que contiene.
2. (Menú Applet) Sitúe el mouse sobre Addresses.(Menú DHTML) Haga clic en Addresses.La opción de menú Addresses se desplegará para mostrar las opciones subordinadas que contiene.
3. Haga clic en List.Aparecerá la tabla de li
4. Haga clic en el vínculo Aparecerá el cuadro dede nuevas direcciones.
1
2
3
Prefacio Convenciones
viii
e diálogo apropiado, donde de cada tarea se divide en dos conjunto de instrucciones configuración que se deben
lic en OK :
Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro dpodrá definir objetos y establecer parámetros de ajuste. El conjunto de instruccionespartes: la ruta de navegación y los datos de configuración. Por ejemplo, el siguienteincluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes derealizar:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga cAddress Name: addr_1IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32Zone: Untrust
Zone: Untrust
Haga clic en OK .
Address Name: addr_1
IP Address Name/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Prefacio Convenciones
ix
ustraciones de este manual:
ed de área local (LAN) con na única subredejemplo: 10.1.1.0/24)
nternet
quipo de escritorio
ervidor
ispositivo de red genéricoejemplos: servidor NAT, oncentrador de acceso)
quipo portátil
ango de direcciones IP dinámicas DIP)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Convenciones para las ilustracionesLos siguientes gráficos conforman el conjunto básico de imágenes utilizado en las il
Dispositivo NetScreen genérico
Zona de seguridad
Interfaces de zonas de seguridadBlanca = interfaz de zona protegida (ejemplo: zona Trust)Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust)
Icono de enrutador (router)
Icono de conmutador (switch)
Dominio de enrutamiento virtual
Túnel VPN
Ru(
I
E
S
D(c
Interfaz de túnel
E
R(
Prefacio Convenciones
x
rescomo direcciones, usuarios ales, túneles de VPN y zonas)
n espacio, la ejemplo,
entrecomillada;
or el contrario, en e indistintamente.
últiples bytes (MBCS). Algunos ntre los conjuntos MBCS,
encuentran el chino, el coreano
ión de las comillas dobles ( “ ), res que contengan espacios.
mite tanto SBCS como MBCS,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Convenciones de nomenclatura y conjuntos de caracteScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (administradores, servidores de autenticación, puertas de enlace IKE, sistemas virtudefinidas en las configuraciones de ScreenOS.
• Si la secuencia de caracteres que conforma un nombre contiene al menos ucadena completa deberá entrecomillarse mediante comillas dobles ( “ ); porset address trust “ local LAN” 10.1.1.0/24 .
• NetScreen eliminará cualquier espacio al comienzo o al final de una cadenapor ejemplo, “ local LAN ” se transformará en “local LAN”.
• NetScreen tratará varios espacios consecutivos como uno solo.
• En las cadenas de nombres se distingue entre mayúsculas y minúsculas; pmuchas palabras clave de la interfaz de línea de comandos pueden utilizarsPor ejemplo, “local LAN” es distinto de “local lan”.
ScreenOS admite los siguientes conjuntos de caracteres:
• Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Etambién conocidos como conjuntos de caracteres de doble byte (DBCS), se y el japonés.
• Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcque tienen un significado especial como delimitadores de cadenas de nomb
Nota: Una conexión de consola sólo admite conjuntos SBCS. La WebUI adsegún el conjunto de caracteres que admita el explorador web.
Prefacio Documentación de NetScreen de Juniper Networks
xi
r Networks, visite
ase Manager” en la página web os EE.UU.) o al
n nosotros a través de la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
DOCUMENTACIÓN DE NETSCREEN DE JUNIPER NETWORKS
Para obtener documentación técnica sobre cualquier producto NetScreen de Junipewww.juniper.net/techpubs/.
Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo “Chttp://www.juniper.net/support/ o llame al teléfono 1-888-314-JTAC (si llama desde l+1-408-745-9500 (si llama desde fuera de los EE.UU.).
Si encuentra algún error o omisión en esta documentación, póngase en contacto cosiguiente dirección de correo electrónico:
Prefacio Documentación de NetScreen de Juniper Networks
xii
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs1
1
Capítulo 1
ernet (IPsec) y se explica cómo ivate Network”). En primer lugar los siguientes elementos de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
IPSec
En este capítulo se presentan los diversos elementos de seguridad de protocolo Intestán relacionados con el encapsulamiento de red privada virtual (VPN, o “Virtual Prse incluye una “Introducción a las VPNs” en la página 2, y a continuación se tratan IPSec:
• “Conceptos de IPSec” en la página 3
– “Modos” en la página 4
– “Protocolos” en la página 7
– “Administración de claves” en la página 9
– “Asociación de seguridad” en la página 10
• “Negociación de túnel” en la página 11
– “Fase 1” en la página 11
– “Fase 2” en la página 13
• “Paquetes IKE e IPSec” en la página 16
– “Paquetes IKE” en la página 16
– “Paquetes IPSec” en la página 20
Capítulo 1 IPSec Introducción a las VPNs
2
quipos remotos de una red de
rio de acceso telefónico remoto ursos compartidos, como Para garantizar la seguridad de e seguridad IP (IPSec)1.cionales (una a cada extremo de destino y el protocolo de
ado.
guridad:
or autenticación de origen de
Si sólo necesita autenticar el plicar ningún tipo de ar el paquete sin aplicar ningún ayoría de los diseñadores de ntra reprocesamiento de
s de mecanismos de
a la conexión IPSec.
” en la página 10. Para obtener la página 7.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
INTRODUCCIÓN A LAS VPNSUna red privada virtual (VPN) representa un medio de comunicación segura entre eárea extensa (WAN) pública, como Internet.Una conexión VPN puede enlazar dos redes de área local (LAN) entre sí, o un usuay una LAN. El tráfico que circula entre estos dos puntos atraviesa determinados recenrutadores, conmutadores y otros equipos de red que conforman la WAN pública. las comunicaciones VPN a través de la WAN, los dos participantes crean un túnel dUn túnel IPSec está formado por un par de asociaciones de seguridad (SA) unidirecdel túnel) que especifican el índice de parámetros de seguridad (SPI), la dirección IPseguridad (encabezado de autenticación o carga de seguridad encapsulada) emple
A través de la SA, un túnel IPSec puede proporcionar las siguientes funciones de se• Privacidad (por encriptación)• Integridad de contenido (por autenticación de datos)• Autenticación de remitente y (si se usan certificados) función Sin rechazo (p
datos)Las funciones de seguridad empleadas dependen de las necesidades particulares. origen del paquete IP y la integridad de contenido, puede autenticar el paquete sin aencriptación. Por otro lado, si sólo le preocupa preservar la privacidad, puede encriptmecanismo de autenticación. También puede encriptar y autenticar el paquete. La mseguridad de red se decantan por la encriptación, la autenticación y la protección copaquetes para el tráfico VPN.NetScreen admite la tecnología IPSec para la creación de túneles VPN con dos tipoelaboración de claves:
• Clave manual• AutoKey IKE con un certificado o una clave previamente compartida
1. El término “túnel” no denota ni transporte ni modo de túnel (consulte “Modos” en la página 4). Se refiere simplemente
Nota: Para obtener más información sobre SPIs, consulte “Asociación de seguridadmás información sobre los protocolos de seguridad IPSec, consulte “Protocolos” en
Capítulo 1 IPSec Conceptos de IPSec
3
arantizar la seguridad de las esto por dos modos y dos
ocolo de carga de seguridad
iones de seguridad (SA) y dominio de interpretación
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CONCEPTOS DE IPSECLa seguridad IP (IPSec) es un conjunto de protocolos relacionados utilizados para gcomunicaciones en la capa de paquete IP mediante encriptación. IPSec está compuprotocolos principales:
• Modos de túnel y de transporte
• Protocolo de encabezado de autenticación (AH) para la autenticación y protencapsulada (ESP) para la encriptación (y la autenticación)
IPSec también ofrece métodos para la negociación manual y automática de asociacdistribución de claves; todos los atributos necesarios para ello están reunidos en un(DOI). Consulte las normas RFC 2407 y 2408.
Arquitectura IPSec
Protocolo ESPProtocolo AH
Algoritmo de autenticación(MD5, SHA-1)
Algoritmo de encriptación(DES, 3DES)
Dominio de interpretación (DOI)
Administración de claves y SA(manual y automática)
Modo de túnelModo de transporte
Nota: NetScreen no admite el modo de transporte con AH.
Capítulo 1 IPSec Conceptos de IPSec
4
túnel son hosts, se puede e los puntos finales de un túnel e utilizar el modo de túnel. Los
eles IPSec y en modo de
se puede autenticar (con AH), n formato tal como se envía por
niciones para todos los PN (fundamentalmente, todos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
ModosIPSec tiene dos modos operativos: transporte y túnel. Cuando ambos extremos del utilizar tanto el modo de transporte como el modo de túnel. Cuando al menos uno des una puerta de enlace de seguridad (como un enrutador o un cortafuegos), hay qudispositivos NetScreen funcionan siempre en modo de túnel cuando se trata de túntransporte cuando se trata de túneles L2TP sobre IPSec.
Modo de transporteEl paquete IP original no está encapsulado en otro paquete IP. El paquete completola carga se puede encriptar (con ESP), y el encabezado original continúa en texto sila WAN.
Nota: El dominio de interpretación (DOI) IPSec es un documento que contiene defiparámetros de seguridad requeridos para la negociación satisfactoria de un túnel Vlos atributos necesarios para las negociaciones IKE y SA).
Carga de datos
Carga de datos
EncabezadoAH
EncabezadoESP
Encabezadooriginal
Encabezadooriginal
Autenticado
Autenticado Encriptado
Modo de transporte, AH
Modo de transporte, ESP
Paquetes IP
Capítulo 1 IPSec Conceptos de IPSec
5
ga IP y tiene adjunto un nuevo osas. Con AH, se autentican el
bezado nuevo son las N1 (en modo transparente); las e los puntos finales definitivos
s
nticado
al estáo.
nticado
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Modo de túnelEl paquete IP original completo (carga y encabezado) está encapsulado en otra carencabezado. El paquete original completo se puede encriptar, autenticar o ambas cAH y los nuevos encabezados. Con ESP, se autentica el encabezado ESP.
En una VPN punto a punto, las direcciones de origen y destino utilizadas en el encadirecciones IP de la interfaz de salida (en modo de ruta o NAT) o la dirección IP VLAdirecciones de origen y destino de los paquetes encapsulados son las direcciones dde la conexión.
Carga de dato
Carga de datos
EncabezadoAH
EncabezadoESP
Encabezadooriginal
Encabezadonuevo
Encabezadonuevo
Encabezadooriginal
Aute Encriptado
Modo de túnel, AH
Modo de túnel, ESP
Paquetes IPEl paquete origin
encapsulad
Aute
Capítulo 1 IPSec Conceptos de IPSec
6
extremo del túnel nte hasta el propio cliente. En encabezado nuevo como el uipo del cliente2.
ección IP interna virtual es la dirección a dinámicamente al cliente de acceso
de túnel
B
datos
-B de túnel
datos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
En una VPN de acceso telefónico no existe ninguna puerta de enlace de túnel en elcorrespondiente al cliente de acceso telefónico VPN; el túnel se prolonga directameeste caso, en los paquetes enviados desde el cliente de acceso telefónico, tanto el encabezado encapsulado original tendrán la misma dirección IP: la dirección del eq
2. Algunos clientes VPN, como NetScreen-Remote, permiten definir una dirección IP interna virtual. En estos casos, la dirIP de origen en el encabezado del paquete original del tráfico originado por el cliente, y la dirección IP que el ISP asigntelefónico es la dirección IP de origen en el encabezado externo.
Internet
LAN LANTúnel
Puerta de enlace de túnel de
NetScreen-A
Puerta de enlace de
NetScreen-
A A A BBB 1 2Carga de datos Carga de datos Carga deA B
1 2
El paquete original estáencapsulado.
VPN punto a punto en modo de túnel
Internet
LANTúnel
NetScreenpuerta de enlace
A A A BBB 1 2Carga de datos Carga de datos Carga de
A = 1B
2
El paquete original estáencapsulado.
Cliente VPN de acceso telefónico
VPN de acceso telefónico en modo de túnel
Capítulo 1 IPSec Conceptos de IPSec
7
la capa IP:
utenticar el origen de un
ara encriptar el paquete IP
autenticidad/integridad del mprobación calculada a través clave secreta y funciones MD5
produce un hash de 128 bits nsaje de longitud arbitraria y dactilar de la entrada, para
ritmo que produce un hash de s. Normalmente, se considera el procesamiento
son insignificantes.
as siguientes normas RFC: la norma RFC 2104.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
ProtocolosIPSec utiliza dos protocolos para garantizar la seguridad de las comunicaciones en
• Encabezado de autenticación (AH): protocolo de seguridad que sirve para apaquete IP y verificar la integridad de su contenido.
• Carga de seguridad encapsulada (ESP): protocolo de seguridad que sirve pcompleto (y autenticar su contenido).
AHEl protocolo de encabezado de autenticación (AH) ofrece un medio para verificar la contenido y el origen de un paquete. Puede autenticar el paquete por la suma de code un código de autenticación de mensajes basado en hash (HMAC) mediante una o SHA-1 hash.
Síntesis de mensaje versión 5 (MD5, o Message Digest) : algoritmo que (también denominado firma digital o síntesis del mensaje) a partir de un meuna clave de 16 bytes. El hash resultante se utiliza, como si fuese la huella verificar la autenticidad y la integridad del contenido y el origen.
Algortimo de hash seguro-1 (SHA-1, o Secure Hash Algorithm-1) : algo160 bits a partir de un mensaje de longitud arbitraria y una clave de 20 bytemás seguro que MD5 debido al mayor tamaño del hash que produce. Comocomputacional se realiza en ASIC de NetScreen, los costes de rendimiento
Nota: Para obtener más información sobre los algoritmos MD5 y SHA-1, consulte l(MD5) 1321, 2403; (SHA-1) 2404. Para obtener información sobre HMAC, consulte
Capítulo 1 IPSec Conceptos de IPSec
8
garantizar la privacidad n). El protocolo ESP en modo o encabezado IP al paquete aria para enrutar los datos
encriptación se puede
con una clave de 56 bits.
ginal DES se aplica en tres to significativo, pero no se clasificado.
ndo sea adoptada por las abilidad con otros dispositivos bits.
sin embargo, no es posible
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
ESPEl protocolo de carga de seguridad encapsulada (ESP) proporciona un medio para (encriptación), la autenticación de origen y la integridad de contenidos (autenticacióde túnel encapsula el paquete IP completo (encabezado y carga) y adjunta un nuevahora encriptado. Este nuevo encabezado IP contiene la dirección de destino necesprotegidos a través de la red.
Con ESP, es posible encriptar y autenticar, sólo encriptar o sólo autenticar. Para la seleccionar cualquiera de los siguientes algoritmos de encriptación:
Norma de encriptación de datos (DES) : algoritmo de bloque criptográfico
Triple DES (3DES) : versión más potente de DES en la que el algoritmo orirondas mediante una clave de 168 bits. DES ofrece un ahorro de rendimienconsidera aceptable para numerosas transferencias de material delicado o
Norma de encriptación avanzada (AES): norma de encriptación que, cuainfraestructuras de Internet de todo el mundo, ofrecerá una mayor interoperde seguridad de red. NetScreen admite AES con claves de 128, 192 y 256
Para la autenticación, puede utilizar algoritmos MD5 o SHA-1.
Para el algoritmo de autenticación o encriptación puede seleccionar NULL ;seleccionar NULL para ambos de forma simultánea.
Capítulo 1 IPSec Conceptos de IPSec
9
torio de las redes VPN. IPSec
guran todos los parámetros de tribución, el mantenimiento y el nfiguraciones de clave manual
e que las claves se transmitan n quedado comprometidas los mismos problemas que a la
en el que no haya que ión automatizada de claves y et (IKE). NetScreen denomina on claves previamente
s participantes en una sesión mpartida3 por adelantado. En presentan las claves
les, una AutoKey, una vez terminados mediante el ad de forma considerable. nsabilidades de administración ráfico; por lo tanto, si se realiza
n y que ambos participantes deben
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Administración de clavesLa distribución y la administración de claves son fundamentales para el uso satisfacadmite los métodos de distribución de claves manual y automático.
Clave manualCon las claves manuales, los administradores de ambos extremos de un túnel confiseguridad. Ésta es una técnica viable para redes pequeñas y estáticas, donde la disseguimiento de las claves no resulta difícil. Sin embargo, la distribución segura de coa través de largas distancias genera problemas de seguridad. Excepto en el caso d“cara a cara”, no es posible estar completamente seguro de que las claves no hayadurante la transferencia. Además, a la hora de modificar la clave nos enfrentamos a hora de distribuirla inicialmente.
AutoKey IKECuando es necesario crear y administrar numerosos túneles, se requiere un métodoconfigurar cada elemento de forma manual. IPSec admite la generación y negociacasociaciones de seguridad mediante el protocolo de intercambio de claves de Internestas negociaciones de túnel automatizadas “AutoKey IKE” y admite AutoKey IKE ccompartidas y AutoKey IKE con certificados.
AutoKey IKE con claves previamente compartidas
Si AutoKey IKE utiliza claves previamente compartidas para autenticar a suIKE, cada parte debe configurar e intercambiar de forma segura la clave coeste sentido, el problema de distribución segura de claves es idéntico al quemanuales. Sin embargo, al contrario de lo que ocurre con las claves manuadistribuida, puede modificar sus claves automáticamente a intervalos predeprotocolo IKE. Con frecuencia, la modificación de claves aumenta la seguridAdemás, la automatización de esta tarea reduce significativamente las respode claves. Sin embargo, la modificación de claves eleva el nivel máximo de ta menudo, puede disminuir la eficacia de la transmisión de datos.
3. Una clave previamente compartida es una clave que se utiliza tanto para la encriptación como para la desencriptacióposeer antes de iniciar la comunicación.
Capítulo 1 IPSec Conceptos de IPSec
10
na negociación AutoKey IKE, 2, “Criptografía de claves CRLs” en la página 29). Si la
s podrán recuperar la clave ealizar un seguimiento de las
s VPN en lo que respecta a los nicaciones. Una comunicación
unicaciones:
l tráfico entrante, el dispositivo tocolo de seguridad (AH o
ulte el Capítulo 4, “VPNs punto
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
AutoKey IKE con certificados
Cuando se utilizan certificados para autenticar a los participantes durante ucada parte genera un par de claves públicas/privadas (consulte el Capítulo públicas” en la página 23) y adquiere un certificado (consulte “Certificados yautoridad de certificación (CA) es fiable para ambas partes, los participantepública del interlocutor y verificar la firma del interlocutor. No es necesario rclaves y SAs; IKE lo hace automáticamente.
Asociación de seguridadUna asociación de seguridad (SA) es un acuerdo unidireccional entre los participantemétodos y parámetros empleados para garantizar la seguridad de un canal de comubidireccional completa requiere al menos dos SA, una para cada dirección.
Una SA agrupa los siguientes componentes para garantizar la seguridad de las com
– Claves y algoritmos de seguridad
– Modo de protocolo (transporte o túnel)
– Método de administración de claves (clave manual o AutoKey IKE)
– Periodo de vigencia de SA
Para el tráfico VPN saliente, la directiva invoca la SA asociada al túnel VPN. Para eNetScreen consulta la SA mediante los siguientes tres elementos: IP de destino, proESP) y valor del índice de parámetros de seguridad (SPI).
Nota: Para obtener ejemplos de ambos túneles (clave manual y AutoKey IKE), consa punto” en la página 103.
Capítulo 1 IPSec Negociación de túnel
11
e seguridad (SA) se han nel ya se ha establecido. cuando una ruta utiliza el túnel, a determinado, y los envía a la
:
r las SAs IPSec.
nticar los sucesivos
puestas sobre cómo autenticar s dos modos: modo dinámico o antes intercambian propuestas
. Para obtener más información
13)
Key IKE” en la página 9)
onen de acuerdo para aceptar nzan a procesarlos. Los e 1 y permiten definir el grado de claves.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
NEGOCIACIÓN DE TÚNELPara un túnel IPSec de clave manual, como todos los parámetros de la asociación ddefinido previamente, no es necesario negociar qué SAs utilizar. Básicamente, el túCuando el tráfico coincide con una directiva que utilice ese túnel de clave manual o el dispositivo NetScreen simplemente encripta y autentica los datos, tal como se haypuerta de enlace de destino.
Para establecer un túnel IPSec AutoKey IKE se requieren dos fases de negociación
• En la fase 1, los participantes establecen un canal seguro en el que negocia
• En la fase 2, los participantes negocian las SAs IPSec para encriptar y auteintercambios de datos de usuario.
Fase 1La fase 1 de una negociación de túnel AutoKey IKE consiste en el intercambio de proy garantizar la seguridad del canal. El intercambio se puede realizar en uno de estomodo principal (consulte más adelante). En cualquiera de los dos modos, los participde servicios de seguridad aceptables, como por ejemplo:
• Algoritmos de encriptación (DES y 3DES) y de autenticación (MD5 y SHA-1)sobre estos algoritmos, consulte “Protocolos” en la página 7.
• Un grupo Diffie-Hellman (consulte “Intercambio Diffie-Hellman” en la página
• Una clave previamente compartida o certificados RSA/DSA (consulte “Auto
Una negociación de fase 1 correcta concluye cuando ambos extremos del túnel se pal menos un conjunto de los parámetros de seguridad de fase 1 propuestos y comiedispositivos NetScreen admiten hasta cuatro propuestas para negociaciones de fasde restricción del rango aceptable de parámetros de seguridad para la negociación
Capítulo 1 IPSec Negociación de túnel
12
-des-md5
odos se describen a
iones (seis mensajes en total)
ncriptación y autenticación.
an; el iniciador y el destinatario
el algoritmo de encriptación ipantes no se transmiten de
ólo dos intercambios y con un
an y envía una propuesta y su
a un nonce, su identidad IKE y,
o y, si se utilizan certificados,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Las propuestas predefinidas de fase 1 que ofrece NetScreen son las siguientes:
• Estándar: pre-g2-aes128-sha y pre-g2-3des-sha
• Compatibles: pre-g2-3des-sha, pre-g2-3des-md5, pre-g2-des-sha y pre-g2
• Básicas: pre-g1-des-sha y pre-g1-des-md5
También es posible definir propuestas de fase 1 personalizadas.
Modo principal y modo dinámicoLa fase 1 se puede desarrollar en modo principal o en modo dinámico. Estos dos mcontinuación.
Modo principal: el iniciador y el destinatario envían tres intercambios en dos direccpara lograr los siguientes servicios:
• Primer intercambio (mensajes 1 y 2): proponer y aceptar los algoritmos de e
• Segundo intercambio (mensajes 3 y 4): ejecutar un intercambio Diffie-Hellmofrecen un número aleatorio (propuesta) cada uno.
• Tercer intercambio (mensajes 5 y 6): enviar y verificar las identidades.
La información transmitida en el tercer intercambio de mensajes está protegida por establecido en los dos primeros intercambios. Es decir, las identidades de los particmodo transparente.
Modo dinámico: el iniciador y el destinatario logran los mismos objetivos, pero en stotal de tres mensajes:
• Primer mensaje: el iniciador propone la SA, inicia el intercambio Diffie-Hellmidentidad IKE.
• Segundo mensaje: el destinatario acepta la SA, autentica al iniciador y envísi se utilizan certificados, el certificado de destinatario.
• Tercer mensaje: el iniciador autentica al destinatario, confirma el intercambienvía el certificado de iniciador.
Capítulo 1 IPSec Negociación de túnel
13
nte (en los dos primeros
ompartido. El punto fuerte de medio no seguro sin tener que dmite los grupos 1, 2 y 5. El modo:
te, cuanto mayor es un módulo, tiene un tamaño distinto, los
úan con la fase 2, en la que través del túnel IPSec.
con una clave previamente PN de acceso telefónico puede ) o una dirección IP como su ID n FQDN, pero no una dirección
ara todas ellas. La misma directriz se
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Puesto que las identidades de los participantes se intercambian en modo transparemensajes), el modo dinámico no ofrece protección de identidad.
Intercambio Diffie-HellmanUn intercambio Diffie-Hellman permite a los participantes elaborar un valor secreto cesta técnica es que permite a los participantes crear el valor secreto a través de un transmitir este valor por la línea. Hay cinco grupos Diffie-Hellman (DH); NetScreen atamaño del módulo primario utilizado en el cálculo de cada grupo varía del siguiente
• Grupo DH 1: módulo de 768 bits4
• Grupo DH 2: módulo de 1024 bits
• Grupo DH 5: módulo de 1536 bits
Cuanto mayor es un módulo, más segura se considera la clave generada; no obstanmás tarda el proceso de generación de claves. Como el módulo de cada grupo DH participantes tienen que ponerse de acuerdo para utilizar el mismo grupo5.
Fase 2Una vez que los participantes han establecido un canal seguro y autenticado, continnegocian las SA para garantizar la seguridad de los datos que se van a transmitir a
Nota: Cuando un usuario VPN de acceso telefónico negocia un túnel AutoKey IKEcompartida, se debe utilizar el modo dinámico. Recuerde también que un usuario Vutilizar una dirección de correo electrónico, un nombre de dominio completo (FQDNIKE. Un interlocutor dinámico puede utilizar una dirección de correo electrónico o uIP.
4. La seguridad del grupo DH 1 ha disminuido y Juniper Networks recomienda no utilizarlo.
5. Si configura múltiples propuestas (hasta cuatro) para negociaciones de fase 1, utilice el mismo grupo Diffie-Hellman paplica a la creación de múltiples propuestas para negociaciones de fase 2.
Capítulo 1 IPSec Negociación de túnel
14
rminar los parámetros de un protocolo de seguridad ritmos de encriptación y e-Hellman si se desea una
odo rápido e implica el
fase 2 y permiten definir el n ofrece una función de negociación porque los mprobar los números de de paquetes, consulte más
a y nopfs-esp-des-md5
es una tupla de tres partes mbos interlocutores debe es debe ser idéntico, y la ota indicada para el otro
rcambio Diffie-Hellman”. Para n la página 15.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Al igual que ocurre en la fase 1, los participantes intercambian propuestas para deteseguridad que se van a emplear en la SA. Una propuesta de fase 2 incluye también(encabezado de autenticación, AH, o carga de seguridad encapsulada, ESP) y algoautenticación seleccionados. La propuesta también puede especificar un grupo Difficonfidencialidad directa perfecta (PFS).
Independientemente del modo utilizado en la fase 1, la fase 2 funciona siempre en mintercambio de tres mensajes5.
Los dispositivos NetScreen admiten hasta cuatro propuestas para negociaciones degrado de restricción del rango aceptable de parámetros de túnel. NetScreen tambiéprotección contra reprocesamiento de paquetes. El uso de esta función no requierepaquetes se envían siempre con números de secuencia. Sólo existe la opción de cosecuencia o no. (Para más información sobre la protección contra reprocesamiento adelante).
Las propuestas predefinidas de fase 2 que ofrece NetScreen son las siguientes:
• Estándar: g2-esp-3des-sha y g2-esp-aes128-sha
• Compatibles: nopfs-esp-3des-sha, nopfs-esp-3des-md5, nopfs-esp-des-sh
• Básicas: nopfs-esp-des-sha y nopfs-esp-des-md5
También es posible definir propuestas de fase 2 personalizadas.
En la fase 2, los interlocutores también intercambian IDs de proxy. Una ID de proxycompuesta por dirección IP local/dirección IP remota/servicio. La ID de proxy para acoincidir, es decir, el servicio especificado en la ID de proxy para ambos interlocutordirección IP local indicada para un interlocutor debe ser igual que la dirección IP reminterlocutor.
Nota: Para obtener más información sobre los grupos Diffie-Hellman, consulte “Inteobtener más información sobre PFS, consulte “Confidencialidad directa perfecta” e
Capítulo 1 IPSec Negociación de túnel
15
2 independientes y no crea la clave (SKEYID_d) a nerar claves de fase 2 con un do obtiene acceso a la clave
e-Hellman para cada túnel de iptación de la fase 2 puede
etes y los utiliza posteriormente cceso a la red fiable. La función Screen comprueben cada rango de secuencia
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Confidencialidad directa perfectaLa confidencialidad directa perfecta (PFS) es un método para derivar claves de faserelacionadas con las claves anteriores. De forma alternativa, la propuesta de fase 1partir de la que se derivan todas las claves de fase 2. La clave SKEYID_d puede gemínimo de procesamiento de CPU. Lamentablemente, si un interlocutor no autorizaSKEYID_d, todas las claves de encriptación quedarán comprometidas.
PFS afronta este riesgo de seguridad forzando un nuevo intercambio de claves Diffifase 2. Por lo tanto, utilizar PFS es más seguro, aunque el procedimiento de reencrprolongarse ligeramente si la función PFS está habilitada.
Protección contra reprocesamientoSe produce un ataque de reproducción cuando alguien intercepta una serie de paqupara inundar el sistema, provocando un rechazo de servicio (DoS), o para obtener ade protección contra reprocesamiento de paquetes permite que los dispositivos Netpaquete IPSec para verificar si se ha recibido antes. Si llegan paquetes fuera de unespecificado, el dispositivo NetScreen los rechaza.
Capítulo 1 IPSec Paquetes IKE e IPSec
16
asociaciones de seguridad dministradores de cada te las negociaciones IKE de dinámico. La fase 2 ocurre
terminales del túnel usando los ron durante la configuración del (“Transport”) y modo de túnel Security Payload (ESP) y
etapas IKE e IPSec de un túnel anto para IKE como para IPSec.
NetScreen y no existe ninguna IKE (y descarta el paquete6). las puertas de enlace IKE local DP que encapsula un paquete
alcanza el dispositivo NetScreen, las tes subsiguientes de esa sesión) con
o por IKE.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
PAQUETES IKE E IPSECUn túnel VPN IPSec consta de dos elementos importantes:
• Configuración del túnel: En primer lugar, los interlocutores establecen las(SAs), que definen los parámetros para asegurar el tráfico entre ellos. Los aextremo pueden definir los SAs manualmente, o bien dinámicamente duranfase 1 y fase 2. La fase 1 se puede desarrollar en modo principal o en modosiempre en modo rápido.
• Seguridad aplicada: IPSec protege el tráfico enviado entre los dos puntos parámetros de seguridad definidos en los SAs que los interlocutores acordatúnel. IPSec se puede aplicar en uno de ambos modos: modo de transporte(“Tunnel”). Ambos modos admiten los dos protocolos IPSec: EncapsulatingAuthentication Header (AH).
Para ayudar a desmitificar el procesamiento de paquetes que se produce durante lasVPN, consulte las secciones siguientes, que muestran los encabezados de paquetes t
Paquetes IKECuando un paquete de texto puro que requiere encapsulamiento llega al dispositivoSA activa de fase 2 para ese túnel, el dispositivo NetScreen inicia las negociacionesLas direcciones de origen y de destino en el encabezado del paquete IP son las de y remota, respectivamente. En la carga de datos del paquete IP hay un segmento UISAKMP (IKE). El formato de los paquetes IKE es igual para la fase 1 y la fase 2.
6. Cuando se descarta el paquete IP inicial, el host de origen lo reenvía. Típicamente, para cuando el segundo paquetenegociaciones IKE se han completado y el dispositivo NetScreen lo protege (como también protege todos los paqueIPSec antes de reenviarlo.
Paquete IKE (Para las fases 1 y 2)
EncabezadoUDP
EncabezadoIP
EncabezadoISAKMP Carga de datos
Nota: ISAKMP es el formato de paquetes utilizad
Capítulo 1 IPSec Paquetes IKE e IPSec
17
encabezado
(en bytes)
del fragmento
Relleno
ación
para IKE )
Flags
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Versión
Suma de comprobación del
Dirección de destino (puerta de enlace del interlocutor remoto)
Opciones IP (si las hay)
Carga de datos IP
Encabezado IP
Dirección de origen (puerta de enlace del interlocutor local)
Identificación
Longitud del encabezado Tipo de servicio Tamaño total del paquete
0 D M Desplazamiento
Tiempo de vida (“Time to Live” o “TTL”) Protocolo ( 17 para UDP )
Carga de datos UDP
Encabezado UDP
Tamaño
Puerto de origen ( 500 para IKE )
Suma de comprob
Puerto de destino ( 500
Longitud del mensaje
Carga de datos ISAKMP
Encabezado ISAKMP (para IKE)
ID del mensaje
Cookie del respondedor (0000 para el primer paquete)
Cookie del iniciador
Carga de datos siguiente Versión mayor
Versión menor Tipo del intercambio
Capítulo 1 IPSec Paquetes IKE e IPSec
18
carga de datos:
A de fase 1 o de fase 2e 2 es encapsulada en una
para realizar un intercambio
la del respondedorspondedor
n IP y ASN.1_DN.
a determinada función de
aleatoria necesaria para el
punto de las negociaciones
(en bytes)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
El campo “Next Payload” contiene un número que indica uno de los siguientes tipos de
• 0002 – Carga de datos de la negociación SA; contiene una definición para la S• 0004 – Carga de datos propuesta; puede ser una propuesta de fase 1 o de fas• 0008 – Carga de datos de transformación; la carga de datos de transformación
carga de datos propuesta que se encapsula en una carga de datos SA• 0010 – Carga de datos Key Exchange (KE); contiene la información necesaria
de claves, como un valor público Diffie-Hellman• 0020 – Carga de datos de identificación (IDx)
– En la fase 1, IDii indica la identificación del iniciador, mientras IDir indica – En la fase 2, IDui indica el iniciador del usuario, mientras IDur indica el re
Las identificaciones son tipos de IDs IKE, como FQDN, U-FQDN, direcció
• 0040 – Carga de datos de certificado (CERT)• 0080 – Carga de datos de petición de certificado (CERT_REQ)• 0100 – Carga de datos de Hash (HASH); contiene el resultado resumido de un
transformación (“hash”)• 0200 – Carga de datos de firma (SIG); contiene una firma digital• 0400 – Carga de datos Nonce (Nx); contiene determinada información pseudo
intercambio• 0800 – Carga de datos de notificación• 1000 – Carga de datos de eliminación ISAKMP• 2000 – Carga de datos de ID del fabricante (VID); puede incluirse en cualquier
de fase 1. NetScreen la utiliza para marcar la compatibilidad con NAT-T.
Cada carga de datos ISAKMP comienza con el mismo encabezado genérico:
Encabezado siguiente
Carga de datos
Encabezado genérico de la carga de datos ISAKMP
Reservado Longitud de la carga de datos
Capítulo 1 IPSec Paquetes IKE e IPSec
19
o de carga de datos la última carga de datos
Flags
s SA
propuesta
nsformación
Encabezado ISAKMP
Carga de datosSA
Carga de datos de la propuesta
Carga de datos de
transformación
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Puede haber múltiples cargas de datos ISAKMP encadenadas, indicándose cada tipsubsiguiente en el valor del campo del encabezado siguiente. Un valor 0000 indica ISAKMP. Consulte el ejemplo que aparece en el diagrama siguiente:
Longitud total del mensaje
ID del mensaje
SPI del respondedor (0000 para el primer paquete)
SPI del iniciador
Carga de datos siguiente(0002 para SA)
Versión mayor
Versión menor
Tipo del intercambio
Encabezado siguiente(0004 para propuesta)
Carga de datos SA
Reservado Longitud de la carga de dato
Carga de datos de la propuesta
Reservado Longitud de la carga de datos de la
Carga de datos de transformación
Reservado Longitud de la carga de datos de tra
Encabezado siguiente(0008 para transformación)
Encabezado siguiente(0000 para fin)
Encabezado ISAKMP con cargas de datos genéricos ISAKMP
Capítulo 1 IPSec Paquetes IKE e IPSec
20
lace IKE hayan establecido las la protección IPSec a los a de enlace IKE envían a los ctivas permitan el tráfico). Si la de túnel, el paquete se
encabezados adicionales al
ye la carga de datos, el
cción IP de la puerta de enlace l como dirección IP de origen. s IP externo e interno. El
correctamente el paquete al
túnel, consulte “Modo de túnel” en la
tos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Paquetes IPSecUna vez completadas las negociaciones IKE y después de que las dos puertas de enasociaciones de seguridad de fase 1 y fase 2 (SAs), el dispositivo NetScreen aplicapaquetes IP de texto puro subsiguientes que los hosts situados detrás de una puerthosts que se encuentran detrás de la otra puerta de enlace (asumiendo que las direSA de fase 2 especifica el protocolo Encapsulating Security Protocol (ESP) en modoparecerá al que aparece debajo7. Observe que el dispositivo NetScreen agrega dospaquete original enviado por el host.
Como muestra la ilustración anterior, el paquete que el host iniciador construye incluencabezado TCP y el encabezado IP interno (IP1).
El encabezado IP externo (IP2) que agrega el dispositivo NetScreen contiene la direremota como dirección IP de destino y la dirección IP del dispositivo NetScreen locaEl dispositivo NetScreen también agrega un encabezado ESP entre los encabezadoencabezado ESP contiene información que permite al interlocutor remoto procesar recibirlo.
7. Para obtener más información sobre ESP, consulte “ESP” en la página 8. Para obtener información sobre el modo depágina 5.
Paquete IPSec – Encapsulating Security Payload (ESP) en el modo de túnel
EncabezadoIP2
EncabezadoESP
EncabezadoIP1
EncabezadoTCP Carga de da
Paquete originalEnviado por el host iniciador
Paquete IPSecEnviado por la puerta
de enlace IKE
La puerta de enlace local agrega estos encabezados al paquete.
Capítulo 1 IPSec Paquetes IKE e IPSec
21
e carga de datos. En el modo orte, este valor indica un
encabezado
n bytes)
el fragmento
Relleno
utor remoto *
cabezado siguiente (4 para IP) * ‡
tos Auten- ticado
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
El campo de siguiente encabezado indica el tipo de datos contenidos en el campo dde túnel, este valor es 4, indicando IP-en-IP. Si se aplica ESP en el modo de transpprotocolo de capa de transporte, como 6 para TCP o 17 para UDP.
Versión
Suma de comprobación del
Dirección de destino (puerta de enlace del interlocutor remoto)
Opciones IP (si las hay)
Carga de datos
Encabezado IP externo (IP2)
Dirección de origen (puerta de enlace del interlocutor local)
Identificación
Tamaño del encabezado Tipo de servicio Tamaño total del paquete (e
0 D M Desplazamiento d
Tiempo de vida (“Time to Live” o “TTL”) Protocolo ( 50 para ESP )
Longitud de relleno * ‡
Carga de datos * ‡ (variable)
Encabezado ESP
Índice de parámetros de seguridad (“Security Parameters Index” o “SPI”) del interloc
EnRelleno * ‡ (0-255 bytes)
Número correlativo*
Vector de inicialización * (IV) – Primeros 8 octetos del campo de da
Datos de autenticación (variables)
* = secciones autenticadas del paquete‡ = secciones encriptadas del paquete
Encriptado
Capítulo 1 IPSec Paquetes IKE e IPSec
22
del encabezado
n bytes)
el fragmento
Relleno
ino
Relleno
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Versión
Suma de comprobación
Dirección de destino (host receptor)
Opciones IP (si las hay)
Carga de datos
Encabezado IP interno (IP1)
Dirección de origen (host iniciador)
Identificación
Tamaño del encabezado Tipo de servicio Tamaño total del paquete (e
0 D M Desplazamiento d
Tiempo de vida (“Time to Live” o “TTL”) Protocolo ( 6 para TCP )
Puerto de origen Puerto de dest
Número correlativo
Número de reconocimiento
U R G
A C K
P S H
R S T
Indicador “Urgente”
Tamaño de laventana
Tamaño del encabezado Reservado
Opciones (si las hay)
Datos
S Y N
F I N
Encabezado TCP
Suma de comprobación
2
23
uso de certificados y listas de s infraestructuras de claves
las siguientes secciones:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Capítulo 2
Criptografía de claves públicas
En este capítulo se ofrece una introducción a la criptografía de claves públicas y al revocación de certificados (CRLs, o “Certificate Revocation Lists”) en el marco de lapúblicas (PKI, o “Public Key Infraestructure”). El contenido del capítulo se divide en
• “Introducción a la criptografía de claves públicas” en la página 24
• “PKI” en la página 26
• “Certificados y CRLs” en la página 29
– “Obtención manual de un certificado” en la página 30
– “Obtención automática de un certificado local” en la página 38
– “Renovación automática de certificado” en la página 43
• “Comprobación de estado mediante OCSP” en la página 44
– “Configuración de OCSP” en la página 45
• “Certificados autofirmados (“Self-Signed Certificates”)” en la página 47
– “Asegurar el tráfico administrativo con SSL” en la página 48
Capítulo 2 Criptografía de claves públicas Introducción a la criptografía de claves públicas
24
y otra privada para encriptar y pone a disposición de otros el propietario mantendrá
ptado, utilizará la clave pública an podrá desencriptarlo con su
una clave privada y que se omo firma digital. Si, por on su clave privada y lo envía lizando la clave pública de
l en el uso de certificados certificación) y, a continuación, ación:
peración matemática en la que .
u clave privada. El resultado es
n aplicando el mismo algoritmo
ital.
e acaba de generar. Si ambas y, por extensión, la integridad
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
INTRODUCCIÓN A LA CRIPTOGRAFÍA DE CLAVES PÚBLICASEn la criptografía de claves públicas se utiliza el par formado por una clave pública desencriptar datos. Los datos encriptados con una clave pública, que su propietariousuarios, sólo pueden ser desencriptados con la clave privada correspondiente, queprotegida y en secreto. Por ejemplo, si Alicia quiere enviar a Juan un mensaje encride él para encriptarlo y, a continuación, se lo enviará. Cuando reciba el mensaje, Juclave privada.
El método inverso también resulta de gran utilidad; esto es, encriptar los datos con puedan desencriptar con la clave pública correspondiente. Este método se conoce cejemplo, Alicia desea que se sepa que ella es la autora de un mensaje, lo encripta cde forma pública a Juan. A continuación, Juan sólo puede desencriptar los datos utiAlicia, lo que significa que lo ha enviado ella.
Los conjuntos de claves privada y pública también desempeñan un importante papedigitales. El procedimiento para firmar un certificado (por parte de una autoridad de verificar la firma (por parte del receptor), se desarrolla tal y como se indica a continu
Firma de un certificado
1. La autoridad de certificación (CA) que emite el certificado lo somete a una ose utiliza un algoritmo “hash” (MD5 o SHA-1) para generar una codificación
2. A continuación, la CA “firma” el certificado encriptando la codificación con suna firma digital.
3. La CA envía el certificado firmado digitalmente a la persona que lo solicitó.
Verificación de una firma digital
1. Cuando el destinatario recibe el certificado, también genera otra codificacióhash (MD5 o SHA-1) en el archivo de certificado.
2. El destinatario utiliza la clave pública de la CA para desencriptar la firma dig
3. El destinatario compara la codificación desencriptada con la codificación qucoinciden, el destinatario puede confirmar la integridad de la firma de la CAdel certificado que lo acompaña.
Capítulo 2 Criptografía de claves públicas Introducción a la criptografía de claves públicas
25
una sesión IKE funciona de
sor la genera a partir de los
s utilizan el par de claves
ritmo hash 5 o SHA-1)
oritmo hash 5 o SHA-1)
Cert.
Cert.
ve privada de la CA
lave pública de la CA
Codificación B
Codificación B
1
1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
El procedimiento de firma digital de los mensajes enviados por dos participantes enforma muy parecida, con las siguientes diferencias:
• En lugar de generar una codificación a partir del certificado de la CA, el emidatos del paquete IP.
• En vez de utilizar el par de claves pública/privada de la CA, los participantepública/privada del emisor.
Codificación A
Codificación A
Algo(MD
Alg(MD
Cla
C
1. La CA genera la codificación A a partir del certificado utilizando el algoritmo hash MD5 o SHA-1.
2. Con su clave privada, la CA encripta la codificación A. El resultado es la codificación B, la firma digital.
3. La CA envía el certificado firmado digitalmente a la persona que lo solicitó.
2
3
2
Comparación
1. Genera la codificación A a partir del certificado utilizando MD5 o SHA-1.
2. Utilizando la clave pública de la CA, desencripta la codificación B.
3. Compara la codificación A con la B. Si coinciden, el receptor sabrá que el certificado no está manipulado.
Emisor (CA)
Receptor
Capítulo 2 Criptografía de claves públicas PKI
26
árquica de confianza necesaria a fiabilidad de un certificado, es o localmente hasta la autoridad
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
PKIEl término infraestructura de claves públicas (PKI) hace referencia a la estructura jerpara la correcta implementación de la criptografía de claves públicas. Para verificar lnecesario poder identificar una ruta de CA fiables desde la CA que emite el certificadraíz de un dominio de CA.
La CA de nivel raíz valida las CA subordinadas.
Las CAs subordinadas validan
certificados locales y a otras CAs.
Los certificados locales contienen la clave pública del
usuario.
Jerarquía de confianza de una PKI: dominio de CA
Capítulo 2 Criptografía de claves públicas PKI
27
nización puede tener su propio re sus empleados. Si después n otro dominio de CA (por
as dos CA pueden desarrollar ente en la autoridad de cada
n horizontal.
e forma transparente. Para
rtificado.
archivo de texto que se ado (archivo PKCS #10).
de de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Si los certificados se utilizan exclusivamente dentro de una organización, dicha orgadominio de CA dentro del cual una CA de la empresa emite y valida certificados entesa organización desea que sus empleados puedan intercambiar sus certificados coejemplo, con empleados de otra organización que tiene su propio dominio de CA), luna certificación cruzada; es decir, pueden llegar a un acuerdo para confiar mutuamuna de ellas. En este caso, la estructura de la PKI no se extiende en vertical, sino e
Por motivos prácticos y de comodidad, la PKI debe administrarse e implementarse dconseguirlo, NetScreen ScreenOS hace lo siguiente:
1. Genera un par de claves pública/privada cuando se crea una petición de ce
2. Proporciona esa clave pública como parte de la petición de certificado en untransmite a una autoridad de certificación (CA) para la inscripción del certific
Dominio CA: A Dominio CA: B
Certificación cruzada
Los usuarios del dominio A pueden utilizar sus certificados y paresclaves con los usuarios del dominio B porque ambas CA disponen
certificación cruzada entre sí.
Capítulo 2 Criptografía de claves públicas PKI
28
ón de certificados (CRL)1 en la
tomáticamente. Para obtener 29.
iveles de autoridades CA en la
l dispositivo NetScreen puede . La compatibilidad con PKCS KI. Ahora es posible configurar
tScreen, no podrá verla una vez
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. Permite cargar el certificado local, el certificado de CA y la lista de revocaciunidad.
También puede especificar un intervalo de tiempo para actualizar la CRL aumás información sobre las CRL, consulte “Certificados y CRLs” en la página
4. Permite enviar certificados cuando se establece un túnel IPSec.
5. Admite la validación ascendente de rutas de certificados a través de ocho njerarquía PKI.
6. Es compatible con la norma de criptografía PKCS #7, lo que significa que eaceptar certificados X.509 y CRL empaquetadas según la norma PKCS #72
#7 permite enviar múltiples certificados X.509 dentro de una única petición PPKI para validar a la vez todos los certificados enviados por la CA emisora.
7. Admite recuperación de CRL en línea a través de LDAP o HTTP.
1. La autoridad de certificación normalmente proporciona una CRL. Aunque puede cargar una CRL en el dispositivo Necargada.
2. NetScreen admite un tamaño de archivo PKCS #7 de hasta 7 kB.
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
29
utilizando la palabra de una rvidor de CA que esté utilizando aso usted será su propia CA. Si
cciones de los servidores de CA que dichos servidores necesitan lo por sí mismo.
exión VPN segura, siga estos
er un certificado personal etScreen.
nte para verificar la identidad itivo NetScreen. Esto lo puede
rtificate Enrollment Protocol).
ados (CDP) y no recibe almente y cargarla en el
sario revocar un certificado. Es tario ha dejado la empresa. Las ue esta solución es limitada) o tomática en intervalos diarios,
n desde el servidor de archivos ection (DI). Para obtener más irus” en la página 4 -86. Para DI, consulte “Servidor de la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CERTIFICADOS Y CRLSUn certificado digital es un método electrónico para verificar la identidad de un usuariotercera parte en la que se confía, conocida como autoridad de certificación (CA). El sepuede ser propiedad de una CA independiente3 o de su propia organización, en cuyo cutiliza una CA independiente, debe ponerse en contacto con ella para obtener las direy CRL (y conseguir certificados y listas de revocación de certificados) o la información cuando envían peticiones de certificados personales. Si es su propia CA, podrá hacer
Para utilizar un certificado digital y así autenticar su identidad al establecer una conpasos:
• Genere una clave en el dispositivo NetScreen, envíela a una CA para obten(también llamado certificado local) y cargue el certificado en el dispositivo N
• Consiga un certificado de la CA que emitió el certificado personal (básicamede la CA que lo verifica a usted) y cargue el certificado de la CA en el disposhacer manual o automáticamente, utilizando el protocolo SCEP (Simple Ce
• Si el certificado no contiene la extensión de punto de distribución de certificautomáticamente la CRL a través de LDAP o HTTP, puede obtenerla manudispositivo NetScreen.
Durante el proceso de negociación, puede haber muchos casos en los que sea neceposible que quiera revocar un certificado si sospecha que es peligroso o si su propierevocaciones y validaciones de certificados se pueden administrar localmente (aunqcon referencia a la CRL de una CA, a la que se puede acceder en línea de forma ausemanales o mensuales, o según el intervalo predefinido por la CA.
3. NetScreen admite las siguientes CAs: Baltimore, Entrust, Microsoft, Netscape, RSA Keon y Verisign.
Nota: ScreenOS dispone de un certificado de CA para las descargas de autenticacióde firmas de virus y el servidor de la base de datos de objetos de ataque Deep Inspinformación sobre el servidor de archivos de firmas de virus, consulte “Análisis antivobtener más información sobre el servidor de la base de datos de objetos de ataquebase de datos de objetos de ataque” en la página 4 -141.
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
30
e seguir estos pasos:
junto con el certificado de CA
ad en cada conexión de túnel
l otro interlocutor
de CA4, una CRL para
.cer y los archivos de CRL, la scrito en la siguiente sección.
mente, el certificado de CA puede i es incapaz de obtener la CRL por CRL en el dispositivo NetScreen, tal
ener los certificados, debe e correo electrónico al dario, y especificar los ajustes
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Obtención manual de un certificadoPara conseguir un certificado firmado digitalmente siguiendo el método manual, deb
1. Generar un par de claves pública/privada
2. Rellenar la petición de certificado
3. Enviar la petición a la CA que desee
4. Una vez recibido el certificado firmado, cargarlo en el dispositivo NetScreen
Ahora dispondrá de los siguientes elementos con los siguientes objetivos:
• Un certificado local para el dispositivo NetScreen, para autenticar su identid
• Un certificado de CA (clave pública de la CA), para verificar el certificado de
• Si la lista de revocación de certificados (CRL) está incluida en el certificadoidentificar certificados no válidos
Cuando reciba estos archivos (los archivos de certificado suelen tener la extensión extensión .crl), cárguelos en el dispositivo NetScreen siguiendo el procedimiento de
4. La CRL puede acompañar al certificado de CA y se puede almacenar en la base de datos de NetScreen. Alternativacontener la URL de la CRL (ya sea LDAP o HTTP) si ésta se encuentra almacenada en la base de datos de la CA. Scualquiera de los métodos, puede introducir manualmente los ajustes predeterminados del servidor para la URL de lay como se explica en “Ejemplo: Configuración de ajustes de CRL” en la página 36.
Nota: Si piensa utilizar el correo electrónico para enviar el archivo PKCS #10 y obtconfigurar adecuadamente los ajustes de NetScreen para poder enviar mensajes dadministrador del sistema. Deberá establecer los servidores DNS principal y secunde dirección del servidor SMTP y del servidor de correo.
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
31
La clave pública se incorpora ue recibirá de la CA.
cado para Michael Zhang en el tificado se utilizará en un ositivo NetScreen que envíe la [email protected]. A de texto de petición de proceso de inscripción, la CA ridad.
Generate :
reloj del sistema y que ha l dispositivo NetScreen se er. (Para obtener más
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Petición de certificado manualCuando se solicita un certificado, el dispositivo NetScreen genera un par de claves.en la propia petición y, posteriormente, en el certificado local firmado digitalmente q
En el siguiente ejemplo, el administrador de seguridad realiza una petición de certifidepartamento de desarrollo de Juniper Networks en Sunnyvale, California. Este cerdispositivo NetScreen con la dirección IP 10.10.5.44. El administrador ordena al disppetición por correo electrónico al administrador de seguridad, que tiene la dirección continuación, el administrador de seguridad copia la petición y la pega en el campo certificado en el punto de inscripción de certificados de la CA. Una vez finalizado el normalmente devuelve el certificado por correo electrónico al administrador de segu
WebUI
1. Generación del certificadoObjects > Certificates > New: Introduzca los siguientes datos y haga clic en
Name: Michael Zhang
Phone: 408-730-6000
Unit/Department: Development
Organization: Juniper Networks
County/Locality: Sunnyvale
State: CA
Country: US
Nota: Antes de generar una petición de certificado, compruebe que ha ajustado el asignado un nombre de host y un nombre de dominio al dispositivo NetScreen. Si eencuentra en un clúster NSRP, sustituya el nombre de host por un nombre de clústinformación, consulte “Nombre de clúster” en la página 10 -18).
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
32
ne)
l archivo por correo electrónico, P (“Simple Certificate
OK 7.
ndo copiar el texto completo ando por “-----BEGIN QUEST-----”).
tición de certificado en el sitio
reo electrónico, se lo reenvía a para después cargarlo en el (para cargarlo a través de CLI).
ctrónico en la petición de certificado mico. En su lugar, podrá utilizar un
da, el dispositivo NetScreen envía su ehost.nombredominio del interlocutor
ts Layer” en la página 3 -8), asegúrese
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
E-mail: [email protected]
IP Address: 10.10.5.44
Write to file: (seleccione)
RSA: (seleccione)
Create new key pair of 10246 length: (seleccio
El dispositivo NetScreen genera un archivo PKCS #10 y solicita que envíe elo guarde en disco o lo inscriba automáticamente a través del protocolo SCEEnrollment Protocol”).
Seleccione la opción E-mail to , escriba [email protected] y haga clic en
2. Petición de certificadoEl administrador de seguridad abre el archivo y copia su contenido, procurapero no los espacios en blanco situados delante o detrás del texto (comenzCERTIFICATE REQUEST-----” y finalizando en “-----END CERTIFICATE RE
A continuación, el administrador de seguridad sigue las direcciones de la peweb de la CA, pegando el archivo PKCS #10 en el campo apropiado.
3. Recuperación del certificadoCuando el administrador de seguridad recibe el certificado de la CA por corusted. Cópielo en un archivo de texto y guárdelo en su estación de trabajo (dispositivo NetScreen a través de la interfaz WebUI) o en un servidor TFTP
5. Ciertas CA no admiten direcciones de correo electrónico en los certificados. Si no incluye una dirección de correo elelocal, no podrá utilizarla como identificación de IKE local al configurar el dispositivo NetScreen como interlocutor dinánombre de dominio completo (si se encuentra en el certificado local) o dejar el campo vacío. De forma predeterminanombrehost.nombredominio. Si no especifica la identificación local para un interlocutor dinámico, introduzca el nombren el dispositivo que se encuentra en el otro extremo del túnel IPSec en el campo de identificación del interlocutor.
6. El valor 1024 indica la longitud en bits del par de claves. Si va a utilizar el certificado para SSL (consulte “Secure Sockede que utiliza una longitud de bits que también sea compatible con su explorador web.
7. Si utiliza la dirección de correo electrónico, se supone que ya ha configurado la dirección IP para el servidor SMTP: set admin mail server-name { ip_addr | dom_name }.
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
33
et.
ndo copiar el texto completo ando por “-----BEGIN QUEST-----”).
tición de certificado en el sitio
reo electrónico, se lo reenvía a para después cargarlo en el (para cargarlo a través de CLI).
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI
1. Generación del certificadoset pki x509 dn country-name USset pki x509 dn email [email protected] pki x509 dn ip 10.10.5.44set pki x509 dn local-name “Santa Clara”set pki x509 dn name “Michael Zhang”set pki x509 dn org-name “Juniper Networks”set pki x509 dn org-unit-name Developmentset pki x509 phone 408-730-6000set pki x509 dn state-name CAset pki x509 default send-to [email protected]
exec pki rsa new-key 1024
La petición de certificado se envía por correo electrónico a [email protected]
2. Petición de certificadoEl administrador de seguridad abre el archivo y copia su contenido, procurapero no los espacios en blanco situados delante o detrás del texto (comenzCERTIFICATE REQUEST-----” y finalizando en “-----END CERTIFICATE RE
A continuación, el administrador de seguridad sigue las direcciones de la peweb de la CA, pegando el archivo PKCS #10 en el campo apropiado.
3. Recuperación del certificadoCuando el administrador de seguridad recibe el certificado de la CA por corusted. Cópielo en un archivo de texto y guárdelo en su estación de trabajo (dispositivo NetScreen a través de la interfaz WebUI) o en un servidor TFTP
8. Si utiliza la dirección de correo electrónico, se supone que ya ha configurado la dirección IP para el servidor SMTP: set admin mail server-name { ip_addr | dom_name }.
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
34
NetScreen:
o C:\certs\ns en la estación de aíz TFTP a un servidor TFTP
auth.cer (certificado de CA) y
án en el campo File Browse.
án en el campo File Browse.
riores, incluyendo los sistemas
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Carga de certificados y CRLsLa CA le devuelve los siguientes tres archivos para que los cargue en el dispositivo
• Un certificado de CA, que contiene la clave pública de la CA
• Un certificado local, que identifica su equipo local (su clave pública)
• Una CRL, que enumera los certificados revocados por la CA
Para el ejemplo con la WebUI, habrá descargado los archivos a un directorio llamadtrabajo del administrador. Para el ejemplo con CLI, habrá descargado el directorio rcon la dirección IP 198.168.1.5.
En este ejemplo se muestra cómo se deben cargar dos archivos distintos, llamadoslocal.cer (su clave pública), y el archivo de CRL, llamado distrust.crl.
WebUI
1. Objects > Certificates: Seleccione Load Cert y haga clic en Browse .
2. Acceda al directorio C:\certs, seleccione auth.cer y haga clic en Open .
La ruta del directorio y el nombre de archivo (C:\certs\ns\auth.cer) aparecer
3. Haga clic en Load .
Se cargará el archivo local.cer.
4. Objects > Certificates: Seleccione Load Cert y haga clic en Browse .
5. Acceda al directorio C:\certs, seleccione local.cer y haga clic en Open .
La ruta del directorio y el nombre de archivo (C:\certs\ns\local.cer) aparecer
Nota: Los dispositivos NetScreen configurados con ScreenOS 2.5 o versiones postevirtuales, permiten cargar certificados locales desde distintas CAs.
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
35
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs6. Haga clic en Load .
Se cargará el archivo local.cer.
7. Objects > Certificates: Seleccione Load CRL y haga clic en Browse .
8. Acceda al directorio C:\certs, seleccione distrust.crl y haga clic en Open .
9. Haga clic en Load .
Se cargará el archivo de CRL distrust.crl.
CLI
exec pki x509 tftp 198.168.1.5 cert-name auth.cerexec pki x509 tftp 198.168.1.5 cert-name local.cerexec pki x509 tftp 198.168.1.5 crl-name distrust.crl
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
36
probar si los certificados no acompaña al certificado de
itivo NetScreen intentará no hay ninguna dirección URL definido para ese certificado de positivo NetScreen utilizará el
RL diariamente mediante una . A continuación configurará los AP ubicado en 10.1.1.200,
duzca los siguientes datos y
LDAP.
ar la comprobación de firmas en peligro la seguridad del
ver una lista de los números l siguiente comando CLI:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Configuración de ajustes de CRLEn la fase 1 de las negociaciones, los participantes consultan la lista CRL para comrecibidos durante un intercambio IKE siguen siendo válidos. Si una CRL determinadaCA correspondiente y no está cargada en la base de datos de NetScreen, el disposrecuperarla mediante la URL de LDAP o HTTP9 definida en el propio certificado. Si definida en el certificado de CA, el dispositivo NetScreen utiliza la URL del servidor CA. Si no define ninguna URL de CRL para un certificado de CA determinado, el disservidor CRL de la dirección URL de CRL predeterminada.
En este ejemplo, primero configurará el servidor de CA Entrust para comprobar la Cconexión al servidor LDAP ubicado en 2.2.2.121 y la localización del archivo de CRLajustes predeterminados de validación de certificados para su uso en el servidor LDcomprobando también diariamente la CRL.
WebUI
Objects > Certificates (Show: CA) > Server Settings (para NetScreen): Introhaga clic en OK :
X509 Cert_Path Validation Level: Full
CRL Settings:
9. La extensión del punto de distribución de la CRL (.cdp) en un certificado X509 puede ser una URL HTTP o una URL
Nota: Con ScreenOS 2.5 y versiones posteriores, al cargar la CRL puede desactivdigitales. Sin embargo, si desactiva la comprobación del certificado de CRL pondrádispositivo NetScreen.
Nota: El número de índice (IDX) para el certificado de Entrust CA es 1. Para poderIDX de todos los certificados de CA cargados en un dispositivo NetScreen, utilice eget pki x509 list ca-cert .
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
37
01,CN=PublicKeyServices, 01,DC=com?CertificateRevocatoint
ientes datos y haga clic en OK :
afecert,CN=PublicKeyServices, CERT,DC=com?CertificateRevtionPoint
ust,CN=en2001, =EN2000,DC=com?Certificint”1
N=NetScreen, iguration,DC=SAFECERT, LDistributionPoint”.1.1.200
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
URL Address: ldap:///CN=Entrust,CN=en20CN=Services,CN=Configuration,DC=EN20ionList?base?objectclass=CRLDistributionP
LDAP Server: 2.2.2.121
Refresh Frequency: Daily
Objects > Certificates > Default Cert Validation Settings: Introduzca los sigu
X509 Certificate Path Validation Level: Full
Certificate Revocation Settings:
Check Method: CRL
URL Address: ldap:///CN=NetScreen,CN=sCN=Services,CN=Configuration,DC=SAFEocationList?base?objectclass=CRLDistribu
LDAP Server: 10.1.1.200
CLI
set pki authority 1 cert-path fullset pki authority 1 cert-status crl url “ldap:///CN=Entr
CN=PublicKeyServices,CN=Services,CN=Configuration,DCateRevocationList?base?objectclass=CRLDistributionPo
set pki authority 1 cert-status crl server-name 2.2.2.12set pki authority 1 cert-status crl refresh dailyset pki authority default cert-path fullset pki authority default cert-status crl url “ldap:///C
CN=safecert,CN=PublicKeyServices,CN=Services,CN=ConfDC=com?CertificateRevocationList?base?objectclass=CR
set pki authority default cert-status crl server-name 10set pki authority default cert-status crl refresh dailysave
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
38
exión VPN segura, siga estos
e obtener un certificado
cuyo certificado de CA ya ha reen. Esto lo puede hacer e Enrollment Protocol”).
ue copie información de un l método automático.
mbres de dominio)” en la
. Si el dispositivo NetScreen se e clúster. (Para obtener más
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Obtención automática de un certificado localPara utilizar un certificado digital y así autenticar su identidad al establecer una conpasos:
• Consiga el certificado de una autoridad de certificación (CA) de la cual desepersonal y cárguelo en el dispositivo NetScreen.
• Obtenga un certificado local (también llamado certificado personal) de la CAcargado y, a continuación, cargue el certificado local en el dispositivo NetScmanual o automáticamente, utilizando el protocolo SCEP (“Simple Certificat
Como durante el método manual para solicitar certificados locales se le va a pedir qcertificado a otro, puede llegar a ser un proceso largo. Para evitarlo, puede utilizar e
Nota: Antes de utilizar el protocolo SCEP, debe llevar a cabo estas tareas:
• Configurar y habilitar DNS (consulte “Compatibilidad con DNS (sistema de nopágina 2 -379).
• Ajustar el reloj del sistema (consulte “Reloj del sistema” en la página 2 -467).
• Asignar un nombre de host y un nombre de dominio al dispositivo NetScreenencuentra en un clúster NSRP, sustituya el nombre de host por un nombre dinformación, consulte “Nombre de clúster” en la página 10 -18).
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
39
a ello utilizará el protocolo e CA:
n utilizará un nombre de presa
a no se realiza ningún sondeo)
bits, e iniciará la operación riormente mencionados.
Si utiliza CLI, hará referencia a de la CA Verisign es “1”. Para
get pki x509 list ca-cert . ro IDX y utilícelo para hacer
rvidores web para enviar una petición cia de hipertexto (HTTP, o “Hypertext iste, utilice el valor especificado para
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Petición automática de certificadoEn este ejemplo seguirá el método automático para solicitar un certificado local. ParSCEP con la autoridad de certificación Verisign. Establecerá los siguientes ajustes d
• Validación de la ruta de certificado completa
• RA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe10
• CA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe
• Confirmación automática de la integridad de los certificados de CA
• CA ID, que identifica un servidor SCEP, donde el servidor SCEP de Verisigdominio, como juniper.net, o un dominio establecido por Verisign para su em
• Contraseña de desafío
• Sondeo automático de certificado cada 30 minutos (de forma predeterminad
A continuación generará un par de claves RSA, especificando una longitud de 1024SCEP para solicitar un certificado local de la CA Verisign con los ajustes de CA ante
Si utiliza la interfaz WebUI, hará referencia a los certificados de CA por su nombre. los certificados de CA por su número de índice (IDX). En este ejemplo, el número IDXconsultar los números IDX para los certificados de CA, utilice el siguiente comando:Aparecerá un número IDX y un número de ID para cada certificado. Apunte el númereferencia al certificado de CA en los comandos.
10. La interfaz de puerta de enlace común (CGI, o “Common Gateway Interface”) es un método estándar que utilizan los sede usuario a un programa de aplicación y recibir a cambio datos. La interfaz CGI forma parte del protocolo de transferenTransfer Protocol”). Debe especificar una ruta RA CGI aunque la autoridad de registro (RA) no exista. Si la RA no exla CA CGI.
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
40
zca los siguientes datos y haga
iclient.exe
iclient.exe
avanzados y haga clic en uración básica CA Server
Generate :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI
1. Ajustes del servidor de CAObjects > Certificates > Show CA > Server Settings (para Verisign): Introduclic en OK :
X509 certificate path validation level: Full
SCEP Settings:
RA CGI: http://ipsec.verisigncom/cgi-bin/pk
CA CGI: http://ipsec.verisigncom/cgi-bin/pk
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configSettings:
Polling Interval: 30
Certificate Authentication: Auto
Certificate Renew: 14
2. Petición de certificado localObjects > Certificates > New: Introduzca los siguientes datos y haga clic en
Name: Michael Zhang
Phone: 408-730-6000
Unit/Department: Development
Organization: Juniper Networks
County/Locality: Sunnyvale
State: CA
Country: US
Email: [email protected]
IP Address: 10.10.5.44
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
41
n genere un archivo PKCS #10
e correo electrónico
el protocolo SCEP
server settings y, finalmente,
tificado. Verisign debe autorizar
iliza una longitud de bits que también
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Key Pair Information:
RSA: (seleccione)
Create new key pair of 1024 11 length.
Ejecute el comando CLI get pki x509 pkcs para que el dispositivo NetScreey, a continuación, siga uno de estos pasos:
– Envíe el archivo PKCS #10 de petición de certificado a una dirección d
– Guárdelo en disco
– Inscríbalo automáticamente enviando el archivo a una CA que admita
3. Inscripción automáticaSeleccione la opción Automatically enroll to , luego la opción Existing CAVerisign en la lista desplegable.
Póngase en contacto con Verisign para informarles sobre su petición de cerla petición de certificado antes de que usted pueda descargarlo.
11. El valor 1024 indica la longitud en bits del par de claves. Si va a utilizar el certificado para SSL, asegúrese de que utsea compatible con su explorador web.
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
42
om/cgi-bin
om/cgi-bin
un mensaje presentando un tacto con la CA para confirmar
tificado. Verisign debe autorizar
rvidores web para enviar una petición cia de hipertexto (HTTP, o “Hypertext
specificado para la CA CGI.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI
1. Ajustes del servidor de CAset pki authority 1 cert-path fullset pki authority 1 scep ca-cgi “http://ipsec.verisign.c
/pkiclient.exe”12
set pki authority 1 scep ra-cgi “http://ipsec.verisign.c/pkiclient.exe”13
set pki authority 1 scep polling-int 30set pki authority 1 scep renew-start 14
2. Petición de certificado localset pki x509 dn country-name USset pki x509 dn email [email protected] pki x509 dn ip 10.10.5.44set pki x509 dn local-name “Santa Clara”set pki x509 dn name “Michael Zhang”set pki x509 dn org-name “Juniper Networks”set pki x509 dn org-unit-name Developmentset pki x509 phone 408-730-6000set pki x509 dn state-name CAexec pki rsa new 1024
3. Inscripción automáticaexec pki x509 scep 1Si ésta es la primera petición de certificado que envía a esta CA, aparecerávalor de marca de identidad para el certificado de CA. Debe ponerse en conque se trata del certificado de CA correcto.Póngase en contacto con Verisign para informarles sobre su petición de cerla petición de certificado antes de que usted pueda descargarlo.
12. La interfaz de puerta de enlace común (CGI, o “Common Gateway Interface”) es un método estándar que utilizan los sede usuario a un programa de aplicación y recibir a cambio datos. La interfaz CGI forma parte del protocolo de transferenTransfer Protocol”).
13. Debe especificar una ruta RA CGI aunque la autoridad de registro (RA) no exista. Si la RA no existe, utilice el valor e
Capítulo 2 Criptografía de claves públicas Certificados y CRLs
43
tificados adquiridos a través de ositivo NetScreen antes de que .
itivo NetScreen para que envíe e establecer el momento en o en días y minutos antes de la á que el dispositivo NetScreen
acceder al servidor SCEP y el de renovación. También debe
be modificar el nombre del
P para todos los certificados
ente. El número de claves NetScreen es capaz de tiliza una clave genera otra no a medida que el dispositivo caso de que el dispositivo
izar claves rápidamente, podría a petición. En este caso, la ialmente en un entorno de HA r durante una serie de minutos.
een depende del modelo. Para
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Renovación automática de certificadoPuede habilitar el dispositivo NetScreen para que renueve automáticamente los cerSCEP. Esta función evita tener que acordarse de renovar los certificados en el dispvenzan y, gracias al token, mantiene la validez de los certificados en todo momento
De forma predeterminada, esta función está inhabilitada. Puede configurar el disposautomáticamente una petición para renovar un certificado antes de que venza. Puedque desee que el dispositivo NetScreen envíe la petición de renovación del certificadfecha de vencimiento. Si establece momentos distintos para cada certificado, evitartenga que renovar todos los certificados al mismo tiempo.
Para evitar problemas con esta función, el dispositivo NetScreen debe ser capaz decertificado debe estar presente en el propio dispositivo NetScreen durante el procesoasegurarse de que la CA que emite el certificado pueda hacer lo siguiente:
• Admitir la aprobación automática de peticiones de certificado.
• Devolver el mismo nombre de dominio (DN). En otras palabras, la CA no desujeto ni la extensión SubjectAltName en el nuevo certificado.
Puede activar y desactivar la función de renovación automática de certificados SCESCEP o de forma individual.
Generación de pares de clavesLos dispositivos NetScreen guardan en memoria las claves generadas automáticamdepende del modelo de dispositivo. Durante el funcionamiento normal, el dispositivodisponer de claves suficientes para renovar certificados, puesto que cada vez que unueva. El proceso de generación de claves normalmente se ejecuta en segundo platiene tiempo para generar una nueva clave antes de que se necesite utilizar otra. EnNetScreen renueve un gran número de certificados al mismo tiempo y tenga que utilllegar a quedarse sin claves y tener que generarlas inmediatamente con cada nuevgeneración de claves puede afectar al rendimiento del dispositivo NetScreen. Espec(alta disponibilidad), donde el rendimiento del dispositivo NetScreen puede disminui
El número de pares de claves generadas automáticamente en un dispositivo NetScrmás información, consulte la hoja de especificaciones de su producto NetScreen.
Capítulo 2 Criptografía de claves públicas Comprobación de estado mediante OCSP
44
icado, suele ser importante r revocación. La forma habitual ficados (CRLs). El protocolo de forma de comprobar el estado y realiza comprobaciones de
te OCSP (o solicitante). Dicho a OCSP. ScreenOS es ición del cliente incluye la en pueda realizar operaciones OCSP.
ción de estado del certificado . La respuesta del servidor spuesta y el periodo de validez respuesta firmará la respuesta l servidor de respuesta
rporado en la respuesta OCSP do está almacenado
localmente:
d id_num2; id_num2 identifica el la respuesta OCSP.
P o almacenado localmente, el l certificado en cuestión.
n examen exhaustivo en el pasado.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
COMPROBACIÓN DE ESTADO MEDIANTE OCSPCuando un dispositivo NetScreen realiza una operación en la que se utiliza un certifverificar su validez. Los certificados pueden quedar invalidados por vencimiento o pode comprobar el estado de los certificados es utilizar las listas de revocación de certiestado de certificado en línea (OCSP, u “Online Certificate Status Protocol”) es otrade los certificados. Este protocolo ofrece información adicional sobre los certificadosestado periódicas.
Cuando un dispositivo NetScreen utiliza el protocolo OCSP, se le considera el cliencliente envía una petición de verificación a un servidor llamado servidor de respuestcompatible con RSA Keon y Verisign como servidores de respuesta OCSP14. La petidentidad del certificado que se debe comprobar. Antes de que el dispositivo NetScreOCSP, debe configurarlo para que reconozca la ubicación del servidor de respuesta
Una vez recibida la petición, el servidor de respuesta OCSP confirma que la informaestá disponible y, a continuación, devuelve el estado actual al dispositivo NetScreenOCSP contiene el estado de revocación del certificado, el nombre del servidor de rede la respuesta. A menos que la respuesta sea un mensaje de error, el servidor de utilizando su clave privada. El dispositivo NetScreen verifica la validez de la firma deutilizando su certificado. Este certificado del servidor de respuesta puede estar incoo almacenado localmente y especificado en la configuración de OCSP. Si el certificalocalmente, utilice el siguiente comando para especificar el certificado almacenado
set pki authority id_num1 cert-status ocsp cert-verify iid_num1 identifica el certificado de CA que emitió el certificado que se va a verificarcertificado almacenado localmente que el dispositivo utiliza para verificar la firma en
Si el certificado del servidor de respuesta no está incorporado en la respuesta OCSdispositivo NetScreen verifica la firma utilizando el certificado de la CA que emitió e
14. Juniper Networks también ha sido evaluado satisfactoriamente con el servidor de respuesta OCSP Valicert durante u
Capítulo 2 Criptografía de claves públicas Comprobación de estado mediante OCSP
45
La mayoría de estos comandos ión con el certificado de CA.
no) para un certificado de una
RL | OCSP | none }
ilice la siguiente sintaxis en CLI:
rtificado 7:
do de CA cuando se elabora la miento de certificados.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Configuración de OCSPPuede utilizar comandos CLI para configurar un dispositivo NetScreen para OCSP. utilizan un número de identificación para asociar la URL de referencia de la revocacPuede obtener este número ID con el siguiente comando CLI:
get pki x509 list ca-cert
Especificación de CRL u OCSPPara especificar el método de comprobación de revocaciones (CRL, OCSP o ningudeterminada CA, utilice la siguiente sintaxis en CLI:
set pki authority id_num cert-status revocation-check { Cdonde id_num será el número de identificación del certificado.
El siguiente ejemplo especifica la comprobación de revocaciones con OCSP.
set pki authority 3 cert-status revocation-check ocspEl número de ID 3 identifica el certificado de la CA.
Visualización de los atributos de comprobación de estadoPara visualizar los atributos de comprobación de estado de una CA determinada, ut
get pki authority id_num cert-statusdonde id_num será el número de identificación del certificado emitido por la CA.
Para visualizar los atributos de comprobación de estado para la CA que emitió el ce
get pki authority 7 cert-status
Nota: El dispositivo NetScreen asigna de forma dinámica el número ID del certificalista de certificados de CA. Este número puede cambiar si se modifica el almacena
Capítulo 2 Criptografía de claves públicas Comprobación de estado mediante OCSP
46
ficado en particular, utilice la
8.10.10) para la CA con
10.10:
8.2.1
un determinado certificado,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Especificación de la URL de un servidor de respuesta OCSPPara especificar la cadena de URL de un servidor de respuesta OCSP para un certisiguiente sintaxis en CLI:
set pki authority id_num cert-status ocsp url url_str Para especificar la cadena de URL de un servidor de respuesta OCSP (http:\\192.16certificado 5, utilice la siguiente sintaxis en CLI:
set pki authority 5 cert-status ocsp url http:\\192.168.Para eliminar la URL (http:\\192.168.2.1) de un servidor de CRL para el certificado 5
unset pki authority 5 cert-status ocsp url http:\\192.16
Eliminación de atributos de comprobación de estadoPara eliminar todos los atributos de comprobación de estado de una CA emisora deutilice la siguiente sintaxis:
unset pki authority id_num cert-statusPara eliminar todos los atributos de revocación relativos al certificado 1:
unset pki authority 1 cert-status
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)
47
d; es decir, el emisor y el sujeto e certificación raíz (CAs) son
encenderse, si no hay ningún o se enciende por primera vez. nico dispositivo que lo utiliza. El
etScreen se encuentra en un ol” o “NSRP”), no incluye el objetos PKI con otros os generados manualmente.
consulte “Creación manual de
opiar su nombre de sujeto y te podrá utilizar el nombre del egociaciones SSL. Comprobar es por interposición de intrusos SL y finge ser el dispositivo
tener más información sobre la página 49).
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CERTIFICADOS AUTOFIRMADOS (“SELF-SIGNED CERTIFICATES”)Un certificado autofirmado es un certificado firmado y publicado por la misma entidadel certificado coinciden. Por ejemplo, los certificados CA de todas las autoridades dautofirmados.
Los dispositivos NetScreen generan automáticamente un certificado autofirmado al certificado ya configurado para Secure Sockets Layer (SSL), como es el caso cuandEl dispositivo NetScreen que crea un certificado autogenerado y autofirmado es el údispositivo nunca exporta este certificado fuera de sí mismo. Aunque el dispositivo Nclúster del protocolo de redundancia de NetScreen (“NetScreen Redundancy Protoccertificado autofirmado y autogenerado con otros tipos de certificados al sincronizarmiembros del clúster. (Los miembros del NSRP intercambian certificados autofirmadPara obtener información sobre la generación manual de certificados autofirmados,certificados autofirmados” en la página 51).
Aunque no se pueden exportar certificados autofirmados y autogenerados, puede chuella. A continuación, puede entregarlo a un administrador remoto que más adelansujeto y la huella digital para verificar el certificado autofirmado recibido durante las nel nombre del sujeto y la huella digital es una precaución importante contra los ataqu(“man-in-the-middle attacks”), en los que alguien intercepta un intento de conexión SNetScreen de destino, respondiendo con su propio certificado autofirmado. (Para obverificación de certificados autofirmados, consulte “Validación de certificados” en la
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)
48
Layer (SSL) con el dispositivo autenticación y encriptación creen para redirigir un intento puerto predeterminado 443).
autofirmado y autogenerado instala un certificado firmado tofirmado15, puede utilizar uno erado y no asigna otro tro certificado autofirmado la
cción HTTP-a-SSL, consulte
la página 51.
rmados” en la página 60.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Asegurar el tráfico administrativo con SSLPuede utilizar un certificado autofirmado al establecer una conexión Secure SocketsNetScreen. Si administra el dispositivo a través de WebUI, SSL puede proporcionarpara asegurar su tráfico administrativo. Puede incluso configurar un dispositivo NetSde conexión administrativo utilizando HTTP (puerto predeterminado 80) hacia SSL (
De forma predeterminada, el dispositivo NetScreen pone a disposición el certificadopara las negociaciones SSL. Es el certificado SSL predeterminado. Si más adelantepor una CA o configura el dispositivo NetScreen para que genere otro certificado aude estos otros certificados para SSL. Si elimina el certificado autofirmado y autogencertificado para su uso en SSL, el dispositivo NetScreen genera automáticamente opróxima vez que el dispositivo se reinicie16.
Nota: Para obtener más información sobre SSL, incluyendo el mecanismo de redire“Secure Sockets Layer” en la página 3 -8.
15. Para averiguar cómo crear otro certificado autofirmado, consulte “Creación manual de certificados autofirmados” en
16. Para averiguar cómo eliminar un certificado autofirmado y autogenerado, consulte “Eliminación de certificados autofi
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)
49
nviando un certificado al cliente SL no puede validarlo nte, cuando el dispositivo xplorador web del equipo del ades de certificación). Si no , pidiendo al administrador que
ranque inicial, el reloj del rtificado también puede ser
mado, el explorador web nunca eparado para obtener uno de
autofirmado para una conexión
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Validación de certificadosDurante el establecimiento de conexión SSL, el dispositivo NetScreen se autentica eSSL. Cuando el dispositivo NetScreen envía un certificado autofirmado, el cliente Scomprobando la firma de la CA emisora porque no la publicó ninguna CA. No obstaNetScreen presenta un certificado autofirmado para establecer una sesión SSL, el eadministrador intenta validarlo con un certificado CA en su almacén de CAs (autoridpuede encontrar esa autoridad, el explorador visualiza un mensaje como el siguienteacepte o rechace el certificado en cuestión:
Si esta es la primera vez que se conecta al dispositivo NetScreen después de su arsistema puede no estar en hora. Por lo tanto, el período de validez indicado en el ceinexacto. Aunque ponga en hora el reloj del sistema y regenere un certificado autofirpodrá encontrar una CA que lo autentique, por lo que el administrador debe estar prlos mensajes antedichos cada vez que el dispositivo NetScreen utilice un certificadoSSL.
Cuando un explorador recibe un certificado autofirmado, pueden aparecer dos tipos de alertas de seguridad.
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)
50
pendiente, el administrador que cibido realmente procede del ficado podría ser un impostor k) para intentar enmascararse tilizando el nombre del sujeto y huella digital al administrador suministre más adelante para
autogenerado, utilice el
ed,
3a71435b>
(con el método seguro y “fuera ositivo NetScreen a través de ivo NetScreen durante el gital del certificado recibido con s auténtico. Dada la ausencia
o y huella digital que comparar,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Sin poder recurrir a la validación del certificado por parte de una CA imparcial e indeinicie una sesión a través de SSL podría preguntarse si el certificado autofirmado redispositivo NetScreen al que está intentando conectarse. (Después de todo, el certique esté utilizando un ataque por interposición de intrusos (man-in-the-middle attaccomo dispositivo NetScreen). El administrador puede validar el certificado recibido ula huella digital del certificado autofirmado. Puede entregar el nombre del sujeto y lapara que pueda validar el certificado autofirmado cuando el dispositivo NetScreen loautenticarse.
Para consultar el nombre del sujeto y la huella digital de un certificado autofirmado ycomando siguiente17:
ns-> get pki x509 cert system. . .
CN=0043022002000186,CN=system generated,CN=self-sign. . .finger print (md5) <e801eae4 56699fbc 324e38f2 4cfa5d47>finger print (sha) <0113f5ec 6bd6d32b 4ef6ead9 f809eead
Después de ver el nombre del sujeto y la huella digital, puede copiarlos y entregarlosde banda” que usted elija) al administrador que posteriormente se conectará al dispSSL. Cuando el cliente SSL del administrador reciba el certificado desde el dispositestablecimiento de conexión SSL, podrá comparar el nombre del sujeto y la huella dilos recibidos anteriormente “fuera de banda”. Si coinciden, sabrá que el certificado ede una autoridad CA de confianza para autenticar el certificado, sin nombre de sujetel administrador remoto no puede saber con certeza si el certificado es genuino.
17. WebUI no permite visualizar los detalles de un certificado autofirmado y autogenerado.
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)
51
era vez que se enciende, con el ar un certificado autofirmado s razones posibles para y definido por el administrador:
1024 bits. Dependiendo de sus uede controlar al generar su
l creado automáticamente.
reen que admiten sistemas nerado con todos los sistemas
r sus propios certificados n el nombre del sujeto y la
n certificado compartido.
los campos de nombres año de la clave), los siguientes l del DN:
l dispositivo en el cual se crea, s cuando un dispositivo er.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Creación manual de certificados autofirmadosEl dispositivo NetScreen genera automáticamente un certificado autofirmado la primfin de admitir SSL durante la conexión inicial. Sin embargo, puede que desee generdistinto del que genera automáticamente el dispositivo NetScreen. Éstas son algunareemplazar el certificado autofirmado y autogenerado por un certificado autofirmado
• El certificado autofirmado y autogenerado utiliza un tamaño de clave fijo de necesidades, puede necesitar claves con un tamaño mayor o menor, que ppropia clave autofirmada.
• Puede que desee utilizar un certificado con un nombre de sujeto distinto de
• Puede necesitar varios certificados autofirmados. En los dispositivos NetScvirtuales, el sistema raíz puede compartir el certificado autofirmado y autogevirtuales. Sin embargo, los administradores de vsys pueden preferir generaautofirmados y, a continuación, exigir a sus administradores que compruebehuella digital de estos certificados específicos en lugar de los atributos de u
Aunque puede configurar varios componentes de un certificado autofirmado (como distinguidos (“distinguished name” o “DN”), el nombre alternativo del sujeto y el tamelementos de nombres comunes (“common name” o “CN”) siempre aparecen al fina
“CN = dev_serial_num, CN = NetScreen self-signed”
Nota: A diferencia de un certificado autofirmado y autogenerado, que nunca sale deun certificado autofirmado y generado manualmente se incluye con otros certificadoNetScreen de un clúster NSRP sincroniza objetos PKI con otros miembros del clúst
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)
52
positivo NetScreen pueda o se puede utilizar igual que ofirmado pueden ser las
o administrativo hacia un
o NetScreen
rtificados autofirmados para su
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Aunque el principal uso previsto de un certificado autofirmado es permitir que un disestablecer inmediatamente conexiones Secure Sockets Layer (SSL), este certificadcualquier otro certificado firmado por una CA. Las aplicaciones de un certificado autsiguientes:
• Establecer una conexión Secure Sockets Layer (SSL) para proteger el tráficdispositivo NetScreen
• Asegurar el tráfico entre NetScreen-Security Manager (NSM) y un dispositiv
• Autenticar interlocutores IKE al establecer túneles VPN
Nota: Para la versión actual de ScreenOS, NetScreen solamente admite ceuso con SSL.
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)
53
dorpara su uso con SSL:
copiar el nombre del sujeto y la istradores que inicien una
n le enviará este certificado. aparecen en el certificado con
éntico.
Generate :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Certificado autofirmado y definido por el administraEn este ejemplo, definirá los siguientes componentes de un certificado autofirmado
• Distinguished Name/Subject Name:
– Name: 4ssl
– Organization: jnpr
– FQDN: www.juniper.net
• Key type and length: RSA, 1024 bits
Después de definirlo, generará el certificado y lo visualizará. A continuación, podrá huella digital (también denominados “thumbprint”) para su distribución a otros adminsesión a través de SSL para administrar el dispositivo NetScreen.
Cuando un administrador intente iniciar una sesión con SSL, el dispositivo NetScreeCuando lo reciba, podrá abrirlo y comparar el nombre del sujeto y la huella digital quela información que recibió previamente. Si coinciden, sabrá que el certificado es aut
WebUI
1. Definir los atributos del certificadoObjects > Certificates > New: Introduzca los siguientes datos y haga clic en
Certificate Subject Information:
Name: 4ssl
Organization: jnpr
FQDN: www.juniper.net
Key Pair Information:
RSA: (seleccione)
Create new key pair of 1024 length.
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)
54
ompone una petición de
do recién creado.
municarlo a otros Screen. Cuando inicien una ertificado que reciben procede,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
2. Generar el certificado autofirmadoCuando el dispositivo NetScreen ha completado la generación de la clave, ccertificado. Haga clic en Generate Self-Signed Cert .
3. Ver el certificado autofirmadoObjects > Certificates > Show Local: Haga clic en Detail para ver el certifica
Aparece la página siguiente con los detalles del certificado:
Puede copiar el nombre del sujeto y la huella digital desde esta página y coadministradores que pretendan utilizar SSL al administrar el dispositivo Netconexión SSL, podrán utilizar esta información para asegurarse de que el cde hecho, del dispositivo NetScreen.
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)
55
tScreen utilizarán en sus
mpondrá la petición de
MDA0MzAyMjAwLmp1bmlwZXIuADCBiQKBgQDPEkZetA2ouKeAcC0admX0Da6TKwYJKoZIhvcNKoZIhvcNAQEFQ8HoyL5NE3+ilyPCBVvMiaHd
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI
1. Definir los atributos del certificadoset pki x509 dn name 4sslset pki x509 dn org-name jnprset pki x509 cert-fqdn www.juniper.netsave
2. Generar el certificado autofirmado
Para generar un par de claves pública/privada que los dispositivos Nepeticiones de certificado, ejecute el comando siguiente:
exec pki rsa new-key 1024
Después de que el dispositivo NetScreen genere un par de claves, cocertificado siguiente:
-----BEGIN CERTIFICATE REQUEST-----MIIB0jCCATsCAQAwZTENMAsGA1UEChMESk5QUjEZMBcGA1UEAxMQMjAwMDE4NjEQMA4GA1UEAxMHcnNhLWtleTEYMBYGA1UEAxMPd3d3bmV0MQ0wCwYDVQQDEwQ1c3NsMIGfMA0GCSqGSIb3DQEBAQUAA4GNaAtelkL4HxQmO1w1jv9NMmrWnzdVYnGrKrXnw2MaB3xEgouWrlymD24SL0h1YvJ7Sd9PvkhwHOnvP1zkOCWA84TgvxBzcAyeBnS1UpSw80EUuGrmUWodddRFUc8o5d2VGTUOM7WgcFDZRSGQGwIDAQABoC0wAQkOMR4wHDAaBgNVHREEEzARgg93d3cuanVuaXBlci5uZXQwDQYJBQADgYEAgvDXI4H905y/2+k4omo9Y4XQrgq44Rj3jqXAYYMgQBd0QUkiYjMTWO2wIWzEr4u/tdAISEVTu03achZa3zIkUtn8sD/VYKhFFzIHUgBuMrr+awowJDG6wARhR75w7pORXy7+aAmvIjew8YRre9s=-----END CERTIFICATE REQUEST-----
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)
56
omando siguiente:
Name=======================,CN=0043022002000186,
=======================
haciendo referencia al número anterior:
ando siguiente:
Name=======================
,CN=0043022002000186,
,CN=0043022002000186,
=======================
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Para conocer el número de identificación del par de claves, utilice el c
get pki x509 list key-pairGetting OTHER PKI OBJECT ...IDX ID num X509 Certificate Subject Distinguish====================================================0000 176095259 CN=4ssl,CN=www.juniper.net,CN=rsa-key
O=jnpr,====================================================
Para generar el certificado autofirmado, ejecute el comando siguiente,de identificación del par de claves que vio en el resultado del comando
exec pki x509 self-signed-cert key-pair 1760952593. Ver el certificado autofirmado
Para visualizar el certificado autofirmado recién creado, ejecute el com
get pki x509 list local-certGetting LOCAL CERT ...IDX ID num X509 Certificate Subject Distinguish====================================================0000 176095261 LOCAL CERT friendly name <29>LOCAL CERT friendly name <29>CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key
O=jnpr,Expire on 10-19-2009 17:20, Issued By:CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key
O=jnpr,====================================================
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)
57
nte usando el número de
,CN=0043022002000186,
,CN=0043022002000186,
98e>c1b 26e37e0e>9a3 5c8c6c27>
“fingerprint”) desde esta ra administrar el dispositivo ión para asegurarse de que el
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Para ver el certificado más detalladamente, ejecute el comando siguieidentificación del certificado:
get pki x509 cert 176095261-0001 176095261 LOCAL CERT friendly name <29>CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key
O=jnpr,Expire on 10-19-2009 17:20, Issued By:CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key
O=jnpr,Serial Number: <9d1c03365a5caa172ace4f82bb5ec9da>subject alt name extension:email(1): (vacío)fqdn(2): (www.juniper.net)ipaddr(7): (vacío)no renewfinger print (md5) <be9e0280 02bdd9d1 175caf23 63451finger print (sha) <87e0eee0 c06f9bac 9098bd02 0e631subject name hash: <d82be8ae 4e71a576 2e3f06fc a9831use count: <1>flag <00000000>
Puede copiar el nombre del sujeto (“subject name”) y la huella digital (página y comunicarlo a otros administradores que pretendan utilizar SSL paNetScreen. Cuando inicien una conexión SSL, podrán utilizar esta informaccertificado que reciben procede, de hecho, del dispositivo NetScreen.
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)
58
e un certificado autofirmado. El el arranque inicial de un
ed,
ed,
b5d>83c 817e26d9>7d4 a7834581>
tificado autofirmado durante el
ticamente.
certificado para SSL:
tofirmado y generado
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Autogeneración de certificadosLa primera vez que se encienda el dispositivo NetScreen, generará automáticamentprincipal propósito de este certificado es reconocer inmediatamente SSL después ddispositivo NetScreen. Para ver este certificado, utilice el comando CLI siguiente18:
get pki x509 cert systemCN=0010062001000021,CN=system generated,CN=self-signExpire on 08- 3-2014 16:19, Issued By:CN=0010062001000021,CN=system generated,CN=self-signSerial Number: <c927f2044ee0cf8dc931cdb1fc363119>finger print (md5) <fd591375 83798574 88b3e698 62890finger print (sha) <40a1bda8 dcd628fe e9deaee1 92a27subject name hash: <0324d38d 52f814fe 647aba3a 86eda
De forma predeterminada, el dispositivo NetScreen genera automáticamente un cerproceso de arranque si se cumplen las condiciones siguientes:
• En el dispositivo no existe ningún certificado autofirmado generado automá
• No se ha asignado ningún certificado para su uso con SSL.
Puede utilizar el comando siguiente para consultar si ya hay configurado un
get sslweb SSL enable.web SSL port number(443).web SSL cert: Default - System Self-Signed Cert.web SSL cipher(RC4_MD5).
En el resultado anterior, puede ver que SSL está utilizando el certificado auautomáticamente (“System”).
18. Sólo CLI permite ver certificados autofirmados generados automáticamente.
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)
59
ma al encenderse para la
icado para su uso con SSL y ado durante el proceso de n certificado y luego resetea el autofirmado durante el
generar automáticamente certificado autofirmado.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
El diagrama siguiente muestra la ruta de decisiones que el dispositivo NetScreen togeneración de certificados:
Si elimina el certificado autofirmado y generado automáticamente, asigne otro certifresetee el dispositivo; el dispositivo NetScreen no generará otro certificado autofirmarranque. Si a continuación cambia la configuración de SSL para no asignarle ningúdispositivo, el dispositivo NetScreen generará automáticamente un nuevo certificadosiguiente proceso de arranque.
¿Hay cert autogen y autofirm?
¿Hay cert para SSL?
Noun
Comienzo del proceso de arranque
Sí
No
Sí
Ruta de decisiones para la autogeneración de
certificados
Generar automáticamente un certificado autofirmado.
No
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)
60
al que se puede con cualquier efiera utilizar para SSL en lugar firmado y autogenerado, utilice
l comando siguiente, donde
ispositivo NetScreen genere
ente: unset ssl cert ).
enviado al dispositivo hacia ado esté disponible para SSL, te un certificado autofirmado y autofirmado y autogenerado y
genera automáticamente un
t .
” en la página 3 -12.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Eliminación de certificados autofirmadosPuede eliminar un certificado autofirmado generado automática o manualmente, igutipo de certificado. Puede que disponga de un certificado firmado por una CA que prde un certificado autofirmado. Sea cual sea el motivo para eliminar el certificado autoel comando CLI siguiente19:
delete pki object-id system
Para eliminar un certificado autofirmado y configurado por el administrador, utilice e id_num es el número de identificación del certificado que desea eliminar20:
delete pki object-id id_num
Si elimina el certificado autofirmado y autogenerado y más adelante desea que el dotro, haga lo siguiente:
• No asigne ningún otro certificado para SSL (puede utilizar el comando sigui
• Restablezca el dispositivo NetScreen.
El dispositivo NetScreen puede redirigir el tráfico HTTP (puerto predeterminado 80)SSL (puerto predeterminado 443)21. Por lo tanto, para asegurarse de que un certificdurante el proceso de arranque el dispositivo NetScreen siempre comprueba si exisautogenerado o si se ha asignado a SSL otro certificado. Si no hay ningún certificadono se asigna ningún otro certificado para su uso con SSL, el dispositivo NetScreen certificado autofirmado.
19. Sólo CLI permite eliminar certificados autofirmados generados automáticamente.
20. Para averiguar el número de identificación de un certificado, utilice el comando siguiente: get pki x509 list local-cer
21. Para obtener información sobre la redirección del tráfico HTTP a SSL, consulte “Redireccionamiento de HTTP a SSL
3
61
Capítulo 3
PN. Incluso para configurar un d de este capítulo es resumir
ceso telefónico básica y ofrecer
s túneles VPN basados en e paquetes de un túnel VPN pas de procesamiento de jos útiles de configuración VPN
93
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Directivas VPN
NetScreen ofrece una variedad de opciones criptográficas para configurar un túnel Vtúnel simple es necesario elegir entre varias opciones. El objetivo de la primera mitatodas las opciones disponibles para una VPN punto a punto básica y una VPN de acuno o más motivos para decantarse por una opción u otra.
En la segunda mitad del capítulo, examinaremos las diferencias que existen entre lorutas y los túneles VPN basados en directivas. A continuación revisaremos el flujo dAutoKey IKE punto a punto basado en directivas y basado en rutas para ver las etaentrada y salida por las que pasa un paquete. El capítulo termina con algunos conseque hay que tener en cuenta a la hora de configurar un túnel.
El capítulo está organizado del siguiente modo:
• “Opciones criptográficas” en la página 62
– “Opciones criptográficas punto a punto” en la página 63
– “Opciones VPN de acceso telefónico” en la página 72
• “Túneles basados en directivas y en rutas” en la página 80
• “Flujo de paquetes: VPN punto a punto” en la página 82
• “Consejos para la configuración de un túnel” en la página 90
• “Consideraciones sobre seguridad en VPNs basadas en rutas” en la página
– “Ruta nula” en la página 94
– “Línea de acceso telefónico o arrendada” en la página 96
– “Interfaz de túnel ficticia” en la página 100
– “Enrutador virtual para interfaces de túnel” en la página 101
– “Reencaminar a otro túnel” en la página 101
Capítulo 3 Directivas VPN Opciones criptográficas
62
re la criptografía que se desea oritmo de encriptación ofrece el das las opciones criptográficas eso telefónico básico. También
punto (entre dos dispositivos en-Remote hasta el dispositivo as entre estos dos tipos de entan en dos modelos de
nto a punto), consulte el da modelo se presentan las tinuación, se señalan los
ónico”, se incluyen ejemplos de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
OPCIONES CRIPTOGRÁFICASDurante la configuración de una VPN es necesario tomar numerosas decisiones sobutilizar. Surgirán preguntas sobre cuál es el grupo Diffie-Hellman adecuado, qué algmejor equilibrio entre seguridad y rendimiento, etc. En esta sección se presentan torequeridas para configurar un túnel VPN punto a punto básico y un túnel VPN de accse indican una o más ventajas de cada opción para ayudarle a tomar una decisión.
La primera decisión que hay que tomar es si se va a optar por un túnel VPN punto aNetScreen) o por un túnel VPN de acceso telefónico (desde el cliente VPN NetScreNetScreen). Aunque esta decisión depende de la configuración de red, las diferencitúneles afectan a algunas opciones criptográficas. Por lo tanto, las opciones se presdecisión distintos:
• “Opciones criptográficas punto a punto” en la página 63
• “Opciones VPN de acceso telefónico” en la página 72
Cuando haya decidido qué tipo de túnel desea configurar (de acceso telefónico o pumodelo de decisión correspondiente para obtener las indicaciones oportunas. En cadecisiones criptográficas que deberá tomar durante la configuración del túnel. A conmotivos que justifican la elección de cada opción del modelo.
Nota: En el Capítulo 4, “VPNs punto a punto”, y el Capítulo 5, “VPNs de acceso telefconfiguración de ambos tipos de túneles.
Capítulo 3 Directivas VPN Opciones criptográficas
63
las opciones criptográficas del indican las ventajas de cada
púrpura . Para obtener
. . . . . . Clave manual
3. Protocolo IPSec: ESP o AHP . . . . . . . . o bien . . . . . . . . AH
4. Modo:bien Transporte
iones ESP:ien Encriptación y n o bien Auth
de :ien 3DES
17. Algoritmos de autenticación:
MD5 o bien SHA-1
miento de paquetes:
a:
ec:
túnel VPN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Opciones criptográficas punto a puntoDurante la configuración de un túnel VPN punto a punto básico, deberá seleccionarsiguiente modelo de decisión que se ajusten a sus necesidades. A continuación se opción.
Nota: Las opciones recomendadas por Juniper Networks están resaltadas en color información sobre las distintas opciones IPSec, consulte el Capítulo 1, “IPSec”.
1. Método de administración de claves:AutoKey IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o bien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2. Modo: Dinámico o bien Principal
3. Tipo de autenticación:Certificados o bien Clave
previamente compartida
4. Tipo de certificado:RSA o DSA
5. Longitud de bits: 512 o bien 768 o bien 1024 o
bien 2048
6. Grupo Diffie-Hellman IKE:1 o bien 2 o bien 5
7. Algoritmos de autenticación y encriptación IKE:
AES o bien DES o bien 3DESy
MD5 o bien SHA-1
1ES
1Túnel o
15. Opc Encriptación o b
autenticació
16. Algoritmosencriptación
AES o bien DES o b10. Comprobación contra reprocesa
Sí o noSí o bien No
11. Confidencialidad directa perfectSí o bien No
12. Grupo Diffie-Hellman IPS1 o bien 2 o bien 5
8. ID IKE local:Dirección IP o bien
U-FQDN o bien FQDN o bien ASN1-DN
Fase 2,Fase 1, puerta de enlace IKE
9. ID IKE remota:Dirección IP o bien
U-FQDN o bien FQDN o bien ASN1-DN
Capítulo 3 Directivas VPN Opciones criptográficas
64
eguridad.
el.
c está asignada de forma
rección IP estática o si se
s
ue es posible validar los ner más información, consulte
e una infraestructura de claves
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
1. Método de administración de claves: Clave manual o AutoKey IKE
AutoKey IKE
– Ofrece una renovación de claves automática, con lo que aumenta la s
Clave manual
– Resulta útil para depurar problemas IKE.
– Elimina los retardos de negociación IKE a la hora de establecer un tún
2. Modo: dinámico o principal
Dinámico
– Es necesario cuando la dirección IP de uno de los interlocutores IPSedinámica y si se utiliza una clave previamente compartida.
Principal
– Ofrece protección de identidad.
– Se puede utilizar cuando el usuario de acceso telefónico posee una diutilizan certificados para la autenticación.
3. Tipo de autenticación: clave previamente compartida o certificado
Certificados
– Ofrece mayor seguridad que las claves previamente compartidas porqcertificados a través de una autoridad de certificación (CA). (Para obteel Capítulo 2, “Criptografía de claves públicas”).
Clave previamente compartida
– Es más fácil de manejar y más rápida de configurar, porque no requierpúblicas (PKI).
Capítulo 3 Directivas VPN Opciones criptográficas
65
rtificado presenta ventajas en
24 y 2048 bits.
bits.
ellman 2 y 5.
en.
an 5.
en.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. Tipo de certificado: RSA o DSA
Depende de la CA de la que se obtengan los certificados. Ningún tipo de cecomparación con el otro.
5. Longitud de bits: 512, 768, 1024 ó 2048
512
– Su nivel máximo de procesamiento es el más bajo.
768
– Ofrece más seguridad que la opción de 512 bits.
– Su nivel máximo de procesamiento es inferior al de las opciones de 10
1024
– Ofrece más seguridad que las opciones de 512 y 768 bits.
– Su nivel máximo de procesamiento es inferior al de la opción de 2048
2048
– Ofrece la máxima seguridad.
6. Grupo Diffie-Hellman IKE: 1, 2 ó 5
Grupo Diffie-Hellman 1
– Su nivel máximo de procesamiento es inferior al de los grupos Diffie-H
– Aceleración de procesamiento proporcionada por el hardware NetScre
Diffie-Hellman Group 2
– Su nivel máximo de procesamiento es inferior al del grupo Diffie-Hellm
– Ofrece más seguridad que el grupo Diffie-Hellman 1.
– Aceleración de procesamiento proporcionada por el hardware NetScre
Capítulo 3 Directivas VPN Opciones criptográficas
66
D5 o SHA-1
s de clave son iguales.
en.
ocesamiento de la información munes de EAL4.
en.
DN o ASN1-DN
ión IP estática.
mpartida para la autenticación.
po SubjectAltName.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Grupo Diffie-Hellman 5
– Ofrece la máxima seguridad.
7. Algoritmos de autenticación y encriptación IKE: AES, DES o 3DES y M
AES
– Tiene un mayor nivel de encriptación que DES y 3DES si las longitude
– Aceleración de procesamiento proporcionada por el hardware NetScre
– Algoritmo de encriptación aprobado para las normas federales para pr(FIPS, o “Federal Information Processing Standards”) y los criterios co
DES
– Su nivel máximo de procesamiento es inferior al de 3DES y AES.
– Resulta útil cuando el interlocutor remoto no admite AES.
3DES
– Ofrece más seguridad criptográfica que DES.
– Aceleración de procesamiento proporcionada por el hardware NetScre
MD5
– Su nivel máximo de procesamiento es inferior al de SHA-1.
SHA-1
– Ofrece más seguridad criptográfica que MD5.
– Es el único algoritmo de autenticación que admiten las normas FIPS.
8. ID IKE local: dirección IP (valor predeterminado), o bien U-FQDN, FQ
Dirección IP
– Sólo se puede utilizar si el dispositivo NetScreen local tiene una direcc
– Es la ID IKE predeterminada cuando se utiliza una clave previamente co
– Se puede utilizar con un certificado si la dirección IP aparece en el cam
Capítulo 3 Directivas VPN Opciones criptográficas
67
o electrónico): se puede utilizar parece en el campo
previamente compartida o un
ámicas.
A para la autenticación.
ados que emite.
FQDN o ASN1-DN
on dirección IP estática cuando nterlocutor es un dispositivo
o si la dirección IP aparece en
o electrónico): se puede utilizar parece en el campo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
U-FQDN
– Nombre de dominio completo de usuario (U-FQDN, dirección de correcon una clave previamente compartida o un certificado si el U-FQDN aSubjectAltName.
FQDN
– Nombre de dominio completo (FQDN): se puede utilizar con una clavecertificado si el FQDN aparece en el campo SubjectAltName.
– Resulta útil para puertas de enlace VPN que tengan direcciones IP din
– Es la ID IKE predeterminada cuando se utilizan certificados RSA o DS
ASN1-DN
– Sólo se puede utilizar con certificados.
– Resulta útil si la CA no admite el campo SubjectAltName en los certific
9. ID IKE remota: dirección IP (valor predeterminado), o bien U-FQDN, Dirección IP
– No requiere la introducción de una ID IKE remota para un interlocutor cse utilizan claves previamente compartidas para la autenticación y el iNetScreen.
– Se puede utilizar para un dispositivo con dirección IP estática.
– Se puede utilizar con una clave previamente compartida o un certificadel campo SubjectAltName.
U-FQDN
– Nombre de dominio completo de usuario (U-FQDN, dirección de correcon una clave previamente compartida o un certificado si el U-FQDN aSubjectAltName.
Capítulo 3 Directivas VPN Opciones criptográficas
68
previamente compartida o un
ámicas.
rtificados para la autenticación
ados que emite.
cabezados de paquetes para atacante reenvía paquetes
ibilidad con interlocutores de
orque los interlocutores utilizada para la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
FQDN
– Nombre de dominio completo (FQDN): se puede utilizar con una clavecertificado si el FQDN aparece en el campo SubjectAltName.
– Resulta útil para puertas de enlace VPN que tengan direcciones IP din
– No requiere la introducción de una ID IKE remota cuando se utilizan cey el interlocutor es un dispositivo NetScreen.
ASN1-DN
– Sólo se puede utilizar con certificados.
– Resulta útil si la CA no admite el campo SubjectAltName en los certific
10. Comprobación contra reprocesamiento de paquetes: Sí o noSí
– Permite al destinatario comprobar los números de secuencia de los enprevenir ataques de rechazo de servicio (DoS) provocados cuando unIPSec interceptados.
No
– Desactivar esta opción tal vez sea la solución a problemas de compatterceros.
11. Confidencialidad directa perfecta: Sí o no
Sí
– Confidencialidad directa perfecta (PFS): ofrece una mayor seguridad prealizan un segundo intercambio Diffie-Hellman para generar la clave encriptación/desencriptación IPSec.
No
– Agiliza la configuración del túnel.
– Reduce el procesamiento durante las negociaciones IPSec de fase 2.
Capítulo 3 Directivas VPN Opciones criptográficas
69
ellman 2 y 5.
en.
an 5.
en.
d mediante encriptación y ón.
P completo, incluyendo el
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
12. Grupo Diffie-Hellman IPSec: 1, 2 ó 5
Grupo Diffie-Hellman 1
– Su nivel máximo de procesamiento es inferior al de los grupos Diffie-H
– Aceleración de procesamiento proporcionada por el hardware NetScre
Diffie-Hellman Group 2
– Su nivel máximo de procesamiento es inferior al del grupo Diffie-Hellm
– Ofrece más seguridad que el grupo Diffie-Hellman 1.
– Aceleración de procesamiento proporcionada por el hardware NetScre
Grupo Diffie-Hellman 5
– Ofrece la máxima seguridad.
13. Protocolo IPSec: ESP o AHESP
– Carga de seguridad encapsulada (ESP): puede ofrecer confidencialidaencapsulado del paquete IP original e integridad mediante autenticaci
– Puede proporcionar sólo encriptación o sólo autenticación.
AH
– Encabezado de autenticación (AH): ofrece autenticación del paquete Iencabezado IPSec y el encabezado IP externo.
14. Modo: túnel o transporte
Túnel
– Oculta el encabezado IP original, con lo que aumenta la privacidad.
Transporte
– Es necesario para el soporte del túnel L2TP sobre IPSec.
Capítulo 3 Directivas VPN Opciones criptográficas
70
y autenticación
o es inferior al de la opción de
.
. Por ejemplo, cuando la realmente de la persona que isión.
s de clave son iguales.
en.
unes EAL4.
en.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
15. Opciones ESP: sólo encriptación, sólo autenticación o encriptación
Encriptación
– Ofrece un rendimiento más rápido y su nivel máximo de procesamientencriptación y autenticación.
– Resulta útil cuando se requiere confidencialidad, pero no autenticación
Encriptación y autenticación
– Resulta útil si se desea obtener confidencialidad y autenticación.
Auth
– Resulta útil cuando se requiere autenticación, pero no confidencialidadinformación no es secreta, pero es importante determinar que procededice enviarla y que nadie ha manipulado el contenido durante la transm
16. Algoritmos de encriptación: AES, DES o 3DES
AES
– Tiene un mayor nivel de encriptación que DES y 3DES si las longitude
– Aceleración de procesamiento proporcionada por el hardware NetScre
– Algoritmo de encriptación aprobado para normas FIPS y criterios com
DES
– Su nivel máximo de procesamiento es inferior al de 3DES y AES.
– Resulta útil cuando el interlocutor remoto no admite AES.
3DES
– Ofrece más seguridad criptográfica que DES.
– Aceleración de procesamiento proporcionada por el hardware NetScre
Capítulo 3 Directivas VPN Opciones criptográficas
71
punto a punto genérica entre ientes componentes:
perfecta (PFS) = sí
ara fase 2
apsulada (ESP)
ción
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
17. Algoritmos de autenticación: MD5 o SHA-1
MD5
– Su nivel máximo de procesamiento es inferior al de SHA-1.
SHA-1
– Ofrece más seguridad criptográfica que MD5.
Si se utilizan las opciones recomendadas de la lista anterior, una configuración VPNdos dispositivos NetScreen con direcciones IP estáticas estaría formada por los sigu
• AutoKey IKE • Confidencialidad directa
• Modo principal • Grupo Diffie-Hellman 2 p
• Certificados de 1024 bits (RSA o DSA) • Carga de seguridad enc
• Grupo Diffie-Hellman 2 para fase 1 • Modo de túnel
• Encriptación = AES • Encriptación y autentica
• Autenticación = SHA-1 • Encriptación = AES
• ID IKE = dirección IP (valor predeterminado) • Autenticación = SHA-1
• Protección contra reprocesamiento de paquetes = sí
Capítulo 3 Directivas VPN Opciones criptográficas
72
cionar las opciones continuación se indican las
púrpura . Para obtener
12. Protocolo IPSec:ESP . . . . . . . . o bien . . . . . . . . AH
13. Modo: bien Transporte
ciones ESP:criptación y autenticación Autenticación
criptación:ien 3DES
16. Algoritmos de autenticación:
MD5 o bien SHA-1
ec:
túnel VPN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Opciones VPN de acceso telefónicoDurante la configuración de un túnel VPN de acceso telefónico básico, deberá seleccriptográficas del siguiente modelo de decisión que se ajusten a sus necesidades. Aventajas de cada opción.
Nota: Las opciones recomendadas por Juniper Networks están resaltadas en color información sobre las distintas opciones IPSec, consulte el Capítulo 1, “IPSec”.
Método de administración de claves = AutoKey IKE
1. Modo:Dinámico o bien Principal
2. Tipo de autenticación:Certificados o bien Clave
previamente compartida
3. Tipo de certificado:RSA o DSA
4. Longitud de bits: 512 o bien 768 o bien 1024 o
bien 2048
5. Grupo Diffie-Hellman IKE:1 o bien 2 o bien 5
6. Algoritmos de autenticación y encriptación IKE:
AES o bien DES o bien 3DESy
MD5 o bien SHA-1
Túnel o
14. Op Encriptación o bien En
o bien
15. Algoritmos de enAES o bien DES o b
9. Comprobación contra reprocesamiento de paquetes:
Sí o bien No
10. Confidencialidad directa perfecta:
Sí o bien No
11. Grupo Diffie-Hellman IPS1 o bien 2 o bien 5
7. ID IKE local: Dirección IP (valor
predeterminado) o bien U-FQDN o bien FQDN o bien
ASN1-DN
Fase 2,Fase 1, puerta de enlace IKE
8. ID IKE remota: Dirección IP (valor
predeterminado) o bien U-FQDN o bien FQDN o bien
ASN1-DN
Capítulo 3 Directivas VPN Opciones criptográficas
73
c está asignada de forma
ara la autenticación.
s
ue es posible validar los ner más información, consulte
e una infraestructura de claves
rtificado presenta ventajas en
24 y 2048 bits.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
1. Modo: Dinámico o principal
Dinámico
– Es necesario cuando la dirección IP de uno de los interlocutores IPSedinámica y si se utiliza una clave previamente compartida.
– Se puede utilizar con certificados o claves previamente compartidas p
Principal
– Ofrece protección de identidad.
2. Tipo de autenticación: clave previamente compartida o certificado
Certificados
– Ofrece mayor seguridad que las claves previamente compartidas porqcertificados a través de una autoridad de certificación (CA). (Para obteel Capítulo 2, “Criptografía de claves públicas”).
Clave previamente compartida
– Es más fácil de manejar y más rápida de configurar, porque no requierpúblicas (PKI).
3. Tipo de certificado: RSA o DSA
Depende de la CA de la que se obtengan los certificados. Ningún tipo de cecomparación con el otro.
4. Longitud de bits: 512, 768, 1024 ó 2048
512
– Su nivel máximo de procesamiento es el más bajo.
768
– Ofrece más seguridad que la opción de 512 bits.
– Su nivel máximo de procesamiento es inferior al de las opciones de 10
Capítulo 3 Directivas VPN Opciones criptográficas
74
bits.
ellman 2 y 5.
en.
an 5.
en.
D5 o SHA-1
s de clave son iguales.
en.
unes EAL4.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
1024
– Ofrece más seguridad que las opciones de 512 y 768 bits.
– Su nivel máximo de procesamiento es inferior al de la opción de 2048
2048
– Ofrece la máxima seguridad.
5. Grupo Diffie-Hellman IKE: 1, 2 ó 5
Grupo Diffie-Hellman 1
– Su nivel máximo de procesamiento es inferior al de los grupos Diffie-H
– Aceleración de procesamiento proporcionada por el hardware NetScre
Diffie-Hellman Group 2
– Su nivel máximo de procesamiento es inferior al del grupo Diffie-Hellm
– Ofrece más seguridad que el grupo Diffie-Hellman 1.
– Aceleración de procesamiento proporcionada por el hardware NetScre
Grupo Diffie-Hellman 5
– Ofrece la máxima seguridad.
6. Algoritmos de autenticación y encriptación IKE: AES, DES o 3DES y M
AES
– Tiene un mayor nivel de encriptación que DES y 3DES si las longitude
– Aceleración de procesamiento proporcionada por el hardware NetScre
– Algoritmo de encriptación aprobado para normas FIPS y criterios com
DES
– Su nivel máximo de procesamiento es inferior al de 3DES y AES.
– Resulta útil cuando el interlocutor remoto no admite AES.
Capítulo 3 Directivas VPN Opciones criptográficas
75
en.
DN o ASN1-DN
cción IP estática.
o si la dirección IP aparece en
o electrónico): se puede utilizar parece en el campo
previamente compartida o un
ámicas.
ados que emite.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3DES
– Ofrece más seguridad criptográfica que DES.
– Aceleración de procesamiento proporcionada por el hardware NetScre
MD5
– Su nivel máximo de procesamiento es inferior al de SHA-1.
SHA-1
– Ofrece más seguridad criptográfica que MD5.
7. ID IKE local: dirección IP (valor predeterminado), o bien U-FQDN, FQ
Dirección IP (valor predeterminado)
– No requiere la introducción de una ID IKE para un dispositivo con dire
– Se puede utilizar para un dispositivo con dirección IP estática.
– Se puede utilizar con una clave previamente compartida o un certificadel campo SubjectAltName.
U-FQDN
– Nombre de dominio completo de usuario (U-FQDN, dirección de correcon una clave previamente compartida o un certificado si el U-FQDN aSubjectAltName.
FQDN
– Nombre de dominio completo (FQDN): se puede utilizar con una clavecertificado si el FQDN aparece en el campo SubjectAltName.
– Resulta útil para puertas de enlace VPN que tengan direcciones IP din
ASN1-DN
– Sólo se puede utilizar con certificados.
– Resulta útil si la CA no admite el campo SubjectAltName en los certific
Capítulo 3 Directivas VPN Opciones criptográficas
76
FQDN o ASN1-DN
cción IP estática.
o si la dirección IP aparece en
o electrónico): se puede utilizar parece en el campo
previamente compartida o un
ámicas.
ados que emite.
cabezados de paquetes para atacante reenvía paquetes
ibilidad con interlocutores de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
8. ID IKE remota: dirección IP (valor predeterminado), o bien U-FQDN,
Dirección IP (valor predeterminado)
– No requiere la introducción de una ID IKE para un dispositivo con dire
– Se puede utilizar para un dispositivo con dirección IP estática.
– Se puede utilizar con una clave previamente compartida o un certificadel campo SubjectAltName.
U-FQDN
– Nombre de dominio completo de usuario (U-FQDN, dirección de correcon una clave previamente compartida o un certificado si el U-FQDN aSubjectAltName.
FQDN
– Nombre de dominio completo (FQDN): se puede utilizar con una clavecertificado si el FQDN aparece en el campo SubjectAltName.
– Resulta útil para puertas de enlace VPN que tengan direcciones IP din
ASN1-DN
– Sólo se puede utilizar con certificados.
– Resulta útil si la CA no admite el campo SubjectAltName en los certific
9. Comprobación contra reprocesamiento de paquetes: Sí o no
Sí
– Permite al destinatario comprobar los números de secuencia de los enprevenir ataques de rechazo de servicio (DoS) provocados cuando unIPSec interceptados.
No
– Desactivar esta opción tal vez sea la solución a problemas de compatterceros.
Capítulo 3 Directivas VPN Opciones criptográficas
77
orque los interlocutores utilizada para la
ellman 2 y 5.
en.
an 5.
en.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
10. Confidencialidad directa perfecta: Sí o no
Sí
– Confidencialidad directa perfecta (PFS): ofrece una mayor seguridad prealizan un segundo intercambio Diffie-Hellman para generar la clave encriptación/desencriptación IPSec.
No
– Agiliza la configuración del túnel.
– Reduce el procesamiento durante las negociaciones IPSec de fase 2.
11. Grupo Diffie-Hellman IPSec: 1, 2 ó 5
Grupo Diffie-Hellman 1
– Su nivel máximo de procesamiento es inferior al de los grupos Diffie-H
– Aceleración de procesamiento proporcionada por el hardware NetScre
Diffie-Hellman Group 2
– Su nivel máximo de procesamiento es inferior al del grupo Diffie-Hellm
– Ofrece más seguridad que el grupo Diffie-Hellman 1.
– Aceleración de procesamiento proporcionada por el hardware NetScre
Grupo Diffie-Hellman 5
– Ofrece la máxima seguridad.
Capítulo 3 Directivas VPN Opciones criptográficas
78
d mediante encriptación y ón.
P completo, incluyendo el
y autenticación
o es inferior al de la opción de
.
. Por ejemplo, cuando la realmente de la persona que isión.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
12. Protocolo IPSec: ESP o AH
ESP
– Carga de seguridad encapsulada (ESP): puede ofrecer confidencialidaencapsulado del paquete IP original e integridad mediante autenticaci
– Puede proporcionar sólo encriptación o sólo autenticación.
AH
– Encabezado de autenticación (AH): ofrece autenticación del paquete Iencabezado IPSec y el encabezado IP externo.
13. Modo: túnel o transporte
Túnel
– Oculta el encabezado IP original, con lo que aumenta la privacidad.
Transporte
– Es necesario para el soporte del túnel L2TP sobre IPSec.
14. Opciones ESP: sólo encriptación, sólo autenticación o encriptación
Encriptación
– Ofrece un rendimiento más rápido y su nivel máximo de procesamientencriptación y autenticación.
– Resulta útil cuando se requiere confidencialidad, pero no autenticación
Encriptación y autenticación
– Resulta útil si se desea obtener confidencialidad y autenticación.
Autenticación
– Resulta útil cuando se requiere autenticación, pero no confidencialidadinformación no es secreta, pero es importante determinar que procededice enviarlo y que nadie ha manipulado el contenido durante la transm
Capítulo 3 Directivas VPN Opciones criptográficas
79
s de clave son iguales.en.
unes EAL4.
en.
de acceso telefónico genérica s siguientes componentes:
perfecta (PFS) = sí
para fase 2
capsulada (ESP)
ción
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
15. Algoritmos de encriptación: AES, DES o 3DESAES
– Tiene un mayor nivel de encriptación que DES y 3DES si las longitude– Aceleración de procesamiento proporcionada por el hardware NetScre– Algoritmo de encriptación aprobado para normas FIPS y criterios com
DES
– Su nivel máximo de procesamiento es inferior al de 3DES y AES.– Resulta útil cuando el interlocutor remoto no admite AES.
3DES
– Ofrece más seguridad criptográfica que DES.– Aceleración de procesamiento proporcionada por el hardware NetScre
16. Algoritmos de autenticación: MD5 o SHA-1
MD5
– Su nivel máximo de procesamiento es inferior al de SHA-1.SHA-1
– Ofrece más seguridad criptográfica que MD5.Si se utilizan las opciones recomendadas de la lista anterior, una configuración VPNentre dos dispositivos NetScreen con direcciones IP estáticas estaría formada por lo
• Modo dinámico • Confidencialidad directa
• Certificados de 1024 bits (RSA o DSA) • Grupo Diffie-Hellman 2
• Grupo Diffie-Hellman 2 para fase 1 • Carga de seguridad en
• Encriptación = AES • Modo de túnel
• Autenticación = SHA-1 • Encriptación y autentica
• ID IKE = U-FQDN (dirección de correo electrónico) • Encriptación = AES
• Protección contra reprocesamiento de paquetes = sí • Autenticación = SHA-1
Capítulo 3 Directivas VPN Túneles basados en directivas y en rutas
80
te flexible. Es posible crear nel se puede utilizar clave a autenticación.
objeto (o un bloque de una directiva que permite el it está implícita si no se rencia de forma específica a un
túnel VPN. En su lugar, la n realice una consulta de ruta dirección, encontrará una ruta
omo un elemento en la e considerar como un medio itir o denegar la entrega de
por el número de directivas que ar está limitado por el número (el que sea más pequeño).
a conservar los recursos de erosas directivas que hagan ) IPSec individual con el
ependiente. Con el enfoque ntrega. Es posible configurar N entre dos puntos, si sólo hay
faz de túnel a varios túneles. Para
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
TÚNELES BASADOS EN DIRECTIVAS Y EN RUTASLa configuración de un dispositivo NetScreen para el soporte VPN es particularmentúneles VPN basados en directivas y basados en rutas. Además, en cada tipo de túmanual o AutoKey IKE para administrar las claves utilizadas para la encriptación y l
En el caso de los túneles VPN basados en directivas, un túnel se gestiona como unconstrucción) que, junto con el origen, el destino, el servicio y la acción, comprendetráfico VPN. (En realidad, la acción de directiva VPN es tunnel , pero la acción permespecifica). En una configuración VPN basada en directivas, una directiva hace refetúnel VPN por su nombre.
En las VPN basadas en rutas, la directiva no hace referencia de forma específica aldirectiva hace referencia a una dirección de destino. Cuando el dispositivo NetScreepara averiguar la interfaz a través de la que debe enviar el tráfico para alcanzar esaa través de una interfaz de túnel, que estará asociada a un túnel1 VPN específico.
Por lo tanto, con un túnel VPN basado en directivas, un túnel se puede considerar cconstrucción de una directiva. Con un túnel VPN basado en rutas, un túnel se puedpara entregar tráfico, y la directiva se puede considerar como un método para permdicho tráfico.
El número de túneles VPN basados en directivas que se pueden crear está limitado admita el dispositivo. El número de túneles VPN basados en rutas que se puede crede entradas de ruta o por el número de interfaces de túnel que admita el dispositivo
La configuración de un túnel VPN basado en rutas es una elección acertada si desetúnel y ajustar restricciones granulares para el tráfico VPN. Aunque puede crear numreferencia al mismo túnel VPN, cada directiva crea una asociación de seguridad (SAinterlocutor remoto; cada una de estas asociaciones cuenta como un túnel VPN indbasado en rutas para las VPN, la regulación del tráfico no está ligada al medio de edocenas de directivas para regular el tráfico que circula a través de un único túnel VP
1. Normalmente, una interfaz de túnel está asociada a un solo túnel. No obstante, también es posible asociar una interobtener más información, consulte “Múltiples túneles por interfaz de túnel” en la página 381.
Capítulo 3 Directivas VPN Túneles basados en directivas y en rutas
81
mite crear directivas que hagan ny , en contraste con la , la acción debe ser tunnel con
tamiento dinámico a través de ámico, como BGP (Border e enrutamiento local en una interfaz de túnel
iento dinámico y no es s del túnel, tiene sentido allá de un cliente VPN de cción para configuraciones
(como NetScreen-Remote), tas. Un túnel VPN de acceso
aplicación de directivas.
e lo que ocurre con una
uración radial (consulte “VPNs
nte VPN de acceso telefónico
nel.
cliente de acceso telefónico, ” en la página 244.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
una SA IPSec operativa. Además, la configuración de una VPN basada en rutas perreferencia a un destino alcanzado a través de un túnel VPN donde la acción sea deconfiguración de una VPN basada en directivas, donde, como hemos indicado antesla acción implícita permit .
Otra ventaja de las VPN basadas en rutas es el intercambio de información de enrutúneles VPN. Es posible habilitar una instancia de un protocolo de enrutamiento dinGateway Protocol), en una interfaz de túnel asociada a un túnel VPN. La instancia dintercambia información de enrutamiento a través del túnel con un vecino habilitadoasociada al otro extremo.
Si un túnel no conecta grandes redes en las que se ejecuten protocolos de enrutamnecesario conservar túneles o definir diversas directivas para filtrar el tráfico a travéconfigurar un túnel basado en directivas. Además, como no existe ninguna red másacceso telefónico, los túneles VPN basados en directivas pueden ser una buena eleVPN de acceso telefónico.
Dicho esto, si el cliente de acceso telefónico admite una dirección IP interna virtual existen argumentos convincentes para utilizar una configuración VPN basada en rutelefónico basado en rutas presenta las siguientes ventajas:
• Se puede asociar su interfaz de túnel a cualquier zona para requerir o no la
• Se pueden definir rutas para forzar el tráfico a través del túnel, al contrario dconfiguración VPN basada en directivas.
• Un túnel VPN basado en rutas simplifica la adición de un radio a una configradiales” en la página 471).
• Puede ajustar la ID de proxy para que acepte cualquier dirección IP del clieconfigurando la dirección del cliente remoto como 255.255.255.255/32.
• Puede definir una o más direcciones IP asignadas (MIP) en la interfaz del tú
Nota: Para obtener un ejemplo de una configuración VPN basada en rutas para un consulte “Ejemplo: VPN de acceso telefónico basada en rutas, interlocutor dinámico
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto
82
en la creación de un túnel n túnel (tanto cuando un
ntrante). Se explica el proceso an los dos puntos del flujo que
nectar los dos puntos mediante ESP, AES para encriptación, reprocesamiento de paquetes odo NAT, y todas las zonas se
10.2.2.5/32 en la LAN de París iguientes.
ethernet110.2.2.1/24
Zona Trust
ParísLAN
Oficinade
París
10.2.2.5
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
FLUJO DE PAQUETES: VPN PUNTO A PUNTOPara comprender mejor cómo interactúan los diversos componentes que intervienenIPSec, en esta sección se describe el proceso de un flujo de paquetes a través de udispositivo NetScreen envía tráfico VPN saliente como cuando recibe tráfico VPN ede una VPN basada en rutas y a continuación se incluye un anexo en el que se indicdifieren en el caso de una VPN basada en directivas.
Una empresa con sede en Tokio acaba de abrir una sucursal en París y necesita coun túnel IPSec. El túnel tiene las siguientes características: AutoKey IKE, protocolo SHA-1 para autenticación con clave previamente compartida y comprobación contrahabilitada. Los dispositivos NetScreen que protegen cada punto se encuentran en mubican en el dominio de enrutamiento trust-vr. Las direcciones son las siguientes:
La ruta de un paquete procedente de 10.1.1.5/32 en la LAN de Tokio y destinado a a través de un túnel IPSec se desarrolla tal como se describe en las subsecciones s
Oficinade
Tokio
Interfaz de salida: ethernet3, 1.1.1.1/24
Internet
Zona Trust
vpn1
Zona Untrust
Zona Untrust
TokioLAN
ethernet110.1.1.1/24
tunnel.2, 10.2.1.1/24Interfaz de salida: ethernet3, 2.2.2.2/24
Enrutador externo: 2.2.2.250
Enrutador externo: 1.1.1.250
tunnel.1, 10.1.2.1/24
10.1.1.5
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto
83
cción IP ethernet1 y es la t.
IP para la zona Trust, el probación de SCREEN puede
á configurado para bloquear el e y genera una entrada en el
á configurado para registrar el el evento en la lista de
o, el dispositivo NetScreen
vo NetScreen continúa
el paquete coincide con una
ejecuta los pasos restantes
ecuta el procedimiento de esiones existente para nsultas de rutas y directivas
e el procesamiento del primer
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Tokio (iniciador)
1. El host en 10.1.1.5 envía un paquete para 10.2.2.5 a 10.1.1.1, que es la direpuerta de enlace predeterminada configurada en los ajustes TCP/IP del hos
2. El paquete llega a ethernet1, que está asociado a la zona Trust.
3. Si hay habilitadas opciones SCREEN como la detección de suplantación dedispositivo NetScreen activa el módulo SCREEN en este momento. La comproducir uno de los tres resultados siguientes:
– Si un mecanismo SCREEN detecta un comportamiento anómalo y estpaquete correspondiente, el dispositivo NetScreen descarta el paquetregistro de eventos.
– Si un mecanismo SCREEN detecta un comportamiento anómalo y estevento pero no bloquear el paquete, el dispositivo NetScreen registra contadores SCREEN para ethernet1 y continúa con el paso siguiente.
– Si el mecanismo SCREEN no detecta ningún comportamiento anómalprocede al paso siguiente.
Si no ha habilitado ninguna opción SCREEN para la zona Trust, el dispositiinmediatamente con el paso siguiente.
4. El módulo de sesiones realiza una consulta de sesiones para comprobar si sesión existente.
Si el paquete no coincide con una sesión existente, el dispositivo NetScreencon el procedimiento de procesamiento del primer paquete.
Si el paquete coincide con una sesión existente, el dispositivo NetScreen ejprocesamiento rápido utilizando la información disponible en la entrada de sprocesar el paquete. El procedimiento de procesamiento rápido omite las coporque la información generada por los pasos omitidos ya se obtuvo durantpaquete de la sesión.
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto
84
ada (MIP) utiliza la dirección IP IP, el dispositivo NetScreen iento de paquetes cuando
Flujo de paquetes para
de rutas para 10.2.2.5. (El virtual debe utilizar para la 2.2.5 a través de la interfaz cuentra en la zona Untrust. etermina las zonas de origen y
st y Untrust (según lo acción especificada en la stino y la zona, y el servicio es
fase 2 activa con el interlocutor iguientes resultados:
or, continúa con el paso 10.
cutor, descarta el paquete y
tor remoto. Mediante la :
utiliza esta SA para negociar
or, inicia negociaciones de fase
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. El módulo de asignación de direcciones comprueba si una dirección IP asignde destino 10.2.2.5. Como 10.2.2.5 no se utiliza en ninguna configuración Mcontinúa con el paso siguiente. (Para obtener información sobre el procesamexiste traducción de direcciones de destino [NAT-dst], MIP o VIP, consulte “NAT-Dst” en la página 7 -38).
6. Para determinar la zona de destino, el módulo de rutas realiza una consultamódulo de rutas utiliza la interfaz de entrada para determinar qué enrutadorconsulta de rutas). Encuentra una entrada de ruta que dirige el tráfico a 10.tunnel.1 asociada a un túnel VPN llamado “vpn1”. La interfaz de túnel se enDeterminando las interfaces de entrada y salida, el dispositivo NetScreen dde destino y puede realizar una consulta de directivas.
7. El motor de directivas realiza una consulta de directivas entre las zonas Trudeterminado por las correspondientes interfaces de entrada y de salida). Ladirectiva que coincide con la dirección de origen y la zona, la dirección de depermitir.
8. El módulo IPSec comprueba si existe una asociación de seguridad (SA) de remoto. Mediante la comprobación de SA de fase 2 se pueden obtener los s
– Si el módulo IPSec descubre una SA de fase 2 activa con el interlocut
– Si el módulo IPSec no descubre una SA de fase 2 activa con el interloactiva el módulo IKE.
9. El módulo IKE comprueba si existe una SA de fase 1 activa con el interlocucomprobación de SA de fase 1 se pueden obtener los siguientes resultados
– Si el módulo IKE descubre una SA de fase 1 activa con el interlocutor,una SA de fase 2.
– Si el módulo IKE no descubre una SA de fase 1 activa con el interlocut1 en modo principal y, luego, negociaciones de fase 2.
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto
85
n el paquete. Utilizando la IP de origen en el encabezado a, indica 2.2.2.2 como la l paquete desde la carga hasta
tentica el paquete desde el
a 2.2.2.2 a través de la interfaz
asociada a la zona Untrust.
el encabezado de paquete erlocutor iniciador junto con las de SA de fase 2 se puede
or, continúa con el paso 4.
utor pero puede comparar una I, descarta el paquete, realiza cutor iniciador para avisar de
cutor, descarta el paquete y
tor remoto. Mediante la :
utiliza esta SA para negociar
or, inicia negociaciones de fase
etes. Mediante esta
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
10. El módulo IPSec coloca un encabezado ESP y un encabezado IP externo edirección especificada como interfaz de salida, indica 1.1.1.1 como direcciónexterno. Utilizando la dirección especificada para la puerta de enlace remotdirección IP de destino en el encabezado externo. A continuación, encripta eel siguiente campo de encabezado en el encabezado IP original. Luego, aufinalizador ESP hasta el encabezado ESP.
11. El dispositivo NetScreen envía el paquete encriptado y autenticado dirigido de salida (ethernet3) al enrutador externo en 1.1.1.250.
París (destinatario)1. El paquete llega a 2.2.2.2, que es la dirección IP de ethernet3, una interfaz
2. Mediante el SPI, la dirección IP de destino y el protocolo IPSec incluidos enexterno, el módulo IPSec intenta localizar una SA de fase 2 activa con el intclaves para autenticar y desencriptar el paquete. Mediante la comprobaciónobtener uno de los tres siguientes resultados:
– Si el módulo IPSec descubre una SA de fase 2 activa con el interlocut
– Si el módulo IPSec no descubre una SA de fase 2 activa con el interlocSA de fase 2 inactiva utilizando la dirección IP de origen pero no el SPuna entrada en el registro de eventos y envía una notificación al interloque ha recibido un SPI incorrecto.
– Si el módulo IPSec no descubre una SA de fase 2 activa con el interloactiva el módulo IKE.
3. El módulo IKE comprueba si existe una SA de fase 1 activa con el interlocucomprobación de SA de fase 1 se pueden obtener los siguientes resultados
– Si el módulo IKE descubre una SA de fase 1 activa con el interlocutor,una SA de fase 2.
– Si el módulo IKE no descubre una SA de fase 1 activa con el interlocut1 en modo principal y, luego, negociaciones de fase 2.
4. El módulo IPSec realiza una comprobación contra reprocesamiento de paqucomprobación se puede obtener uno de los dos resultados siguientes:
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto
86
uetes (porque se detecte un el dispositivo NetScreen
tes, el dispositivo NetScreen
e autenticación se puede
NetScreen descarta el
tScreen continúa con el
ete, descubriendo la dirección uete ha llegado a través de
NetScreen gestiona el paquete et3. También ajusta la ventana
tScreen activa el módulo uno de los tres resultados
á configurado para bloquear el e y genera una entrada en el
á configurado para registrar el el evento en la lista de
o, el dispositivo NetScreen
el paquete coincide con una del primer paquete o de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
– Si el paquete no pasa la comprobación contra reprocesamiento de paqnúmero de secuencia que el dispositivo NetScreen ya haya recibido), descarta el paquete.
– Si el paquete pasa la comprobación contra reprocesamiento de paquecontinúa con el siguiente paso.
5. El módulo IPSec intenta autenticar el paquete. Mediante la comprobación dobtener uno de los dos resultados siguientes:
– Si el paquete no pasa la comprobación de autenticación, el dispositivopaquete.
– Si el paquete pasa la comprobación de autenticación, el dispositivo Nesiguiente paso.
6. Mediante la SA de fase 2 y las claves, el módulo IPSec desencripta el paqude origen original (10.1.1.5) y el destino final (10.2.2.5). Averigua que el paqvpn1, que está asociada a tunnel.1. A partir de este momento, el dispositivoteniendo en cuenta que su interfaz de entrada es tunnel.1 en lugar de etherndeslizante contra reprocesamiento de paquetes.
7. Si hay habilitadas opciones SCREEN para la zona Untrust, el dispositivo NeSCREEN en este momento. La comprobación de SCREEN puede producir siguientes:
– Si un mecanismo SCREEN detecta un comportamiento anómalo y estpaquete correspondiente, el dispositivo NetScreen descarta el paquetregistro de eventos.
– Si un mecanismo SCREEN detecta un comportamiento anómalo y estevento pero no bloquear el paquete, el dispositivo NetScreen registra contadores SCREEN para ethernet3 y continúa con el paso siguiente.
– Si el mecanismo SCREEN no detecta ningún comportamiento anómalprocede al paso siguiente.
8. El módulo de sesiones realiza una consulta de sesiones para comprobar si sesión existente. A continuación, aplica el procedimiento de procesamientoprocesamiento rápido.
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto
87
ecuta “Fast Processing”, procesar el paquete. “Fast
te y reenviarlo) porque la amiento del primer paquete de
ada (MIP) o virtual (VIP) utiliza onfiguración MIP o VIP, el
nrutador virtual que debe iza una consulta de rutas para de ethernet1. Determinando la reen puede determinar las ust y ethernet1 a la zona Trust.
st hasta la zona Trust y
ino en 10.2.2.5.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Si el paquete coincide con una sesión existente, el dispositivo NetScreen ejutilizando la información disponible en la entrada de sesiones existente paraProcessing” omite todos los pasos salvo los dos últimos (encriptar el paqueinformación generada por los pasos omitidos ya se obtuvo durante el procesla sesión.
9. El módulo de asignación de direcciones comprueba si una dirección IP asignla dirección IP de destino 10.2.2.5. Como 10.2.2.5 no se utiliza en ninguna cdispositivo NetScreen continúa con el paso siguiente.
10. El módulo de rutas utiliza primero la interfaz de entrada para determinar el eutilizar para la consulta de rutas; en este caso, trust-vr. A continuación, real10.2.2.5 en trust-vr y descubre que el acceso se ha llevado a cabo a travésinterfaz de entrada (tunnel.1) y la de salida (ethernet1), el dispositivo NetSczonas de origen y destino. La interfaz tunnel.1 está asociada a la zona UntrEl dispositivo NetScreen puede realizar ahora una consulta de directivas.
11. El motor de directivas comprueba su lista de directivas desde la zona Untruencuentra una directiva que permite el acceso.
12. El dispositivo NetScreen reenvía el paquete a través de ethernet1 a su dest
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto
88
puntos del de la configuración
configuraciones VPN basadas rutas y de directivas:
rutas realiza una consulta de n específica, el módulo de ona Untrust. Determinando las
zonas de origen y de destino y
directivas en las zonas Trust y ción de destino y la zona, y el llamado vpn1.
ino en 10.2.2.5.
estinatario son idénticas tanto en rutas, excepto que el túnel
itivo NetScreen averigua que el Untrust-Tun, cuya zona das en rutas, el dispositivo sencriptado (y no tunnel.1).
nto, las consultas de rutas y
ara 10.2.2.5 y descubre que el zona Trust. Averiguando que la a de túnel Untrust-Tun, cuya
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Anexo: VPN basadas en directivas
El flujo de paquetes para una configuración VPN basada en directivas difiere en dosVPN basada en rutas: la consulta de rutas y la consulta de directivas.
Tokio (iniciador)
Las primeras etapas del flujo de paquetes saliente son las mismas para lasen rutas y las basadas en directivas hasta que se producen las consultas de
Consulta de rutas: para determinar la zona de destino, el módulo de rutas para 10.2.2.5. Si no encuentra ninguna entrada para esa direcciórutas, resuelve una ruta a través de ethernet3, que está asociada a la zinterfaces de entrada y salida, el dispositivo NetScreen determina las puede realizar una consulta de directivas.
Consulta de directivas: el motor de directivas realiza una consulta deUntrust. La consulta compara la dirección de origen y la zona, la direcservicio, y encuentra una directiva que hace referencia a un túnel VPN
El dispositivo NetScreen reenvía el paquete a través de ethernet1 a su dest
París (destinatario)
La mayoría de las etapas del flujo de paquetes entrante en el extremo del dpara las configuraciones VPN basadas en directivas como para las basadasno está asociado a una interfaz de túnel, sino a una zona de túnel. El dispospaquete ha llegado a través de vpn1, que está asociada a la zona de túnel portadora es la zona Untrust. Al contrario de lo que ocurre en las VPN basaNetScreen considera que ethernet3 es la interfaz de entrada del paquete de
El flujo cambia cuando concluye la desencriptación del paquete. En este pudirectivas difieren:
Consulta de rutas: el módulo de rutas realiza una consulta de rutas pacceso se ha producido a través de ethernet1, que está asociada a la zona Untrust es la zona de origen (porque vpn1 está asociada a la zon
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto
89
a partir de la interfaz de salida ede buscar ahora una directiva .
irectivas desde la zona Untrust túnel VPN llamado vpn1 y que
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
zona portadora es la zona Untrust) y determinando la zona de destino(ethernet1 está asociada a la zona Trust), el dispositivo NetScreen pudesde la zona Untrust hasta la zona Trust que haga referencia a vpn1
Consulta de directivas: el motor de directivas comprueba su lista de dhasta la zona Trust y encuentra una directiva que hace referencia a unpermite el acceso a 10.2.2.5.
Entonces, el dispositivo NetScreen reenvía el paquete a su destino.
Capítulo 3 Directivas VPN Consejos para la configuración de un túnel
90
ta a la hora de configurar
de fase 1 y un máximo de e estar configurado para das por el otro interlocutor.
onsulte “Negociación de túnel”
o local cargado en el ada configuración de túnel
tulo 2, “Criptografía de claves
ón predefinida “Any”.
as en los dos extremos de la
especificado en la ID de proxy para un interlocutor debe ser
urable por el usuario.
reen (de forma , la dirección de destino y el en la lista de directivas. irectivas que reemplace la ID
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CONSEJOS PARA LA CONFIGURACIÓN DE UN TÚNELEsta sección contiene algunas indicaciones o consejos que conviene tener en cuentúneles VPN. Cuando configure un túnel VPN IPSec, recuerde lo siguiente:
• NetScreen admite un máximo de cuatro propuestas para las negociacionescuatro propuestas para las negociaciones de fase 2. Un interlocutor tiene quaceptar al menos una propuesta de fase 1 y una propuesta de fase 2 realizaPara obtener información sobre las negociaciones IKE de fase 1 y fase 2, cen la página 11.
• Si desea utilizar certificados para la autenticación y hay más de un certificaddispositivo NetScreen, deberá especificar qué certificado desea que utilice cVPN. Para obtener más información sobre los certificados, consulte el Capípúblicas” en la página 23.
• Para una VPN básica basada en directivas:
– Utilice direcciones definidas por el usuario en la directiva, no la direcci
– Las direcciones y el servicio especificados en las directivas configuradVPN deben coincidir.
– Utilice directivas simétricas para el tráfico VPN bidireccional.
• La ID de proxy para ambos interlocutores debe coincidir, es decir, el serviciopara ambos interlocutores debe ser idéntico, y la dirección IP local indicadaigual que la dirección IP remota indicada para el otro interlocutor2.
– Para una configuración VPN basada en rutas, la ID de proxy es config
– Para una configuración VPN basada en directivas, el dispositivo NetScpredeterminada) deriva la ID de proxy a partir de la dirección de origenservicio especificados en la directiva que hace referencia al túnel VPNTambién es posible definir una ID de proxy para una VPN basada en dde proxy derivada.
2. La ID de proxy es una tupla de tres partes compuesta por dirección IP local-dirección IP remota-servicio.
Capítulo 3 Directivas VPN Consejos para la configuración de un túnel
91
zar 0.0.0.0/0 para la dirección e utilizar la ID de proxy para el de y destinado a la VPN. Para r el usuario, consulte los
para la dirección IP remota/máscara
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
El método más simple para garantizar que las ID de proxy coinciden es utililocal, 0.0.0.0/0 para la dirección3 remota y “any” para el servicio. En lugar dcontrol de acceso, se utilizan directivas para controlar el tráfico procedente obtener ejemplos de configuraciones VPN con ID de proxy configurables poejemplos de VPN basadas en rutas del Capítulo 4, “VPNs punto a punto”.
3. Si la dirección remota es la dirección interna virtual de un cliente VPN de acceso telefónico, utilice 255.255.255.255/32de red en la ID de proxy.
Capítulo 3 Directivas VPN Consejos para la configuración de un túnel
92
rrelevante si un interlocutor i el interlocutor 1 utiliza una ración VPN basada en rutas, el derivada de la directiva4 del
de origen (NAT-src) mediante de DIP como dirección remota
NAT-src y NAT-dst, consulte
el servicio de una ID de proxy grupo de servicios se
r la ID IKE predeterminada, es r tiene una dirección IP ipo de ID IKE. Un nombre U-FQDN (dirección de correo
pueden utilizar los dos tipos de (si el FQDN o U-FQDN el interlocutor dinámico o el N como ID IKE.
definida por el usuario del interlocutor
e proxy:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
• Siempre que coincidan los ajustes de ID de proxy de los interlocutores, es idefine una VPN basada en rutas y el otro, una VPN basada en directivas. Sconfiguración VPN basada en directivas, y el interlocutor utiliza una configuinterlocutor 2 deberá definir una ID de proxy que coincida con la ID de proxyinterlocutor 1. Si el interlocutor 1 realiza la traducción de direcciones de redun conjunto de DIP, utilice la dirección y la máscara de red para el conjuntoen la ID de proxy del interlocutor 2. Por ejemplo:
Para obtener más información sobre las IDs de proxy cuando se utilizan con“Sitios VPN con direcciones superpuestas” en la página 203.
• Como las ID de proxy admiten o bien un servicio, o bien todos los servicios,derivada a partir de una VPN basada en directivas que haga referencia a unconsidera como “any”.
• Cuando ambos interlocutores tienen direcciones IP estáticas, pueden utilizadecir, su dirección IP. Cuando un usuario de acceso telefónico o interlocutoasignada de forma dinámica, dicho usuario o interlocutor debe utilizar otro tcompleto (FQDN) es una buena elección para un interlocutor dinámico, y unelectrónico) es una buena elección para un usuario de acceso telefónico. SeID IKE FQDN y U-FQDN con claves previamente compartidas y certificadosaparece en el campo SubjectAltName del certificado). Si utiliza certificados,usuario de acceso telefónico también podrá utilizar todo o parte del ASN1-D
4. El interlocutor 1 también puede definir una ID de proxy que coincida con la ID de proxy del interlocutor 2. La ID de proxy1 reemplaza la ID de proxy que el dispositivo NetScreen deriva de los componentes de la directiva.
Si el conjunto de DIP es: Utilice esto en la ID d1.1.1.8 – 1.1.1.8 1.1.1.8/32
1.1.1.20 – 1.1.1.50 1.1.1.20/26
1.1.1.100 – 1.1.1.200 1.1.1.100/25
1.1.1.0 – 1.1.1.255 1.1.1.0/24
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas
93
Ss basadas en rutas son otra VPN basada en rutas curra ningún cambio de ruta, el las interfaces de túnel
el VPN basado en rutas, el , todas las entradas de la tabla
inactivas. A continuación, si el ía estar encriptado y enviarse a iva a la interfaz de túnel y la ruta predeterminada. Con en texto puro o sin formato ) a
N pública como texto puro, , reencaminarlo a una línea
e túnel se desactiva)
fico a otra ruta segura cuando
a la interfaz de túnel se
fico cuando la ruta a la interfaz
el VPN alternativo cuando la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CONSIDERACIONES SOBRE SEGURIDAD EN VPNS BASADAS EN RUTAAunque los cambios de rutas no afectan a las VPNs basadas en directivas, las VPNcuestión. El dispositivo NetScreen puede enrutar paquetes a través del túnel de unacombinando rutas estáticas con protocolos de enrutamiento dinámico. Mientras no odispositivo NetScreen encripta y reenvía constantemente los paquetes destinados aasociadas a los túneles de la VPN basada en rutas.
Sin embargo, cuando se utiliza el seguimiento de VPN con una configuración de túnestado del túnel puede cambiar de activo (up) a inactivo (down). Cuando esto ocurrede rutas que hacen referencia a la interfaz de túnel asociada a ese túnel cambian adispositivo NetScreen examina las rutas para buscar tráfico que originalmente debertravés de un túnel asociado a esa interfaz de túnel, no tendrá en cuenta la ruta relatbuscará la siguiente ruta con mayor coincidencia. La ruta que encontrará podría seresta ruta, el dispositivo NetScreen enviaría fuera el tráfico desencriptado (es decir, través de una interfaz sin túnel a la WAN pública.
Para evitar reencaminar el tráfico previsto originalmente para un túnel VPN a la WApuede configurar el dispositivo NetScreen para que desvíe dicho tráfico a otro túnelarrendada o simplemente descartarlo, utilizando una de las siguientes soluciones:
• “Ruta nula” en la página 94 (descarta el tráfico cuando la ruta a la interfaz d
• “Línea de acceso telefónico o arrendada” en la página 96 (reencamina el trála ruta a la interfaz de túnel se desactiva)
• “Interfaz de túnel ficticia” en la página 100 (descarta el tráfico cuando la rutadesactiva)
• “Enrutador virtual para interfaces de túnel” en la página 101 (descarta el tráde túnel se desactiva)
• “Reencaminar a otro túnel” en la página 101 (reencamina el tráfico a un túnruta a la interfaz de túnel se desactiva)
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas
94
ambia cualquier ruta que haga estar disponible y la opción creen utiliza la ruta ra evitar enviar tráfico en texto ar una ruta nula. Una ruta nula ero dirige el tráfico hacia la acia ella. Asigne a la ruta nula únel para que la ruta nula tenga
la dirección IP 10.2.2.0/24, su
1
tá activa, “S” indica una “ruta
mbargo, puede utilizar una , consulte “Interfaz de túnel
Mtr Vsys
1 Root
0 Root
0 Root
1 Root
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ruta nulaSi el estado de un túnel VPN cambia a “inactivo” (“down”), el dispositivo NetScreen creferencia a esa interfaz de túnel a “inactiva”. Si la ruta a la interfaz de túnel deja desiguiente es la ruta predeterminada (por ejemplo), a continuación el dispositivo NetSpredeterminada para reenviar el tráfico previsto originalmente para el túnel VPN. Pasin formato hacia la WAN pública cuando se produce un cambio de ruta, puede utilizapunta a la misma dirección de destino que la ruta a través de la interfaz de túnel, pinterfaz Null. La interfaz Null es una interfaz lógica que descarta el tráfico enviado huna métrica más elevada (más alejada de cero) que la ruta que utiliza la interfaz de tuna prioridad inferior.
Por ejemplo, si crea una ruta estática a través de tunnel.1 hacia una LAN remota conmétrica recibirá automáticamente el valor predeterminado 1:
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.get route…Dest-Routes for <trust-vr> (4 entries)
En la tabla de enrutamiento anterior, un asterisco (*) indica que una ruta esestática” y “C” indica una “ruta conectada”.
Nota: Las versiones anteriores a ScreenOS 5.1.0 no admiten interfaces nulas. Sin einterfaz de túnel ficticia para lograr el mismo objetivo. Para obtener más informaciónficticia” en la página 100.
ID IP-Prefix Interface Gateway P Pref
* 3 0.0.0.0/0 eth3 1.1.1.250 S 20
* 2 1.1.1.0/24 eth3 0.0.0.0 C 0
* 1 10.1.1.0/24 eth1 0.0.0.0 C 0
* 4 10.2.2.0/24 tun.1 0.0.0.0 S 20
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas
95
canzar cualquier dirección en la ida con esa dirección. La
na un valor mayor que 1, esa la subred 10.2.2.0/24. Si la ruta la ruta hacia la interfaz Null. El luego lo descarta.
tric 10
stá inactiva (indicado por la een busca la siguiente ruta con te opción después de la ruta nº NetScreen reenvía el tráfico ruta que utiliza tunnel.1 se tilizar la ruta nº 3 para 50.
Mtr Vsys
1 Root
0 Root
0 Root
1 Root
10 Root
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
En la tabla de enrutamiento anterior, el dispositivo NetScreen tiene dos rutas para alsubred 10.2.2.0/24. La primera opción es la ruta nº 4 porque coincide en mayor medsegunda opción es la ruta predeterminada (0.0.0.0/0).
Si a continuación agrega otra ruta a 10.2.2.0/24 a través de la interfaz Null y le asigruta se convierte en la segunda opción de enrutamiento hacia cualquier dirección dehacia 10.2.2.0/24 a través de tunnel.1 se desactiva, el dispositivo NetScreen utiliza dispositivo NetScreen reenvía el tráfico destinado a 10.2.2.0/24 hacia esa interfaz y
set vrouter trust-vr route 10.2.2.0/24 interface null meget route…Dest-Routes for <trust-vr> (5 entries)
En la tabla de enrutamiento anterior, la ruta hacia 10.2.2.0/24 a través de tunnel.1 eausencia de un asterisco en la columna izquierda). Por lo tanto, el dispositivo NetScrla mayor coincidencia con la dirección de destino y encuentra la ruta nº 5. (La siguien5 es la ruta predeterminada con la identificación nº 3). A continuación, el dispositivopara 10.2.2.0/24 a la interfaz Null, que descarta el tráfico. Consecuentemente, si la desactiva, el dispositivo NetScreen descarta el tráfico para 10.2.2.0/24 en lugar de ureenviarlo hacia fuera a través de ethernet3 como texto puro al enrutador en 1.1.1.2
ID IP-Prefix Interface Gateway P Pref
* 3 0.0.0.0/0 eth3 1.1.1.250 S 20
* 2 1.1.1.0/24 eth3 0.0.0.0 C 0
* 1 10.1.1.0/24 eth1 0.0.0.0 C 0
4 10.2.2.0/24 tun.1 0.0.0.0 S 20
* 5 10.2.2.0/24 null 0.0.0.0 S 20
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas
96
el hacia ese interlocutor se línea de acceso telefónico o a través del túnel VPN, pero
túnel VPN llegase a r remoto a través de la línea de
pción, todavía existe la ultáneamente. En ese caso, el ada. En previsión de tal ción y la ruta nula en la tercera estas opciones de tratamiento
LAN remota
de la VPN oto
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Línea de acceso telefónico o arrendadaSi no desea que el tráfico dirigido a un interlocutor remoto se descarte cuando el túndesactive, puede agregar una ruta alternativa hacia ese interlocutor a través de unaarrendada. Esta ruta alternativa utilizará la misma dirección IP de destino que la rutatendrá otra interfaz de salida y una métrica menos prioritaria. Si la ruta a través del desactivarse, el dispositivo NetScreen reencaminaría el tráfico dirigido al interlocutoacceso telefónico o arrendada.
Cuando utilice una línea de acceso telefónico o arrendada como ruta de siguiente oposibilidad de que las rutas de primera y de segunda opción puedan desactivarse simdispositivo NetScreen recurre a la tercera opción, que puede ser la ruta predeterminsituación, puede convertir la ruta de acceso telefónico o arrendada en la segunda opopción (consulte “Ruta nula” en la página 94). La ilustración siguiente muestra cómode un fallo de enrutamiento pueden funcionar en tándem.
Primera opción: Un túnel VPN hacia el interlocutor remoto.
Zona Trust
Internet
Zona UntrustLAN local
Dispositivo NetScreen
local
Interlocutor remtunnel.1
ethernet4 1.2.2.1/24
Interfaz Null
Línea de acceso
telefónico o arrendada
Túnel VPN
Tercera opción: Una ruta nula con una métrica superior que la de la línea de acceso telefónico o arrendada. Esta opción descarta el tráfico.
Segunda opción: Una ruta estática sobre una línea de acceso telefónico o arrendada hacia el interlocutor de la VPN. Su métrica es mayor que la de la ruta que utiliza el túnel VPN. Esta opción de enrutamiento reenvía el tráfico como texto puro a través de la línea protegida al interlocutor.
1
2
3
Descartar tráfico
ethernet1 10.1.1.1/24 ethernet3
1.1.1.1/24
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas
97
ndada o la ruta nulacreen-A alcance la red i el túnel falla, el tráfico deberá N como la línea arrendada net como texto puro.a otra métrica:
r la línea arrendada (métrica = 2)
e es 1. Asignará una métrica de ostrada en rojo en el diagrama El dispositivo NetScreen no
y a continuación también falla s zonas de seguridad se
la conmutación por error) en rfaces y directivas.
LAN10.2.2.0/24
etScreen-B
ota: Las zonas de seguridad no se uestran en esta ilustración.
.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Conmutación por error de la VPN hacia la línea arreEn este ejemplo, deseamos que el tráfico procedente de la sucursal detrás de NetScorporativa situada detrás de NetScreen-B a través de una conexión VPN segura. Sfluir a través de una línea arrendada hacia la oficina corporativa. Si tanto el túnel VPfallan, NetScreen-A deberá descartar el tráfico en lugar de enviarlo fuera hacia InterCreará tres rutas en NetScreen-A para alcanzar a 10.2.2.0/24 y asignará a cada un
• Ruta preferida – utilizar tunnel.1, asociado a vpn1 (métrica = 1)• Ruta secundaria – utilizar ethernet4 y la puerta de enlace en 1.2.2.5 para utiliza• Ruta terciaria – utilice la interfaz nula para descartar tráfico (métrica = 10)
Al crear la ruta preferida, utilizará la métrica predeterminada de una ruta estática, qu2 a la ruta secundaria; es decir, la ruta de respaldo a través de la línea arrendada (mde debajo). La métrica es inferior que la de la ruta preferida a través del túnel VPN. utiliza la ruta secundaria a menos que falle la ruta preferida a través del túnel VPN. Finalmente, agregará una ruta NULA con una métrica de 10. Si la ruta preferida fallala ruta secundaria, el dispositivo NetScreen descartará todos los paquetes. Todas laencuentran en el dominio de enrutamiento trust-vr.
Nota: Ese ejemplo muestra solamente la configuración para cuatro rutas (tres para NetScreen-A. No incluye la configuración de otros elementos necesarios, como inte
InternetLAN
10.1.1.0/24
Línea arrendada (ruta de respaldo)Puerta de enlace: 1.2.2.5/24
ethernet3 1.1.1.1/24
Ruta NULA
Puerta de enlace1.1.1.250
vpn1
tunnel.1
NetScreen-A N
El tráfico fluye desde la sucursal a la oficina corporativa.
Nm
tunnel
ethernet3 2.2.2.2/24
1
3
Preferencias de rutas:1. tunnel.1 -> vpn12. ethernet4 -> línea arrendada3. null interface -> descartar
ethernet41.2.2.1/24
ethernet42.3.3.2/24
2
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas
98
es datos y haga clic en OK :
es datos y haga clic en OK :
es datos y haga clic en OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (NetScreen-A)Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Metric: 1
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Metric: 1
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: ethernet4
Gateway IP Address: 1.2.2.5
Metric: 2
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas
99
gateway 1.1.1.2501t4 gateway 1.2.2.5
tric 10
.2.2.0/24 hacia tunnel.1 y luego . Si ese túnel falla, la siguiente e una puerta de enlace en en la siguiente mejor ruta y el
que lo descarta.
Mtr Vsys
1 Root
0 Root
10 Root
1 Root
2 Root
0 Root
0 Root
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (NetScreen-A)
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.2.2.0/24 interface tunnel.set vrouter trust-vr route 10.2.2.0/24 interface etherne
metric 2set vrouter trust-vr route 10.2.2.0/24 interface null mesave
Puede verificar la presencia de las nuevas rutas ejecutando el comando get route .
La entrada de la tabla de rutas con la identificación 5 dirige el tráfico destinado a 10a través del túnel VPN. Es la ruta preferida para que el tráfico alcance la red 10.2.2.0mejor ruta es la correspondiente a la entrada 6 sobre una línea arrendada a través d1.2.2.5. Si la conexión de la entrada de ruta 6 falla, la entrada de ruta 7 se conviertedispositivo NetScreen dirige el tráfico destinado a 10.2.2.0/24 hacia la interfaz nula,
ns-> get route …Dest-Routes for <trust-vr> (7 entries))
ID IP-Prefix Interface Gateway P Pref
* 4 0.0.0.0/0 eth3 1.1.1.250 S 20
* 2 1.1.1.0/24 eth3 0.0.0.0 C 0
* 7 10.2.2.0/24 null 0.0.0.0 S 20
* 5 10.2.2.0/24 tunnel.1 0.0.0.0 S 20
* 6 10.2.2.0/24 eth4 1.2.2.5 S 20
* 1 10.1.1.0/24 eth1 0.0.0.0 C 0
* 3 1.2.2.0/24 eth4 0.0.0.0 C 0
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas
100
interfaz nula (donde se jetivo.
En su lugar, asóciela a una virtual que la primera interfaz
da interfaz de túnel y asígnele .
tivo a inactivo y la entrada de la utas encontrarán esta segunda iará el tráfico a la segunda vo descartará el tráfico.
ulte “Ruta nula” en la página jetivo.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Interfaz de túnel ficticiaCuando se produce un error, en lugar de conmutar el tráfico de un túnel VPN a unadescarta), se puede utilizar una interfaz de túnel inoperativa para lograr el mismo ob
Para configurar una interfaz de túnel ficticia, haga lo siguiente:
1. Cree una segunda interfaz de túnel, pero no la asocie a un túnel VPN.zona de túnel que se encuentre en el mismo dominio de enrutamientode túnel5.
2. Defina una segunda ruta hacia el mismo destino utilizando esta segununa métrica más alta (más alejada de cero) que la de la ruta preferida
Cuando el estado de la interfaz de túnel en funcionamiento pase de actabla de rutas relativa a esa interfaz quede inactiva, las búsquedas de rruta a la interfaz de túnel no operativa. El dispositivo NetScreen reenvinterfaz de túnel, y como no está asociada a un túnel VPN, el dispositi
Nota: Las versiones anteriores a ScreenOS 5.1.0 no admiten interfaces nulas (cons94). Sin embargo, puede utilizar una interfaz de túnel ficticia para lograr el mismo ob
5. Si una interfaz de túnel está asociada a una zona de túnel, su estado siempre será activo.
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas
101
fico que originalmente debía uede crear un dominio de proceda de la siguiente
tas que apunten a interfaces de
ciela a VR-VPN.
las direcciones de ubicaciones a.
R-VPN para el tráfico que necesario, defina rutas ores virtuales. Estas rutas son si se inicia desde la ubicación
sitivo NetScreen aún lo esa interfaz está inactivo y no co.
de los túneles se desactiva, el obtener información y ejemplos
0 -79
página 10 -95.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Enrutador virtual para interfaces de túnelPara evitar que, al desactivarse la ruta programada a través de un túnel VPN, el tráatravesar el túnel, sea conmutado a causa del error hacia la ruta predeterminada, penrutamiento virtual especial exclusivamente para el tráfico VPN. Para configurarlo,manera:
1. Cree un enrutador virtual independiente para utilizarlo con todas las rutúnel y déle, por ejemplo, el nombre “VR-VPN”.
2. Cree una zona de seguridad (llamada, por ejemplo, “zona VPN”) y asó
3. Asocie todas las interfaces de túnel a la zona VPN e introduzca todas remotas a las que desee acceder a través de túneles VPN en esta zon
4. Configure rutas estáticas en todos los demás enrutadores virtuales a Vdesee que esté encriptado y se envíe a través de los túneles. En casoestáticas para el tráfico desencriptado desde VR-VPN a otros enrutadnecesarias para permitir que el tráfico VPN entrante pase por el túnel remota.
Si el estado de una interfaz de túnel pasa de activo a inactivo, el disporeenviará a VR-VPN, donde debido a que ahora el estado de la ruta ahay otras rutas adecuadas, el dispositivo NetScreen descartará el tráfi
Reencaminar a otro túnelPuede configurar dos o más túneles VPN hacia el mismo interlocutor remoto. Si unodispositivo NetScreen puede reencaminar el tráfico a través de otro túnel VPN. Para sobre la configuración de túneles VPN redundantes, consulte:
• “Interfaces Dual Untrust” en la página 10 -69
• “Ejemplo: Conmutación por error del túnel activo-a-respaldo” en la página 1
• “Ejemplo: Túneles activos duales” en la página 10 -88
• “Ejemplo: Aplicación de pesos a la conmutación por error de túneles” en la
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas
102
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs4
103
Capítulo 4
nto a punto entre dos dos en directivas, se presentan cen varios ejemplos.
gina 111
a página 126
en la página 137
ico” en la página 152
gina 166
la página 177
te” en la página 222
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
VPNs punto a punto
En este capítulo se explica cómo configurar un túnel de red privada virtual (VPN) pudispositivos NetScreen. Aquí se examinan los túneles VPN basados en rutas y basalos diversos elementos que hay que tener en cuenta al configurar un túnel y se ofre
• “Configuraciones VPN punto a punto” en la página 104
– “Pasos de configuración de túneles punto a punto” en la página 105
– “Ejemplo: VPN punto a punto basada en rutas, AutoKey IKE” en la pá
– “Ejemplo: VPN punto a punto basada en directivas, AutoKey IKE” en l
– “Ejemplo: VPN punto a punto basada en rutas, interlocutor dinámico”
– “Ejemplo: VPN punto a punto basada en directivas, interlocutor dinám
– “Ejemplo: VPN punto a punto basada en rutas, clave manual” en la pá
– “Ejemplo: VPN punto a punto basada en directivas, clave manual” en
• “Puertas de enlace IKE dinámicas con FQDN” en la página 186
– “Ejemplo: Interlocutor AutoKey IKE con FQDN” en la página 188
• “Sitios VPN con direcciones superpuestas” en la página 203
– “Ejemplo: Interfaz de túnel con NAT-Src y NAT-Dst” en la página 206
• “VPN en modo transparente” en la página 221
– “Ejemplo: VPN AutoKey IKE basada en directivas en modo transparen
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
104
cesita una dirección IP. Si iguientes tipos de túneles:
o certificados)
ignada de forma dinámica, se
reviamente compartida o
túnel IPSec para conectar dos nlace segura. La interfaz o irección IP fija, y los hosts entra en modo transparente, punto a punto estática, los el VPN porque la dirección IP
signada dinámicamente, dicho tinta. Con una VPN punto a ico pueden iniciar la ción IP fija y, por tanto, es cido un túnel entre un er puerta de enlace pueden
lte el Capítulo 1, “IPSec”. Si , “Directivas VPN”.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CONFIGURACIONES VPN PUNTO A PUNTOExiste un túnel VPN IPSec entre dos puertas de enlace, y cada puerta de enlace neambas puertas de enlace tienen direcciones IP estáticas, se pueden configurar los s
• Túnel VPN punto a punto AutoKey IKE (con clave previamente compartida
• Túnel VPN punto a punto con clave manual
Si una puerta de enlace tiene una dirección estática, y la otra tiene una dirección aspuede configurar el siguiente tipo de túnel:
• Túnel VPN punto a punto de interlocutor dinámico AutoKey IKE (con clave pcertificados)
Tal como se utiliza aquí, una VPN punto a punto estática implica la existencia de unpuntos, cada uno de ellos con un dispositivo NetScreen operativo como puerta de esubinterfaz física utilizada como interfaz de salida en ambos dispositivos tiene una dinternos también tienen direcciones IP estáticas. Si el dispositivo NetScreen se encuutiliza la dirección VLAN1 como dirección IP para la interfaz de salida. Con una VPNhosts situados en cualquier extremo del túnel pueden iniciar la configuración del túnde la puerta de enlace remota se mantiene constante y, por tanto, accesible.
Si la interfaz de salida de uno de los dispositivos NetScreen tiene una dirección IP adispositivo se considera un interlocutor dinámico y la VPN se configura de forma dispunto de interlocutor dinámico, sólo los hosts ubicados detrás del interlocutor dinámconfiguración del túnel VPN, ya que sólo su puerta de enlace remota tiene una direcaccesible desde su puerta de enlace local. Sin embargo, una vez que se ha estableinterlocutor dinámico y un interlocutor estático, los hosts ubicados detrás de cualquiiniciar tráfico VPN si los hosts de destino tienen direcciones IP fijas.
Nota: Para obtener más información sobre las opciones de VPN disponibles, consudesea obtener ayuda para elegir entre las distintas opciones, consulte el Capítulo 3
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
105
guración del túnel con la jemplos de configuración VPN o desea comunicarse de forma
Eth110.2.2.1/24
NAT
LAN10.2.2.0/24
Zona Trust
n
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Pasos de configuración de túneles punto a puntoLa configuración de un túnel VPN punto a punto requiere la coordinación de la conficonfiguración de otros ajustes (interfaces, direcciones, rutas y directivas). Los tres eincluidos en esta sección se enmarcan en el siguiente contexto: una oficina de Tokisegura con una oficina de París a través de un túnel VPN IPSec.
Los administradores de ambas oficinas configuran los siguientes ajustes:
• Interfaces: Zonas de seguridad y túnel
• Direcciones
• VPN (una de las opciones siguientes)
– AutoKey IKE
– Interlocutor dinámico
– Clave manual
• Rutas
• Directivas
Eth3, 2.2.2.2/24
LAN10.1.1.0/24
Internet
Túnel: vpn1
tunnel.1, sin numerar
enrutador externo, 2.2.2.250
Zona Untrust
Zona UntrustZona Trust Oficinade Tokio
Oficinade París
NetScreende Tokio
NetScreede París
Eth110.1.1.1/24
NATEth3, 1.1.1.1/24
tunnel.1, sin numerar
enrutador externo, 1.1.1.250
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
106
eguridad y túnel con los ajustes e la oficina de París configura
lace remota para el tráfico VPN
asignar direcciones IP a todos st, el dispositivo NetScreen rección de la interfaz de la zona
el tunnel.1 al túnel VPN vpn1. a, el dispositivo NetScreen r tanto, a través del túnel al que
ión VPN basada en rutas no ración VPN basada en
Zona Trust
Eth110.2.2.1/24
NAT
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
1. Interfaces: Zonas de seguridad y túnelEl administrador de la oficina de Tokio configura las interfaces de zona de sque aparecen en rojo en la ilustración anterior. Asimismo, el administrador dlos ajustes que aparecen en azul.
Ethernet3 va a ser la interfaz de salida para el tráfico VPN y la puerta de enenviado desde el otro extremo del túnel.
Ethernet1 se encuentra en modo NAT, por lo que cada administrador puedelos hosts internos, incluso si el tráfico pasa de la zona Trust a la zona Untrutraduce la dirección IP de origen de los encabezados de los paquetes a la diUntrust, ethernet3 (1.1.1.1 para Tokio y 2.2.2.2 para París).
Para una VPN basada en rutas, cada administrador asocia la interfaz de túnDefiniendo una ruta al espacio de direcciones de la LAN de la oficina remotpuede dirigir todo el tráfico asociado a dicha LAN a la interfaz tunnel.1, y poestá asociada tunnel.1.
Como no se requieren servicios NAT basados en directivas, una configuracrequiere que tunnel.1 tenga una dirección IP/máscara de red, y una configudirectivas ni siquiera requiere una interfaz de túnel.
Eth110.1.1.1/24
NAT
Internet
Zona Untrust
Zona UntrustZona Trust Oficinade Tokio
Oficinade París
Eth3, 1.1.1.1/24tunnel.1, sin numerar
Eth3, 2.2.2.2/24tunnel.1, sin numerar
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
107
de entrada y salida. El rojo en la ilustración anterior. ue aparecen en azul.roxy a partir de las directivas1. xtremos del túnel VPN deben
cuya dirección IP es 0.0.0.0/0, extremo. Por ejemplo:
para definir las direcciones IP tilizar directivas más restrictivas n de destino y tipo de servicio.
basadas en directivas.
LAN
Zona Trust
París Untrust, 10.2.2.0/24Trust_LAN Trust, 10.2.2.0/24
Eth110.2.2.1/24
NAT
las ID de proxy no
coincidirán, y las
negociaciones IKE
fracasarán.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
2. DireccionesLos administradores definen direcciones para su posterior uso en directivasadministrador de la oficina de Tokio define las direcciones que aparecen enAsimismo, el administrador de la oficina de París configura las direcciones qPara VPN basadas en directivas, el dispositivo NetScreen deriva las ID de pComo las ID de proxy utilizadas por los dispositivos NetScreen-A a ambos ecoincidir exactamente, no es posible utilizar la dirección predefinida “ANY”, en un extremo del túnel si se utiliza una dirección más específica en el otro
Para las VPN basadas en rutas, es posible utilizar “0.0.0.0/0–0.0.0.0/0–any”local y remota y el tipo de servicio para una ID de proxy. Y luego se pueden upara filtrar el tráfico VPN entrante y saliente por dirección de origen, direcció
1. En ScreenOS 5.0.0, también es posible definir IDs de proxy para túneles VPN referenciados en configuraciones VPN
LAN Internet
Zona Untrust
Zona UntrustZona Trust Oficinade Tokio
Oficinade París
Trust_LAN Trust, 10.1.1.0/24Tokio Untrust, 10.1.1.0/24
Eth110.1.1.1/24
NAT
Eth3, 1.1.1.1/24tunnel.1, sin numerar
Eth3, 2.2.2.2/24tunnel.1, sin numerar
Si la ID de proxy de Tokio es ... y la ID de proxy de París es ...
From: 0.0.0.0/0 To: 10.1.1.0/24
To: 10.2.2.0/24 From: 10.2.2.0/24
Service: ANY Service: ANY
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
108
ertificado para renovar (es ente en intervalos definidos cia, actualizar estas claves de clave excesivamente
dirección IP asignada de oto sea diferente cada vez locutor deben iniciar el tráfico
autenticación), el interlocutor de fase 1 en modo dinámico
l de las claves de encriptación ño de túneles VPN.
Zona Trust
LANTrust_LAN Trust, 10.2.2.0/24París Untrust, 10.2.2.0/24Eth1
10.2.2.1/24NAT
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. VPNEs posible configurar una de las tres VPNs siguientes:
– AutoKey IKE
El método AutoKey IKE utiliza una clave previamente compartida o un cdecir, modificar) las claves de encriptación y autenticación automáticampor el usuario (conocidos como periodos de vigencia de clave). En esencon frecuencia refuerza la seguridad, aunque unos periodos de vigenciabreves pueden reducir el rendimiento general.
– Interlocutor dinámico
Un interlocutor dinámico es una puerta de enlace remota que tiene una forma dinámica. Como es posible que la dirección IP del interlocutor remque comienzan las negociaciones IKE, los hosts situados detrás del interVPN. Asimismo (si se utiliza una clave previamente compartida para la debe enviar una ID IKE durante el primer mensaje de las negociacionespara identificarse.
– Clave manual
El método de clave manual requiere la configuración y actualización manuay autenticación. Este método es una opción viable para un conjunto peque
Internet
Túnel: vpn1
Zona Untrust
Zona UntrustZona Trust Oficinade Tokio
Oficinade París
LANTrust_LAN Trust, 10.1.1.0/24Tokio Untrust, 10.1.1.0/24
Eth110.1.1.1/24
NAT
Eth3, 1.1.1.1/24tunnel.1, sin numerar
Eth3, 2.2.2.2/24tunnel.1, sin numerar
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
109
as rutas siguientes:vés de tunnel.1. de túnel VPN externo, para el más allá (1.1.1.250 para la la puerta de enlace
tráfico para el que no disponga
tunnel.1 a “inactivo” y cualquier een no utilice la ruta ra de ethernet3 sin encriptar. vía tráfico a la interfaz Null, una nula una métrica superior (más ndo la ruta nula menos
si desde el punto de vista de la oficina nte al dispositivo NetScreen de Tokio
Zona Trust
LAN
trust-vrDst 10.1.1.0/24Utilizar tunnel.1Dst 10.1.1.0/24Utilizar NULLMétrica: 50Dst 0.0.0.0/0 Utilizar puertade enlace eth3: 2.2.2.250
Trust_LAN Trust, 10.2.2.0/24París Untrust, 10.2.2.0/24
Eth110.2.2.1/24
NAT
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. RutasLos administradores de cada extremo del túnel deben configurar al menos l
– Una ruta para tráfico destinada a una dirección de la LAN remota a tra– Una ruta predeterminada para el resto del tráfico, incluyendo el tráfico
acceso a Internet a través de ethernet3 y el enrutador externo situadooficina de Tokio y 2.2.2.250 para la de París)2. El enrutador externo espredeterminada hacia la que el dispositivo NetScreen reenvía todo el de una ruta específica en su tabla de enrutamiento.
– Una ruta nula, de modo que si en algún momento el estado cambia de ruta que haga referencia a tunnel.1 se desactiva, el dispositivo NetScrpredeterminada para reenviar el tráfico destinado a la LAN remota fueUna ruta nula utiliza la LAN remota como dirección de destino, pero eninterfaz lógica que descarta todo el tráfico que recibe. Asigne a la ruta alejada de cero) que la ruta a la LAN remota que utiliza tunnel.1, haciepreferente que la ruta que hace referencia a la interfaz de tunnel.1.
2. Si el dispositivo NetScreen de la oficina de Tokio recibe su dirección IP externa de forma dinámica de su ISP (es decir,de París, el dispositivo NetScreen de la oficina de Tokio es un interlocutor dinámico), el ISP proporciona automáticamesu dirección IP de puerta de enlace predeterminada.
Internet
Túnel: vpn1
trust-vrDst 10.2.2.0/24Utilizar tunnel.1Dst 10.2.2.0/24Utilizar NULLMétrica: 50Dst 0.0.0.0/0 Utilizar puertade enlace eth3: 1.1.1.250
Zona Untrust
Zona UntrustZona Trust Oficinade Tokio
Oficinade París
LANTrust_LAN Trust, 10.1.1.0/24Tokio Untrust, 10.1.1.0/24
Eth3, 1.1.1.1/24
Eth3, 2.2.2.2/24
tunnel.1, sin numerar
Enrutador externo, 1.1.1.250
tunnel.1, sin numerar
Enrutador externo, 2.2.2.250
Eth110.1.1.1/24
NAT
Interfaz Null
Interfaz Null
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
110
itir el tráfico entre las dos
en la zona Trust hasta “París” o
kio” en la zona Untrust hasta
al túnel VPN vpn1, no es
Zona Trust
LAN
trust-vrDst 10.1.1.0/24Utilizar tunnel.1Dst 0.0.0.0/0 Utilizar puertade enlace eth3: 2.2.2.250
Trust -> UntrustTrust_LAN -> ParísANY, PermitUntrust -> TrustParís-> Trust_LANANY, Permit
Trust_LAN Trust, 10.2.2.0/24París Untrust, 10.2.2.0/24Eth1
10.2.2.1/24NAT
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. DirectivasLos administradores de cada extremo del túnel definen directivas para permoficinas:
– Una directiva que permita cualquier tipo de tráfico desde “Trust_LAN” “Tokio” en la zona Untrust
– Una directiva que permita cualquier tipo de tráfico desde “París” o “To“Trust_LAN” en la zona Trust
Como la ruta preferente al punto remoto indica tunnel.1, que está asociada necesario que la directiva haga referencia al túnel VPN.
Eth3, 1.1.1.1/24
Eth3, 2.2.2.2/24
tunnel.1, sin numerar
enrutador externo, 1.1.1.250
tunnel.1, sin numerar
enrutador externo, 2.2.2.250
Internet
Túnel: vpn1
trust-vrDst 10.2.2.0/24Utilizar tunnel.1Dst 0.0.0.0/0 Utilizar puertade enlace eth3: 1.1.1.250
Zona Untrust
Zona UntrustZona Trust Oficinade Tokio
Oficinade París
LANTrust_LAN Trust, 10.1.1.0/24Tokio Untrust, 10.1.1.0/24
Trust -> UntrustTrust_LAN -> ParísANY, PermitUntrust -> TrustParís-> Trust_LANANY, Permit
Eth110.1.1.1/24
NAT
Interfaz Null
Interfaz Null
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
111
o o un par de certificados (uno kio y París. Para los niveles de g2-3des-sha para el método de conjunto de propuestas
viamente compartido o
uridad y a la interfaz de túnel.
sociarla a la interfaz de túnel y
ParísZona Trust
eth1, 10.2.2.1/24
Zona Trustt
París
opología de las zonas figuradas en el dispositivo
NetScreen de París
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: VPN punto a punto basada en rutas, AutoKey IKEEn este ejemplo, un túnel AutoKey IKE que utiliza un secreto previamente compartidpor cada extremo del túnel) proporciona la conexión segura entre las oficinas de Toseguridad de las fases 1 y 2, debe especificar una propuesta de fase 1 (ya sea pre-clave previamente compartida o rsa-g2-3des-sha para certificados) y seleccionar el predefinido “Compatible” para la fase 2. Todas las zonas se encuentran en trust-vr.
La configuración de un túnel AutoKey IKE basado en rutas mediante un secreto precertificados implica los siguientes pasos:
1. Asignar direcciones IP a las interfaces físicas asociadas a las zonas de seg
2. Configurar el túnel VPN, designar su interfaz de salida en la zona Untrust, aconfigurar su ID de proxy.
TokioZona Trust
eth1, 10.1.1.1/24
Interfaz de salidaZona Untrust
eth3, 1.1.1.1/24Puerta de enlace 1.1.1.250
Túnel VPN
Internet
Interfaz de salidaZona Untrust
eth3, 2.2.2.2/24Puerta de enlace 2.2.2.250
Topología de las zonas configuradas en el dispositivo
NetScreen de Tokio
Zona Trust
Zona Untrust
Zona Untrus
TokioParísTokio
Tcon
Interfaz de túnelTunnel.1
Interfaz de túnelTunnel.1
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
112
tas de direcciones para las
al destino a través de la s alejada de cero) a la ruta nula n, si el estado de la interfaz de
n se inactiva, el dispositivo lugar de la ruta
sume que ambos participantes a más información sobre cómo
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. Introducir las direcciones IP de los puntos finales local y remoto en las librezonas Trust y Untrust.
4. Introducir una ruta predeterminada al enrutador externo en trust-vr, una rutainterfaz de túnel y otra ruta nula al destino. Asigne una métrica más alta (mápara que se convierta en la siguiente opción de ruta al destino. A continuaciótúnel cambia a “inactivo” y la ruta que hace referencia a esa interfaz tambiéNetScreen utiliza la ruta nula, que descarta todo tráfico enviado hacia él, enpredeterminada, que reenvía tráfico no encriptado.
5. Definir directivas para la circulación del tráfico VPN entre ambos sitios.
En los ejemplos siguientes, la clave previamente compartida es h1p8A24nG5. Se atienen certificados RSA y utilizan Entrust como autoridad de certificación (CA). (Parobtener y cargar certificados, consulte “Certificados y CRLs” en la página 29).
WebUI (Tokio)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
113
ga clic en OK :
lic en OK :
lic en OK :
tos y haga clic en OK :
/Hostname: 2.2.2.2
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Paris_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Untrust
3. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: To_Paris
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
114
avanzados y haga clic en uración básica de puerta de
ecurity Level): pre-g2-3des-sha
tion)
avanzados y haga clic en uración básica de puerta de
ecurity Level): rsa-g2-3des-sha
OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Clave previamente compartida
Preshared Key: h1p8A24nG5
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Main (ID Protec
(o bien)
Certificados
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Preferred certificate (optional)
Peer CA: Entrust
Peer Type: X509-SIG
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: Tokyo_Paris
Security Level: Compatible
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
115
avanzados y haga clic en uración básica de AutoKey IKE:
l.1
24
0/24
es datos y haga clic en OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Remote Gateway:
Predefined: (seleccione), To_Paris
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Security Level: Compatible
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 10.1.1.0/
Remote IP / Netmask: 10.2.2.
Service: ANY
4. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: Tunnel.1
Gateway IP Address: 0.0.0.0
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
116
es datos y haga clic en OK :
haga clic en OK :
y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: To_Paris
Source Address: Trust_LAN
Destination Address: Paris_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos
Name: From_Paris
Source Address: Paris_Office
Destination Address: Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
117
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
ga clic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (París)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.2.2.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trust_LANIP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24Zone: Trust
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
118
lic en OK :
tos y haga clic en OK :
/Hostname: 1.1.1.1
avanzados y haga clic en uración básica de puerta de
ecurity Level): pre-g2-3des-sha
tion)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Tokyo_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: To_Tokyo
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address
Clave previamente compartida
Preshared Key: h1p8A24nG5
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Main (ID Protec
(o bien)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
119
avanzados y haga clic en uración básica de puerta de
ecurity Level): rsa-g2-3des-sha
OK :
avanzados y haga clic en uración básica de AutoKey IKE:
l.1
24
0/24
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Certificados
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Preferred certificate (optional)
Peer CA: Entrust
Peer Type: X509-SIG
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
Name: Paris_Tokyo
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Tokyo
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Security Level: Compatible
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 10.2.2.0/
Remote IP / Netmask: 10.1.1.
Service: ANY
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
120
es datos y haga clic en OK :
es datos y haga clic en OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. RutasNetwork > Routing > Routing Entries > trust-vr New : Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Network > Routing > Routing Entries > trust-vr New : Introduzca los siguient
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
121
haga clic en OK :
N
ffice
haga clic en OK :
ffice
N
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: To_Tokyo
Source Address:
Address Book Entry: (seleccione), Trust_LA
Destination Address:
Address Book Entry: (seleccione), Tokyo_O
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Name: From_Tokyo
Source Address:
Address Book Entry: (seleccione), Tokyo_O
Destination Address:
Address Book Entry: (seleccione), Trust_LA
Service: ANY
Action: Permit
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
122
nterface ethernet3
e
-ip 10.2.2.0/24 any
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (Tokio)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3
2. Direccionesset address trust Trust_LAN 10.1.1.0/24set address untrust Paris_Office 10.2.2.0/24
3. VPN
Clave previamente compartida
set ike gateway To_Paris address 2.2.2.2 main outgoing-ipreshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn Tokyo_Paris gateway To_Paris sec-level compatiblset vpn Tokyo_Paris bind interface tunnel.1set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote
(o bien)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
123
nterface ethernet3
e
-ip 10.2.2.0/24 any
gateway 1.1.1.2501tric 10
t_LAN Paris_Office any
aris_Office Trust_LAN
ke ca .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Certificado
set ike gateway To_Paris address 2.2.2.2 main outgoing-iproposal rsa-g2-3des-sha
set ike gateway To_Paris cert peer-ca 13
set ike gateway To_Paris cert peer-cert-type x509-sigset vpn Tokyo_Paris gateway To_Paris sec-level compatiblset vpn Tokyo_Paris bind interface tunnel.1set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.2.2.0/24 interface tunnel.set vrouter trust-vr route 10.2.2.0/24 interface null me
5. Directivasset policy top name “To Paris” from trust to untrust Trus
permitset policy top name “From Paris” from untrust to trust P
any permitsave
3. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get i
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
124
nterface ethernet3
e
-ip 10.1.1.0/24 any
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (París)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3
2. Direccionesset address trust Trust_LAN 10.2.2.0/24set address untrust Tokyo_Office 10.1.1.0/24
3. VPN
Clave previamente compartida
set ike gateway To_Tokyo address 1.1.1.1 main outgoing-ipreshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn Paris_Tokyo gateway To_Tokyo sec-level compatiblset vpn Paris_Tokyo bind interface tunnel.1set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote
(o bien)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
125
nterface ethernet3
e
-ip 10.1.1.0/24 any
gateway 2.2.2.2501tric 10
t_LAN Tokyo_Office any
okyo_Office Trust_LAN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Certificado
set ike gateway To_Tokyo address 1.1.1.1 main outgoing-iproposal rsa-g2-3des-sha
set ike gateway To_Tokyo cert peer-ca 1set ike gateway To_Tokyo cert peer-cert-type x509-sigset vpn Paris_Tokyo gateway To_Tokyo sec-level compatiblset vpn Paris_Tokyo bind interface tunnel.1set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.1.1.0/24 interface tunnel.set vrouter trust-vr route 10.1.1.0/24 interface null me
5. Directivasset policy top name “To_Tokyo” from trust to untrust Trus
permitset policy top name “From_Tokyo” from untrust to trust T
any permitsave
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
126
Eo o un par de certificados (uno
kio y París. Para los niveles de g2-3des-sha para el método de conjunto de propuestas
eto previamente compartido o
l y remota.
ParísZona Trust1, 10.2.2.1/24
Zona Trust
París
opología de las zonas iguradas en el dispositivo NetScreen de París
Zona Untrust-Tun
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: VPN punto a punto basada en directivas, AutoKey IKEn este ejemplo, un túnel AutoKey IKE que utiliza un secreto previamente compartidpor cada extremo del túnel) proporciona la conexión segura entre las oficinas de Toseguridad de las fases 1 y 2, debe especificar una propuesta de fase 1 (ya sea pre-clave previamente compartida o rsa-g2-3des-sha para certificados) y seleccionar el predefinido “Compatible” para la fase 2. Todas las zonas se encuentran en trust-vr.
La configuración de un túnel AutoKey IKE utilizando AutoKey IKE mediante un secrcertificados implica los siguientes pasos:
1. Definir las direcciones IP de la interfaz de zona de seguridad.
2. Realizar entradas en la libreta de direcciones para las entidades finales loca
TokioZona Trust
eth1, 10.1.1.1/24
Interfaz de salidaZona Untrust
eth3, 1.1.1.1/24Puerta de enlace 1.1.1.250
Túnel VPN
Interneteth
Interfaz de salidaZona Untrust
eth3, 2.2.2.2/24Puerta de enlace 2.2.2.250
Topología de las zonas configuradas en el dispositivo
NetScreen de Tokio
Zona Trust
Zona Untrust
Zona Untrust
TokioParísTokio
Tconf
Zona Untrust-Tun
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
127
ecificar un secreto previamente
sume que ambos participantes a más información sobre cómo
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. Definir la puerta de enlace remota y el modo de intercambio de claves, y espcompartido o un certificado.
4. Crear la VPN Autokey IKE.
5. Configurar una ruta predeterminada que conduzca al enrutador externo.
6. Configurar directivas.
En los ejemplos siguientes, la clave previamente compartida es h1p8A24nG5. Se atienen certificados RSA y utilizan Entrust como autoridad de certificación (CA). (Parobtener y cargar certificados, consulte “Certificados y CRLs” en la página 29).
WebUI (Tokio)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
128
lic en OK :
lic en OK :
tos y haga clic en OK :
/Hostname: 2.2.2.2
avanzados y haga clic en OK básica de la puerta de enlace:
ecurity Level): pre-g2-3des-sha
tion)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Paris_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Untrust
3. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: To_Paris
Security Level: Custom
Remote Gateway Type:Static IP Address: (seleccione), IP Address
Clave previamente compartidaPreshared Key: h1p8A24nG5
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustespara regresar a la página de configuración
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Main (ID Protec
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
129
avanzados y haga clic en OK básica de la puerta de enlace:
ecurity Level): rsa-g2-3des-sha
tion)
OK :
o_Paris
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
(o bien)
CertificadosOutgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustespara regresar a la página de configuración
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Main (ID Protec
Preferred certificate (optional)
Peer CA: Entrust
Peer Type: X509-SIG
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: Tokyo_Paris
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), T
4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
130
haga clic en OK :
N
ffice
leccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: To/From Paris
Source Address:
Address Book Entry: (seleccione), Trust_LA
Destination Address:
Address Book Entry: (seleccione), Paris_O
Service: ANY
Action: Tunnel
Tunnel VPN: Tokyo_Paris
Modify matching bidirectional VPN policy: (se
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
131
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (París)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.2.2.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 2.2.2.2/24
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Tokyo_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
132
tos y haga clic en OK :
/Hostname: 1.1.1.1
avanzados y haga clic en uración básica de puerta de
ecurity Level): pre-g2-3des-sha
tion)
avanzados y haga clic en uración básica de puerta de
ecurity Level): rsa-g2-3des-sha
tion)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: To_Tokyo
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address
Clave previamente compartidaPreshared Key: h1p8A24nG5
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Main (ID Protec
(o bien)
CertificadosOutgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Main (ID Protec
Preferred certificate (optional)
Peer CA: Entrust
Peer Type: X509-SIG
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
133
OK :
o_Tokyo
es datos y haga clic en OK :
haga clic en OK :
N
ffice
leccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: Paris_Tokyo
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), T
4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: To/From Tokyo
Source Address:
Address Book Entry: (seleccione), Trust_LA
Destination Address:
Address Book Entry: (seleccione), Tokyo_O
Service: ANY
Action: Tunnel
Tunnel VPN: Paris_Tokyo
Modify matching bidirectional VPN policy: (se
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
134
nterface ethernet3
e
nterface ethernet3
e
ke ca .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (Tokio)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direccionesset address trust Trust_LAN 10.1.1.0/24set address untrust paris_office 10.2.2.0/24
3. VPN
Clave previamente compartidaset ike gateway to_paris address 2.2.2.2 main outgoing-i
preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn tokyo_paris gateway to_paris sec-level compatibl
(o bien)
Certificadosset ike gateway to_paris address 2.2.2.2 main outgoing-i
proposal rsa-g2-3des-shaset ike gateway to_paris cert peer-ca 14
set ike gateway to_paris cert peer-cert-type x509-sigset vpn tokyo_paris gateway to_paris sec-level compatibl
4. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get i
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
135
gateway 1.1.1.250
t Trust_LAN
t paris_office
nterface ethernet3
e
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
5. Directivasset policy top name “To/From Paris” from trust to untrus
paris_office any tunnel vpn tokyo_parisset policy top name “To/From Paris” from untrust to trus
Trust_LAN any tunnel vpn tokyo_parissave
CLI (París)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24
2. Direccionesset address trust Trust_LAN 10.2.2.0/24set address untrust tokyo_office 10.1.1.0/24
3. VPN
Clave previamente compartida
set ike gateway to_tokyo address 1.1.1.1 main outgoing-ipreshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn paris_tokyo gateway to_tokyo sec-level compatibl
(o bien)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
136
nterface ethernet3
fs-esp-3des-sha
gateway 2.2.2.250
t Trust_LAN
t tokyo_office
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Certificados
set ike gateway to_tokyo address 1.1.1.1 main outgoing-iproposal rsa-g2-3des-sha
set ike gateway to_tokyo cert peer-ca 1set ike gateway to_tokyo cert peer-cert-type x509-sigset vpn paris_tokyo gateway to_tokyo tunnel proposal nop
4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
5. Directivasset policy top name “To/From Tokyo” from trust to untrus
tokyo_office any tunnel vpn paris_tokyoset policy top name “To/From Tokyo” from untrust to trus
Trust_LAN any tunnel vpn paris_tokyosave
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
137
ámicoartida o un par de certificados
os NetScreen para proteger las en la oficina de París tiene una rfaz de zona Untrust de forma tiene una dirección fija para su na vez establecido un túnel, el
nel. Todas las zonas de túnel y
Parísona Trust, 10.2.2.1/24
Zona Trust
París
las zonas el dispositivo de París
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: VPN punto a punto basada en rutas, interlocutor dinEn este ejemplo, un túnel VPN AutoKey IKE que utiliza una clave previamente comp(uno por cada extremo del túnel) proporciona la conexión segura entre los dispositivoficinas de Tokio y París. La interfaz de zona Untrust para el dispositivo NetScreen dirección IP estática. El ISP de la oficina de Tokio asigna la dirección IP para la intedinámica a través del protocolo DHCP. Como sólo el dispositivo NetScreen de Paríszona Untrust, el tráfico VPN se debe originar desde los hosts de la oficina de Tokio. Utráfico que atraviese el túnel se puede originar desde cualquier extremo de dicho túde seguridad se encuentran en trust-vr.
Internet
Túnel VPN
TokioZona Trust
eth1, 10.1.1.1/24
Interfaz de salidaZona Untrust
eth3 y puerta de enlaceasignadas dinámicamente
por el ISPZ
eth1
Interfaz de salidaZona Untrust
eth3, 2.2.2.2/24Puerta de enlace
2.2.2.250
Servidor DHCP2.1.1.5Interfaz de túnel
Tunnel.1Interfaz de túnel
Tunnel.1
Topología de las zonas configuradas en el dispositivo
NetScreen de Tokio
Zona Trust
Zona Untrust
Zona Untrust
TokioParísTokio
Topología deconfiguradas en
NetScreen
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
138
participantes ya tienen de correo electrónico información sobre la adquisición eles de seguridad de las fases 1 de clave previamente
as “Compatible” para la fase 2.
) a la ruta nula para que se do de la interfaz de túnel activa, el dispositivo NetScreen ruta predeterminada, que
s.
s y haga clic en Apply :
e)
OK :
s y haga clic en Apply :
OK :
ediante comandos CLI.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
La clave previamente compartida es h1p8A24nG5. Se parte de la base de que amboscertificados RSA emitidos por la autoridad de certificación (CA) Verisign, y la direcció[email protected] aparece en el certificado local de NetScreen A. (Para obtener más y la carga de certificados, consulte “Certificados y CRLs” en la página 29). Para los nivy 2, debe especificar una propuesta de fase 1 (ya sea pre-g2-3des-sha para el métodocompartida o rsa-g2-3des-sha para certificados) y seleccionar el conjunto de propuestIndique tres rutas en los dispositivos NetScreen en cada extremo del túnel VPN:
• Una ruta predeterminada que conduzca al enrutador externo en trust-vr.• Una ruta al destino a través de la interfaz de túnel• Una ruta nula al destino. Asigne una métrica más alta (más alejada de cero
convierta en la siguiente opción de ruta al destino. A continuación, si el estacambia a “inactivo” y la ruta que hace referencia a esa interfaz también se inutiliza la ruta nula, que descarta todo tráfico enviado hacia él, en lugar de lareenvía tráfico no encriptado.
Finalmente, configure directivas para permitir tráfico bidireccional entre los dos sitio
WebUI (Tokio)1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datoZone Name: TrustStatic IP: (seleccione esta opción si es posiblIP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic enInterface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datoZone Name: UntrustIntroduzca los siguientes datos y haga clic enObtain IP using DHCP: (seleccione)5
5. La dirección IP del servidor DHCP no se puede especificar mediante WebUI; no obstante, sí se puede especificar m
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
139
ga clic en OK :
lic en OK :
lic en OK :
tos y haga clic en OK :
/Hostname: 2.2.2.2
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Paris_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Untrust
3. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: To_Paris
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
140
avanzados y haga clic en uración básica de puerta de
ecurity Level): pre-g2-3des-sha
avanzados y haga clic en uración básica de puerta de
ecurity Level): rsa-g2-3des-sha
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Clave previamente compartidaPreshared Key: h1p8A24nG5
Local ID: [email protected]
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Aggressive
(o bien)
CertificadosLocal ID: [email protected]
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Aggressive
Preferred Certificate (optional):
Peer CA: Verisign
Peer Type: X509-SIG
6. El U-FQDN “[email protected]” debe aparecer en el campo SubjectAltName del certificado.
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
141
OK :
avanzados y haga clic en uración básica de AutoKey IKE:
cione), tunnel.1
24
0/24
es datos y haga clic en OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: Tokyo_Paris
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Paris
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface: (selec
Proxy-ID: (seleccione)
Local IP / Netmask: 10.1.1.0/
Remote IP / Netmask: 10.2.2.
Service: ANY
4. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 0.0.0.07
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: Tunnel.1
Gateway IP Address: 0.0.0.0
7. El ISP proporciona la dirección IP de la puerta de enlace de forma dinámica a través del protocolo DHCP.
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
142
es datos y haga clic en OK :
haga clic en OK :
N
ffice
haga clic en OK :
ffice
N
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Trust_LA
Destination Address:
Address Book Entry: (seleccione), Paris_O
Service: Any
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Paris_O
Destination Address:
Address Book Entry: (seleccione), Trust_LA
Service: Any
Action: Permit
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
143
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
ga clic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (París)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.2.2.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address: 2.2.2.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Trust
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
144
lic en OK :
tos y haga clic en OK :
avanzados y haga clic en uración básica de puerta de
ecurity Level): pre-g2-3des-sha
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Tokyo_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: To_Tokyo
Security Level: Custom
Remote Gateway Type:
Dynamic IP Address: (seleccione), Peer ID
Clave previamente compartida
Preshared Key: h1p8A24nG5
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Aggressive
(o bien)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
145
avanzados y haga clic en uración básica de puerta de
ecurity Level): rsa-g2-3des-sha
OK :
avanzados y haga clic en uración básica de AutoKey IKE:
cione), tunnel.1
24
0/24
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Certificados
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Aggressive
Preferred Certificate (optional):
Peer CA: Verisign
Peer Type: X509-SIG
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: Paris_Tokyo
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Tokyo
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface: (selec
Proxy-ID: (seleccione)
Local IP / Netmask: 10.2.2.0/
Remote IP / Netmask: 10.1.1.
Service: ANY
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
146
es datos y haga clic en OK :
0
es datos y haga clic en OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: (seleccione), 2.2.2.25
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
147
haga clic en OK :
N
ffice
haga clic en OK :
ffice
N
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Trust_LA
Destination Address:
Address Book Entry: (seleccione), Tokyo_O
Service: Any
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Tokyo_O
Destination Address:
Address Book Entry: (seleccione), Trust_LA
Service: Any
Action: Permit
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
148
1.5
l-id [email protected] posal pre-g2-3des-shampatible
-ip 10.2.2.0/24 any
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (Tokio)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 dhcp clientset interface ethernet3 dhcp client settings server 1.1.
set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3
2. Direccionesset address trust Trust_LAN 10.1.1.0/24set address untrust Paris_Office 10.2.2.0/24
3. VPN
Clave previamente compartidaset ike gateway To_Paris address 2.2.2.2 aggressive loca
outgoing-interface ethernet3 preshare h1p8A24nG5 proset vpn Tokyo_Paris gateway To_Paris tunnel sec-level coset vpn Tokyo_Paris bind interface tunnel.1set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote
(o bien)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
149
l-id [email protected] a
mpatible
-ip 10.2.2.0/24 any
10
1tric 10
ice any permitLAN any permit
ke ca .
o, no se puede especificar aquí.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Certificadosset ike gateway To_Paris address 2.2.2.2 aggressive loca
outgoing-interface ethernet3 proposal rsa-g2-3des-shset ike gateway To_Paris cert peer-ca 19
set ike gateway To_Paris cert peer-cert-type x509-sigset vpn Tokyo_Paris gateway To_Paris tunnel sec-level coset vpn Tokyo_Paris bind interface tunnel.1set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.2.2.0/24 interface tunnel.set vrouter trust-vr route 10.2.2.0/24 interface null me
5. Directivasset policy top from trust to untrust Trust_LAN Paris_Offset policy top from untrust to trust Paris_Office Trust_save
8. El U-FQDN “[email protected]” debe aparecer en el campo SubjectAltName del certificado.
9. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get i
10. El ISP proporciona la dirección IP de la puerta de enlace de forma dinámica a través del protocolo DHCP, por lo tant
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
150
ve outgoing-interface hampatible
-ip 10.1.1.0/24 any
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (París)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3
2. Direccionesset address trust Trust_LAN 10.2.2.0/24set address untrust Tokyo_Office 10.1.1.0/24
3. VPN
Clave previamente compartidaset ike gateway To_Tokyo dynamic [email protected] aggressi
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sset vpn Paris_Tokyo gateway To_Tokyo tunnel sec-level coset vpn Paris_Tokyo bind interface tunnel.1set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote
(o bien)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
151
ve outgoing-interface
mpatible
-ip 10.1.1.0/24 any
gateway 2.2.2.2501tric 10
ice any permitLAN any permit
ke ca .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Certificadosset ike gateway To_Tokyo dynamic [email protected] aggressi
ethernet3 proposal rsa-g2-3des-shaset ike gateway To_Tokyo cert peer-ca 111
set ike gateway To_Tokyo cert peer-cert-type x509-sigset vpn Paris_Tokyo gateway To_Tokyo tunnel sec-level coset vpn Paris_Tokyo bind interface tunnel.1set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.1.1.0/24 interface tunnel.set vrouter trust-vr route 10.1.1.0/24 interface null me
5. Directivasset policy top from trust to untrust Trust_LAN Tokyo_Offset policy top from untrust to trust Tokyo_Office Trust_save
11. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get i
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
152
r dinámicorust situados detrás de tScreen B. La interfaz de zona igna la dirección IP para su e sólo NetScreen B tiene una ituados detrás de NetScreen A. se puede originar desde miento trust-vr.
Servidor de correo3.3.3.5
PeticiónIDENT
Zona DMZ
st
B
Topología de las zonas nfiguradas en NetScreen-B
en la sede central
ina corporativaZona DMZ
h2, 3.3.3.3/24
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: VPN punto a punto basada en directivas, interlocutoEn este ejemplo, un túnel VPN conecta de forma segura a los usuarios de la zona TNetScreen A con el servidor de correo de la zona corporativa DMZ protegida por NeUntrust para NetScreen B tiene una dirección IP estática. El ISP de NetScreen A asinterfaz de zona Untrust de forma dinámica a través del protocolo DHCP. Puesto qudirección fija para su zona Untrust, el tráfico VPN se debe originar desde los hosts sUna vez que NetScreen A haya establecido el túnel, el tráfico que atraviese el túnelcualquiera de sus extremos. Todas las zonas se encuentran en el dominio de enruta
Internet
Túnel VPNNetScreen-A NetScreen-BPeticiónSMTP o POP3
Topología de las zonas configuradas en NetScreen-A
en la sucursal
Zona Trust
Zona Untrust
ZonaUntru
ABA
co
SucursalZona Trust
eth1, 10.1.1.1/24
Interfaz de salidaZona Untrust
eth3 y puerta de enlaceasignadas dinámicamente
por el ISP
Ofic
et
Interfaz de salidaZona Untrust
eth3, 2.2.2.2/24Puerta de enlace
2.2.2.250
Nota: antes de realizar una conexión SMTP o POP3 con el servidor de correo corporativo, Phil debe iniciar primero una conexión HTTP, FTP o Telnet para que NetScreen A pueda autenticarle.
Servidor DHCP2.1.1.5
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
153
; contraseña: Nd4syst4) desea rlo, pasa por dos s de permitir que el tráfico tentica de nuevo enviando una
s participantes ya tienen n de correo electrónico s información sobre la ). Para los niveles de seguridad ara el método de clave
to de propuestas predefinido
s y haga clic en Apply :
e)
OK :
ro una conexión HTTP, FTP o Telnet autenticarle. Una vez que NetScreen el VPN.
i los administradores de los rto 113) y configuran directivas
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
En este ejemplo, el usuario de autenticación local Phil (nombre de usuario: pmasonrecoger su correo electrónico del servidor del sitio corporativo. Cuando intenta haceautenticaciones: primero, el dispositivo NetScreen A le autentica de forma local anteoriginado por él atraviese el túnel12; después, el programa de servidor de correo le aupetición IDENT a través del túnel.
La clave previamente compartida es h1p8A24nG5. Se parte de la base de que ambocertificados RSA emitidos por la autoridad de certificación (CA) Verisign, y la direcció[email protected] aparece en el certificado local de NetScreen A. (Para obtener máadquisición y la carga de certificados, consulte “Certificados y CRLs” en la página 29de las fases 1 y 2, debe especificar la propuesta de fase 1 (ya sea pre-g2-3des-sha ppreviamente compartida o rsa-g2-3des-sha para certificados) y seleccionar el conjun“Compatible” para la fase 2.
WebUI (NetScreen-A)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
12. Como Phil es un usuario de autenticación, antes de que pueda realizar una petición SMTP o POP3, debe iniciar primepara que NetScreen A pueda responder con un mensaje de petición de inicio de sesión/usuario de cortafuegos paraA le haya autenticado, tendrá permiso para establecer contacto con el servidor de correo corporativo a través del tún
Nota: El servidor de correo puede enviar la petición IDENT a través del túnel sólo sdispositivos NetScreen A y B agregan un servicio personalizado para ello (TCP, pueque permitan el tráfico a través del túnel hacia la subred 10.10.10.0/24.
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
154
s y haga clic en OK :
en OK :
lic en OK :
lic en OK :
ediante comandos CLI.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Obtain IP using DHCP: (seleccione)13
2. UsuarioObjects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: pmason
Status: Enable
Authentication User: (seleccione)
User Password: Nd4syst4
Confirm Password: Nd4syst4
3. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trusted network
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Mail Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 3.3.3.5/32
Zone: Untrust
13. La dirección IP del servidor DHCP no se puede especificar mediante WebUI; no obstante, sí se puede especificar m
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
155
clic en OK :
los siguientes servicios y,
tos y haga clic en OK :
/Hostname: 2.2.2.2
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. ServiciosObjects > Services > Custom > New: Introduzca los siguientes datos y haga
Service Name: Ident
Service Timeout:
Use protocol default: (seleccione)
Transport Protocol: TCP (seleccione)
Source Port: Low 0, High 65535
Destination Port: Low 113, High 113
Objects > Services > Group > New: Introduzca los siguientes datos, muevafinalmente, haga clic en OK :
Group Name: Remote_Mail
Group Members << Available Members:
HTTPFTPTelnetIdentMAILPOP3
5. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: To_Mail
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
156
avanzados y haga clic en uración básica de puerta de
ecurity Level): pre-g2-3des-sha
avanzados y haga clic en uración básica de puerta de
ecurity Level): rsa-g2-3des-sha
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Clave previamente compartidaPreshared Key: h1p8A24nG5
Local ID: [email protected]
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Aggressive
(o bien)
CertificadosLocal ID: [email protected]
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Aggressive
Preferred Certificate (optional):
Peer CA: Verisign
Peer Type: X509-SIG
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
157
OK :
es datos y haga clic en OK :
haga clic en OK :
network
ver
leccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
Name: branch_corp
Security Level: Compatible
Remote Gateway Tunnel: To_Mail
6. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 0.0.0.014
7. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Trusted
Destination Address:
Address Book Entry: (seleccione), Mail Ser
Service: Remote_Mail
Action: Tunnel
VPN Tunnel: branch_corp
Modify matching bidirectional VPN policy: (se
Position at Top: (seleccione)
14. El ISP proporciona la dirección IP de la puerta de enlace de forma dinámica a través del protocolo DHCP.
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
158
avanzados y haga clic en uración básica de directiva:
User - pmason
s y haga clic en OK :
e)
s y haga clic en OK :
e)
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Authentication: (seleccione)
Auth Server: Local
User: (seleccione), Local Auth
WebUI (NetScreen-B)
1. InterfacesNetwork > Interfaces > Edit (para ethernet2): Introduzca los siguientes dato
Zone Name: DMZ
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 3.3.3.3/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 2.2.2.2/24
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Mail Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 3.3.3.5/32
Zona: DMZ
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
159
lic en OK :
clic en OK :
los siguientes servicios y,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: branch office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3. ServiciosObjects > Services > Custom > New: Introduzca los siguientes datos y haga
Service Name: Ident
Service Timeout:
Use protocol default: (seleccione)
Transport Protocol: TCP (seleccione)
Source Port: Low 0, High 65535
Destination Port: Low 113, High 113
Objects > Services > Group > New: Introduzca los siguientes datos, muevafinalmente, haga clic en OK :
Group Name: Remote_Mail
Group Members << Available Members:
Ident
POP3
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
160
y haga clic en OK :
vanzados y haga clic en ación básica de puerta de
urity Level): pre-g2-3des-sha
vanzados y haga clic en ación básica de puerta de
urity Level): rsa-g2-3des-sha
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
Gateway Name: To_branchSecurity Level: CustomRemote Gateway Type:
Dynamic IP Address: (seleccione), Peer ID: p
Clave previamente compartidaPreshared Key: h1p8A24nG5Outgoing Interface: ethernet3> Advanced: Introduzca los siguientes ajustes a
Return para regresar a la página de configurenlace:
Security Level: CustomPhase 1 Proposal (for Custom SecMode (Initiator): Aggressive
(o bien)
CertificadosOutgoing Interface: ethernet3> Advanced: Introduzca los siguientes ajustes a
Return para regresar a la página de configurenlace:
Security Level: CustomPhase 1 Proposal (for Custom SecMode (Initiator): AggressivePreferred Certificate (optional):
Peer CA: VerisignPeer Type: X509-SIG
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
161
OK :
es datos y haga clic en OK :
haga clic en OK :
ver
ffice
leccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: corp_branch
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_branch
5. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
6. DirectivasPolicies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Mail Ser
Destination Address:
Address Book Entry: (seleccione), branch o
Service: Remote_Mail
Action: Tunnel
VPN Tunnel: corp_branch
Modify matching bidirectional VPN policy: (se
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
162
1.5
113-113
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (NetScreen-A)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 dhcp clientset interface ethernet3 dhcp client settings server 1.1.
2. Usuarioset user pmason password Nd4syst4
3. Direccionesset address trust “trusted network” 10.1.1.0/24set address untrust “mail server” 3.3.3.5/32
4. Serviciosset service ident protocol tcp src-port 0-65535 dst-portset group service remote_mailset group service remote_mail add httpset group service remote_mail add ftpset group service remote_mail add telnetset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
163
-id [email protected] posal pre-g2-3des-sha
-id [email protected] a
17
mail server” user pmasonted network”
ke ca .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. VPN
Clave previamente compartidaset ike gateway to_mail address 2.2.2.2 aggressive local
outgoing-interface ethernet3 preshare h1p8A24nG5 proset vpn branch_corp gateway to_mail sec-level compatible
(o bien)
Certificadosset ike gateway to_mail address 2.2.2.2 aggressive local
outgoing-interface ethernet3 proposal rsa-g2-3des-shset ike gateway to_mail cert peer-ca 116
set ike gateway to_mail cert peer-cert-type x509-sigset vpn branch_corp gateway to_mail sec-level compatible
6. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
7. Directivasset policy top from trust to untrust “trusted network” “
remote_mail tunnel vpn branch_corp auth server Localset policy top from untrust to trust “mail server” “trus
remote_mail tunnel vpn branch_corpsave
15. El U-FQDN “[email protected]” debe aparecer en el campo SubjectAltName del certificado.
16. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get i
17. El ISP proporciona la dirección IP de la puerta de enlace de forma dinámica a través del protocolo DHCP.
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
164
113-113
ive outgoing-interface haompatible
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (NetScreen-B)
1. Interfacesset interface ethernet2 zone dmzset interface ethernet2 ip 3.3.3.3/24
set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24
2. Direccionesset address dmz “mail server” 3.3.3.5/32set address untrust “branch office” 10.1.1.0/24
3. Serviciosset service ident protocol tcp src-port 0-65535 dst-portset group service remote_mailset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3
4. VPN
Clave previamente compartida
set ike gateway to_branch dynamic [email protected] aggressethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-s
set vpn corp_branch gateway to_branch tunnel sec-level c
(o bien)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
165
ive outgoing-interface
le
gateway 2.2.2.250
office” remote_mail
server” remote_mail
ke ca .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Certificados
set ike gateway to_branch dynamic [email protected] aggressethernet3 proposal rsa-g2-3des-sha
set ike gateway to_branch cert peer-ca 118
set ike gateway to_branch cert peer-cert-type x509-sigset vpn corp_branch gateway to_branch sec-level compatib
5. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
6. Directivasset policy top from dmz to untrust “mail server” “branch
tunnel vpn corp_branchset policy top from untrust to dmz “branch office” “mail
tunnel vpn corp_branchsave
18. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get i
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
166
a entre las oficinas de Tokio y son las siguientes:
to trust-vr. La interfaz de zona
thernet1): 10.2.2.1/24
(ethernet3): 2.2.2.2/24
ParísZona Trust
eth1, 10.2.2.1/24
Zona Trust
st
París
Topología de las zonas nfiguradas en el dispositivo
NetScreen de París
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: VPN punto a punto basada en rutas, clave manualEn este ejemplo, un túnel con clave manual ofrece un canal de comunicación segurParís. Las zonas Trust de cada punto se encuentran en modo NAT. Las direcciones
Las zonas de seguridad Trust y Untrust se encuentran en el dominio de enrutamienUntrust (ethernet3) actúa como interfaz de salida para el túnel VPN.
• Tokio:
- Interfaz de zona Trust (ethernet1): 10.1.1.1/24
- Interfaz de zona Untrust (ethernet3): 1.1.1.1/24
• París:
- Interfaz de zona Trust (e
- Interfaz de zona Untrust
TokioZona Trust
eth1, 10.1.1.1/24
Interfaz de salidaZona Untrust
eth3, 1.1.1.1/24Puerta de enlace
1.1.1.250
Túnel VPN
Internet
Interfaz de salidaZona Untrust
eth3, 2.2.2.2/24Puerta de enlace
2.2.2.250
Topología de las zonas configuradas en el dispositivo
NetScreen de Tokio
Zona Trust
Zona Untrust
ZonaUntru
TokioParísTokio
co
Interfaz de túneltunnel.1
Interfaz de túneltunnel.1
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
167
reen a ambos extremos del
uridad y a la interfaz de túnel.
asociarla a la interfaz de túnel.
tas de direcciones para las
al destino a través de la s alejada de cero) a la ruta nula n, si el estado de la interfaz de
n se inactiva, el dispositivo lugar de la ruta
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Para configurar el túnel, lleve a cabo los siguientes pasos en los dispositivos NetSctúnel:
1. Asignar direcciones IP a las interfaces físicas asociadas a las zonas de seg
2. Configurar el túnel VPN, designar su interfaz de salida en la zona Untrust y
3. Introducir las direcciones IP de los puntos finales local y remoto en las librezonas Trust y Untrust.
4. Introducir una ruta predeterminada al enrutador externo en trust-vr, una rutainterfaz de túnel y otra ruta nula al destino. Asigne una métrica más alta (mápara que se convierta en la siguiente opción de ruta al destino. A continuaciótúnel cambia a “inactivo” y la ruta que hace referencia a esa interfaz tambiéNetScreen utiliza la ruta nula, que descarta todo tráfico enviado hacia él, enpredeterminada, que reenvía tráfico no encriptado.
5. Definir directivas para la circulación del tráfico VPN entre ambos sitios.
WebUI (Tokio)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
168
ga clic en OK :
lic en OK :
lic en OK :
K :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Paris_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Untrust
3. VPNVPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en O
VPN Tunnel Name: Tokyo_Paris
Gateway IP: 2.2.2.2
Security Index: 3020 (Local), 3030 (Remote)
Outgoing Interface: ethernet3
ESP-CBC: (seleccione)
Encryption Algorithm: 3DES-CBC
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
169
avanzados y haga clic en uración básica del túnel de
l.1
es datos y haga clic en OK :
es datos y haga clic en OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Generate Key by Password: asdlk24234
Authentication Algorithm: SHA-1
Generate Key by Password: PNas134a
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configclave manual:
Bind to: Tunnel Interface, tunne
4. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
170
haga clic en OK :
N
ffice
haga clic en OK :
ffice
N
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: To Paris
Source Address:
Address Book Entry: (seleccione), Trust_LA
Destination Address:
Address Book Entry: (seleccione), Paris_O
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Name: From Paris
Source Address:
Address Book Entry: (seleccione), Paris_O
Destination Address:
Address Book Entry: (seleccione), Trust_LA
Service: ANY
Action: Permit
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
171
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
ga clic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (París)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.2.2.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Trust
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
172
lic en OK :
K :
avanzados y haga clic en uración básica del túnel de
l.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Tokyo_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3. VPNVPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en O
VPN Tunnel Name: Paris_Tokyo
Gateway IP: 1.1.1.1
Security Index: 3030 (Local), 3020 (Remote)
Outgoing Interface: ethernet3
ESP-CBC: (seleccione)
Encryption Algorithm: 3DES-CBC
Generate Key by Password: asdlk24234
Authentication Algorithm: SHA-1
Generate Key by Password: PNas134a
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configclave manual:
Bind to: Tunnel Interface, tunne
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
173
es datos y haga clic en OK :
es datos y haga clic en OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. RutasNetwork > Routing > Routing Entries > trust-vr New : Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Network > Routing > Routing Entries > trust-vr New : Introduzca los siguient
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New : Introduzca los siguient
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
174
haga clic en OK :
N
ffice
haga clic en OK :
ffice
N
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: To Tokyo
Source Address:
Address Book Entry: (seleccione), Trust_LA
Destination Address:
Address Book Entry: (seleccione), Tokyo_O
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Name: From Tokyo
Source Address:
Address Book Entry: (seleccione), Tokyo_O
Destination Address:
Address Book Entry: (seleccione), Trust_LA
Service: ANY
Action: Permit
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
175
going-interface ssword PNas134a
gateway 1.1.1.2501tric 10
t_LAN Paris_Office any
aris_Office Trust_LAN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (Tokio)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3
2. Direccionesset address trust Trust_LAN 10.1.1.0/24set address untrust Paris_Office 10.2.2.0/24
3. VPNset vpn Tokyo_Paris manual 3020 3030 gateway 2.2.2.2 out
ethernet3 esp 3des password asdlk24234 auth sha-1 paset vpn Tokyo_Paris bind interface tunnel.1
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.2.2.0/24 interface tunnel.set vrouter trust-vr route 10.2.2.0/24 interface null me
5. Directivasset policy top name “To Paris” from trust to untrust Trus
permitset policy top name “From Paris” from untrust to trust P
any permitsave
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
176
going-interface ssword PNas134a
gateway 2.2.2.2501tric 10
t_LAN Tokyo_Office any
okyo_Office Trust_LAN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (París)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3
2. Direccionesset address trust Trust_LAN 10.2.2.0/24set address untrust Tokyo_Office 10.1.1.0/24
3. VPNset vpn Paris_Tokyo manual 3030 3020 gateway 1.1.1.1 out
ethernet3 esp 3des password asdlk24234 auth sha-1 paset vpn Paris_Tokyo bind interface tunnel.1
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.1.1.0/24 interface tunnel.set vrouter trust-vr route 10.1.1.0/24 interface null me
5. Directivasset policy top name “To Tokyo” from trust to untrust Trus
permitset policy top name “From Tokyo” from untrust to trust T
any permitsave
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
177
nuala entre las oficinas de Tokio y t de cada punto se encuentran
en el dominio de enrutamiento l túnel VPN.
10.2.2.1/24
): 2.2.2.2/24
ParísZona Trust
th1, 10.2.2.1/24
Zona Trust
st
París
Topología de las zonas nfiguradas en el dispositivo
NetScreen de París
Zona Untrust-Tun
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: VPN punto a punto basada en directivas, clave maEn este ejemplo, un túnel con clave manual ofrece un canal de comunicación segurParís utilizando ESP con encriptación 3DES y autenticación SHA-1. Las zonas Trusen modo NAT. Las direcciones son las siguientes:
Las zonas de seguridad Trust y Untrust y la zona de túnel Untrust-Tun se encuentrantrust-vr. La interfaz de zona Untrust (ethernet3) actúa como interfaz de salida para e
• Tokio:
- Interfaz Trust (ethernet1): 10.1.1.1/24
- Interfaz Untrust (ethernet3): 1.1.1.1/24
• París:
- Interfaz Trust (ethernet1):
- Interfaz Untrust (ethernet3
TokioZona Trust
eth1, 10.1.1.1/24
Interfaz de salidaZona Untrust
eth3, 1.1.1.1/24Puerta de enlace
1.1.1.250
Túnel VPN
Internete
Interfaz de salidaZona Untrust
eth3, 2.2.2.2/24Puerta de enlace
2.2.2.250
Topología de las zonas configuradas en el dispositivo
NetScreen de Tokio
Zona Trust
Zona Untrust
ZonaUntru
TokioParísTokio
co
Zona Untrust-Tun
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
178
etScreen-A ambos extremos
uridad.
tas de direcciones para las
por el túnel.
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Para configurar el túnel, lleve a cabo los cinco pasos siguientes en los dispositivos Ndel túnel:
1. Asignar direcciones IP a las interfaces físicas asociadas a las zonas de seg
2. Configurar el túnel VPN y designar su interfaz de salida en la zona Untrust.
3. Introducir las direcciones IP de los puntos finales local y remoto en las librezonas Trust y Untrust.
4. Introducir una ruta predeterminada que conduzca al enrutador externo.
5. Configurar directivas para que el tráfico VPN circule de forma bidireccional
WebUI (Tokio)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trust_LAN
IP Address/Domain Name:
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
179
lic en OK :
K :
avanzados y haga clic en uración básica del túnel de
un
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Paris_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Untrust
3. VPNVPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en O
VPN Tunnel Name: Tokyo_Paris
Gateway IP: 2.2.2.2
Security Index: 3020 (Local), 3030 (Remote)
Outgoing Interface: ethernet3
ESP-CBC: (seleccione)
Encryption Algorithm: 3DES-CBC
Generate Key by Password: asdlk24234
Authentication Algorithm: SHA-1
Generate Key by Password: PNas134a
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configclave manual:
Bind to: Tunnel Zone, Untrust-T
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
180
es datos y haga clic en OK :
haga clic en OK :
N
ffice
leccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: To/From Paris
Source Address:
Address Book Entry: (seleccione), Trust_LA
Destination Address:
Address Book Entry: (seleccione), Paris_O
Service: ANY
Action: Tunnel
Tunnel VPN: Tokyo_Paris
Modify matching bidirectional VPN policy: (se
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
181
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (París)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.2.2.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 2.2.2.2/24
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Tokyo_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
182
K :
020 (Remote)
avanzados y haga clic en uración básica del túnel de
un
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. VPNVPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en O
VPN Tunnel Name: Paris_Tokyo
Gateway IP: 1.1.1.1
Security Index (HEX Number): 3030 (Local), 3
Outgoing Interface: ethernet3
ESP-CBC: (seleccione)
Encryption Algorithm: 3DES-CBC
Generate Key by Password: asdlk24234
Authentication Algorithm: SHA-1
Generate Key by Password: PNas134a
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configclave manual:
Bind to: Tunnel Zone, Untrust-T
4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
183
haga clic en OK :
N
ffice
leccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: To/From Tokyo
Source Address:
Address Book Entry: (seleccione), Trust_LA
Destination Address:
Address Book Entry: (seleccione), Tokyo_O
Service: ANY
Action: Tunnel
Tunnel VPN: Paris_Tokyo
Modify matching bidirectional VPN policy: (se
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
184
going-interface ssword PNas134a
gateway 1.1.1.250
t Trust_LAN
t paris_office
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (Tokio)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direccionesset address trust Trust_LAN 10.1.1.0/24set address untrust paris_office 10.2.2.0/24
3. VPNset vpn tokyo_paris manual 3020 3030 gateway 2.2.2.2 out
ethernet3 esp 3des password asdlk24234 auth sha-1 paset vpn tokyo_paris bind zone untrust-tun
4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
5. Directivasset policy top name “To/From Paris” from trust to untrus
paris_office any tunnel vpn tokyo_parisset policy top name “To/From Paris” from untrust to trus
Trust_LAN any tunnel vpn tokyo_parissave
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto
185
going-interface ssword PNas134a
gateway 2.2.2.250
t Trust_LAN
t tokyo_office
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (París)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24
2. Direccionesset address trust Trust_LAN 10.2.2.0/24set address untrust tokyo_office 10.1.1.0/24
3. VPNset vpn paris_tokyo manual 3030 3020 gateway 1.1.1.1 out
ethernet3 esp 3des password asdlk24234 auth sha-1 paset vpn paris_tokyo bind zone untrust-tun
4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
5. Directivasset policy top name “To/From Tokyo” from trust to untrus
tokyo_office any tunnel vpn paris_tokyoset policy top name “To/From Tokyo” from untrust to trus
Trust_LAN any tunnel vpn paris_tokyosave
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
186
especificar su nombre de . Por ejemplo, un proveedor de rotocolo DHCP. El ISP toma
e conectan en línea. Aunque el forma impredecible. El ain Name Service”) entre su
dinámico).uede avisar manualmente al ada vez que el dispositivo
N en el que se esté ejecutando cambios de dirección para que
o de dispositivo terminal VPN, utomática entre FQDN y
es posible configurar un túnel e una dirección IP.
28 = www.ns.com
Servidor DNS
terlocutor IKE
Servidor DHCP
2s.com
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
PUERTAS DE ENLACE IKE DINÁMICAS CON FQDNPara un interlocutor IKE que obtenga su dirección IP de forma dinámica, es posible dominio completo (FQDN) en la configuración local para la puerta de enlace remotaservicios de Internet (ISP) podría asignar direcciones IP a sus clientes a través del pdirecciones de un amplio conjunto de direcciones y las asigna cuando los clientes sinterlocutor IKE posee un FQDN que no varía, tiene una dirección IP que cambia deinterlocutor IKE dispone de tres métodos para mantener una asignación DNS (“DomFQDN y su dirección IP asignada de forma dinámica (un proceso denominado DNS
• Si el interlocutor IKE remoto es un dispositivo NetScreen, el administrador pservidor DNS para que actualice su asignación entre FQDN y dirección IP cNetScreen reciba una dirección IP nueva de su ISP.
• Si el interlocutor IKE remoto es cualquier otro tipo de dispositivo terminal VPsoftware DNS dinámico, dicho software puede notificar al servidor DNS susel servidor actualice su tabla de asignación entre FQDN y dirección IP.
• Si el interlocutor IKE remoto es un dispositivo NetScreen o cualquier otro tipun host ubicado detrás de él puede ejecutar un programa de actualización adirección IP que avise al servidor DNS de los cambios de dirección.
Sin que sea necesario conocer la dirección IP actual de un interlocutor IKE remoto, VPN AutoKey IKE que conecte con dicho interlocutor utilizando su FQDN en lugar d
2.2.2.
2.2.2.10 –2.2.7.9
Conjunto de direcciones IP
InDispositivo NetScreen local
1.1.1.1Túnel VPN
Internet
1. El servidor DHCP toma la dirección 2.2.2.28 de su conjunto de direcciones IP y la asigna al interlocutor IKE.
2. El interlocutor IKE notifica al servidor DNS la nueva dirección para que éste pueda actualizar su tabla de asignación entre FQDN y dirección IP.
1
www.n
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
187
ervidor DNS al que consulta el elve varias direcciones IP, el re el orden de aparición de las
en local utilice la dirección IP
Servidor DNS
nterlocutor IKE remoto
nterlocutor IKE remoto
terlocutor IKE remoto
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
AliasTambién es posible utilizar un alias para el FQDN del interlocutor IKE remoto si el sdispositivo NetScreen local devuelve sólo una dirección IP. Si el servidor DNS devudispositivo local utilizará la primera que reciba. Como no existe ninguna garantía sobdirecciones en la respuesta del servidor DNS, es posible que el dispositivo NetScreincorrecta y, por tanto, las negociaciones IKE podrían fracasar.
Consulta DNS: www.jnpr.net = IP ?
Respuesta DNS:www.jnpr.net = 1.1.1.202www.jnpr.net = 1.1.1.114www.jnpr.net = 1.1.1.20
El dispositivo NetScreen utiliza esta dirección IP.
Si el interlocutor IKE remoto se encuentra en 1.1.1.202, las negociaciones IKE se desarrollan
con éxito.
Dispositivo NetScreen local
Dispositivo NetScreen local I
Si el interlocutor IKE remoto se encuentra en
1.1.1.114 ó
1.1.1.20, las negociaciones IKE fracasan.
Dispositivo NetScreen local I
El dispositivo NetScreen local desea establecer un túnel VPN IKE con su
interlocutor remoto. Utiliza www.jnpr.net como dirección de puerta
de enlace remota.
Dispositivo NetScreen local In
1
2
3a
3b
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
188
partido o un par de certificados de Tokio y París. La oficina de kio utiliza el FQDN del en su configuración de
veles de seguridad de las fases todo de clave previamente stas predefinido “Compatible”
Zona Trust
París
opología de las zonas guradas en el dispositivo NetScreen de París
ParísZona Trust
eth1, 10.2.2.1/24
l.11.1.1.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Interlocutor AutoKey IKE con FQDNEn este ejemplo, un túnel VPN AutoKey IKE que utiliza un secreto previamente com(uno por cada extremo del túnel) proporciona una conexión segura entre dos oficinasParís tiene una dirección IP asignada de forma dinámica, por lo que la oficina de Tointerlocutor remoto (www.nspar.com) como dirección de la puerta de enlace remotatúnel VPN.
La siguiente configuración corresponde a un túnel VPN basado en rutas. Para los ni1 y 2, debe especificar una propuesta de fase 1 (ya sea pre-g2-3des-sha para el mécompartida o rsa-g2-3des-sha para certificados) y seleccionar el conjunto de propuepara la fase 2. Todas las zonas se encuentran en trust-vr.
Topología de las zonas configuradas en el dispositivo
NetScreen de Tokio
Zona Trust
Zona Untrust
ParísTokio
Zona Untrust
Tokio
Tconfi
TokioZona Trust
eth1, 10.1.1.1/24
Interfaz de salidaZona Untrust
eth3, 1.1.1.1/24Puerta de enlace
1.1.1.250
Túnel VPN
Internet
Interfaz de salidaZona Untrust
eth3, IP y puerta de enlace a través del
protocolo DHCPwww.nspar.com
Interfaz de túnel: tunnePuerta de enlace remota:
Interfaz de túnel: tunnel.1Puerta de enlace remota: www.nspar.com
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
189
viamente compartido o
uridad y a la interfaz de túnel.
ecificar un secreto previamente
sociarla a la interfaz de túnel y
tas de direcciones para las
al destino a través de la s alejada de cero) a la ruta nula n, si el estado de la interfaz de
n se inactiva, el dispositivo lugar de la ruta
sume que ambos participantes a obtener información sobre la os y ejemplos: manual de
s y haga clic en Apply :
e)
OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
La configuración de un túnel AutoKey IKE basado en rutas mediante un secreto precertificados implica los siguientes pasos:
1. Asignar direcciones IP a las interfaces físicas asociadas a las zonas de seg
2. Definir la puerta de enlace remota y el modo de intercambio de claves, y espcompartido o un certificado.
3. Configurar el túnel VPN, designar su interfaz de salida en la zona Untrust, aconfigurar su ID de proxy.
4. Introducir las direcciones IP de los puntos finales local y remoto en las librezonas Trust y Untrust.
5. Introducir una ruta predeterminada al enrutador externo en trust-vr, una rutainterfaz de túnel y otra ruta nula al destino. Asigne una métrica más alta (mápara que se convierta en la siguiente opción de ruta al destino. A continuaciótúnel cambia a “inactivo” y la ruta que hace referencia a esa interfaz tambiéNetScreen utiliza la ruta nula, que descarta todo tráfico enviado hacia él, enpredeterminada, que reenvía tráfico no encriptado.
6. Definir directivas para la circulación del tráfico entre ambos sitios.
En los ejemplos siguientes, la clave previamente compartida es h1p8A24nG5. Se atienen certificados RSA y utilizan Entrust como autoridad de certificación (CA). (Paradquisición y la carga de certificados, consulte el Volumen 4 de NetScreen conceptreferencia, VPNs ).
WebUI (Tokio)1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
190
s y haga clic en OK :
e)
ga clic en OK :
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Paris_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Untrust
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
191
tos y haga clic en OK :
/Hostname: www.nspar.com
avanzados y haga clic en uración básica de puerta de
ecurity Level): pre-g2-3des-sha
tion)
avanzados y haga clic en uración básica de puerta de
ecurity Level): rsa-g2-3des-sha
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: To_Paris
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address
Clave previamente compartida
Preshared Key: h1p8A24nG5
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Main (ID Protec
(o bien)
Certificados
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Preferred certificate (optional)
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
192
OK :
avanzados y haga clic en uración básica de AutoKey IKE:
l.1
24
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Peer CA: Entrust
Peer Type: X509-SIG
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: Tokyo_Paris
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Paris
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Security Level: Compatible
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 10.1.1.0/24
Remote IP / Netmask: 10.2.2.0/
Service: ANY
4. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 0.0.0.019
19. El ISP proporciona la dirección IP de la puerta de enlace de forma dinámica a través del protocolo DHCP.
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
193
es datos y haga clic en OK :
es datos y haga clic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: To_Paris
Source Address: Trust_LAN
Destination Address: Paris_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
194
ientes datos y haga clic en OK :
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Policies > Policy (From: Untrust, To: Trust) > New Policy: Introduzca los sigu
Name: From_Paris
Source Address: Paris_Office
Destination Address: Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
WebUI (París)
1. Nombre de host y nombre de dominioNetwork > DNS: Introduzca los siguientes datos y haga clic en Apply :
Host Name: www
Domain Name: nspar.com
2. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.2.2.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Obtain IP using DHCP: (seleccione)
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
195
ga clic en OK :
lic en OK :
lic en OK :
tos y haga clic en OK :
/Hostname: 1.1.1.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
3. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Tokyo_Office
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
4. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: To_Tokyo
Security Level: Custom
Remote Gateway Type:
Static IP Address: (seleccione), IP Address
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
196
avanzados y haga clic en uración básica de puerta de
ecurity Level): pre-g2-3des-sha
tion)
avanzados y haga clic en uración básica de puerta de
ecurity Level): rsa-g2-3des-sha
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Clave previamente compartida
Preshared Key: h1p8A24nG5
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Main (ID Protec
(o bien)
Certificados
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Preferred certificate (optional)
Peer CA: Entrust
Peer Type: X509-SIG
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
197
OK:
avanzados y haga clic en uración básica de AutoKey IKE:
l.1
24
es datos y haga clic en OK:
es datos y haga clic en OK:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
Name: Paris_Tokyo
Security Level: Custom
Remote Gateway:
Predefined: (seleccione), To_Tokyo
> Advanced: Introduzca los siguientes ajustesReturn para regresar a la página de config
Security Level: Compatible
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 10.2.2.0/24
Remote IP / Netmask: 10.1.1.0/
Service: ANY
5. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
198
es datos y haga clic en OK :
haga clic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
6. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Name: To Tokyo
Source Address: Trust_LAN
Destination Address: Tokyo_Office
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Name: From Tokyo
Source Address: Tokyo_Office
Destination Address: Trust_LAN
Service: ANY
Action: Permit
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
199
oing-interface hae
-ip 10.2.2.0/24 any
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (Tokio)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3
2. Direccionesset address trust Trust_LAN 10.1.1.0/24set address untrust paris_office 10.2.2.0/24
3. VPN
Clave previamente compartidaset ike gateway to_paris address www.nspar.com main outg
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sset vpn tokyo_paris gateway to_paris sec-level compatiblset vpn tokyo_paris bind interface tunnel.1set vpn tokyo_paris proxy-id local-ip 10.1.1.0/24 remote
(o bien)
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
200
oing-interface
e
-ip 10.2.2.0/24 any
gateway 1.1.1.2501tric 10
t_LAN paris_office any
aris_office Trust_LAN
ke ca .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Certificadoset ike gateway to_paris address www.nspar.com main outg
ethernet3 proposal rsa-g2-3des-shaset ike gateway to_paris cert peer-ca 120
set ike gateway to_paris cert peer-cert-type x509-sigset vpn tokyo_paris gateway to_paris sec-level compatiblset vpn tokyo_paris bind interface tunnel.1set vpn tokyo_paris proxy-id local-ip 10.1.1.0/24 remote
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.2.2.0/24 interface tunnel.set vrouter trust-vr route 10.2.2.0/24 interface null me
5. Directivasset policy top name “To Paris” from trust to untrust Trus
permitset policy top name “From Paris” from untrust to trust p
any permitsave
20. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get i
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
201
nterface ethernet3
e
-ip 10.1.1.0/24 any
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (París)
1. Nombre de host y nombre de dominioset hostname wwwset domain nspar.com
2. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip dhcp-client enable
set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3
3. Direccionesset address trust Trust_LAN 10.2.2.0/24set address untrust tokyo_office 10.1.1.0/24
4. VPN
Clave previamente compartida
set ike gateway to_tokyo address 1.1.1.1 main outgoing-ipreshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn paris_tokyo gateway to_tokyo sec-level compatiblset vpn paris_tokyo bind interface tunnel.1set vpn paris_tokyo proxy-id local-ip 10.2.2.0/24 remote
(o bien)
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN
202
nterface ethernet3
e
-ip 10.1.1.0/24 any
gateway 2.2.2.2501tric 10
t_LAN tokyo_office any
okyo_office Trust_LAN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Certificado
set ike gateway to_tokyo address 1.1.1.1 main outgoing-iproposal rsa-g2-3des-sha
set ike gateway to_tokyo cert peer-ca 1set ike gateway to_tokyo cert peer-cert-type x509-sigset vpn paris_tokyo gateway to_tokyo sec-level compatiblset vpn paris_tokyo bind interface tunnel.1set vpn paris_tokyo proxy-id local-ip 10.2.2.0/24 remote
5. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.1.1.0/24 interface tunnel.set vrouter trust-vr route 10.1.1.0/24 interface null me
6. Directivasset policy top name “To Tokyo” from trust to untrust Trus
permitset policy top name “From Tokyo” from untrust to trust t
any permitsave
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
203
robable que las direcciones de N bidireccional entre dos
os extremos del túnel deben -dst) al tráfico VPN que circule
IP en subredes únicas entre sí, 22. Las directivas que regulan el para traducir las direcciones de
ducir el tráfico VPN entrante y terfaz de túnel (pero no en el nte) o en una dirección de otra de rutas. (Para obtener “Enrutamiento para NAT-Dst”
como dirección de destino. La z de túnel (pero no en el mismo ara obtener información sobre
de direcciones en ambos la dirección de destino del
as direcciones de las que se
cial o totalmente.
cesario que el conjunto incluya la ces de zona de seguridad, es posible
terfaz. Para obtener más información,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
SITIOS VPN CON DIRECCIONES SUPERPUESTASComo el rango de direcciones IP privadas es relativamente pequeño, es bastante plas redes protegidas de dos interlocutores VPN se superpongan21. Para el tráfico VPentidades finales con direcciones superpuestas, los dispositivos NetScreen de los daplicar una traducción de direcciones de red de origen y de destino (NAT-src y NATentre ellos.
Para NAT-src, las interfaces a ambos extremos del túnel deben poseer direcciones con un conjunto de direcciones IP dinámicas (DIP) en cada una de dichas subredestráfico VPN saliente pueden aplicar NAT-src mediante direcciones de conjunto DIP origen originales y convertirlas en direcciones de un espacio de direcciones neutro.
Hay dos posibilidades para aplicar NAT-dst al tráfico VPN entrante:
• NAT-dst basada en directivas: una directiva puede aplicar NAT-dst para traconvertirlo en una dirección que se encuentre en la misma subred que la inmismo rango que el conjunto de DIP local utilizado para el tráfico VPN saliesubred sobre la que el dispositivo NetScreen tenga una entrada en su tablainformación sobre el enrutamiento a la hora de configurar NAT-dst, consulteen la página 7 -42).
• Dirección IP asignada (MIP): una directiva puede hacer referencia a una MIPMIP utiliza una dirección que se encuentra en la misma subred que la interfarango que el conjunto de DIP local utilizado para el tráfico VPN de salida). (Plas MIP, consulte “Direcciones IP asignadas” en la página 7 -92).
El tráfico VPN entre dos puntos con direcciones superpuestas requiere la traducciónsentidos. Como la dirección de origen del tráfico saliente no puede ser la misma quetráfico entrante (la dirección NAT-dst o MIP no puede estar en el conjunto de DIP), lincluyen referencias en las directivas de entrada y salida no pueden ser simétricas.
21. Un espacio de direcciones superpuesto se produce cuando los rangos de direcciones IP de dos redes coinciden par
22. El rango de direcciones en un conjunto de DIP debe estar en la misma subred que la interfaz de túnel, pero no es nedirección IP de la interfaz o cualquier otra dirección MIP o VIP que pueda encontrarse en dicha subred. Para las interfadefinir una dirección IP extendida y un conjunto de DIP auxiliar en una subred distinta de la de la dirección IP de la inconsulte “Interfaz extendida y DIP” en la página 2 -283.
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
204
n y destino para el tráfico VPN
ctivas. Si hace referencia de eriva una ID de proxy a partir positivo NetScreen deriva la ID z que el dispositivo se reinicia.
que se haga referencia en una ario y no la ID de proxy
ner una ID de proxy definida hace referencia de forma (permite o deniega) el acceso interfaz de túnel que, a su vez, mente a ninguna directiva a la dirección de destino y el una configuración VPN basada ico túnel VPN; es decir, una SA
VPN entre dos puntos con
o cumple una tupla especificada de
tunnel.2.20.2.1/24
.2.5 (a 10.1.1.5)2.2 – 10.20.2.2
creen-BEspacio de direcciones
internas10.1.1.0/24
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Si desea que el dispositivo NetScreen realice una traducción de direcciones de origebidireccional que atraviese el mismo túnel, dispone de las dos opciones siguientes:
• Puede definir una ID de proxy23 para una configuración VPN basada en direforma específica a un túnel VPN en una directiva, el dispositivo NetScreen dde los componentes de la directiva que hagan referencia a dicho túnel. El disde proxy al crear la directiva por primera vez, y a partir de entonces, cada veSin embargo, si define manualmente una ID de proxy para un túnel VPN al directiva, el dispositivo NetScreen aplicará la ID de proxy definida por el usuderivada a partir de la directiva.
• Puede utilizar una configuración de túnel VPN basada en rutas, que debe tepor el usuario. Con una configuración de túnel VPN basada en rutas, no se específica a un túnel VPN en una directiva. En su lugar, la directiva controlaa un destino en particular. La ruta que conduce a dicho destino apunta a unaestá asociada a un túnel VPN. Como el túnel VPN no está asociado directapartir de la que se pueda derivar una ID de proxy de la dirección de origen, servicio, habrá que definir una ID de proxy de forma manual. (Recuerde queen rutas también permite crear múltiples directivas que hagan uso de un únde fase 2 sencilla).
Examine las direcciones de la siguiente ilustración en la que se ejemplifica un túnel espacios de direcciones superpuestas:
23. Una ID de proxy es un tipo de acuerdo entre interlocutores IKE para permitir el tráfico a través de un túnel si el tráficdirección local, dirección remota y servicio.
tunnel.110.10.1.1/24 10
10.10.1.2 – 10.10.1.2 DIP10.10.1.5 (a 10.1.1.5) MIP
MIP 10.20DIP 10.20.
NetScreen-A NetSTúnel VPNEspacio de direcciones
internas10.1.1.0/24
Direcciones en directivas
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
205
r de las directivas, como ocurre dan como resultado las
ara el saliente. Cuando el 0.2.5/32, los dos interlocutores fase 2. La SA de fase 2 da ID de proxy de entrada para el
de 10.20.2.2/32 a 10.10.1.5/32 dos interlocutores utilizan la SA negociar una SA de fase 2 y de entrada para NetScreen A ) porque las direcciones son
IDs de proxy con direcciones o del túnel:
áfico VPN entrante como en el to de DIP 10.10.1.2 – 10.10.1.2
en-BRemota Servicio
10.10.1.2/32 Any10.10.1.5/32 Any
-Bta Servicio0/24 Any
/0 Any
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Si los dispositivos NetScreen de la ilustración anterior derivan las ID de proxy a partien las configuraciones VPN basadas en directivas, las directivas de entrada y salidasiguientes IDs de proxy:
Como puede ver, existen dos IDs de proxy: una para el tráfico VPN entrante y otra pdispositivo NetScreen A envía tráfico por primera vez desde 10.10.1.2/32 hasta 10.2realizan negociaciones IKE y generan asociaciones de seguridad (SAs) de fase 1 y como resultado la ID de proxy de salida anterior para el dispositivo NetScreen A y ladispositivo NetScreen B.
Si NetScreen B envía tráfico a NetScreen A, la consulta de directivas para el tráficoindica que no hay ninguna SA de fase 2 activa para tal ID de proxy. Por lo tanto, los de fase 1 existente (asumiendo que su periodo de vigencia no haya caducado) paradistinta. Las IDs de proxy resultantes se indican en la tabla anterior como ID de proxe ID de proxy de salida para NetScreen B. Hay dos SAs de fase 2 (dos túneles VPNasimétricas y requieren IDs de proxy distintas.
Para crear un solo túnel para tráfico VPN bidireccional, puede definir las siguientes cuyo alcance incluya las direcciones de origen y destino traducidas en cada extrem
Las IDs de proxy anteriores comprenden las direcciones que aparecen tanto en el trsaliente que circule entre ambos puntos. La dirección 10.10.1.0/24 incluye el conjun
NetScreen-A NetScreLocal Remota Servicio Local
Salida 10.10.1.2/32 10.20.2.5/32 Any Entrada 10.20.2.5/32Entrada 10.10.1.5/32 10.20.2.2/32 Any Salida 10.20.2.2/32
NetScreen-A NetScreenLocal Remota Servicio Local Remo
10.10.1.0/24 10.20.2.0/24 Any 10.20.2.0/24 10.10.1.o bien
0.0.0.0/0 0.0.0.0/0 Any 0.0.0.0/0 0.0.0.0
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
206
de DIP 10.20.2.2 – 10.20.2.2 y dirección local de NetScreen A etScreen B, la SA de fase 2 y la r lo tanto, sólo se requiere una
dos puntos.
de direcciones superpuestas o se encuentran en subredes
.0/0 – tipo de servicio . Si desea NAT-dst deberán encontrarse
” situado en la sede central y el iones para las entidades finales ar este conflicto, utilizaremos traducir la dirección de destino N corporativa accedan a un n servidor FTP de la sede
: AutoKey IKE, clave mpatible” para propuestas de
n de túnel” en la página 11).
irección IP 1.1.1.1/24 y está puerta de enlace IKE remota.
rigen y destino (NAT-src y
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
y la dirección MIP 10.10.1.5. Asimismo, la dirección 10.20.2.0/24 incluye el conjuntola dirección MIP 10.20.2.524. Las IDs de proxy anteriores son simétricas, es decir, laes la dirección remota de NetScreen B y viceversa. Si NetScreen A envía tráfico a NID de proxy también se aplican al tráfico enviado de NetScreen B a NetScreen A. Poúnica SA de fase 2 (es decir, un único túnel VPN) para el tráfico bidireccional entre
Para crear un túnel VPN para el tráfico bidireccional entre dos puntos con espacios cuando las direcciones para NAT-src y NAT-dst configuradas en el mismo dispositivdistintas, la ID de proxy para el túnel debe ser (IP local) 0.0.0.0/0 – (IP remota) 0.0.0utilizar direcciones más restrictivas en la ID de proxy, las direcciones para NAT-src yen la misma subred.
Ejemplo: Interfaz de túnel con NAT-Src y NAT-DstEn este ejemplo vamos a configurar un túnel VPN entre el dispositivo “NetScreen Adispositivo “NetScreen B” situado en la sucursal de la empresa. El espacio de direccVPN se superpone; ambas utilizan direcciones en la subred 10.1.1.0/24. Para superNAT-src para traducir la dirección de origen del tráfico VPN saliente y NAT-dst paradel tráfico VPN entrante. Las directivas permiten que todas las direcciones de la LAservidor FTP de la sucursal, y que todas las direcciones de la sucursal accedan a ucentral.
Las configuraciones de ambos extremos del túnel utilizan los siguientes parámetrospreviamente compartida (“netscreen1”) y el nivel de seguridad predefinido como “Cofase 1 y fase 2. (Para ver los detalles sobre estas propuestas, consulte “Negociació
La interfaz de salida de NetScreen-A en la sede central es ethernet3, que tiene la dasociada a la zona Untrust. NetScreen-B, en la sucursal, utiliza esta dirección como
24. La dirección 0.0.0.0/0 incluye todas las direcciones IP y, por tanto, las direcciones del conjunto de DIP y MIP.
Nota: Para obtener más información sobre la traducción de direcciones de red de oNAT-dst), consulte el Volumen 7, “Traducción de direcciones”.
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
207
ión IP 2.2.2.2/24 y está omo puerta de enlace IKE
irección IP 10.1.1.1/24. Todas iento trust-vr.
Red B10.1.1.0/24
Servidor B
Servidor B10.1.1.5
4
.1.2.1.1.5
red B
ed B
Zona Trust
de las zonas en NetScreen B ucursal
B
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
La interfaz de salida de NetScreen-B en la sucursal es ethernet3, que tiene la direccasociada a la zona Untrust. NetScreen-A, en la sede central, utiliza esta dirección cremota.
La interfaz de zona Trust de ambos dispositivos NetScreen es ethernet1 y tiene la dlas zonas de ambos dispositivos NetScreen se encuentran en el dominio de enrutam
Red A10.1.1.0/24
Red A
Servidor A10.1.1.5
Tunnel.1 10.10.1.1/24 Tunnel.1 10.20.1.1/2
DIP 6 10.20.1.2 – 10.20NAT-Dst 10.20.1.5 –> 10
Túnel VPN“vpn1”
Los usuarios de la red A pueden acceder al servidor B. Los usuarios de lapueden acceder al servidor A.
Todo el tráfico circula a través del túnel VPN entre los dos puntos.
Servidor A R
Internet
DIP 5 10.10.1.2 – 10.10.1.2NAT-Dst 10.10.1.5 –> 10.1.1.5
NetScreen-A NetScreen-B
Topología de las zonas configuradas en NetScreen-A
en la sede central
Zona Trust
Zona Untrust
Zona Untrust
Topología configuradas
en la s
AA B
Puerta de enlace2.2.2.250
Puerta de enlace2.2.2.250
NetScreen-A NetScreen-B
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
208
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
ga clic en OK :
ientes datos y haga clic en OK :
10.10.1.2
econdary IPs: (seleccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (NetScreen-A)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 10.10.1.1/24
2. DIPNetwork > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los sigu
ID: 5
IP Address Range: (seleccione), 10.10.1.2 ~
Port Translation: (seleccione)
In the same subnet as the interface IP or its s
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
209
lic en OK :
lic en OK :
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: virtualA
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.1.5/32
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: branch1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.20.1.2/32
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: serverB
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.20.1.5/32
Zone: Untrust
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
210
OK :
(seleccione)
name: 2.2.2.2
avanzados y haga clic en uración básica de AutoKey IKE:
l.1
4
/24
aso se encuentran en la misma zona.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. VPNVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: branch1
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet325
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 10.10.1.0/2
Remote IP / Netmask: 10.20.1.0
Service: ANY
25. La interfaz de salida no necesita estar en la misma zona a la que está asociada la interfaz del túnel, aunque en este c
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
211
es datos y haga clic en OK :
es datos y haga clic en OK :
es datos y haga clic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.20.1.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.20.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
6. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), serverB
Service: FTP
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
212
avanzados y haga clic en uración básica de directiva:
ne)0.1.2)/X-late
haga clic en OK :
avanzados y haga clic en uración básica de directiva:
ccione)
e), 10.1.1.5
cción)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Action: Permit
Position at Top: (seleccione)
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
NAT:Source Translation: (seleccio
DIP On: 5 (10.10.1.2–10.1
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), branch1
Destination Address:
Address Book Entry: (seleccione), virtualA
Service: FTP
Action: Permit
Position at Top: (seleccione)
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
NAT:
Destination Translation: (sele
Translate to IP: (seleccion
Map to Port: (anule la sele
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
213
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
ga clic en OK :
ientes datos y haga clic en OK :
10.20.1.2
econdary IPs: (seleccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (NetScreen-B)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 10.20.1.1/24
2. DIPNetwork > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los sigu
ID: 6
IP Address Range: (seleccione), 10.20.1.2 ~
Port Translation: (seleccione)
In the same subnet as the interface IP or its s
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
214
lic en OK :
lic en OK :
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: branch1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: virtualB
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.20.1.5/32
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.1.2/32
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: serverA
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.1.5/32
Zone: Untrust
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
215
OK :
(seleccione)
name: 1.1.1.1
avanzados y haga clic en uración básica de AutoKey IKE:
l.1
4
/24
aso se encuentran en la misma zona.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. VPNVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: corp
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet326
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 10.20.1.0/2
Remote IP / Netmask: 10.10.1.0
Service: ANY
26. La interfaz de salida no necesita estar en la misma zona a la que está asociada la interfaz del túnel, aunque en este c
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
216
es datos y haga clic en OK :
es datos y haga clic en OK :
es datos y haga clic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.10.1.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.10.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
6. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), serverA
Service: FTP
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
217
avanzados y haga clic en uración básica de directiva:
ne)0.1.2)/X-late
haga clic en OK :
avanzados y haga clic en uración básica de directiva:
ccione)
selección)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Action: Permit
Position at Top: (seleccione)
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
NAT:Source Translation: (seleccio
DIP on: 6 (10.20.1.2–10.2
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), virtualB
Service: FTP
Action: Permit
Position at Top: (seleccione)
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
NAT:
Destination Translation: (sele
Translate to IP: 10.1.1.5
Map to Port: (anule la
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
218
ce ethernet327 preshare
.20.1.0/24 any
aso se encuentran en la misma zona.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (NetScreen-A)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip 10.10.1.1/24
2. DIPset interface tunnel.1 dip 5 10.10.1.2 10.10.1.2
3. Direccionesset address trust corp 10.1.1.0/24set address trust virtualA 10.10.1.5/32set address untrust branch1 10.20.1.2/32set address untrust serverB 10.20.1.5/32
4. VPNset ike gateway branch1 address 2.2.2.2 outgoing-interfa
netscreen1 sec-level compatibleset vpn vpn1 gateway branch1 sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 10.10.1.0/24 remote-ip 10
27. La interfaz de salida no necesita estar en la misma zona a la que está asociada la interfaz del túnel, aunque en este c
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
219
gateway 1.1.1.250.1etric 10
t src dip-id 5 permitp nat dst ip 10.1.1.5
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.20.1.0/24 interface tunnelset vrouter trust-vr route 10.20.1.0/24 interface null m
6. Directivasset policy top from trust to untrust corp serverB ftp naset policy top from untrust to trust branch1 virtualA ft
permitsave
CLI (NetScreen-B)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip 10.20.1.1/24
2. DIPset interface tunnel.1 dip 6 10.20.1.2 10.20.1.2
3. Direccionesset address trust branch1 10.1.1.0/24set address trust virtualB 10.20.1.5/32set address untrust corp 10.10.1.2/32set address untrust serverA 10.10.1.5/32
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas
220
ethernet328 preshare
.10.1.0/24 any
gateway 2.2.2.250.1etric 10
nat src dip-id 6
at dst ip 10.1.1.5
aso se encuentran en la misma zona.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. VPNset ike gateway corp address 1.1.1.1 outgoing-interface
netscreen1 sec-level compatibleset vpn vpn1 gateway corp sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 10.20.1.0/24 remote-ip 10
5. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.10.1.0/24 interface tunnelset vrouter trust-vr route 10.10.1.0/24 interface null m
6. Directivasset policy top from trust to untrust branch1 serverA ftp
permitset policy top from untrust to trust corp virtualB ftp n
permitsave
28. La interfaz de salida no necesita estar en la misma zona a la que está asociada la interfaz del túnel, aunque en este c
Capítulo 4 VPNs punto a punto VPN en modo transparente
221
(es decir, si no tienen VLAN1 como punto terminal de se encuentran en modo NAT o hace referencia a una zona de e salida. Si tiene múltiples ra de ellas.
I está compuesto por siete capas; la
s se encuentren en modo sobre el modo transparente,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
VPN EN MODO TRANSPARENTESi las interfaces de los dispositivos NetScreen se encuentran en modo transparentedirecciones IP y operan en la capa 2 del modelo OSI29), puede utilizar la dirección IP la VPN. En lugar de una interfaz de salida, tal como se utiliza cuando las interfaces de rutas (es decir, cuando tienen direcciones IP y operan en la capa 3), un túnel VPNsalida. De forma predeterminada, un túnel utiliza la zona V1-Untrust como su zona dinterfaces asociadas a la misma zona de salida, el túnel VPN puede utilizar cualquie
29. El modelo OSI es un modelo estándar en el sector de redes de una arquitectura de protocolos de red. El modelo OScapa 2 es la capa de enlace de datos, y la capa 3 es la capa de red.
Nota: En el momento de esta publicación, un dispositivo NetScreen cuyas interfacetransparente sólo admite VPN basadas en directivas. Para obtener más informaciónconsulte “Modo transparente” en la página 2 -108.
Capítulo 4 VPNs punto a punto VPN en modo transparente
222
sparente entre dos dispositivos
mbos extremos del túnel son
ntren en modo transparente. odo transparente, y las del
NetScreen-B
ace: ethernet1, 0.0.0.0/0e la administración para el administrador local)
ace: ethernet3, 0.0.0.0/0
el tráfico administrativo y la dirección
Address: 2.2.2.2/24Manage IP: 2.2.2.3
lan: 2.2.2.0/24 in V1-Trustn: 1.1.1.0/24 in V1-Untrust
, preshared key h1p8A24nG5, security: compatible
security: compatible
> peer_lan, any service, vpn1> local_lan, any service, vpn1
Address: 2.2.2.250
0/0, use VLAN1 interfaceo gateway 2.2.2.250
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: VPN AutoKey IKE basada en directivas en modo tranEn este ejemplo, vamos a configurar un túnel VPN AutoKey IKE basado en directivasNetScreen cuyas interfaces operan en modo transparente.
Los elementos clave para la configuración de los dispositivos NetScreen situados a aéstos:
Nota: No es necesario que las interfaces de ambos dispositivos NetScreen se encueLas interfaces del dispositivo situado a un extremo del túnel pueden encontrarse en motro dispositivo pueden encontrarse en modo NAT o de rutas.
Elementos de configuración
NetScreen-A
Zona V1-Trust Interface: ethernet1, 0.0.0.0/0(habilite la administración para el
administrador local)
Interf(habilit
Zona V1-Untrust Interface: ethernet3, 0.0.0.0/0 Interf
Interfaz VLAN1 IP Address: 1.1.1.1/24Manage IP: 1.1.1.2*
* Puede separar el tráfico VPN del administrativo utilizando la dirección IP de administración para recibirVLAN1 para terminar el tráfico VPN.
IP
Direcciones local_lan: 1.1.1.0/24 in V1-Trustpeer_lan: 2.2.2.0/24 en V1-Untrust
local_peer_la
Puerta de enlace IKE gw1, 2.2.2.2, preshared key h1p8A24nG5, security: compatible
gw1, 1.1.1.1
Túnel VPN security: compatible
Directivas local_lan -> peer_lan, any service, vpn1peer_lan -> local_lan, any service, vpn1
local_lan -peer_lan -
Enrutador externo IP Address: 1.1.1.250 IP
Ruta 0.0.0.0/0, use VLAN1 interfaceto gateway 1.1.1.250
0.0.0.t
Capítulo 4 VPNs punto a punto VPN en modo transparente
223
etScreen cuyas interfaces se
de seguridad de capa 2.
LAN1.
tas de direcciones para las
t.
ust-vr.
tes datos y haga clic en OK :
e que el dispositivo NetScreen a de configurar un dispositivo rimera dirección VLAN1 y ar la dirección VLAN1, deberá la misma subred que la nueva trabajo en una subred
faz VLAN1 para que un administrador e la WebUI aún no está habilitada en a realizar estos ajustes. En su lugar,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
La configuración de un túnel AutoKey IKE basado en directivas para un dispositivo Nencuentren en modo transparente implica los siguientes pasos:
1. Eliminar las direcciones IP de las interfaces físicas y asociarlas a las zonas
2. Asignar una dirección IP y una dirección IP de administración a la interfaz V
3. Introducir las direcciones IP de los puntos finales local y remoto en las librezonas V1-Trust y V1-Untrust.
4. Configurar el túnel VPN y designar su zona de salida como zona V1-Untrus
5. Introducir una ruta predeterminada que conduzca al enrutador externo en tr
6. Definir directivas para la circulación del tráfico VPN entre ambos sitios.
WebUI (NetScreen-A)
1. Interfaces
Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguien
IP Address/Netmask: 1.1.1.1/24
Manage IP: 1.1.1.2
Management Services: WebUI, Telnet, Ping30
Nota: El desplazamiento de la dirección IP VLAN1 a una subred distinta hacelimine todas las rutas relacionadas con la interfaz VLAN1 anterior. A la horNetScreen a través de la WebUI, la estación de trabajo debe acceder a la pencontrarse en la misma subred que la dirección nueva. Después de cambimodificar la dirección IP de su estación de trabajo para que se encuentre endirección VLAN1. Es posible que también tenga que reubicar su estación defísicamente adyacente al dispositivo NetScreen.
30. Se deben habilitar las opciones de administración para WebUI, Telnet y Ping tanto en la zona V1-Trust como en la interlocal de la zona V1-Trust pueda acceder a la dirección IP de administración de VLAN1. Si la administración a través dlas interfaces de zona V1-Trust y VLAN1, no será posible acceder al dispositivo NetScreen a través de la WebUI pardeberá habilitar la administración mediante WebUI en estas interfaces a través de una conexión de consola.
Capítulo 4 VPNs punto a punto VPN en modo transparente
224
s y haga clic en Apply :
OK :
s y haga clic en OK :
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Management Services: WebUI, Telnet
Other Services: Ping
Seleccione los siguientes datos y haga clic en
Zone Name: V1-Trust
IP Address/Netmask: 0.0.0.0/0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: V1-Untrust
IP Address/Netmask: 0.0.0.0/0
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: local_lan
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.0/24
Zone: V1-Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: peer_lan
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.0/24
Zone: V1-Untrust
Capítulo 4 VPNs punto a punto VPN en modo transparente
225
tos y haga clic en OK :
/Hostname: 2.2.2.2
OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: gw1
Security Level: Compatible
Remote Gateway Type:
Static IP Address: (seleccione), IP Address
Preshared Key: h1p8A24nG5
Outgoing Zone: V1-Untrust
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn1
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), gw1
4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: VLAN1 (VLAN)
Gateway IP Address: 1.1.1.250
Capítulo 4 VPNs punto a punto VPN en modo transparente
226
haga clic en OK :
leccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), local_lan
Destination Address:
Address Book Entry: (seleccione), peer_lan
Service: ANY
Action: Tunnel
Tunnel VPN: vpn1
Modify matching bidirectional VPN policy: (se
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto VPN en modo transparente
227
tes datos y haga clic en OK :
s y haga clic en Apply :
OK :
s y haga clic en OK :
e que el dispositivo NetScreen a de configurar un dispositivo rimera dirección VLAN1 y ar la dirección VLAN1, deberá la misma subred que la nueva trabajo en una subred
á posible acceder al dispositivo ebUI en estas interfaces a través de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (NetScreen-B)
1. Interfaces
Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguien
IP Address/Netmask: 2.2.2.2/24
Manage IP: 2.2.2.3
Management Services: WebUI31, Telnet, Ping
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Management Services: WebUI, Telnet
Other Services: Ping
Seleccione los siguientes datos y haga clic en
Zone Name: V1-Trust
IP Address/Netmask: 0.0.0.0/0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: V1-Untrust
IP Address/Netmask: 0.0.0.0/0
Nota: El desplazamiento de la dirección IP VLAN1 a una subred distinta hacelimine todas las rutas relacionadas con la interfaz VLAN1 anterior. A la horNetScreen a través de la WebUI, la estación de trabajo debe acceder a la pencontrarse en la misma subred que la dirección nueva. Después de cambimodificar la dirección IP de su estación de trabajo para que se encuentre endirección VLAN1. Es posible que también tenga que reubicar su estación defísicamente adyacente al dispositivo NetScreen.
31. Si la administración a través de la WebUI aún no está habilitada en las interfaces de zona V1-Trust y VLAN1, no serNetScreen a través de la WebUI para realizar estos ajustes. En su lugar, deberá habilitar la administración mediante Wuna conexión de consola.
Capítulo 4 VPNs punto a punto VPN en modo transparente
228
lic en OK :
lic en OK :
tos y haga clic en OK :
/Hostname: 1.1.1.1
OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: local_lan
IP Address/Domain Name:
IP/Netmask: (seleccione), 2.2.2.0/24
Zone: V1-Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: peer_lan
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.1.1.0/24
Zone: V1-Untrust
3. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: gw1
Security Level: Compatible
Remote Gateway Type:
Static IP Address: (seleccione), IP Address
Preshared Key: h1p8A24nG5
Outgoing Zone: V1-Untrust
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn1
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), gw1
Capítulo 4 VPNs punto a punto VPN en modo transparente
229
es datos y haga clic en OK :
haga clic en OK :
leccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: VLAN1 (VLAN)
Gateway IP Address: 2.2.2.250
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), local_lan
Destination Address:
Address Book Entry: (seleccione), peer_lan
Service: ANY
Action: Tunnel
Tunnel VPN: vpn1
Modify matching bidirectional VPN policy: (se
Position at Top: (seleccione)
Capítulo 4 VPNs punto a punto VPN en modo transparente
230
ce v1-untrust preshare
faz VLAN1 para que un administrador
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (NetScreen-A)
1. Interfaces y zonasunset interface ethernet1 ipunset interface ethernet1 zoneset interface ethernet1 zone v1-trustset zone v1-trust manage webset zone v1-trust manage telnetset zone v1-trust manage ping32
unset interface ethernet3 ipunset interface ethernet3 zoneset interface ethernet3 zone v1-untrust
set interface vlan1 ip 1.1.1.1/24set interface vlan1 manage-ip 1.1.1.2set interface vlan1 manage webset interface vlan1 manage telnetset interface vlan1 manage ping
2. Direccionesset address v1-trust local_lan 1.1.1.0/24set address v1-untrust peer_lan 2.2.2.0/24
3. VPNset ike gateway gw1 address 2.2.2.2 main outgoing-interfa
h1p8A24nG5 sec-level compatibleset vpn vpn1 gateway gw1 sec-level compatible
32. Se deben habilitar las opciones de administración para WebUI, Telnet y Ping tanto en la zona V1-Trust como en la interlocal de la zona V1-Trust pueda acceder a la dirección IP de administración de VLAN1.
Capítulo 4 VPNs punto a punto VPN en modo transparente
231
eway 1.1.1.250
r_lan any tunnel vpn
l_lan any tunnel vpn
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface vlan1 gat
5. Directivasset policy top from v1-trust to v1-untrust local_lan pee
vpn1set policy top from v1-untrust to v1-trust peer_lan loca
vpn1save
CLI (NetScreen-B)
1. Interfaces y zonasunset interface ethernet1 ipunset interface ethernet1 zoneset interface ethernet1 zone v1-trustset zone v1-trust manage
unset interface ethernet3 ipunset interface ethernet3 zoneset interface ethernet3 zone v1-untrust
set interface vlan1 ip 2.2.2.2/24set interface vlan1 manage-ip 2.2.2.3set interface vlan1 manage
2. Direccionesset address v1-trust local_lan 2.2.2.0/24set address v1-untrust peer_lan 1.1.1.0/24
Capítulo 4 VPNs punto a punto VPN en modo transparente
232
ce v1-untrust preshare
eway 2.2.2.250
r_lan any tunnel vpn
l_lan any tunnel vpn
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. VPNset ike gateway gw1 address 1.1.1.1 main outgoing-interfa
h1p8A24nG5 sec-level compatibleset vpn vpn1 gateway gw1 sec-level compatible
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface vlan1 gat
5. Directivasset policy top from v1-trust to v1-untrust local_lan pee
vpn1set policy top from v1-untrust to v1-trust peer_lan loca
vpn1save
5
233
Capítulo 5
e configurar un dispositivo etScreen-Remote o a otro
las VPN de acceso telefónico:
E” en la página 235
mico” en la página 244
dinámico” en la página 256
en la página 267
gina 290
página 298
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
VPNs de acceso telefónico
Los dispositivos NetScreen admiten conexiones a VPNs de acceso telefónico. PuedNetScreen con una dirección IP estática para asegurar un túnel IPSec a un cliente Ndispositivo NetScreen con una dirección IP dinámica.
En este capítulo se ofrecen ejemplos de los siguientes conceptos relacionados con
• “VPNs de acceso telefónico” en la página 234
– “Ejemplo: VPN de acceso telefónico basada en directivas, AutoKey IK
– “Ejemplo: VPN de acceso telefónico basada en rutas, interlocutor diná
– “Ejemplo: VPN de acceso telefónico basada en directivas, interlocutor
– “Ejemplo: Directivas bidireccionales para VPNs de acceso telefónico”
• “Identificación IKE de grupo” en la página 275
– “Ejemplo: Identificación IKE de grupo (certificados)” en la página 281
– “Ejemplo: ID IKE de grupo (claves previamente compartidas)” en la pá
• “Identificación IKE compartida” en la página 297
– “Ejemplo: ID IKE compartida (claves previamente compartidas)” en la
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
234
ndividual o reuniendo varios igurar un túnel. También es ario cuya identificación IKE se
Esto permite ahorrar bastante tendrá que configurar a cada
el dispositivo telefónico para interlocutor puerta de enlace segura etScreen-Remote o a otro
nico a VPNs. En el caso de un ivas o basada en rutas. Dado irtual, al igual que el dispositivo n interna virtual a través de una n rutas entre el dispositivo
consulte “Usuarios y grupos de identificación IKE de grupo,
lte el Capítulo 1, “IPSec”. Si , “Directivas VPN”.
al.
interlocutor dinámico punto a fónico es una dirección virtual.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
VPNS DE ACCESO TELEFÓNICOEs posible configurar túneles para usuarios de VPN de acceso telefónico de forma iusuarios en un grupo VPN de acceso telefónico, en cuyo caso sólo tendrá que confposible crear un usuario de identificación IKE de grupo, lo que permite definir un usuutilizará como parte de todas las IDs IKE de los usuarios IKE de acceso telefónico. tiempo cuando hay grandes grupos de usuarios de acceso telefónico, puesto que nousuario IKE individualmente.
Si el cliente de acceso telefónico admite una dirección IP interna virtual, como haceNetScreen-Remote, también puede crear un túnel AutoKey IKE de VPN de acceso dinámico (con clave o certificados previamente compartidos). Puede configurar unaNetScreen con una dirección IP estática para asegurar un túnel IPSec a un cliente Ndispositivo NetScreen con una dirección IP dinámica.
Puede configurar túneles VPN basados en directivas para usuarios de acceso telefócliente dinámico de acceso telefónico1, puede configurar una VPN basada en directque el cliente dinámico de acceso telefónico puede admitir una dirección IP interna vNetScreen, puede configurar una entrada de la tabla de enrutamiento a esa direccióinterfaz de túnel designada. De esta forma podrá configurar un túnel VPN basado eNetScreen y el cliente.
Nota: Para obtener más información sobre la creación de grupos de usuarios IKE, usuarios IKE” en la página 8 -78. Para obtener más información sobre la función deconsulte “Identificación IKE de grupo” en la página 275.
Nota: Para obtener más información sobre las opciones de VPN disponibles, consudesea obtener ayuda para elegir entre las distintas opciones, consulte el Capítulo 3
1. Un cliente dinámico de acceso telefónico es un cliente de acceso telefónico que admite una dirección IP interna virtu
Nota: Un interlocutor dinámico de acceso telefónico es prácticamente idéntico a unpunto, excepto por el hecho de que la dirección IP interna del cliente de acceso tele
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
235
toKey IKEa o un par de certificados (uno suario IKE Wendy y el servidor -1.
ente compartida o con
el dominio de enrutamiento
na Trust.
uario de acceso telefónico
certificados. Para obtener más
Zona Trust
ina corporativaZona Trustnet1, 10.1.1.1/24
Servidor UNIX
10.1.1.5LAN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: VPN de acceso telefónico basada en directivas, AuEn este ejemplo, un túnel AutoKey IKE que utiliza una clave previamente compartidpor cada extremo del túnel2) proporciona el canal de comunicación segura entre el uUNIX. El túnel, nuevamente, utiliza ESP con encriptación 3DES y autenticación SHA
Para configurar el túnel AutoKey IKE utilizando AutoKey IKE con una clave previamcertificados, es necesario realizar la siguiente configuración en la empresa:
1. Configurar interfaces para las zonas Trust y Untrust, que se encuentran en trust-vr.
2. Introducir la dirección del servidor UNIX en la libreta de direcciones de la zo
3. Definir a Wendy como usuario IKE.
4. Configurar la puerta de enlace remota y la VPN AutoKey IKE.
5. Configurar una ruta predeterminada.
6. Crear una directiva de la zona Untrust a la zona Trust que permita que el usacceda a UNIX.
2. La clave previamente compartida es h1p8A24nG5. Se parte de la base de que ambos participantes ya disponen de información sobre los certificados, consulte “Certificados y CRLs” en la página 29.
Internet
Túnel VPN
Zona Untrust
Usuario remoto: WendyNetScreen-Remote
Ofic
ether
Interfaz de salidaZona Untrust
ethernet3, 1.1.1.1/24Puerta de enlace
1.1.1.250
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
236
mbos participantes ya tienen ote contiene el U-FQDN os, consulte “Certificados y cificar la propuesta de fase 1 3des-sha para certificados) y
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
La clave previamente compartida es h1p8A24nG5. En este ejemplo se asume que acertificados RSA emitidos por Verisign, y que el certificado local en [email protected]. (Para más información sobre cómo obtener y cargar certificadCRLs” en la página 29). Para los niveles de seguridad de las fases 1 y 2, debe espe(ya sea pre-g2-3des-sha para el método de clave previamente compartida o rsa-g2-seleccionar el conjunto de propuestas predefinido “Compatible” para la fase 2.
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: UNIX
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
237
en OK :
tos y haga clic en OK :
avanzados y haga clic en uración básica de puerta de
ecurity Level): pre-g2-3des-sha
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. UsuarioObjects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: Wendy
Status: Enable (seleccione)
IKE User: (seleccione)
Simple Identity: (seleccione)
IKE Identity: [email protected]
4. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: Wendy_NSR
Security Level: Custom
Remote Gateway Type:
Dialup User: (seleccione), User: Wendy
Clave previamente compartida
Preshared Key: h1p8A24nG5
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Aggressive
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
238
avanzados y haga clic en uración básica de puerta de
ecurity Level): rsa-g2-3des-sha
OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
(o bien)
Certificados
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Aggressive
Preferred Certificate (optional):
Peer CA: Verisign
Peer Type: X509-SIG
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: Wendy_UNIX
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), Wendy_NSR
5. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
239
haga clic en OK :
VPN
ule la selección)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
6. DirectivaPolicies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Dial-Up
Destination Address:
Address Book Entry: (seleccione), UNIX
Service: ANY
Action: Tunnel
Tunnel VPN: Wendy_UNIX
Modify matching bidirectional VPN policy: (an
Position at Top: (seleccione)
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direcciónset address trust unix 10.1.1.5/32
3. Usuarioset user wendy ike-id u-fqdn [email protected]
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
240
ng-interface ethernet3
e
ng-interface ethernet3
e
gateway 1.1.1.250
any tunnel vpn
ki x509 list ca-cert .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. VPN
Clave previamente compartida
set ike gateway wendy_nsr dialup wendy aggressive outgoipreshare h1p8A24nG5 proposal pre-g2-3des-sha
set vpn wendy_unix gateway wendy_nsr sec-level compatibl
(o bien)
Certificados
set ike gateway wendy_nsr dialup wendy aggressive outgoiproposal rsa-g2-3des-sha
set ike gateway wendy_nsr cert peer-ca 13
set ike gateway wendy_nsr cert peer-cert-type x509-sigset vpn wendy_unix gateway wendy_nsr sec-level compatibl
5. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
6. Directivaset policy top from untrust to trust “Dial-Up VPN” unix
wendy_unixsave
3. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get p
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
241
a conexión que aparecerá en
leccione)
pliar la directiva de la conexión.
clic en OK .
ctive Enable Perfect Forward
y y, a continuación, en el change (Phase 2) para ampliar
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Editor de directivas de seguridad de NetScreen-Remote
1. Haga clic en Options > Secure > Specified Connections .
2. Haga clic en Add a new connection y escriba UNIX junto al icono de nuevpantalla.
3. Configure las opciones de conexión:
Connection Security: Secure
Remote Party Identity and Addressing:
ID Type: IP Address, 10.1.1.5
Protocol: All
Connect using Secure Gateway Tunnel: (se
ID Type: IP Address, 1.1.1.1
4. Haga clic en el signo MÁS situado a la izquierda del icono de UNIX para am
5. Haga clic en My Identity: Siga uno de estos dos pasos:
Haga clic en Pre-shared Key > Enter Key : Escriba h1p8A24nG5 y haga
ID Type: (seleccione E-mail Address ) y escriba [email protected] .
(o bien)
Seleccione un certificado en la lista desplegable Select Certificate.
ID Type: (seleccione E-mail Address )4
6. Haga clic en el icono Security Policy , seleccione Aggressive Mode y desaSecrecy (PFS) .
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policsímbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exmás aún la directiva.
4. La dirección de correo electrónico del certificado aparecerá automáticamente en el campo del identificador.
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
242
nte método y algoritmos de
ntes protocolos IPSec:
e los siguientes protocolos
los siguientes protocolos IPSec:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione el siguieautenticación:
Authentication Method: Pre-Shared Key
(o bien)
Authentication Method: RSA Signatures
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguie
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Tunnel
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Tunnel
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
243
e los siguientes protocolos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Tunnel
13. Haga clic en File > Save Changes .
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
244
utor dinámicoispositivo NetScreen-Remote a orreo en la zona DMZ. La ote tiene una dirección IP inistrador del dispositivo
a un túnel VPN apropiado.
de originarse desde el otro enrutamiento Trust-vr.
rreo de la empresa. Cuando na petición IDENT a través del
i el administrador NetScreen tiva de salida que permita el
Zona DMZ
corporativathernet22.2.1/24 Servidor de
correo electrónico
1.2.2.5
Petición IDENT
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: VPN de acceso telefónico basada en rutas, interlocEn este ejemplo, un túnel VPN conecta de forma segura al usuario situado tras el dla interfaz de la zona Untrust del dispositivo NetScreen que protege el servidor de cinterfaz de la zona Untrust tiene una dirección IP estática. El cliente NetScreen-Remexterna asignada dinámicamente y una dirección IP interna estática (virtual). El admNetScreen debe conocer la dirección IP interna del interlocutor por dos motivos:
• Puede utilizarla en directivas.
• Puede crear una ruta asociando la dirección con una interfaz de túnel unida
Cuando el cliente NetScreen-Remote establece el túnel, el tráfico a través de él pueextremo. Todas las zonas del dispositivo NetScreen se encuentran en el dominio de
En este ejemplo, Phil desea acceder a su correo electrónico desde el servidor de cointenta hacerlo, es autenticado por el programa del servidor de correo, que le envía utúnel.
Nota: El servidor de correo puede enviar la petición IDENT a través del túnel sólo sagrega un servicio personalizado para ello (TCP, puerto 113) y establece una directráfico a través del túnel hacia 10.10.10.1.
Internet
Túnel VPN
Zona Untrust
Usuario remoto: PhilNetScreen-Remote
Oficinae1.
Interfaz de salidaethernet31.1.1.1/24
Dirección IP externadinámica
Dirección IP interna10.10.10.1
PeticiónSMTP
Interfaz de túnelTunnel.1Puerta de
enlace 1.1.1.250
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
245
bos participantes ya tienen ote contiene el U-FQDN onsulte “Certificados y CRLs” la propuesta de fase 1 (ya sea a para certificados) y
) a la ruta nula para que se do de la interfaz de túnel activa, el dispositivo NetScreen ruta predeterminada, que
entre Phil y el servidor de
s y haga clic en OK :
e)
s y haga clic en OK :
e)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
La clave previamente compartida es h1p8A24nG5. Partiremos de la base de que amcertificados RSA emitidos por Verisign, y que el certificado local en [email protected]. (Para más información sobre cómo obtener y cargar certificados, cen la página 29). Para los niveles de seguridad de las fases 1 y 2, debe especificar pre-g2-3des-sha para el método de clave previamente compartida o rsa-g2-3des-shseleccionar el conjunto de propuestas predefinido “Compatible” para la fase 2.
Introduzca las tres rutas siguientes en el dispositivo NetScreen:
• Una ruta predeterminada que conduzca al enrutador externo en trust-vr.
• Una ruta al destino a través de la interfaz de túnel.
• Una ruta nula al destino. Asigne una métrica más alta (más alejada de ceroconvierta en la siguiente opción de ruta al destino. A continuación, si el estacambia a “inactivo” y la ruta que hace referencia a esa interfaz también se inutiliza la ruta nula, que descarta todo tráfico enviado hacia él, en lugar de lareenvía tráfico no encriptado.
Finalmente, creará directivas permitiendo que el tráfico fluya en ambas direcciones correo.
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet2): Introduzca los siguientes dato
Zone Name: DMZ
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.2.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
246
ga clic en OK :
lic en OK :
lic en OK :
clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (trust-vr)
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Mail Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.5/32
Zone: DMZ
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Phil
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.10.1/32
Zone: Untrust
3. ServiciosObjects > Services > Custom > New: Introduzca los siguientes datos y haga
Service Name: Ident
Service Timeout:
Use protocol default: (seleccione)
Transport Protocol: TCP (seleccione)
Source Port: Low 1, High 65535
Destination Port: Low 113, High 113
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
247
los siguientes servicios y,
tos y haga clic en OK :
avanzados y haga clic en uración básica de puerta de
ecurity Level): pre-g2-3des-sha
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Objects > Services > Group > New: Introduzca los siguientes datos, muevafinalmente, haga clic en OK :
Group Name: Remote_Mail
Group Members << Available Members:
IdentMAILPOP3
4. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: To_Phil
Security Level: Custom
Remote Gateway Type:
Dynamic IP Address: (seleccione), Peer ID
Clave previamente compartida
Preshared Key: h1p8A24nG5
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Aggressive
(o bien)
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
248
avanzados y haga clic en uración básica de puerta de
ecurity Level): rsa-g2-3des-sha
OK :
avanzados y haga clic en uración básica de AutoKey IKE:
cione), tunnel.1
.1/32
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Certificados
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Aggressive
Preferred Certificate (optional):
Peer CA: Verisign
Peer Type: X509-SIG
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: corp_Phil
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Phil
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Interfaz de túnel: (selec
Proxy-ID: (seleccione)
Local IP / Netmask: 1.2.2.5/32
Remote IP / Netmask: 10.10.10
Service: Any
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
249
es datos y haga clic en OK :
es datos y haga clic en OK :
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.10.10.1/32
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.10.10.1/32
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
250
haga clic en OK :
ver
haga clic en OK :
ver
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
6. DirectivasPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Phil
Destination Address:
Address Book Entry: (seleccione), Mail Ser
Service: Remote_Mail
Action: Permit
Position at Top: (seleccione)
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Mail Ser
Destination Address:
Address Book Entry: (seleccione), Phil
Service: Remote_Mail
Action: Permit
Position at Top: (seleccione)
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
251
113-113
e outgoing-interface ha
10.10.10.1/32 any
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI
1. Interfacesset interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3
2. Direccionesset address dmz “Mail Server” 1.2.2.5/32set address untrust phil 10.10.10.1/32
3. Serviciosset service ident protocol tcp src-port 1-65535 dst-portset group service remote_mailset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3
4. VPN
Clave previamente compartida
set ike gateway to_phil dynamic [email protected] aggressivethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-s
set vpn corp_phil gateway to_phil sec-level compatibleset vpn corp_phil bind interface tunnel.1set vpn corp_phil proxy-id local-ip 1.2.2.5/32 remote-ip
(o bien)
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
252
e outgoing-interface
10.10.10.1/32 any
gateway 1.1.1.250l.1metric 10
mote_mail permitmote_mail permit
ki x509 list ca-cert .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Certificados
set ike gateway to_phil dynamic [email protected] aggressivethernet3 proposal rsa-g2-3des-sha
set ike gateway to_phil cert peer-ca 15
set ike gateway to_phil cert peer-cert-type x509-sigset vpn corp_phil gateway to_phil sec-level compatibleset vpn corp_phil bind interface tunnel.1set vpn corp_phil proxy-id local-ip 1.2.2.5/32 remote-ip
5. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.10.10.1/32 interface tunneset vrouter trust-vr route 10.10.10.1/32 interface null
6. Directivasset policy top from dmz to untrust “Mail Server” phil reset policy top from untrust to dmz phil “Mail Server” resave
5. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get p
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
253
erificación Allow to Specify
de la nueva conexión que
leccione)
pliar la directiva de la conexión.
ctive Enable Perfect Forward
scriba h1p8A24nG5 y haga
ción de correo electrónico elect Certificate”.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
NetScreen-Remote
1. Haga clic en Options > Global Policy Settings y seleccione la casilla de vInternal Network Address .
2. Options > Secure > Specified Connections .
3. Haga clic en el botón Add a new connection y escriba Mail junto al icono aparecerá en pantalla.
4. Configure las opciones de conexión:
Connection Security: Secure
Remote Party Identity and Addressing:
ID Type: IP Address, 1.2.2.5
Protocol: All
Connect using Secure Gateway Tunnel: (se
ID Type: IP Address, 1.1.1.1
5. Haga clic en el signo MÁS situado a la izquierda del icono de unix para am
6. Haga clic en el icono Security Policy, seleccione Aggressive Mode y desaSecrecy (PFS) .
7. Haga clic en My Identity y lleve a cabo una de estas dos acciones:
Haga clic en Pre-shared Key > Enter Key : Eclic en OK .
ID Type: E-mail Address; [email protected]
Internal Network IP Address: 10.10.10.1
(o bien)
Seleccione el certificado que contiene la direc“[email protected]” en la lista desplegable “S
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
254
y y, a continuación, en el change (Phase 2) para ampliar
nte método y algoritmos de
ntes protocolos IPSec:
e los siguientes protocolos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
ID Type: E-mail Address; [email protected]
Internal Network IP Address: 10.10.10.1
8. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policsímbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exmás aún la directiva.
9. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione el siguieautenticación:
Authentication Method: Pre-Shared Key
(o bien)
Authentication Method: RSA Signatures
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
10. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguie
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Tunnel
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
255
e los siguientes protocolos
e los siguientes protocolos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Tunnel
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Tunnel
14. Haga clic en File > Save Changes .
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
256
erlocutor dinámicoispositivo NetScreen-Remote a orreo en la zona DMZ. La ote tiene una dirección IP inistrador del dispositivo garla a la libreta de direcciones uando el cliente sde el otro extremo.
rreo de la empresa. Cuando na petición IDENT a través del
i el administrador NetScreen tiva de salida que permita el
Zona DMZ
ficina corporativaZona DMZ
ernet2, 1.2.2.1/24Servidor de
correo electrónico
1.2.2.5PeticiónIDENT
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: VPN de acceso telefónico basada en directivas, intEn este ejemplo, un túnel VPN conecta de forma segura al usuario situado tras el dla interfaz de la zona Untrust del dispositivo NetScreen que protege el servidor de cinterfaz de la zona Untrust tiene una dirección IP estática. El cliente NetScreen-Remexterna asignada dinámicamente y una dirección IP interna estática (virtual). El admNetScreen debe conocer la dirección IP interna del cliente, de forma que pueda agrede la zona Untrust para su uso en directivas de tráfico de túnel desde ese origen. CNetScreen-Remote establece el túnel, el tráfico que lo atraviesa puede originarse de
En este ejemplo, Phil desea acceder a su correo electrónico desde el servidor de cointenta hacerlo, es autenticado por el programa del servidor de correo, que le envía utúnel.
Nota: El servidor de correo puede enviar la petición IDENT a través del túnel sólo sagrega un servicio personalizado para ello (TCP, puerto 113) y establece una directráfico a través del túnel hacia 10.10.10.1.
Internet
Túnel VPN
Zona Untrust
Usuario remoto: PhilNetScreen-Remote O
eth
Interfaz de salidaZona Untrust
ethernet3, 1.1.1.1/24Puerta de enlace
1.1.1.250
Dirección IP externadinámica
Dirección IP interna10.10.10.1
PeticiónSMTP
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
257
mbos participantes ya tienen ote contiene el U-FQDN onsulte “Certificados y CRLs” la propuesta de fase 1 (ya sea a para certificados) y
s y haga clic en OK :
e)
s y haga clic en OK :
e)
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
La clave previamente compartida es h1p8A24nG5. En este ejemplo se asume que acertificados RSA emitidos por Verisign, y que el certificado local en [email protected]. (Para más información sobre cómo obtener y cargar certificados, cen la página 29.) Para los niveles de seguridad de las fases 1 y 2, debe especificar pre-g2-3des-sha para el método de clave previamente compartida o rsa-g2-3des-shseleccionar el conjunto de propuestas predefinido “Compatible” para la fase 2.
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet2): Introduzca los siguientes dato
Zone Name: DMZ
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.2.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Mail Server
IP Address/Domain Name:
IP/Netmask: (seleccione), 1.2.2.5/32
Zone: DMZ
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
258
lic en OK :
clic en OK :
los siguientes servicios y,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Phil
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.10.1/32
Zone: Untrust
3. ServiciosObjects > Services > Custom > New: Introduzca los siguientes datos y haga
Service Name: Ident
Service Timeout:
Use protocol default: (seleccione)
Transport Protocol: TCP (seleccione)
Source Port: Low 1, High 65535
Destination Port: Low 113, High 113
Objects > Services > Group > New: Introduzca los siguientes datos, muevafinalmente, haga clic en OK :
Group Name: Remote_Mail
Group Members << Available Members:
IdentMAILPOP3
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
259
tos y haga clic en OK :
avanzados y haga clic en uración básica de puerta de
ecurity Level): pre-g2-3des-sha
avanzados y haga clic en uración básica de puerta de
ecurity Level): rsa-g2-3des-sha
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: To_Phil
Security Level: Custom
Remote Gateway Type:
Dynamic IP Address: (seleccione), Peer ID
Clave previamente compartidaPreshared Key: h1p8A24nG5
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Aggressive
(o bien)
CertificadosOutgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Aggressive
Preferred Certificate (optional):
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
260
OK :
es datos y haga clic en OK :
haga clic en OK :
ver
leccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Peer CA: Verisign
Peer Type: X509-SIG
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: corp_Phil
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), To_Phil
5. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
6. DirectivasPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Phil
Destination Address:
Address Book Entry: (seleccione), Mail Ser
Service: Remote_Mail
Action: Tunnel
VPN Tunnel: corp_Phil
Modify matching bidirectional VPN policy: (se
Position at Top: (seleccione)
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
261
113-113
e outgoing-interface ha
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI
1. Interfacesset interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direccionesset address dmz “mail server” 1.2.2.5/32set address untrust phil 10.10.10.1/32
3. Serviciosset service ident protocol tcp src-port 1-65535 dst-portset group service remote_mailset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3
4. VPN
Clave previamente compartida
set ike gateway to_phil dynamic [email protected] aggressivethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-s
set vpn corp_phil gateway to_phil sec-level compatible
(o bien)
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
262
e outgoing-interface
gateway 1.1.1.250
mote_mail tunnel vpn
mote_mail tunnel vpn
ki x509 list ca-cert .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Certificados
set ike gateway to_phil dynamic [email protected] aggressivethernet3 proposal rsa-g2-3des-sha
set ike gateway to_phil cert peer-ca 16
set ike gateway to_phil cert peer-cert-type x509-sigset vpn corp_phil gateway to_phil sec-level compatible
5. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
6. Directivasset policy top from untrust to dmz phil “mail server” re
corp_philset policy top from dmz to untrust “mail server” phil re
corp_philsave
6. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get p
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
263
cify Internal Network
conexión que aparecerá en
leccione)
pliar la directiva de la conexión.
ctive Enable Perfect Forward
scriba h1p8A24nG5 y haga
ción de correo electrónico le “Select Certificate”.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
NetScreen-Remote1. Haga clic en Options > Global Policy Settings y seleccione Allow to Spe
Address .
2. Options > Secure > Specified Connections .
3. Haga clic en Add a new connection y escriba Mail junto al icono de nuevapantalla.
4. Configure las opciones de conexión:
Connection Security: Secure
Remote Party Identity and Addressing:
ID Type: IP Address, 1.2.2.5
Protocol: All
Connect using Secure Gateway Tunnel: (se
ID Type: IP Address, 1.1.1.1
5. Haga clic en el signo MÁS situado a la izquierda del icono de unix para am
6. Haga clic en el icono Security Policy seleccione Aggressive Mode y desaSecrecy (PFS) .
7. Haga clic en My Identity y lleve a cabo una de estas dos acciones:
Haga clic en Pre-shared Key > Enter Key : Eclic en OK .
Internal Network IP Address: 10.10.10.1
ID Type: E-mail Address; [email protected]
(o bien)
Seleccione el certificado que contiene la direc“[email protected]” en la lista desplegab
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
264
y y, a continuación, en el change (Phase 2) para ampliar
nte método y algoritmos de
ntes protocolos IPSec:
ne los siguientes protocolos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Internal Network IP Address: 10.10.10.1
ID Type: E-mail Address; [email protected]
8. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policsímbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exmás aún la directiva.
9. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione el siguieautenticación:
Authentication Method: Pre-Shared Key
(o bien)
Authentication Method: RSA Signatures
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
10. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguie
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccioIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Tunnel
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
265
e los siguientes protocolos
e los siguientes protocolos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Tunnel
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Tunnel
14. Haga clic en File > Save Changes .
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
266
so telefóniconfiguración presenta unas rgo, con una configuración de conocer el espacio de o como dirección de destino ico basada en directivas, de acceso telefónico, el l usuario de acceso telefónico.
l-Up VPN” como dirección de
ráfico se origine en un extremo emoto debe iniciar en primer lefónico de interlocutor ctivas de entrada y salida.
na VPN de acceso telefónico suarios de acceso telefónico A el dispositivo NetScreen envía ue se incluye una referencia en elativa a la VPN del usuario A todo el tráfico VPN saliente
rponerse con una dirección de a un túnel VPN. Si esto ibutos básicos de tráfico número de puerto de destino o ico con una dirección derivada omienda colocar la directiva irectivas.
idireccionales que hacen
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Directivas bidireccionales para usuarios de VPN de acceEs posible crear directivas bidireccionales para VPNs de acceso telefónico. Esta cofunciones similares a la configuración VPN para interlocutores dinámicos. Sin embaVPN para interlocutores dinámicos, el administrador del dispositivo NetScreen debedirecciones IP interno del usuario de acceso telefónico, de forma que pueda utilizarlcuando configure una directiva de salida (consulte “Ejemplo: VPN de acceso telefóninterlocutor dinámico” en la página 256). Con una configuración de usuario de VPN administrador del sitio LAN no necesita conocer el espacio de direcciones interno deEl dispositivo NetScreen que protege la red LAN utiliza la dirección predefinida “Diaorigen en la directiva de entrada y la de destino en la directiva de salida.La posibilidad de crear directivas bidireccionales para un túnel VPN permite que el tde la LAN de la conexión VPN cuando ya se ha establecido la conexión (el equipo rlugar la creación del túnel). Observe que, a diferencia de un túnel VPN de acceso tedinámico, con esta función es necesario que sean idénticos los servicios de las dire
Tenga en cuenta que el espacio de direcciones interno de dos o más usuarios de uconectados simultáneamente podría hacer que se superpusieran. Por ejemplo, los uy B podrían tener un espacio de direcciones IP interno 10.2.2.0/24. Si esto sucede, todo el tráfico de VPN saliente al usuario A y al usuario B a través de la VPN de la qla primera directiva que encuentre en la lista de directivas. Si la directiva de salida raparece primero en la lista de directivas, el dispositivo NetScreen envía al usuario Apara los usuarios A y B.De forma similar, la dirección interna de un usuario de acceso telefónico podría supecualquier otra directiva, independientemente de si esa otra directiva hace referenciasucede, el dispositivo NetScreen aplica la primera directiva que coincida con los atrrelativos a la dirección de origen, dirección de destino, número de puerto de origen,servicio. Para evitar que una directiva bidireccional para una VPN de acceso telefóndinámicamente anule otra directiva con una dirección estática, Juniper Networks recbidireccional de VPN de acceso telefónico en una posición más baja en la lista de d
Nota: NetScreen no admite grupos de servicios ni de direcciones en las directivas breferencia a una configuración de VPN de acceso telefónico.
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
267
fónicoceso telefónico AutoKey IKE Para las negociaciones de la 1d7uU . Seleccione el conjunto
ust para acceder a los ión VPN, el tráfico se puede
entra en modo NAT. La interfaz inada apunta al enrutador
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Directivas bidireccionales para VPNs de acceso teleEn este ejemplo configuraremos directivas bidireccionales para un túnel VPN de acllamado VPN_dial para el usuario IKE dialup-j con la identificación IKE [email protected] .fase 1, utilice la propuesta pre-g2-3des-sha con la clave previamente compartida Jf1predefinidos de propuestas “Compatible” para las negociaciones de la fase 2.
El usuario IKE inicia una conexión VPN al dispositivo NetScreen desde la zona Untrservidores corporativos de la zona Trust. Una vez el usuario IKE establece la conexiniciar desde cualquiera de los dos extremos del túnel.
La interfaz de la zona Trust es ethernet1, tiene la dirección IP 10.1.1.1/24 y se encude la zona Untrust es ethernet3 y tiene la dirección IP 1.1.1.1/24. La ruta predetermexterno situado en 1.1.1.250.
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
268
lic en OK :
en OK :
tos y haga clic en OK :
avanzados y haga clic en uración básica de puerta de
ecurity Level): pre-g2-3des-sha
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
2. ObjetosObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: trust_net
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: dialup-j
Status: Enable
IKE User: (seleccione)
Simple Identity: (seleccione); [email protected]
3. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: dialup1
Security Level: Custom
Remote Gateway Type:
Dialup User: (seleccione); dialup-j
Preshared Key: Jf11d7uU
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Aggressive
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
269
OK :
-j
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: VPN_dial
Security Level: Compatible
Remote Gateway:
Create a Simple Gateway: (seleccione)
Gateway Name: dialup1
Type:
Dialup User: (seleccione); dialup
Preshared Key: Jf11d7uU
Security Level: Compatible
Outgoing Interface: ethernet3
4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 1.1.1.250
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
270
haga clic en OK :
VPN
t
leccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. DirectivasPolicies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Dial-Up
Destination Address:
Address Book Entry: (seleccione), trust_ne
Service: ANY
Action: Tunnel
VPN Tunnel: VPN_dial
Modify matching bidirectional VPN policy: (se
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
271
ng-interface ethernet3
gateway 1.1.1.250
any tunnel vpn
any tunnel vpn
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Objetosset address trust trust_net 10.1.1.0/24set user dialup-j ike-id u-fqdn [email protected]
3. VPNset ike gateway dialup1 dialup dialup-j aggressive outgoi
preshare Jf11d7uU proposal pre-g2-3des-shaset vpn VPN_dial gateway dialup1 sec-level compatible
4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
5. Directivasset policy from untrust to trust “Dial-Up VPN” trust_net
VPN_dialset policy from trust to untrust trust_net “Dial-Up VPN”
VPN_dialsave
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
272
a conexión que aparecerá en
leccione)
pliar la directiva de la conexión.
n OK .
ctive Enable Perfect Forward
y y, a continuación, en el change (Phase 2) para ampliar
nte método y algoritmos de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Editor de directivas de seguridad de NetScreen-Remote
1. Haga clic en Options > Secure > Specified Connections .
2. Haga clic en Add a new connection y escriba Corp junto al icono de nuevpantalla.
3. Configure las opciones de conexión:
Connection Security: Secure
Remote Party Identity and Addressing
ID Type: IP Subnet
Subnet: 10.1.1.0
Mask: 255.255.255.0
Protocol: All
Connect using Secure Gateway Tunnel: (se
ID Type: IP Address, 1.1.1.1
4. Haga clic en el signo MÁS situado a la izquierda del icono de UNIX para am
5. Haga clic en My Identity : Siga uno de estos dos pasos:
Haga clic en Pre-shared Key > Enter Key : Escriba Jf11d7uU y haga clic e
ID Type: (seleccione E-mail Address ) y escriba [email protected] .
6. Haga clic en el icono Security Policy seleccione Aggressive Mode y desaSecrecy (PFS) .
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policsímbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exmás aún la directiva.
8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione el siguieautenticación:
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
273
ntes protocolos IPSec:
e los siguientes protocolos
e los siguientes protocolos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Authentication Method: Pre-Shared Key
(o bien)
Authentication Method: RSA Signatures
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
9. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguie
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Tunnel
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Tunnel
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico
274
e los siguientes protocolos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Tunnel
13. Haga clic en File > Save Changes .
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
275
Por ejemplo, un departamento nicación segura por acceso lta práctico crear una definición
sola definición esté disponible o se aplica a todos los usuarios os los usuarios cuya ida con una identificación IKE
s IKE de una VPN de acceso icho grupo. El número máximo
eguridad admitidas en la fase 1
reen, éste primero extrae y de interlocutor por si el usuario con la identificación IKE
búsqueda de parte de la porada y un usuario ya
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
IDENTIFICACIÓN IKE DE GRUPOAlgunas organizaciones pueden tener muchos usuarios de acceso telefónico VPN. de ventas puede tener cientos de usuarios, muchos de los cuales necesitarán comutelefónico cuando se encuentran fuera de las oficinas. Con tantos usuarios, no resude usuario, una configuración de VPN y una directiva para cada uno.
Para evitar este problema, el método de identificación IKE de grupo permite que unapara múltiples usuarios. La definición de usuario para una identificación IKE de grupque tengan certificados con valores específicos en el nombre completo (DN) o a todidentificación IKE completa y clave previamente compartida en su cliente VPN coincparcial y una clave previamente compartida del dispositivo NetScreen.
Debe agregar un único usuario de identificación IKE de grupo a un grupo de usuariotelefónico y especificar el número máximo de conexiones simultáneas que admitirá dde sesiones simultáneas no podrá exceder el número máximo de asociaciones de so el número máximo de túneles VPN admitidos en la plataforma NetScreen.
Nota: Cuando un usuario IKE de acceso telefónico se conecta al dispositivo NetScutiliza la identificación IKE completa para buscar sus registros de puerta de enlace no pertenece a un grupo de usuarios de identificación IKE de grupo. Si la búsquedacompleta no ofrece ningún resultado, el dispositivo NetScreen realizará una nueva identificación IKE, buscando coincidencias entre la identificación IKE entrante incorconfigurado de la identificación IKE de grupo.
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
276
utenticación IKE para un grupo dependiente para cada uno de o de identificación IKE de grupo cer correctamente un túnel
cifica un certificado que definición de la identificación tScreen.
de identificación IKE de grupo
de ID IKE ASN1-DN IKE parcial: ou=eng
ticar el usuario, NetScreen compara o específico del nombre completo do al grupo de usuarios de acceso on el elemento correspondiente del y del DN utilizados en la carga de identificación IKE que acompaña al cial de la fase 1.
de usuarios de acceso telefónico
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Identificación IKE de grupo con certificadosLa identificación IKE de grupo con certificados es una técnica para llevar a cabo la ade usuarios IKE de acceso telefónico sin tener que configurar un perfil de usuario inellos. En lugar de hacer eso, el dispositivo NetScreen utiliza un único perfil de usuaricon una identificación IKE parcial. El usuario IKE de acceso telefónico podrá estableVPN a un dispositivo NetScreen si la configuración de VPN en su cliente VPN especontenga elementos de nombre completo con coincidan con los configurados comoIKE parcial en el perfil de usuario de identificación IKE de grupo en el dispositivo Ne
ID IKE de grupo completa(nombre completo)
CertificadoDN:
cn=aliceou=eng--------------------
Usuario
TipoID
Para autenun element(DN) asociatelefónico ccertificado datos de la paquete ini
Grupo
Nota: Como el nombre completo en el certificado de Carol no incluye ou=eng , NetScreen rechaza la petición de conexión.
Usuarios IKE de acceso telefónico
Identificación IKE de grupo con certificados
CertificadoDN:
cn=bobou=eng--------------------
CertificadoDN:
cn=carolou=sales--------------------
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
277
ca a continuación:
parcial (como podrán utilizar el perfil de la
telefónico7 y asigne un nombre
e el nombre del grupo de erán del modo dinámico y que certificado cargado en los
cceso telefónico especificada.
información definida en la
o para las negociaciones de la uished Name para el tipo de
do con elementos de nombre io de la ID IKE de grupo podrán o de ID IKE de grupo tiene la ID fase 1 de cualquier usuario ximo de usuarios IKE de
úmero máximo de sesiones
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Puede configurar una identificación IKE de grupo con certificados tal y como se indi
En el dispositivo NetScreen:
1. Cree un nuevo usuario de identificación IKE de grupo con una identidad IKEou=sales,o=netscreen) y especifique cuántos usuarios de acceso telefónicoidentificación IKE de grupo para conectarse.
2. Asigne el nuevo usuario de ID IKE de grupo al grupo de usuarios de accesoal grupo.
3. En la configuración de la VPN de acceso telefónico AutoKey IKE, especifiquusuarios de acceso telefónico, indique que las negociaciones de la fase 1 spara la autenticación se utilizarán certificados (RSA o DSA, según el tipo declientes VPN de acceso telefónico).
4. Cree una directiva que permita el tráfico de entrada a través de la VPN de a
En el cliente VPN:
1. Obtenga y cargue un certificado cuyo nombre completo contenga la misma identificación IKE parcial del dispositivo NetScreen.
2. Configure un túnel VPN al dispositivo NetScreen utilizando el modo dinámicfase 1, especifique el certificado cargado anteriormente y seleccione Distingidentificación IKE local.
A continuación, cada usuario IKE de acceso telefónico que disponga de un certificacompleto que coincidan con la identificación IKE parcial definida en el perfil de usuarestablecer correctamente un túnel al dispositivo NetScreen. Por ejemplo, si el usuariIKE OU=sales,O=netscreen, el dispositivo NetScreen aceptará las negociaciones deque tenga un certificado con esos elementos en su nombre completo. El número máacceso telefónico que se podrán conectar al dispositivo NetScreen dependerá del nsimultáneas que especifique en el perfil de usuario de identificación IKE de grupo.
7. Sólo puede asignar un usuario de ID IKE de grupo a un grupo de usuarios IKE.
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
278
leto según la norma ASN-1 tación constituye una cadena ejemplo:
ID ASN1-DN del interlocutor
o si los valores de los campos os identificativos del ASN1-DN da campo identificativo (por ue sigan los campos
o si los valores de los campos s de los campos identificativos iples entradas por cada campo alores en los campos
car el tipo como “wildcard” o tor (p. ej., la siguiente palabra clave: .
a:aís
Estado
ocalidad
rganización
Unidad organizativa
Nombre común
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Tipos de identificación IKE ASN1-DN Wildcard y ContainerCuando se define la ID IKE para un usuario IKE de grupo, se utiliza el nombre comp(ASN1-DN) como tipo de identificación IKE de la configuración de identidad. Esta node valores, ordenados normalmente desde lo más general a lo más específico. Por
Cuando se configura el usuario de la identificación IKE de grupo, debe especificar lacomo uno de estos dos tipos:
• Wildcard: NetScreen autentica la ID de un usuario IKE de acceso telefónicidentificativos del ASN1-DN de dicho usuario coinciden con los de los campdel usuario IKE de grupo. El tipo de ID Wildcard sólo admite un valor por caejemplo, “ou=eng” o bien “ou=sw”, pero no “ou=eng,ou=sw”). Así, el orden qidentificativos en las dos cadenas ASN1-DN no es importante.
• Container: NetScreen autentica la ID de un usuario IKE de acceso telefónicidentificativos del ASN1-DN de dicho usuario coinciden exactamente con lodel ASN1-DN del usuario IKE de grupo. El tipo de ID Container admite múltidentificativo (por ejemplo, “ou=eng,ou=sw,ou=screenos”). El orden de los videntificativos de las dos cadenas ASN1-DN debe ser idéntico.
Cuando configure una ID de ASN1-DN para un usuario IKE remoto, deberá especifi“container”, y definir la ID ASN1-DN que espere recibir en el certificado del interlocu“c=us,st=ca,cn=jrogers”). Si configura una ID ASN1-DN para una ID IKE local, utilice[DistinguishedName]. Incluya los corchetes y escríbalo exactamente como se indica
C=usLeyend
C = P
ST =
L = L
O = O
OU =
CN =
ST=ca
L=sunnyvale
O=juniper
OU=sales
CN=joe
General
Específico
ASN1-DN: C=us,ST=ca,L=sunnyvale,O=juniper,OU=sales,CN=joe
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
279
bre completo del interlocutor de grupo. El orden que sigan ario IKE de acceso telefónico y
ue el orden de los valores en
E=
C=us
ST=
L=
=juniper
OU=
CN=
E Wildcard del N del usuario IKE de grupo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
ID IKE del ASN1-DN de tipo Wildcard
Un ASN1-DN de tipo Wildcard hace necesario que los valores de la ID IKE del nomremoto coincidan con los valores de la ID IKE parcial del ASN1-DN del usuario IKE estos valores en la cadena del ASN1-DN es irrelevante. Por ejemplo, si la ID del usula ID del usuario IKE de grupo son las siguientes:
• ID IKE del ASN1-DN completo del usuario IKE de acceso telefónico: CN=christine,OU=finance,O=netscreen,ST=ca,C=us
• ID IKE parcial del ASN1-DN del usuario IKE de grupo: C=us,O=netscreen
una ID IKE de tipo Wildcard del ASN1-DN hace que coincidan las dos IDs IKE, aunqlas dos IDs difiere.
E=
CN=christine
OU=finance
O=juniper
L=
ST=ca
C=us
O
ID IKE del ASN1-DN del usuario IKE de acceso telefónico
ID IKASN1-D
Autenticación
El ASN1-DN del usuario IKE de acceso telefónico contiene los valores especificados en el ASN1-DN del usuario IKE de grupo. El orden de los valores es irrelevante.
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
280
nga múltiples entradas en cada ID de usuario de acceso l usuario IKE de grupo. Al
N también debe coincidir en las múltiples, su orden en los
E=
C=us
ST=
L=
O=juniper
kt,OU=dom,OU=west
CN=
ntainer del ASN1-DN del ario IKE de grupo
E=
C=us
ST=
L=
O=juniper
kt,OU=dom,OU=west
CN=
Container del ASN1-DN suario IKE de grupo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
ID IKE del ASN1-DN de tipo Container
Una ID de tipo Container del ASN1-DN permite que la ID del usuario IKE de grupo tecampo identificativo. NetScreen autentica un usuario IKE de acceso telefónico si la telefónico contiene valores que coinciden al cien por cien con los valores de la ID decontrario de lo que sucede con el tipo Wildcard, el orden de los campos del ASN1-DIDs del usuario IKE de acceso telefónico y del usuario IKE de grupo. Si hay valores campos correspondientes también deberá ser igual.
El segundo ASN1-DN de usuario IKE de acceso telefónico contiene valores exactamente iguales a los del ASN1-DN del usuario IKE de grupo. Sin embargo, el orden de las entradas múltiples en el campo identificativo OU no es igual.
OU=m
ID IKE del ASN1-DN del usuario IKE de acceso telefónico
ID IKE Cousu
Autenticación
El primer ASN1-DN de usuario IKE de acceso telefónico contiene valores exactamente iguales a los del ASN1-DN del usuario IKE de grupo. El orden de las entradas múltiples en el campo identificativo OU también es igual.
E=
C=us
ST=ca
L= sf
O=juniper
OU=mkt,OU=dom,OU=west
CN=yuki
OU=m
ID IKE del ASN1-DN del usuario IKE de acceso telefónico
ID IKE del u
Autenticación
E=
C=us
ST=ca
L= la
O=juniper
OU=mkt,OU=west,OU=dom
CN=joe
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
281
ser1. A continuación, as en la fase 1 por parte de autoridad de certificación (CA)
El nombre completo (DN) en un como la siguiente cadena:
,CN=a2010002,CN=ns500,
ocutor y el usuario utiliza el ticará el usuario.
se 1 (rsa-g2-3des-sha para la fase 2.
tráfico HTTP a través del túnel liente VPN remoto (utilizando
t/24
web110.1.1.5
Zona Trust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Identificación IKE de grupo (certificados)En este ejemplo definirá un nuevo usuario de identificación IKE de grupo llamado Uconfigurará la definición para que acepte un máximo de 10 negociaciones simultáneclientes VPN con certificados RSA que contengan O=netscreen y OU=marketing . Laserá Verisign. El grupo de usuarios IKE de acceso telefónico será office_1 .
Los usuarios IKE de acceso telefónico envían un nombre completo como su ID IKE. certificado para un usuario IKE de acceso telefónico en este grupo puede aparecer
C=us,ST=ca,L=sunnyvale,O=netscreen,OU=marketing,CN=michael zhangCN=4085557800,CN=rsa-key,CN=10.10.5.44
Como los valores O=netscreen y OU=marketing aparecen en el certificado del interlnombre completo como su tipo de identificación IKE, el dispositivo NetScreen auten
Para los niveles de seguridad de las fases 1 y 2, debe especificar la propuesta de facertificados) y seleccionar el conjunto de propuestas predefinido “Compatible” para
Ahora debe configurar una VPN de acceso telefónico y una directiva que permita elVPN para acceder al servidor web Web1. También se incluirá la configuración del cNetScreen-Remote).
Interfaz de salidaZona Untrust
eth3, 1.1.1.1/24
Zona Truseth1, 10.1.1.1
Modo NAT
Usuario de acceso
telefónico con ID IKE:
o=juniperou=marketing
puerta de enlace 1.1.1.250
Zona Untrust
Túnel VPN
Perfil de usuario de identificación IKE de grupo
User Name: User1Grupo de usuarios: office_1
Nombre completo:o=juniper
ou=marketing
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
282
s y haga clic en OK :
e)
OK :
s y haga clic en OK :
e)
lic en OK :
en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: web1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
3. UsuariosObjects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: User1
Status Enable: (seleccione)
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
283
e)
Name, realice la acción que se
over esta definición de la roup Members.
tos y haga clic en OK :
seleccione), Group: office_1
avanzados y haga clic en uración básica de puerta de
ecurity Level): rsa-g2-3des-sha
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
IKE User: (seleccione)
Number of Multiple Logins with same ID: 10
Use Distinguished Name For ID: (seleccion
OU: marketing
Organization: juniper
Objects > User Groups > Local > New: Escriba office_1 en el campo Groupindica a continuación y, finalmente, haga clic en OK :
Seleccione User1 y utilice el botón << para mcolumna Available Members a la columna G
4. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: Corp_GW
Security Level: Custom
Remote Gateway Type: Dialup User Group: (
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Custom
Phase 1 Proposal (for Custom S
Mode (Initiator): Aggressive
Preferred Certificate (optional):
Peer CA: Verisign
Peer Type: X509-SIG
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
284
OK :
orp_GW
es datos y haga clic en OK :
haga clic en OK :
VPN
ule la selección)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: Corp_VPN
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), C
5. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
6. DirectivaPolicies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Dial-Up
Destination Address:
Address Book Entry: (seleccione), web1
Service: HTTP
Action: Tunnel
Tunnel VPN: Corp_VPN
Modify matching bidirectional VPN policy: (an
Position at Top: (seleccione)
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
285
eting share-limit 10
ng-interface ethernet3
gateway 1.1.1.250
ttp tunnel vpn Corp_VPN
ki x509 list ca-cert .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direcciónset address trust web1 10.1.1.5/32
3. Usuariosset user User1 ike-id asn1-dn wildcard o=juniper,ou=markset user-group office_1 user User1
4. VPNset ike gateway Corp_GW dialup office_1 aggressive outgoi
proposal rsa-g2-3des-shaset ike gateway Corp_GW cert peer-ca 18
set ike gateway Corp_GW cert peer-cert-type x509-sigset vpn Corp_VPN gateway Corp_GW sec-level compatible
5. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
6. Directivaset policy top from untrust to trust “Dial-Up VPN” web1 hsave
8. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get p
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
286
va conexión que aparecerá en
lse el tabulador y escriba 80 .leccione)
pliar la directiva de la conexión.
o=netscreen,ou=marketing en
la lista desplegable.
ctive Enable Perfect Forward
y y, a continuación, en el change (Phase 2) para ampliar
ntes algoritmos de encriptación
Para obtener más información sobre
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Editor de directivas de seguridad de NetScreen-Remote
1. Haga clic en Options > Secure > Specified Connections .2. Haga clic en Add a new connection y escriba web1 junto al icono de nue
pantalla.
3. Configure las opciones de conexión:Connection Security: SecureRemote Party Identity and Addressing
ID Type: IP Address, 10.1.1.5Protocol: Seleccione All , escriba HTTP , puConnect using Secure Gateway Tunnel: (seID Type: IP Address, 1.1.1.1
4. Haga clic en el signo MÁS situado a la izquierda del icono de web1 para am
5. Haga clic en My Identity : Seleccione el certificado que tiene los elementossu nombre completo en la lista desplegable Select Certificate9.
ID Type: Seleccione Distinguished Name en
6. Haga clic en el icono Security Policy seleccione Aggressive Mode y desaSecrecy (PFS) .
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policsímbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exmás aún la directiva.
8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione los siguiee integridad de datos:
Authentication Method: RSA SignaturesEncrypt Alg: Triple DESHash Alg: SHA-1Key Group: Diffie-Hellman Group 2
9. En este ejemplo se parte de la base de que ya ha cargado un certificado adecuado en el cliente NetScreen-Remote.cómo cargar certificados en el cliente NetScreen-Remote, consulte la documentación de NetScreen-Remote.
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
287
ntes protocolos IPSec:
e los siguientes protocolos
e los siguientes protocolos
ne los siguientes protocolos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
9. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguie
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Tunnel
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Tunnel
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccioIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Tunnel
13. Haga clic en File > Save Changes .
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
288
ara llevar a cabo la configurar un perfil de usuario en utiliza un único perfil de IKE de acceso telefónico podrá n de su cliente VPN tiene la
l usuario coincide con la ID IKE
te compartida puede ser una
rio de identificación IKE de grupo
IKE parcial: eng.ns.comor de inicialización de clave mente compartida: N11wWd2
genera en tiempo real una clave te compartida cuando un usuario u identificación IKE completa.
iamente compartida de cada = valor inicial de clave previamente x ID IKE completa).
ticar el usuario, NetScreen compara nerada con la clave previamente que acompaña al paquete inicial de
po de usuarios de acceso telefónico
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
ID IKE de grupo con claves previamente compartidasLa identificación IKE de grupo con claves previamente compartidas es una técnica pautenticación IKE para un grupo de usuarios IKE de acceso telefónico sin tener queindependiente para cada uno de ellos. En lugar de hacer eso, el dispositivo NetScreusuario de identificación IKE de grupo con una identificación IKE parcial. El usuario establecer correctamente un túnel VPN a un dispositivo NetScreen si la configuracióclave previamente compartida correcta y si la mayor parte de la ID IKE completa deparcial del perfil de usuario de la identificación IKE de grupo.
El tipo de ID IKE que utilice para la ID IKE de grupo con función de clave previamendirección de correo electrónico o un nombre de dominio completo (FQDN).
ID IKE de grupo con claves previamente
compartidas+
Clave previamente compartida
alice.eng.ns.com+
011fg3322eda837c
bob.eng.ns.com+
bba7e22561c5da82
carol.ns.com+
834a2bbd32adc4e9
Usua
IDVal
previa
NetScreenpreviamenIKE envía s
(Clave prevusuario IKEcompartida
Para autensu clave gecompartidala fase 1.
Gru
Nota: Como la ID IKE de Carol no es carol.eng.ns.com , NetScreen rechaza la petición de conexión.
Usuarios IKE de acceso telefónico
ID IKE de grupo con claves previamente compartidas
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
289
as tal y como se indica a
parcial (como juniper.net) y la identificación IKE de grupo
so telefónico.
nombre para la puerta de lefónico e introduzca un valor
artida individual para el usuario tida y la ID IKE completa del
nfiguración de un cliente VPN
o en las negociaciones de la nte en el dispositivo NetScreen.
ario individual cuya ID IKE al. Por ejemplo, si el usuario de re de dominio en su ID IKE creen. Por ejemplo:
que se pueden conectar e usuario de ID IKE de grupo.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Puede configurar una identificación IKE de grupo con claves previamente compartidcontinuación:
En el dispositivo NetScreen:
1. Cree un nuevo usuario de identificación IKE de grupo con una identidad IKEespecifique cuántos usuarios de acceso telefónico podrán utilizar el perfil depara conectarse.
2. Asigne el nuevo usuario de ID IKE de grupo a un grupo de usuarios de acce
3. En la configuración de la VPN de acceso telefónico AutoKey IKE, asigne unenlace remota (p. ej., road1), especifique el grupo de usuarios de acceso teinicial de clave previamente compartida.
4. Utilice el siguiente comando CLI para generar una clave previamente compde acceso telefónico utilizando el valor inicial de clave previamente comparusuario (como [email protected]).
exec ike preshare-gen name_str usr_name_str
(por ejemplo) exec ike preshare-gen road1 [email protected]
5. Registre la clave previamente compartida para poder utilizarla durante la coremoto.
En el cliente VPN:
Configure un túnel VPN al dispositivo NetScreen utilizando el modo dinámicfase 1 e introduzca la clave previamente compartida que generó anteriorme
Posteriormente, el dispositivo NetScreen podrá autenticar correctamente a cada usucontenga una sección que coincida con el perfil de usuario de ID IKE de grupo parciID IKE de grupo tiene la identidad IKE juniper.net , cualquier usuario con ese nombpuede iniciar negociaciones IKE de fase 1 en modo dinámico con el dispositivo [email protected] , [email protected] y [email protected] . El número de usuariosdependerá del número máximo de sesiones simultáneas especificadas en el perfil d
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
290
ser2 . A continuación, as en la fase 1 por parte de rmine con la cadena e usuarios IKE de acceso
de seguridad predefinido como miento trust-vr.
s y haga clic en OK :
e)
OK :
st1.1.1/24T
web110.1.1.5
Zona Trust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: ID IKE de grupo (claves previamente compartidas)En este ejemplo definirá un nuevo usuario de identificación IKE de grupo llamado Uconfigurará la definición para que acepte un máximo de 10 negociaciones simultáneclientes VPN con claves previamente compartidas que contengan una ID IKE que tejuniper.net . El valor inicial de la clave previamente compartida es jk930k . El grupo dtelefónico será office_2 .
Tanto para las negociaciones de fase 1 como de fase 2, deberá seleccionar el nivel “Compatible”. Todas las zonas de seguridad se encuentran en el dominio de enruta
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Interfaz de salidaZona Untrust
ethernet3, 1.1.1.1/24
Zona Truethernet1, 10.
Modo NA
Usuario de acceso telefónico
con ID IKE:[email protected]
puerta de enlace 1.1.1.250
Zona Untrust
Túnel VPN
Perfil de usuario de identificación IKE de grupoNombre de usuario: User2
Grupo de usuarios: office_2ID simple: juniper.net
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
291
s y haga clic en OK :
e)
lic en OK :
en OK :
Name, realice la acción que se
asladarlo de la columna mbers.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: web1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
3. UsuariosObjects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: User2
Status: Enable
IKE User: (seleccione)
Number of Multiple Logins with same ID: 10
Simple Identity: (seleccione)
IKE Identity: juniper.net
Objects > User Groups > Local > New: Escriba office_2 en el campo Groupindica a continuación y, finalmente, haga clic en OK :
Seleccione User2 y utilice el botón << para trAvailable Members a la columna Group Me
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
292
OK :
orp_GW
es datos y haga clic en OK :
haga clic en OK :
VPN
ule la selección)
compartida, pero no un valor te compartida. Para introducir de enlace IKE, debe utilizar la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. VPN
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: Corp_VPN
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), C
5. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
6. DirectivaPolicies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Dial-Up
Destination Address:
Address Book Entry: (seleccione), web1
Service: HTTP
Action: Tunnel
Tunnel VPN: Corp_VPN
Modify matching bidirectional VPN policy: (an
Position at Top: (seleccione)
Nota: La WebUI sólo permite introducir un valor para la clave previamenteinicial a partir del cual el dispositivo NetScreen derive una clave previamenun valor inicial para clave previamente compartida al configurar una puertainterfaz CLI.
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
293
preshare jk930k
gateway 1.1.1.250
http tunnel vpn
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direcciónset address trust web1 10.1.1.5/32
3. Usuariosset user User2 ike-id u-fqdn juniper.net share-limit 10set user-group office_2 user User2
4. VPNset ike gateway Corp_GW dialup office_2 aggressive seed-
sec-level compatibleset vpn Corp_VPN gateway Corp_GW sec-level compatible
5. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
6. Directivaset policy top from untrust to trust “Dial-Up VPN” web1
Corp_VPNsave
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
294
nte comando CLI:
ente compartida jk930k (como rp_GW ) y la identificación 11257f691af96916f2 .
va conexión que aparecerá en
lse el tabulador y escriba 80 .
leccione)
pliar la directiva de la conexión.
ctive Enable Perfect Forward
iba
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Obtención de la clave previamente compartida
La clave previamente compartida sólo se puede obtener utilizando el siguie
exec ike preshare-gen name_str usr_name_str
La clave previamente compartida, basada en el valor inicial de clave previamse especificó en la configuración de la puerta de enlace remota llamada Cocompleta de usuario individual [email protected] es 11ccce1d396f8f29ffa93d
Editor de directivas de seguridad de NetScreen-Remote
1. Haga clic en Options > Secure > Specified Connections .
2. Haga clic en Add a new connection y escriba web1 junto al icono de nuepantalla.
3. Configure las opciones de conexión:
Connection Security: Secure
Remote Party Identity and Addressing
ID Type: IP Address, 10.1.1.5
Protocol: Seleccione All , escriba HTTP , pu
Connect using Secure Gateway Tunnel: (se
ID Type: IP Address, 1.1.1.1
4. Haga clic en el signo MÁS situado a la izquierda del icono de web1 para am
5. Haga clic en el icono Security Policy, seleccione Aggressive Mode y desaSecrecy (PFS) .
6. Haga clic en My Identity : Haga clic en Pre-shared Key > Enter Key : Escr11ccce1d396f 8f29 f f a 93d11257f 6 91a f 96916f 2 y haga clic en OK .
ID Type: (seleccione E-mail Address ) y escriba [email protected] .
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
295
y y, a continuación, en el ange (Phase 2) para ampliar
ntes algoritmos de encriptación
e los siguientes protocolos
e los siguientes protocolos
e los siguientes protocolos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policsímbolo MÁS situado a la izquierda de Authentication (Phase 1) y Key Exchaún más la directiva.
8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione los siguiee integridad de datos:
Authentication Method: Pre-Shared Key
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
9. Haga clic en Authentication (Phase 1) > Create New Proposal : SeleccionIPSec:
Authentication Method: Pre-Shared Key
Encrypt Alg: Triple DES
Hash Alg: MD5
Key Group: Diffie-Hellman Group 2
10. Haga clic en Authentication (Phase 1) > Create New Proposal : SeleccionIPSec:
Authentication Method: Pre-Shared Key
Encrypt Alg: DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
11. Haga clic en Authentication (Phase 1) > Create New Proposal : SeleccionIPSec:
Authentication Method: Pre-Shared Key
Encrypt Alg: DES
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo
296
ntes protocolos IPSec:
e los siguientes protocolos
e los siguientes protocolos
e los siguientes protocolos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Hash Alg: MD5
Key Group: Diffie-Hellman Group 2
12. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguie
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Tunnel
14. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Tunnel
15. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Tunnel
16. Haga clic en File > Save Changes .
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida
297
mero de usuarios de acceso de acceso telefónico utilizando a protección IPSec para
mente compartidas, con las
reo electrónico o un nombre de ión de correo electrónico.
E de usuario completa para una única clave previamente
spositivo NetScreen:
usuarios de acceso telefónico ión de correo electrónico como
co.
puerta de enlace de ID IKE
ta.
negociaciones de la fase 1 e ivo NetScreen. A continuación,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
IDENTIFICACIÓN IKE COMPARTIDALa función de identificación IKE compartida facilita la implementación de un gran nútelefónico. Gracias a ella, el dispositivo NetScreen autentica múltiples usuarios VPNuna única identificación IKE de grupo y clave compartida. De esta forma, proporciongrandes grupos de usuarios remotos por medio de una configuración VPN común.
Esta función es similar a la identificación IKE de grupo con función de claves previasiguientes diferencias:
• Con la función de ID IKE de grupo, la ID IKE puede ser una dirección de cordominio completo (FQDN). Para esta función, la ID IKE debe ser una direcc
• En lugar de utilizar el valor inicial de clave previamente compartida y la ID IKgenerar una clave previamente compartida para cada usuario, se especificacompartida para todos los usuarios del grupo.
• Debe utilizar XAuth para autenticar los usuarios individuales.
Para configurar una ID IKE compartida y una clave previamente compartida en el di
1. Cree un nuevo usuario de identificación IKE de grupo y especifique cuántospodrán utilizar la ID IKE para conectarse. En esta función, utilice una direccID IKE.
2. Asigne la nueva ID IKE de grupo a un grupo de usuarios de acceso telefóni
3. En la configuración VPN de acceso telefónico a LAN AutoKey IKE, cree unacompartida.
4. Defina los usuarios XAuth y habilite XAuth en la puerta de enlace IKE remo
En el cliente VPN:
Configure un túnel VPN al dispositivo NetScreen utilizando el modo dinámico en lasintroduzca la clave previamente compartida que definió anteriormente en el dispositéste autenticará cada usuario remoto tal y como se indica a continuación:
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida
298
l cliente VPN comparando la ID reviamente compartida del nticar el usuario individual. de la fase 1 y la fase 2. Si el ctos, comenzarán las
s)o Remote_Sales. Aceptará lave previamente compartida demás, configuraremos dos
de seguridad predefinido como miento trust-vr.
1.1.1/24AT
web110.1.1.5
Zona Trust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Durante las negociaciones de la fase 1, el dispositivo NetScreen primero autentica eIKE y la clave previamente compartida que el cliente envía con la ID IKE y la clave pdispositivo NetScreen. Si coinciden, el dispositivo NetScreen utiliza XAuth para auteEnvía una petición de inicio de sesión al usuario remoto entre las negociaciones IKEusuario remoto consigue conectarse con el nombre de usuario y la contraseña correnegociaciones de la fase 2.
Ejemplo: ID IKE compartida (claves previamente compartidaEn este ejemplo crearemos un nuevo usuario de identificación IKE de grupo llamadhasta 250 negociaciones simultáneas de fase 1 desde clientes VPN con la misma c(abcd1234). El nombre del grupo de usuarios IKE de acceso telefónico será R_S . Ausuarios XAuth, Joe y Mike.
Tanto para las negociaciones de fase 1 como de fase 2, deberá seleccionar el nivel “Compatible”. Todas las zonas de seguridad se encuentran en el dominio de enruta
Interfaz de salidaethernet3, 1.1.1.1/24
ethernet1, 10.Modo N
Usuario de acceso telefónico con
ID IKE: [email protected]ña XAuth: 1234 Zona Untrust
Túneles VPN
Perfil de usuario de ID IKE compartida
Nombre de usuario: Remote_SalesGrupo de usuarios: R_S
ID simple: [email protected]
Usuario de acceso telefónico con
ID IKE: [email protected]ña XAuth: 5678
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida
299
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
lic en OK :
en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: web1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.5/32
Zone: Trust
3. UsuariosObjects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: Remote_Sales
Status: Enable
IKE User: (seleccione)
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida
300
0
me, realice la acción que se
<< para moverlo de la columna mbers.
en OK :
en OK :
tos y haga clic en OK :
ione), R_S
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Number of Multiple Logins with same ID: 25
Simple Identity: (seleccione)
IKE Identity: [email protected]
Objects > User Groups > Local > New: Escriba R_S en el campo Group Naindica a continuación y, finalmente, haga clic en OK :
Seleccione Remote_sales y utilice el botón Available Members a la columna Group Me
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: Joe
Status: Enable
XAuth User: (seleccione)
Password: 1234
Confirm Password: 1234
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: Mike
Status: Enable
XAuth User: (seleccione)
Password: 5678
Confirm Password: 5678
4. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: sales_gateway
Security Level: Compatible (seleccione)
Remote Gateway Type: Dialup Group (selecc
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida
301
y haga clic en Return para a de puerta de enlace:
e)
OK :
les_gateway
avanzados y haga clic en uración básica de AutoKey IKE:
un
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Preshared Key: abcd1234
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes datos regresar a la página de configuración básic
Enable XAuth: (seleccione)
Local Authentication: (seleccion
Allow Any: (seleccione)
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: Sales_VPN
Security Level: Compatible
Remote Gateway: Predefined: (seleccione) sa
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Zone, Untrust-T
5. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida
302
haga clic en OK :
VPN
ule la selección)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
6. DirectivaPolicies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Dial-Up
Destination Address:
Address Book Entry: (seleccione), web1
Service: HTTP
Action: Tunnel
Tunnel VPN: Sales_VPN
Modify matching bidirectional VPN policy: (an
Position at Top: (seleccione)
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida
303
0
oing-interface
ible
0
tp tunnel vpn sales_vpn
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direcciónset address trust web1 10.1.1.5/32
3. Usuariosset user Remote_Sales ike-id [email protected] share-limit 25set user-group R_S user Remote_Salesset user Joe password 1234set user Joe type xauthset user Mike password 5678set user Mike type xauth
4. VPNset ike gateway sales_gateway dialup R_S aggressive outg
ethernet3 preshare abcd1234 sec-level compatibleset ike gateway sales_gateway xauthset vpn sales_vpn gateway sales_gateway sec-level compatset vpn sales_vpn bind zone untrust-tun
5. Rutaset route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.25
6. Directivaset policy top from untrust to trust “Dial-Up VPN” web1 htsave
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida
304
va conexión que aparecerá en
ccione)
pliar la directiva de la conexión.
ctive Enable Perfect Forward
iba abcd1234 y haga clic en
y y, a continuación, en el ange (Phase 2) para ampliar
ntes algoritmos de encriptación
nded Authentication
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Editor de directivas de seguridad de NetScreen-Remote
En este ejemplo se muestra la configuración del usuario Joe.
1. Haga clic en Options > Secure > Specified Connections .
2. Haga clic en Add a new connection y escriba web1 junto al icono de nuepantalla.
3. Configure las opciones de conexión:
Connection Security: Secure
Remote Party ID Type: IP Address
Dirección IP: 10.1.1.5
Connect using Secure Gateway Tunnel: (sele
ID Type: IP Address; 1.1.1.1
4. Haga clic en el signo MÁS situado a la izquierda del icono de web1 para am
5. Haga clic en el icono Security Policy seleccione Aggressive Mode y desaSecrecy (PFS) .
6. Haga clic en My Identity : Haga clic en Pre-shared Key > Enter Key : Escr OK .
ID Type: (seleccione E-mail Address ) y escriba [email protected] .
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policsímbolo MÁS situado a la izquierda de Authentication (Phase 1) y Key Exchaún más la directiva.
8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione los siguiee integridad de datos:
Authentication Method: Pre-Shared Key; Exte
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida
305
ne los siguientes protocolos
nded Authentication
ne los siguientes protocolos
nded Authentication
ne los siguientes protocolos
nded Authentication
ntes protocolos IPSec:
e los siguientes protocolos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
9. Haga clic en Authentication (Phase 1) > Create New Proposal : SeleccioIPSec:
Authentication Method: Pre-Shared Key; Exte
Encrypt Alg: Triple DES
Hash Alg: MD5
Key Group: Diffie-Hellman Group 2
10. Haga clic en Authentication (Phase 1) > Create New Proposal : SeleccioIPSec:
Authentication Method: Pre-Shared Key; Exte
Encrypt Alg: DES
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
11. Haga clic en Authentication (Phase 1) > Create New Proposal : SeleccioIPSec:
Authentication Method: Pre-Shared Key; Exte
Encrypt Alg: DES
Hash Alg: MD5
Key Group: Diffie-Hellman Group 2
12. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguie
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Tunnel
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida
306
e los siguientes protocolos
e los siguientes protocolos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Tunnel
14. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Tunnel
15. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Tunnel
16. Haga clic en File > Save Changes .
6
307
tocol), su utilización en solitario P y L2TP sobre IPSec:
predeterminados L2TP” en la
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Capítulo 6
L2TP
Este capítulo proporciona una introducción al protocolo L2TP (Layer 2 Tunneling Proy con soporte IPSec, y a continuación algunos ejemplos de la configuración de L2T
• “Introducción al L2TP” en la página 308
• “Encapsulado y desencapsulado de paquetes” en la página 312
• “Parámetros L2TP” en la página 314
– “Ejemplo: Configuración de un conjunto de direcciones IP y los ajustespágina 315
• “L2TP y L2TP sobre IPSec” en la página 317
– “Ejemplo: Configuración de L2TP” en la página 318
– “Ejemplo: Configuración de L2TP sobre IPSec” en la página 326
– “Ejemplo: L2TP bidireccional sobre IPSec” en la página 339
Capítulo 6 L2TP Introducción al L2TP
308
zar una conexión con un er un dispositivo NetScreen. y el LNS.
or túnel a un LNS en el sitio de lefónico, sino sólo hasta el LAC ración L2TP obligatoria).
dows 2000 por sí mismo, o del usuario de acceso s, a esta solución se le llama
LANde empresa
en
red
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
INTRODUCCIÓN AL L2TPEl protocolo L2TP proporciona a un usuario de acceso telefónico una forma de realiprotocolo punto a punto virtual (PPP) a un servidor de red L2TP (LNS), que puede sL2TP envía tramas PPP por un túnel entre un concentrador de acceso L2TP (LAC)
En origen, L2TP se diseñó para que un LAC residente en un sitio ISP se conectase potro ISP o empresa. El túnel L2TP no llega hasta al equipo del usuario de acceso teen el ISP local del usuario de acceso telefónico. (A veces, a esto se le llama configu
Un cliente NetScreen-Remote sobre Windows 2000 o Windows NT, o un cliente Winpuede actuar como un LAC. El túnel L2TP puede llegar directamente hasta el equiptelefónico, proporcionando así un encapsulado de protocolos punto a punto. (A vececonfiguración L2TP voluntaria).
Usuario de acceso
telefónicoISP
Internet
Concentrador de acceso
L2TP(LAC)
Conexión de acceso
telefónico Dispositivo NetScre
Servidor deL2TP(LNS)
Túnel L2TP(reenvío de sesiones PPP
del LAC al LNS)
Capítulo 6 L2TP Introducción al L2TP
309
ternet hasta el dispositivo dirección IP, las direcciones de l o desde un servidor de
otra lógica procedente del LNS. P realiza las asignaciones de
n una dirección IP pública, que
itivo een)
LANde empresa
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Debido a que el enlace PPP va desde el usuario de acceso telefónico a través de InNetScreen (LNS), es el dispositivo NetScreen y no el ISP quien asigna al cliente su los servidores DNS y WINS, y autentica al usuario, bien desde la base de datos locaautenticado externo (RADIUS, SecurID, o LDAP).
De hecho, el cliente recibe dos direcciones IP, una para su conexión física al ISP, y Cuando el cliente se conecta a su ISP, por ejemplo utilizando el protocolo PPP, el ISIP y DNS, y autentica al cliente. Esto permite a los usuarios conectarse a Internet cose convierte en la dirección IP externa del túnel L2TP.
Internet
NetScreen-Remoteo Windows 2000
(LAC)ISP
DisposNetScr
(LNS
Túnel L2TP(reenvío de sesiones PPP
del LAC al LNS)
Dirección IP: 5.5.5.5DNS: 6.6.6.6, 7.7.7.7
ISPEn primer lugar, el ISP asigna al cliente una dirección IP pública y las direcciones de los servidores DNS.
1
Capítulo 6 L2TP Introducción al L2TP
310
etScreen, éste asigna al cliente to de direcciones privadas no
ente de la de las direcciones IP
es IP254
LAN de empresa10.1.1.0/24
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Después, cuando el túnel L2TP envía las tramas PPP encapsuladas al dispositivo Nuna dirección IP y los ajustes de DNS y WINS. La dirección IP puede ser del conjunutilizables en Internet. Ésta se convierte en la dirección IP interna del túnel L2TP.
Nota: Las direcciones IP asignadas al cliente L2TP deben estar en una subred diferen la LAN corporativa.
Dirección IP: 10.10.1.161DNS: 10.1.1.10, 1.2.2.10
WINS: 10.1.1.48, 10.1.1.49Conjunto de direccion
10.10.1.1 – 10.10.1.
Dispositivo NetScreen(LNS)
Internet
En segundo lugar, el dispositivo NetScreen, actuando como LNS, asigna al cliente una dirección IP privada (lógica), y las direcciones de los servidores DNS y WINS.
2
Capítulo 6 L2TP Introducción al L2TP
311
do principal utilizando partida o certificados
rincipal que utilizan certificados
ec. Una directiva de acceso un túnel bidireccional.
) y CHAP (Challenge idor externo de autenticado
in Name System), y los s local o un servidor RADIUS
les
a la clave ProhibitIPSec en el registro de seguridad del registro.) Haga clic
lSet > Services > RasMan > base de numeración, y después haga para obtener información sobre cómo
n PAP y CHAP SecurID y los
3, con interfaces de la zona de en la capa 2, con interfaces de nada con el L2TP en el WebUI,
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
La versión actual de ScreenOS proporciona el siguiente soporte al L2TP:
• Túneles L2TP con origen en un host con Windows 20001
• Combinación de L2TP e IPSec en modo de transporte (L2TP sobre IPSec)
– Para NetScreen-Remote: L2TP sobre IPSec con negociaciones en mocertificados, y en modo dinámico utilizando una clave previamente com
– Para Windows 2000: L2TP sobre IPSec, con negociaciones en modo p
• Directiva de acceso telefónico saliente para túneles L2TP y L2TP sobre IPStelefónico saliente se puede emparejar con una entrante para proporcionar
• Autenticación de usuario utilizando PAP (Password Authentication ProtocolHandshake Authentication Protocol) desde la base de datos local o un serv(RADIUS, SecurID, o LDAP)
• Asignación de las direcciones IP de los usuarios, los servidores DNS (Domaservidores WINS (Windows Internet Naming Service) desde la base de dato
• Túneles L2TP y L2TP sobre IPSec para el sistema raíz y los sistemas virtua
1. De forma predeterminada, Windows 2000 realiza L2TP sobre IPSec. Para forzarlo a utilizar sólo L2TP, debe dirigirse y cambiar 0 (L2TP sobre IPSec) por 1 (sólo L2TP ). (Antes de hacerlo, Juniper Networks recomienda hacer una copiaen Inicio > Ejecutar : Escriba regedit . Haga doble click en HKEY_LOCAL_MACHINE > System > CurrentControParameters . Haga doble clic en ProhibitIPSec : Escriba 1 en el campo Value data, seleccione Hexadecimal como clic en OK . Reinicie. (Si no encuentra esta entrada en el registro, consulte la documentación de Microsoft Windows crear una).
Nota: La base de datos local y los servidores RADIUS son compatibles coservidores LDAP sólo son compatibles con PAP.
Nota: Para utilizar el L2TP, el dispositivo NetScreen debe operar en la capaseguridad en modo NAT o de ruta. Cuando el dispositivo NetScreen operala zona de seguridad en modo transparente, no aparece información relacioy los comandos CLI relativos al L2TP provocan mensajes de error.
Capítulo 6 L2TP Encapsulado y desencapsulado de paquetes
312
esde el LAC hasta el LNS. , se muestra un resumen del
nel L2TP, el LAC encapsula el gmentos de la capa 4. ce PPP, el encapsulado será
ca entre el usuario de acceso
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
ENCAPSULADO Y DESENCAPSULADO DE PAQUETESL2TP emplea el encapsulado de paquetes como forma de transportar tramas PPP dAntes de ver ejemplos específicos de configuración del L2TP y el L2TP sobre IPSecencapsulado y desencapsulado implicados en el proceso L2TP.
EncapsuladoCuando un usuario de acceso telefónico dentro de una red IP envía datos por un túpaquete IP dentro de una serie de tramas de la capa 2, paquetes de la capa 3, y seSuponiendo que el usuario de acceso telefónico se conecte al ISP local por un enlacomo se indica a continuación:
1. Los datos se ubican en la carga de la trama IP.
2. El paquete IP se encapsula en una trama PPP.
3. La trama PPP se encapsula en una trama L2TP.
4. La trama L2TP se encapsula en un segmento UDP.
5. El segmento UDP se encapsula en un paquete IP.
6. El paquete IP se encapsula en una trama PPP para realizar la conexión físitelefónico y el ISP.
Capítulo 6 L2TP Encapsulado y desencapsulado de paquetes
313
ontenido anidado será como se
.
ero del puerto reservado para
cabezado L2TP para identificar
l usuario.
P se elimina y los datos se
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
DesencapsuladoCuando el LAC inicia el enlace PPP hacia el ISP, el desencapsulado y reenvío del cindica a continuación:
1. El ISP finaliza el enlace PPP y asigna una dirección IP al equipo del usuarioEn la carga PPP hay un paquete IP.
2. El ISP quita el encabezado PPP y reenvía el paquete IP al LNS.3. El LNS quita el encabezado IP.
En la carga IP hay un segmento UDP que especifica el puerto 1701, el númL2TP.
4. El LNS quita el encabezado UDP.En la carga UDP hay una trama L2TP.
5. El LNS procesa la trama L2TP, utilizando los datos tunnel ID y call ID del enel túnel L2TP concreto. Después, el LNS quita el encabezado L2TP.En la carga L2TP hay una trama PPP.
6. El LNS procesa la trama PPP, y asigna una dirección lógica IP al equipo deEn la carga PPP hay un paquete IP.
7. El LNS enruta el paquete IP hacia su último destino, donde el encabezado Iextraen del paquete IP.
ISP
LNS
Capítulo 6 L2TP Parámetros L2TP
314
lefónico que habitualmente
to de direcciones IP y la asigna cíclicamente el conjunto de ecciones se seleccionan .1 – 10.10.1.2 …
etScreen proporciona estas
creen también proporciona
ña. Se pueden introducir los (RADIUS, SecurID, o LDAP).
PP:
ivo NetScreen envía un desafío hecho una petición de enlace
base de datos local y los
io de acceso telefónico sin ervidores RADIUS, SecurID, y
ste falla, entonces el PAP.
2TP puede ser el mismo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
PARÁMETROS L2TPEl LNS utiliza L2TP para proporcionar los ajustes PPP para un usuario de acceso teproviene de un ISP. Estos ajustes son los siguientes:
• Dirección IP: el dispositivo NetScreen selecciona una dirección de un conjunal equipo del usuario de acceso telefónico. El proceso de selección recorre direcciones IP, esto es, en el grupo desde 10.10.1.1 hasta 10.10.1.3, las dirsiguiendo el ciclo que se indica: 10.10.1.1 – 10.10.1.2 – 10.10.1.3 – 10.10.1
• Direcciones IP de los servidores DNS primario y secundario: el dispositivo Ndirecciones para uso del equipo del usuario de acceso telefónico.
• Direcciones IP del servidor WINS primario y secundario: el dispositivo NetSestas direcciones para uso del equipo del usuario de acceso telefónico.
El LNS también autentica al usuario mediante un nombre de usuario y una contrasedatos del usuario en la base de datos local o en un servidor externo de autenticado
Además, puede especificar uno de los siguientes esquemas para la autenticación P
• Challenge Handshake Authentication Protocol (CHAP), en el que el disposit(clave de cifrado) al usuario de acceso telefónico después de que éste hayaPPP, y el usuario cifra su nombre de usuario y contraseña con la clave. La servidores RADIUS soportan CHAP.
• Password Authentication Protocol (PAP), que envía la contraseña del usuarcodificar junto con la petición de enlace PPP. La base de datos local y los sLDAP soportan PAP.
• “ANY”, lo que significa que el dispositivo NetScreen negocia el CHAP, y si é
Nota: El servidor RADIUS o SecurID que se utiliza para autenticar a los usuarios Lservidor utilizado para los usuarios de red, u otro diferente.
Capítulo 6 L2TP Parámetros L2TP
315
ros predeterminados L2TP que lt Settings) o con el comando ecíficamente para los usuarios
el comando set user name_str s predeterminados L2TP.
s ajustes
10.1.3.100. Se especifican las positivo NetScreen realiza la
DNS 11.1.1.2
DNS 21.1.1.3nternet
Zona Untrust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Puede aplicar a los usuarios o grupos de usuarios de acceso telefónico los parámetse configuran en la página básica de configuración de L2TP (VPNs > L2TP > Defauset l2tp default . También puede aplicar los parámetros L2TP que se configuran espL2TP en la página de configuración de usuario (Users > Users > Local > New) o conremote-settings . Los ajustes específicos de usuario L2TP reemplazan a los ajuste
Ejemplo: Configuración de un conjunto de direcciones IP y lopredeterminados L2TPEn este ejemplo, se define un conjunto de direcciones IP en un rango de 10.1.3.40 adirecciones IP de los servidores DNS 1.1.1.2 (primario) y 1.1.1.3 (secundario). El disautenticación PPP mediante CHAP.
Nota: Especifique el servidor de autenticación para cada túnel L2TP.
RADIUS10.1.1.245
Conjunto de direcciones IP L2TP
10.1.3.40 – 10.1.3.100
I
Zona Trust
Nota: El conjunto de direcciones L2TP debe pertenecer a una subred distinta de la de la zona Trust.
ethernet3,1.1.1.1/24
ethernet1,10.1.1.1/24
Capítulo 6 L2TP Parámetros L2TP
316
:
en Apply :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI
1. Conjunto de direcciones IPObjects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK
IP Pool Name: Sutro
Start IP: 10.1.3.40
End IP: 10.1.3.100
2. Ajustes predeterminados de L2TPVPNs > L2TP > Default Settings: Introduzca los siguientes datos y haga clic
IP Pool Name: Sutro
PPP Authentication: CHAP
DNS Primary Server IP: 1.1.1.2
DNS Secondary Server IP: 1.1.1.3
WINS Primary Server IP: 0.0.0.0
WINS Secondary Server IP: 0.0.0.0
CLI
1. Conjunto de direcciones IPset ippool sutro 10.1.3.40 10.1.3.100
2. Ajustes predeterminados de L2TPset l2tp default ippool sutroset l2tp default ppp-auth chapset l2tp default dns1 1.1.1.2set l2tp default dns2 1.1.1.3save
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
317
AP, el túnel L2TP no está mente permitir al administrador so telefónico remoto, de forma
uesto que L2TP supone que la tación. Esta combinación se L2TP y otro IPSec ambos con iere que el túnel IPSec esté en
Para obtener información sobre
s 2000 si se cambian los el registro, consulte la nota al
iera de los siguientes clientes
s 2000 o Windows NT
s.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
L2TP Y L2TP SOBRE IPSECAunque el usuario de acceso telefónico puede ser autenticado mediante CHAP o Pencriptado, y por tanto no es un túnel VPN auténtico. El objetivo del L2TP es simpledel dispositivo NetScreen local la asignación de direcciones IP a un usuario de acceque sea posible introducir referencias a estas direcciones en las directivas.
Para encriptar un túnel L2TP, es necesario aplicarle un esquema de encriptación. Pred entre el LAC y el LNS es IP, se puede utilizar IPSec para proporcionar la encripllama L2TP sobre IPSec. L2TP sobre IPSec requiere el establecimiento de un túnellos mismos extremos, y después enlazarlos en una directiva. L2TP sobre IPSec requmodo de transporte para que la dirección del extremo del túnel quede sin codificar. (el modo de transporte y el modo de túnel, consulte “Modos” en la página 4.)
Se puede crear un túnel L2TP entre un dispositivo NetScreen y un host con Windowajustes del registro de Windows 2000. (Para ver las instrucciones de como cambiarpie de la página 311.)
Se puede crear un túnel L2TP sobre IPSec entre un dispositivo NetScreen y cualquVPN:
• Un host que ejecute NetScreen-Remote en los sistemas operativos Window
• Un host que ejecute Windows 2000 (sin NetScreen-Remote)2
2. Para proporcionar autenticación cuando se utiliza Windows 2000 sin NetScreen-Remote, se deben utilizar certificado
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
318
“field-sales”) y se configura un e salida de túnel L2TP. El
al grupo de usuarios de acceso
.100 a 10.10.2.1803.
ner información sobre la ows 2000. A continuación se
rativa.
puración.
Redcorporativa
al
Zona Trust
1,24
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Configuración de L2TPEn este ejemplo, se crea un grupo de usuarios de acceso telefónico llamado “fs” (detúnel L2TP llamado “sales_corp”, utilizando ethernet3 (zona Untrust) como interfaz ddispositivo NetScreen aplica los siguientes ajustes del túnel L2TP predeterminados telefónico.
• Los usuarios L2TP se autentican a través de la base de datos local.
• La autenticación PPP utiliza CHAP.
• El rango del conjunto de direcciones IP (denominado “global”) es de 10.10.2
• Los servidores DNS son 1.1.1.2 (primario) y 1.1.1.3 (secundario).
Los clientes remotos L2TP van sobre el sistema operativo Windows 2000. Para obteconfiguración del L2TP en los clientes remotos, consulte la documentación de Windproporciona sólo la configuración del dispositivo NetScreen al final del túnel L2TP.
3. El conjunto de direcciones IP de L2TP debe pertenecer a una subred distinta de la de las direcciones de la red corpo
Nota: Una configuración con sólo L2TP no es segura. Se recomienda sólo para de
Autenticado/L2TP grupo de usuarios de acceso telefónico: fs
Adam
Betty
Carol
DNS 1: 1.1.1.2DNS 2: 1.1.1.3
Conjunto de direcciones IP: glob
10.10.2.100 –10.10.2.180
Internet
Túnel L2TP: sales_corp
Zona Untrust
Interfaz de salidaethernet3, 1.1.1.1/24
ethernet10.1.1.1/
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
319
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
2. Usuarios L2TPObjects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: Adam
Status: Enable
L2TP User: (seleccione)
User Password: AJbioJ15
Confirm Password: AJbioJ15
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
320
en OK :
en OK :
e, haga lo siguiente, y luego
asladarlo de la columna mbers.
asladarla de la columna mbers.
asladarla de la columna mbers.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: Betty
Status: Enable
L2TP User: (seleccione)
User Password: BviPsoJ1
Confirm Password: BviPsoJ1
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: Carol
Status: Enable
L2TP User: (seleccione)
User Password: Cs10kdD3
Confirm Password: Cs10kdD3
3. Grupo de usuarios L2TPObjects > User Groups > Local > New: Escriba fs en el campo Group Namhaga clic OK :
Seleccione Adam y utilice el botón << para trAvailable Members a la columna Group Me
Seleccione Betty y utilice el botón << para trAvailable Members a la columna Group Me
Seleccione Carol y utilice el botón << para trAvailable Members a la columna Group Me
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
321
:
en OK :
n OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. Ajustes predeterminados de L2TPObjects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK
IP Pool Name: global
Start IP: 10.10.2.100
End IP: 10.10.2.180
VPNs > L2TP > Default Settings: Introduzca los siguientes datos y haga clic
IP Pool Name: global
PPP Authentication: CHAP
DNS Primary Server IP: 1.1.1.2
DNS Secondary Server IP: 1.1.1.3
WINS Primary Server IP: 0.0.0.0
WINS Secondary Server IP: 0.0.0.0
5. Túnel L2TPVPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic e
Name: sales_corp
Use Custom Settings: (seleccione)
Authentication Server: Local
Dialup Group: Local Dialup Group - fs
Outgoing Interface: ethernet3
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
322
el equipo que actúa como
artido entre el LAC y el LNS.
ción > Panel de Control > Sistema . la entrada Nombre completo del
modificar el registro de
ditor del registro.
uscar en el menú emergente
or de cadena.
ición de cadena.a palabra introducida en el
indows 2000, no es necesaria nticados por IPSec.
vo NetScreen envíe una señal Hello
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Peer IP: 0.0.0.04
Host Name (optional): Introduzca el nombre dLAC5.
Secret (optional): Introduzca un secreto comp
Keep Alive: 606
4. Debido a que el ISP del interlocutor le asigna dinámicamente una dirección IP, introduzca aquí 0.0.0.0 .5. Para encontrar el nombre del equipo que ejecuta Windows 2000, haga lo siguiente: Haga clic en Inicio > Configura
Aparece el cuadro de diálogo de propiedades del sistema. Haga clic en la ficha de Identificación de red , y consulteequipo .
Nota: Para añadir un secreto al LAC para autenticar el túnel L2TP, se debeWindows 2000 de la siguiente forma:
(1) Haga clic en Inicio > Ejecutar , y luego escriba regedit . Se abre el e(2) Haga clic en HKEY_LOCAL_MACHINE .(3) Haga clic con el botón secundario en SYSTEM , y luego seleccione Bque aparece.(4) Escriba ms_l2tpminiport , y luego haga clic en Buscar siguiente .(5) En el menú Edición, resalte la opción Nuevo , y luego seleccione Val(6) Escriba Contraseña .(7) Haga doble clic en Contraseña . Aparece el cuadro de diálogo de ed(8) Escriba la contraseña en el campo “Value” data. Debe coincidir con lcampo L2TP Tunnel Configuration Secret en el dispositivo NetScreen.(9) Reinicie el equipo Windows 2000.
Cuando se utiliza L2TP sobre IPSec, que es la opción predeterminada de Wla autenticación del túnel; todos los mensajes L2TP son encriptados y aute
6. El valor Keep Alive (mantenimiento de conexión) es el número de segundos de inactividad antes de que el dispositiL2TP al LAC.
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
323
y haga clic en OK :
haga clic en OK :
VPN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
6. RutaNetwork > Routing > Routing Entries > New: Introduzca los siguientes datos
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
7. DirectivaPolicies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Dial-Up
Destination Address:
Address Book Entry: (seleccione), Any
NAT: Off
Service: ANY
Action: Tunnel
Tunnel L2TP: sales_corp
Position at Top: (seleccione)
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
324
definir el tipo de usuario como L2TP
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI
1. Usuarios de acceso telefónicoset user adam type l2tpset user adam password AJbioJ15unset user adam type auth7
set user betty type l2tpset user betty password BviPsoJ1unset user betty type auth
set user carol type l2tpset user carol password Cs10kdD3unset user carol type auth
2. Grupo de usuarios L2TPset user-group fs location localset user-group fs user adamset user-group fs user bettyset user-group fs user carol
3. Ajustes predeterminados de L2TPset ippool global 10.10.2.100 10.10.2.180set l2tp default ippool globalset l2tp default auth server Localset l2tp default ppp-auth chapset l2tp default dns1 1.1.1.2set l2tp default dns2 1.1.1.3
7. Definir una contraseña para un usuario le clasifica automáticamente como un usuario autenticado. Por lo tanto, paraen sentido estricto, se debe desactivar el tipo de usuario autenticado.
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
325
gateway 1.1.1.250
ny tunnel l2tp
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. Túnel L2TPset l2tp sales_corp outgoing-interface ethernet3set l2tp sales_corp auth server Local user-group fs
5. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
6. Directivaset policy top from untrust to trust “Dial-Up VPN” any a
sales_corpsave
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
326
ación de L2TP” en la página ación. El túnel IPSec negocia la 3DES y autenticación SHA-1. obtener y cargar certificados, ción de fase 2 utiliza el nivel de ec está en modo de transporte.
ncuentran en el dominio de ethernet2 (1.3.3.1/24) y
emote sobre un sistema e acceso telefónico Adam s otros dos usuarios de acceso
e 1 deben ser en modo principal y el
l
Zona Trust
Red corporativa
,4
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Configuración de L2TP sobre IPSecEste ejemplo utiliza el tunel L2TP creado en el ejemplo anterior (“Ejemplo: Configur318). Además, se superpone un túnel IPSec al túnel L2TP para proporcionar encriptfase 1 en modo agresivo utilizando un certificado RSA previamente cargado, cifradoLa autoridad de certificación (CA) será Verisign. (Para más información sobre cómoconsulte el Capítulo 2, “Criptografía de claves públicas” en la página 23.) La negociaseguridad predefinido como “Compatible” para las propuestas de fase 2. El túnel IPS
La zona Trust predefinida y la zona de acceso telefónico definida por el usuario se eenrutamiento trust-vr. Las interfaces para las zonas de acceso telefónico y Trust sonethernet1 (10.1.1.1/24) respectivamente. La zona Trust está en modo NAT.
Los usuarios de acceso telefónico Adam, Betty y Carol utilizan clientes NetScreen-Roperativo Windows 20008. La configuración del NetScreen-Remote para el usuario dtambién se incluye en lo que sigue. (La configuración del NetScreen-Remote para lotelefónico es la misma que para Adam.)
8. Para configurar un túnel L2TP sobre IPSec para Windows 2000 (sin NetScreen-Remote), las negociaciones de la fastipo de identificación IKE debe ser ASN1-DN.
IKE-L2TPGrupo de usuarios de acceso telefónico: fs
Adam
Betty
Carol
DNS 1: 1.1.1.2
DNS 2: 1.1.1.3
Conjunto de direcciones IP: globa
10.10.2.100 –10.10.2.180
Túnel L2TP: sales_corpTúnel VPN: from_sales
Interfaz de salidaethernet2, 1.3.3.1/24
Zona de acceso
telefónico
ethernet110.1.1.1/2
Internet
Clientes NetScreen-Remote
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
327
:
ión)
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI
1. Zona definida por el usuarioNetwork > Zones > New: Introduzca los siguientes datos y haga clic en OK
Zone Name: Dialup
Virtual Router Name: trust-vr
Zone Type: Layer 3 (seleccione)
Block Intra-Zone Traffic: (seleccione)
TCP/IP Reassembly for ALG: (anule la selecc
2. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes dato
Zone Name: Dialup
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.3.3.1/24
Nota: La zona Trust está preconfigurada. No es necesario crearla.
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
328
en OK :
en OK :
que aparece en el certificado que el
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. Usuarios IKE/L2TPObjects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: Adam
Status: Enable
IKE User: (seleccione)
Simple Identity: (seleccione)9
IKE Identity: [email protected]
L2TP User: (seleccione)
User Password: AJbioJ15
Confirm Password: AJbioJ15
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: Betty
Status: Enable
IKE User: (seleccione)
Simple Identity: (seleccione)
IKE Identity: [email protected]
L2TP User: (seleccione)
User Password: BviPsoJ1
Confirm Password: BviPsoJ1
9. La ID IKE debe ser la misma que la que envía el cliente NetScreen-Remote, que es la dirección de correo electrónicocliente utiliza para la autenticación.
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
329
en OK :
haga lo siguiente, y luego haga
asladarlo de la columna mbers.
asladarla de la columna mbers.
asladarla de la columna mbers.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: Carol
Status: Enable
IKE User: (seleccione)
Simple Identity: (seleccione)
IKE Identity: [email protected]
L2TP User: (seleccione)
User Password: Cs10kdD3
Confirm Password: Cs10kdD3
4. Grupo de usuarios IKE/L2TP
Objects > User Groups > Local > New: Escriba fs en el campo Group Name,clic OK :
Seleccione Adam y utilice el botón << para trAvailable Members a la columna Group Me
Seleccione Betty y utilice el botón << para trAvailable Members a la columna Group Me
Seleccione Carol y utilice el botón << para trAvailable Members a la columna Group Me
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
330
:
en Apply :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. Conjunto de direcciones IPObjects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK
IP Pool Name: global
Start IP: 10.10.2.100
End IP: 10.10.2.180
6. Ajustes predeterminados de L2TP
VPNs > L2TP > Default Settings: Introduzca los siguientes datos y haga clic
IP Pool Name: global
PPP Authentication: CHAP
DNS Primary Server IP: 1.1.1.2
DNS Secondary Server IP: 1.1.1.3
WINS Primary Server IP: 0.0.0.0
WINS Secondary Server IP: 0.0.0.0
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
331
n OK :
p - fs
nel L2TP a un host específico, como LAC11.
artido entre el LAC y el LNS12
ción > Panel de control > Sistema . la entrada Nombre completo del
creto puede que sean suarios avanzados utilicen
uiente forma: Consulte la nota del
Hello L2TP al LAC.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
7. Túnel L2TPVPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic e
Name: sales_corp
Dialup Group: (seleccione) Local Dialup Grou
Authentication Server: Local
Outgoing Interface: ethernet2
Peer IP: 0.0.0.010
Host Name (optional): Si quiere restringir el túintroduzca el nombre del equipo que actúa
Secret (optional): Introduzca un secreto comp
Keep Alive: 6013
10. Debido a que la dirección IP del interlocutor es dinámica, introduzca aquí 0.0.0.0 .
11. Para encontrar el nombre del equipo que ejecuta Windows 2000, haga lo siguiente: Haga clic en Inicio > ConfiguraAparece el cuadro de diálogo de propiedades del sistema. Haga clic en la ficha de Identificación de red , y consulteequipo .
Nota: El nombre del host y los ajustes del sedesconocidos. Se recomienda que sólo los uestos ajustes.
12. Para añadir un secreto al LAC para autenticar el túnel L2TP, se debe modificar el registro de Windows 2000 de la sigejemplo anterior.
13. El valor Keep Alive es el número de segundos de inactividad antes de que el dispositivo NetScreen envíe una señal
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
332
tos y haga clic en OK :
avanzados y haga clic en uración básica de puerta de
ustom
sha
OK :
avanzados y haga clic en uración básica de AutoKey IKE:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
8. Túnel VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: field
Security Level: Custom
Remote Gateway Type:
Dialup User Group: (seleccione), Group: fs
Outgoing Interface: ethernet2
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: User Defined: C
Phase 1 Proposal: rsa-g2-3des-
Mode (Initiator): Aggressive14
Preferred Certificate (optional):
Peer CA: Verisign
Peer Type: X509-SIG
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
Name: from_sales
Security Level: Compatible
Remote Gateway: Predefined: field
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Security Level: Compatible
Transport Mode: (seleccione)
14. Windows 2000 (sin NetScreen-Remote) sólo admite negociaciones en modo principal.
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
333
aga clic en OK :
VPN
anule la selección)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
9. DirectivaPolicies > (From: Dialup, To: Trust) New: Introduzca los siguientes datos y h
Source Address:
Address Book Entry: (seleccione), Dial-Up
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Tunnel
Tunnel VPN: from_sales
Modify matching bidirectional VPN policy: (
L2TP: sales_corp
Position at Top: (seleccione)
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
334
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNsCLI1. Zona definida por el usuario
set zone name dialupset zone dialup vrouter trust-vrset zone dialup block
2. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet2 zone dialupset interface ethernet2 ip 1.3.3.1/24
3. Usuarios L2TP/IKEset user adam type ike l2tpset user adam password AJbioJ15unset user adam type authset user adam ike-id u-fqdn [email protected]
set user betty type ike l2tpset user betty password BviPsoJ1unset user betty type authset user betty ike-id u-fqdn [email protected]
set user carol type ike l2tpset user carol password Cs10kdD3unset user carol type authset user carol ike-id u-fqdn [email protected]
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
335
erface ethernet2
patible
tunnel vpn from_sales
ki x509 list ca-cert .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. Grupo de usuarios IKE/L2TPset user-group fs location Localset user-group fs user adamset user-group fs user bettyset user-group fs user carol
5. Conjunto de direcciones IPset ippool global 10.10.2.100 10.10.2.180
6. Ajustes predeterminados de L2TPset l2tp default ippool globalset l2tp default ppp-auth chapset l2tp default dns1 1.1.1.2set l2tp default dns2 1.1.1.3
7. Túnel L2TPset l2tp sales_corp outgoing-interface ethernet2set l2tp sales_corp auth server Local user-group fs
8. Túnel VPNset ike gateway field dialup fs aggressive15 outgoing-int
proposal rsa-g2-3des-shaset ike gateway field cert peer-ca116
set ike gateway field cert peer-cert-type x509-sigset vpn from_sales gateway field transport sec-level com
9. Directivaset policy top from dialup to trust “Dial-Up VPN” any any
l2tp sales_corpsave
15. Windows 2000 (sin NetScreen-Remote) sólo admite negociaciones en modo principal.
16. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get p
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
336
conexión que aparecerá en
le la selección)
iar la directiva de la conexión.
orreo electrónico especificada tScreen en la lista desplegable
y y, a continuación, en el change (Phase 2) para ampliar
ento que aquí se describe para Adam.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Editor de directivas de seguridad de NetScreen-Remote (Adam17)
1. Haga clic en Options > Secure > Specified Connections .
2. Haga clic en Add a new connection y escriba AJ junto al icono de nueva pantalla.
3. Configure las opciones de conexión:
Connection Security: Secure
Remote Party ID Type: IP Address
Dirección IP: 1.3.3.1
Protocol: UDP
Port: L2TP
Connect using Secure Gateway Tunnel: (anu
4. Haga clic en el signo MÁS situado a la izquierda del icono de AJ para ampl
5. Haga clic en My Identity y configure lo siguiente:
Seleccione el certificado con la dirección de ccomo ID IKE del usuario en el dispositivo NeSelect Certificate.
ID Type: Dirección de correo electrónico 18
Port: L2TP
6. Haga clic en el icono Security Policy y seleccione Aggressive Mode .
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policsímbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exmás aún la directiva.
17. Para configurar los túneles L2TP sobre IPSec para los clientes NetScreen-Remote de Betty y Carol, siga el procedimi
18. La dirección de correo electrónico del certificado aparecerá automáticamente en el campo del identificador.
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
337
te método y algoritmos de
tes protocolos IPSec:
e los siguientes protocolos
los siguientes protocolos
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione el siguienautenticación:
Authentication Method: Pre-Shared Key
(o bien)
Authentication Method: RSA Signatures
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 2
9. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguien
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Transport
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Transport
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccioneIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: SHA-1
Encapsulation: Transport
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
338
e los siguientes protocolos
lizando el asistente para
ducir un nombre de host ie la conexión y reciba una ara más información, consulte
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Transport
13. Haga clic en File > Save Changes .
14. También es necesario configurar la conexión de red para Windows 2000 uticonexión de red.
Nota: Cuando se configura el asistente para conexión de red, se debe introdestino o una dirección IP. Introduzca 1.3.3.1. Posteriormente, cuando inicpetición de nombre de usuario y contraseña, introduzca adam, AJbioJ15. Pla documentación de Microsoft Windows 2000.
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
339
ra en modo NAT, mientras que obre IPSec entre un usuario de aja con una aplicación
ico AutoKey IKE denominado enominado tun1. El usuario IKE der a los servidores L2TP. Después de la s configuradas, el tráfico puede
sistema operativo Windows dialup-j aparece después de
e 1 deben ser en modo principal y el
ethernet110.1.1.1/24
Servidor Unix
Zona Trust
LAN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: L2TP bidireccional sobre IPSecEn este ejemplo, ethernet1 (10.1.1.1/24) es la interfaz de la zona Trust y se encuentethernet3 (1.1.1.1/24) es la interfaz de la zona Untrust. Usted creará túneles L2TP sacceso telefónico NetScreen-Remote y una LAN corporativa. El usuario remoto trabX-Windows, lo que requiere establecer directivas bidireccionales.
Configurará las directivas entrantes y salientes para el túnel VPN de acceso telefón VPN_dial para el usuario IKE dialup-j con la ID de IKE [email protected]. y el túnel L2TP dinicia una conexión IPSec al dispositivo NetScreen desde la zona Untrust para accecorporativos de la zona Trust. En este punto, solamente se permite la comunicaciónnegociación L2TP/PPP, se establece el túnel L2TP. Con las directivas bidireccionaleiniciarse desde cualquier extremo del túnel.
El usuario de acceso telefónico dialup-j utiliza un cliente NetScreen-Remote con el 200019. La configuración de NetScreen-Remote para el usuario de acceso telefónicoeste ejemplo.
19. Para configurar un túnel L2TP sobre IPSec para Windows 2000 (sin NetScreen-Remote), las negociaciones de la fastipo de identificación IKE debe ser ASN1-DN.
ethernet31.1.1.1/24
Cliente de NetScreen-Remote ejecutando X-Windows Server
Internet
Zona de acceso telefónico
Túnel L2TP sobre IPSec
Enrutador externo1.1.1.250
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
340
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: trust_net
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
341
en OK :
n OK :
que aparece en el certificado que el
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. Usuario L2TP/IKEObjects > Users > Local > New: Introduzca los siguientes datos y haga clic
User Name: dialup-j
Status: Enable
IKE User: (seleccione)
Simple Identity: (seleccione)20
IKE Identity: [email protected]
Authentication User: (seleccione)
L2TP User: (seleccione)
User Password: abc123
Confirm Password: abc123
4. L2TPVPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic e
Name: tun1
Use Default Settings: (seleccione)
Secret: netscreen
Keepalive: 60
20. La ID IKE debe ser la misma que la que envía el cliente NetScreen-Remote, que es la dirección de correo electrónicocliente utiliza para la autenticación.
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
342
tos y haga clic en OK :
one), dialup-j
y haga clic en Return para a de la puerta de enlace
ne)
OK :
ialup1
y haga clic en Return para a de AutoKey IKE:
ione)
sobre IPSec): (seleccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: dialup1
Security Level: (seleccione); Standard
Remote Gateway Type: Dialup User; (selecci
Preshared Key: n3TsCr33N
Outgoing Interface: (seleccione) ethernet3
> Advanced: Introduzca los siguientes datos regresar a la página de configuración básicAutoKey IKE:
Mode (Initiator): Aggressive
Enable NAT-Traversal: (seleccio
UDP Checksum: (seleccione)
Keepalive Frequency: 5
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: VPN_dial
Remote Gateway: Predefined: (seleccione), d
> Advanced: Introduzca los siguientes datos regresar a la página de configuración básic
Security Level: Standard (selecc
Transport Mode (sólo para L2TP
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
343
y haga clic en OK :
haga clic en OK :
VPN
t
seleccione)
haga clic en OK :
t
VPN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
6. RutaNetwork > Routing > Routing Entries > New: Introduzca los siguientes datos
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
7. DirectivasPolicies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Dial-Up
Destination Address:
Address Book Entry: (seleccione), trust_ne
Service: ANY
Action: Tunnel
Tunnel VPN: VPN_dial
Modify matching bidirectional VPN policy: (
L2TP: (seleccione) tun1
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), trust_ne
Destination Address:
Address Book Entry: (seleccione), Dial-Up
Service: ANY
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
344
seleccione)
reen" keepalive 60
going-interface
y 5 etime 0 sec-level
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Action: Tunnel
Tunnel VPN: VPN_dial
Modify matching bidirectional VPN policy: (
L2TP: tun1
CLI
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direcciónset address trust trust_net 10.1.1.0/24
3. Usuario L2TP/IKEset user dialup-j ike-id u-fqdn [email protected] user dialup-j type auth ike l2tpset user dialup-j password abc123
4. L2TPset l2tp tun1 outgoing-interface ethernet3 secret "netsc
5. VPNset ike gateway dialup1 dialup "dialup-j" aggressive out
ethernet3 preshare n3TsCr33N sec-level standard set ike gateway dialup1 nat-traversal udp-checksum set ike gateway dialup1 nat-traversal keepalive-frequencset vpn VPN_dial gateway dialup1 no-replay transport idl
standard
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
345
gateway 1.1.1.250
t” any tunnel vpn
any tunnel vpn
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
6. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
7. Directivasset policy from untrust to trust “Dial-Up VPN” “trust_ne
VPN_dial tun1set policy from trust to untrust trust_net “Dial-Up VPN”
VPN_dial l2tp tun1save
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
346
uario dialup-j)
eva conexión que aparecerá en
le la selección)
ampliar la directiva de la
orreo electrónico especificada tScreen en la lista desplegable
y y, a continuación, en el change (Phase 2) para ampliar
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Editor de directivas de seguridad de NetScreen-Remote (para el us
1. Haga clic en Options > Secure > Specified Connections .
2. Haga clic en Add a new connection y escriba dialup-j junto al icono de nupantalla.
3. Configure las opciones de conexión:
Connection Security: Secure
Remote Party ID Type: IP Address
IP Address: 1.1.1.1
Protocol: UDP
Port: L2TP
Connect using Secure Gateway Tunnel: (anu
4. Haga clic en el signo MÁS situado a la izquierda del icono de dialup-j para conexión.
5. Haga clic en My Identity y configure lo siguiente:
Seleccione el certificado con la dirección de ccomo ID IKE del usuario en el dispositivo NeSelect Certificate.
ID Type: Dirección de correo electrónico 21
Port: L2TP
6. Haga clic en el icono Security Policy y seleccione Aggressive Mode .
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policsímbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exmás aún la directiva.
21. La dirección de correo electrónico del certificado aparecerá automáticamente en el campo del identificador.
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
347
nte método y algoritmos de
ntes protocolos IPSec:
ne los siguientes protocolos
e los siguientes protocolos
n debe estar activada para el cliente
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione el siguieautenticación:
Authentication Method: Pre-Shared Key
(o bien)
Authentication Method: RSA Signatures
Hash Alg: SHA-1
Key Group: Diffie-Hellman Group 222
9. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguie
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: SHA-1
Encapsulation: Transport
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccioIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: Triple DES
Hash Alg: MD5
Encapsulation: Transport
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
22. Si la opción Perfect Forwarding Secrecy (PFS) está activada en el dispositivo NetScreen (grupo DF 1, 2 o 5), tambiéVPN en NetScreen-Remote.
Capítulo 6 L2TP L2TP y L2TP sobre IPSec
348
e los siguientes protocolos
el asistente para conexión de
nombre de host destino o una olicite el nombre de usuario y la ntación de Microsoft Windows
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Hash Alg: SHA-1
Encapsulation: Transport
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:
Encapsulation Protocol (ESP): (seleccione)
Encrypt Alg: DES
Hash Alg: MD5
Encapsulation: Transport
13. Haga clic en File > Save Changes .
También es necesario configurar la conexión de red para Windows 2000 utilizando red.
Nota: Cuando se configura el asistente para conexión de red, se debe introducir undirección IP. Introduzca 1.1.1.1. Posteriormente, cuando inicie la conexión y se le scontraseña, introduzca dialup-j, abc123. Para más información, consulte la docume2000.
7
349
Capítulo 7
80
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Funciones de VPN avanzadas
En este capítulo se tratan algunos usos más avanzados de la tecnología VPN:
• “NAT-Traversal” en la página 351
– “Atravesar un dispositivo NAT” en la página 354
– “Suma de comprobación de UDP” en la página 357
– “Paquetes de mantenimiento de conexión” en la página 357
– “Simetría iniciador/respondedor” en la página 358
• “Supervisión de VPNs” en la página 361
– “Opciones de reencriptación y optimización” en la página 362
– “Interfaz de origen y dirección de destino” en la página 363
– “Consideraciones sobre directivas” en la página 365
– “Configuración de la función de supervisión de VPN” en la página 365
– “Objetos y capturas SNMP para la supervisión de VPN” en la página 3
• “Múltiples túneles por interfaz de túnel” en la página 381
– “Asignación de rutas a túneles” en la página 382
– “Direcciones de interlocutores remotos” en la página 383
– “Entradas de tabla manuales y automáticas” en la página 385
• “Puertas de enlace VPN redundantes” en la página 441
– “Grupos VPN” en la página 442
– “Mecanismos de supervisión” en la página 443
– “Comprobación de flag TCP SYN” en la página 447
Capítulo 7 Funciones de VPN avanzadas
350
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs• “VPNs adosadas” en la página 460
– “Ejemplo: VPNs adosadas” en la página 461
• “VPNs radiales” en la página 471
– “Ejemplo: VPNs radiales” en la página 472
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal
351
ddress Port Translation) tráfico interno y un segundo ecciones externas utilizando
e datos no afecta a las de segmentos UDP (User
nalizadas las negociaciones de de IPSec1 es que en el stinguir la ubicación del l protocolo de encabezado de ificar el número de puerto, pero
emote (versión 6.0 o posterior2) apsulación UDP a los paquetes mbios de fase 1, según lo sec-udp-encaps-00.txt , así
IKE/IPSec e intentan procesar ESP) y 51 (para AH). Para ciones IETF previamente DP 500 a 4500 para IKE. Para
2 insertan un encabezado UDP 50 o 51 del campo “Protocol”
e Bernard Aboba.
ietf-ipsec-udp-encaps-00.txt .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
NAT-TRAVERSALLos estándares de Internet NAT (Network Address Translation ) y NAPT (Network Apermiten que una red de área local (LAN) utilice un grupo de direcciones IP para el grupo de direcciones para el tráfico externo. Los dispositivos NAT generan estas dirconjuntos predeterminados de direcciones IP.
Cuando se configura un túnel IPSec, la presencia de un dispositivo NAT en la ruta dnegociaciones IKE de fase 1 y fase 2, que siempre encapsulan paquetes IKE dentroDatagram Protocol). Sin embargo, si se aplica NAT a los paquetes IPSec una vez fifase 2, el túnel fallará. Una de las muchas razones por las que NAT provoca el falloprotocolo ESP (Encapsulating Security Protocol), los dispositivos NAT no pueden diencabezado de capa 4 para la traducción del puerto (porque está encriptado). En eautenticación (AH, o “Authentication Header”), los dispositivos NAT no pueden modfalla la comprobación de autenticación, que incluye el paquete IPSec completo.
Para solucionar estos problemas, los dispositivos NetScreen y el cliente NetScreen-Rpueden aplicar una función NAT-Traversal (NAT-T). NAT-T agrega una capa de encIPSec si detecta al menos un dispositivo NAT en la ruta de datos durante los intercaestablecido en las especificaciones IETF draft-ietf-ipsec-nat-t-ike-00.txt y draft-ietf-ipcomo en versiones más recientes de estas especificaciones.
Los dispositivos NAT pueden crear otro problema si también están preparados parapaquetes con el número de puerto IKE 500 o con los números de protocolo 50 (paraevitar ese procesamiento intermedio de paquetes IKE, la versión 2 de las especificamencionadas propone el desplazamiento (o “flotación”) de los números de puertos Uevitar el procesamiento intermedio de paquetes IPSec, ambas especificaciones 0 y entre el encabezado IP externo y el encabezado ESP o AH, cambiando así el valor
1. Para obtener una lista de las incompatibilidades IPSec/NAT, consulte el documento draft-ietf-ipsec-nat-regts-00.txt d
2. NetScreen-Remote 6 y 7 es compatible con NAT-T según las especificaciones draft-ietf-ipsec-nat-t-ike-00.txt y draft-NetScreen-Remote 8.2 es compatible con las especificaciones 02.
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal
352
nsertado también utiliza el on las especificaciones
versión 0 de estas
dos hashes MD-5 en la carga de fase 1, un hash para el
sh”) MD-5 de
sh”) MD-5 de
e carga de datos del fabricante specificaciones, NetScreen
argas de datos NAT de o principal) o durante los
ontienen un hash negociado de
o IPSec usando AH. NetScreen
recientemente introducido. El número quetes IKE” en la página 16.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
(para ESP o AH, respectivamente) a 17 (para UDP). Además, el encabezado UDP ipuerto 4500. La versión actual de ScreenOS es compatible con NAT-T de acuerdo c draft-ietf-ipsec-nat-t-ike-02.txt y draft-ietf-ipsec-udp-encaps-02.txt , así como con la especificaciones.
Sondeos de NATPara comprobar si ambos extremos del túnel VPN admiten NAT-T, NetScreen envíade datos de ID del fabricante en los dos primeros intercambios de las negociacionestítulo de la especificación 0 y otro para el título de la especificación 2:
• “4485152d 18b6bbcd 0be8a846 9579ddcc”, que es una transformación (“ha“draft-ietf-ipsec-nat-t-ike-00”
• “90cb8091 3ebb696e 086381b5 ec427b1f”, que es una transformación (“ha“draft-ietf-ipsec-nat-t-ike-02”
Ambos interlocutores deben enviar y recibir al menos uno de estos valores en la ID dpara que el sondeo NAT-T continúe. Si envían hashes correspondientes a ambas eutiliza la implementación NAT-T correspondiente a la especificación 2.Si los dispositivos de cada punto terminal admiten NAT-T, se envían mutuamente cdescubrimiento (NAT-D) durante los intercambios tercero y cuarto de la fase 1 (modintercambios segundo y tercero (modo dinámico)3. Las cargas de datos de NAT-D cla siguiente información:
• Hash del destino NAT-D:Cookie del iniciador (CKY-I)Cookie del respondedor (CKY-R)Dirección IP del interlocutor IKE remoto (de destino)Número del puerto de destino
Nota: NetScreen no admite NAT-T para los túneles de clave manual ni para el tráficsólo admite NAT-T para túneles AutoKey IKE con ESP.
3. La carga de datos de descubrimiento NAT (“Nat-Discovery” o “NAT-D”) es un tipo de carga de datos IKE para NAT-T de tipo de carga de datos NAT-D es 0130. Para obtener una lista de otros tipos de carga de datos IKE, consulte “Pa
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal
353
reconocer si entre ellos se ha dos implica la de la ubicación
ntenimiento de conexión IKE aquetes de mantenimiento de
n”) el número de puerto IKE de ociaciones de la fase 1. En el
exto de la fase 1, y mero de puerto se desplaza al ambios de la fase 2. Los o IPSec subsiguiente.
ones que no especifiquen una interfaz
cido ninguna traducción de
cido ninguna traducción de
ivo NAT delante del oto.
ivo NAT delante del l.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
• Hash del origen NAT-D (uno o varios4):Cookie del iniciador (CKY-I)Cookie del respondedor (CKY-R)Dirección IP del interlocutor IKE local (de origen)Número del puerto de origen
Cuando cada interlocutor compara los hashes que recibe con los que envía, puede producido una traducción de direcciones. La identificación de los paquetes modificadel dispositivo NAT:
Conocer la ubicación del dispositivo NAT es importante porque los paquetes de madeben iniciarse desde el interlocutor situado detrás del dispositivo NAT. Consulte “Pconexión” en la página 357.Si ambos interlocutores cumplen la especificación IETF 2, también desplazan (“flota500 a 4500 tan pronto como detectan un dispositivo NAT entre ellos durante las negmodo principal, los números de puertos flotan a 4500 en los intercambios quinto y sposteriormente durante todos los intercambios de la fase 2. En modo dinámico, el nú4500 en el tercer (y último) intercambio de la fase 1, y luego durante todos los intercinterlocutores también utilizan 4500 como número de puerto UDP para todo el tráfic
4. NAT-T admite múltiples hashes de origen NAT-D para dispositivos equipados con múltiples interfaces e implementacisaliente.
Si coincide con entoncesel hash de destino del interlocutor local
al menos uno de los hashes de origen del interlocutor remoto
no se ha produdirecciones.
al menos uno de los hashes de origen del interlocutor local
el hash de destino del interlocutor remoto
no se ha produdirecciones.
Si no coincide con entoncesel hash de destino del interlocutor local
al menos uno de los hashes de origen del interlocutor remoto
hay un dispositinterlocutor rem
al menos uno de los hashes de origen del interlocutor local
el hash de destino del interlocutor remoto
hay un dispositinterlocutor loca
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal
354
un hotel recibe un paquete de l. Para todo el tráfico saliente,
la nueva dirección 2.2.2.2. ectan que los dos participantes entra delante del cliente VPN.
to el cliente VPN como el ticación. El dispositivo NAT los P sin modificar el SPI en el aquetes IPSec, que no tendrán s no habrán cambiado.
ec. Un dispositivo NAT reenviarlo. Para impedir tal n y de destino para IKE de 500
ntes de la carga de datos. Para externo y el encabezado ESP. y el de destino.
o y la carga de datos del de 4 bytes a cero (0000) y se quete encapsulado ESP, que ncapsulado era un paquete
esa
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Atravesar un dispositivo NATEn la siguiente ilustración, un dispositivo NAT situado en el perímetro de la LAN de un cliente VPN de acceso telefónico con la dirección IP 2.1.1.5, asignada por el hoteel dispositivo NAT sustituye la dirección IP de origen en el encabezado externo por Durante las negociaciones de la fase 1, el cliente VPN y el dispositivo NetScreen detVPN admiten NAT-T, que hay un dispositivo NAT en la ruta de datos y que se encu
Si se encapsulan los paquetes IPSec dentro de paquetes UDP (cosa que harán tandispositivo NetScreen) se resuelve el problema de fallo en la comprobación de autenprocesa como paquetes UDP, cambiando el puerto de origen en el encabezado UDencabezado AH o ESP. Los participantes VPN retiran la capa UDP y procesan los pproblemas en la comprobación de autenticación, ya que los contenidos autenticado
Puede presentarse otro problema si el dispositivo NAT está preparado para IKE/IPSpreparado para IKE/IPSec podría intentar procesar el tráfico IKE/IPSec en lugar de procesamiento intermedio, NAT-T (v2) cambia los números de puertos UDP de origea 4500. NAT-T también inserta un marcador no-ESP en el encabezado UDP justo ael tráfico IPSec, NAT-T (v0 y v2) inserta un encabezado UDP entre el encabezado IPEl paquete UDP también utiliza 4500 como número de ambos puertos, el de origen
Según lo mencionado, NAT-T (v2) agrega un marcador no-ESP entre el encabezadsegmento del UDP que encapsula el paquete ISAKMP. El marcador no ESP constaagrega al segmento UDP para distinguir un paquete ISAKMP encapsulado de un pano tiene tal marcador. Sin el marcador no ESP, el receptor no sabría si el paquete e
Dispositivo NATInternet
Dispositivo NetScreen
IP de origen 200.1.1.1 -> 210.2.2.2
Hotel Empr
Túnel VPN
Cliente VPN de acceso telefónico
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal
355
os. Utilizando este marcador se plexarlo correctamente.
vo NAT en la ruta de datos, los e IKE cambian de 500 a 4500. encabezado UDP y la carga de or puede utilizar este marcador plexarlo correctamente.
o por IKE.
probación
500 para IKE )
robación
para IKE )
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
ISAKMP o un paquete ESP, porque el encabezado UDP utiliza 4500 para ambos tipindica el tipo correcto de paquete encapsulado para que el receptor pueda desmulti
Como puede comprobar en la ilustración siguiente, después de detectar un dispositinúmeros de los puertos de origen y de destino en el encabezado UDP de un paquetAsimismo, los puntos terminales del túnel VPN insertan un marcador no ESP entre eldatos para distinguir el paquete ISAKMP encapsulado de un paquete ESP. El receptpara distinguir el paquete ISAKMP encapsulado de un paquete ESP y para desmulti
Paquete IKE (Para las fases 1 y 2)
EncabezadoUDP
EncabezadoIP
EncabezadoISAKMP Carga de datos
Nota: ISAKMP es el formato de paquetes utilizad
Carga de datos
Segmento UDP después de detectar un dispositivo NAT
Tamaño
Puerto de origen ( 4500 para IKE )
Suma de com
Puerto de destino ( 4
Marcador no ESP (0000)
Carga de datos
Segmento UDP
Tamaño
Puerto de origen ( 500 para IKE )
Suma de comp
Puerto de destino ( 500
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal
356
en la ruta de datos, los puntos o IP externo y el encabezado uede distinguir el paquete ESP ente.
a de datos
or
datos
probación
500 para ESP )
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Como puede ver en la ilustración siguiente, después de detectar un dispositivo NATterminales del túnel VPN insertan un encabezado UDP adicional entre el encabezadESP de un paquete IPSec. Dado que no hay ningún marcador no ESP, el receptor pencapsulado de un un paquete ISAKMP y desmultiplexar el paquete ESP correctam
Paquete IPSec ESP después de detectar un dispositivo NAT
EncabezadoUDP
EncabezadoIP2
EncabezadoESP
EncabezadoIP1
EncabezadoTCP Carg
Paquete originalEnviado por el host iniciad
Paquete IPSecEnviado por la puerta de enlace IKE
La puerta de enlace local agrega estos encabezados al paquete.
Paquete IPSec – Carga de seguridad encapsulada (ESP)
EncabezadoIP2
EncabezadoESP
EncabezadoIP1
EncabezadoTCP Carga de
Paquete originalEnviado por el host
Paquete IPSecEnviado por la puerta de
enlace IKE
La puerta de enlace local agrega estos encabezados al paquete.
Carga de datos
Encabezado UDP
Tamaño
Puerto de origen ( 4500 para ESP )
Suma de com
Puerto de destino ( 4
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal
357
alculado que garantiza que los esitan utilizar la suma de ma de comprobación como n, por lo que puede ser
AT-T se incluye la suma de
ecesarios para la nueva puerta unto” en la página 103 o en el uientes datos y, finalmente,
avanzados y haga clic en uración básica de puerta de
ne)
rmina el intervalo de tiempo que invalidar cualquier dirección IP s participantes IPSec envíen avés del dispositivo NAT, de fase 1 y fase 2 expiren.
n, dependiendo del fabricante y der establecer un valor de
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Suma de comprobación de UDPTodos los paquetes UDP contienen una suma de comprobación de UDP, un valor cpaquetes UDP no tienen errores de transmisión. Los dispositivos NetScreen no neccomprobación de UDP para NAT-T, de modo que la WebUI y la CLI presentan la suajuste opcional. Aún así, ciertos dispositivos NAT precisan de suma de comprobaciónecesario habilitar o inhabilitar esta opción. De forma predeterminada, al habilitar Ncomprobación UDP.
WebUIVPNs > AutoKey Advanced > Gateway > New: Introduzca los parámetros nde enlace del túnel tal y como se describe en el Capítulo 4, “VPNs punto a pCapítulo 5, “VPNs de acceso telefónico” en la página 233, introduzca los sighaga clic en OK :
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Enable NAT-Traversal: (seleccioUDP Checksum: Enable
CLIset ike gateway name nat-traversal udp-checksumunset ike gateway name nat-traversal udp-checksum
Paquetes de mantenimiento de conexiónCuando un dispositivo NAT asigna una dirección IP a un host, el dispositivo NAT detela nueva dirección será válida si no hay tráfico. Por ejemplo, un dispositivo NAT podríagenerada que no se utilice durante 20 segundos. Por eso, suele ser necesario que loperiódicamente paquetes de mantenimiento de conexión (paquetes UDP vacíos) a trforma que la asignación NAT no cambie hasta que las asociaciones de seguridad de
Nota: Los dispositivos NAT tienen distintos intervalos de tiempo de espera de sesióel modelo. Es importante determinar qué intervalo tiene el dispositivo NAT, para pofrecuencia de mantenimiento de conexión por debajo de dicho intervalo.
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal
358
o NAT, cada dispositivo puede ntra tras un dispositivo NAT, do el dispositivo NAT genera
ispositivo NAT. Si el dispositivo etScreen-B (tomándolas inequívocamente a NetScreen etScreen-A debe actuar como s de fase 1 en modo dinámico.
ión IP asignada (MIP) o rma única a NetScreen B. En s y ambos podrán utilizar el
Host B10.1.1.5
Zona Trust
duce la dirección IP de origen en del dispositivo NetScreen B, utilizando de su conjunto de direcciones IP.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Simetría iniciador/respondedorCuando dos dispositivos NetScreen establecen un túnel en ausencia de un dispositivfuncionar como iniciador o respondedor. Sin embargo, si uno de los hosts se encueesta simetría iniciador/respondedor podría llegar a ser imposible. Esto sucede cuandirecciones IP dinámicamente.
En la ilustración anterior, NetScreen-B se encuentra en una subred situada tras un dNAT genera nuevas direcciones IP de origen para los paquetes que recibe desde Ndinámicamente de un conjunto de direcciones IP), NetScreen-A no puede identificarB. Por lo tanto, NetScreen-A no podrá iniciar con éxito un túnel con NetScreen-B. Nrespondedor, NetScreen-B como iniciador, y ambos deben realizar las negociacione
No obstante, si el dispositivo NAT genera la nueva dirección IP utilizando una direcccualquier otro método de direccionamiento “1:1”, NetScreen A podrá identificar de foconsecuencia, tanto NetScreen-A como NetScreen-B podrán actuar como iniciadoremodo principal o dinámico en la fase 1.
Host ANetScreen-A NetScreen-B
DispositivoNAT
1.2.1.1 1.1.1.250
Internet
Zona Untrust
Nota: Las zonas de seguridad ilustradas a continuación se muestran desde la perspectiva de NetScreen-B.
Túnel
Conjunto de direcciones IP1.2.1.2 - 1.2.1.50
El dispositivo NAT trapaquetes que recibe direcciones que toma
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal
359
e un hotel asigna una dirección stá participando en una de un túnel VPN de acceso urada en el dispositivo so telefónico. También deberá DP en sus transmisiones, y
y lo configura para que lleve a tores configurados en la misma el mismo orden. Los
ente)
es de fase 1 en modo principal que las negociaciones IKE se
teriormente mencionados en la todas las propuestas de fase 1 o NetScreen generará un
resa
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Habilitación de NAT-TraversalEn el siguiente ejemplo, un dispositivo NAT ubicado en el perímetro de la red local dal cliente VPN de acceso telefónico utilizado por Michael Smith, un comercial que econvención. Para que Michael Smith pueda acceder a la LAN corporativa por mediotelefónico, se debe habilitar NAT-T para la puerta de enlace remota “msmith”, configNetScreen, y para la puerta de enlace remota, configurada en el cliente VPN de accehabilitar el dispositivo NetScreen para que incluya una suma de comprobación de Uestablecer una frecuencia de mantenimiento de conexión de 8 segundos.
Nota: Si habilita NAT-T en un dispositivo NetScreen que actúa como respondedor cabo las negociaciones IKE en modo principal, este dispositivo y todos sus interlocuinterfaz de salida deberán usar las mismas propuestas de fase 1 y presentadas eninterlocutores podrán ser de los siguientes tipos:
• Interlocutor dinámico (interlocutores con direcciones IP asignadas dinámicam• Usuarios VPN de acceso telefónico• Interlocutores con direcciones IP estáticas tras un dispositivo NAT
Como no es posible conocer la identidad de un interlocutor durante las negociacionhasta los dos últimos mensajes, las propuestas de fase 1 deberán ser iguales parapuedan llevar a cabo.
Cuando se configura IKE en modo principal para uno de los tipos de interlocutor anmisma interfaz de salida, el dispositivo NetScreen comprueba automáticamente quesean iguales y tengan el mismo orden. Si las propuestas son distintas, el dispositivmensaje de error.
Dispositivo NATInternet
Dispositivo NetScreen
Hotel Emp
Túnel VPN
Cliente VPN de acceso telefónico
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal
360
ecesarios para la nueva puerta unto” en la página 103 o en el uientes datos y, finalmente,
avanzados y haga clic en uración básica de puerta de
ne)
os (0~300 Sec)
8
sitivo NetScreen activa
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI
VPNs > AutoKey Advanced > Gateway > New: Introduzca los parámetros nde enlace del túnel tal y como se describe en el Capítulo 4, “VPNs punto a pCapítulo 5, “VPNs de acceso telefónico” en la página 233, introduzca los sighaga clic en OK :
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Enable NAT-Traversal: (seleccio
UDP Checksum: Enable
Keepalive Frequency: 8 segund
CLI
set ike gateway msmith nat-traversalset ike gateway msmith nat-traversal udp-checksumset ike gateway msmith nat-traversal keepalive-frequencysave
Nota: Cuando se configura una VPN de acceso telefónico con CLI, el dispoautomáticamente NAT-Traversal.
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
361
etScreen envía peticiones de segundos) para supervisar la ue el estado de supervisión de del protocolo simple de gestión
VPN para el túnel está activo no provoca respuesta y no hay
), pero la petición de eco ICMP to-up” sólo se produce si se ha 2 aún está activa cuando una
da túnel VPN. Un objeto VPN a vez definido un objeto VPN, rectivas). Dado que ScreenOS ás parámetros de la directiva, ión entre objeto VPN y túnel
ervalo predeterminado es de 10
: set vpnmonitor threshold number .
ervisión de VPN, consulte
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
SUPERVISIÓN DE VPNSCuando se habilita la supervisión de VPNs para un túnel específico, el dispositivo Neco ICMP (o “pings”) a través del túnel en intervalos determinados (configurables enconectividad de la red a través del túnel5. Si la actividad de estas peticiones indica qVPN ha cambiado, el dispositivo NetScreen activará una de las siguientes capturas de redes (SNMP, o “Simple Network Management Protocol”):
• Up to Down: esta captura se produce cuando el estado de supervisión de (up), pero un número consecutivo de peticiones de eco ICMP determinado otro tráfico VPN entrante6. Entonces el estado cambia a inactivo (down).
• Down to Up: cuando el estado de la supervisión de VPN es inactivo (downobtiene una sola respuesta, el estado pasa a activo (up). La captura “down-inhabilitado la opción de reencriptación y la asociación de seguridad de fasepetición de eco ICMP obtiene respuesta a través del túnel.
Usted aplica la supervisión de VPN por cada objeto VPN, no necesariamente por caes el que se define con el comando set vpn , o con sus equivalentes de WebUI. Unpuede hacer referencia a él en unas o más directivas (creando VPNs basadas en dideriva un túnel de VPN basada en directivas a partir de un objeto VPN más los demun solo objeto VPN puede ser un elemento de numerosos túneles VPN. Esta distinc
5. Para cambiar el intervalo de pings, puede utilizar el siguiente comando CLI: set vpnmonitor interval número . El intsegundos.
6. Para cambiar el límite de peticiones de eco ICMP consecutivas sin respuesta, puede utilizar el siguiente comando CLIEl valor predeterminado es de 10 peticiones.
Nota: Para obtener más información sobre los datos SNMP que proporciona la sup“Objetos y capturas SNMP para la supervisión de VPN” en la página 380.
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
362
PN a no más de 100 túneles al número de túneles VPN a ión de optimización, consulte
r peticiones de eco ICMP las indefinidamente. Las
lecer un túnel VPN hasta que el positivo NetScreen utiliza las e VPN para el túnel pasa de A) de fase 2 para ese
terlocutor según los intervalos s de fase 1, si fuera necesario)
iación de seguridad de fase 2, á un mensaje indicando que se
IKE siempre esté activo, quizá s de enrutamiento dinámico tra aplicación de la supervisión sociación de túneles a saltos a una sola interfaz de túnel.
únel” en la página 381.
upervisión de VPN cuando el
ivarla en todos los objetos de la
se reencripte. Sin embargo, una
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
VPN es importante porque Juniper Networks recomienda aplicar la supervisión de VIPSec VPN (si no habilita la optimización). Si habilita la optimización, no habrá límitelos que pueda aplicar la supervisión de VPN. Para obtener información sobre la opc“Opciones de reencriptación y optimización” en la página 362.
Opciones de reencriptación y optimizaciónSi se habilita la opción de reencriptación, el dispositivo NetScreen comienza a enviainmediatamente después de completar la configuración del túnel y seguirá enviándopeticiones de eco desencadenan un intento de iniciar negociaciones IKE para estabestado de la supervisión de VPN para el túnel sea activo (up). A continuación, el dispeticiones de eco con fines de supervisión de VPN. Si el estado de la supervisión dactivo a inactivo, el dispositivo NetScreen desactivará su asociación de seguridad (Sinterlocutor. El dispositivo NetScreen continuará enviando peticiones de eco a su indefinidos, desencadenando intentos de reiniciar las negociaciones IKE de fase 2 (y lahasta que tenga éxito. En ese momento, el dispositivo NetScreen reactivará la asocgenerará una nueva clave y restablecerá el túnel. En el registro de eventos aparecerha realizado correctamente una operación de reencriptación7.
La opción de reencriptación se puede utilizar para garantizar que un túnel AutoKey para supervisar dispositivos en la ubicación remota o para permitir que los protocolomemoricen rutas en una ubicación remota y transmitir mensajes a través del túnel. Ode VPN con la opción de reencriptación es completar automáticamente la tabla de asiguientes (tabla NHTB) y la tabla de rutas cuando se asocian múltiples túneles VPNPara ver un ejemplo de este último uso, consulte “Múltiples túneles por interfaz de t
Si desactiva la opción de reencriptación, el dispositivo NetScreen sólo realizará la stúnel esté activo con tráfico generado por el usuario.
Nota: La optimización de la supervisión de VPN funciona objeto por objeto. Para actVPN, en ninguno o sólo en algunos.
7. Si un dispositivo NetScreen es un cliente DHCP, una actualización de DHCP en una dirección distinta hará que IKE actualización de DHCP en la misma dirección no provocará la reencriptación de IKE.
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
363
a. Si la habilita ( set vpn name mo se indica a continuación:
N equivalente a las respuestas e eco ICMP se pueden reducir s del túnel y las respuestas de
reen también suprimirá las tráfico de red.
que la supervisión deja de ndo se activa la opción de o de la disponibilidad de una puede hacer que los resultados
la interfaz de salida local como e destino. Si el interlocutor dirección IP interna, el omo destino. El cliente VPN o el miembro de un grupo VPN de otras direcciones IP de
de VPN cuando el otro extremo
cal y remota, la dirección de é ser la dirección de destino itar la supervisión de VPN en
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
De forma predeterminada, la optimización de la supervisión de VPN está inhabilitadmonitor optimized ), el comportamiento de la supervisión de VPN cambiará tal y co
• El dispositivo NetScreen considerará el tráfico entrante a través del túnel VPde eco ICMP. Si se acepta tráfico entrante en sustitución de las respuestas dlas falsas alarmas que podrían producirse cuando hay mucho tráfico a travéeco no consiguen pasar.
• Si hay tráfico entrante y saliente a través del túnel VPN, el dispositivo NetScpeticiones de eco de supervisión de VPN. Esto puede contribuir a reducir el
Aunque la optimización de supervisión de VPN presenta algunas ventajas, observe ofrecer estadísticas SNMP precisas, como el tiempo de retardo de red de VPN, cuaoptimización. Además, si se utiliza la supervisión de VPN para hacer un seguimientdirección IP de destino en el extremo remoto de un túnel, la función de optimización sean erróneos.
Interfaz de origen y dirección de destinoDe forma predeterminada, la función de supervisión de VPN utiliza la dirección IP dedirección de origen y la dirección IP de la puerta de enlace remota como dirección dremoto es un cliente VPN de acceso telefónico (como NetScreen-Remote) con una dispositivo NetScreen detectará automáticamente su dirección interna y la utilizará cpuede ser un usuario XAuth con una dirección IP interna asignada, un usuario VPN de acceso telefónico con una dirección IP interna. También puede especificar el usoorigen y destino para la supervisión de VPN, sobre todo para permitir la supervisión de un túnel VPN no es un dispositivo NetScreen.
Como la supervisión de VPN funciona de forma independiente en las ubicaciones loorigen configurada en el dispositivo ubicado en un extremo del túnel no tiene por quconfigurada en el dispositivo ubicado en el otro extremo. De hecho, es posible habilambos extremos del túnel o sólo en uno de ellos.
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
364
e que recibe su dirección a ción IP asignada a XAuth como nsulte “Usuarios y grupos de
ona Untrust
n destino:nlace remota
ona Untrust
rminador de VPN otro fabricante
NetScreen-B
ona Untrust
Dirección destino:NetScreen-Remote
Dirección destino:servidor FTP
LAN
peticiones de eco de la zona Trust
e peticiones de eco de la zona Trust
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Nota: Si al otro lado de un túnel se encuentra un cliente de VPN NetScreen-Remottravés de XAuth, el dispositivo NetScreen utilizará de forma predeterminada la direcdestino para la supervisión de VPN. Para obtener más información sobre XAuth, cousuarios XAuth” en la página 8 -83.
Túnel VPN
ZZona Trust
Dirección origen:interfaz de salida
Direcciópuerta de e
NetScreen-A envía peticiones de eco desde la interfaz de zona Trust a NetScreen-Remote. NetScreen-Remote necesita una directiva que admita el tráfico ICMP entrante desde una dirección más allá de la puerta de enlace remota; es decir, desde más allá de la interfaz de zona Untrust de NetScreen-A.
Zona Trust Z
NetScreen-A
TedeNetScreen-A
NetScreen-A envía peticiones de eco desde su interfaz de salida a la puerta de enlace remota; es decir, desde la interfaz de zona Untrust en NetScreen-A a la interfaz de zona Untrust en NetScreen-B.
Túnel VPN
Túnel VPN
ZZona Trust
NetScreen-A
Dirección origen:interfaz de la zona Trust
Dirección origen:interfaz de la zona Trust
LAN
LAN
LAN
NetScreen-A –> NetScreen-Remote
NetScreen-A –> NetScreen-B
NetScreen-A envía peticiones de eco desde la interfaz de zona Trust a un dispositivo ubicado más allá de la puerta de enlace remota. Esto podría ser necesario si el interlocutor remoto no responde a peticiones de eco pero admite directivas que permitan el tráfico entrante de estas peticiones de eco.
NetScreen-A –> Terminador de VPN de otro fabricante
Nota: NetScreen-A precisa de una directiva que permita el tráfico dea la zona Untrust.
Nota: NetScreen-A precisa de una directiva que permita el tráfico da la zona Untrust.
(comportamiento predeterminado)
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
365
e eco procedentes de la zona e contiene la dirección de
estino.
tino y está habilitado el bloqueo
eticiones de eco procedentes a la zona que contiene la
origen.
origen y está habilitado el
roduzca los siguientes datos, PN y, finalmente, haga clic en
itar la supervisión de VPN en
las peticiones de eco ICMP, a. El cortafuegos del
las peticiones de eco ICMP.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Consideraciones sobre directivasDebe crear una directiva en el dispositivo de envío para permitir que las peticiones ddonde se encuentra la interfaz de origen pasen a través del túnel VPN a la zona qudestino si:
• La interfaz de origen se encuentra en una zona distinta de la dirección de d
• La interfaz de origen se encuentra en la misma zona que la dirección de desintrazonal.
Asimismo, debe crear una directiva en el dispositivo receptor para permitir que las pde la zona donde se encuentra la dirección de origen pasen a través del túnel VPN dirección de destino si:
• La dirección de destino se encuentra en una zona distinta de la dirección de
• La dirección de destino se encuentra en la misma zona que la dirección de bloqueo intrazonal.
Configuración de la función de supervisión de VPNPara habilitar la supervisión de VPN, siga estos pasos:
WebUIVPNs > AutoKey IKE > New: Configure la VPN, haga clic en Advanced , inthaga clic en Return para regresar a la página de configuración básica de V OK :
VPN Monitor : seleccione la opción para habileste túnel VPN.
Nota: Si el dispositivo receptor es un producto de otro fabricante que no responde acambie el destino a un host interno en la LAN del interlocutor remoto que sí respondinterlocutor remoto siempre debe disponer de una directiva que permita el paso de
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
366
desplegable. Si elige “default”, de salida.
destino. Si no introduce ningún rección IP de puerta de enlace
l dispositivo NetScreen intente de fase 1 si fuera necesario) si tivo. Cuando seleccione esta ealizar las negociaciones IKE rvisión de VPN inmediatamente
ea que el dispositivo NetScreen do el estado del túnel cambie ptación está inhabilitada, la tráfico generado por el usuario iaciones IKE y se detendrá inactivo.
oduzca los siguientes datos, PN y, finalmente, haga clic en
itar la supervisión de VPN en
desplegable. Si elige “default”, de salida.
destino. Si no introduce ningún rección IP de puerta de enlace
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Source Interface: elija una interfaz en la lista el dispositivo NetScreen utilizará la interfaz
Destination IP: introduzca una dirección IP dedato, el dispositivo NetScreen utilizará la diremota.
Rekey: seleccione esta opción si desea que erealizar las negociaciones IKE de fase 2 (yel estado del túnel cambia de activo a inacopción, el dispositivo NetScreen intentará rpara configurar el túnel y comenzar la supedespués de terminar la configuración.
Anule la selección de esta opción si no desintente realizar las negociaciones IKE cuande activo a inactivo. Si la opción de reencrisupervisión de VPN comenzará cuando el haya desencadenado el inicio de las negoccuando el estado del túnel pase de activo a
(o bien)
VPNs > Manual Key > New: Configure la VPN, haga clic en Advanced , intrhaga clic en Return para regresar a la página de configuración básica de V OK :
VPN Monitor : seleccione la opción para habileste túnel VPN.
Source Interface: elija una interfaz en la lista el dispositivo NetScreen utilizará la interfaz
Destination IP: introduzca una dirección IP dedato, el dispositivo NetScreen utilizará la diremota.
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
367
destination-ip
ermina si la puerta de enlace remota puesta o 10 peticiones consecutivas
a.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI
set vpnmonitor frequency number8
set vpnmonitor threshold number9
set vpn name_str monitor [ source-interface interface10 [ ip_addr 11 ] ] [optimized] [ rekey12 ]
save
8. La frecuencia de supervisión de VPN se mide en segundos. El intervalo predeterminado es de 10 segundos.
9. El límite (threshold) de supervisión de VPN es el número de peticiones de eco ICMP seguidas sin respuesta que detes accesible a través del túnel o no. El límite predeterminado es de 10 peticiones de eco ICMP consecutivas con ressin respuesta.
10. Si no elige una interfaz de origen, el dispositivo NetScreen utilizará la interfaz de salida como predeterminada.
11. Si no elige una dirección IP de destino, el dispositivo NetScreen utilizará la dirección IP de la puerta de enlace remot
12. La opción de reencriptación no está disponible para los túneles VPN con clave manual.
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
368
ara la supervisión
reen (NetScreen-A y ona Trust (ethernet1) a la
ure la supervisión de VPN a (10.1.1.5) ubicado tras
4
, pre-g2-des-sha y pre-g2-des-md5.
sp-3des-md5, nopfs-esp-des-sha
lace: gw1 puerta de enlace: 1.1.1.1
partida: Ti82g4aXnet3
pn1patible = ethernet1; dst = 10.1.1.5
nel.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Especificación de las direcciones de origen y destino pde VPNEn este ejemplo configuraremos un túnel VPN AutoKey IKE entre dos dispositivos NetScNetScreen-B). En el dispositivo A, configure la supervisión de VPN desde su interfaz de zinterfaz de zona Trust (10.2.1.1/24) del dispositivo NetScreen-B. En NetScreen-B, configdesde su interfaz de zona Trust interface (ethernet1) a un servidor de red local corporativNetScreen-A.
NetScreen-A NetScreen-BZonas e interfaces• ethernet1
- Zona: Trust- Dirección IP: 10.1.1.1/24- Modo de interfaz: NAT
• ethernet3- Zona: Untrust- Dirección IP: 1.1.1.1/24
• ethernet1- Zona: Trust- Dirección IP: 10.2.1.1/2- Modo de interfaz: NAT
• ethernet3- Zona: Untrust- Dirección IP: 2.2.2.2/24
Parámetros de túnel AutoKey IKE basado en rutas• Fase 1
- Nombre de puerta de enlace: gw1- Dirección IP estática de puerta de enlace: 2.2.2.2- Nivel de seguridad: Compatible*
- Clave previamente compartida: Ti82g4aX- Interfaz de salida: ethernet3- Modo: Principal
• Fase 2- Nombre de túnel VPN: vpn1- Nivel de seguridad: Compatible†
- Supervisión de VPN: src = ethernet1; dst = 10.2.1.1- Asociado a interfaz: tunnel.1
* El nivel de seguridad Compatible en la fase 1 incluye las siguientes propuestas: pre-g2-3des-sha, pre-g2-3des-md5† El nivel de seguridad Compatible en la fase 2 incluye las siguientes propuestas: nopfs-esp-3des-sha, nopfs-e
y nopfs-esp-des-md5.
• Fase 1- Nombre de puerta de en- Dirección IP estática de- Propuestas: Compatible- Clave previamente com- Interfaz de salida: ether- Modo: Principal
• Fase 2- Nombre de túnel VPN: v- Nivel de seguridad: Com- Supervisión de VPN: src- Asociado a interfaz: tun
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
369
zona Trust a una dirección de ir directivas que permitan que
s y haga clic en Apply :
e)
OK :
3, puerta de enlace
l.1, sin puerta de enlaceáfico a 10.1.1.0/24 si
10.1.1.0/24, utilizar interfaz
, es posible utilizar las e otras opciones se incluye da utilizarlas.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Como los dos dispositivos envían peticiones de eco ICMP desde una interfaz en susu zona Untrust, los administradores en ambos extremos del túnel VPN deben definlas peticiones pasen de una zona a otra.
WebUI (NetScreen-A)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
NetScreen-A NetScreen-B
Rutas
A 0.0.0.0/0, utilizar ethernet3, puerta de enlace 1.1.1.250A 10.2.1.0/24, utilizar tunnel.1, sin puerta de enlace(Ruta nula: para derivar el tráfico a 10.2.1.0/24 si tunnel.1 se desactiva) Para 10.2.1.0/24, utilizar interfaz nula, métrica: 10
A 0.0.0.0/0, utilizar ethernet2.2.2.250A 10.1.1.0/24, utilizar tunne(Ruta nula: para derivar el trtunnel.1 se desactiva) Para nula, métrica: 10
Nota: Como los dos terminadores VPN de este ejemplo son dispositivos NetScreendirecciones predeterminadas de origen y destino para la supervisión VPN. El uso dúnicamente para ilustrar la configuración de un dispositivo NetScreen para que pue
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
370
s y haga clic en OK :
e)
ga clic en OK :
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > Tunnel IF New: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Trust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet1(trust-vr)
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Remote_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.1.0/24
Zone: Untrust
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
371
OK :
/Hostname: 2.2.2.2
avanzados y haga clic en uración básica de AutoKey IKE:
l.1
24
0/24
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. VPNVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn1
Security Level: Compatible
Remote Gateway:
Create a Simple Gateway: (seleccione)
Gateway Name: gw1
Type:
Static IP: (seleccione), Address
Preshared Key: Ti82g4aX
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 10.1.1.0/
Remote IP / Netmask: 10.2.1.
Service: ANY
VPN Monitor: (seleccione)
Source Interface: ethernet1
Destination IP: 10.2.1.1
Rekey: (anule la selección)
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
372
es datos y haga clic en OK :
es datos y haga clic en OK :
es datos y haga clic en OK :
haga clic en OK :
N
_LAN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address / Netmask: 10.2.1.0/24
Gateway: (seleccione)
Interface: Tunnel.1Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address / Netmask: 10.2.1.0/24
Gateway: (seleccione)
Interface: NullGateway IP Address: 0.0.0.0Metric: 10
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Trust_LA
Destination Address:
Address Book Entry: (seleccione), Remote
Service: ANY
Action: Permit
Position at Top: (seleccione)
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
373
haga clic en OK :
_LAN
N
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Remote
Destination Address:
Address Book Entry: (seleccione), Trust_LA
Service: Any
Action: Permit
Position at Top: (seleccione)
WebUI (NetScreen-B)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.2.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 2.2.2.2/24
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
374
ga clic en OK :
lic en OK :
lic en OK :
OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > Tunnel IF New: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Trust (trust-vr)
Unnumbered: (seleccione)
Interface: ethernet1(trust-vr)
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Trust_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Remote_LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3. VPNVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn1
Security Level: Compatible
Remote Gateway:
Create a Simple Gateway: (seleccione)
Gateway Name: gw1
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
375
/Hostname: 1.1.1.1
avanzados y haga clic en uración básica de AutoKey IKE:
l.1
24
0/24
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Type:
Static IP: (seleccione), Address
Preshared Key: Ti82g4aX
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 10.2.1.0/
Remote IP / Netmask: 10.1.1.
Service: ANY
VPN Monitor: (seleccione)
Source Interface: ethernet1
Destination IP: 10.1.1.5
Rekey: (anule la selección)
4. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
376
es datos y haga clic en OK:
es datos y haga clic en OK:
haga clic en OK:
N
_LAN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address/Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Tunnel.1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address / Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: Null
Gateway IP Address: 0.0.0.0
Metric: 10
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Trust_LA
Destination Address:
Address Book Entry: (seleccione), Remote
Service: ANY
Action: Permit
Position at Top: (seleccione)
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
377
haga clic en OK :
_LAN
N
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Remote
Destination Address:
Address Book Entry: (seleccione), Trust_LA
Service: Any
Action: Permit
Position at Top: (seleccione)
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
378
ace ethernet3 preshare
2.1.0/24 anyion-ip 10.2.1.1
gateway 1.1.1.2501tric 10
N any permitN any permit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (NetScreen-A)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface tunnel.1 zone trustset interface tunnel.1 ip unnumbered interface ethernet1
2. Direccionesset address trust Trust_LAN 10.1.1.0/24set address untrust Remote_LAN 10.2.1.0/24
3. VPNset ike gateway gw1 address 2.2.2.2 main outgoing-interf
Ti82g4aX sec-level compatibleset vpn vpn1 gateway gw1 sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 10.1.1.0/24 remote-ip 10.set vpn vpn1 monitor source-interface ethernet1 destinat
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.2.1.0/24 interface tunnel.set vrouter trust-vr route 10.2.1.0/24 interface null me
5. Directivasset policy top from trust to untrust Trust_LAN Remote_LAset policy top from untrust to trust Remote_LAN Trust_LAsave
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
379
ace ethernet3 preshare
1.1.0/24 anyion-ip 10.1.1.5
gateway 2.2.2.2501tric 10
N any permitN any permit
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (NetScreen-B)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.2.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24set interface tunnel.1 zone trustset interface tunnel.1 ip unnumbered interface ethernet1
2. Direccionesset address trust Trust_LAN 10.2.1.0/24set address untrust Remote_LAN 10.1.1.0/24
3. VPNset ike gateway gw1 address 1.1.1.1 main outgoing-interf
Ti82g4aX sec-level compatibleset vpn vpn1 gateway gw1 sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 10.2.1.0/24 remote-ip 10.set vpn vpn1 monitor source-interface ethernet1 destinat
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.1.1.0/24 interface tunnel.set vrouter trust-vr route 10.1.1.0/24 interface null me
5. Directivasset policy top from trust to untrust Trust_LAN Remote_LAset policy top from untrust to trust Remote_LAN Trust_LAsave
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs
380
ndo objetos y capturas SNMP ervisión de VPN indica si cada as enviadas correctamente, la
clave manual, el dispositivo ientes datos:
(MD5 o SHA-1) ESP
rtificados)
ndex”)
ncriptación; el periodo de eencriptación)
ervisión de VPN, es necesario uede encontrar los archivos de itivo NetScreen.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Objetos y capturas SNMP para la supervisión de VPNScreenOS permite determinar el estado y las condiciones de las VPN activas utiliza(Simple Network Management Protocol) para la supervisión de VPN. La MIB de suppetición de eco ICMP provoca una respuesta, un promedio actualizado de respuestlatencia de la respuesta y la latencia media de los últimos 30 intentos.
Si se habilita la función de supervisión de VPN en un túnel VPN AutoKey IKE o conNetScreen activará sus objetos SNMP de supervisión de VPN, que incluyen los sigu
• Número total de sesiones de VPN activas
• Hora en la que se inició cada sesión
• Elementos de asociación de seguridad (SA) de cada sesión:
– Tipos de algoritmos de encriptación (DES o 3DES) y de autenticación – Tipo de algoritmo de encabezado de autenticación (MD5 o SHA-1)– Protocolo de intercambio de claves (AutoKey IKE o clave manual)– Método de autenticación de fase 1 (clave previamente compartida o ce– Tipo de VPN (acceso telefónico o punto a punto)– Direcciones IP de interlocutor y puerta de enlace local– IDs de interlocutor y puerta de enlace local– Número SPI (índice de parámetro de seguridad, “Security Parameter I
• Parámetros de estado de sesión– Estado de supervisión de VPN (activo o inactivo)– Estado de túnel (activo o inactivo)– Estado de fase 1 y 2 (inactivo o activo)– Periodo de vigencia de fase 1 y 2 (tiempo en segundos antes de la ree
vigencia de fase 2 también se registra en bytes restantes antes de la r
Nota: Para permitir que la aplicación de gestión SNMP reconozca las MIBs de supimportar en la aplicación los archivos de extensión MIB específicos de NetScreen. Pextensión MIB en el CD de documentación de NetScreen que recibió con su dispos
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
381
ncular un destino específico a reen utiliza dos tablas: la tabla creen asigna la dirección IP de un túnel VPN particular dmitir varios túneles VPN.
únel que se puedan crear, sino s admitido (lo que sea menor). dicados, será posible crear en admite 8.192 rutas y 10.000 a interfaz de túnel13. Para ver la de datos correspondiente del
en rutas las rutas generadas edeterminada) que tendrá que definir.
és de una sola interfaz de túnel l túnel VPN (lo que sea menor).
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
MÚLTIPLES TÚNELES POR INTERFAZ DE TÚNELEs posible asociar múltiples túneles VPN IPSec a una sola interfaz de túnel. Para viuno de los túneles VPN asociados a la misma interfaz de túnel, el dispositivo NetScde rutas y la de asociación de túneles a saltos siguientes (NHTB). El dispositivo NetSpuerta de enlace al siguiente salto, especificada en la entrada de la tabla de rutas, aespecificado en la tabla NHTB. Con esta técnica, una sola interfaz de túnel puede a(Consulte “Asignación de rutas a túneles” en la página 382.)
El número máximo de túneles VPN no está limitado por el número de interfaces de tpor la capacidad de la tabla de rutas o el número máximo de túneles VPN dedicadoPor ejemplo, si el dispositivo NetScreen admite 4.000 rutas y 1.000 túneles VPN de1.000 túneles VPN y asociarlos a una sola interfaz de túnel. Si el dispositivo NetScretúneles VPN dedicados, será posible crear 8.000 túneles VPN y asociarlos a una solcapacidad máxima de rutas y túneles de su dispositivo NetScreen, consulte la hoja producto.
13. Si la capacidad de la tabla de rutas es lo que va a establecer el límite, deberá restar al total de túneles VPN basadosautomáticamente por las interfaces de zona de seguridad y otras rutas estáticas (como la ruta a la puerta de enlace pr
El dispositivo NetScreen puede ordenar el tráfico VPN enviado a trava tantos túneles VPN como admita la tabla de rutas o la capacidad de
Túneles VPN basados en rutas para múltiples interlocutores remotos.
Todos los túneles comparten la misma interfaz de túnel.
Dispositivo NetScreen local
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
382
nel, el dispositivo NetScreen a a un nombre de túnel VPN HTB se muestra a
ico enviado de 10.2.1.5 a
10.1.1.5
10.1.1.0/24
(con direcciones IP mente y direcciones sus LAN protegidas
Flagstatic
static
static
eles a saltos siguientes
bién es la dirección IP oto. Esta dirección IP determinado para el
2, los dos interlocutores erfaz de túnel e introducen es de túnel a salto én se pueden introducir iguiente salto será la l interlocutor remoto.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Asignación de rutas a túnelesPara ordenar el tráfico a través de túneles VPN asociados a la misma interfaz de túasigna la dirección IP de la puerta de enlace al salto siguiente especificada en la rutdeterminado. La asignación de entradas en la tabla de rutas a entradas en la tabla Ncontinuación. En la siguiente ilustración, el dispositivo NetScreen local enruta el tráf10.1.1.5 a través de la interfaz tunnel.1 y, a continuación, a través de vpn2.
vpn2
vpn3
vpn1tunnel.1
10.2.0.0/16
10.2.1.5
10.1.0.0/24
10.1.2.0/24
10.1.1.1
10.1.2.1
LAN de zona Trust
10.1.3.1
Dispositivo NetScreen local con múltiples túneles asignados a la interfaz tunnel.1
Interlocutores VPN remotos externas asignadas dinámicaIP de interfaz de túnel fijas) y
ID IP-Prefix (Dst) Interface Gateway Next-Hop VPN1 10.1.0.0/24 tunnel.1 10.1.1.1 10.1.1.1 vpn1
2 10.1.1.0/24 tunnel.1 10.1.2.1 10.1.2.1 vpn23 10.1.2.0/24 tunnel.1 10.1.3.1 10.1.3.1 vpn3
Tabla de rutas Tabla de asociación de tún
En las entradas anteriores, la dirección IP de la puerta de enlace en la tabla de rutas, que tamde salto siguiente en la tabla NHTB, es la interfaz de túnel en la ubicación del interlocutor remvincula la ruta (y, en consecuencia, la interfaz de túnel especificada en la ruta) a un túnel VPNtráfico destinado al prefijo IP especificado.
Se puede utilizar un protocolo de enrutamiento dinámico como Border Gateway Protocol (BGP) para rellenar la tabla de rutas automáticamente, o bien introducir manualmente estas rutas. La dirección IP de la puerta de enlace es la dirección de la interfaz de túnel en la ubicación del interlocutor remoto.
Durante las negociaciones de faseIKE intercambian direcciones de int automáticamente estas asociacionsiguiente. De forma opcional tambimanualmente. La dirección IP del sdirección IP de interfaz de túnel de
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
383
remoto como puerta de enlace un protocolo de enrutamiento de interfaz de túnel del ne que introducir como salto a vez más, dispone de dos a recoja del interlocutor remoto
tabla de rutas y la dirección IP lar la interfaz de túnel con el inado al prefijo IP especificado
accede por VPNs basadas en ucción de direcciones de red Además, las direcciones IP de pretende conectar un gran a de direcciones. A 1.000 túneles VPN:
VPN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
El dispositivo NetScreen utiliza la dirección IP de la interfaz de túnel del interlocutory dirección IP del salto siguiente. Puede introducir la ruta manualmente o hacer quedinámico introduzca automáticamente una ruta que haga referencia a la dirección IPinterlocutor como puerta de enlace en la tabla de rutas. La misma dirección IP se tiesiguiente, junto con el nombre de túnel VPN correspondiente, en la tabla NHTB. Unalternativas: puede introducirla manualmente o hacer que el dispositivo NetScreen ldurante las negociaciones de fase 2 y la introduzca manualmente.
El dispositivo NetScreen utiliza la dirección IP de puerta de enlace en la entrada de lade salto siguiente en la entrada de la tabla NHTB como elemento común para vincutúnel VPN correspondiente. El dispositivo NetScreen puede así dirigir el tráfico desten la ruta con el túnel VPN adecuado especificado en la tabla NHTB.
Direcciones de interlocutores remotosEl esquema de direccionamiento interno de los interlocutores remotos a los que se rutas debe ser único para todos ellos. Una forma de conseguirlo es realizar una trad(NAT) de las direcciones de origen y de las de destino por cada interlocutor remoto.interfaz de túnel también deben ser únicas para todos los interlocutores remotos. Sinúmero de ubicaciones remotas, será absolutamente necesario elaborar un esquemcontinuación se muestra un ejemplo de esquema de direcciones para un máximo de
Dst en tabla de rutas local
Interfaz de túnel local Puerta de enlace/salto siguiente (interfaz de túnel de interlocutor)
Túnel
10.0.3.0/24 tunnel.1 10.0.2.1/24 vpn1
10.0.5.0/24 tunnel.1 10.0.4.1/24 vpn2
10.0.7.0/24 tunnel.1 10.0.6.1/24 vpn3
… … … …
10.0.251.0/24 tunnel.1 10.0.250.1/24 vpn125
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
384
ts remotos, hay una interfaz de to siguiente en la tabla de rutas
rfaz de túnel con traducción de es superpuestas” en la
0
VPN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
La interfaz de túnel en el dispositivo NetScreen local es 10.0.0.1/24. En todos los hostúnel con una dirección IP que aparece como la dirección IP de puerta de enlace/sallocal y en la tabla NHTB.
Si desea ver un ejemplo que ilustra la asociación de múltiples túneles a una sola intedirecciones, consulte “Ejemplo: Múltiples VPNs en una interfaz de túnel para subredpágina 388.
10.1.3.0/24 tunnel.1 10.1.2.1/24 vpn126
10.1.5.0/24 tunnel.1 10.1.4.1/24 vpn127
10.1.7.0/24 tunnel.1 10.1.6.1/24 vpn128
… … … …
10.1.251.0/24 tunnel.1 10.1.250.1/24 vpn250
10.2.3.0/24 tunnel.1 10.2.2.1/24 vpn251
… … … …
10.2.251.0/24 tunnel.1 10.2.250.1/24 vpn375
… … … …
10.7.3.0/24 tunnel.1 10.7.2.1/24 vpn876
… … … …
10.7.251.0/24 tunnel.1 10.7.250.1/24 vpn100
Dst en tabla de rutas local
Interfaz de túnel local Puerta de enlace/salto siguiente (interfaz de túnel de interlocutor)
Túnel
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
385
automatizar la carga de las iados a una sola interfaz de túneles, el método automático
tan dinámicamente cuando los del concentrador.
l de un interlocutor remoto en la nerse en contacto con el en ese extremo del túnel. A con el siguiente comando:
tr
.7.250.1/24st 10.7.251.1 ->
iones IP internas
10.6.2.1/24NAT-dst 10.6.3.1->
direcciones IP internas
10.1.1.1/24NAT-dst 10.1.2.1 ->
direcciones IP internas
10.0.6.1/24NAT-dst 10.0.7.1 ->
direcciones IP internas
n751
vpn251
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Entradas de tabla manuales y automáticasPuede incluir entradas manualmente en las tablas NHTB y de rutas. También puedetablas NHTB y de rutas. Si se va a trabajar con un número pequeño de túneles asoctúnel, el método manual puede funcionar bien. Sin embargo, para un gran número dereduce la configuración y el mantenimiento administrativos, ya que las rutas se ajustúneles o interfaces dejan de estar disponibles en la interfaz de túnel en la ubicación
Entradas manuales en la tablaUn túnel VPN se puede asignar manualmente a la dirección IP de la interfaz de túnetabla de asociación de túneles a saltos siguientes (NHTB). En primer lugar debe poadministrador remoto y conocer las direcciones IP utilizadas por la interfaz de túnel continuación podrá asociar esta dirección al nombre de túnel VPN en la tabla NHTB
set interface tunnel.1 nhtb peer’s_tunnel_interface_address vpn name_s
Dispositivo NetScreen local
10.0.0.1/24NAT-dst 10.0.1.1 ->
direcciones IP internas 10NAT-ddirecc
10.0.4.1/24NAT-dst 10.0.5.1 ->
direcciones IP internas
IF 10.0.2.1/24NAT-dst 10.0.3.1 ->
direcciones IP internas
vpn1000
vp
vpn3vpn2
vpn1
El dispositivo NetScreen local y todos sus interlocutores ejecutan la traducción de direcciones de destino (NAT-dst) con desplazamiento de IP en el tráfico VPN entrante y traducción de direcciones de origen (NAT-src) desde la dirección IP de interfaz de túnel de salida con traducción de puertos en el tráfico VPN saliente. Para obtener más información sobre NAT-src y NAT-dst, consulte el Volumen 7, “Traducción de direcciones”.
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
386
a la dirección IP de interfaz de el siguiente comando CLI:
unnel_interface_addr
umplir las siguientes
nterfaz de túnel local deben ser
a interfaz debe tener una rlocutores.
ción de reencriptación (Rekey), onnect) para cada puerta de
un protocolo de enrutamiento
sitivos NetScreen situados en haya tráfico VPN originado por ón a los dos lados de un túnel 1 y 2 para establecer el túnel.
de desencadenar negociaciones IKE s de IKE. En cualquier caso, Juniper lugar de ello, utilice la supervisión de
interlocutor local como interfaz “punto
nio completo (FQDN) asignado a una ociación de seguridad de fase 2 en el terlocutor puede reiniciar las .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Una vez hecho esto, podrá introducir una ruta estática en la tabla de rutas que utiliztúnel como puerta de enlace. Puede introducir la ruta por medio de la WebUI o con
set vrouter name -str route dst_addr interface tunnel.1 gateway peer’s_t
Entradas automáticas en la tablaPara que la tabla de rutas y la tabla NHTB se rellenen automáticamente, se deben ccondiciones:
• Los interlocutores remotos de todos los túneles VPN asociados a una sola idispositivos NetScreen con ScreenOS 5.0.0.
• Cada interlocutor remoto debe asociar su túnel a una interfaz de túnel, y esdirección IP única entre todas las direcciones de interfaz de túnel de los inte
• En ambos extremos del túnel VPN, habilite la supervisión de VPN con la opo habilite la opción de nueva conexión de latidos de IKE (IKE Heartbeat Recenlace remota14.
• Los interlocutores locales y remotos deben tener habilitada una instancia dedinámico15 en sus interfaces de túnel de conexión.
El uso de supervisión de VPN con la opción de reencriptación permite que los dispoambos extremos de un túnel puedan establecer el túnel sin tener que esperar a queel usuario16. Una vez habilitada la supervisión de VPN con la opción de reencriptaciVPN, los dos dispositivos NetScreen llevarán a cabo las negociaciones IKE de fase(Para obtener más información, consulte “Supervisión de VPNs” en la página 361).
14. Si se ejecuta un protocolo de enrutamiento dinámico en las interfaces de túnel, el tráfico generado por el protocolo pueaunque no se habilite la supervisión de VPN con la opción de reencriptación o la opción de nueva conexión de latidoNetworks recomienda no confiar en que el tráfico de enrutamiento dinámico desencadene las negociaciones IKE. EnVPN con la opción de reencriptación o de nueva conexión de latidos de IKE.
15. Para OSPF (“Open Shortest Path First” = “abrir primero la ruta más corta”), debe configurar la interfaz de túnel en el a multipunto” antes de activar el protocolo de enrutamiento en la interfaz.
16. En el caso de interlocutores remotos con una dirección IP externa asignada dinámicamente o con un nombre de domidirección IP dinámica, el interlocutor remoto primero debe iniciar las negociaciones IKE. Sin embargo, dado que la asdispositivo NetScreen local guarda en caché la dirección IP asignada dinámicamente del interlocutor remoto, cada innegociaciones IKE para restablecer un túnel cuyo estado de supervisión de VPN haya cambiado de activo a inactivo
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
387
sí direcciones IP de interfaz de z de túnel y su nombre de túnel
utomáticamente en esta tabla motas. Los pasos básicos son
ne la interfaz de túnel a la que
los interlocutores BGP.
da y una ruta estática a cada aces de túnel de los icialmente a sus vecinos BGP a
ión de enrutamiento, de forma rlocutores establecen un túnel dispositivo local. Cuando la un interlocutor a través de un moto como puerta de enlace en
a única interfaz de túnel, donde onsulte “Ejemplo: Entradas
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Durante las negociaciones de fase 2, los dispositivos NetScreen intercambian entretúnel. Cada módulo IKE puede introducir automáticamente la dirección IP de interfaVPN correspondiente en la tabla NHTB.
Para hacer que el dispositivo NetScreen pueda introducir rutas a destinos remotos ade rutas, debe habilitar una instancia de BGP en las interfaces de túnel locales y relos siguientes:
1. Crear una instancia de enrutamiento BGP en el enrutador virtual que contiese han asociado múltiples túneles VPN.
2. Habilitar la instancia de enrutamiento en el enrutador virtual.
3. Habilitar la instancia de enrutamiento en la interfaz de túnel que conduce a
Los interlocutores remotos también llevan a cabo estos pasos.
En el dispositivo local (o concentrador), también debe definir una ruta predeterminadirección IP de interfaz de túnel de los interlocutores. Las rutas estáticas a las interfinterlocutores son necesarias para que el dispositivo concentrador pueda acceder intravés del túnel VPN correcto.
Después de establecer las comunicaciones, los vecinos BGP intercambian informacque pueden rellenar automáticamente sus tablas de rutas. Una vez que los dos inteVPN entre sí, pueden enviar y recibir información de enrutamiento desde y hacia el instancia de enrutamiento dinámico en el dispositivo NetScreen aprende una ruta a interfaz de túnel local, incluye la dirección IP de la interfaz de túnel del interlocutor rela ruta.
Para ver un ejemplo que ilustra la configuración de múltiples túneles asociados a unel dispositivo “concentrador” rellena sus tablas NHTB y de rutas automáticamente, cautomáticas en la tabla de rutas y la tabla NHTB” en la página 420.
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
388
es superpuestas1, vpn2 y vpn3) a una sola otos: peer1, peer2 y peer3. Las nualmente a NetScreen A.
ntes parámetros: AutoKey IKE, n3”) y el nivel de seguridad s detalles sobre estas
ominio de enrutamiento virtual
N para mostrar cómo se puede para evitar problemas de e NAT-src y NAT-dst, consulte
vpn1erta de enlace IKE: peer1, 2.2.2.2faz de túnel del interlocutor remoto:
10.0.2.1
vpn2Puerta de enlace IKE: peer2,
3.3.3.3Interfaz de túnel del
interlocutor remoto: 10.0.4.1
vpn3erta de enlace IKE: peer3, 4.4.4.4faz de túnel del interlocutor remoto:
10.0.6.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Múltiples VPNs en una interfaz de túnel para subredEn este ejemplo asociaremos tres túneles VPN AutoKey IKE basados en rutas (vpninterfaz de túnel (tunnel.1). Los túneles van de NetScreen A a tres interlocutores rementradas de las tablas NHTB y de rutas para los tres interlocutores se agregarán ma
Las configuraciones de túnel VPN a ambos extremos de cada túnel utilizan los siguieclave previa compartida (peer1: “netscreen1”, peer2: “netscreen2”, peer3: “netscreepredefinidos como “Compatible” para las propuestas de fase 1 y fase 2. (Para ver lopropuestas, consulte “Negociación de túnel” en la página 11).
Todas las zonas de seguridad e interfaces en cada dispositivo se encuentran en el dtrust-vr del dispositivo correspondiente.
En este ejemplo se utiliza el mismo espacio de direcciones (10.1.1.0/24) en cada LAutilizar la traducción de direcciones de red de origen y destino (NAT-src y NAT-dst) direccionamiento entre los interlocutores IPSec. Para obtener más información sobrel Volumen 7, “Traducción de direcciones”.
tunnel.110.0.0.1/30
Conjunto de DIP 5: 10.0.0.2 - 10.0.0.2
vpn2
vpn3
vpn1
peer1
LAN
peer2
peer3
LAN
LAN
ethernet31.1.1.1/24Enrutador externo
1.1.1.250
Zona Untrust
La interfaz tunnel.1 de NetScreen-A se asocia a tres túneles VPN.
NetScreen-A
Zona Trustethernet1
10.1.1.1/24
PuInterNota: La zona Trust de
NetScreen-A no se muestra.
PuInter
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
389
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
ga clic en OK :
ientes datos y haga clic en OK :
0.0.0.2
econdary IPs: (seleccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (NetScreen-A)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 10.0.0.1/30
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los sigu
ID: 5
IP Address Range: (seleccione), 10.0.0.2 ~ 1
Port Translation: (seleccione)
In the same subnet as the interface IP or its s
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
390
lic en OK :
lic en OK :
lic en OK :
OK :
(seleccione)
name: 2.2.2.2
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: oda1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: peers
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.0.0/16
Zone: Untrust
3. VPNsVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: peer1
Type: Static IP: (seleccione), Address/Host
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
391
avanzados y haga clic en uración básica de AutoKey IKE:
l.1
/0
OK :
(seleccione)
name: 3.3.3.3
avanzados y haga clic en uración básica de AutoKey IKE:
l.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: peer2
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen2
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
392
/0
OK :
(seleccione)
name: 4.4.4.4
avanzados y haga clic en uración básica de AutoKey IKE:
l.1
/0
tes datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Remote IP / Netmask: 0.0.0.0
Service: ANY
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn3
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: peer3
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen3
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
4. RutasNetwork > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
393
tes datos y haga clic en OK :
tes datos y haga clic en OK :
tes datos y haga clic en OK :
tes datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.1.0/24
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.3.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 10.0.2.1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.2.2/32
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 10.0.2.1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.5.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 10.0.4.1
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
394
tes datos y haga clic en OK :
tes datos y haga clic en OK :
tes datos y haga clic en OK :
tes datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.4.2/32
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 10.0.4.1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.7.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 10.0.6.1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.6.2/32
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 10.0.6.1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.0.0/16
Gateway: (seleccione)
Interface: null
Gateway IP Address: 0.0.0.0
Metric: 10
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
395
ientes datos y haga clic en
datos y haga clic en Add :
datos y haga clic en Add :
ga clic en OK :
vanzados y haga clic en ación básica de directivas:
))/X-late
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > Edit (para tunnel.1) > NHTB > New: Introduzca los sigu Add :
New Next Hop Entry:
IP Address: 10.0.2.1
VPN: vpn1
Network > Interfaces > Edit (para tunnel.1) > NHTB: Introduzca los siguientes
New Next Hop Entry:
IP Address: 10.0.4.1
VPN: vpn2
Network > Interfaces > Edit (para tunnel.1) > NHTB: Introduzca los siguientes
New Next Hop Entry:
IP Address: 10.0.6.1
VPN: vpn3
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y ha
Source Address:Address Book: (seleccione), corp
Destination Address:Address Book: (seleccione), peers
Service: AnyAction: PermitPosition at Top: (seleccione)
> Advanced: Introduzca los siguientes ajustes a Return para regresar a la página de configur
NAT:Source Translation: (seleccione
DIP On: 5 (10.0.0.2–10.0.0.2
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
396
haga clic en OK :
avanzados y haga clic en uración básica de directivas:
ccione)
leccione), 10.1.1.0 - 10.1.1.254
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), peers
Destination Address:
Address Book Entry: (seleccione), oda1
Service: Any
Action: Permit
Position at Top: (seleccione)
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
NAT:
Destination Translation: (sele
Translate to IP Range: (se
CLI (NetScreen-A)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface tunnel.1 zone untrustset interface tunnel.1 ip 10.0.0.1/30set interface tunnel.1 dip 5 10.0.0.2 10.0.0.2
2. Direccionesset address trust corp 10.1.1.0/24set address trust oda1 10.0.1.0/24set address untrust peers 10.0.0.0/16
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
397
ethernet3 preshare
.0/0 any ethernet3 preshare
.0/0 any ethernet3 preshare
.0/0 any
gateway 1.1.1.250t11 gateway 10.0.2.11 gateway 10.0.2.11 gateway 10.0.4.11 gateway 10.0.4.11 gateway 10.0.6.11 gateway 10.0.6.1tric 10
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. VPNsset ike gateway peer1 address 2.2.2.2 outgoing-interface
netscreen1 sec-level compatibleset vpn vpn1 gateway peer1 sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0set ike gateway peer2 address 3.3.3.3 outgoing-interface
netscreen2 sec-level compatibleset vpn vpn2 gateway peer2 sec-level compatibleset vpn vpn2 bind interface tunnel.1set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0set ike gateway peer3 address 4.4.4.4 outgoing-interface
netscreen3 sec-level compatibleset vpn vpn3 gateway peer3 sec-level compatibleset vpn vpn3 bind interface tunnel.1set vpn vpn3 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.0.1.0/24 interface etherneset vrouter trust-vr route 10.0.3.0/24 interface tunnel.set vrouter trust-vr route 10.0.2.2/32 interface tunnel.set vrouter trust-vr route 10.0.5.0/24 interface tunnel.set vrouter trust-vr route 10.0.4.2/32 interface tunnel.set vrouter trust-vr route 10.0.7.0/24 interface tunnel.set vrouter trust-vr route 10.0.6.2/32 interface tunnel.set vrouter trust-vr route 10.0.0.0/16 interface null meset interface tunnel.1 nhtb 10.0.2.1 vpn vpn1set interface tunnel.1 nhtb 10.0.4.1 vpn vpn2set interface tunnel.1 nhtb 10.0.6.1 vpn vpn3
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
398
dip-id 5 permitip 10.1.1.0 10.1.1.254
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. Directivasset policy from trust to untrust corp peers any nat src set policy from untrust to trust peers oda1 any nat dst
permitsave
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
399
en la ubicación peer1 debe configura el dispositivo
e las direcciones internas se /24. Peer1 lleva a cabo ternas a 10.0.2.2 al enviar nviado desde NetScreen-A, iones.
haga clic en Apply :
K :
Traducción de direcciones”.
st3.255
NAT-dst de10.0.3.0 – 10.0.3.255
a10.1.1.0 – 10.1.1.255
con desplazamiento de direcciones
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Peer1
La siguiente configuración es la que el administrador remoto del dispositivo NetScreenintroducir para crear un túnel VPN a NetScreen en la empresa. El administrador remotoNetScreen para que realice NAT en el origen y en el destino (NAT-src y NAT-dst) porquencuentran en el mismo espacio de direcciones que las de la LAN corporativa: 10.1.1.0NAT-src utilizando el conjunto de DIP 6 para traducir todas las direcciones de origen intráfico a través de VPN1 a NetScreen-A. Peer1 lleva a cabo NAT-dst en el tráfico VPN etraduciendo las direcciones de 10.0.3.0/24 a 10.1.1.0/24 con desplazamiento de direcc
WebUI (Peer1)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
Zone Name: Trust
Static IP: (seleccione esta opción si es posible)
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en O
Interface Mode: NAT
Nota: Para obtener más información sobre NAT-src y NAT-dst, consulte el Volumen 7, “
Peer1Zona Untrust
LAN10.1.1.0/24
Zona Trust
ethernet32.2.2.2/24Enrutador externo
2.2.2.250
tunnel.1010.0.2.1/30
Conjunto de DIP 6 10.0.2.2 - 10.0.2.2
vpn1 desde NetScreen-A
Rango NAT-d10.0.3.0 – 10.0.
ethernet110.1.1.1/24
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
400
s y haga clic en OK :
e)
ga clic en OK :
uientes datos y haga clic en
0.0.2.2
econdary IPs: (seleccione)
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 2.2.2.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.10
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 10.0.2.1/30
Network > Interfaces > Edit (para tunnel.10) > DIP > New: Introduzca los sigOK :
ID: 6
IP Address Range: (seleccione), 10.0.2.2 ~ 1
Port Translation: (seleccione)
In the same subnet as the interface IP or its s
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: lan
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
401
lic en OK :
lic en OK :
lic en OK :
OK :
(seleccione)
name: 1.1.1.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: oda2
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.3.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: to_corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.1.0/24
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: fr_corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.0.2/32
Zone: Untrust
3. VPNVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: corp
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen1
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
402
avanzados y haga clic en uración básica de AutoKey IKE:
l.10
/0
tes datos y haga clic en OK :
tes datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
4. RutasNetwork > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Metric: 1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.3.0/24
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 0.0.0.0
Metric: 1
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
403
tes datos y haga clic en OK :
tes datos y haga clic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.0.0/8
Gateway: (seleccione)
Interface: tunnel.10
Gateway IP Address: 0.0.0.0
Metric: 10
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.0.0/8
Gateway: (seleccione)
Interface: null
Gateway IP Address: 0.0.0.0
Metric: 12
5. DirectivasPolicies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), fr_corp
Destination Address:
Address Book Entry: (seleccione), oda2
Service: Any
Action: Permit
Position at Top: (seleccione)
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
404
avanzados y haga clic en uración básica de directivas:
ccione)
leccione), 10.1.1.0 - 10.1.1.254
haga clic en OK :
avanzados y haga clic en uración básica de directivas:
ne)
2.2)/X-late
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
NAT:
Destination Translation: (sele
Translate to IP Range: (se
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), lan
Destination Address:
Address Book Entry: (seleccione), to_corp
Service: Any
Action: Permit
Position at Top: (seleccione)
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
NAT:
Source Translation: (seleccio
DIP On: 6 (10.0.2.2–10.0.
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
405
ethernet3 preshare
.0/0 any
eway 2.2.2.250 metric 1etric 1tric 1012
dip-id 6 permitt ip 10.1.1.0
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (Peer1)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24set interface tunnel.10 zone untrustset interface tunnel.10 ip 10.0.2.1/30set interface tunnel.10 dip 6 10.0.2.2 10.0.2.2
2. Direccionesset address trust lan 10.1.1.0/24set address trust oda2 10.0.3.0/24set address untrust to_corp 10.0.1.0/24set address untrust fr_corp 10.0.0.2/32
3. VPNset ike gateway corp address 1.1.1.1 outgoing-interface
netscreen1 sec-level compatibleset vpn vpn1 gateway corp sec-level compatibleset vpn vpn1 bind interface tunnel.10set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gatset vrouter trust-vr route 10.0.3.0/24 interface ethernet1 mset vrouter trust-vr route 10.0.0.0/8 interface tunnel.10 meset vrouter trust-vr route 10.0.0.0/8 interface null metric
5. Directivasset policy from trust to untrust lan to_corp any nat srcset policy from untrust to trust fr_corp oda2 any nat ds
10.1.1.254 permitsave
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
406
en en la ubicación peer2 debe oto configura el dispositivo
rque las direcciones internas se .1.0/24. Peer2 lleva a cabo internas a 10.0.4.2 al enviar
N enviado desde NetScreen-A, ecciones. ethernet3
s y haga clic en Apply :
e)
OK :
7, “Traducción de direcciones”.
0/24
rust
NAT-dst de10.0.5.0 – 10.0.5.255
a10.1.1.0 – 10.1.1.255
con desplazamiento de direcciones
AT-dst10.0.5.255
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Peer2
La siguiente configuración es la que el administrador remoto del dispositivo NetScreintroducir para crear un túnel VPN a NetScreen en la empresa. El administrador remNetScreen para que realice NAT en el origen y en el destino (NAT-src y NAT-dst) poencuentran en el mismo espacio de direcciones que las de la LAN corporativa: 10.1NAT-src utilizando el conjunto de DIP 7 para traducir todas las direcciones de origentráfico a través de VPN2 a NetScreen-A. Peer2 lleva a cabo NAT-dst en el tráfico VPtraduciendo las direcciones de 10.0.5.0/24 a 10.1.1.0/24 con desplazamiento de dir
WebUI (Peer2)1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Nota: Para obtener más información sobre NAT-src y NAT-dst, consulte el Volumen
Peer2
ethernet110.1.1.1/24
Zona Untrust
LAN10.1.1.
Zona T
vpn2 desde NetScreen-A
Rango N10.0.5.0 –
ethernet33.3.3.3/24
Enrutador externo3.3.3.250
tunnel.2010.0.4.1/30
Conjunto de DIP 7 10.0.4.2 - 10.0.4.2
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
407
s y haga clic en OK :
e)
ga clic en OK :
ientes datos y haga clic en OK :
0.0.4.2
econdary IPs: (seleccione)
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 3.3.3.3/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.20
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 10.0.4.1/30
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los sigu
ID: 7
IP Address Range: (seleccione), 10.0.4.2 ~ 1
Port Translation: (seleccione)
In the same subnet as the interface IP or its s
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: lan
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
408
lic en OK :
lic en OK :
lic en OK :
OK :
(seleccione)
name: 1.1.1.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: oda3
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.5.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: to_corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.1.0/24
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: fr_corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.0.2/32
Zone: Untrust
3. VPNVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: corp
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen2
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
409
avanzados y haga clic en uración básica de AutoKey IKE:
l.20
/0
tes datos y haga clic en OK :
tes datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
4. RutasNetwork > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 3.3.3.250
Metric: 1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.5.0/24
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 0.0.0.0
Metric: 1
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
410
tes datos y haga clic en OK :
tes datos y haga clic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.1.0/24
Gateway: (seleccione)
Interface: tunnel.20
Gateway IP Address: 0.0.0.0
Metric: 10
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.1.0/24
Gateway: (seleccione)
Interface: null
Gateway IP Address: 0.0.0.0
Metric: 12
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), lan
Destination Address:
Address Book Entry: (seleccione), to_corp
Service: Any
Action: Permit
Position at Top: (seleccione)
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
411
avanzados y haga clic en uración básica de directivas:
ne)
4.2)/X-late
haga clic en OK :
avanzados y haga clic en uración básica de directivas:
ccione)
leccione), 10.1.1.0 - 10.1.1.254
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
NAT:
Source Translation: (seleccio
DIP On: 7 (10.0.4.2–10.0.
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), fr_corp
Destination Address:
Address Book Entry: (seleccione), oda3
Service: Any
Action: Permit
Position at Top: (seleccione)
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
NAT:
Destination Translation: (sele
Translate to IP Range: (se
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
412
ethernet3 preshare
.0/0 any
eway 3.3.3.250 metric 1etric 1tric 1012
dip-id 7 permitt ip 10.1.1.0
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (Peer2)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet3 zone untrustset interface ethernet3 ip 3.3.3.3/24set interface tunnel.20 zone untrustset interface tunnel.20 ip 10.0.4.1/30set interface tunnel.20 dip 7 10.0.4.2 10.0.4.2
2. Direccionesset address trust lan 10.1.1.0/24set address trust oda3 10.0.5.0/24set address untrust to_corp 10.0.1.0/24set address untrust fr_corp 10.0.0.2/32
3. VPNset ike gateway corp address 1.1.1.1 outgoing-interface
netscreen2 sec-level compatibleset vpn vpn2 gateway corp sec-level compatibleset vpn vpn2 bind interface tunnel.20set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gatset vrouter trust-vr route 10.0.5.0/24 interface ethernet1 mset vrouter trust-vr route 10.0.0.0/8 interface tunnel.20 meset vrouter trust-vr route 10.0.0.0/8 interface null metric
5. Directivasset policy from trust to untrust lan to_corp any nat srcset policy from untrust to trust fr_corp oda3 any nat ds
10.1.1.254 permitsave
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
413
en en la ubicación peer3 debe oto configura el dispositivo
rque las direcciones internas se .1.0/24. Peer3 lleva a cabo internas a 10.0.6.2 al enviar
N enviado desde NetScreen-A, ecciones.
s y haga clic en Apply :
e)
OK :
cción de direcciones”.
/24
ust
T-dst.0.7.255
NAT-dst de10.0.7.0 – 10.0.7.255
a10.1.1.0 – 10.1.1.255
con desplazamiento de direcciones
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Peer3
La siguiente configuración es la que el administrador remoto del dispositivo NetScreintroducir para crear un túnel VPN a NetScreen en la empresa. El administrador remNetScreen para que realice NAT en el origen y en el destino (NAT-src y NAT-dst) poencuentran en el mismo espacio de direcciones que las de la LAN corporativa: 10.1NAT-src utilizando el conjunto de DIP 8 para traducir todas las direcciones de origentráfico a través de VPN3 a NetScreen-A. Peer3 lleva a cabo NAT-dst en el tráfico VPtraduciendo las direcciones de 10.0.7.0/24 a 10.1.1.0/24 con desplazamiento de dir
WebUI (Peer3)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Nota: Para obtener más información sobre NAT-dst, consulte el Volumen 7, “Tradu
Peer3
ethernet110.1.1.1/24Zona Untrust
LAN10.1.1.0
Zona Trvpn3 desde NetScreen-A
Rango NA10.0.7.0 – 10
ethernet34.4.4.4/24
Enrutador externo4.4.4.250
tunnel.3010.0.6.1/30
Conjunto de DIP 8 10.0.6.2 - 10.0.6.2
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
414
s y haga clic en OK:
e)
ga clic en OK:
uientes datos y haga clic en
0.0.6.2
econdary IPs: (seleccione)
lic en OK:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 4.4.4.4/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.30
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 10.0.6.1/30
Network > Interfaces > Edit (para tunnel.30) > DIP > New: Introduzca los sigOK:
ID: 7
IP Address Range: (seleccione), 10.0.6.2 ~ 1
Port Translation: (seleccione)
In the same subnet as the interface IP or its s
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: lan
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Trust
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
415
lic en OK :
lic en OK :
lic en OK :
OK :
(seleccione)
name: 1.1.1.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: oda4
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.7.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: to_corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.1.0/24
Zone: Untrust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: fr_corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.0.0.2/32
Zone: Untrust
3. VPNVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn3
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: corp
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen3
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
416
avanzados y haga clic en uración básica de AutoKey IKE:
l.30
/0
tes datos y haga clic en OK :
tes datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
4. RutasNetwork > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 4.4.4.250
Metric: 1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.7.0/24
Gateway: (seleccione)
Interface: ethernet1
Gateway IP Address: 0.0.0.0
Metric: 1
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
417
tes datos y haga clic en OK :
tes datos y haga clic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.0.0/8
Gateway: (seleccione)
Interface: tunnel.30
Gateway IP Address: 10.0.0.1
Metric: 10
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.0.0.0/8
Gateway: (seleccione)
Interface: null
Gateway IP Address: 10.0.0.1
Metric: 12
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), lan
Destination Address:
Address Book Entry: (seleccione), to_corp
Service: Any
Action: Permit
Position at Top: (seleccione)
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
418
avanzados y haga clic en uración básica de directivas:
ne)
6.2)/X-late
haga clic en OK :
avanzados y haga clic en uración básica de directivas:
ccione)
leccione), 10.1.1.0 - 10.1.1.254
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
NAT:
Source Translation: (seleccio
DIP On: 8 (10.0.6.2–10.0.
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), fr_corp
Destination Address:
Address Book Entry: (seleccione), oda4
Service: Any
Action: Permit
Position at Top: (seleccione)
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
NAT:
Destination Translation: (sele
Translate to IP Range: (se
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
419
ethernet3 preshare
.0/0 any
eway 3.3.3.250 metric 1etric 1tric 1012
dip-id 8 permitt ip 10.1.1.0
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (Peer3)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet3 zone untrustset interface ethernet3 ip 4.4.4.4/24set interface tunnel.30 zone untrustset interface tunnel.30 ip 10.0.6.1/30set interface tunnel.30 dip 8 10.0.6.2 10.0.6.2
2. Direccionesset address trust lan 10.1.1.0/24set address trust oda4 10.0.7.0/24set address untrust to_corp 10.0.1.0/24set address untrust fr_corp 10.0.0.2/32
3. VPNset ike gateway corp address 1.1.1.1 outgoing-interface
netscreen3 sec-level compatibleset vpn vpn3 gateway corp sec-level compatibleset vpn vpn3 bind interface tunnel.30set vpn vpn3 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gatset vrouter trust-vr route 10.0.7.0/24 interface ethernet1 mset vrouter trust-vr route 10.0.0.0/8 interface tunnel.30 meset vrouter trust-vr route 10.0.0.0/8 interface null metric
5. Directivasset policy from trust to untrust lan to_corp any nat srcset policy from untrust to trust fr_corp oda4 any nat ds
10.1.1.254 permitsave
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
420
NHTB1 y vpn2) a una sola interfaz de r remoto protege tiene múltiples tores comunican sus rutas a s NetScreen-A a los
brir primero la ruta más corta”) F para entradas automáticas
?
?
?
?
Las rutas tras cada interlocutor son desconocidas para NetScreen-A hasta que los interlocutores utilizan BGP para enviarlas.
.4.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Entradas automáticas en la tabla de rutas y la tablaEn este ejemplo asociaremos dos túneles VPN AutoKey IKE basados en rutas (vpntúnel (tunnel.1) en NetScreen-A, ubicado en la empresa. La red que cada interlocutorutas tras la ruta conectada. Al utilizar BGP (Border Gateway Protocol), los interlocuNetScreen-A. Este ejemplo permite el tráfico VPN desde la ubicación corporativa trainterlocutores.
Nota: En este ejemplo también puede utilizar OSPF (“Open Shortest Path First” = “aen lugar de BGP como protocolo de enrutamiento. Consulte “Anexo al ejemplo: OSPen la tabla de rutas” en la página 438 para ver las configuraciones de OSPF.
tunnel.110.0.0.1/30
peer1
peer2
?
ethernet31.1.1.1/24Enrutador externo
1.1.1.250
Zona Untrust
La interfaz tunnel.1 de NetScreen-A se asocia a dos túneles VPN.
NetScreen-A
Zona Trustethernet1
10.1.1.1/24
Nota: La zona Trust de NetScreen-A no se muestra.
?vpn2
vpn1
vpn1Puerta de enlace IKE: peer1, 2.2.2.2
Interfaz de túnel del interlocutor remoto: 2.3.3.1
vpn2Puerta de enlace IKE: peer2, 3.3.3.3
Interfaz de túnel del interlocutor remoto: 3.4
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
421
ntes parámetros: AutoKey IKE, uridad predefinido como tas propuestas, consulte
r sus tablas de rutas y NHTB
e latidos de IKE)18
el VPN AutoKey IKE, o en que usted y el s no esperan a que aparezca negociaciones de fase 2, el NetScreen A realiza
as claves de fase 1 y 2, los ingún usuario tenga que ásicamente una forma de
suario. Esto es necesario para an y habilitan en las interfaces a NetScreen y rellenen través del túnel VPN antes de tradores en las ubicaciones de da virtual a través de la interfaz
de desencadenar negociaciones IKE s de IKE. En cualquier caso, Juniper lugar de ello, utilice la supervisión de
n cuando no se habilite la supervisión Networks recomienda no confiar en e reencriptación o de nueva conexión
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Las configuraciones de túnel VPN a ambos extremos de cada túnel utilizan los siguieclave previa compartida (peer1: “netscreen1”, peer2: “netscreen2”) y el nivel de seg“Compatible” para las propuestas de fase 1 y fase 2. (Para ver los detalles sobre es“Negociación de túnel” en la página 11).
Al configurar las dos siguientes funciones, puede habilitar NetScreen A para rellenaautomáticamente17.
• Supervisión de VPN con la opción de reencriptación (o de nueva conexión d
• Enrutamiento dinámico BGP en tunnel.1
Cuando se activa la supervisión de VPN con la opción de reencriptación para un túnNetScreen A establece una conexión VPN con su interlocutor remoto en el momentadministrador en la ubicación remota terminan de configurar el túnel. Los dispositivotráfico VPN generado por el usuario para iniciar las negociaciones IKE. Durante las dispositivo NetScreen intercambia su dirección IP de interfaz de túnel, de forma queautomáticamente una asociación de la VPN al siguiente salto en su tabla NHTB.
La opción de reencriptación garantiza que cuando finalice el periodo de validez de ldispositivos negociarán automáticamente la generación de nuevas claves sin que nintervenir. La supervisión de VPN con la opción de reencriptación habilitada ofrece bconservar siempre activo un túnel VPN, aun cuando no haya tráfico generado por uque las instancias de enrutamiento dinámico BGP, que usted y el administrador crede túnel a ambos lados de los túneles, puedan enviar información de enrutamiento automáticamente su tabla de rutas con las rutas que necesita para dirigir el tráfico aque esas rutas sean necesarias para el tráfico generado por el usuario. (Los adminislos interlocutores tienen que introducir una única ruta estática al resto de la red privade túnel en cada ubicación).
17. Si se ejecuta un protocolo de enrutamiento dinámico en las interfaces de túnel, el tráfico generado por el protocolo pueaunque no se habilite la supervisión de VPN con la opción de reencriptación o la opción de nueva conexión de latidoNetworks recomienda no confiar en que el tráfico de enrutamiento dinámico desencadene las negociaciones IKE. EnVPN con la opción de reencriptación o de nueva conexión de latidos de IKE.
18. Si las interfaces de túnel se ejecutan con BGP, el tráfico generado por BGP puede desencadenar negociaciones IKE aude VPN con la opción de reencriptación o la opción de nueva conexión de latidos de IKE. En cualquier caso, Juniperque el tráfico BGP desencadene las negociaciones IKE. En lugar de esto, utilice la supervisión de VPN con la opción dde latidos de IKE.
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
422
eder a sus vecinos BGP a cada dispositivo se encuentran
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
ga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Debe introducir una ruta predeterminada y rutas estáticas en NetScreen-A para acctravés de los túneles VPN adecuados. Todas las zonas de seguridad e interfaces enen el dominio de enrutamiento virtual trust-vr del dispositivo correspondiente.
WebUI (NetScreen-A)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 10.0.0.1/30
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
423
OK:
(seleccione)
name: 2.2.2.2
avanzados y haga clic en uración básica de AutoKey IKE:
l.1
/0
OK:
(seleccione)
ación sobre estas opciones, consulte
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
2. VPNsVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: peer1
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustesReturn para regresar a la página de config
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
VPN Monitor19: (seleccione)
Rekey: (seleccione)
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
19. Conserve los ajustes predeterminados en las opciones de interfaz de origen e IP de destino. Para obtener más inform“Supervisión de VPNs” en la página 361.
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
424
name: 3.3.3.3
avanzados y haga clic en uración básica de AutoKey IKE:
l.1
/0
tes datos y haga clic en OK :
tes datos y haga clic en OK :
ación sobre estas opciones, consulte
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Gateway Name: peer2
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen2
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
VPN Monitor20: (seleccione)
Rekey: (seleccione)
3. Ruta estáticaNetwork > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 2.3.3.1/32
20. Conserve los ajustes predeterminados en las opciones de interfaz de origen e IP de destino. Para obtener más inform“Supervisión de VPNs” en la página 361.
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
425
es datos y haga clic en OK :
nce: Introduzca los siguientes
rificación Protocol BGP y, a
e > Neighbors: Introduzca los
e > Neighbors: Introduzca los
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 2.3.3.1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguient
Network Address / Netmask: 3.4.4.1/32
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 3.4.4.1
4. Enrutamiento dinámicoNetwork > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instadatos y haga clic en OK :
AS Number (obligatorio): 99
BGP Enabled: (seleccione)
Network > Interfaces > Edit (para tunnel.1) > BGP: Seleccione la casilla de vecontinuación, haga clic en OK .
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instancsiguientes datos y haga clic en Add :
AS Number: 99
Remote IP: 2.3.3.1
Outgoing Interface: tunnel.1
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instancsiguientes datos y haga clic en Add :
AS Number: 99
Remote IP: 3.4.4.1
Outgoing Interface: tunnel.1
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
426
haga clic en OK :
ethernet3 preshare
.0/0 any
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book: (seleccione), Any
Destination Address:
Address Book: (seleccione), Any
Service: ANY
Action: Permit
CLI (NetScreen-A)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip 10.0.0.1/30
2. VPNsset ike gateway peer1 address 2.2.2.2 outgoing-interface
netscreen1 sec-level compatibleset vpn vpn1 gateway peer1 sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0set vpn vpn1 monitor rekey
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
427
ethernet3 preshare
.0/0 any
gateway 1.1.1.250 gateway 2.3.3.1 gateway 2.4.4.1
going interface
going interface
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
set ike gateway peer2 address 3.3.3.3 outgoing-interfacenetscreen2 sec-level compatible
set vpn vpn2 gateway peer2 sec-level compatibleset vpn vpn2 bind interface tunnel.1set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0set vpn vpn2 monitor rekey
3. Rutas estáticasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 2.3.3.1/32 interface tunnel.1set vrouter trust-vr route 2.4.4.1/32 interface tunnel.1
4. Enrutamiento dinámicons-> set vrouter trust-vr protocol bgp 99ns-> set vrouter trust-vr protocol bgp enablens-> set interface tunnel.1 protocol bgpns-> set vrouter trust-vrns(trust-vr)-> set protocol bgpns(trust-vr/bgp)-> set neighbor 2.3.3.1 remote-as 99 out
tunnel.1ns(trust-vr/bgp)-> set neighbor 2.3.3.1 enablens(trust-vr/bgp)-> set neighbor 3.4.4.1 remote-as 99 out
tunnel.1ns(trust-vr/bgp)-> set neighbor 3.4.4.1 enablens(trust-vr/bgp)-> exitns(trust-vr)-> exit
5. Directivaset policy from trust to untrust any any any permitsave
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
428
en en la ubicación peer1 debe emoto configura el dispositivo ura el dispositivo NetScreen
s y haga clic en OK :
e)
s y haga clic en OK :
e)
rust
2.3.
2.3.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Peer1
La siguiente configuración es la que el administrador remoto del dispositivo NetScreintroducir para crear un túnel VPN a NetScreen-A en la empresa. El administrador rNetScreen para permitir el tráfico entrante desde el sitio corporativo. También configpara comunicar rutas internas a su vecino BGP a través de vpn1.
WebUI (Peer1)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 2.3.4.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 2.2.2.2/24
Peer1Zona Untrust
2.3.4.0/24
Zona T
ethernet32.2.2.2/24Enrutador externo
2.2.2.250
tunnel.102.3.3.1/30
vpn1 desde NetScreen-A
ethernet12.3.4.1/24
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
429
ga clic en OK :
lic en OK :
OK :
(seleccione)
name: 1.1.1.1
avanzados y haga clic en uración básica de AutoKey IKE:
l.10
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.10
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 2.3.3.1/30
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3. VPNVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: corp
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface, tunne
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
430
/0
tes datos y haga clic en OK :
tes datos y haga clic en OK :
ance: Introduzca los siguientes
verificación Protocol BGP y, a
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
4. Rutas estáticasNetwork > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Metric: 1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: tunnel.10
Gateway IP Address: 0.0.0.0
Metric: 1
5. Enrutamiento dinámicoNetwork > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instdatos y haga clic en OK :
AS Number (obligatorio): 99
BGP Enabled: (seleccione)
Network > Interfaces > Edit (para tunnel.10) > BGP: Seleccione la casilla de continuación, haga clic en OK .
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
431
ce > Neighbors: Introduzca los
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instansiguientes datos y haga clic en Add :
AS Number: 99
Remote IP: 10.0.0.1
Outgoing Interface: tunnel.10
6. DirectivaPolicies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
CLI (Peer1)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 2.3.4.1/24
set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24
set interface tunnel.10 zone untrustset interface tunnel.10 ip 2.3.3.1/30
2. Direcciónset address untrust corp 10.1.1.0/24
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
432
ethernet3 preshare
.0/0 any
eway 2.2.2.250 metric 1etric 1
tgoing interface
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. VPNset ike gateway corp address 1.1.1.1 outgoing-interface
netscreen1 sec-level compatibleset vpn vpn1 gateway corp sec-level compatibleset vpn vpn1 bind interface tunnel.10set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
4. Rutas estáticasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gatset vrouter trust-vr route 10.1.1.0/24 interface tunnel.10 m
5. Enrutamiento dinámicons-> set vrouter trust-vr protocol bgp 99ns-> set vrouter trust-vr protocol bgp enablens-> set interface tunnel.10 protocol bgpns-> set vrouter trust-vrns(trust-vr)-> set protocol bgpns(trust-vr/bgp)-> set neighbor 10.0.0.1 remote-as 99 ou
tunnel.10ns(trust-vr/bgp)-> set neighbor 10.0.0.1 enablens(trust-vr/bgp)-> exitns(trust-vr)-> exit
6. Directivaset policy from untrust to trust corp any any permitsave
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
433
en en la ubicación peer2 debe oto configura el dispositivo ura el dispositivo NetScreen
s y haga clic en OK :
e)
s y haga clic en OK :
e)
na Trust
3.4.
3.4.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Peer2
La siguiente configuración es la que el administrador remoto del dispositivo NetScreintroducir para crear un túnel VPN a NetScreen en la empresa. El administrador remNetScreen para permitir el tráfico entrante desde el sitio corporativo. También configpara comunicar rutas internas a su vecino BGP a través de vpn2.
WebUI (Peer2)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 2.3.4.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 3.3.3.3/24
Peer2
Zona Untrust3 .4.5.0/24
Zo
ethernet33.3.3.3/24
Enrutador externo3.3.3.250
tunnel.203.4.4.1/30
vpn2 desde NetScreen-A
ethernet13.4.5.1/24
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
434
ga clic en OK :
lic en OK :
OK :
(seleccione)
name: 1.1.1.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.20
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 3.4.4.1/30
2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.0/24
Zone: Untrust
3. VPNVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: vpn2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: corp
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen2
Security Level: Compatible
Outgoing Interface: ethernet3
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
435
avanzados y haga clic en uración básica de AutoKey IKE:
l.20
/0
tes datos y haga clic en OK :
tes datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Bind to: Tunnel Interface, tunne
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
4. Rutas estáticasNetwork > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 3.3.3.250
Metric: 1
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien
Network Address / Netmask: 10.1.1.0/24
Gateway: (seleccione)
Interface: tunnel.20
Gateway IP Address: 0.0.0.0
Metric: 1
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
436
ance: Introduzca los siguientes
verificación Protocol BGP y, a
ce > Neighbors: Introduzca los
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. Enrutamiento dinámicoNetwork > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instdatos y haga clic en OK :
AS Number (obligatorio): 99
BGP Enabled: (seleccione)
Network > Interfaces > Edit (para tunnel.20) > BGP: Seleccione la casilla de continuación, haga clic en OK .
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instansiguientes datos y haga clic en Add :
AS Number: 99
Remote IP: 10.0.0.1
Outgoing Interface: tunnel.20
6. DirectivaPolicies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), corp
Destination Address:
Address Book Entry: (seleccione), Any
Service: ANY
Action: Permit
CLI (Peer2)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 3.4.5.1/24
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
437
ethernet3 preshare
.0/0 any
eway 3.3.3.250 metric 1etric 1
tgoing interface
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
set interface ethernet3 zone untrustset interface ethernet3 ip 3.3.3.3/24
set interface tunnel.20 zone untrustset interface tunnel.20 ip 3.4.4.1/30
2. Direcciónset address untrust corp 10.1.1.0/24
3. VPNset ike gateway corp address 1.1.1.1 outgoing-interface
netscreen2 sec-level compatibleset vpn vpn1 gateway corp sec-level compatibleset vpn vpn1 bind interface tunnel.20set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
4. Rutas estáticasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gatset vrouter trust-vr route 10.1.1.0/24 interface tunnel.20 m
5. Enrutamiento dinámicons-> set vrouter trust-vr protocol bgp 99ns-> set vrouter trust-vr protocol bgp enablens-> set interface tunnel.20 protocol bgpns-> set vrouter trust-vrns(trust-vr)-> set protocol bgpns(trust-vr/bgp)-> set neighbor 10.0.0.1 remote-as 99 ou
tunnel.20ns(trust-vr/bgp)-> set neighbor 10.0.0.1 enablens(trust-vr/bgp)-> exitns(trust-vr)-> exit
6. Directivaset policy from untrust to trust corp any any permitsave
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
438
la de rutas los interlocutores comuniquen dyacencias OSPF con sus
". La configuración de
stance: Seleccione OSPF
er la interfaz tunnel.1 de la lista lic en OK .
s datos y haga clic en Apply :
en la lista desplegable
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Anexo al ejemplo: OSPF para entradas automáticas en la tabTambién puede configurar OSPF en lugar del enrutamiento dinámico BGP para quesus rutas a NetScreen-A. Para permitir que tunnel.1 en NetScreen-A pueda formar ainterlocutores, debe configurar la interfaz de túnel como interfaz "punto a multipuntoenrutamiento dinámico OSPF para cada dispositivo se muestra a continuación.
WebUI (NetScreen-A)
Enrutamiento dinámico (OSPF)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF InEnabled y haga clic en Apply .
Area > Configure (para el área 0.0.0.0): Haga clic en << Add para mov“Available Interface(s)” a la lista “Selected Interface(s)” y luego haga c
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguiente
Bind to Area: (seleccione), Seleccione 0.0.0.0
Protocol OSPF: Enable
Link Type: Point-to-Multipoint (seleccione)
CLI (NetScreen-A)
Enrutamiento dinámico (OSPF)
ns-> set vrouter trust-vr protocol ospfns-> set vrouter trust-vr protocol ospf enablens-> set interface tunnel.1 protocol ospf area 0ns-> set interface tunnel.1 protocol ospf link-type p2mpns-> set interface tunnel.1 protocol ospf enablens-> save
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
439
stance: Seleccione OSPF
er la interfaz tunnel.1 de la lista lic en OK .
s datos y haga clic en Apply :
en la lista desplegable
stance: Seleccione OSPF
er la interfaz tunnel.1 de la lista lic en OK .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (Peer1)
Enrutamiento dinámico (OSPF)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF InEnabled y haga clic en Apply .
Area > Configure (para el área 0.0.0.0): Haga clic en << Add para mov“Available Interface(s)” a la lista “Selected Interface(s)” y luego haga c
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguiente
Bind to Area: (seleccione), Seleccione 0.0.0.0
Protocol OSPF: Enable
CLI (Peer1)
Enrutamiento dinámico (OSPF)
ns-> set vrouter trust-vr protocol ospfns-> set vrouter trust-vr protocol ospf enablens-> set interface tunnel.1 protocol ospf area 0ns-> set interface tunnel.1 protocol ospf enablens-> save
WebUI (Peer2)
Enrutamiento dinámico (OSPF)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF InEnabled y haga clic en Apply .
Area > Configure (para el área 0.0.0.0): Haga clic en << Add para mov“Available Interface(s)” a la lista “Selected Interface(s)” y luego haga c
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel
440
s datos y haga clic en Apply :
en la lista desplegable
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguiente
Bind to Area: (seleccione), Seleccione 0.0.0.0
Protocol OSPF: Enable
CLI (Peer2)
Enrutamiento dinámico (OSPF)
ns-> set vrouter trust-vr protocol ospfns-> set vrouter trust-vr protocol ospf enablens-> set interface tunnel.1 protocol ospf area 0ns-> set interface tunnel.1 protocol ospf enablens-> save
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
441
conectividad VPN continua grupo VPN para proporcionar tar túneles VPN AutoKey IKE s. Cuando el dispositivo grupo VPN, realiza las sitivo NetScreen envía datos a o. Para todas las demás
seguridad de fase 1 y 2 y de conexión IKE. Si el túnel nlace con el segundo nivel de
dos en rutas. En una configuración de IP Untrust asignada dinámicamente,
enlace redundantes están . Además, cada sitio (al ser
Screen que funcionan en modo ebe ser mayor que el límite de r innecesarias.
Grupo VPN, ID 1 de VPN)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
PUERTAS DE ENLACE VPN REDUNDANTESLa función de puertas de enlace redundantes NetScreen ofrece una solución para ladurante y después de una conmutación por error punto a punto. Es posible crear unun grupo de hasta cuatro puertas de enlace redundantes a la que se pueden conecIPSec21 de interlocutor dinámico punto a punto o punto a punto basados en directivaNetScreen recibe por primera vez tráfico que coincide con una directiva relativa a unnegociaciones IKE de fase 1 y fase 2 con todos los miembros de ese grupo. El dispotravés del túnel VPN a la puerta de enlace con la mayor prioridad (o “peso”) del gruppuertas de enlace del grupo, el dispositivo NetScreen actualiza las asociaciones demantiene activos los túneles enviando a través de ellos paquetes de mantenimientoVPN activo falla, puede producir una conmutación por error al túnel y la puerta de eprioridad del grupo.
21. Los grupos VPN no admiten L2TP, L2TP-sobre-IPSec, acceso telefónico, clave manual ni tipos de túneles VPN basainterlocutores dinámicos punto a punto, el dispositivo NetScreen que supervisa el grupo VPN debe tener la direcciónmientas que las direcciones IP de los miembros del grupo VPN deben ser estáticas.
Nota: En este esquema se asume que los sitios situados detrás de las puertas de conectados de tal forma que los datos se replican entre los hosts de todos los sitiosdedicado para alta disponibilidad) tiene un conjunto redundante de dispositivos Netde alta disponibilidad. Así, el límite de conmutación por fallo de VPN que se ajuste dconmutación por error del dispositivo o se podrían producir conmutaciones por erro
= Datos= Latidos de IKE
Grupo VPN, ID 1(Después de una conmutación por error
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
442
uertas de enlace remotas de da túnel de un grupo pueden
e remota, que, lógicamente, bro del grupo se le asigna un el túnel activo. Un valor de 1
opios miembros tienen una a conectividad y el correcto tas para ello:
sión” en la página 443.
ositivo de supervisión también o dispositivo de supervisión.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Grupos VPNUn grupo VPN es un conjunto de configuraciones de túnel VPN para hasta cuatro pdestino. Los parámetros de asociación de seguridad (SA) de fase 1 y fase 2 para caser distintos o idénticos (excepto en el caso de la dirección IP de la puerta de enlacdebe ser diferente). El grupo VPN tiene un número de ID inequívoco, y a cada miempeso inequívoco para indicar su lugar en el rango de preferencia para convertirse enconstituye el rango inferior o de menor preferencia.
El dispositivo NetScreen que se comunica con los miembros del grupo VPN y los prrelación supervisor/destino. El dispositivo de supervisión supervisa continuamente lestado de cada dispositivo de destino. El supervisor utiliza las siguientes herramien
• Latidos de IKE
• Intentos de recuperación de IKE
Ambas herramientas se describen en la sección siguiente, “Mecanismos de supervi
Nota: La relación supervisor/destino no tiene por qué ser de un solo sentido. El disppuede ser un miembro de un grupo VPN y, por tanto, ser a su vez el destino de otr
Grupo VPN 1 Peso
4
3
2
1
Supervisor
D
e
s
t
i
n
o
Nota: En esta ilustración, el sombreado simboliza el peso de cada túnel. Cuanto más oscuro sea el sombreado de un túnel, mayor será su prioridad.
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
443
con el fin de determinar su
plicación TCP (consulte den detectar si es necesario ener que interrumpir el servicio
tuamente bajo la protección de ad y el correcto estado del otro. os (el valor predeterminado es ctivo. Device_m elimina de su
entes y comienza el en la página 444).
a ambos extremos de un túnel _m suprime la transmisión de have been disabled because no los está enviando).
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Mecanismos de supervisiónNetScreen utiliza dos mecanismos para supervisar los miembros de un grupo VPN capacidad para terminar tráfico VPN:
• Latidos de IKE
• Intentos de recuperación de IKE
Utilizando estas dos herramientas junto con la opción de conmutación por error de a“Comprobación de flag TCP SYN” en la página 447), los dispositivos NetScreen puerealizar una conmutación por error de la VPN y desviar el tráfico al nuevo túnel sin tde VPN.
Latidos de IKE
Los latidos de IKE son mensajes de saludo que los interlocutores IKE se envían muuna asociación de seguridad (SA) de fase 1 establecida para confirmar la conectividPor ejemplo, si device_m (el “supervisor”) no recibe un determinado número de latid5) de device_t (el “destino”), device_m llega a la conclusión de que device_t está inamemoria caché las asociaciones de seguridad (SAs) de fase 1 y fase 2 correspondiprocedimiento de recuperación IKE. (Consulte “Procedimiento de recuperación IKE”Device_t también elimina sus SAs.
Nota: La función de latidos de IKE debe estar habilitada en los dispositivos ubicadosVPN en un grupo VPN. Si está habilitada en device_m pero no en device_t, devicelatidos de IKE y genera el siguiente mensaje en el registro de eventos: “Heartbeatsthe peer is not sending them” (los latidos se han desactivado porque el interlocutor
Los latidos de IKE deben fluir en ambos sentidos a través del túnel VPN.
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
444
el valor predeterminado es 5),
o umbral de latidos de IKE “Heartbeat Hello” y “Heartbeat
dispositivo de destino está ocutor de su caché de SA. Tras rlocutor fallido. Si el primer fase 1 a intervalos regulares
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Para definir el intervalo de latidos de IKE y el umbral para un túnel VPN específico (realice los siguientes pasos:
WebUI
VPNs > AutoKey Advanced > Gateway > Edit (para la puerta de enlace cuydesee modificar) > Advanced: Introduzca los valores nuevos en los camposThreshold” y haga clic en OK.
CLI
set ike gateway name_str heartbeat hello number
set ike gateway name_str heartbeat threshold number
Procedimiento de recuperación IKE
Después de que el dispositivo NetScreen de supervisión haya determinado que un inactivo, el supervisor deja de enviar latidos de IKE y elimina las SA para dicho interlun intervalo definido, el supervisor intenta iniciar negociaciones de fase 1 con el inteintento no tiene éxito, el supervisor continúa intentando establecer negociaciones dehasta que obtiene resultados satisfactorios.
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
445
mínimo es 60 segundos),
intervalo de reconexión de IKE Heartbeat Reconnect y haga
r error del túnel a otro miembro realiza automáticamente una n hace que la puerta de enlace VPN si es posible.
ento fallido
ento fallido
to con éxito
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Para definir el intervalo de recuperación IKE para un túnel VPN específico (el ajusterealice uno de los siguientes pasos:
WebUI
VPNs > AutoKey Advanced > Gateway > Edit (para la puerta de enlace cuyodesee modificar) > Advanced: Introduzca el valor en segundos en el campoclic en OK.
CLI
set ike gateway name_str heartbeat reconnect number
Cuando el miembro con el mayor peso de un grupo VPN realiza una conmutación podel grupo y, a continuación, conecta de nuevo con el dispositivo de supervisión, se conmutación por recuperación del túnel al primer miembro. El sistema de ponderacióque tiene la mayor valoración del grupo se encargue siempre de gestionar los datos
Supervisor Destino
Int
Int
Inten
Intentos de negociación de fase 1 IKE cada 5 minutos
Intervalo:5 minutos
(300 segundos) ......
...
......
...
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
446
n grupo VPN cuando la .
estino
o estaba stablecer
ados.
se la N).
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
En la siguiente ilustración se muestra el proceso al que se somete un miembro de uausencia de latidos de una puerta de enlace de destino sobrepasa el umbral de fallo
Supervisor D
Latidos IKE en ambos sentidos
El destino deja de enviar latidos IKE.
El supervisor realiza una conmutación por error de la VPN (si el destingestionando datos VPN), elimina las SA de fase 1 y fase 2 e intenta e
de nuevo el túnel VPN con los intervalos especificados.
El destino responde a la iniciación de fase 1 con latidos IKE habilit
Las negociaciones de fase 1 y fase 2 IKE tienen éxito, el túnel salvaguarda y se realiza una conmutación por recuperación deVPN (si su peso da preferencia a otros miembros del grupo VP
1.
2.
3.
4.
5.
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
447
siones TCP debe estar activa recibe un paquete era el primer paquete de una aquete. Como este paquete en ecuencia, la nueva puerta de
las aplicaciones TCP se tienen
sesiones TCP en túneles VPN
da.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Comprobación de flag TCP SYNPara que se produzca una conmutación por error VPN gradual, el manejo de las sedireccionado. Si, después de una conmutación por error, la nueva puerta de enlacedurante una sesión TCP existente, la nueva puerta de enlace lo gestiona como si fusesión TCP nueva y comprueba si el flag SYN está activado en el encabezado del prealidad forma parte de una sesión existente, no tiene el flag SYN activado. En consenlace rechaza el paquete. Con la comprobación de flag TCP SYN habilitada, todasque reconectar después de que se produzca la conmutación por error.
Para resolver este problema, puede inhabilitar la comprobación de flag SYN para lasdel siguiente modo:
WebUI
No es posible inhabilitar la comprobación de flag SYN mediante la WebUI.
CLI
unset flow tcp-syn-check-in-tunnel
Nota: De forma predeterminada, la comprobación de flag SYN está habilita
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
448
e datos y un segundo túnel que una conexión de línea punto a ente para proporcionar un e 24 horas o una catástrofe
ara las zonas Trust y Untrust, y
Todos los túneles AutoKey IKE puestas de fase 1 y fase 2. Las
a, de enlace dat)
ID de grupoVPN y peso
W) 1.1.1.2 – –
W) 2.2.2.2 ID = 1, Peso = 2
W) 3.3.3.2 ID = 1, Peso = 1
co.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: Puertas de enlace VPN redundantes
En este ejemplo, un sitio corporativo tiene un túnel VPN que conecta con un centro dconecta con un centro de datos de respaldo. Todos los datos se replican a través depunto entre los dos centros de datos. Los centros de datos están separados físicamservicio continuo, incluso en caso de fallo catastrófico, como un corte de corriente dnatural.
El nombre y la ubicación del dispositivo, las interfaces físicas y sus direcciones IP pla ID de grupo VPN y el peso de cada dispositivo NetScreen son los siguientes:
Todas las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr.punto a punto utilizan el nivel de seguridad predefinido como “Compatible” para proclaves previamente compartidas autentican a los participantes.
Ubicacióndel dispositivo
Nombre deldispositivo
Interfaz física ydirección IP(zona Trust)
Interfaz físicdirección IP, puerta
predetermina(zona Untrus
Empresa Monitor1 ethernet1, 10.10.1.1/24 ethernet3, 1.1.1.1/24, (G
Centro de datos (primario) Target1 ethernet1, 10.1.1.1/16 ethernet3, 2.2.2.1/24, (G
Centro de datos (de respaldo)
Target2 ethernet1, 10.1.1.1/16 ethernet3, 3.3.3.1/24, (G
Nota: El espacio de direcciones interno en ambos centros de datos debe ser idénti
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
449
s y haga clic en Apply :
e)
OK :
Sitio primario delcentro de datos
Sitio de copia de seguridaddel centro de
datos
0.1.0.0/16
0.1.0.0/16
Línea punto a punto para la
réplica de datos del sitio primario
al sitio de respaldo
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (Monitor1)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.10.1.1/24
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Sitio corporativo
Monitor1
Untrust, eth31.1.1.1/24
Trust, eth110.10.1.1/24
1
Trust, eth110.1.1.1/16
Untrust, eth33.3.3.1/24
Untrust, eth32.2.2.1/24
Trust, eth110.1.1.1/16
1
10.10.1.0/24 Internet
Target1
Target2
Nota: Las zonas de seguridad y los enrutadores externos no se muestran en esta ilustración.
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
450
s y haga clic en OK :
e)
lic en OK :
lic en OK :
roup ID y haga clic en Add .
tos y haga clic en OK :
leccione), IP Address: 2.2.2.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: in_trust
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.1.0/24
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: data_ctr
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.0.0/16
Zone: Untrust
3. VPNsVPNs > AutoKey Advanced > VPN Group: Introduzca 1 en el campo VPN G
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: target1
Security Level: Compatible
Remote Gateway Type: Static IP Address: (se
Preshared Key: SLi1yoo129
Outgoing Interface: ethernet3
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
451
avanzados y haga clic en uración básica de puerta de
tion)
OK :
arget1
avanzados y haga clic en uración básica de AutoKey IKE:
tos y haga clic en OK :
leccione), IP Address: 3.3.3.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Compatible
Mode (Initiator): Main (ID Protec
Heartbeat:
Hello: 3 Seconds
Reconnect: 60 seconds
Threshold: 5
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: to_target1
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), t
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
VPN Group: VPN Group -1
Weight: 2
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: target2
Security Level: Compatible
Remote Gateway Type: Static IP Address: (se
Preshared Key: CMFwb7oN23
Outgoing Interface: ethernet3
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
452
avanzados y haga clic en uración básica de puerta de
tion)
OK :
arget2
avanzados y haga clic en uración básica de AutoKey IKE:
es datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Compatible
Mode (Initiator): Main (ID Protec
Heartbeat:
Hello: 3 Seconds
Reconnect: 60 seconds
Threshold: 5
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: to_target2
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), t
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
VPN Group: VPN Group -1
Weight: 1
4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.2(untrust)
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
453
haga clic en OK :
leccione)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), in_trust
Destination Address:
Address Book Entry: (seleccione), data_ctr
Service: ANY
Action: Tunnel
VPN: VPN Group -1
Modify matching bidirectional VPN policy: (se
Position at Top: (seleccione)
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
454
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (Target1)
1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.1.1.1/16
Introduzca los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 2.2.2.1/24
2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: in_trust
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.0.0/16
Zone: Trust
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: corp
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.1.0/24
Zone: Untrust
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
455
tos y haga clic en OK :
/Hostname: 1.1.1.1
avanzados y haga clic en uración básica de puerta de
tion)
K :
onitor1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da
Gateway Name: monitor1
Security Level: Compatible
Remote Gateway Type:
Static IP Address: (seleccione), IP Address
Preshared Key: SLi1yoo129
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:
Security Level: Compatible
Mode (Initiator): Main (ID Protec
Heartbeat:
Hello: 3 Seconds
Reconnect: 0 seconds
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en O
Nombre: to_monitor1
Security Level: Compatible
Remote Gateway: Predefined: (seleccione), m
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
456
es datos y haga clic en OK :
haga clic en OK :
leccione)
pero defina la dirección IP de la e predeterminada como 3.3.3.2
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.2
5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), in_trust
Destination Address:
Address Book Entry: (seleccione), corp
Service: ANY
Action: Tunnel
Tunnel VPN: monitor1
Modify matching bidirectional VPN policy: (se
Position at Top: (seleccione)
WebUI (Target2)
Nota: Siga los pasos de configuración de Target1 para configurar Target2, interfaz de zona Untrust como 3.3.3.1/24, la dirección IP de puerta de enlacy utilice CMFwb7oN23 para generar la clave previamente compartida.
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
457
terface ethernet3
terface ethernet3
gateway 1.1.1.2
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (Monitor1)1. Interfaces
set interface ethernet1 zone trustset interface ethernet1 ip 10.10.1.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24
2. Direcciones
set address trust in_trust 10.10.1.0/24set address untrust data_ctr 10.1.0.0/16
3. VPNs
set ike gateway target1 address 2.2.2.1 main outgoing-inpreshare SLi1yoo129 sec-level compatible
set ike gateway target1 heartbeat hello 3set ike gateway target1 heartbeat reconnect 60set ike gateway target1 heartbeat threshold 5set vpn to_target1 gateway target1 sec-level compatibleset ike gateway target2 address 3.3.3.1 main outgoing-in
preshare CMFwb7oN23 sec-level compatibleset ike gateway target2 heartbeat hello 3set ike gateway target2 heartbeat reconnect 60set ike gateway target2 heartbeat threshold 5set vpn to_target2 gateway target2 sec-level compatibleset vpn-group id 1 vpn to_target1 weight 2set vpn-group id 1 vpn to_target2 weight 1unset flow tcp-syn-check-in-tunnel
4. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
458
ny tunnel “vpn-group 1”ny tunnel “vpn-group 1”
nterface ethernet3
e
gateway 2.2.2.2
unnel vpn to_monitorunnel vpn to_monitor
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. Directivas
set policy top from trust to untrust in_trust data_ctr aset policy top from untrust to trust data_ctr in_trust asave
CLI (Target1)
1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/16set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.1/24
2. Direccionesset address trust in_trust 10.1.0.0/16set address untrust corp 10.10.1.0/24
3. VPNset ike gateway monitor1 address 1.1.1.1 main outgoing-i
preshare SLi1yoo129 sec-level compatibleset ike gateway monitor1 heartbeat hello 3set ike gateway monitor1 heartbeat threshold 5set vpn to_monitor1 gateway monitor1 sec-level compatibl
4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3
5. Directivasset policy top from trust to untrust in_trust corp any tset policy top from untrust to trust corp in_trust any tsave
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes
459
pero defina la dirección IP de la e predeterminada como 3.3.3.2
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (Target2)
Nota: Siga los pasos de configuración de Target1 para configurar Target2, interfaz de zona Untrust como 3.3.3.1/24, la dirección IP de puerta de enlacy utilice CMFwb7oN23 para generar la clave previamente compartida.
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas
460
circule de un túnel VPN a otro istintas, el dispositivo
ar el tráfico de un túnel a otro. untos radiales. Esta
las dos interfaces de túnel dentro de
Radio B
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
VPNS ADOSADASPuede aplicar directivas interzonales en el lado del concentrador para el tráfico queubicando los puntos radiales en zonas diferentes22. Como se encuentran en zonas dNetScreen del concentrador debe realizar una consulta de directivas antes de enrutAsí, es posible controlar el tráfico que circule a través de los túneles VPN entre los pconfiguración se denomina “VPN adosada”.
22. De forma opcional, puede habilitar un bloqueo intrazonal y definir una directiva intrazonal para controlar el tráfico entrela misma zona.
ZonaX1
VPN1 VPN2
VPNs adosadas
ZonaX2
Consultade
directivas
Radio A
Concentrador (hub)
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas
461
e perímetro A puede enlazar e configurar un túnel VPN. de diez túneles VPN de pciones y funciones de VPN.
el tráfico VPN entre los
permitir la circulación de
l acceso a A del tráfico
o tiempo, permitir sólo a un
l tráfico saliente de todas las ctiva que dirija todo el tráfico policy top from trust to PN específico que conecta rador puede controlar el TTP), realizando bloqueos
configuración radial, dio de otra.
en un detalle: el dispositivo tivas en el tráfico que enruta itio remoto en una zona
ión LAN de París se io de enrutamiento Trust-VR.
clave de software de zona
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ventajas de las VPNs adosadas:
• Puede conservar el número de VPNs que necesite crear. Por ejemplo, el punto dcon el concentrador y los puntos de perímetro B, C, D, etc., pero A sólo tiene quEspecialmente para usuarios de NetScreen-5XP, que pueden utilizar un máximoforma simultánea, aplicar el método radial aumenta de manera significativa las o
• El administrador del dispositivo concentrador puede controlar completamente puntos de perímetro. Por ejemplo:
– Puede permitir sólo la circulación de tráfico HTTP desde A hasta B, perocualquier tipo de tráfico desde B hasta A.
– Puede permitir el acceso a C del tráfico procedente de A, pero denegar eprocedente de C.
– Puede permitir a un host concreto de A el acceso a toda la red D y, al mismhost concreto de D acceder a otro host distinto en A.
• El administrador del dispositivo concentrador puede controlar completamente eredes del perímetro. En cada punto de perímetro debe existir primero una direde salida a través de las VPN radiales hasta el concentrador; por ejemplo: setuntrust any any any tunnel vpn name_str (donde name_str define el túnel Vcada punto de perímetro con el concentrador). En el concentrador, el administacceso a Internet, permitiendo determinado tipo de tráfico (por ejemplo, sólo Hde URL o sitios web no deseables, etc.
• Se pueden utilizar concentradores regionales y túneles interconectados en unapermitiendo que los puntos de radio de una región accedan a los puntos de ra
Ejemplo: VPNs adosadasEl ejemplo siguiente es parecido al “Ejemplo: VPNs radiales” en la página 472, exceptoNetScreen del lado del concentrador en Nueva York realiza una comprobación de direcentre los dos túneles con destino a las sucursales de Tokio y París. Colocando cada sdistinta, el tráfico VPN se controla en el concentrador.La dirección LAN de Tokio se encuentra en la zona definida por el usuario X1, y la direccencuentra en la zona definida por el usuario X2. Ambas zonas se encuentran en el domin
Nota: Para crear zonas definidas por el usuario, primero hay que adquirir y cargar unaen el dispositivo NetScreen.
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas
462
z tunnel.2. Aunque no se mbas interfaces de túnel. Las rust-VR. Colocando la destinado a dicha subred se
ver en la siguiente ilustración, tráfico que utiliza estos túneles eviamente compartidas. Hay opuestas de fase 1 y fase 2. La ecir, el túnel correcto se tiva), las IDs de proxy se
uado en el lado del concentrador.
LAN de Tokio10.10.1.0/24
LAN de París10.20.1.0/24
dio)1.1ís (radio)0.2.2.2
Dominio de enrutamiento Untrust-VR
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
El túnel VPN1 se asocia a la interfaz tunnel.1, y el túnel VPN2 se asocia a la interfaasignan direcciones IP a las interfaces de zona X1 y X2, se asignan direcciones a arutas para estas interfaces aparecen automáticamente en la tabla de enrutamiento Tdirección IP de una interfaz de túnel en la misma subred que la de destino, el tráficoenruta a la interfaz de túnel.
La interfaz de salida es ethernet3, que está asociada a la zona Untrust. Como puedeambos túneles terminan en la zona Untrust; sin embargo, los puntos finales para el se encuentran en las zonas X1 y X2. Los túneles utilizan AutoKey IKE con claves prque seleccionar el nivel de seguridad predefinido como “Compatible” para ambas przona Untrust se asocia a untrust-vr. Como los túneles están basados en rutas (es ddetermina por el enrutamiento, no por un nombre de túnel especificado en una direcincluyen en la configuración de cada túnel.
Nota: A continuación se proporciona sólo la configuración del dispositivo NetScreen sit
Zona X1
VPN1
VPN2
Sede central en Nueva York
(concentrador)
Interfaz: tunnel.1
10.10.1.2/24
Tokio (ra110.1.
Par22
Interfaz de salidade Nueva YorkZona Untrust
eth3, IP 123.1.1.1/24
Puerta de enlace predeterminada
IP 123.1.1.2
Zona X2
Consulta de
directivasZona Trust
Dominio de enrutamiento
Trust-VR VPN1
eth1, 10.1.1.1/24 Interfaz: tunnel.2
10.20.1.2/24
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas
463
s y haga clic en OK :
s y haga clic en OK :
ga clic en OK :
:
:
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI
1. Zonas de seguridad y enrutadores virtualesNetwork > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Null
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y ha
Virtual Router Name: untrust-vr
Block Intra-Zone Traffic: (seleccione)
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK
Zone Name: X1
Virtual Router Name: trust-vr
Block Intra-Zone Traffic: (seleccione)
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK
Zone Name: X2
Virtual Router Name: trust-vr
Block Intra-Zone Traffic: (seleccione)
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas
464
s y haga clic en OK :
e)
ga clic en OK :
ga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
2. InterfacesNetwork > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 123.1.1.1/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): X1 (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 10.10.1.2/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.2
Zone (VR): X2 (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 10.20.1.2/24
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas
465
OK :
(seleccione)
name: 110.1.1.1
avanzados y haga clic en uración básica de AutoKey IKE:
/24
.0/24
stos procedimientos: .0/24 (París) para IP Local/Netmask,
io) y 10.20.1.0/24 (París), y otra en la s de origen y destino en la directiva
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
3. VPN para la oficina de TokioVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: VPN1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: Tokyo
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen1
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Proxy-ID: (seleccione)23
Local IP / Netmask: 10.20.1.0
Remote IP / Netmask: 10.10.1
Service: ANY
23. Para configurar el túnel VPN en el dispositivo NetScreen que protege las oficinas de Tokio y París, ejecute uno de e(VPN basada en rutas) Seleccione la casilla de verificación Enable Proxy-ID y escriba 10.10.1.0/24 (Tokio) y 10.20.1y 10.20.1.0/24 (Tokio) y 10.10.1.0/24 (París) para IP remota/Netmask . (VPN basada en directivas) Realice una entrada en la libreta de direcciones de la zona Trust para 10.10.1.0/24 (Toklibreta de direcciones de la zona Untrust para 10.20.1.0/24 (Tokio) y 10.10.1.0/24 (París). Utilícelas como direccionerelativa al túnel VPN al sitio del concentrador (hub).
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas
466
OK :
(seleccione)
name: 220.2.2.2
avanzados y haga clic en uración básica de AutoKey IKE:
/24
.0/24
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. VPN para la oficina de ParísVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: VPN2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: París
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen2
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Proxy-ID: (seleccione)
Local IP / Netmask: 10.10.1.0
Remote IP / Netmask: 10.20.1
Service: ANY
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas
467
es datos y haga clic en OK :
untrust-vr
ntes datos y haga clic en OK :
lic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address / Netmask: 0.0.0.0/0
Next Hop Virtual Router Name: (seleccione),
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguie
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 123.1.1.2
6. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Tokyo LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.10.1.0/24
Zone: X1
Objects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Paris LAN
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.20.1.0/24
Zone: X2
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas
468
en OK :
AN
N
en OK :
N
AN
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
7. DirectivasPolicy > (From: X1, To: X2) New: Introduzca los siguientes datos y haga clic
Source Address:
Address Book Entry: (seleccione), Tokyo L
Destination Address:
Address Book Entry: (seleccione), Paris LA
Service: ANY
Action: Permit
Position at Top: (seleccione)
Policy > (From: X2, To: X1) New: Introduzca los siguientes datos y haga clic
Source Address:
Address Book Entry: (seleccione), Paris LA
Destination Address:
Address Book Entry: (seleccione), Tokyo L
Service: ANY
Action: Permit
Position at Top: (seleccione)
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas
469
ethernet3 preshare
0.1.0/24 any24
procedimientos: 0.10.1.0/24 (Tokyo) and set vpn
y 10.20.1.0/24 (París), y otra en la origen y destino en las directivas
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI
1. Zonas de seguridad y enrutadores virtualesunset interface ethernet3 ipunset interface ethernet3 zone
set zone untrust vrouter untrust-vrset zone untrust block
set zone name x1set zone x1 vrouter trust-vrset zone x1 block
set zone name x2set zone x2 vrouter trust-vrset zone x2 block
2. Interfacesset interface ethernet3 zone untrustset interface ethernet3 ip 123.1.1.1/24
set interface tunnel.1 zone x1set interface tunnel.1 ip 10.10.1.2/24
set interface tunnel.2 zone x2set interface tunnel.2 ip 10.20.1.2/24
3. VPN para la oficina de Tokioset ike gateway Tokyo address 110.1.1.1 outgoing-interface
netscreen1 sec-level compatibleset vpn VPN1 gateway Tokyo sec-level compatibleset vpn VPN1 bind interface tunnel.1set vpn VPN1 proxy-id local-ip 10.20.1.0/24 remote-ip 10.1
24. Para configurar el túnel VPN en el dispositivo NetScreen que protege las oficinas de Tokio y París, ejecute uno de estos(VPN basada en rutas) Introduzca los siguientes comandos: set vpn VPN1 proxy-id local-ip 10.20.1.0/24 remote-ip 1VPN1 proxy-id local-ip 10.10.1.0/24 remote-ip 10.20.1.0/24 (Paris) . (VPN basada en directivas) Realice una entrada en la libreta de direcciones de la zona Trust para 10.10.1.0/24 (Tokio) libreta de direcciones de la zona Untrust para 10.20.1.0/24 (Tokio) y 10.10.1.0/24 (París). Utilícelas como direcciones derelativas al túnel VPN al sitio del concentrador (hub).
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas
470
ce ethernet3 preshare
.20.1.0/24 any
t3 gateway 123.1.1.2
permit25
permit
rning: Some interfaces in the
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. VPN para la oficina de Parísset ike gateway Paris address 220.2.2.2 outgoing-interfa
netscreen2 sec-level compatibleset vpn VPN2 gateway Paris sec-level compatibleset vpn VPN2 bind interface tunnel.2set vpn VPN2 proxy-id local-ip 10.10.1.0/24 remote-ip 10
5. Rutasset vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vrset vrouter untrust-vr route 0.0.0.0/0 interface etherne
6. Direccionesset address x1 “Tokyo LAN” 10.10.1.0/24set address x2 “Paris LAN” 10.20.1.0/24
7. Directivas
set policy top from x1 to x2 “Tokyo LAN” “Paris LAN” anyset policy top from x2 to x1 “Paris LAN” “Tokyo LAN” anysave
25. Puede hacer caso omiso al siguiente mensaje, que aparece porque las interfaces de túnel están en modo NAT: “Wa<zone_name> zone are in NAT mode. Traffic might not pass through them!”
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
471
r un par de rutas para que el úneles están incluidos en la un túnel a otro. Sólo es
dos túneles cualesquiera.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
VPNS RADIALESSi crea dos túneles VPN que terminen en un dispositivo NetScreen, puede configuradispositivo NetScreen dirija el tráfico que salga de un túnel hacia el otro. Si ambos tmisma zona, no es necesario crear una directiva para permitir que el tráfico pase denecesario definir las rutas. Esta configuración se denomina “VPN radial”.
También es posible configurar VPNs múltiples en una zona y enrutar el tráfico entre
Túneles VPN radialesZona Untrust
El dispositivo NetScreen enruta el tráfico de un túnel a otro.
Sitios remotos
Túneles VPN radiales múltiples
El dispositivo NetScreen enruta el tráfico entre túneles.
Zona Untrust
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
472
un par de túneles VPN (VPN1 central de Nueva York. El
el otro.o tiene que hacer una consulta rque ambos puntos finales
numerar. Los túneles utilizan eguridad predefinido como untrust-vr. La interfaz de zona
áfico entre las dos interfaces de túnel.
VPN radiales basadas en zonas de seguridad definidas
LAN de Tokio10.2.2.0/24
LAN de París10.3.3.0/24
Dominio de enrutamiento untrust-vr
.3.3)
.2.2 )
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Ejemplo: VPNs radialesEn este ejemplo, dos sucursales de Tokio y París se comunican entre sí a través dey VPN2). Cada túnel tiene su punto de origen en el sitio remoto y termina en la sededispositivo NetScreen de la sede central enruta el tráfico que sale de un túnel haciaInhabilitando el bloqueo intrazonal, el dispositivo NetScreen de la sede central sólde rutas (no una consulta de directivas) para dirigir el tráfico de un túnel a otro poremotos se encuentran en la misma zona (zona Untrust)26.Los túneles se asocian a las interfaces de túnel (tunnel.1 y tunnel.2), que están sin AutoKey IKE con claves previamente compartidas. Hay que seleccionar el nivel de s“Compatible” para ambas propuestas de fase 1 y fase 2. La zona Untrust se asocia aUntrust es ethernet3.
26. De forma opcional, puede mantener el bloqueo intrazonal habilitado y definir una directiva intrazonal que permita el tr
Nota: La siguiente configuración es aplicable a VPN basadas en rutas. Si configuradirectivas, debe utilizar las zonas Trust y Untrust en las directivas; no puede utilizarpor el usuario.
Zona Untrust
VPN1
VPN2Nueva York: sede central
(concentrador)Interfaz: tunnel.1Interfaz: tunnel.2
Puerta de enlace
predeterminadaIP 1.1.1.250
Internet
París 3.3(radio
Tokio 2.2(radio
Interfaz de salidaeth3
IP 1.1.1.1
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
473
s y haga clic en OK :
s y haga clic en OK :
ga clic en OK :
s y haga clic en OK :
e)
ga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (Nueva York)
1. Zonas de seguridad y enrutadores virtualesNetwork > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Null
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y ha
Virtual Router Name: untrust-vr
Block Intra-Zone Traffic: (anule la selección)
2. InterfacesNetwork > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 1.1.1.1/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (untrust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (untrust-vr)
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
474
ga clic en OK :
OK :
(seleccione)
name: 2.2.2.2
avanzados y haga clic en uración básica de AutoKey IKE:
/0
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.2
Zone (VR): Untrust (untrust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (untrust-vr)
3. VPN para la oficina de TokioVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: VPN1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: Tokyo
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
475
OK :
(seleccione)
name: 3.3.3.3
avanzados y haga clic en uración básica de AutoKey IKE:
/0
ntes datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. VPN para la oficina de ParísVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: VPN2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: Paris
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen2
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
5. RutasNetwork > Routing > Routing Entries > untrust-vr New: Introduzca los siguie
Network Address / Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
476
ntes datos y haga clic en OK :
ntes datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguie
Network Address / Netmask: 10.3.3.0/24
Gateway: (seleccione)
Interface: tunnel.2
Gateway IP Address: 0.0.0.0
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguie
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 1.1.1.250
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
477
s y haga clic en OK :
s y haga clic en OK :
ga clic en OK :
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
WebUI (Tokio)
1. Zonas de seguridad y enrutadores virtualesNetwork > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Null
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y ha
Virtual Router Name: untrust-vr
Block Intra-Zone Traffic: (seleccione)
2. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.2.2.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 2.2.2.2/24
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
478
ga clic en OK :
lic en OK :
OK :
(seleccione)
name: 1.1.1.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (untrust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (untrust-vr)
3. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Paris
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.3.3.0/24
Zone: Untrust
4. VPNVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: VPN1
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: New York
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen1
Security Level: Compatible
Outgoing Interface: ethernet3
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
479
avanzados y haga clic en uración básica de AutoKey IKE:
/0
es datos y haga clic en OK :
untrust-vr
ntes datos y haga clic en OK :
ntes datos y haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
5. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address / Netmask: 0.0.0.0/0
Next Hop Virtual Router Name: (seleccione);
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguie
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 2.2.2.250
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguie
Network Address / Netmask: 10.3.3.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
480
haga clic en OK :
s y haga clic en OK :
s y haga clic en OK :
ga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
6. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Paris
Service: ANY
Action: Permit
WebUI (París)
1. Zonas de seguridad y enrutadores virtualesNetwork > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
IP Address/Netmask: 0.0.0.0/0
Manage IP: 0.0.0.0
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Null
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y ha
Virtual Router Name: untrust-vr
Block Intra-Zone Traffic: (seleccione)
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
481
s y haga clic en Apply :
e)
OK :
s y haga clic en OK :
e)
ga clic en OK :
lic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
2. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato
Zone Name: Trust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 10.3.3.1/24
Seleccione los siguientes datos y haga clic en
Interface Mode: NAT
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato
Zone Name: Untrust
Static IP: (seleccione esta opción si es posibl
IP Address/Netmask: 3.3.3.3/24
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (untrust-vr)
Unnumbered: (seleccione)
Interface: ethernet3 (untrust-vr)
3. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c
Address Name: Tokyo
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.0/24
Zone: Untrust
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
482
OK :
(seleccione)
name: 1.1.1.1
avanzados y haga clic en uración básica de AutoKey IKE:
/0
es datos y haga clic en OK :
untrust-vr
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
4. VPNVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en
VPN Name: VPN2
Security Level: Compatible
Remote Gateway: Create a Simple Gateway:
Gateway Name: New York
Type: Static IP: (seleccione), Address/Host
Preshared Key: netscreen2
Security Level: Compatible
Outgoing Interface: ethernet3
> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config
Proxy-ID: (seleccione)
Local IP / Netmask: 0.0.0.0/0
Remote IP / Netmask: 0.0.0.0
Service: ANY
5. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient
Network Address / Netmask: 0.0.0.0/0
Next Hop Virtual Router Name: (seleccione);
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
483
ntes datos y haga clic en OK :
ntes datos y haga clic en OK :
haga clic en OK :
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguie
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet3
Gateway IP Address: 3.3.3.250
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguie
Network Address / Netmask: 10.2.2.0/24
Gateway: (seleccione)
Interface: tunnel.1
Gateway IP Address: 0.0.0.0
6. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Address Book Entry: (seleccione), Tokyo
Service: ANY
Action: Permit
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
484
ethernet3 preshare
.0/0 any
ethernet3 preshare
.0/0 any
l.1l.2t3 gateway 1.1.1.250
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (Nueva York)
1. Zonas de seguridad y enrutadores virtualesunset interface ethernet3 ipunset interface ethernet3 zoneset zone untrust vrouter untrust-vrunset zone untrust block
2. Interfacesset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3set interface tunnel.2 zone untrustset interface tunnel.2 ip unnumbered interface ethernet3
3. VPN para la oficina de Tokioset ike gateway Tokyo address 2.2.2.2 outgoing-interface
netscreen1 sec-level compatibleset vpn VPN1 gateway Tokyo sec-level compatibleset vpn VPN1 bind interface tunnel.1set vpn VPN1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
4. VPN para la oficina de Parísset ike gateway Paris address 3.3.3.3 outgoing-interface
netscreen2 sec-level compatibleset vpn VPN2 gateway Paris sec-level compatibleset vpn VPN2 bind interface tunnel.2set vpn VPN2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
5. Rutasset vrouter untrust-vr route 10.2.2.0/24 interface tunneset vrouter untrust-vr route 10.3.3.0/24 interface tunneset vrouter untrust-vr route 0.0.0.0/0 interface ethernesave
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
485
rface ethernet3
.0/0 any
t3 gateway 2.2.2.250l.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
CLI (Tokio)
1. Zonas de seguridad y enrutadores virtualesunset interface ethernet3 ipunset interface ethernet3 zoneset zone untrust vrouter untrust-vr
2. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.2.2.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3
3. Direcciónset address untrust Paris 10.3.3.0/24
4. VPNset ike gateway “New York” address 1.1.1.1 outgoing-inte
preshare netscreen1 sec-level compatibleset vpn VPN1 gateway “New York” sec-level compatibleset vpn VPN1 bind interface tunnel.1set vpn VPN1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
5. Rutasset vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vrset vrouter untrust-vr route 0.0.0.0/0 interface etherneset vrouter untrust-vr route 10.3.3.0/24 interface tunne
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
486
rface ethernet3
.0/0 any
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
6. Directivasset policy from trust to untrust any Paris any permitset policy from untrust to trust Paris any any permitsave
CLI (París)
1. Zonas de seguridad y enrutadores virtualesunset interface ethernet3 ipunset interface ethernet3 zoneset zone untrust vrouter untrust-vr
2. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.3.3.1/24set interface ethernet1 nat
set interface ethernet3 zone untrustset interface ethernet3 ip 3.3.3.3/24
set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3
3. Direcciónset address untrust Tokyo 10.2.2.0/24
4. VPNset ike gateway “New York” address 1.1.1.1 outgoing-inte
preshare netscreen2 sec-level compatibleset vpn VPN2 gateway “New York” sec-level compatibleset vpn VPN2 bind interface tunnel.1set vpn VPN2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
487
t3 gateway 3.3.3.250l.1
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs
5. Rutasset vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vrset vrouter untrust-vr route 0.0.0.0/0 interface etherneset vrouter untrust-vr route 10.2.2.0/24 interface tunne
6. Directivasset policy from trust to untrust any Tokyo any permitset policy from untrust to trust Tokyo any any permitsave
Capítulo 7 Funciones de VPN avanzadas VPNs radiales
488
Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNsÍndice
IX-I
1uestas 11uestas, predefinidas 123uestas 13, 14uestas, predefinidas 14ital 24aquetes basada en directivas 88–89 basada en rutas 82–87 de entrada 85–87 de salida 83–85
ción IKE de grupoficados 276–287 previamente compartida 288–296oxy 14cidencia 81, 90s y NAT 203–2041, 126, 235E, Windows 200 328, 341cal, ASN1-DN 278mota, ASN1-DN 278tificación IKE 66–68, 75–76tificación IKE de grupo, container 280tificación IKE de grupo, wildcard 279e proxy 14
os 443sajes de saludo 443uestas de fase 1, predefinidas 12uestas de fase 2, predefinidas 14tas de enlace redundantes 441–459mendaciones de ID IKE 92
Juniper Networks NetScreen Concepts & Examples – Volume 5: VPNs
Índice
Símbolos3DES 8
AAES (Advanced Encryption Standard) 8AH 3, 7archivos MIB, importación 380asociación de seguridad
véase SAsataques
repetición 15autenticación
algoritmos 7, 66, 71, 75, 79
Ccarga de seguridad encapsulada
véase ESPcertificado local 30certificados 10
CA 26, 30carga 34local 30petición 31por correo electrónico 30revocación 29, 44
certificados de CA 26, 30Challenge Handshake Authentication Protocol
véase CHAPCHAP 311, 314clave manual 166, 177
administración 9clave previamente compartida 9, 235CLI
convenciones vicódigo de autenticación de mensajes basado en
hashvéase HMAC
comprobación contra reprocesamiento de paquetes 68, 76
confidencialidad directa perfectavéase PFS
conjuntos de caracteres compatibles con ScreenOS x
conjuntos de DIPinterfaces extendidas 203NAT para VPNs 203
container 280convenciones
CLI viilustración ixnombres xWebUI vii
CRL (lista de revocación de certificados) 28, 44carga 28
DDES 8Diffie-Hellman, grupos 13, 65, 69, 74, 77direcciones IP
extendidas 203directivas
VPNs bidireccionales 178DN (nombre completo) 275DNS
ajustes de L2TP 314
Eencabezado de autenticación
véase AHencriptación
algoritmos 8, 66, 70, 74, 79ESP 3, 7, 8
encriptación y autenticación 70, 78sólo autenticación 70sólo encriptación 70
FFase 1 1
propprop
Fase 2 1propprop
firma digflujo de p
VPNVPNVPNVPN
HHMAC 7
Iidentifica
certiclave
IDs de prcoinVPN
IKE 9, 11ID IKID loID reidenidenidenIDs dlatidmenpropproppuerreco
Índice
IX-II
eos de NAT 352–353versale NAT-Tn-Remotelocutor dinámico 244, 256ón NAT-T 351 AutoKey IKE 235
enciones xe encriptación de datose DES
nline Certificate Status Protocol) 44t 44idor de respuesta 44e reencriptación, supervisión de VPN 362 criptográficas 62–79so telefónico 72–79ritmos de autenticación 66, 71, 75, 79ritmos de encriptación 66, 70, 74, 79probación contra reprocesamiento de paquetes 68, 76-Hellman, grupos 65, 69, 74, 77 70, 78tificación IKE 66–68, 75–76itudes de bits de los certificados 65, 73dos de administración de claves 64o de transporte 78o de túnel 78os de fase 1 64, 73 68, 77colos IPSec 69, 78
o a punto 63–71mendaciones VPN de acceso telefónico 79mendaciones VPN punto a punto 71 de autenticación 64, 73
, 314aves pública/privada 27d Authentication Protocole PAP
Juniper Networks NetScreen Concepts & Examples – Volume 5: VPNs
usuario de identificación IKE compartida 297–306
usuario de identificación IKE de grupo 275–296
ilustraciónconvenciones ix
infraestructura de claves públicasvéase PKI
intercambio de claves de Internetvéase IKE
intercambio Diffie-Hellman 13interfaces
extendidas 203null 109
interfaz nula 109IPSec 3
AH 2, 69, 78ESP 2, 69, 78firma digital 24modo de transporte 4, 311, 317, 326modo de túnel 5negociación de túnel 11SAs 2, 10, 11, 14SPI 2túnel 2
Kkeepalive
frecuencia, NAT-T 357L2TP 322
LL2TP 307–348
autenticado del túnel Windows 2000 322bidireccional 311concentrador de accesos: véase LACconfiguración obligatoria 308configuración voluntaria 308desencapsulado 313encapsulado 312Keep Alive 322L2TP en solitario sobre Windows 2000 311modo de funcionamiento 311parámetros predeterminados 315
señal hello 322servidor de red: véase LNSservidor RADIUS 314servidor SecurID 314soporte de ScreenOS 311túnel 317Windows 2000 331
L2TP sobre IPSec 4, 317, 326bidireccional 311túnel 317
LAC 308NetScreen-Remote 5.0 308Windows 2000 308
Layer 2 Tunneling Protocolvéase L2TP
LNS 308
MMD5 7Message Digest versión 5
véase MD5MIP
VPNs 203modo de transporte 4, 311, 317, 326modo de túnel 5modo dinámico 12modo principal 12módulo 13
NNAT
IPSec y NAT 351servidores NAT 351
NAT-dstVPNs 203
NAT-srcVPNs 206
NAT-T 351–360frecuencia de mantenimiento de conexión 357habilitar 359iniciador y respondedor 358obstáculos para VPNs 354paquete IKE 354paquete IPSec 356
sondNAT-Tra
véasNetScree
interopciVPN
nombresconv
Norma dvéas
OOCSP (O
clienserv
opción dopciones
accealgoalgocom
DiffieESPidenlongmétomodmodmodPFSprotopuntreco
recotipos
PPAP 311par de clPasswor
véas
Índice
IX-III
adas en rutas 80–81
FQDN 187Key IKE 9das en rutas o basadas en directivas 80ejos de configuración 90–92-Hellman, grupos 13 1 11 2 13
de paquetes 82–89N para puerta de enlace 186–202os redundantes, procedimiento de recuperación 444os VPN 441e proxy, coincidencia 90
cambio Diffie-Hellman 13203
o dinámico 12o principal 12iples túneles por interfaz de túnel 381–437 para direcciones superpuestas 203–220-dst 203-src 206ones criptográficas 62–79cción contra reprocesamiento de paquetes 15tas de enlace redundantes 441–459 10rvisión y reencriptación de VPN 362l siempre activo 362
enciones vii279
tes de L2TP 314
rvisión de VPN 364
Juniper Networks NetScreen Concepts & Examples – Volume 5: VPNs
PFS 15, 68, 77PKI 26PPP 309propuestas
Fase 1 11, 90Fase 2 14, 90
protección contra reprocesamiento de paquetes 15protocolo punto a punto
véase PPPprotocolos
CHAP 311PAP 311PPP 309
puertas de enlace redundantes 441–459comprobación de flag TCP SYN 447procedimiento de recuperación 444
RRADIUS
L2TP 314RFC
(MD5)1321 72403 7
(SHA-1)2404 7
2104 72407 32408 3
ruta nula 109
SSAs 10, 11, 14
comprobación en flujo de paquetes 84SCEP (Simple Certificate Enrollment Protocol) 38Secure Hash Algorithm-1
véase SHA-1SecurID
L2TP 314Seguridad IP
véase IPSecSHA-1 7
SNMParchivos MIB, importación 380supervisión de VPN 380
supervisión de VPN 361–379cambios de estado 361, 366dirección de destino 363–367dirección de destino, XAuth 364directivas 365diseño de rutas 93interfaz de salida 363–367opción de reencriptación 362, 386peticiones de eco ICMP 380SNMP 380
Ttabla NHTB 381–387
asignación de rutas a túneles 382entradas automáticas 386entradas manuales 385esquema de direccionamiento 383
TCPcomprobación de flag SYN 447
Triple DESvéase 3DES
UUDP
encapsulación NAT-T 351suma de comprobación 357
usuario de identificación IKE de grupo 275–296certificados 276clave previamente compartida 288
usuariosidentificación IKE compartida 297–306identificación IKE de grupo 275–296
VVerisign 44VPN AutoKey IKE 9
administración 9VPN basada en directivas 80
VPN basVPNs
aliasAutobasaconsDiffieFaseFaseflujoFQDgrup
grupIDs dinterMIP modmodmúltNATNATNATopciprote
puerSAssupetúne
WWebUI
convwildcard WINS
ajus
XXAuth
supe
Índice
IX-IV
Juniper Networks NetScreen Concepts & Examples – Volume 5: VPNs