CE_v5_SP

NetScreen conceptos y ejemplosreenOS

ScreenOS 5.1.0

Ref. 093-1370-000-SP

Revisión B

Manual de referencia de Sc

Volumen 5: VPNs

compliance of Class B devices: The enerates and may radiate radio-frequency nce with NetScreen’s installation e with radio and television reception. This d to comply with the limits for a Class B specifications in part 15 of the FCC rules. provide reasonable protection against allation. However, there is no guarantee rticular installation. interference to radio or television y turning the equipment off and on, the e interference by one or more of the

ing antenna.

en the equipment and receiver.

ienced radio/TV technician for help.

utlet on a circuit different from that to d.

o this product could void the user's device.

ITED WARRANTY FOR THE ET FORTH IN THE INFORMATION PRODUCT AND ARE INCORPORATED OU ARE UNABLE TO LOCATE THE

WARRANTY, CONTACT YOUR OR A COPY.

Copyright NoticeCopyright © 2004 Juniper Networks, Inc. All rights reserved.Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies.Information in this document is subject to change without notice.No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from: Juniper Networks, Inc.ATTN: General Counsel1194 N. Mathilda Ave.Sunnyvale, CA 94089-1206

FCC StatementThe following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.

The following information is for FCC equipment described in this manual genergy. If it is not installed in accordainstructions, it may cause interferencequipment has been tested and foundigital device in accordance with the These specifications are designed tosuch interference in a residential instthat interference will not occur in a paIf this equipment does cause harmfulreception, which can be determined buser is encouraged to try to correct thfollowing measures:

• Reorient or relocate the receiv

• Increase the separation betwe

• Consult the dealer or an exper

• Connect the equipment to an owhich the receiver is connecte

Caution: Changes or modifications twarranty and authority to operate this

DisclaimerTHE SOFTWARE LICENSE AND LIMACCOMPANYING PRODUCT ARE SPACKET THAT SHIPPED WITH THEHEREIN BY THIS REFERENCE. IF YSOFTWARE LICENSE OR LIMITEDNETSCREEN REPRESENTATIVE F

Contenido

i

................................................... 13d directa perfecta ..................... 15a reprocesamiento.................... 15

..............................................16................................................... 16

................................................... 20

claves públicas ...............23

ografía de claves públicas...24

..............................................26

..............................................29e un certificado........................ 30 de certificado manual ............ 31

de certificados y CRLs ............... 34ración de ajustes de CRL ......... 36

ca de un certificado local ........ 38 automática de certificado...... 39

tica de certificado .................... 43pares de claves ......................... 43

ado mediante OCSP.............44CSP............................................. 45e CRL u OCSP ............................ 45 los atributos de comprobación ................................................... 45e la URL de un servidor SP .............................................. 46tributos de comprobación ................................................... 46

dos (“Self-Signed ..............................................47

Juniper Networks NetScreen conceptos y ejemplos – Volumen 5: VPNs

ContenidoPrefacio ......................................................................... v

Convenciones ........................................................... viConvenciones de la interfaz de línea de comandos (CLI) ...................................................... vi

Convenciones de la interfaz gráfica (WebUI) ..............vii

Convenciones para las ilustraciones........................... ix

Convenciones de nomenclatura y conjuntos de caracteres .................................................................... x

Documentación de NetScreen de Juniper Networks .................................................. xi

Capítulo 1 IPSec ...........................................................1

Introducción a las VPNs..............................................2

Conceptos de IPSec...................................................3Modos...........................................................................4

Modo de transporte ...............................................4

Modo de túnel........................................................5

Protocolos .....................................................................7

AH...........................................................................7

ESP ..........................................................................8

Administración de claves .............................................9

Clave manual ........................................................9

AutoKey IKE.............................................................9

Asociación de seguridad ...........................................10

Negociación de túnel ..............................................11Fase 1 .........................................................................11

Modo principal y modo dinámico .......................12

Intercambio Diffie-Hellman...................................13

Fase 2......................ConfidencialidaProtección contr

Paquetes IKE e IPSec ..Paquetes IKE............

Paquetes IPSec........

Capítulo 2 Criptografía de

Introducción a la cript

PKI...............................

Certificados y CRLs.....Obtención manual d

Ejemplo: PeticiónEjemplo: Carga Ejemplo: Configu

Obtención automátiEjemplo: Petición

Renovación automáGeneración de

Comprobación de estConfiguración de O

Especificación dVisualización dede estado .........Especificación dde respuesta OCEliminación de ade estado .........

Certificados autofirmaCertificates”)...............

Contenido

ii

nto a punto basada en rutas, mico ........................................ 137nto a punto basada erlocutor dinámico .................. 152nto a punto basada anual...................................... 166

nto a punto basada ve manual .............................. 177

dinámicas con FQDN .........186................................................. 187utor AutoKey IKE con FQDN ..... 188

nes superpuestas ...............203 de túnel con NAT-Src ................................................. 206

rente ....................................221toKey IKE basada en do transparente ...................... 222

o telefónico.....................233

nico ....................................234 acceso telefónico basada toKey IKE.................................. 235 acceso telefónico basada utor dinámico.......................... 244 acceso telefónico basada erlocutor dinámico .................. 256

nales para usuarios de VPN o .............................................. 266as bidireccionales para VPNs nico ........................................ 267

rupo....................................275 grupo con certificados........... 276ación IKE ASN1-DN Wildcard ................................................. 278


Asegurar el tráfico administrativo con SSL ..................48Validación de certificados...................................49Creación manual de certificados autofirmados..51Ejemplo: Certificado autofirmado y definido por el administrador .............................................53Autogeneración de certificados ..........................58Eliminación de certificados autofirmados............60

Capítulo 3 Directivas VPN ...........................................61

Opciones criptográficas...........................................62Opciones criptográficas punto a punto.....................63

Opciones VPN de acceso telefónico .........................72

Túneles basados en directivas y en rutas.................80

Flujo de paquetes: VPN punto a punto ....................82

Consejos para la configuración de un túnel ...........90

Consideraciones sobre seguridad en VPNs basadas en rutas .....................................................93

Ruta nula ....................................................................94

Línea de acceso telefónico o arrendada..................96Ejemplo: Conmutación por error de la VPN hacia la línea arrendada o la ruta nula ..............97

Interfaz de túnel ficticia ............................................100

Enrutador virtual para interfaces de túnel ................101

Reencaminar a otro túnel.........................................101

Capítulo 4 VPNs punto a punto ................................103

Configuraciones VPN punto a punto......................104Pasos de configuración de túneles punto a punto ..105

Ejemplo: VPN punto a punto basada en rutas, AutoKey IKE.........................................................111Ejemplo: VPN punto a punto basada en directivas, AutoKey IKE ..................................126

Ejemplo: VPN puinterlocutor dináEjemplo: VPN puen directivas, intEjemplo: VPN puen rutas, clave mEjemplo: VPN puen directivas, cla

Puertas de enlace IKE Alias.........................

Ejemplo: Interloc

Sitios VPN con direccioEjemplo: Interfazy NAT-Dst ...........

VPN en modo transpaEjemplo: VPN Audirectivas en mo

Capítulo 5 VPNs de acces

VPNs de acceso telefóEjemplo: VPN deen directivas, AuEjemplo: VPN deen rutas, interlocEjemplo: VPN deen directivas, int

Directivas bidirecciode acceso telefónic

Ejemplo: Directivde acceso telefó

Identificación IKE de gIdentificación IKE de

Tipos de identificy Container .......

Contenido

iii

.......................................361ción y optimización ........... 362ción de destino................ 363irectivas............................ 365

ción de supervisión ........................................... 365ión de las direcciones de

a la supervisión de VPN ..... 368P para la supervisión ........................................... 380

az de túnel ....................381neles.................................. 382tores remotos..................... 383ales y automáticas............ 385n la tabla ......................... 385s en la tabla ..................... 386Ns en una interfaz es superpuestas ............... 388

utomáticas en la tabla HTB..................................... 420SPF para entradas bla de rutas ...................... 438

dundantes .....................441........................................... 442ión ..................................... 443........................................... 443cuperación IKE.................. 444TCP SYN .............................. 447enlace VPN redundantes .. 448

.......................................460das ................................... 461

.......................................471es....................................... 472

.................................... IX-I


Ejemplo: Identificación IKE de grupo (certificados) ......................................................281

ID IKE de grupo con claves previamente compartidas .............................................................288

Ejemplo: ID IKE de grupo (claves previamente compartidas) ................................290

Identificación IKE compartida................................297Ejemplo: ID IKE compartida (claves previamente compartidas) ................................298

Capítulo 6. L2TP .........................................................307

Introducción al L2TP ...............................................308

Encapsulado y desencapsulado de paquetes .....312Encapsulado ............................................................312

Desencapsulado ......................................................313

Parámetros L2TP......................................................314Ejemplo: Configuración de un conjunto de direcciones IP y los ajustes predeterminados L2TP.....................................................................315

L2TP y L2TP sobre IPSec...........................................317Ejemplo: Configuración de L2TP ........................318

Ejemplo: Configuración de L2TP sobre IPSec .....326

Ejemplo: L2TP bidireccional sobre IPSec ............339

Capítulo 7. Funciones de VPN avanzadas ................349

NAT-Traversal ..........................................................351Sondeos de NAT........................................................352

Atravesar un dispositivo NAT .....................................354

Suma de comprobación de UDP .............................357

Paquetes de mantenimiento de conexión...............357

Simetría iniciador/respondedor ................................358

Ejemplo: Habilitación de NAT-Traversal ..............359

Supervisión de VPNs.........Opciones de reencriptaInterfaz de origen y direcConsideraciones sobre dConfiguración de la funde VPN ..........................

Ejemplo: Especificacorigen y destino par

Objetos y capturas SNMde VPN ..........................

Múltiples túneles por interfAsignación de rutas a túDirecciones de interlocuEntradas de tabla manu

Entradas manuales eEntradas automáticaEjemplo: Múltiples VPde túnel para subredEjemplo: Entradas ade rutas y la tabla NAnexo al ejemplo: Oautomáticas en la ta

Puertas de enlace VPN reGrupos VPN ...................Mecanismos de supervis

Latidos de IKE..........Procedimiento de re

Comprobación de flag Ejemplo: Puertas de

VPNs adosadas................Ejemplo: VPNs adosa

VPNs radiales ...................Ejemplo: VPNs radial

Índice .....................................

Contenido

iv

v

ofrece a los usuarios acceso ntre sí a través de Internet. Las s privadas especializadas. Los

VPN de acceso telefónico y

isponibles en los dispositivos

“IKE”) y de la seguridad del

infraestructura de claves

PN, asociación de múltiples s y comportamiento de


Prefacio

Una red privada virtual (VPN) es un medio rentable y seguro para las empresas quetelefónico a la red de la empresa y permite que las redes remotas se comuniquen econexiones privadas seguras a través de Internet son más económicas que las líneadispositivos NetScreen ofrecen una funcionalidad VPN completa para aplicaciones punto a punto seguras.

En el Volumen 5, “VPNs”, se describen los siguientes conceptos y funciones VPN dNetScreen:

• Elementos del intercambio de claves de Internet (“Internet Key Exchange” oprotocolo de Internet (“Internet Protocol Security” o “IPSec”)

• Certificados y listas de revocación de certificados (CRLs) en el contexto depúblicas (PKI)

• VPNs punto a punto

• VPNs de acceso telefónico

• Protocolo de encapsulamiento de capa 2 (L2TP) y L2TP sobre IPSec

• Características avanzadas de VPN, como NAT-Traversal, supervisión de Vtúneles VPN a una sola interfaz de túnel, puertas de enlace IKE redundanteconmutación por error en túneles VPN.

Este volumen incluye numerosos ejemplos que ilustran todas estas funciones.

Prefacio Convenciones

vi

uientes secciones:

s de la interfaz de línea de

or barras verticales ( | ).

manage ethernet2 o ethernet3”.

o en el caso de las variables, a visualizar el número de serie

permitan al sistema reconocer e escribir set adm u joe . Aunque este método se e representan con sus


CONVENCIONES

Este documento contiene distintos tipos de convenciones, que se explican en las sig

• “Convenciones de la interfaz de línea de comandos (CLI)”

• “Convenciones de la interfaz gráfica (WebUI)” en la página vii

• “Convenciones para las ilustraciones” en la página ix

• “Convenciones de nomenclatura y conjuntos de caracteres” en la página x

Convenciones de la interfaz de línea de comandos (CLI)Las siguientes convenciones se utilizan para representar la sintaxis de los comandocomandos (CLI):

• Los comandos entre corchetes [ ] son opcionales.

• Los elementos entre llaves { } son obligatorios.

• Si existen dos o más opciones alternativas, aparecerán separadas entre sí pPor ejemplo:

set interface { ethernet1 | ethernet2 | ethernet3 } significa “establecer las opciones de administración de la interfaz ethernet1,

• Las variables aparecen en cursiva. Por ejemplo:

set admin user name password

Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvque siempre aparecen en cursiva ). Por ejemplo: “Utilice el comando get system parde un dispositivo NetScreen”.

Nota: Para escribir palabras clave, basta con introducir los primeros caracteres quede forma inequívoca la palabra que se está introduciendo. Por ejemplo, es suficientj12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54puede utilizar para introducir comandos, en la presente documentación todos ellos spalabras completas.


vii

e la WebUI por las que se adro de diálogo de New . A continuación se

bretas de direcciones.

New. diálogo de configuración

4


Convenciones de la interfaz gráfica (WebUI)En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegación dpasa al hacer clic en opciones de menú y vínculos. Por ejemplo, la ruta para abrir el cuconfiguración de direcciones se representa como sigue: Objects > Addresses > List >muestra la secuencia de navegación.

1. Haga clic en Objects en la columna de menú.La opción de menú Objects se desplegará para mostrar las opciones subordinadas que contiene.

2. (Menú Applet) Sitúe el mouse sobre Addresses.(Menú DHTML) Haga clic en Addresses.La opción de menú Addresses se desplegará para mostrar las opciones subordinadas que contiene.

3. Haga clic en List.Aparecerá la tabla de li

4. Haga clic en el vínculo Aparecerá el cuadro dede nuevas direcciones.

1

2

3


viii

e diálogo apropiado, donde de cada tarea se divide en dos conjunto de instrucciones configuración que se deben

lic en OK :

Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.


Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro dpodrá definir objetos y establecer parámetros de ajuste. El conjunto de instruccionespartes: la ruta de navegación y los datos de configuración. Por ejemplo, el siguienteincluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes derealizar:

Objects > Addresses > List > New: Introduzca los siguientes datos y haga cAddress Name: addr_1IP Address/Domain Name:

IP/Netmask: (seleccione), 10.2.2.5/32Zone: Untrust

Zone: Untrust

Haga clic en OK .

Address Name: addr_1

IP Address Name/Domain Name:

IP/Netmask: (seleccione), 10.2.2.5/32


ix

ustraciones de este manual:

ed de área local (LAN) con na única subredejemplo: 10.1.1.0/24)

nternet

quipo de escritorio

ervidor

ispositivo de red genéricoejemplos: servidor NAT, oncentrador de acceso)

quipo portátil

ango de direcciones IP dinámicas DIP)


Convenciones para las ilustracionesLos siguientes gráficos conforman el conjunto básico de imágenes utilizado en las il

Dispositivo NetScreen genérico

Zona de seguridad

Interfaces de zonas de seguridadBlanca = interfaz de zona protegida (ejemplo: zona Trust)Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust)

Icono de enrutador (router)

Icono de conmutador (switch)

Dominio de enrutamiento virtual

Túnel VPN

Ru(

I

E

S

D(c

Interfaz de túnel

E

R(


x

rescomo direcciones, usuarios ales, túneles de VPN y zonas)

n espacio, la ejemplo,

entrecomillada;

or el contrario, en e indistintamente.

últiples bytes (MBCS). Algunos ntre los conjuntos MBCS,

encuentran el chino, el coreano

ión de las comillas dobles ( “ ), res que contengan espacios.

mite tanto SBCS como MBCS,


Convenciones de nomenclatura y conjuntos de caracteScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (administradores, servidores de autenticación, puertas de enlace IKE, sistemas virtudefinidas en las configuraciones de ScreenOS.

• Si la secuencia de caracteres que conforma un nombre contiene al menos ucadena completa deberá entrecomillarse mediante comillas dobles ( “ ); porset address trust “ local LAN” 10.1.1.0/24 .

• NetScreen eliminará cualquier espacio al comienzo o al final de una cadenapor ejemplo, “ local LAN ” se transformará en “local LAN”.

• NetScreen tratará varios espacios consecutivos como uno solo.

• En las cadenas de nombres se distingue entre mayúsculas y minúsculas; pmuchas palabras clave de la interfaz de línea de comandos pueden utilizarsPor ejemplo, “local LAN” es distinto de “local lan”.

ScreenOS admite los siguientes conjuntos de caracteres:

• Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Etambién conocidos como conjuntos de caracteres de doble byte (DBCS), se y el japonés.

• Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcque tienen un significado especial como delimitadores de cadenas de nomb

Nota: Una conexión de consola sólo admite conjuntos SBCS. La WebUI adsegún el conjunto de caracteres que admita el explorador web.

Prefacio Documentación de NetScreen de Juniper Networks

xi

r Networks, visite

ase Manager” en la página web os EE.UU.) o al

n nosotros a través de la


DOCUMENTACIÓN DE NETSCREEN DE JUNIPER NETWORKS

Para obtener documentación técnica sobre cualquier producto NetScreen de Junipewww.juniper.net/techpubs/.

Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo “Chttp://www.juniper.net/support/ o llame al teléfono 1-888-314-JTAC (si llama desde l+1-408-745-9500 (si llama desde fuera de los EE.UU.).

Si encuentra algún error o omisión en esta documentación, póngase en contacto cosiguiente dirección de correo electrónico:

[email protected]

http://www.juniper.net/techpubs/

http://www.juniper.net/support/

mailto:[email protected]

Prefacio Documentación de NetScreen de Juniper Networks

xii

1

1

Capítulo 1

ernet (IPsec) y se explica cómo ivate Network”). En primer lugar los siguientes elementos de


IPSec

En este capítulo se presentan los diversos elementos de seguridad de protocolo Intestán relacionados con el encapsulamiento de red privada virtual (VPN, o “Virtual Prse incluye una “Introducción a las VPNs” en la página 2, y a continuación se tratan IPSec:

• “Conceptos de IPSec” en la página 3

– “Modos” en la página 4

– “Protocolos” en la página 7

– “Administración de claves” en la página 9

– “Asociación de seguridad” en la página 10

• “Negociación de túnel” en la página 11

– “Fase 1” en la página 11

– “Fase 2” en la página 13

• “Paquetes IKE e IPSec” en la página 16

– “Paquetes IKE” en la página 16

– “Paquetes IPSec” en la página 20

Capítulo 1 IPSec Introducción a las VPNs

2

quipos remotos de una red de

rio de acceso telefónico remoto ursos compartidos, como Para garantizar la seguridad de e seguridad IP (IPSec)1.cionales (una a cada extremo de destino y el protocolo de

ado.

guridad:

or autenticación de origen de

Si sólo necesita autenticar el plicar ningún tipo de ar el paquete sin aplicar ningún ayoría de los diseñadores de ntra reprocesamiento de

s de mecanismos de

a la conexión IPSec.

” en la página 10. Para obtener la página 7.


INTRODUCCIÓN A LAS VPNSUna red privada virtual (VPN) representa un medio de comunicación segura entre eárea extensa (WAN) pública, como Internet.Una conexión VPN puede enlazar dos redes de área local (LAN) entre sí, o un usuay una LAN. El tráfico que circula entre estos dos puntos atraviesa determinados recenrutadores, conmutadores y otros equipos de red que conforman la WAN pública. las comunicaciones VPN a través de la WAN, los dos participantes crean un túnel dUn túnel IPSec está formado por un par de asociaciones de seguridad (SA) unidirecdel túnel) que especifican el índice de parámetros de seguridad (SPI), la dirección IPseguridad (encabezado de autenticación o carga de seguridad encapsulada) emple

A través de la SA, un túnel IPSec puede proporcionar las siguientes funciones de se• Privacidad (por encriptación)• Integridad de contenido (por autenticación de datos)• Autenticación de remitente y (si se usan certificados) función Sin rechazo (p

datos)Las funciones de seguridad empleadas dependen de las necesidades particulares. origen del paquete IP y la integridad de contenido, puede autenticar el paquete sin aencriptación. Por otro lado, si sólo le preocupa preservar la privacidad, puede encriptmecanismo de autenticación. También puede encriptar y autenticar el paquete. La mseguridad de red se decantan por la encriptación, la autenticación y la protección copaquetes para el tráfico VPN.NetScreen admite la tecnología IPSec para la creación de túneles VPN con dos tipoelaboración de claves:

• Clave manual• AutoKey IKE con un certificado o una clave previamente compartida

1. El término “túnel” no denota ni transporte ni modo de túnel (consulte “Modos” en la página 4). Se refiere simplemente

Nota: Para obtener más información sobre SPIs, consulte “Asociación de seguridadmás información sobre los protocolos de seguridad IPSec, consulte “Protocolos” en

Capítulo 1 IPSec Conceptos de IPSec

3

arantizar la seguridad de las esto por dos modos y dos

ocolo de carga de seguridad

iones de seguridad (SA) y dominio de interpretación


CONCEPTOS DE IPSECLa seguridad IP (IPSec) es un conjunto de protocolos relacionados utilizados para gcomunicaciones en la capa de paquete IP mediante encriptación. IPSec está compuprotocolos principales:

• Modos de túnel y de transporte

• Protocolo de encabezado de autenticación (AH) para la autenticación y protencapsulada (ESP) para la encriptación (y la autenticación)

IPSec también ofrece métodos para la negociación manual y automática de asociacdistribución de claves; todos los atributos necesarios para ello están reunidos en un(DOI). Consulte las normas RFC 2407 y 2408.

Arquitectura IPSec

Protocolo ESPProtocolo AH

Algoritmo de autenticación(MD5, SHA-1)

Algoritmo de encriptación(DES, 3DES)

Dominio de interpretación (DOI)

Administración de claves y SA(manual y automática)

Modo de túnelModo de transporte

Nota: NetScreen no admite el modo de transporte con AH.


4

túnel son hosts, se puede e los puntos finales de un túnel e utilizar el modo de túnel. Los

eles IPSec y en modo de

se puede autenticar (con AH), n formato tal como se envía por

niciones para todos los PN (fundamentalmente, todos


ModosIPSec tiene dos modos operativos: transporte y túnel. Cuando ambos extremos del utilizar tanto el modo de transporte como el modo de túnel. Cuando al menos uno des una puerta de enlace de seguridad (como un enrutador o un cortafuegos), hay qudispositivos NetScreen funcionan siempre en modo de túnel cuando se trata de túntransporte cuando se trata de túneles L2TP sobre IPSec.

Modo de transporteEl paquete IP original no está encapsulado en otro paquete IP. El paquete completola carga se puede encriptar (con ESP), y el encabezado original continúa en texto sila WAN.

Nota: El dominio de interpretación (DOI) IPSec es un documento que contiene defiparámetros de seguridad requeridos para la negociación satisfactoria de un túnel Vlos atributos necesarios para las negociaciones IKE y SA).

Carga de datos

Carga de datos

EncabezadoAH

EncabezadoESP

Encabezadooriginal

Encabezadooriginal

Autenticado

Autenticado Encriptado

Modo de transporte, AH

Modo de transporte, ESP

Paquetes IP


5

ga IP y tiene adjunto un nuevo osas. Con AH, se autentican el

bezado nuevo son las N1 (en modo transparente); las e los puntos finales definitivos

s

nticado

al estáo.

nticado


Modo de túnelEl paquete IP original completo (carga y encabezado) está encapsulado en otra carencabezado. El paquete original completo se puede encriptar, autenticar o ambas cAH y los nuevos encabezados. Con ESP, se autentica el encabezado ESP.

En una VPN punto a punto, las direcciones de origen y destino utilizadas en el encadirecciones IP de la interfaz de salida (en modo de ruta o NAT) o la dirección IP VLAdirecciones de origen y destino de los paquetes encapsulados son las direcciones dde la conexión.

Carga de dato

Carga de datos

EncabezadoAH

EncabezadoESP

Encabezadooriginal

Encabezadonuevo

Encabezadonuevo

Encabezadooriginal

Aute Encriptado

Modo de túnel, AH

Modo de túnel, ESP

Paquetes IPEl paquete origin

encapsulad

Aute


6

extremo del túnel nte hasta el propio cliente. En encabezado nuevo como el uipo del cliente2.

ección IP interna virtual es la dirección a dinámicamente al cliente de acceso

de túnel

B

datos

-B de túnel

datos


En una VPN de acceso telefónico no existe ninguna puerta de enlace de túnel en elcorrespondiente al cliente de acceso telefónico VPN; el túnel se prolonga directameeste caso, en los paquetes enviados desde el cliente de acceso telefónico, tanto el encabezado encapsulado original tendrán la misma dirección IP: la dirección del eq

2. Algunos clientes VPN, como NetScreen-Remote, permiten definir una dirección IP interna virtual. En estos casos, la dirIP de origen en el encabezado del paquete original del tráfico originado por el cliente, y la dirección IP que el ISP asigntelefónico es la dirección IP de origen en el encabezado externo.

Internet

LAN LANTúnel

Puerta de enlace de túnel de

NetScreen-A

Puerta de enlace de

NetScreen-

A A A BBB 1 2Carga de datos Carga de datos Carga deA B

1 2

El paquete original estáencapsulado.

VPN punto a punto en modo de túnel

Internet

LANTúnel

NetScreenpuerta de enlace

A A A BBB 1 2Carga de datos Carga de datos Carga de

A = 1B

2

El paquete original estáencapsulado.

Cliente VPN de acceso telefónico

VPN de acceso telefónico en modo de túnel


7

la capa IP:

utenticar el origen de un

ara encriptar el paquete IP

autenticidad/integridad del mprobación calculada a través clave secreta y funciones MD5

produce un hash de 128 bits nsaje de longitud arbitraria y dactilar de la entrada, para

ritmo que produce un hash de s. Normalmente, se considera el procesamiento

son insignificantes.

as siguientes normas RFC: la norma RFC 2104.


ProtocolosIPSec utiliza dos protocolos para garantizar la seguridad de las comunicaciones en

• Encabezado de autenticación (AH): protocolo de seguridad que sirve para apaquete IP y verificar la integridad de su contenido.

• Carga de seguridad encapsulada (ESP): protocolo de seguridad que sirve pcompleto (y autenticar su contenido).

AHEl protocolo de encabezado de autenticación (AH) ofrece un medio para verificar la contenido y el origen de un paquete. Puede autenticar el paquete por la suma de code un código de autenticación de mensajes basado en hash (HMAC) mediante una o SHA-1 hash.

Síntesis de mensaje versión 5 (MD5, o Message Digest) : algoritmo que (también denominado firma digital o síntesis del mensaje) a partir de un meuna clave de 16 bytes. El hash resultante se utiliza, como si fuese la huella verificar la autenticidad y la integridad del contenido y el origen.

Algortimo de hash seguro-1 (SHA-1, o Secure Hash Algorithm-1) : algo160 bits a partir de un mensaje de longitud arbitraria y una clave de 20 bytemás seguro que MD5 debido al mayor tamaño del hash que produce. Comocomputacional se realiza en ASIC de NetScreen, los costes de rendimiento

Nota: Para obtener más información sobre los algoritmos MD5 y SHA-1, consulte l(MD5) 1321, 2403; (SHA-1) 2404. Para obtener información sobre HMAC, consulte


8

garantizar la privacidad n). El protocolo ESP en modo o encabezado IP al paquete aria para enrutar los datos

encriptación se puede

con una clave de 56 bits.

ginal DES se aplica en tres to significativo, pero no se clasificado.

ndo sea adoptada por las abilidad con otros dispositivos bits.

sin embargo, no es posible


ESPEl protocolo de carga de seguridad encapsulada (ESP) proporciona un medio para (encriptación), la autenticación de origen y la integridad de contenidos (autenticacióde túnel encapsula el paquete IP completo (encabezado y carga) y adjunta un nuevahora encriptado. Este nuevo encabezado IP contiene la dirección de destino necesprotegidos a través de la red.

Con ESP, es posible encriptar y autenticar, sólo encriptar o sólo autenticar. Para la seleccionar cualquiera de los siguientes algoritmos de encriptación:

Norma de encriptación de datos (DES) : algoritmo de bloque criptográfico

Triple DES (3DES) : versión más potente de DES en la que el algoritmo orirondas mediante una clave de 168 bits. DES ofrece un ahorro de rendimienconsidera aceptable para numerosas transferencias de material delicado o

Norma de encriptación avanzada (AES): norma de encriptación que, cuainfraestructuras de Internet de todo el mundo, ofrecerá una mayor interoperde seguridad de red. NetScreen admite AES con claves de 128, 192 y 256

Para la autenticación, puede utilizar algoritmos MD5 o SHA-1.

Para el algoritmo de autenticación o encriptación puede seleccionar NULL ;seleccionar NULL para ambos de forma simultánea.


9

torio de las redes VPN. IPSec

guran todos los parámetros de tribución, el mantenimiento y el nfiguraciones de clave manual

e que las claves se transmitan n quedado comprometidas los mismos problemas que a la

en el que no haya que ión automatizada de claves y et (IKE). NetScreen denomina on claves previamente

s participantes en una sesión mpartida3 por adelantado. En presentan las claves

les, una AutoKey, una vez terminados mediante el ad de forma considerable. nsabilidades de administración ráfico; por lo tanto, si se realiza

n y que ambos participantes deben


Administración de clavesLa distribución y la administración de claves son fundamentales para el uso satisfacadmite los métodos de distribución de claves manual y automático.

Clave manualCon las claves manuales, los administradores de ambos extremos de un túnel confiseguridad. Ésta es una técnica viable para redes pequeñas y estáticas, donde la disseguimiento de las claves no resulta difícil. Sin embargo, la distribución segura de coa través de largas distancias genera problemas de seguridad. Excepto en el caso d“cara a cara”, no es posible estar completamente seguro de que las claves no hayadurante la transferencia. Además, a la hora de modificar la clave nos enfrentamos a hora de distribuirla inicialmente.

AutoKey IKECuando es necesario crear y administrar numerosos túneles, se requiere un métodoconfigurar cada elemento de forma manual. IPSec admite la generación y negociacasociaciones de seguridad mediante el protocolo de intercambio de claves de Internestas negociaciones de túnel automatizadas “AutoKey IKE” y admite AutoKey IKE ccompartidas y AutoKey IKE con certificados.

AutoKey IKE con claves previamente compartidas

Si AutoKey IKE utiliza claves previamente compartidas para autenticar a suIKE, cada parte debe configurar e intercambiar de forma segura la clave coeste sentido, el problema de distribución segura de claves es idéntico al quemanuales. Sin embargo, al contrario de lo que ocurre con las claves manuadistribuida, puede modificar sus claves automáticamente a intervalos predeprotocolo IKE. Con frecuencia, la modificación de claves aumenta la seguridAdemás, la automatización de esta tarea reduce significativamente las respode claves. Sin embargo, la modificación de claves eleva el nivel máximo de ta menudo, puede disminuir la eficacia de la transmisión de datos.

3. Una clave previamente compartida es una clave que se utiliza tanto para la encriptación como para la desencriptacióposeer antes de iniciar la comunicación.


10

na negociación AutoKey IKE, 2, “Criptografía de claves CRLs” en la página 29). Si la

s podrán recuperar la clave ealizar un seguimiento de las

s VPN en lo que respecta a los nicaciones. Una comunicación

unicaciones:

l tráfico entrante, el dispositivo tocolo de seguridad (AH o

ulte el Capítulo 4, “VPNs punto


AutoKey IKE con certificados

Cuando se utilizan certificados para autenticar a los participantes durante ucada parte genera un par de claves públicas/privadas (consulte el Capítulo públicas” en la página 23) y adquiere un certificado (consulte “Certificados yautoridad de certificación (CA) es fiable para ambas partes, los participantepública del interlocutor y verificar la firma del interlocutor. No es necesario rclaves y SAs; IKE lo hace automáticamente.

Asociación de seguridadUna asociación de seguridad (SA) es un acuerdo unidireccional entre los participantemétodos y parámetros empleados para garantizar la seguridad de un canal de comubidireccional completa requiere al menos dos SA, una para cada dirección.

Una SA agrupa los siguientes componentes para garantizar la seguridad de las com

– Claves y algoritmos de seguridad

– Modo de protocolo (transporte o túnel)

– Método de administración de claves (clave manual o AutoKey IKE)

– Periodo de vigencia de SA

Para el tráfico VPN saliente, la directiva invoca la SA asociada al túnel VPN. Para eNetScreen consulta la SA mediante los siguientes tres elementos: IP de destino, proESP) y valor del índice de parámetros de seguridad (SPI).

Nota: Para obtener ejemplos de ambos túneles (clave manual y AutoKey IKE), consa punto” en la página 103.

Capítulo 1 IPSec Negociación de túnel

11

e seguridad (SA) se han nel ya se ha establecido. cuando una ruta utiliza el túnel, a determinado, y los envía a la

:

r las SAs IPSec.

nticar los sucesivos

puestas sobre cómo autenticar s dos modos: modo dinámico o antes intercambian propuestas

. Para obtener más información

13)

Key IKE” en la página 9)

onen de acuerdo para aceptar nzan a procesarlos. Los e 1 y permiten definir el grado de claves.


NEGOCIACIÓN DE TÚNELPara un túnel IPSec de clave manual, como todos los parámetros de la asociación ddefinido previamente, no es necesario negociar qué SAs utilizar. Básicamente, el túCuando el tráfico coincide con una directiva que utilice ese túnel de clave manual o el dispositivo NetScreen simplemente encripta y autentica los datos, tal como se haypuerta de enlace de destino.

Para establecer un túnel IPSec AutoKey IKE se requieren dos fases de negociación

• En la fase 1, los participantes establecen un canal seguro en el que negocia

• En la fase 2, los participantes negocian las SAs IPSec para encriptar y auteintercambios de datos de usuario.

Fase 1La fase 1 de una negociación de túnel AutoKey IKE consiste en el intercambio de proy garantizar la seguridad del canal. El intercambio se puede realizar en uno de estomodo principal (consulte más adelante). En cualquiera de los dos modos, los participde servicios de seguridad aceptables, como por ejemplo:

• Algoritmos de encriptación (DES y 3DES) y de autenticación (MD5 y SHA-1)sobre estos algoritmos, consulte “Protocolos” en la página 7.

• Un grupo Diffie-Hellman (consulte “Intercambio Diffie-Hellman” en la página

• Una clave previamente compartida o certificados RSA/DSA (consulte “Auto

Una negociación de fase 1 correcta concluye cuando ambos extremos del túnel se pal menos un conjunto de los parámetros de seguridad de fase 1 propuestos y comiedispositivos NetScreen admiten hasta cuatro propuestas para negociaciones de fasde restricción del rango aceptable de parámetros de seguridad para la negociación


12

-des-md5

odos se describen a

iones (seis mensajes en total)

ncriptación y autenticación.

an; el iniciador y el destinatario

el algoritmo de encriptación ipantes no se transmiten de

ólo dos intercambios y con un

an y envía una propuesta y su

a un nonce, su identidad IKE y,

o y, si se utilizan certificados,


Las propuestas predefinidas de fase 1 que ofrece NetScreen son las siguientes:

• Estándar: pre-g2-aes128-sha y pre-g2-3des-sha

• Compatibles: pre-g2-3des-sha, pre-g2-3des-md5, pre-g2-des-sha y pre-g2

• Básicas: pre-g1-des-sha y pre-g1-des-md5

También es posible definir propuestas de fase 1 personalizadas.

Modo principal y modo dinámicoLa fase 1 se puede desarrollar en modo principal o en modo dinámico. Estos dos mcontinuación.

Modo principal: el iniciador y el destinatario envían tres intercambios en dos direccpara lograr los siguientes servicios:

• Primer intercambio (mensajes 1 y 2): proponer y aceptar los algoritmos de e

• Segundo intercambio (mensajes 3 y 4): ejecutar un intercambio Diffie-Hellmofrecen un número aleatorio (propuesta) cada uno.

• Tercer intercambio (mensajes 5 y 6): enviar y verificar las identidades.

La información transmitida en el tercer intercambio de mensajes está protegida por establecido en los dos primeros intercambios. Es decir, las identidades de los particmodo transparente.

Modo dinámico: el iniciador y el destinatario logran los mismos objetivos, pero en stotal de tres mensajes:

• Primer mensaje: el iniciador propone la SA, inicia el intercambio Diffie-Hellmidentidad IKE.

• Segundo mensaje: el destinatario acepta la SA, autentica al iniciador y envísi se utilizan certificados, el certificado de destinatario.

• Tercer mensaje: el iniciador autentica al destinatario, confirma el intercambienvía el certificado de iniciador.


13

nte (en los dos primeros

ompartido. El punto fuerte de medio no seguro sin tener que dmite los grupos 1, 2 y 5. El modo:

te, cuanto mayor es un módulo, tiene un tamaño distinto, los

úan con la fase 2, en la que través del túnel IPSec.

con una clave previamente PN de acceso telefónico puede ) o una dirección IP como su ID n FQDN, pero no una dirección

ara todas ellas. La misma directriz se


Puesto que las identidades de los participantes se intercambian en modo transparemensajes), el modo dinámico no ofrece protección de identidad.

Intercambio Diffie-HellmanUn intercambio Diffie-Hellman permite a los participantes elaborar un valor secreto cesta técnica es que permite a los participantes crear el valor secreto a través de un transmitir este valor por la línea. Hay cinco grupos Diffie-Hellman (DH); NetScreen atamaño del módulo primario utilizado en el cálculo de cada grupo varía del siguiente

• Grupo DH 1: módulo de 768 bits4

• Grupo DH 2: módulo de 1024 bits

• Grupo DH 5: módulo de 1536 bits

Cuanto mayor es un módulo, más segura se considera la clave generada; no obstanmás tarda el proceso de generación de claves. Como el módulo de cada grupo DH participantes tienen que ponerse de acuerdo para utilizar el mismo grupo5.

Fase 2Una vez que los participantes han establecido un canal seguro y autenticado, continnegocian las SA para garantizar la seguridad de los datos que se van a transmitir a

Nota: Cuando un usuario VPN de acceso telefónico negocia un túnel AutoKey IKEcompartida, se debe utilizar el modo dinámico. Recuerde también que un usuario Vutilizar una dirección de correo electrónico, un nombre de dominio completo (FQDNIKE. Un interlocutor dinámico puede utilizar una dirección de correo electrónico o uIP.

4. La seguridad del grupo DH 1 ha disminuido y Juniper Networks recomienda no utilizarlo.

5. Si configura múltiples propuestas (hasta cuatro) para negociaciones de fase 1, utilice el mismo grupo Diffie-Hellman paplica a la creación de múltiples propuestas para negociaciones de fase 2.


14

rminar los parámetros de un protocolo de seguridad ritmos de encriptación y e-Hellman si se desea una

odo rápido e implica el

fase 2 y permiten definir el n ofrece una función de negociación porque los mprobar los números de de paquetes, consulte más

a y nopfs-esp-des-md5

es una tupla de tres partes mbos interlocutores debe es debe ser idéntico, y la ota indicada para el otro

rcambio Diffie-Hellman”. Para n la página 15.


Al igual que ocurre en la fase 1, los participantes intercambian propuestas para deteseguridad que se van a emplear en la SA. Una propuesta de fase 2 incluye también(encabezado de autenticación, AH, o carga de seguridad encapsulada, ESP) y algoautenticación seleccionados. La propuesta también puede especificar un grupo Difficonfidencialidad directa perfecta (PFS).

Independientemente del modo utilizado en la fase 1, la fase 2 funciona siempre en mintercambio de tres mensajes5.

Los dispositivos NetScreen admiten hasta cuatro propuestas para negociaciones degrado de restricción del rango aceptable de parámetros de túnel. NetScreen tambiéprotección contra reprocesamiento de paquetes. El uso de esta función no requierepaquetes se envían siempre con números de secuencia. Sólo existe la opción de cosecuencia o no. (Para más información sobre la protección contra reprocesamiento adelante).

Las propuestas predefinidas de fase 2 que ofrece NetScreen son las siguientes:

• Estándar: g2-esp-3des-sha y g2-esp-aes128-sha

• Compatibles: nopfs-esp-3des-sha, nopfs-esp-3des-md5, nopfs-esp-des-sh

• Básicas: nopfs-esp-des-sha y nopfs-esp-des-md5

También es posible definir propuestas de fase 2 personalizadas.

En la fase 2, los interlocutores también intercambian IDs de proxy. Una ID de proxycompuesta por dirección IP local/dirección IP remota/servicio. La ID de proxy para acoincidir, es decir, el servicio especificado en la ID de proxy para ambos interlocutordirección IP local indicada para un interlocutor debe ser igual que la dirección IP reminterlocutor.

Nota: Para obtener más información sobre los grupos Diffie-Hellman, consulte “Inteobtener más información sobre PFS, consulte “Confidencialidad directa perfecta” e


15

2 independientes y no crea la clave (SKEYID_d) a nerar claves de fase 2 con un do obtiene acceso a la clave

e-Hellman para cada túnel de iptación de la fase 2 puede

etes y los utiliza posteriormente cceso a la red fiable. La función Screen comprueben cada rango de secuencia


Confidencialidad directa perfectaLa confidencialidad directa perfecta (PFS) es un método para derivar claves de faserelacionadas con las claves anteriores. De forma alternativa, la propuesta de fase 1partir de la que se derivan todas las claves de fase 2. La clave SKEYID_d puede gemínimo de procesamiento de CPU. Lamentablemente, si un interlocutor no autorizaSKEYID_d, todas las claves de encriptación quedarán comprometidas.

PFS afronta este riesgo de seguridad forzando un nuevo intercambio de claves Diffifase 2. Por lo tanto, utilizar PFS es más seguro, aunque el procedimiento de reencrprolongarse ligeramente si la función PFS está habilitada.

Protección contra reprocesamientoSe produce un ataque de reproducción cuando alguien intercepta una serie de paqupara inundar el sistema, provocando un rechazo de servicio (DoS), o para obtener ade protección contra reprocesamiento de paquetes permite que los dispositivos Netpaquete IPSec para verificar si se ha recibido antes. Si llegan paquetes fuera de unespecificado, el dispositivo NetScreen los rechaza.

Capítulo 1 IPSec Paquetes IKE e IPSec

16

asociaciones de seguridad dministradores de cada te las negociaciones IKE de dinámico. La fase 2 ocurre

terminales del túnel usando los ron durante la configuración del (“Transport”) y modo de túnel Security Payload (ESP) y

etapas IKE e IPSec de un túnel anto para IKE como para IPSec.

NetScreen y no existe ninguna IKE (y descarta el paquete6). las puertas de enlace IKE local DP que encapsula un paquete

alcanza el dispositivo NetScreen, las tes subsiguientes de esa sesión) con

o por IKE.


PAQUETES IKE E IPSECUn túnel VPN IPSec consta de dos elementos importantes:

• Configuración del túnel: En primer lugar, los interlocutores establecen las(SAs), que definen los parámetros para asegurar el tráfico entre ellos. Los aextremo pueden definir los SAs manualmente, o bien dinámicamente duranfase 1 y fase 2. La fase 1 se puede desarrollar en modo principal o en modosiempre en modo rápido.

• Seguridad aplicada: IPSec protege el tráfico enviado entre los dos puntos parámetros de seguridad definidos en los SAs que los interlocutores acordatúnel. IPSec se puede aplicar en uno de ambos modos: modo de transporte(“Tunnel”). Ambos modos admiten los dos protocolos IPSec: EncapsulatingAuthentication Header (AH).

Para ayudar a desmitificar el procesamiento de paquetes que se produce durante lasVPN, consulte las secciones siguientes, que muestran los encabezados de paquetes t

Paquetes IKECuando un paquete de texto puro que requiere encapsulamiento llega al dispositivoSA activa de fase 2 para ese túnel, el dispositivo NetScreen inicia las negociacionesLas direcciones de origen y de destino en el encabezado del paquete IP son las de y remota, respectivamente. En la carga de datos del paquete IP hay un segmento UISAKMP (IKE). El formato de los paquetes IKE es igual para la fase 1 y la fase 2.

6. Cuando se descarta el paquete IP inicial, el host de origen lo reenvía. Típicamente, para cuando el segundo paquetenegociaciones IKE se han completado y el dispositivo NetScreen lo protege (como también protege todos los paqueIPSec antes de reenviarlo.

Paquete IKE (Para las fases 1 y 2)

EncabezadoUDP

EncabezadoIP

EncabezadoISAKMP Carga de datos

Nota: ISAKMP es el formato de paquetes utilizad


17

encabezado

(en bytes)

del fragmento

Relleno

ación

para IKE )

Flags


Versión

Suma de comprobación del

Dirección de destino (puerta de enlace del interlocutor remoto)

Opciones IP (si las hay)

Carga de datos IP

Encabezado IP

Dirección de origen (puerta de enlace del interlocutor local)

Identificación

Longitud del encabezado Tipo de servicio Tamaño total del paquete

0 D M Desplazamiento

Tiempo de vida (“Time to Live” o “TTL”) Protocolo ( 17 para UDP )

Carga de datos UDP

Encabezado UDP

Tamaño

Puerto de origen ( 500 para IKE )

Suma de comprob

Puerto de destino ( 500

Longitud del mensaje

Carga de datos ISAKMP

Encabezado ISAKMP (para IKE)

ID del mensaje

Cookie del respondedor (0000 para el primer paquete)

Cookie del iniciador

Carga de datos siguiente Versión mayor

Versión menor Tipo del intercambio


18

carga de datos:

A de fase 1 o de fase 2e 2 es encapsulada en una

para realizar un intercambio

la del respondedorspondedor

n IP y ASN.1_DN.

a determinada función de

aleatoria necesaria para el

punto de las negociaciones

(en bytes)


El campo “Next Payload” contiene un número que indica uno de los siguientes tipos de

• 0002 – Carga de datos de la negociación SA; contiene una definición para la S• 0004 – Carga de datos propuesta; puede ser una propuesta de fase 1 o de fas• 0008 – Carga de datos de transformación; la carga de datos de transformación

carga de datos propuesta que se encapsula en una carga de datos SA• 0010 – Carga de datos Key Exchange (KE); contiene la información necesaria

de claves, como un valor público Diffie-Hellman• 0020 – Carga de datos de identificación (IDx)

– En la fase 1, IDii indica la identificación del iniciador, mientras IDir indica – En la fase 2, IDui indica el iniciador del usuario, mientras IDur indica el re

Las identificaciones son tipos de IDs IKE, como FQDN, U-FQDN, direcció

• 0040 – Carga de datos de certificado (CERT)• 0080 – Carga de datos de petición de certificado (CERT_REQ)• 0100 – Carga de datos de Hash (HASH); contiene el resultado resumido de un

transformación (“hash”)• 0200 – Carga de datos de firma (SIG); contiene una firma digital• 0400 – Carga de datos Nonce (Nx); contiene determinada información pseudo

intercambio• 0800 – Carga de datos de notificación• 1000 – Carga de datos de eliminación ISAKMP• 2000 – Carga de datos de ID del fabricante (VID); puede incluirse en cualquier

de fase 1. NetScreen la utiliza para marcar la compatibilidad con NAT-T.

Cada carga de datos ISAKMP comienza con el mismo encabezado genérico:

Encabezado siguiente

Carga de datos

Encabezado genérico de la carga de datos ISAKMP

Reservado Longitud de la carga de datos


19

o de carga de datos la última carga de datos

Flags

s SA

propuesta

nsformación

Encabezado ISAKMP

Carga de datosSA

Carga de datos de la propuesta

Carga de datos de

transformación


Puede haber múltiples cargas de datos ISAKMP encadenadas, indicándose cada tipsubsiguiente en el valor del campo del encabezado siguiente. Un valor 0000 indica ISAKMP. Consulte el ejemplo que aparece en el diagrama siguiente:

Longitud total del mensaje

ID del mensaje

SPI del respondedor (0000 para el primer paquete)

SPI del iniciador

Carga de datos siguiente(0002 para SA)

Versión mayor

Versión menor

Tipo del intercambio

Encabezado siguiente(0004 para propuesta)

Carga de datos SA

Reservado Longitud de la carga de dato

Carga de datos de la propuesta

Reservado Longitud de la carga de datos de la

Carga de datos de transformación

Reservado Longitud de la carga de datos de tra

Encabezado siguiente(0008 para transformación)

Encabezado siguiente(0000 para fin)

Encabezado ISAKMP con cargas de datos genéricos ISAKMP


20

lace IKE hayan establecido las la protección IPSec a los a de enlace IKE envían a los ctivas permitan el tráfico). Si la de túnel, el paquete se

encabezados adicionales al

ye la carga de datos, el

cción IP de la puerta de enlace l como dirección IP de origen. s IP externo e interno. El

correctamente el paquete al

túnel, consulte “Modo de túnel” en la

tos


Paquetes IPSecUna vez completadas las negociaciones IKE y después de que las dos puertas de enasociaciones de seguridad de fase 1 y fase 2 (SAs), el dispositivo NetScreen aplicapaquetes IP de texto puro subsiguientes que los hosts situados detrás de una puerthosts que se encuentran detrás de la otra puerta de enlace (asumiendo que las direSA de fase 2 especifica el protocolo Encapsulating Security Protocol (ESP) en modoparecerá al que aparece debajo7. Observe que el dispositivo NetScreen agrega dospaquete original enviado por el host.

Como muestra la ilustración anterior, el paquete que el host iniciador construye incluencabezado TCP y el encabezado IP interno (IP1).

El encabezado IP externo (IP2) que agrega el dispositivo NetScreen contiene la direremota como dirección IP de destino y la dirección IP del dispositivo NetScreen locaEl dispositivo NetScreen también agrega un encabezado ESP entre los encabezadoencabezado ESP contiene información que permite al interlocutor remoto procesar recibirlo.

7. Para obtener más información sobre ESP, consulte “ESP” en la página 8. Para obtener información sobre el modo depágina 5.

Paquete IPSec – Encapsulating Security Payload (ESP) en el modo de túnel

EncabezadoIP2

EncabezadoESP

EncabezadoIP1

EncabezadoTCP Carga de da

Paquete originalEnviado por el host iniciador

Paquete IPSecEnviado por la puerta

de enlace IKE

La puerta de enlace local agrega estos encabezados al paquete.


21

e carga de datos. En el modo orte, este valor indica un

encabezado

n bytes)

el fragmento

Relleno

utor remoto *

cabezado siguiente (4 para IP) * ‡

tos Auten- ticado


El campo de siguiente encabezado indica el tipo de datos contenidos en el campo dde túnel, este valor es 4, indicando IP-en-IP. Si se aplica ESP en el modo de transpprotocolo de capa de transporte, como 6 para TCP o 17 para UDP.

Versión

Suma de comprobación del

Dirección de destino (puerta de enlace del interlocutor remoto)


Carga de datos

Encabezado IP externo (IP2)

Dirección de origen (puerta de enlace del interlocutor local)

Identificación

Tamaño del encabezado Tipo de servicio Tamaño total del paquete (e

0 D M Desplazamiento d

Tiempo de vida (“Time to Live” o “TTL”) Protocolo ( 50 para ESP )

Longitud de relleno * ‡

Carga de datos * ‡ (variable)

Encabezado ESP

Índice de parámetros de seguridad (“Security Parameters Index” o “SPI”) del interloc

EnRelleno * ‡ (0-255 bytes)

Número correlativo*

Vector de inicialización * (IV) – Primeros 8 octetos del campo de da

Datos de autenticación (variables)

* = secciones autenticadas del paquete‡ = secciones encriptadas del paquete

Encriptado


22

del encabezado

n bytes)

el fragmento

Relleno

ino

Relleno


Versión

Suma de comprobación

Dirección de destino (host receptor)


Carga de datos

Encabezado IP interno (IP1)

Dirección de origen (host iniciador)

Identificación

Tamaño del encabezado Tipo de servicio Tamaño total del paquete (e

0 D M Desplazamiento d

Tiempo de vida (“Time to Live” o “TTL”) Protocolo ( 6 para TCP )

Puerto de origen Puerto de dest

Número correlativo

Número de reconocimiento

U R G

A C K

P S H

R S T

Indicador “Urgente”

Tamaño de laventana

Tamaño del encabezado Reservado

Opciones (si las hay)

Datos

S Y N

F I N

Encabezado TCP

Suma de comprobación

2

23

uso de certificados y listas de s infraestructuras de claves

las siguientes secciones:


Capítulo 2

Criptografía de claves públicas

En este capítulo se ofrece una introducción a la criptografía de claves públicas y al revocación de certificados (CRLs, o “Certificate Revocation Lists”) en el marco de lapúblicas (PKI, o “Public Key Infraestructure”). El contenido del capítulo se divide en

• “Introducción a la criptografía de claves públicas” en la página 24

• “PKI” en la página 26

• “Certificados y CRLs” en la página 29

– “Obtención manual de un certificado” en la página 30

– “Obtención automática de un certificado local” en la página 38

– “Renovación automática de certificado” en la página 43

• “Comprobación de estado mediante OCSP” en la página 44

– “Configuración de OCSP” en la página 45

• “Certificados autofirmados (“Self-Signed Certificates”)” en la página 47

– “Asegurar el tráfico administrativo con SSL” en la página 48

Capítulo 2 Criptografía de claves públicas Introducción a la criptografía de claves públicas

24

y otra privada para encriptar y pone a disposición de otros el propietario mantendrá

ptado, utilizará la clave pública an podrá desencriptarlo con su

una clave privada y que se omo firma digital. Si, por on su clave privada y lo envía lizando la clave pública de

l en el uso de certificados certificación) y, a continuación, ación:

peración matemática en la que .

u clave privada. El resultado es

n aplicando el mismo algoritmo

ital.

e acaba de generar. Si ambas y, por extensión, la integridad


INTRODUCCIÓN A LA CRIPTOGRAFÍA DE CLAVES PÚBLICASEn la criptografía de claves públicas se utiliza el par formado por una clave pública desencriptar datos. Los datos encriptados con una clave pública, que su propietariousuarios, sólo pueden ser desencriptados con la clave privada correspondiente, queprotegida y en secreto. Por ejemplo, si Alicia quiere enviar a Juan un mensaje encride él para encriptarlo y, a continuación, se lo enviará. Cuando reciba el mensaje, Juclave privada.

El método inverso también resulta de gran utilidad; esto es, encriptar los datos con puedan desencriptar con la clave pública correspondiente. Este método se conoce cejemplo, Alicia desea que se sepa que ella es la autora de un mensaje, lo encripta cde forma pública a Juan. A continuación, Juan sólo puede desencriptar los datos utiAlicia, lo que significa que lo ha enviado ella.

Los conjuntos de claves privada y pública también desempeñan un importante papedigitales. El procedimiento para firmar un certificado (por parte de una autoridad de verificar la firma (por parte del receptor), se desarrolla tal y como se indica a continu

Firma de un certificado

1. La autoridad de certificación (CA) que emite el certificado lo somete a una ose utiliza un algoritmo “hash” (MD5 o SHA-1) para generar una codificación

2. A continuación, la CA “firma” el certificado encriptando la codificación con suna firma digital.

3. La CA envía el certificado firmado digitalmente a la persona que lo solicitó.

Verificación de una firma digital

1. Cuando el destinatario recibe el certificado, también genera otra codificacióhash (MD5 o SHA-1) en el archivo de certificado.

2. El destinatario utiliza la clave pública de la CA para desencriptar la firma dig

3. El destinatario compara la codificación desencriptada con la codificación qucoinciden, el destinatario puede confirmar la integridad de la firma de la CAdel certificado que lo acompaña.

Capítulo 2 Criptografía de claves públicas Introducción a la criptografía de claves públicas

25

una sesión IKE funciona de

sor la genera a partir de los

s utilizan el par de claves

ritmo hash 5 o SHA-1)

oritmo hash 5 o SHA-1)

Cert.

Cert.

ve privada de la CA

lave pública de la CA

Codificación B

Codificación B

1

1


El procedimiento de firma digital de los mensajes enviados por dos participantes enforma muy parecida, con las siguientes diferencias:

• En lugar de generar una codificación a partir del certificado de la CA, el emidatos del paquete IP.

• En vez de utilizar el par de claves pública/privada de la CA, los participantepública/privada del emisor.

Codificación A

Codificación A

Algo(MD

Alg(MD

Cla

C

1. La CA genera la codificación A a partir del certificado utilizando el algoritmo hash MD5 o SHA-1.

2. Con su clave privada, la CA encripta la codificación A. El resultado es la codificación B, la firma digital.

3. La CA envía el certificado firmado digitalmente a la persona que lo solicitó.

2

3

2

Comparación

1. Genera la codificación A a partir del certificado utilizando MD5 o SHA-1.

2. Utilizando la clave pública de la CA, desencripta la codificación B.

3. Compara la codificación A con la B. Si coinciden, el receptor sabrá que el certificado no está manipulado.

Emisor (CA)

Receptor

Capítulo 2 Criptografía de claves públicas PKI

26

árquica de confianza necesaria a fiabilidad de un certificado, es o localmente hasta la autoridad


PKIEl término infraestructura de claves públicas (PKI) hace referencia a la estructura jerpara la correcta implementación de la criptografía de claves públicas. Para verificar lnecesario poder identificar una ruta de CA fiables desde la CA que emite el certificadraíz de un dominio de CA.

La CA de nivel raíz valida las CA subordinadas.

Las CAs subordinadas validan

certificados locales y a otras CAs.

Los certificados locales contienen la clave pública del

usuario.

Jerarquía de confianza de una PKI: dominio de CA


27

nización puede tener su propio re sus empleados. Si después n otro dominio de CA (por

as dos CA pueden desarrollar ente en la autoridad de cada

n horizontal.

e forma transparente. Para

rtificado.

archivo de texto que se ado (archivo PKCS #10).

de de


Si los certificados se utilizan exclusivamente dentro de una organización, dicha orgadominio de CA dentro del cual una CA de la empresa emite y valida certificados entesa organización desea que sus empleados puedan intercambiar sus certificados coejemplo, con empleados de otra organización que tiene su propio dominio de CA), luna certificación cruzada; es decir, pueden llegar a un acuerdo para confiar mutuamuna de ellas. En este caso, la estructura de la PKI no se extiende en vertical, sino e

Por motivos prácticos y de comodidad, la PKI debe administrarse e implementarse dconseguirlo, NetScreen ScreenOS hace lo siguiente:

1. Genera un par de claves pública/privada cuando se crea una petición de ce

2. Proporciona esa clave pública como parte de la petición de certificado en untransmite a una autoridad de certificación (CA) para la inscripción del certific

Dominio CA: A Dominio CA: B

Certificación cruzada

Los usuarios del dominio A pueden utilizar sus certificados y paresclaves con los usuarios del dominio B porque ambas CA disponen

certificación cruzada entre sí.


28

ón de certificados (CRL)1 en la

tomáticamente. Para obtener 29.

iveles de autoridades CA en la

l dispositivo NetScreen puede . La compatibilidad con PKCS KI. Ahora es posible configurar

tScreen, no podrá verla una vez


3. Permite cargar el certificado local, el certificado de CA y la lista de revocaciunidad.

También puede especificar un intervalo de tiempo para actualizar la CRL aumás información sobre las CRL, consulte “Certificados y CRLs” en la página

4. Permite enviar certificados cuando se establece un túnel IPSec.

5. Admite la validación ascendente de rutas de certificados a través de ocho njerarquía PKI.

6. Es compatible con la norma de criptografía PKCS #7, lo que significa que eaceptar certificados X.509 y CRL empaquetadas según la norma PKCS #72

#7 permite enviar múltiples certificados X.509 dentro de una única petición PPKI para validar a la vez todos los certificados enviados por la CA emisora.

7. Admite recuperación de CRL en línea a través de LDAP o HTTP.

1. La autoridad de certificación normalmente proporciona una CRL. Aunque puede cargar una CRL en el dispositivo Necargada.

2. NetScreen admite un tamaño de archivo PKCS #7 de hasta 7 kB.

Capítulo 2 Criptografía de claves públicas Certificados y CRLs

29

utilizando la palabra de una rvidor de CA que esté utilizando aso usted será su propia CA. Si

cciones de los servidores de CA que dichos servidores necesitan lo por sí mismo.

exión VPN segura, siga estos

er un certificado personal etScreen.

nte para verificar la identidad itivo NetScreen. Esto lo puede

rtificate Enrollment Protocol).

ados (CDP) y no recibe almente y cargarla en el

sario revocar un certificado. Es tario ha dejado la empresa. Las ue esta solución es limitada) o tomática en intervalos diarios,

n desde el servidor de archivos ection (DI). Para obtener más irus” en la página 4 -86. Para DI, consulte “Servidor de la


CERTIFICADOS Y CRLSUn certificado digital es un método electrónico para verificar la identidad de un usuariotercera parte en la que se confía, conocida como autoridad de certificación (CA). El sepuede ser propiedad de una CA independiente3 o de su propia organización, en cuyo cutiliza una CA independiente, debe ponerse en contacto con ella para obtener las direy CRL (y conseguir certificados y listas de revocación de certificados) o la información cuando envían peticiones de certificados personales. Si es su propia CA, podrá hacer

Para utilizar un certificado digital y así autenticar su identidad al establecer una conpasos:

• Genere una clave en el dispositivo NetScreen, envíela a una CA para obten(también llamado certificado local) y cargue el certificado en el dispositivo N

• Consiga un certificado de la CA que emitió el certificado personal (básicamede la CA que lo verifica a usted) y cargue el certificado de la CA en el disposhacer manual o automáticamente, utilizando el protocolo SCEP (Simple Ce

• Si el certificado no contiene la extensión de punto de distribución de certificautomáticamente la CRL a través de LDAP o HTTP, puede obtenerla manudispositivo NetScreen.

Durante el proceso de negociación, puede haber muchos casos en los que sea neceposible que quiera revocar un certificado si sospecha que es peligroso o si su propierevocaciones y validaciones de certificados se pueden administrar localmente (aunqcon referencia a la CRL de una CA, a la que se puede acceder en línea de forma ausemanales o mensuales, o según el intervalo predefinido por la CA.

3. NetScreen admite las siguientes CAs: Baltimore, Entrust, Microsoft, Netscape, RSA Keon y Verisign.

Nota: ScreenOS dispone de un certificado de CA para las descargas de autenticacióde firmas de virus y el servidor de la base de datos de objetos de ataque Deep Inspinformación sobre el servidor de archivos de firmas de virus, consulte “Análisis antivobtener más información sobre el servidor de la base de datos de objetos de ataquebase de datos de objetos de ataque” en la página 4 -141.


30

e seguir estos pasos:

junto con el certificado de CA

ad en cada conexión de túnel

l otro interlocutor

de CA4, una CRL para

.cer y los archivos de CRL, la scrito en la siguiente sección.

mente, el certificado de CA puede i es incapaz de obtener la CRL por CRL en el dispositivo NetScreen, tal

ener los certificados, debe e correo electrónico al dario, y especificar los ajustes


Obtención manual de un certificadoPara conseguir un certificado firmado digitalmente siguiendo el método manual, deb

1. Generar un par de claves pública/privada

2. Rellenar la petición de certificado

3. Enviar la petición a la CA que desee

4. Una vez recibido el certificado firmado, cargarlo en el dispositivo NetScreen

Ahora dispondrá de los siguientes elementos con los siguientes objetivos:

• Un certificado local para el dispositivo NetScreen, para autenticar su identid

• Un certificado de CA (clave pública de la CA), para verificar el certificado de

• Si la lista de revocación de certificados (CRL) está incluida en el certificadoidentificar certificados no válidos

Cuando reciba estos archivos (los archivos de certificado suelen tener la extensión extensión .crl), cárguelos en el dispositivo NetScreen siguiendo el procedimiento de

4. La CRL puede acompañar al certificado de CA y se puede almacenar en la base de datos de NetScreen. Alternativacontener la URL de la CRL (ya sea LDAP o HTTP) si ésta se encuentra almacenada en la base de datos de la CA. Scualquiera de los métodos, puede introducir manualmente los ajustes predeterminados del servidor para la URL de lay como se explica en “Ejemplo: Configuración de ajustes de CRL” en la página 36.

Nota: Si piensa utilizar el correo electrónico para enviar el archivo PKCS #10 y obtconfigurar adecuadamente los ajustes de NetScreen para poder enviar mensajes dadministrador del sistema. Deberá establecer los servidores DNS principal y secunde dirección del servidor SMTP y del servidor de correo.


31

La clave pública se incorpora ue recibirá de la CA.

cado para Michael Zhang en el tificado se utilizará en un ositivo NetScreen que envíe la [email protected]. A de texto de petición de proceso de inscripción, la CA ridad.

Generate :

reloj del sistema y que ha l dispositivo NetScreen se er. (Para obtener más


Ejemplo: Petición de certificado manualCuando se solicita un certificado, el dispositivo NetScreen genera un par de claves.en la propia petición y, posteriormente, en el certificado local firmado digitalmente q

En el siguiente ejemplo, el administrador de seguridad realiza una petición de certifidepartamento de desarrollo de Juniper Networks en Sunnyvale, California. Este cerdispositivo NetScreen con la dirección IP 10.10.5.44. El administrador ordena al disppetición por correo electrónico al administrador de seguridad, que tiene la dirección continuación, el administrador de seguridad copia la petición y la pega en el campo certificado en el punto de inscripción de certificados de la CA. Una vez finalizado el normalmente devuelve el certificado por correo electrónico al administrador de segu

WebUI

1. Generación del certificadoObjects > Certificates > New: Introduzca los siguientes datos y haga clic en

Name: Michael Zhang

Phone: 408-730-6000

Unit/Department: Development

Organization: Juniper Networks

County/Locality: Sunnyvale

State: CA

Country: US

Nota: Antes de generar una petición de certificado, compruebe que ha ajustado el asignado un nombre de host y un nombre de dominio al dispositivo NetScreen. Si eencuentra en un clúster NSRP, sustituya el nombre de host por un nombre de clústinformación, consulte “Nombre de clúster” en la página 10 -18).


32

ne)

l archivo por correo electrónico, P (“Simple Certificate

OK 7.

ndo copiar el texto completo ando por “-----BEGIN QUEST-----”).

tición de certificado en el sitio

reo electrónico, se lo reenvía a para después cargarlo en el (para cargarlo a través de CLI).

ctrónico en la petición de certificado mico. En su lugar, podrá utilizar un

da, el dispositivo NetScreen envía su ehost.nombredominio del interlocutor

ts Layer” en la página 3 -8), asegúrese


E-mail: [email protected]

IP Address: 10.10.5.44

Write to file: (seleccione)

RSA: (seleccione)

Create new key pair of 10246 length: (seleccio

El dispositivo NetScreen genera un archivo PKCS #10 y solicita que envíe elo guarde en disco o lo inscriba automáticamente a través del protocolo SCEEnrollment Protocol”).

Seleccione la opción E-mail to , escriba [email protected] y haga clic en

2. Petición de certificadoEl administrador de seguridad abre el archivo y copia su contenido, procurapero no los espacios en blanco situados delante o detrás del texto (comenzCERTIFICATE REQUEST-----” y finalizando en “-----END CERTIFICATE RE

A continuación, el administrador de seguridad sigue las direcciones de la peweb de la CA, pegando el archivo PKCS #10 en el campo apropiado.

3. Recuperación del certificadoCuando el administrador de seguridad recibe el certificado de la CA por corusted. Cópielo en un archivo de texto y guárdelo en su estación de trabajo (dispositivo NetScreen a través de la interfaz WebUI) o en un servidor TFTP

5. Ciertas CA no admiten direcciones de correo electrónico en los certificados. Si no incluye una dirección de correo elelocal, no podrá utilizarla como identificación de IKE local al configurar el dispositivo NetScreen como interlocutor dinánombre de dominio completo (si se encuentra en el certificado local) o dejar el campo vacío. De forma predeterminanombrehost.nombredominio. Si no especifica la identificación local para un interlocutor dinámico, introduzca el nombren el dispositivo que se encuentra en el otro extremo del túnel IPSec en el campo de identificación del interlocutor.

6. El valor 1024 indica la longitud en bits del par de claves. Si va a utilizar el certificado para SSL (consulte “Secure Sockede que utiliza una longitud de bits que también sea compatible con su explorador web.

7. Si utiliza la dirección de correo electrónico, se supone que ya ha configurado la dirección IP para el servidor SMTP: set admin mail server-name { ip_addr | dom_name }.


33

et.

ndo copiar el texto completo ando por “-----BEGIN QUEST-----”).

tición de certificado en el sitio

reo electrónico, se lo reenvía a para después cargarlo en el (para cargarlo a través de CLI).


CLI

1. Generación del certificadoset pki x509 dn country-name USset pki x509 dn email [email protected] pki x509 dn ip 10.10.5.44set pki x509 dn local-name “Santa Clara”set pki x509 dn name “Michael Zhang”set pki x509 dn org-name “Juniper Networks”set pki x509 dn org-unit-name Developmentset pki x509 phone 408-730-6000set pki x509 dn state-name CAset pki x509 default send-to [email protected]

exec pki rsa new-key 1024

La petición de certificado se envía por correo electrónico a [email protected]

2. Petición de certificadoEl administrador de seguridad abre el archivo y copia su contenido, procurapero no los espacios en blanco situados delante o detrás del texto (comenzCERTIFICATE REQUEST-----” y finalizando en “-----END CERTIFICATE RE

A continuación, el administrador de seguridad sigue las direcciones de la peweb de la CA, pegando el archivo PKCS #10 en el campo apropiado.

3. Recuperación del certificadoCuando el administrador de seguridad recibe el certificado de la CA por corusted. Cópielo en un archivo de texto y guárdelo en su estación de trabajo (dispositivo NetScreen a través de la interfaz WebUI) o en un servidor TFTP

8. Si utiliza la dirección de correo electrónico, se supone que ya ha configurado la dirección IP para el servidor SMTP: set admin mail server-name { ip_addr | dom_name }.


34

NetScreen:

o C:\certs\ns en la estación de aíz TFTP a un servidor TFTP

auth.cer (certificado de CA) y

án en el campo File Browse.

án en el campo File Browse.

riores, incluyendo los sistemas


Ejemplo: Carga de certificados y CRLsLa CA le devuelve los siguientes tres archivos para que los cargue en el dispositivo

• Un certificado de CA, que contiene la clave pública de la CA

• Un certificado local, que identifica su equipo local (su clave pública)

• Una CRL, que enumera los certificados revocados por la CA

Para el ejemplo con la WebUI, habrá descargado los archivos a un directorio llamadtrabajo del administrador. Para el ejemplo con CLI, habrá descargado el directorio rcon la dirección IP 198.168.1.5.

En este ejemplo se muestra cómo se deben cargar dos archivos distintos, llamadoslocal.cer (su clave pública), y el archivo de CRL, llamado distrust.crl.

WebUI

1. Objects > Certificates: Seleccione Load Cert y haga clic en Browse .

2. Acceda al directorio C:\certs, seleccione auth.cer y haga clic en Open .

La ruta del directorio y el nombre de archivo (C:\certs\ns\auth.cer) aparecer

3. Haga clic en Load .

Se cargará el archivo local.cer.

4. Objects > Certificates: Seleccione Load Cert y haga clic en Browse .

5. Acceda al directorio C:\certs, seleccione local.cer y haga clic en Open .

La ruta del directorio y el nombre de archivo (C:\certs\ns\local.cer) aparecer

Nota: Los dispositivos NetScreen configurados con ScreenOS 2.5 o versiones postevirtuales, permiten cargar certificados locales desde distintas CAs.


35

Se cargará el archivo local.cer.

7. Objects > Certificates: Seleccione Load CRL y haga clic en Browse .

8. Acceda al directorio C:\certs, seleccione distrust.crl y haga clic en Open .


Se cargará el archivo de CRL distrust.crl.

CLI

exec pki x509 tftp 198.168.1.5 cert-name auth.cerexec pki x509 tftp 198.168.1.5 cert-name local.cerexec pki x509 tftp 198.168.1.5 crl-name distrust.crl


36

probar si los certificados no acompaña al certificado de

itivo NetScreen intentará no hay ninguna dirección URL definido para ese certificado de positivo NetScreen utilizará el

RL diariamente mediante una . A continuación configurará los AP ubicado en 10.1.1.200,

duzca los siguientes datos y

LDAP.

ar la comprobación de firmas en peligro la seguridad del

ver una lista de los números l siguiente comando CLI:


Ejemplo: Configuración de ajustes de CRLEn la fase 1 de las negociaciones, los participantes consultan la lista CRL para comrecibidos durante un intercambio IKE siguen siendo válidos. Si una CRL determinadaCA correspondiente y no está cargada en la base de datos de NetScreen, el disposrecuperarla mediante la URL de LDAP o HTTP9 definida en el propio certificado. Si definida en el certificado de CA, el dispositivo NetScreen utiliza la URL del servidor CA. Si no define ninguna URL de CRL para un certificado de CA determinado, el disservidor CRL de la dirección URL de CRL predeterminada.

En este ejemplo, primero configurará el servidor de CA Entrust para comprobar la Cconexión al servidor LDAP ubicado en 2.2.2.121 y la localización del archivo de CRLajustes predeterminados de validación de certificados para su uso en el servidor LDcomprobando también diariamente la CRL.

WebUI

Objects > Certificates (Show: CA) > Server Settings (para NetScreen): Introhaga clic en OK :

X509 Cert_Path Validation Level: Full

CRL Settings:

9. La extensión del punto de distribución de la CRL (.cdp) en un certificado X509 puede ser una URL HTTP o una URL

Nota: Con ScreenOS 2.5 y versiones posteriores, al cargar la CRL puede desactivdigitales. Sin embargo, si desactiva la comprobación del certificado de CRL pondrádispositivo NetScreen.

Nota: El número de índice (IDX) para el certificado de Entrust CA es 1. Para poderIDX de todos los certificados de CA cargados en un dispositivo NetScreen, utilice eget pki x509 list ca-cert .


37

01,CN=PublicKeyServices, 01,DC=com?CertificateRevocatoint

ientes datos y haga clic en OK :

afecert,CN=PublicKeyServices, CERT,DC=com?CertificateRevtionPoint

ust,CN=en2001, =EN2000,DC=com?Certificint”1

N=NetScreen, iguration,DC=SAFECERT, LDistributionPoint”.1.1.200


URL Address: ldap:///CN=Entrust,CN=en20CN=Services,CN=Configuration,DC=EN20ionList?base?objectclass=CRLDistributionP

LDAP Server: 2.2.2.121

Refresh Frequency: Daily

Objects > Certificates > Default Cert Validation Settings: Introduzca los sigu

X509 Certificate Path Validation Level: Full

Certificate Revocation Settings:

Check Method: CRL

URL Address: ldap:///CN=NetScreen,CN=sCN=Services,CN=Configuration,DC=SAFEocationList?base?objectclass=CRLDistribu

LDAP Server: 10.1.1.200

CLI

set pki authority 1 cert-path fullset pki authority 1 cert-status crl url “ldap:///CN=Entr

CN=PublicKeyServices,CN=Services,CN=Configuration,DCateRevocationList?base?objectclass=CRLDistributionPo

set pki authority 1 cert-status crl server-name 2.2.2.12set pki authority 1 cert-status crl refresh dailyset pki authority default cert-path fullset pki authority default cert-status crl url “ldap:///C

CN=safecert,CN=PublicKeyServices,CN=Services,CN=ConfDC=com?CertificateRevocationList?base?objectclass=CR

set pki authority default cert-status crl server-name 10set pki authority default cert-status crl refresh dailysave


38

exión VPN segura, siga estos

e obtener un certificado

cuyo certificado de CA ya ha reen. Esto lo puede hacer e Enrollment Protocol”).

ue copie información de un l método automático.

mbres de dominio)” en la

. Si el dispositivo NetScreen se e clúster. (Para obtener más


Obtención automática de un certificado localPara utilizar un certificado digital y así autenticar su identidad al establecer una conpasos:

• Consiga el certificado de una autoridad de certificación (CA) de la cual desepersonal y cárguelo en el dispositivo NetScreen.

• Obtenga un certificado local (también llamado certificado personal) de la CAcargado y, a continuación, cargue el certificado local en el dispositivo NetScmanual o automáticamente, utilizando el protocolo SCEP (“Simple Certificat

Como durante el método manual para solicitar certificados locales se le va a pedir qcertificado a otro, puede llegar a ser un proceso largo. Para evitarlo, puede utilizar e

Nota: Antes de utilizar el protocolo SCEP, debe llevar a cabo estas tareas:

• Configurar y habilitar DNS (consulte “Compatibilidad con DNS (sistema de nopágina 2 -379).

• Ajustar el reloj del sistema (consulte “Reloj del sistema” en la página 2 -467).

• Asignar un nombre de host y un nombre de dominio al dispositivo NetScreenencuentra en un clúster NSRP, sustituya el nombre de host por un nombre dinformación, consulte “Nombre de clúster” en la página 10 -18).


39

a ello utilizará el protocolo e CA:

n utilizará un nombre de presa

a no se realiza ningún sondeo)

bits, e iniciará la operación riormente mencionados.

Si utiliza CLI, hará referencia a de la CA Verisign es “1”. Para

get pki x509 list ca-cert . ro IDX y utilícelo para hacer

rvidores web para enviar una petición cia de hipertexto (HTTP, o “Hypertext iste, utilice el valor especificado para


Ejemplo: Petición automática de certificadoEn este ejemplo seguirá el método automático para solicitar un certificado local. ParSCEP con la autoridad de certificación Verisign. Establecerá los siguientes ajustes d

• Validación de la ruta de certificado completa

• RA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe10

• CA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe

• Confirmación automática de la integridad de los certificados de CA

• CA ID, que identifica un servidor SCEP, donde el servidor SCEP de Verisigdominio, como juniper.net, o un dominio establecido por Verisign para su em

• Contraseña de desafío

• Sondeo automático de certificado cada 30 minutos (de forma predeterminad

A continuación generará un par de claves RSA, especificando una longitud de 1024SCEP para solicitar un certificado local de la CA Verisign con los ajustes de CA ante

Si utiliza la interfaz WebUI, hará referencia a los certificados de CA por su nombre. los certificados de CA por su número de índice (IDX). En este ejemplo, el número IDXconsultar los números IDX para los certificados de CA, utilice el siguiente comando:Aparecerá un número IDX y un número de ID para cada certificado. Apunte el númereferencia al certificado de CA en los comandos.

10. La interfaz de puerta de enlace común (CGI, o “Common Gateway Interface”) es un método estándar que utilizan los sede usuario a un programa de aplicación y recibir a cambio datos. La interfaz CGI forma parte del protocolo de transferenTransfer Protocol”). Debe especificar una ruta RA CGI aunque la autoridad de registro (RA) no exista. Si la RA no exla CA CGI.


40

zca los siguientes datos y haga

iclient.exe

iclient.exe

avanzados y haga clic en uración básica CA Server

Generate :


WebUI

1. Ajustes del servidor de CAObjects > Certificates > Show CA > Server Settings (para Verisign): Introduclic en OK :

X509 certificate path validation level: Full

SCEP Settings:

RA CGI: http://ipsec.verisigncom/cgi-bin/pk

CA CGI: http://ipsec.verisigncom/cgi-bin/pk

> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configSettings:

Polling Interval: 30

Certificate Authentication: Auto

Certificate Renew: 14

2. Petición de certificado localObjects > Certificates > New: Introduzca los siguientes datos y haga clic en

Name: Michael Zhang

Phone: 408-730-6000

Unit/Department: Development

Organization: Juniper Networks

County/Locality: Sunnyvale

State: CA

Country: US

Email: [email protected]



41

n genere un archivo PKCS #10

e correo electrónico

el protocolo SCEP

server settings y, finalmente,

tificado. Verisign debe autorizar

iliza una longitud de bits que también


Key Pair Information:

RSA: (seleccione)

Create new key pair of 1024 11 length.

Ejecute el comando CLI get pki x509 pkcs para que el dispositivo NetScreey, a continuación, siga uno de estos pasos:

– Envíe el archivo PKCS #10 de petición de certificado a una dirección d

– Guárdelo en disco

– Inscríbalo automáticamente enviando el archivo a una CA que admita

3. Inscripción automáticaSeleccione la opción Automatically enroll to , luego la opción Existing CAVerisign en la lista desplegable.

Póngase en contacto con Verisign para informarles sobre su petición de cerla petición de certificado antes de que usted pueda descargarlo.

11. El valor 1024 indica la longitud en bits del par de claves. Si va a utilizar el certificado para SSL, asegúrese de que utsea compatible con su explorador web.


42

om/cgi-bin

om/cgi-bin

un mensaje presentando un tacto con la CA para confirmar

tificado. Verisign debe autorizar

rvidores web para enviar una petición cia de hipertexto (HTTP, o “Hypertext

specificado para la CA CGI.


CLI

1. Ajustes del servidor de CAset pki authority 1 cert-path fullset pki authority 1 scep ca-cgi “http://ipsec.verisign.c

/pkiclient.exe”12

set pki authority 1 scep ra-cgi “http://ipsec.verisign.c/pkiclient.exe”13

set pki authority 1 scep polling-int 30set pki authority 1 scep renew-start 14

2. Petición de certificado localset pki x509 dn country-name USset pki x509 dn email [email protected] pki x509 dn ip 10.10.5.44set pki x509 dn local-name “Santa Clara”set pki x509 dn name “Michael Zhang”set pki x509 dn org-name “Juniper Networks”set pki x509 dn org-unit-name Developmentset pki x509 phone 408-730-6000set pki x509 dn state-name CAexec pki rsa new 1024

3. Inscripción automáticaexec pki x509 scep 1Si ésta es la primera petición de certificado que envía a esta CA, aparecerávalor de marca de identidad para el certificado de CA. Debe ponerse en conque se trata del certificado de CA correcto.Póngase en contacto con Verisign para informarles sobre su petición de cerla petición de certificado antes de que usted pueda descargarlo.

12. La interfaz de puerta de enlace común (CGI, o “Common Gateway Interface”) es un método estándar que utilizan los sede usuario a un programa de aplicación y recibir a cambio datos. La interfaz CGI forma parte del protocolo de transferenTransfer Protocol”).

13. Debe especificar una ruta RA CGI aunque la autoridad de registro (RA) no exista. Si la RA no existe, utilice el valor e


43

tificados adquiridos a través de ositivo NetScreen antes de que .

itivo NetScreen para que envíe e establecer el momento en o en días y minutos antes de la á que el dispositivo NetScreen

acceder al servidor SCEP y el de renovación. También debe

be modificar el nombre del

P para todos los certificados

ente. El número de claves NetScreen es capaz de tiliza una clave genera otra no a medida que el dispositivo caso de que el dispositivo

izar claves rápidamente, podría a petición. En este caso, la ialmente en un entorno de HA r durante una serie de minutos.

een depende del modelo. Para


Renovación automática de certificadoPuede habilitar el dispositivo NetScreen para que renueve automáticamente los cerSCEP. Esta función evita tener que acordarse de renovar los certificados en el dispvenzan y, gracias al token, mantiene la validez de los certificados en todo momento

De forma predeterminada, esta función está inhabilitada. Puede configurar el disposautomáticamente una petición para renovar un certificado antes de que venza. Puedque desee que el dispositivo NetScreen envíe la petición de renovación del certificadfecha de vencimiento. Si establece momentos distintos para cada certificado, evitartenga que renovar todos los certificados al mismo tiempo.

Para evitar problemas con esta función, el dispositivo NetScreen debe ser capaz decertificado debe estar presente en el propio dispositivo NetScreen durante el procesoasegurarse de que la CA que emite el certificado pueda hacer lo siguiente:

• Admitir la aprobación automática de peticiones de certificado.

• Devolver el mismo nombre de dominio (DN). En otras palabras, la CA no desujeto ni la extensión SubjectAltName en el nuevo certificado.

Puede activar y desactivar la función de renovación automática de certificados SCESCEP o de forma individual.

Generación de pares de clavesLos dispositivos NetScreen guardan en memoria las claves generadas automáticamdepende del modelo de dispositivo. Durante el funcionamiento normal, el dispositivodisponer de claves suficientes para renovar certificados, puesto que cada vez que unueva. El proceso de generación de claves normalmente se ejecuta en segundo platiene tiempo para generar una nueva clave antes de que se necesite utilizar otra. EnNetScreen renueve un gran número de certificados al mismo tiempo y tenga que utilllegar a quedarse sin claves y tener que generarlas inmediatamente con cada nuevgeneración de claves puede afectar al rendimiento del dispositivo NetScreen. Espec(alta disponibilidad), donde el rendimiento del dispositivo NetScreen puede disminui

El número de pares de claves generadas automáticamente en un dispositivo NetScrmás información, consulte la hoja de especificaciones de su producto NetScreen.

Capítulo 2 Criptografía de claves públicas Comprobación de estado mediante OCSP

44

icado, suele ser importante r revocación. La forma habitual ficados (CRLs). El protocolo de forma de comprobar el estado y realiza comprobaciones de

te OCSP (o solicitante). Dicho a OCSP. ScreenOS es ición del cliente incluye la en pueda realizar operaciones OCSP.

ción de estado del certificado . La respuesta del servidor spuesta y el periodo de validez respuesta firmará la respuesta l servidor de respuesta

rporado en la respuesta OCSP do está almacenado

localmente:

d id_num2; id_num2 identifica el la respuesta OCSP.

P o almacenado localmente, el l certificado en cuestión.

n examen exhaustivo en el pasado.


COMPROBACIÓN DE ESTADO MEDIANTE OCSPCuando un dispositivo NetScreen realiza una operación en la que se utiliza un certifverificar su validez. Los certificados pueden quedar invalidados por vencimiento o pode comprobar el estado de los certificados es utilizar las listas de revocación de certiestado de certificado en línea (OCSP, u “Online Certificate Status Protocol”) es otrade los certificados. Este protocolo ofrece información adicional sobre los certificadosestado periódicas.

Cuando un dispositivo NetScreen utiliza el protocolo OCSP, se le considera el cliencliente envía una petición de verificación a un servidor llamado servidor de respuestcompatible con RSA Keon y Verisign como servidores de respuesta OCSP14. La petidentidad del certificado que se debe comprobar. Antes de que el dispositivo NetScreOCSP, debe configurarlo para que reconozca la ubicación del servidor de respuesta

Una vez recibida la petición, el servidor de respuesta OCSP confirma que la informaestá disponible y, a continuación, devuelve el estado actual al dispositivo NetScreenOCSP contiene el estado de revocación del certificado, el nombre del servidor de rede la respuesta. A menos que la respuesta sea un mensaje de error, el servidor de utilizando su clave privada. El dispositivo NetScreen verifica la validez de la firma deutilizando su certificado. Este certificado del servidor de respuesta puede estar incoo almacenado localmente y especificado en la configuración de OCSP. Si el certificalocalmente, utilice el siguiente comando para especificar el certificado almacenado

set pki authority id_num1 cert-status ocsp cert-verify iid_num1 identifica el certificado de CA que emitió el certificado que se va a verificarcertificado almacenado localmente que el dispositivo utiliza para verificar la firma en

Si el certificado del servidor de respuesta no está incorporado en la respuesta OCSdispositivo NetScreen verifica la firma utilizando el certificado de la CA que emitió e

14. Juniper Networks también ha sido evaluado satisfactoriamente con el servidor de respuesta OCSP Valicert durante u


45

La mayoría de estos comandos ión con el certificado de CA.

no) para un certificado de una

RL | OCSP | none }

ilice la siguiente sintaxis en CLI:

rtificado 7:

do de CA cuando se elabora la miento de certificados.


Configuración de OCSPPuede utilizar comandos CLI para configurar un dispositivo NetScreen para OCSP. utilizan un número de identificación para asociar la URL de referencia de la revocacPuede obtener este número ID con el siguiente comando CLI:

get pki x509 list ca-cert

Especificación de CRL u OCSPPara especificar el método de comprobación de revocaciones (CRL, OCSP o ningudeterminada CA, utilice la siguiente sintaxis en CLI:

set pki authority id_num cert-status revocation-check { Cdonde id_num será el número de identificación del certificado.

El siguiente ejemplo especifica la comprobación de revocaciones con OCSP.

set pki authority 3 cert-status revocation-check ocspEl número de ID 3 identifica el certificado de la CA.

Visualización de los atributos de comprobación de estadoPara visualizar los atributos de comprobación de estado de una CA determinada, ut

get pki authority id_num cert-statusdonde id_num será el número de identificación del certificado emitido por la CA.

Para visualizar los atributos de comprobación de estado para la CA que emitió el ce

get pki authority 7 cert-status

Nota: El dispositivo NetScreen asigna de forma dinámica el número ID del certificalista de certificados de CA. Este número puede cambiar si se modifica el almacena


46

ficado en particular, utilice la

8.10.10) para la CA con

10.10:

8.2.1

un determinado certificado,


Especificación de la URL de un servidor de respuesta OCSPPara especificar la cadena de URL de un servidor de respuesta OCSP para un certisiguiente sintaxis en CLI:

set pki authority id_num cert-status ocsp url url_str Para especificar la cadena de URL de un servidor de respuesta OCSP (http:\\192.16certificado 5, utilice la siguiente sintaxis en CLI:

set pki authority 5 cert-status ocsp url http:\\192.168.Para eliminar la URL (http:\\192.168.2.1) de un servidor de CRL para el certificado 5

unset pki authority 5 cert-status ocsp url http:\\192.16

Eliminación de atributos de comprobación de estadoPara eliminar todos los atributos de comprobación de estado de una CA emisora deutilice la siguiente sintaxis:

unset pki authority id_num cert-statusPara eliminar todos los atributos de revocación relativos al certificado 1:

unset pki authority 1 cert-status

Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)

47

d; es decir, el emisor y el sujeto e certificación raíz (CAs) son

encenderse, si no hay ningún o se enciende por primera vez. nico dispositivo que lo utiliza. El

etScreen se encuentra en un ol” o “NSRP”), no incluye el objetos PKI con otros os generados manualmente.

consulte “Creación manual de

opiar su nombre de sujeto y te podrá utilizar el nombre del egociaciones SSL. Comprobar es por interposición de intrusos SL y finge ser el dispositivo

tener más información sobre la página 49).


CERTIFICADOS AUTOFIRMADOS (“SELF-SIGNED CERTIFICATES”)Un certificado autofirmado es un certificado firmado y publicado por la misma entidadel certificado coinciden. Por ejemplo, los certificados CA de todas las autoridades dautofirmados.

Los dispositivos NetScreen generan automáticamente un certificado autofirmado al certificado ya configurado para Secure Sockets Layer (SSL), como es el caso cuandEl dispositivo NetScreen que crea un certificado autogenerado y autofirmado es el údispositivo nunca exporta este certificado fuera de sí mismo. Aunque el dispositivo Nclúster del protocolo de redundancia de NetScreen (“NetScreen Redundancy Protoccertificado autofirmado y autogenerado con otros tipos de certificados al sincronizarmiembros del clúster. (Los miembros del NSRP intercambian certificados autofirmadPara obtener información sobre la generación manual de certificados autofirmados,certificados autofirmados” en la página 51).

Aunque no se pueden exportar certificados autofirmados y autogenerados, puede chuella. A continuación, puede entregarlo a un administrador remoto que más adelansujeto y la huella digital para verificar el certificado autofirmado recibido durante las nel nombre del sujeto y la huella digital es una precaución importante contra los ataqu(“man-in-the-middle attacks”), en los que alguien intercepta un intento de conexión SNetScreen de destino, respondiendo con su propio certificado autofirmado. (Para obverificación de certificados autofirmados, consulte “Validación de certificados” en la


48

Layer (SSL) con el dispositivo autenticación y encriptación creen para redirigir un intento puerto predeterminado 443).

autofirmado y autogenerado instala un certificado firmado tofirmado15, puede utilizar uno erado y no asigna otro tro certificado autofirmado la

cción HTTP-a-SSL, consulte

la página 51.

rmados” en la página 60.


Asegurar el tráfico administrativo con SSLPuede utilizar un certificado autofirmado al establecer una conexión Secure SocketsNetScreen. Si administra el dispositivo a través de WebUI, SSL puede proporcionarpara asegurar su tráfico administrativo. Puede incluso configurar un dispositivo NetSde conexión administrativo utilizando HTTP (puerto predeterminado 80) hacia SSL (

De forma predeterminada, el dispositivo NetScreen pone a disposición el certificadopara las negociaciones SSL. Es el certificado SSL predeterminado. Si más adelantepor una CA o configura el dispositivo NetScreen para que genere otro certificado aude estos otros certificados para SSL. Si elimina el certificado autofirmado y autogencertificado para su uso en SSL, el dispositivo NetScreen genera automáticamente opróxima vez que el dispositivo se reinicie16.

Nota: Para obtener más información sobre SSL, incluyendo el mecanismo de redire“Secure Sockets Layer” en la página 3 -8.

15. Para averiguar cómo crear otro certificado autofirmado, consulte “Creación manual de certificados autofirmados” en

16. Para averiguar cómo eliminar un certificado autofirmado y autogenerado, consulte “Eliminación de certificados autofi


49

nviando un certificado al cliente SL no puede validarlo nte, cuando el dispositivo xplorador web del equipo del ades de certificación). Si no , pidiendo al administrador que

ranque inicial, el reloj del rtificado también puede ser

mado, el explorador web nunca eparado para obtener uno de

autofirmado para una conexión


Validación de certificadosDurante el establecimiento de conexión SSL, el dispositivo NetScreen se autentica eSSL. Cuando el dispositivo NetScreen envía un certificado autofirmado, el cliente Scomprobando la firma de la CA emisora porque no la publicó ninguna CA. No obstaNetScreen presenta un certificado autofirmado para establecer una sesión SSL, el eadministrador intenta validarlo con un certificado CA en su almacén de CAs (autoridpuede encontrar esa autoridad, el explorador visualiza un mensaje como el siguienteacepte o rechace el certificado en cuestión:

Si esta es la primera vez que se conecta al dispositivo NetScreen después de su arsistema puede no estar en hora. Por lo tanto, el período de validez indicado en el ceinexacto. Aunque ponga en hora el reloj del sistema y regenere un certificado autofirpodrá encontrar una CA que lo autentique, por lo que el administrador debe estar prlos mensajes antedichos cada vez que el dispositivo NetScreen utilice un certificadoSSL.

Cuando un explorador recibe un certificado autofirmado, pueden aparecer dos tipos de alertas de seguridad.


50

pendiente, el administrador que cibido realmente procede del ficado podría ser un impostor k) para intentar enmascararse tilizando el nombre del sujeto y huella digital al administrador suministre más adelante para

autogenerado, utilice el

ed,

3a71435b>

(con el método seguro y “fuera ositivo NetScreen a través de ivo NetScreen durante el gital del certificado recibido con s auténtico. Dada la ausencia

o y huella digital que comparar,


Sin poder recurrir a la validación del certificado por parte de una CA imparcial e indeinicie una sesión a través de SSL podría preguntarse si el certificado autofirmado redispositivo NetScreen al que está intentando conectarse. (Después de todo, el certique esté utilizando un ataque por interposición de intrusos (man-in-the-middle attaccomo dispositivo NetScreen). El administrador puede validar el certificado recibido ula huella digital del certificado autofirmado. Puede entregar el nombre del sujeto y lapara que pueda validar el certificado autofirmado cuando el dispositivo NetScreen loautenticarse.

Para consultar el nombre del sujeto y la huella digital de un certificado autofirmado ycomando siguiente17:

ns-> get pki x509 cert system. . .

CN=0043022002000186,CN=system generated,CN=self-sign. . .finger print (md5) <e801eae4 56699fbc 324e38f2 4cfa5d47>finger print (sha) <0113f5ec 6bd6d32b 4ef6ead9 f809eead

Después de ver el nombre del sujeto y la huella digital, puede copiarlos y entregarlosde banda” que usted elija) al administrador que posteriormente se conectará al dispSSL. Cuando el cliente SSL del administrador reciba el certificado desde el dispositestablecimiento de conexión SSL, podrá comparar el nombre del sujeto y la huella dilos recibidos anteriormente “fuera de banda”. Si coinciden, sabrá que el certificado ede una autoridad CA de confianza para autenticar el certificado, sin nombre de sujetel administrador remoto no puede saber con certeza si el certificado es genuino.

17. WebUI no permite visualizar los detalles de un certificado autofirmado y autogenerado.


51

era vez que se enciende, con el ar un certificado autofirmado s razones posibles para y definido por el administrador:

1024 bits. Dependiendo de sus uede controlar al generar su

l creado automáticamente.

reen que admiten sistemas nerado con todos los sistemas

r sus propios certificados n el nombre del sujeto y la

n certificado compartido.

los campos de nombres año de la clave), los siguientes l del DN:

l dispositivo en el cual se crea, s cuando un dispositivo er.


Creación manual de certificados autofirmadosEl dispositivo NetScreen genera automáticamente un certificado autofirmado la primfin de admitir SSL durante la conexión inicial. Sin embargo, puede que desee generdistinto del que genera automáticamente el dispositivo NetScreen. Éstas son algunareemplazar el certificado autofirmado y autogenerado por un certificado autofirmado

• El certificado autofirmado y autogenerado utiliza un tamaño de clave fijo de necesidades, puede necesitar claves con un tamaño mayor o menor, que ppropia clave autofirmada.

• Puede que desee utilizar un certificado con un nombre de sujeto distinto de

• Puede necesitar varios certificados autofirmados. En los dispositivos NetScvirtuales, el sistema raíz puede compartir el certificado autofirmado y autogevirtuales. Sin embargo, los administradores de vsys pueden preferir generaautofirmados y, a continuación, exigir a sus administradores que compruebehuella digital de estos certificados específicos en lugar de los atributos de u

Aunque puede configurar varios componentes de un certificado autofirmado (como distinguidos (“distinguished name” o “DN”), el nombre alternativo del sujeto y el tamelementos de nombres comunes (“common name” o “CN”) siempre aparecen al fina

“CN = dev_serial_num, CN = NetScreen self-signed”

Nota: A diferencia de un certificado autofirmado y autogenerado, que nunca sale deun certificado autofirmado y generado manualmente se incluye con otros certificadoNetScreen de un clúster NSRP sincroniza objetos PKI con otros miembros del clúst


52

positivo NetScreen pueda o se puede utilizar igual que ofirmado pueden ser las

o administrativo hacia un

o NetScreen

rtificados autofirmados para su


Aunque el principal uso previsto de un certificado autofirmado es permitir que un disestablecer inmediatamente conexiones Secure Sockets Layer (SSL), este certificadcualquier otro certificado firmado por una CA. Las aplicaciones de un certificado autsiguientes:

• Establecer una conexión Secure Sockets Layer (SSL) para proteger el tráficdispositivo NetScreen

• Asegurar el tráfico entre NetScreen-Security Manager (NSM) y un dispositiv

• Autenticar interlocutores IKE al establecer túneles VPN

Nota: Para la versión actual de ScreenOS, NetScreen solamente admite ceuso con SSL.


53

dorpara su uso con SSL:

copiar el nombre del sujeto y la istradores que inicien una

n le enviará este certificado. aparecen en el certificado con

éntico.

Generate :


Ejemplo: Certificado autofirmado y definido por el administraEn este ejemplo, definirá los siguientes componentes de un certificado autofirmado

• Distinguished Name/Subject Name:

– Name: 4ssl

– Organization: jnpr

– FQDN: www.juniper.net

• Key type and length: RSA, 1024 bits

Después de definirlo, generará el certificado y lo visualizará. A continuación, podrá huella digital (también denominados “thumbprint”) para su distribución a otros adminsesión a través de SSL para administrar el dispositivo NetScreen.

Cuando un administrador intente iniciar una sesión con SSL, el dispositivo NetScreeCuando lo reciba, podrá abrirlo y comparar el nombre del sujeto y la huella digital quela información que recibió previamente. Si coinciden, sabrá que el certificado es aut

WebUI

1. Definir los atributos del certificadoObjects > Certificates > New: Introduzca los siguientes datos y haga clic en

Certificate Subject Information:

Name: 4ssl

Organization: jnpr

FQDN: www.juniper.net

Key Pair Information:

RSA: (seleccione)

Create new key pair of 1024 length.


54

ompone una petición de

do recién creado.

municarlo a otros Screen. Cuando inicien una ertificado que reciben procede,


2. Generar el certificado autofirmadoCuando el dispositivo NetScreen ha completado la generación de la clave, ccertificado. Haga clic en Generate Self-Signed Cert .

3. Ver el certificado autofirmadoObjects > Certificates > Show Local: Haga clic en Detail para ver el certifica

Aparece la página siguiente con los detalles del certificado:

Puede copiar el nombre del sujeto y la huella digital desde esta página y coadministradores que pretendan utilizar SSL al administrar el dispositivo Netconexión SSL, podrán utilizar esta información para asegurarse de que el cde hecho, del dispositivo NetScreen.


55

tScreen utilizarán en sus

mpondrá la petición de

MDA0MzAyMjAwLmp1bmlwZXIuADCBiQKBgQDPEkZetA2ouKeAcC0admX0Da6TKwYJKoZIhvcNKoZIhvcNAQEFQ8HoyL5NE3+ilyPCBVvMiaHd


CLI

1. Definir los atributos del certificadoset pki x509 dn name 4sslset pki x509 dn org-name jnprset pki x509 cert-fqdn www.juniper.netsave

2. Generar el certificado autofirmado

Para generar un par de claves pública/privada que los dispositivos Nepeticiones de certificado, ejecute el comando siguiente:

exec pki rsa new-key 1024

Después de que el dispositivo NetScreen genere un par de claves, cocertificado siguiente:

-----BEGIN CERTIFICATE REQUEST-----MIIB0jCCATsCAQAwZTENMAsGA1UEChMESk5QUjEZMBcGA1UEAxMQMjAwMDE4NjEQMA4GA1UEAxMHcnNhLWtleTEYMBYGA1UEAxMPd3d3bmV0MQ0wCwYDVQQDEwQ1c3NsMIGfMA0GCSqGSIb3DQEBAQUAA4GNaAtelkL4HxQmO1w1jv9NMmrWnzdVYnGrKrXnw2MaB3xEgouWrlymD24SL0h1YvJ7Sd9PvkhwHOnvP1zkOCWA84TgvxBzcAyeBnS1UpSw80EUuGrmUWodddRFUc8o5d2VGTUOM7WgcFDZRSGQGwIDAQABoC0wAQkOMR4wHDAaBgNVHREEEzARgg93d3cuanVuaXBlci5uZXQwDQYJBQADgYEAgvDXI4H905y/2+k4omo9Y4XQrgq44Rj3jqXAYYMgQBd0QUkiYjMTWO2wIWzEr4u/tdAISEVTu03achZa3zIkUtn8sD/VYKhFFzIHUgBuMrr+awowJDG6wARhR75w7pORXy7+aAmvIjew8YRre9s=-----END CERTIFICATE REQUEST-----


56

omando siguiente:

Name=======================,CN=0043022002000186,

=======================

haciendo referencia al número anterior:

ando siguiente:

Name=======================

,CN=0043022002000186,

,CN=0043022002000186,

=======================


Para conocer el número de identificación del par de claves, utilice el c

get pki x509 list key-pairGetting OTHER PKI OBJECT ...IDX ID num X509 Certificate Subject Distinguish====================================================0000 176095259 CN=4ssl,CN=www.juniper.net,CN=rsa-key

O=jnpr,====================================================

Para generar el certificado autofirmado, ejecute el comando siguiente,de identificación del par de claves que vio en el resultado del comando

exec pki x509 self-signed-cert key-pair 1760952593. Ver el certificado autofirmado

Para visualizar el certificado autofirmado recién creado, ejecute el com

get pki x509 list local-certGetting LOCAL CERT ...IDX ID num X509 Certificate Subject Distinguish====================================================0000 176095261 LOCAL CERT friendly name <29>LOCAL CERT friendly name <29>CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key

O=jnpr,Expire on 10-19-2009 17:20, Issued By:CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key

O=jnpr,====================================================


57

nte usando el número de

,CN=0043022002000186,

,CN=0043022002000186,

98e>c1b 26e37e0e>9a3 5c8c6c27>

“fingerprint”) desde esta ra administrar el dispositivo ión para asegurarse de que el


Para ver el certificado más detalladamente, ejecute el comando siguieidentificación del certificado:

get pki x509 cert 176095261-0001 176095261 LOCAL CERT friendly name <29>CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key

O=jnpr,Expire on 10-19-2009 17:20, Issued By:CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key

O=jnpr,Serial Number: <9d1c03365a5caa172ace4f82bb5ec9da>subject alt name extension:email(1): (vacío)fqdn(2): (www.juniper.net)ipaddr(7): (vacío)no renewfinger print (md5) <be9e0280 02bdd9d1 175caf23 63451finger print (sha) <87e0eee0 c06f9bac 9098bd02 0e631subject name hash: <d82be8ae 4e71a576 2e3f06fc a9831use count: <1>flag <00000000>

Puede copiar el nombre del sujeto (“subject name”) y la huella digital (página y comunicarlo a otros administradores que pretendan utilizar SSL paNetScreen. Cuando inicien una conexión SSL, podrán utilizar esta informaccertificado que reciben procede, de hecho, del dispositivo NetScreen.


58

e un certificado autofirmado. El el arranque inicial de un

ed,

ed,

b5d>83c 817e26d9>7d4 a7834581>

tificado autofirmado durante el

ticamente.

certificado para SSL:

tofirmado y generado


Autogeneración de certificadosLa primera vez que se encienda el dispositivo NetScreen, generará automáticamentprincipal propósito de este certificado es reconocer inmediatamente SSL después ddispositivo NetScreen. Para ver este certificado, utilice el comando CLI siguiente18:

get pki x509 cert systemCN=0010062001000021,CN=system generated,CN=self-signExpire on 08- 3-2014 16:19, Issued By:CN=0010062001000021,CN=system generated,CN=self-signSerial Number: <c927f2044ee0cf8dc931cdb1fc363119>finger print (md5) <fd591375 83798574 88b3e698 62890finger print (sha) <40a1bda8 dcd628fe e9deaee1 92a27subject name hash: <0324d38d 52f814fe 647aba3a 86eda

De forma predeterminada, el dispositivo NetScreen genera automáticamente un cerproceso de arranque si se cumplen las condiciones siguientes:

• En el dispositivo no existe ningún certificado autofirmado generado automá

• No se ha asignado ningún certificado para su uso con SSL.

Puede utilizar el comando siguiente para consultar si ya hay configurado un

get sslweb SSL enable.web SSL port number(443).web SSL cert: Default - System Self-Signed Cert.web SSL cipher(RC4_MD5).

En el resultado anterior, puede ver que SSL está utilizando el certificado auautomáticamente (“System”).

18. Sólo CLI permite ver certificados autofirmados generados automáticamente.


59

ma al encenderse para la

icado para su uso con SSL y ado durante el proceso de n certificado y luego resetea el autofirmado durante el

generar automáticamente certificado autofirmado.


El diagrama siguiente muestra la ruta de decisiones que el dispositivo NetScreen togeneración de certificados:

Si elimina el certificado autofirmado y generado automáticamente, asigne otro certifresetee el dispositivo; el dispositivo NetScreen no generará otro certificado autofirmarranque. Si a continuación cambia la configuración de SSL para no asignarle ningúdispositivo, el dispositivo NetScreen generará automáticamente un nuevo certificadosiguiente proceso de arranque.

¿Hay cert autogen y autofirm?

¿Hay cert para SSL?

Noun

Comienzo del proceso de arranque

Sí

No

Sí

Ruta de decisiones para la autogeneración de

certificados

Generar automáticamente un certificado autofirmado.

No


60

al que se puede con cualquier efiera utilizar para SSL en lugar firmado y autogenerado, utilice

l comando siguiente, donde

ispositivo NetScreen genere

ente: unset ssl cert ).

enviado al dispositivo hacia ado esté disponible para SSL, te un certificado autofirmado y autofirmado y autogenerado y

genera automáticamente un

t .

” en la página 3 -12.


Eliminación de certificados autofirmadosPuede eliminar un certificado autofirmado generado automática o manualmente, igutipo de certificado. Puede que disponga de un certificado firmado por una CA que prde un certificado autofirmado. Sea cual sea el motivo para eliminar el certificado autoel comando CLI siguiente19:

delete pki object-id system

Para eliminar un certificado autofirmado y configurado por el administrador, utilice e id_num es el número de identificación del certificado que desea eliminar20:

delete pki object-id id_num

Si elimina el certificado autofirmado y autogenerado y más adelante desea que el dotro, haga lo siguiente:

• No asigne ningún otro certificado para SSL (puede utilizar el comando sigui

• Restablezca el dispositivo NetScreen.

El dispositivo NetScreen puede redirigir el tráfico HTTP (puerto predeterminado 80)SSL (puerto predeterminado 443)21. Por lo tanto, para asegurarse de que un certificdurante el proceso de arranque el dispositivo NetScreen siempre comprueba si exisautogenerado o si se ha asignado a SSL otro certificado. Si no hay ningún certificadono se asigna ningún otro certificado para su uso con SSL, el dispositivo NetScreen certificado autofirmado.

19. Sólo CLI permite eliminar certificados autofirmados generados automáticamente.

20. Para averiguar el número de identificación de un certificado, utilice el comando siguiente: get pki x509 list local-cer

21. Para obtener información sobre la redirección del tráfico HTTP a SSL, consulte “Redireccionamiento de HTTP a SSL

3

61

Capítulo 3

PN. Incluso para configurar un d de este capítulo es resumir

ceso telefónico básica y ofrecer

s túneles VPN basados en e paquetes de un túnel VPN pas de procesamiento de jos útiles de configuración VPN

93


Directivas VPN

NetScreen ofrece una variedad de opciones criptográficas para configurar un túnel Vtúnel simple es necesario elegir entre varias opciones. El objetivo de la primera mitatodas las opciones disponibles para una VPN punto a punto básica y una VPN de acuno o más motivos para decantarse por una opción u otra.

En la segunda mitad del capítulo, examinaremos las diferencias que existen entre lorutas y los túneles VPN basados en directivas. A continuación revisaremos el flujo dAutoKey IKE punto a punto basado en directivas y basado en rutas para ver las etaentrada y salida por las que pasa un paquete. El capítulo termina con algunos conseque hay que tener en cuenta a la hora de configurar un túnel.

El capítulo está organizado del siguiente modo:

• “Opciones criptográficas” en la página 62

– “Opciones criptográficas punto a punto” en la página 63

– “Opciones VPN de acceso telefónico” en la página 72

• “Túneles basados en directivas y en rutas” en la página 80

• “Flujo de paquetes: VPN punto a punto” en la página 82

• “Consejos para la configuración de un túnel” en la página 90

• “Consideraciones sobre seguridad en VPNs basadas en rutas” en la página

– “Ruta nula” en la página 94

– “Línea de acceso telefónico o arrendada” en la página 96

– “Interfaz de túnel ficticia” en la página 100

– “Enrutador virtual para interfaces de túnel” en la página 101

– “Reencaminar a otro túnel” en la página 101

Capítulo 3 Directivas VPN Opciones criptográficas

62

re la criptografía que se desea oritmo de encriptación ofrece el das las opciones criptográficas eso telefónico básico. También

punto (entre dos dispositivos en-Remote hasta el dispositivo as entre estos dos tipos de entan en dos modelos de

nto a punto), consulte el da modelo se presentan las tinuación, se señalan los

ónico”, se incluyen ejemplos de


OPCIONES CRIPTOGRÁFICASDurante la configuración de una VPN es necesario tomar numerosas decisiones sobutilizar. Surgirán preguntas sobre cuál es el grupo Diffie-Hellman adecuado, qué algmejor equilibrio entre seguridad y rendimiento, etc. En esta sección se presentan torequeridas para configurar un túnel VPN punto a punto básico y un túnel VPN de accse indican una o más ventajas de cada opción para ayudarle a tomar una decisión.

La primera decisión que hay que tomar es si se va a optar por un túnel VPN punto aNetScreen) o por un túnel VPN de acceso telefónico (desde el cliente VPN NetScreNetScreen). Aunque esta decisión depende de la configuración de red, las diferencitúneles afectan a algunas opciones criptográficas. Por lo tanto, las opciones se presdecisión distintos:

• “Opciones criptográficas punto a punto” en la página 63

• “Opciones VPN de acceso telefónico” en la página 72

Cuando haya decidido qué tipo de túnel desea configurar (de acceso telefónico o pumodelo de decisión correspondiente para obtener las indicaciones oportunas. En cadecisiones criptográficas que deberá tomar durante la configuración del túnel. A conmotivos que justifican la elección de cada opción del modelo.

Nota: En el Capítulo 4, “VPNs punto a punto”, y el Capítulo 5, “VPNs de acceso telefconfiguración de ambos tipos de túneles.


63

las opciones criptográficas del indican las ventajas de cada

púrpura . Para obtener

. . . . . . Clave manual

3. Protocolo IPSec: ESP o AHP . . . . . . . . o bien . . . . . . . . AH

4. Modo:bien Transporte

iones ESP:ien Encriptación y n o bien Auth

de :ien 3DES

17. Algoritmos de autenticación:

MD5 o bien SHA-1

miento de paquetes:

a:

ec:

túnel VPN


Opciones criptográficas punto a puntoDurante la configuración de un túnel VPN punto a punto básico, deberá seleccionarsiguiente modelo de decisión que se ajusten a sus necesidades. A continuación se opción.

Nota: Las opciones recomendadas por Juniper Networks están resaltadas en color información sobre las distintas opciones IPSec, consulte el Capítulo 1, “IPSec”.

1. Método de administración de claves:AutoKey IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o bien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2. Modo: Dinámico o bien Principal

3. Tipo de autenticación:Certificados o bien Clave

previamente compartida

4. Tipo de certificado:RSA o DSA

5. Longitud de bits: 512 o bien 768 o bien 1024 o

bien 2048

6. Grupo Diffie-Hellman IKE:1 o bien 2 o bien 5

7. Algoritmos de autenticación y encriptación IKE:

AES o bien DES o bien 3DESy

MD5 o bien SHA-1

1ES

1Túnel o

15. Opc Encriptación o b

autenticació

16. Algoritmosencriptación

AES o bien DES o b10. Comprobación contra reprocesa

Sí o noSí o bien No

11. Confidencialidad directa perfectSí o bien No

12. Grupo Diffie-Hellman IPS1 o bien 2 o bien 5

8. ID IKE local:Dirección IP o bien

U-FQDN o bien FQDN o bien ASN1-DN

Fase 2,Fase 1, puerta de enlace IKE

9. ID IKE remota:Dirección IP o bien

U-FQDN o bien FQDN o bien ASN1-DN


64

eguridad.

el.

c está asignada de forma

rección IP estática o si se

s

ue es posible validar los ner más información, consulte

e una infraestructura de claves


1. Método de administración de claves: Clave manual o AutoKey IKE

AutoKey IKE

– Ofrece una renovación de claves automática, con lo que aumenta la s

Clave manual

– Resulta útil para depurar problemas IKE.

– Elimina los retardos de negociación IKE a la hora de establecer un tún

2. Modo: dinámico o principal

Dinámico

– Es necesario cuando la dirección IP de uno de los interlocutores IPSedinámica y si se utiliza una clave previamente compartida.

Principal

– Ofrece protección de identidad.

– Se puede utilizar cuando el usuario de acceso telefónico posee una diutilizan certificados para la autenticación.

3. Tipo de autenticación: clave previamente compartida o certificado

Certificados

– Ofrece mayor seguridad que las claves previamente compartidas porqcertificados a través de una autoridad de certificación (CA). (Para obteel Capítulo 2, “Criptografía de claves públicas”).

Clave previamente compartida

– Es más fácil de manejar y más rápida de configurar, porque no requierpúblicas (PKI).


65

rtificado presenta ventajas en

24 y 2048 bits.

bits.

ellman 2 y 5.

en.

an 5.

en.


4. Tipo de certificado: RSA o DSA

Depende de la CA de la que se obtengan los certificados. Ningún tipo de cecomparación con el otro.

5. Longitud de bits: 512, 768, 1024 ó 2048

512

– Su nivel máximo de procesamiento es el más bajo.

768

– Ofrece más seguridad que la opción de 512 bits.

– Su nivel máximo de procesamiento es inferior al de las opciones de 10

1024

– Ofrece más seguridad que las opciones de 512 y 768 bits.

– Su nivel máximo de procesamiento es inferior al de la opción de 2048

2048

– Ofrece la máxima seguridad.

6. Grupo Diffie-Hellman IKE: 1, 2 ó 5

Grupo Diffie-Hellman 1

– Su nivel máximo de procesamiento es inferior al de los grupos Diffie-H

– Aceleración de procesamiento proporcionada por el hardware NetScre

Diffie-Hellman Group 2

– Su nivel máximo de procesamiento es inferior al del grupo Diffie-Hellm

– Ofrece más seguridad que el grupo Diffie-Hellman 1.



66

D5 o SHA-1

s de clave son iguales.

en.

ocesamiento de la información munes de EAL4.

en.

DN o ASN1-DN

ión IP estática.

mpartida para la autenticación.

po SubjectAltName.




7. Algoritmos de autenticación y encriptación IKE: AES, DES o 3DES y M

AES

– Tiene un mayor nivel de encriptación que DES y 3DES si las longitude


– Algoritmo de encriptación aprobado para las normas federales para pr(FIPS, o “Federal Information Processing Standards”) y los criterios co

DES

– Su nivel máximo de procesamiento es inferior al de 3DES y AES.

– Resulta útil cuando el interlocutor remoto no admite AES.

3DES

– Ofrece más seguridad criptográfica que DES.


MD5

– Su nivel máximo de procesamiento es inferior al de SHA-1.

SHA-1

– Ofrece más seguridad criptográfica que MD5.

– Es el único algoritmo de autenticación que admiten las normas FIPS.

8. ID IKE local: dirección IP (valor predeterminado), o bien U-FQDN, FQ

Dirección IP

– Sólo se puede utilizar si el dispositivo NetScreen local tiene una direcc

– Es la ID IKE predeterminada cuando se utiliza una clave previamente co

– Se puede utilizar con un certificado si la dirección IP aparece en el cam


67

o electrónico): se puede utilizar parece en el campo

previamente compartida o un

ámicas.

A para la autenticación.

ados que emite.

FQDN o ASN1-DN

on dirección IP estática cuando nterlocutor es un dispositivo

o si la dirección IP aparece en



U-FQDN

– Nombre de dominio completo de usuario (U-FQDN, dirección de correcon una clave previamente compartida o un certificado si el U-FQDN aSubjectAltName.

FQDN

– Nombre de dominio completo (FQDN): se puede utilizar con una clavecertificado si el FQDN aparece en el campo SubjectAltName.

– Resulta útil para puertas de enlace VPN que tengan direcciones IP din

– Es la ID IKE predeterminada cuando se utilizan certificados RSA o DS

ASN1-DN

– Sólo se puede utilizar con certificados.

– Resulta útil si la CA no admite el campo SubjectAltName en los certific

9. ID IKE remota: dirección IP (valor predeterminado), o bien U-FQDN, Dirección IP

– No requiere la introducción de una ID IKE remota para un interlocutor cse utilizan claves previamente compartidas para la autenticación y el iNetScreen.

– Se puede utilizar para un dispositivo con dirección IP estática.

– Se puede utilizar con una clave previamente compartida o un certificadel campo SubjectAltName.

U-FQDN



68


ámicas.

rtificados para la autenticación

ados que emite.

cabezados de paquetes para atacante reenvía paquetes

ibilidad con interlocutores de

orque los interlocutores utilizada para la


FQDN



– No requiere la introducción de una ID IKE remota cuando se utilizan cey el interlocutor es un dispositivo NetScreen.

ASN1-DN



10. Comprobación contra reprocesamiento de paquetes: Sí o noSí

– Permite al destinatario comprobar los números de secuencia de los enprevenir ataques de rechazo de servicio (DoS) provocados cuando unIPSec interceptados.

No

– Desactivar esta opción tal vez sea la solución a problemas de compatterceros.

11. Confidencialidad directa perfecta: Sí o no

Sí

– Confidencialidad directa perfecta (PFS): ofrece una mayor seguridad prealizan un segundo intercambio Diffie-Hellman para generar la clave encriptación/desencriptación IPSec.

No

– Agiliza la configuración del túnel.

– Reduce el procesamiento durante las negociaciones IPSec de fase 2.


69

ellman 2 y 5.

en.

an 5.

en.

d mediante encriptación y ón.

P completo, incluyendo el


12. Grupo Diffie-Hellman IPSec: 1, 2 ó 5










13. Protocolo IPSec: ESP o AHESP

– Carga de seguridad encapsulada (ESP): puede ofrecer confidencialidaencapsulado del paquete IP original e integridad mediante autenticaci

– Puede proporcionar sólo encriptación o sólo autenticación.

AH

– Encabezado de autenticación (AH): ofrece autenticación del paquete Iencabezado IPSec y el encabezado IP externo.

14. Modo: túnel o transporte

Túnel

– Oculta el encabezado IP original, con lo que aumenta la privacidad.

Transporte

– Es necesario para el soporte del túnel L2TP sobre IPSec.


70

y autenticación

o es inferior al de la opción de

.

. Por ejemplo, cuando la realmente de la persona que isión.


en.

unes EAL4.

en.


15. Opciones ESP: sólo encriptación, sólo autenticación o encriptación

Encriptación

– Ofrece un rendimiento más rápido y su nivel máximo de procesamientencriptación y autenticación.

– Resulta útil cuando se requiere confidencialidad, pero no autenticación

Encriptación y autenticación

– Resulta útil si se desea obtener confidencialidad y autenticación.

Auth

– Resulta útil cuando se requiere autenticación, pero no confidencialidadinformación no es secreta, pero es importante determinar que procededice enviarla y que nadie ha manipulado el contenido durante la transm

16. Algoritmos de encriptación: AES, DES o 3DES

AES



– Algoritmo de encriptación aprobado para normas FIPS y criterios com

DES



3DES




71

punto a punto genérica entre ientes componentes:

perfecta (PFS) = sí

ara fase 2

apsulada (ESP)

ción


17. Algoritmos de autenticación: MD5 o SHA-1

MD5


SHA-1


Si se utilizan las opciones recomendadas de la lista anterior, una configuración VPNdos dispositivos NetScreen con direcciones IP estáticas estaría formada por los sigu

• AutoKey IKE • Confidencialidad directa

• Modo principal • Grupo Diffie-Hellman 2 p

• Certificados de 1024 bits (RSA o DSA) • Carga de seguridad enc

• Grupo Diffie-Hellman 2 para fase 1 • Modo de túnel

• Encriptación = AES • Encriptación y autentica

• Autenticación = SHA-1 • Encriptación = AES

• ID IKE = dirección IP (valor predeterminado) • Autenticación = SHA-1

• Protección contra reprocesamiento de paquetes = sí


72

cionar las opciones continuación se indican las

púrpura . Para obtener

12. Protocolo IPSec:ESP . . . . . . . . o bien . . . . . . . . AH

13. Modo: bien Transporte

ciones ESP:criptación y autenticación Autenticación

criptación:ien 3DES

16. Algoritmos de autenticación:

MD5 o bien SHA-1

ec:

túnel VPN


Opciones VPN de acceso telefónicoDurante la configuración de un túnel VPN de acceso telefónico básico, deberá seleccriptográficas del siguiente modelo de decisión que se ajusten a sus necesidades. Aventajas de cada opción.

Nota: Las opciones recomendadas por Juniper Networks están resaltadas en color información sobre las distintas opciones IPSec, consulte el Capítulo 1, “IPSec”.

Método de administración de claves = AutoKey IKE

1. Modo:Dinámico o bien Principal

2. Tipo de autenticación:Certificados o bien Clave

previamente compartida

3. Tipo de certificado:RSA o DSA

4. Longitud de bits: 512 o bien 768 o bien 1024 o

bien 2048

5. Grupo Diffie-Hellman IKE:1 o bien 2 o bien 5

6. Algoritmos de autenticación y encriptación IKE:

AES o bien DES o bien 3DESy

MD5 o bien SHA-1

Túnel o

14. Op Encriptación o bien En

o bien

15. Algoritmos de enAES o bien DES o b

9. Comprobación contra reprocesamiento de paquetes:

Sí o bien No

10. Confidencialidad directa perfecta:

Sí o bien No

11. Grupo Diffie-Hellman IPS1 o bien 2 o bien 5

7. ID IKE local: Dirección IP (valor

predeterminado) o bien U-FQDN o bien FQDN o bien

ASN1-DN

Fase 2,Fase 1, puerta de enlace IKE

8. ID IKE remota: Dirección IP (valor

predeterminado) o bien U-FQDN o bien FQDN o bien

ASN1-DN


73

c está asignada de forma

ara la autenticación.

s

ue es posible validar los ner más información, consulte

e una infraestructura de claves

rtificado presenta ventajas en

24 y 2048 bits.


1. Modo: Dinámico o principal

Dinámico

– Es necesario cuando la dirección IP de uno de los interlocutores IPSedinámica y si se utiliza una clave previamente compartida.

– Se puede utilizar con certificados o claves previamente compartidas p

Principal

– Ofrece protección de identidad.

2. Tipo de autenticación: clave previamente compartida o certificado

Certificados

– Ofrece mayor seguridad que las claves previamente compartidas porqcertificados a través de una autoridad de certificación (CA). (Para obteel Capítulo 2, “Criptografía de claves públicas”).


– Es más fácil de manejar y más rápida de configurar, porque no requierpúblicas (PKI).

3. Tipo de certificado: RSA o DSA

Depende de la CA de la que se obtengan los certificados. Ningún tipo de cecomparación con el otro.

4. Longitud de bits: 512, 768, 1024 ó 2048

512

– Su nivel máximo de procesamiento es el más bajo.

768

– Ofrece más seguridad que la opción de 512 bits.

– Su nivel máximo de procesamiento es inferior al de las opciones de 10


74

bits.

ellman 2 y 5.

en.

an 5.

en.

D5 o SHA-1


en.

unes EAL4.


1024

– Ofrece más seguridad que las opciones de 512 y 768 bits.

– Su nivel máximo de procesamiento es inferior al de la opción de 2048

2048


5. Grupo Diffie-Hellman IKE: 1, 2 ó 5










6. Algoritmos de autenticación y encriptación IKE: AES, DES o 3DES y M

AES



– Algoritmo de encriptación aprobado para normas FIPS y criterios com

DES




75

en.

DN o ASN1-DN

cción IP estática.




ámicas.

ados que emite.


3DES



MD5


SHA-1


7. ID IKE local: dirección IP (valor predeterminado), o bien U-FQDN, FQ

Dirección IP (valor predeterminado)

– No requiere la introducción de una ID IKE para un dispositivo con dire



U-FQDN


FQDN



ASN1-DN




76

FQDN o ASN1-DN

cción IP estática.




ámicas.

ados que emite.

cabezados de paquetes para atacante reenvía paquetes

ibilidad con interlocutores de


8. ID IKE remota: dirección IP (valor predeterminado), o bien U-FQDN,

Dirección IP (valor predeterminado)

– No requiere la introducción de una ID IKE para un dispositivo con dire



U-FQDN


FQDN



ASN1-DN



9. Comprobación contra reprocesamiento de paquetes: Sí o no

Sí

– Permite al destinatario comprobar los números de secuencia de los enprevenir ataques de rechazo de servicio (DoS) provocados cuando unIPSec interceptados.

No

– Desactivar esta opción tal vez sea la solución a problemas de compatterceros.


77

orque los interlocutores utilizada para la

ellman 2 y 5.

en.

an 5.

en.


10. Confidencialidad directa perfecta: Sí o no

Sí

– Confidencialidad directa perfecta (PFS): ofrece una mayor seguridad prealizan un segundo intercambio Diffie-Hellman para generar la clave encriptación/desencriptación IPSec.

No

– Agiliza la configuración del túnel.

– Reduce el procesamiento durante las negociaciones IPSec de fase 2.

11. Grupo Diffie-Hellman IPSec: 1, 2 ó 5











78

d mediante encriptación y ón.

P completo, incluyendo el

y autenticación

o es inferior al de la opción de

.

. Por ejemplo, cuando la realmente de la persona que isión.


12. Protocolo IPSec: ESP o AH

ESP

– Carga de seguridad encapsulada (ESP): puede ofrecer confidencialidaencapsulado del paquete IP original e integridad mediante autenticaci

– Puede proporcionar sólo encriptación o sólo autenticación.

AH

– Encabezado de autenticación (AH): ofrece autenticación del paquete Iencabezado IPSec y el encabezado IP externo.

13. Modo: túnel o transporte

Túnel

– Oculta el encabezado IP original, con lo que aumenta la privacidad.

Transporte

– Es necesario para el soporte del túnel L2TP sobre IPSec.

14. Opciones ESP: sólo encriptación, sólo autenticación o encriptación

Encriptación

– Ofrece un rendimiento más rápido y su nivel máximo de procesamientencriptación y autenticación.

– Resulta útil cuando se requiere confidencialidad, pero no autenticación

Encriptación y autenticación

– Resulta útil si se desea obtener confidencialidad y autenticación.

Autenticación

– Resulta útil cuando se requiere autenticación, pero no confidencialidadinformación no es secreta, pero es importante determinar que procededice enviarlo y que nadie ha manipulado el contenido durante la transm


79

s de clave son iguales.en.

unes EAL4.

en.

de acceso telefónico genérica s siguientes componentes:

perfecta (PFS) = sí

para fase 2

capsulada (ESP)

ción


15. Algoritmos de encriptación: AES, DES o 3DESAES

– Tiene un mayor nivel de encriptación que DES y 3DES si las longitude– Aceleración de procesamiento proporcionada por el hardware NetScre– Algoritmo de encriptación aprobado para normas FIPS y criterios com

DES

– Su nivel máximo de procesamiento es inferior al de 3DES y AES.– Resulta útil cuando el interlocutor remoto no admite AES.

3DES

– Ofrece más seguridad criptográfica que DES.– Aceleración de procesamiento proporcionada por el hardware NetScre

16. Algoritmos de autenticación: MD5 o SHA-1

MD5

– Su nivel máximo de procesamiento es inferior al de SHA-1.SHA-1

– Ofrece más seguridad criptográfica que MD5.Si se utilizan las opciones recomendadas de la lista anterior, una configuración VPNentre dos dispositivos NetScreen con direcciones IP estáticas estaría formada por lo

• Modo dinámico • Confidencialidad directa

• Certificados de 1024 bits (RSA o DSA) • Grupo Diffie-Hellman 2

• Grupo Diffie-Hellman 2 para fase 1 • Carga de seguridad en

• Encriptación = AES • Modo de túnel

• Autenticación = SHA-1 • Encriptación y autentica

• ID IKE = U-FQDN (dirección de correo electrónico) • Encriptación = AES

• Protección contra reprocesamiento de paquetes = sí • Autenticación = SHA-1

Capítulo 3 Directivas VPN Túneles basados en directivas y en rutas

80

te flexible. Es posible crear nel se puede utilizar clave a autenticación.

objeto (o un bloque de una directiva que permite el it está implícita si no se rencia de forma específica a un

túnel VPN. En su lugar, la n realice una consulta de ruta dirección, encontrará una ruta

omo un elemento en la e considerar como un medio itir o denegar la entrega de

por el número de directivas que ar está limitado por el número (el que sea más pequeño).

a conservar los recursos de erosas directivas que hagan ) IPSec individual con el

ependiente. Con el enfoque ntrega. Es posible configurar N entre dos puntos, si sólo hay

faz de túnel a varios túneles. Para


TÚNELES BASADOS EN DIRECTIVAS Y EN RUTASLa configuración de un dispositivo NetScreen para el soporte VPN es particularmentúneles VPN basados en directivas y basados en rutas. Además, en cada tipo de túmanual o AutoKey IKE para administrar las claves utilizadas para la encriptación y l

En el caso de los túneles VPN basados en directivas, un túnel se gestiona como unconstrucción) que, junto con el origen, el destino, el servicio y la acción, comprendetráfico VPN. (En realidad, la acción de directiva VPN es tunnel , pero la acción permespecifica). En una configuración VPN basada en directivas, una directiva hace refetúnel VPN por su nombre.

En las VPN basadas en rutas, la directiva no hace referencia de forma específica aldirectiva hace referencia a una dirección de destino. Cuando el dispositivo NetScreepara averiguar la interfaz a través de la que debe enviar el tráfico para alcanzar esaa través de una interfaz de túnel, que estará asociada a un túnel1 VPN específico.

Por lo tanto, con un túnel VPN basado en directivas, un túnel se puede considerar cconstrucción de una directiva. Con un túnel VPN basado en rutas, un túnel se puedpara entregar tráfico, y la directiva se puede considerar como un método para permdicho tráfico.

El número de túneles VPN basados en directivas que se pueden crear está limitado admita el dispositivo. El número de túneles VPN basados en rutas que se puede crede entradas de ruta o por el número de interfaces de túnel que admita el dispositivo

La configuración de un túnel VPN basado en rutas es una elección acertada si desetúnel y ajustar restricciones granulares para el tráfico VPN. Aunque puede crear numreferencia al mismo túnel VPN, cada directiva crea una asociación de seguridad (SAinterlocutor remoto; cada una de estas asociaciones cuenta como un túnel VPN indbasado en rutas para las VPN, la regulación del tráfico no está ligada al medio de edocenas de directivas para regular el tráfico que circula a través de un único túnel VP

1. Normalmente, una interfaz de túnel está asociada a un solo túnel. No obstante, también es posible asociar una interobtener más información, consulte “Múltiples túneles por interfaz de túnel” en la página 381.

Capítulo 3 Directivas VPN Túneles basados en directivas y en rutas

81

mite crear directivas que hagan ny , en contraste con la , la acción debe ser tunnel con

tamiento dinámico a través de ámico, como BGP (Border e enrutamiento local en una interfaz de túnel

iento dinámico y no es s del túnel, tiene sentido allá de un cliente VPN de cción para configuraciones

(como NetScreen-Remote), tas. Un túnel VPN de acceso

aplicación de directivas.

e lo que ocurre con una

uración radial (consulte “VPNs

nte VPN de acceso telefónico

nel.

cliente de acceso telefónico, ” en la página 244.


una SA IPSec operativa. Además, la configuración de una VPN basada en rutas perreferencia a un destino alcanzado a través de un túnel VPN donde la acción sea deconfiguración de una VPN basada en directivas, donde, como hemos indicado antesla acción implícita permit .

Otra ventaja de las VPN basadas en rutas es el intercambio de información de enrutúneles VPN. Es posible habilitar una instancia de un protocolo de enrutamiento dinGateway Protocol), en una interfaz de túnel asociada a un túnel VPN. La instancia dintercambia información de enrutamiento a través del túnel con un vecino habilitadoasociada al otro extremo.

Si un túnel no conecta grandes redes en las que se ejecuten protocolos de enrutamnecesario conservar túneles o definir diversas directivas para filtrar el tráfico a travéconfigurar un túnel basado en directivas. Además, como no existe ninguna red másacceso telefónico, los túneles VPN basados en directivas pueden ser una buena eleVPN de acceso telefónico.

Dicho esto, si el cliente de acceso telefónico admite una dirección IP interna virtual existen argumentos convincentes para utilizar una configuración VPN basada en rutelefónico basado en rutas presenta las siguientes ventajas:

• Se puede asociar su interfaz de túnel a cualquier zona para requerir o no la

• Se pueden definir rutas para forzar el tráfico a través del túnel, al contrario dconfiguración VPN basada en directivas.

• Un túnel VPN basado en rutas simplifica la adición de un radio a una configradiales” en la página 471).

• Puede ajustar la ID de proxy para que acepte cualquier dirección IP del clieconfigurando la dirección del cliente remoto como 255.255.255.255/32.

• Puede definir una o más direcciones IP asignadas (MIP) en la interfaz del tú

Nota: Para obtener un ejemplo de una configuración VPN basada en rutas para un consulte “Ejemplo: VPN de acceso telefónico basada en rutas, interlocutor dinámico

Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto

82

en la creación de un túnel n túnel (tanto cuando un

ntrante). Se explica el proceso an los dos puntos del flujo que

nectar los dos puntos mediante ESP, AES para encriptación, reprocesamiento de paquetes odo NAT, y todas las zonas se

10.2.2.5/32 en la LAN de París iguientes.

ethernet110.2.2.1/24

Zona Trust

ParísLAN

Oficinade

París

10.2.2.5


FLUJO DE PAQUETES: VPN PUNTO A PUNTOPara comprender mejor cómo interactúan los diversos componentes que intervienenIPSec, en esta sección se describe el proceso de un flujo de paquetes a través de udispositivo NetScreen envía tráfico VPN saliente como cuando recibe tráfico VPN ede una VPN basada en rutas y a continuación se incluye un anexo en el que se indicdifieren en el caso de una VPN basada en directivas.

Una empresa con sede en Tokio acaba de abrir una sucursal en París y necesita coun túnel IPSec. El túnel tiene las siguientes características: AutoKey IKE, protocolo SHA-1 para autenticación con clave previamente compartida y comprobación contrahabilitada. Los dispositivos NetScreen que protegen cada punto se encuentran en mubican en el dominio de enrutamiento trust-vr. Las direcciones son las siguientes:

La ruta de un paquete procedente de 10.1.1.5/32 en la LAN de Tokio y destinado a a través de un túnel IPSec se desarrolla tal como se describe en las subsecciones s

Oficinade

Tokio

Interfaz de salida: ethernet3, 1.1.1.1/24

Internet

Zona Trust

vpn1

Zona Untrust

Zona Untrust

TokioLAN


tunnel.2, 10.2.1.1/24Interfaz de salida: ethernet3, 2.2.2.2/24

Enrutador externo: 2.2.2.250

Enrutador externo: 1.1.1.250

tunnel.1, 10.1.2.1/24

10.1.1.5


83

cción IP ethernet1 y es la t.

IP para la zona Trust, el probación de SCREEN puede

á configurado para bloquear el e y genera una entrada en el

á configurado para registrar el el evento en la lista de

o, el dispositivo NetScreen

vo NetScreen continúa

el paquete coincide con una

ejecuta los pasos restantes

ecuta el procedimiento de esiones existente para nsultas de rutas y directivas

e el procesamiento del primer


Tokio (iniciador)

1. El host en 10.1.1.5 envía un paquete para 10.2.2.5 a 10.1.1.1, que es la direpuerta de enlace predeterminada configurada en los ajustes TCP/IP del hos

2. El paquete llega a ethernet1, que está asociado a la zona Trust.

3. Si hay habilitadas opciones SCREEN como la detección de suplantación dedispositivo NetScreen activa el módulo SCREEN en este momento. La comproducir uno de los tres resultados siguientes:

– Si un mecanismo SCREEN detecta un comportamiento anómalo y estpaquete correspondiente, el dispositivo NetScreen descarta el paquetregistro de eventos.

– Si un mecanismo SCREEN detecta un comportamiento anómalo y estevento pero no bloquear el paquete, el dispositivo NetScreen registra contadores SCREEN para ethernet1 y continúa con el paso siguiente.

– Si el mecanismo SCREEN no detecta ningún comportamiento anómalprocede al paso siguiente.

Si no ha habilitado ninguna opción SCREEN para la zona Trust, el dispositiinmediatamente con el paso siguiente.

4. El módulo de sesiones realiza una consulta de sesiones para comprobar si sesión existente.

Si el paquete no coincide con una sesión existente, el dispositivo NetScreencon el procedimiento de procesamiento del primer paquete.

Si el paquete coincide con una sesión existente, el dispositivo NetScreen ejprocesamiento rápido utilizando la información disponible en la entrada de sprocesar el paquete. El procedimiento de procesamiento rápido omite las coporque la información generada por los pasos omitidos ya se obtuvo durantpaquete de la sesión.


84

ada (MIP) utiliza la dirección IP IP, el dispositivo NetScreen iento de paquetes cuando

Flujo de paquetes para

de rutas para 10.2.2.5. (El virtual debe utilizar para la 2.2.5 a través de la interfaz cuentra en la zona Untrust. etermina las zonas de origen y

st y Untrust (según lo acción especificada en la stino y la zona, y el servicio es

fase 2 activa con el interlocutor iguientes resultados:

or, continúa con el paso 10.

cutor, descarta el paquete y

tor remoto. Mediante la :

utiliza esta SA para negociar

or, inicia negociaciones de fase


5. El módulo de asignación de direcciones comprueba si una dirección IP asignde destino 10.2.2.5. Como 10.2.2.5 no se utiliza en ninguna configuración Mcontinúa con el paso siguiente. (Para obtener información sobre el procesamexiste traducción de direcciones de destino [NAT-dst], MIP o VIP, consulte “NAT-Dst” en la página 7 -38).

6. Para determinar la zona de destino, el módulo de rutas realiza una consultamódulo de rutas utiliza la interfaz de entrada para determinar qué enrutadorconsulta de rutas). Encuentra una entrada de ruta que dirige el tráfico a 10.tunnel.1 asociada a un túnel VPN llamado “vpn1”. La interfaz de túnel se enDeterminando las interfaces de entrada y salida, el dispositivo NetScreen dde destino y puede realizar una consulta de directivas.

7. El motor de directivas realiza una consulta de directivas entre las zonas Trudeterminado por las correspondientes interfaces de entrada y de salida). Ladirectiva que coincide con la dirección de origen y la zona, la dirección de depermitir.

8. El módulo IPSec comprueba si existe una asociación de seguridad (SA) de remoto. Mediante la comprobación de SA de fase 2 se pueden obtener los s

– Si el módulo IPSec descubre una SA de fase 2 activa con el interlocut

– Si el módulo IPSec no descubre una SA de fase 2 activa con el interloactiva el módulo IKE.

9. El módulo IKE comprueba si existe una SA de fase 1 activa con el interlocucomprobación de SA de fase 1 se pueden obtener los siguientes resultados

– Si el módulo IKE descubre una SA de fase 1 activa con el interlocutor,una SA de fase 2.

– Si el módulo IKE no descubre una SA de fase 1 activa con el interlocut1 en modo principal y, luego, negociaciones de fase 2.


85

n el paquete. Utilizando la IP de origen en el encabezado a, indica 2.2.2.2 como la l paquete desde la carga hasta

tentica el paquete desde el

a 2.2.2.2 a través de la interfaz

asociada a la zona Untrust.

el encabezado de paquete erlocutor iniciador junto con las de SA de fase 2 se puede

or, continúa con el paso 4.

utor pero puede comparar una I, descarta el paquete, realiza cutor iniciador para avisar de

cutor, descarta el paquete y

tor remoto. Mediante la :

utiliza esta SA para negociar

or, inicia negociaciones de fase

etes. Mediante esta


10. El módulo IPSec coloca un encabezado ESP y un encabezado IP externo edirección especificada como interfaz de salida, indica 1.1.1.1 como direcciónexterno. Utilizando la dirección especificada para la puerta de enlace remotdirección IP de destino en el encabezado externo. A continuación, encripta eel siguiente campo de encabezado en el encabezado IP original. Luego, aufinalizador ESP hasta el encabezado ESP.

11. El dispositivo NetScreen envía el paquete encriptado y autenticado dirigido de salida (ethernet3) al enrutador externo en 1.1.1.250.

París (destinatario)1. El paquete llega a 2.2.2.2, que es la dirección IP de ethernet3, una interfaz

2. Mediante el SPI, la dirección IP de destino y el protocolo IPSec incluidos enexterno, el módulo IPSec intenta localizar una SA de fase 2 activa con el intclaves para autenticar y desencriptar el paquete. Mediante la comprobaciónobtener uno de los tres siguientes resultados:

– Si el módulo IPSec descubre una SA de fase 2 activa con el interlocut

– Si el módulo IPSec no descubre una SA de fase 2 activa con el interlocSA de fase 2 inactiva utilizando la dirección IP de origen pero no el SPuna entrada en el registro de eventos y envía una notificación al interloque ha recibido un SPI incorrecto.

– Si el módulo IPSec no descubre una SA de fase 2 activa con el interloactiva el módulo IKE.

3. El módulo IKE comprueba si existe una SA de fase 1 activa con el interlocucomprobación de SA de fase 1 se pueden obtener los siguientes resultados

– Si el módulo IKE descubre una SA de fase 1 activa con el interlocutor,una SA de fase 2.

– Si el módulo IKE no descubre una SA de fase 1 activa con el interlocut1 en modo principal y, luego, negociaciones de fase 2.

4. El módulo IPSec realiza una comprobación contra reprocesamiento de paqucomprobación se puede obtener uno de los dos resultados siguientes:


86

uetes (porque se detecte un el dispositivo NetScreen

tes, el dispositivo NetScreen

e autenticación se puede

NetScreen descarta el

tScreen continúa con el

ete, descubriendo la dirección uete ha llegado a través de

NetScreen gestiona el paquete et3. También ajusta la ventana

tScreen activa el módulo uno de los tres resultados

á configurado para bloquear el e y genera una entrada en el

á configurado para registrar el el evento en la lista de

o, el dispositivo NetScreen

el paquete coincide con una del primer paquete o de


– Si el paquete no pasa la comprobación contra reprocesamiento de paqnúmero de secuencia que el dispositivo NetScreen ya haya recibido), descarta el paquete.

– Si el paquete pasa la comprobación contra reprocesamiento de paquecontinúa con el siguiente paso.

5. El módulo IPSec intenta autenticar el paquete. Mediante la comprobación dobtener uno de los dos resultados siguientes:

– Si el paquete no pasa la comprobación de autenticación, el dispositivopaquete.

– Si el paquete pasa la comprobación de autenticación, el dispositivo Nesiguiente paso.

6. Mediante la SA de fase 2 y las claves, el módulo IPSec desencripta el paqude origen original (10.1.1.5) y el destino final (10.2.2.5). Averigua que el paqvpn1, que está asociada a tunnel.1. A partir de este momento, el dispositivoteniendo en cuenta que su interfaz de entrada es tunnel.1 en lugar de etherndeslizante contra reprocesamiento de paquetes.

7. Si hay habilitadas opciones SCREEN para la zona Untrust, el dispositivo NeSCREEN en este momento. La comprobación de SCREEN puede producir siguientes:

– Si un mecanismo SCREEN detecta un comportamiento anómalo y estpaquete correspondiente, el dispositivo NetScreen descarta el paquetregistro de eventos.

– Si un mecanismo SCREEN detecta un comportamiento anómalo y estevento pero no bloquear el paquete, el dispositivo NetScreen registra contadores SCREEN para ethernet3 y continúa con el paso siguiente.

– Si el mecanismo SCREEN no detecta ningún comportamiento anómalprocede al paso siguiente.

8. El módulo de sesiones realiza una consulta de sesiones para comprobar si sesión existente. A continuación, aplica el procedimiento de procesamientoprocesamiento rápido.


87

ecuta “Fast Processing”, procesar el paquete. “Fast

te y reenviarlo) porque la amiento del primer paquete de

ada (MIP) o virtual (VIP) utiliza onfiguración MIP o VIP, el

nrutador virtual que debe iza una consulta de rutas para de ethernet1. Determinando la reen puede determinar las ust y ethernet1 a la zona Trust.

st hasta la zona Trust y

ino en 10.2.2.5.


Si el paquete coincide con una sesión existente, el dispositivo NetScreen ejutilizando la información disponible en la entrada de sesiones existente paraProcessing” omite todos los pasos salvo los dos últimos (encriptar el paqueinformación generada por los pasos omitidos ya se obtuvo durante el procesla sesión.

9. El módulo de asignación de direcciones comprueba si una dirección IP asignla dirección IP de destino 10.2.2.5. Como 10.2.2.5 no se utiliza en ninguna cdispositivo NetScreen continúa con el paso siguiente.

10. El módulo de rutas utiliza primero la interfaz de entrada para determinar el eutilizar para la consulta de rutas; en este caso, trust-vr. A continuación, real10.2.2.5 en trust-vr y descubre que el acceso se ha llevado a cabo a travésinterfaz de entrada (tunnel.1) y la de salida (ethernet1), el dispositivo NetSczonas de origen y destino. La interfaz tunnel.1 está asociada a la zona UntrEl dispositivo NetScreen puede realizar ahora una consulta de directivas.

11. El motor de directivas comprueba su lista de directivas desde la zona Untruencuentra una directiva que permite el acceso.

12. El dispositivo NetScreen reenvía el paquete a través de ethernet1 a su dest


88

puntos del de la configuración

configuraciones VPN basadas rutas y de directivas:

rutas realiza una consulta de n específica, el módulo de ona Untrust. Determinando las

zonas de origen y de destino y

directivas en las zonas Trust y ción de destino y la zona, y el llamado vpn1.

ino en 10.2.2.5.

estinatario son idénticas tanto en rutas, excepto que el túnel

itivo NetScreen averigua que el Untrust-Tun, cuya zona das en rutas, el dispositivo sencriptado (y no tunnel.1).

nto, las consultas de rutas y

ara 10.2.2.5 y descubre que el zona Trust. Averiguando que la a de túnel Untrust-Tun, cuya


Anexo: VPN basadas en directivas

El flujo de paquetes para una configuración VPN basada en directivas difiere en dosVPN basada en rutas: la consulta de rutas y la consulta de directivas.

Tokio (iniciador)

Las primeras etapas del flujo de paquetes saliente son las mismas para lasen rutas y las basadas en directivas hasta que se producen las consultas de

Consulta de rutas: para determinar la zona de destino, el módulo de rutas para 10.2.2.5. Si no encuentra ninguna entrada para esa direcciórutas, resuelve una ruta a través de ethernet3, que está asociada a la zinterfaces de entrada y salida, el dispositivo NetScreen determina las puede realizar una consulta de directivas.

Consulta de directivas: el motor de directivas realiza una consulta deUntrust. La consulta compara la dirección de origen y la zona, la direcservicio, y encuentra una directiva que hace referencia a un túnel VPN

El dispositivo NetScreen reenvía el paquete a través de ethernet1 a su dest

París (destinatario)

La mayoría de las etapas del flujo de paquetes entrante en el extremo del dpara las configuraciones VPN basadas en directivas como para las basadasno está asociado a una interfaz de túnel, sino a una zona de túnel. El dispospaquete ha llegado a través de vpn1, que está asociada a la zona de túnel portadora es la zona Untrust. Al contrario de lo que ocurre en las VPN basaNetScreen considera que ethernet3 es la interfaz de entrada del paquete de

El flujo cambia cuando concluye la desencriptación del paquete. En este pudirectivas difieren:

Consulta de rutas: el módulo de rutas realiza una consulta de rutas pacceso se ha producido a través de ethernet1, que está asociada a la zona Untrust es la zona de origen (porque vpn1 está asociada a la zon


89

a partir de la interfaz de salida ede buscar ahora una directiva .

irectivas desde la zona Untrust túnel VPN llamado vpn1 y que


zona portadora es la zona Untrust) y determinando la zona de destino(ethernet1 está asociada a la zona Trust), el dispositivo NetScreen pudesde la zona Untrust hasta la zona Trust que haga referencia a vpn1

Consulta de directivas: el motor de directivas comprueba su lista de dhasta la zona Trust y encuentra una directiva que hace referencia a unpermite el acceso a 10.2.2.5.

Entonces, el dispositivo NetScreen reenvía el paquete a su destino.

Capítulo 3 Directivas VPN Consejos para la configuración de un túnel

90

ta a la hora de configurar

de fase 1 y un máximo de e estar configurado para das por el otro interlocutor.

onsulte “Negociación de túnel”

o local cargado en el ada configuración de túnel

tulo 2, “Criptografía de claves

ón predefinida “Any”.

as en los dos extremos de la

especificado en la ID de proxy para un interlocutor debe ser

urable por el usuario.

reen (de forma , la dirección de destino y el en la lista de directivas. irectivas que reemplace la ID


CONSEJOS PARA LA CONFIGURACIÓN DE UN TÚNELEsta sección contiene algunas indicaciones o consejos que conviene tener en cuentúneles VPN. Cuando configure un túnel VPN IPSec, recuerde lo siguiente:

• NetScreen admite un máximo de cuatro propuestas para las negociacionescuatro propuestas para las negociaciones de fase 2. Un interlocutor tiene quaceptar al menos una propuesta de fase 1 y una propuesta de fase 2 realizaPara obtener información sobre las negociaciones IKE de fase 1 y fase 2, cen la página 11.

• Si desea utilizar certificados para la autenticación y hay más de un certificaddispositivo NetScreen, deberá especificar qué certificado desea que utilice cVPN. Para obtener más información sobre los certificados, consulte el Capípúblicas” en la página 23.

• Para una VPN básica basada en directivas:

– Utilice direcciones definidas por el usuario en la directiva, no la direcci

– Las direcciones y el servicio especificados en las directivas configuradVPN deben coincidir.

– Utilice directivas simétricas para el tráfico VPN bidireccional.

• La ID de proxy para ambos interlocutores debe coincidir, es decir, el serviciopara ambos interlocutores debe ser idéntico, y la dirección IP local indicadaigual que la dirección IP remota indicada para el otro interlocutor2.

– Para una configuración VPN basada en rutas, la ID de proxy es config

– Para una configuración VPN basada en directivas, el dispositivo NetScpredeterminada) deriva la ID de proxy a partir de la dirección de origenservicio especificados en la directiva que hace referencia al túnel VPNTambién es posible definir una ID de proxy para una VPN basada en dde proxy derivada.

2. La ID de proxy es una tupla de tres partes compuesta por dirección IP local-dirección IP remota-servicio.


91

zar 0.0.0.0/0 para la dirección e utilizar la ID de proxy para el de y destinado a la VPN. Para r el usuario, consulte los

para la dirección IP remota/máscara


El método más simple para garantizar que las ID de proxy coinciden es utililocal, 0.0.0.0/0 para la dirección3 remota y “any” para el servicio. En lugar dcontrol de acceso, se utilizan directivas para controlar el tráfico procedente obtener ejemplos de configuraciones VPN con ID de proxy configurables poejemplos de VPN basadas en rutas del Capítulo 4, “VPNs punto a punto”.

3. Si la dirección remota es la dirección interna virtual de un cliente VPN de acceso telefónico, utilice 255.255.255.255/32de red en la ID de proxy.


92

rrelevante si un interlocutor i el interlocutor 1 utiliza una ración VPN basada en rutas, el derivada de la directiva4 del

de origen (NAT-src) mediante de DIP como dirección remota

NAT-src y NAT-dst, consulte

el servicio de una ID de proxy grupo de servicios se

r la ID IKE predeterminada, es r tiene una dirección IP ipo de ID IKE. Un nombre U-FQDN (dirección de correo

pueden utilizar los dos tipos de (si el FQDN o U-FQDN el interlocutor dinámico o el N como ID IKE.

definida por el usuario del interlocutor

e proxy:


• Siempre que coincidan los ajustes de ID de proxy de los interlocutores, es idefine una VPN basada en rutas y el otro, una VPN basada en directivas. Sconfiguración VPN basada en directivas, y el interlocutor utiliza una configuinterlocutor 2 deberá definir una ID de proxy que coincida con la ID de proxyinterlocutor 1. Si el interlocutor 1 realiza la traducción de direcciones de redun conjunto de DIP, utilice la dirección y la máscara de red para el conjuntoen la ID de proxy del interlocutor 2. Por ejemplo:

Para obtener más información sobre las IDs de proxy cuando se utilizan con“Sitios VPN con direcciones superpuestas” en la página 203.

• Como las ID de proxy admiten o bien un servicio, o bien todos los servicios,derivada a partir de una VPN basada en directivas que haga referencia a unconsidera como “any”.

• Cuando ambos interlocutores tienen direcciones IP estáticas, pueden utilizadecir, su dirección IP. Cuando un usuario de acceso telefónico o interlocutoasignada de forma dinámica, dicho usuario o interlocutor debe utilizar otro tcompleto (FQDN) es una buena elección para un interlocutor dinámico, y unelectrónico) es una buena elección para un usuario de acceso telefónico. SeID IKE FQDN y U-FQDN con claves previamente compartidas y certificadosaparece en el campo SubjectAltName del certificado). Si utiliza certificados,usuario de acceso telefónico también podrá utilizar todo o parte del ASN1-D

4. El interlocutor 1 también puede definir una ID de proxy que coincida con la ID de proxy del interlocutor 2. La ID de proxy1 reemplaza la ID de proxy que el dispositivo NetScreen deriva de los componentes de la directiva.

Si el conjunto de DIP es: Utilice esto en la ID d1.1.1.8 – 1.1.1.8 1.1.1.8/32

1.1.1.20 – 1.1.1.50 1.1.1.20/26

1.1.1.100 – 1.1.1.200 1.1.1.100/25

1.1.1.0 – 1.1.1.255 1.1.1.0/24

Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas

93

Ss basadas en rutas son otra VPN basada en rutas curra ningún cambio de ruta, el las interfaces de túnel

el VPN basado en rutas, el , todas las entradas de la tabla

inactivas. A continuación, si el ía estar encriptado y enviarse a iva a la interfaz de túnel y la ruta predeterminada. Con en texto puro o sin formato ) a

N pública como texto puro, , reencaminarlo a una línea

e túnel se desactiva)

fico a otra ruta segura cuando

a la interfaz de túnel se

fico cuando la ruta a la interfaz

el VPN alternativo cuando la


CONSIDERACIONES SOBRE SEGURIDAD EN VPNS BASADAS EN RUTAAunque los cambios de rutas no afectan a las VPNs basadas en directivas, las VPNcuestión. El dispositivo NetScreen puede enrutar paquetes a través del túnel de unacombinando rutas estáticas con protocolos de enrutamiento dinámico. Mientras no odispositivo NetScreen encripta y reenvía constantemente los paquetes destinados aasociadas a los túneles de la VPN basada en rutas.

Sin embargo, cuando se utiliza el seguimiento de VPN con una configuración de túnestado del túnel puede cambiar de activo (up) a inactivo (down). Cuando esto ocurrede rutas que hacen referencia a la interfaz de túnel asociada a ese túnel cambian adispositivo NetScreen examina las rutas para buscar tráfico que originalmente debertravés de un túnel asociado a esa interfaz de túnel, no tendrá en cuenta la ruta relatbuscará la siguiente ruta con mayor coincidencia. La ruta que encontrará podría seresta ruta, el dispositivo NetScreen enviaría fuera el tráfico desencriptado (es decir, través de una interfaz sin túnel a la WAN pública.

Para evitar reencaminar el tráfico previsto originalmente para un túnel VPN a la WApuede configurar el dispositivo NetScreen para que desvíe dicho tráfico a otro túnelarrendada o simplemente descartarlo, utilizando una de las siguientes soluciones:

• “Ruta nula” en la página 94 (descarta el tráfico cuando la ruta a la interfaz d

• “Línea de acceso telefónico o arrendada” en la página 96 (reencamina el trála ruta a la interfaz de túnel se desactiva)

• “Interfaz de túnel ficticia” en la página 100 (descarta el tráfico cuando la rutadesactiva)

• “Enrutador virtual para interfaces de túnel” en la página 101 (descarta el tráde túnel se desactiva)

• “Reencaminar a otro túnel” en la página 101 (reencamina el tráfico a un túnruta a la interfaz de túnel se desactiva)


94

ambia cualquier ruta que haga estar disponible y la opción creen utiliza la ruta ra evitar enviar tráfico en texto ar una ruta nula. Una ruta nula ero dirige el tráfico hacia la acia ella. Asigne a la ruta nula únel para que la ruta nula tenga

la dirección IP 10.2.2.0/24, su

1

tá activa, “S” indica una “ruta

mbargo, puede utilizar una , consulte “Interfaz de túnel

Mtr Vsys

1 Root

0 Root

0 Root

1 Root


Ruta nulaSi el estado de un túnel VPN cambia a “inactivo” (“down”), el dispositivo NetScreen creferencia a esa interfaz de túnel a “inactiva”. Si la ruta a la interfaz de túnel deja desiguiente es la ruta predeterminada (por ejemplo), a continuación el dispositivo NetSpredeterminada para reenviar el tráfico previsto originalmente para el túnel VPN. Pasin formato hacia la WAN pública cuando se produce un cambio de ruta, puede utilizapunta a la misma dirección de destino que la ruta a través de la interfaz de túnel, pinterfaz Null. La interfaz Null es una interfaz lógica que descarta el tráfico enviado huna métrica más elevada (más alejada de cero) que la ruta que utiliza la interfaz de tuna prioridad inferior.

Por ejemplo, si crea una ruta estática a través de tunnel.1 hacia una LAN remota conmétrica recibirá automáticamente el valor predeterminado 1:

set vrouter trust-vr route 10.2.2.0/24 interface tunnel.get route…Dest-Routes for <trust-vr> (4 entries)

En la tabla de enrutamiento anterior, un asterisco (*) indica que una ruta esestática” y “C” indica una “ruta conectada”.

Nota: Las versiones anteriores a ScreenOS 5.1.0 no admiten interfaces nulas. Sin einterfaz de túnel ficticia para lograr el mismo objetivo. Para obtener más informaciónficticia” en la página 100.

ID IP-Prefix Interface Gateway P Pref

* 3 0.0.0.0/0 eth3 1.1.1.250 S 20

* 2 1.1.1.0/24 eth3 0.0.0.0 C 0

* 1 10.1.1.0/24 eth1 0.0.0.0 C 0

* 4 10.2.2.0/24 tun.1 0.0.0.0 S 20


95

canzar cualquier dirección en la ida con esa dirección. La

na un valor mayor que 1, esa la subred 10.2.2.0/24. Si la ruta la ruta hacia la interfaz Null. El luego lo descarta.

tric 10

stá inactiva (indicado por la een busca la siguiente ruta con te opción después de la ruta nº NetScreen reenvía el tráfico ruta que utiliza tunnel.1 se tilizar la ruta nº 3 para 50.

Mtr Vsys

1 Root

0 Root

0 Root

1 Root

10 Root


En la tabla de enrutamiento anterior, el dispositivo NetScreen tiene dos rutas para alsubred 10.2.2.0/24. La primera opción es la ruta nº 4 porque coincide en mayor medsegunda opción es la ruta predeterminada (0.0.0.0/0).

Si a continuación agrega otra ruta a 10.2.2.0/24 a través de la interfaz Null y le asigruta se convierte en la segunda opción de enrutamiento hacia cualquier dirección dehacia 10.2.2.0/24 a través de tunnel.1 se desactiva, el dispositivo NetScreen utiliza dispositivo NetScreen reenvía el tráfico destinado a 10.2.2.0/24 hacia esa interfaz y

set vrouter trust-vr route 10.2.2.0/24 interface null meget route…Dest-Routes for <trust-vr> (5 entries)

En la tabla de enrutamiento anterior, la ruta hacia 10.2.2.0/24 a través de tunnel.1 eausencia de un asterisco en la columna izquierda). Por lo tanto, el dispositivo NetScrla mayor coincidencia con la dirección de destino y encuentra la ruta nº 5. (La siguien5 es la ruta predeterminada con la identificación nº 3). A continuación, el dispositivopara 10.2.2.0/24 a la interfaz Null, que descarta el tráfico. Consecuentemente, si la desactiva, el dispositivo NetScreen descarta el tráfico para 10.2.2.0/24 en lugar de ureenviarlo hacia fuera a través de ethernet3 como texto puro al enrutador en 1.1.1.2


* 3 0.0.0.0/0 eth3 1.1.1.250 S 20

* 2 1.1.1.0/24 eth3 0.0.0.0 C 0

* 1 10.1.1.0/24 eth1 0.0.0.0 C 0

4 10.2.2.0/24 tun.1 0.0.0.0 S 20

* 5 10.2.2.0/24 null 0.0.0.0 S 20


96

el hacia ese interlocutor se línea de acceso telefónico o a través del túnel VPN, pero

túnel VPN llegase a r remoto a través de la línea de

pción, todavía existe la ultáneamente. En ese caso, el ada. En previsión de tal ción y la ruta nula en la tercera estas opciones de tratamiento

LAN remota

de la VPN oto


Línea de acceso telefónico o arrendadaSi no desea que el tráfico dirigido a un interlocutor remoto se descarte cuando el túndesactive, puede agregar una ruta alternativa hacia ese interlocutor a través de unaarrendada. Esta ruta alternativa utilizará la misma dirección IP de destino que la rutatendrá otra interfaz de salida y una métrica menos prioritaria. Si la ruta a través del desactivarse, el dispositivo NetScreen reencaminaría el tráfico dirigido al interlocutoacceso telefónico o arrendada.

Cuando utilice una línea de acceso telefónico o arrendada como ruta de siguiente oposibilidad de que las rutas de primera y de segunda opción puedan desactivarse simdispositivo NetScreen recurre a la tercera opción, que puede ser la ruta predeterminsituación, puede convertir la ruta de acceso telefónico o arrendada en la segunda opopción (consulte “Ruta nula” en la página 94). La ilustración siguiente muestra cómode un fallo de enrutamiento pueden funcionar en tándem.

Primera opción: Un túnel VPN hacia el interlocutor remoto.

Zona Trust

Internet

Zona UntrustLAN local

Dispositivo NetScreen

local

Interlocutor remtunnel.1

ethernet4 1.2.2.1/24

Interfaz Null

Línea de acceso

telefónico o arrendada

Túnel VPN

Tercera opción: Una ruta nula con una métrica superior que la de la línea de acceso telefónico o arrendada. Esta opción descarta el tráfico.

Segunda opción: Una ruta estática sobre una línea de acceso telefónico o arrendada hacia el interlocutor de la VPN. Su métrica es mayor que la de la ruta que utiliza el túnel VPN. Esta opción de enrutamiento reenvía el tráfico como texto puro a través de la línea protegida al interlocutor.

1

2

3

Descartar tráfico

ethernet1 10.1.1.1/24 ethernet3

1.1.1.1/24


97

ndada o la ruta nulacreen-A alcance la red i el túnel falla, el tráfico deberá N como la línea arrendada net como texto puro.a otra métrica:

r la línea arrendada (métrica = 2)

e es 1. Asignará una métrica de ostrada en rojo en el diagrama El dispositivo NetScreen no

y a continuación también falla s zonas de seguridad se

la conmutación por error) en rfaces y directivas.

LAN10.2.2.0/24

etScreen-B

ota: Las zonas de seguridad no se uestran en esta ilustración.

.1


Ejemplo: Conmutación por error de la VPN hacia la línea arreEn este ejemplo, deseamos que el tráfico procedente de la sucursal detrás de NetScorporativa situada detrás de NetScreen-B a través de una conexión VPN segura. Sfluir a través de una línea arrendada hacia la oficina corporativa. Si tanto el túnel VPfallan, NetScreen-A deberá descartar el tráfico en lugar de enviarlo fuera hacia InterCreará tres rutas en NetScreen-A para alcanzar a 10.2.2.0/24 y asignará a cada un

• Ruta preferida – utilizar tunnel.1, asociado a vpn1 (métrica = 1)• Ruta secundaria – utilizar ethernet4 y la puerta de enlace en 1.2.2.5 para utiliza• Ruta terciaria – utilice la interfaz nula para descartar tráfico (métrica = 10)

Al crear la ruta preferida, utilizará la métrica predeterminada de una ruta estática, qu2 a la ruta secundaria; es decir, la ruta de respaldo a través de la línea arrendada (mde debajo). La métrica es inferior que la de la ruta preferida a través del túnel VPN. utiliza la ruta secundaria a menos que falle la ruta preferida a través del túnel VPN. Finalmente, agregará una ruta NULA con una métrica de 10. Si la ruta preferida fallala ruta secundaria, el dispositivo NetScreen descartará todos los paquetes. Todas laencuentran en el dominio de enrutamiento trust-vr.

Nota: Ese ejemplo muestra solamente la configuración para cuatro rutas (tres para NetScreen-A. No incluye la configuración de otros elementos necesarios, como inte

InternetLAN

10.1.1.0/24

Línea arrendada (ruta de respaldo)Puerta de enlace: 1.2.2.5/24


Ruta NULA

Puerta de enlace1.1.1.250

vpn1

tunnel.1

NetScreen-A N

El tráfico fluye desde la sucursal a la oficina corporativa.

Nm

tunnel


1

3

Preferencias de rutas:1. tunnel.1 -> vpn12. ethernet4 -> línea arrendada3. null interface -> descartar

ethernet41.2.2.1/24

ethernet42.3.3.2/24

2


98

es datos y haga clic en OK :





WebUI (NetScreen-A)Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient

Network Address/Netmask: 0.0.0.0/0

Gateway: (seleccione)

Interface: ethernet3

Gateway IP Address: 1.1.1.250

Metric: 1

Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient



Interface: tunnel.1


Metric: 1






Metric: 2




Interface: Null


Metric: 10


99

gateway 1.1.1.2501t4 gateway 1.2.2.5

tric 10

.2.2.0/24 hacia tunnel.1 y luego . Si ese túnel falla, la siguiente e una puerta de enlace en en la siguiente mejor ruta y el

que lo descarta.

Mtr Vsys

1 Root

0 Root

10 Root

1 Root

2 Root

0 Root

0 Root


CLI (NetScreen-A)

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.2.2.0/24 interface tunnel.set vrouter trust-vr route 10.2.2.0/24 interface etherne

metric 2set vrouter trust-vr route 10.2.2.0/24 interface null mesave

Puede verificar la presencia de las nuevas rutas ejecutando el comando get route .

La entrada de la tabla de rutas con la identificación 5 dirige el tráfico destinado a 10a través del túnel VPN. Es la ruta preferida para que el tráfico alcance la red 10.2.2.0mejor ruta es la correspondiente a la entrada 6 sobre una línea arrendada a través d1.2.2.5. Si la conexión de la entrada de ruta 6 falla, la entrada de ruta 7 se conviertedispositivo NetScreen dirige el tráfico destinado a 10.2.2.0/24 hacia la interfaz nula,

ns-> get route …Dest-Routes for <trust-vr> (7 entries))


* 4 0.0.0.0/0 eth3 1.1.1.250 S 20

* 2 1.1.1.0/24 eth3 0.0.0.0 C 0

* 7 10.2.2.0/24 null 0.0.0.0 S 20

* 5 10.2.2.0/24 tunnel.1 0.0.0.0 S 20

* 6 10.2.2.0/24 eth4 1.2.2.5 S 20

* 1 10.1.1.0/24 eth1 0.0.0.0 C 0

* 3 1.2.2.0/24 eth4 0.0.0.0 C 0


100

interfaz nula (donde se jetivo.

En su lugar, asóciela a una virtual que la primera interfaz

da interfaz de túnel y asígnele .

tivo a inactivo y la entrada de la utas encontrarán esta segunda iará el tráfico a la segunda vo descartará el tráfico.

ulte “Ruta nula” en la página jetivo.


Interfaz de túnel ficticiaCuando se produce un error, en lugar de conmutar el tráfico de un túnel VPN a unadescarta), se puede utilizar una interfaz de túnel inoperativa para lograr el mismo ob

Para configurar una interfaz de túnel ficticia, haga lo siguiente:

1. Cree una segunda interfaz de túnel, pero no la asocie a un túnel VPN.zona de túnel que se encuentre en el mismo dominio de enrutamientode túnel5.

2. Defina una segunda ruta hacia el mismo destino utilizando esta segununa métrica más alta (más alejada de cero) que la de la ruta preferida

Cuando el estado de la interfaz de túnel en funcionamiento pase de actabla de rutas relativa a esa interfaz quede inactiva, las búsquedas de rruta a la interfaz de túnel no operativa. El dispositivo NetScreen reenvinterfaz de túnel, y como no está asociada a un túnel VPN, el dispositi

Nota: Las versiones anteriores a ScreenOS 5.1.0 no admiten interfaces nulas (cons94). Sin embargo, puede utilizar una interfaz de túnel ficticia para lograr el mismo ob

5. Si una interfaz de túnel está asociada a una zona de túnel, su estado siempre será activo.


101

fico que originalmente debía uede crear un dominio de proceda de la siguiente

tas que apunten a interfaces de

ciela a VR-VPN.

las direcciones de ubicaciones a.

R-VPN para el tráfico que necesario, defina rutas ores virtuales. Estas rutas son si se inicia desde la ubicación

sitivo NetScreen aún lo esa interfaz está inactivo y no co.

de los túneles se desactiva, el obtener información y ejemplos

0 -79

página 10 -95.


Enrutador virtual para interfaces de túnelPara evitar que, al desactivarse la ruta programada a través de un túnel VPN, el tráatravesar el túnel, sea conmutado a causa del error hacia la ruta predeterminada, penrutamiento virtual especial exclusivamente para el tráfico VPN. Para configurarlo,manera:

1. Cree un enrutador virtual independiente para utilizarlo con todas las rutúnel y déle, por ejemplo, el nombre “VR-VPN”.

2. Cree una zona de seguridad (llamada, por ejemplo, “zona VPN”) y asó

3. Asocie todas las interfaces de túnel a la zona VPN e introduzca todas remotas a las que desee acceder a través de túneles VPN en esta zon

4. Configure rutas estáticas en todos los demás enrutadores virtuales a Vdesee que esté encriptado y se envíe a través de los túneles. En casoestáticas para el tráfico desencriptado desde VR-VPN a otros enrutadnecesarias para permitir que el tráfico VPN entrante pase por el túnel remota.

Si el estado de una interfaz de túnel pasa de activo a inactivo, el disporeenviará a VR-VPN, donde debido a que ahora el estado de la ruta ahay otras rutas adecuadas, el dispositivo NetScreen descartará el tráfi

Reencaminar a otro túnelPuede configurar dos o más túneles VPN hacia el mismo interlocutor remoto. Si unodispositivo NetScreen puede reencaminar el tráfico a través de otro túnel VPN. Para sobre la configuración de túneles VPN redundantes, consulte:

• “Interfaces Dual Untrust” en la página 10 -69

• “Ejemplo: Conmutación por error del túnel activo-a-respaldo” en la página 1

• “Ejemplo: Túneles activos duales” en la página 10 -88

• “Ejemplo: Aplicación de pesos a la conmutación por error de túneles” en la


102

4

103

Capítulo 4

nto a punto entre dos dos en directivas, se presentan cen varios ejemplos.

gina 111

a página 126

en la página 137

ico” en la página 152

gina 166

la página 177

te” en la página 222


VPNs punto a punto

En este capítulo se explica cómo configurar un túnel de red privada virtual (VPN) pudispositivos NetScreen. Aquí se examinan los túneles VPN basados en rutas y basalos diversos elementos que hay que tener en cuenta al configurar un túnel y se ofre

• “Configuraciones VPN punto a punto” en la página 104

– “Pasos de configuración de túneles punto a punto” en la página 105

– “Ejemplo: VPN punto a punto basada en rutas, AutoKey IKE” en la pá

– “Ejemplo: VPN punto a punto basada en directivas, AutoKey IKE” en l

– “Ejemplo: VPN punto a punto basada en rutas, interlocutor dinámico”

– “Ejemplo: VPN punto a punto basada en directivas, interlocutor dinám

– “Ejemplo: VPN punto a punto basada en rutas, clave manual” en la pá

– “Ejemplo: VPN punto a punto basada en directivas, clave manual” en

• “Puertas de enlace IKE dinámicas con FQDN” en la página 186

– “Ejemplo: Interlocutor AutoKey IKE con FQDN” en la página 188

• “Sitios VPN con direcciones superpuestas” en la página 203

– “Ejemplo: Interfaz de túnel con NAT-Src y NAT-Dst” en la página 206

• “VPN en modo transparente” en la página 221

– “Ejemplo: VPN AutoKey IKE basada en directivas en modo transparen

Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto

104

cesita una dirección IP. Si iguientes tipos de túneles:

o certificados)

ignada de forma dinámica, se

reviamente compartida o

túnel IPSec para conectar dos nlace segura. La interfaz o irección IP fija, y los hosts entra en modo transparente, punto a punto estática, los el VPN porque la dirección IP

signada dinámicamente, dicho tinta. Con una VPN punto a ico pueden iniciar la ción IP fija y, por tanto, es cido un túnel entre un er puerta de enlace pueden

lte el Capítulo 1, “IPSec”. Si , “Directivas VPN”.


CONFIGURACIONES VPN PUNTO A PUNTOExiste un túnel VPN IPSec entre dos puertas de enlace, y cada puerta de enlace neambas puertas de enlace tienen direcciones IP estáticas, se pueden configurar los s

• Túnel VPN punto a punto AutoKey IKE (con clave previamente compartida

• Túnel VPN punto a punto con clave manual

Si una puerta de enlace tiene una dirección estática, y la otra tiene una dirección aspuede configurar el siguiente tipo de túnel:

• Túnel VPN punto a punto de interlocutor dinámico AutoKey IKE (con clave pcertificados)

Tal como se utiliza aquí, una VPN punto a punto estática implica la existencia de unpuntos, cada uno de ellos con un dispositivo NetScreen operativo como puerta de esubinterfaz física utilizada como interfaz de salida en ambos dispositivos tiene una dinternos también tienen direcciones IP estáticas. Si el dispositivo NetScreen se encuutiliza la dirección VLAN1 como dirección IP para la interfaz de salida. Con una VPNhosts situados en cualquier extremo del túnel pueden iniciar la configuración del túnde la puerta de enlace remota se mantiene constante y, por tanto, accesible.

Si la interfaz de salida de uno de los dispositivos NetScreen tiene una dirección IP adispositivo se considera un interlocutor dinámico y la VPN se configura de forma dispunto de interlocutor dinámico, sólo los hosts ubicados detrás del interlocutor dinámconfiguración del túnel VPN, ya que sólo su puerta de enlace remota tiene una direcaccesible desde su puerta de enlace local. Sin embargo, una vez que se ha estableinterlocutor dinámico y un interlocutor estático, los hosts ubicados detrás de cualquiiniciar tráfico VPN si los hosts de destino tienen direcciones IP fijas.

Nota: Para obtener más información sobre las opciones de VPN disponibles, consudesea obtener ayuda para elegir entre las distintas opciones, consulte el Capítulo 3


105

guración del túnel con la jemplos de configuración VPN o desea comunicarse de forma

Eth110.2.2.1/24

NAT

LAN10.2.2.0/24

Zona Trust

n


Pasos de configuración de túneles punto a puntoLa configuración de un túnel VPN punto a punto requiere la coordinación de la conficonfiguración de otros ajustes (interfaces, direcciones, rutas y directivas). Los tres eincluidos en esta sección se enmarcan en el siguiente contexto: una oficina de Tokisegura con una oficina de París a través de un túnel VPN IPSec.

Los administradores de ambas oficinas configuran los siguientes ajustes:

• Interfaces: Zonas de seguridad y túnel

• Direcciones

• VPN (una de las opciones siguientes)

– AutoKey IKE

– Interlocutor dinámico

– Clave manual

• Rutas

• Directivas

Eth3, 2.2.2.2/24

LAN10.1.1.0/24

Internet

Túnel: vpn1

tunnel.1, sin numerar

enrutador externo, 2.2.2.250

Zona Untrust

Zona UntrustZona Trust Oficinade Tokio

Oficinade París

NetScreende Tokio

NetScreede París

Eth110.1.1.1/24

NATEth3, 1.1.1.1/24




106

eguridad y túnel con los ajustes e la oficina de París configura

lace remota para el tráfico VPN

asignar direcciones IP a todos st, el dispositivo NetScreen rección de la interfaz de la zona

el tunnel.1 al túnel VPN vpn1. a, el dispositivo NetScreen r tanto, a través del túnel al que

ión VPN basada en rutas no ración VPN basada en

Zona Trust

Eth110.2.2.1/24

NAT


1. Interfaces: Zonas de seguridad y túnelEl administrador de la oficina de Tokio configura las interfaces de zona de sque aparecen en rojo en la ilustración anterior. Asimismo, el administrador dlos ajustes que aparecen en azul.

Ethernet3 va a ser la interfaz de salida para el tráfico VPN y la puerta de enenviado desde el otro extremo del túnel.

Ethernet1 se encuentra en modo NAT, por lo que cada administrador puedelos hosts internos, incluso si el tráfico pasa de la zona Trust a la zona Untrutraduce la dirección IP de origen de los encabezados de los paquetes a la diUntrust, ethernet3 (1.1.1.1 para Tokio y 2.2.2.2 para París).

Para una VPN basada en rutas, cada administrador asocia la interfaz de túnDefiniendo una ruta al espacio de direcciones de la LAN de la oficina remotpuede dirigir todo el tráfico asociado a dicha LAN a la interfaz tunnel.1, y poestá asociada tunnel.1.

Como no se requieren servicios NAT basados en directivas, una configuracrequiere que tunnel.1 tenga una dirección IP/máscara de red, y una configudirectivas ni siquiera requiere una interfaz de túnel.

Eth110.1.1.1/24

NAT

Internet

Zona Untrust


Oficinade París

Eth3, 1.1.1.1/24tunnel.1, sin numerar



107

de entrada y salida. El rojo en la ilustración anterior. ue aparecen en azul.roxy a partir de las directivas1. xtremos del túnel VPN deben

cuya dirección IP es 0.0.0.0/0, extremo. Por ejemplo:

para definir las direcciones IP tilizar directivas más restrictivas n de destino y tipo de servicio.

basadas en directivas.

LAN

Zona Trust

París Untrust, 10.2.2.0/24Trust_LAN Trust, 10.2.2.0/24

Eth110.2.2.1/24

NAT

las ID de proxy no

coincidirán, y las

negociaciones IKE

fracasarán.


2. DireccionesLos administradores definen direcciones para su posterior uso en directivasadministrador de la oficina de Tokio define las direcciones que aparecen enAsimismo, el administrador de la oficina de París configura las direcciones qPara VPN basadas en directivas, el dispositivo NetScreen deriva las ID de pComo las ID de proxy utilizadas por los dispositivos NetScreen-A a ambos ecoincidir exactamente, no es posible utilizar la dirección predefinida “ANY”, en un extremo del túnel si se utiliza una dirección más específica en el otro

Para las VPN basadas en rutas, es posible utilizar “0.0.0.0/0–0.0.0.0/0–any”local y remota y el tipo de servicio para una ID de proxy. Y luego se pueden upara filtrar el tráfico VPN entrante y saliente por dirección de origen, direcció

1. En ScreenOS 5.0.0, también es posible definir IDs de proxy para túneles VPN referenciados en configuraciones VPN

LAN Internet

Zona Untrust


Oficinade París

Trust_LAN Trust, 10.1.1.0/24Tokio Untrust, 10.1.1.0/24

Eth110.1.1.1/24

NAT



Si la ID de proxy de Tokio es ... y la ID de proxy de París es ...

From: 0.0.0.0/0 To: 10.1.1.0/24

To: 10.2.2.0/24 From: 10.2.2.0/24

Service: ANY Service: ANY


108

ertificado para renovar (es ente en intervalos definidos cia, actualizar estas claves de clave excesivamente

dirección IP asignada de oto sea diferente cada vez locutor deben iniciar el tráfico

autenticación), el interlocutor de fase 1 en modo dinámico

l de las claves de encriptación ño de túneles VPN.

Zona Trust

LANTrust_LAN Trust, 10.2.2.0/24París Untrust, 10.2.2.0/24Eth1

10.2.2.1/24NAT


3. VPNEs posible configurar una de las tres VPNs siguientes:

– AutoKey IKE

El método AutoKey IKE utiliza una clave previamente compartida o un cdecir, modificar) las claves de encriptación y autenticación automáticampor el usuario (conocidos como periodos de vigencia de clave). En esencon frecuencia refuerza la seguridad, aunque unos periodos de vigenciabreves pueden reducir el rendimiento general.

– Interlocutor dinámico

Un interlocutor dinámico es una puerta de enlace remota que tiene una forma dinámica. Como es posible que la dirección IP del interlocutor remque comienzan las negociaciones IKE, los hosts situados detrás del interVPN. Asimismo (si se utiliza una clave previamente compartida para la debe enviar una ID IKE durante el primer mensaje de las negociacionespara identificarse.

– Clave manual

El método de clave manual requiere la configuración y actualización manuay autenticación. Este método es una opción viable para un conjunto peque

Internet

Túnel: vpn1

Zona Untrust


Oficinade París

LANTrust_LAN Trust, 10.1.1.0/24Tokio Untrust, 10.1.1.0/24

Eth110.1.1.1/24

NAT




109

as rutas siguientes:vés de tunnel.1. de túnel VPN externo, para el más allá (1.1.1.250 para la la puerta de enlace

tráfico para el que no disponga

tunnel.1 a “inactivo” y cualquier een no utilice la ruta ra de ethernet3 sin encriptar. vía tráfico a la interfaz Null, una nula una métrica superior (más ndo la ruta nula menos

si desde el punto de vista de la oficina nte al dispositivo NetScreen de Tokio

Zona Trust

LAN

trust-vrDst 10.1.1.0/24Utilizar tunnel.1Dst 10.1.1.0/24Utilizar NULLMétrica: 50Dst 0.0.0.0/0 Utilizar puertade enlace eth3: 2.2.2.250

Trust_LAN Trust, 10.2.2.0/24París Untrust, 10.2.2.0/24

Eth110.2.2.1/24

NAT


4. RutasLos administradores de cada extremo del túnel deben configurar al menos l

– Una ruta para tráfico destinada a una dirección de la LAN remota a tra– Una ruta predeterminada para el resto del tráfico, incluyendo el tráfico

acceso a Internet a través de ethernet3 y el enrutador externo situadooficina de Tokio y 2.2.2.250 para la de París)2. El enrutador externo espredeterminada hacia la que el dispositivo NetScreen reenvía todo el de una ruta específica en su tabla de enrutamiento.

– Una ruta nula, de modo que si en algún momento el estado cambia de ruta que haga referencia a tunnel.1 se desactiva, el dispositivo NetScrpredeterminada para reenviar el tráfico destinado a la LAN remota fueUna ruta nula utiliza la LAN remota como dirección de destino, pero eninterfaz lógica que descarta todo el tráfico que recibe. Asigne a la ruta alejada de cero) que la ruta a la LAN remota que utiliza tunnel.1, haciepreferente que la ruta que hace referencia a la interfaz de tunnel.1.

2. Si el dispositivo NetScreen de la oficina de Tokio recibe su dirección IP externa de forma dinámica de su ISP (es decir,de París, el dispositivo NetScreen de la oficina de Tokio es un interlocutor dinámico), el ISP proporciona automáticamesu dirección IP de puerta de enlace predeterminada.

Internet

Túnel: vpn1

trust-vrDst 10.2.2.0/24Utilizar tunnel.1Dst 10.2.2.0/24Utilizar NULLMétrica: 50Dst 0.0.0.0/0 Utilizar puertade enlace eth3: 1.1.1.250

Zona Untrust


Oficinade París


Eth3, 1.1.1.1/24

Eth3, 2.2.2.2/24


Enrutador externo, 1.1.1.250


Enrutador externo, 2.2.2.250

Eth110.1.1.1/24

NAT

Interfaz Null

Interfaz Null


110

itir el tráfico entre las dos

en la zona Trust hasta “París” o

kio” en la zona Untrust hasta

al túnel VPN vpn1, no es

Zona Trust

LAN

trust-vrDst 10.1.1.0/24Utilizar tunnel.1Dst 0.0.0.0/0 Utilizar puertade enlace eth3: 2.2.2.250

Trust -> UntrustTrust_LAN -> ParísANY, PermitUntrust -> TrustParís-> Trust_LANANY, Permit

Trust_LAN Trust, 10.2.2.0/24París Untrust, 10.2.2.0/24Eth1

10.2.2.1/24NAT


5. DirectivasLos administradores de cada extremo del túnel definen directivas para permoficinas:

– Una directiva que permita cualquier tipo de tráfico desde “Trust_LAN” “Tokio” en la zona Untrust

– Una directiva que permita cualquier tipo de tráfico desde “París” o “To“Trust_LAN” en la zona Trust

Como la ruta preferente al punto remoto indica tunnel.1, que está asociada necesario que la directiva haga referencia al túnel VPN.

Eth3, 1.1.1.1/24

Eth3, 2.2.2.2/24





Internet

Túnel: vpn1

trust-vrDst 10.2.2.0/24Utilizar tunnel.1Dst 0.0.0.0/0 Utilizar puertade enlace eth3: 1.1.1.250

Zona Untrust


Oficinade París


Trust -> UntrustTrust_LAN -> ParísANY, PermitUntrust -> TrustParís-> Trust_LANANY, Permit

Eth110.1.1.1/24

NAT

Interfaz Null

Interfaz Null


111

o o un par de certificados (uno kio y París. Para los niveles de g2-3des-sha para el método de conjunto de propuestas

viamente compartido o

uridad y a la interfaz de túnel.

sociarla a la interfaz de túnel y

ParísZona Trust

eth1, 10.2.2.1/24

Zona Trustt

París

opología de las zonas figuradas en el dispositivo

NetScreen de París


Ejemplo: VPN punto a punto basada en rutas, AutoKey IKEEn este ejemplo, un túnel AutoKey IKE que utiliza un secreto previamente compartidpor cada extremo del túnel) proporciona la conexión segura entre las oficinas de Toseguridad de las fases 1 y 2, debe especificar una propuesta de fase 1 (ya sea pre-clave previamente compartida o rsa-g2-3des-sha para certificados) y seleccionar el predefinido “Compatible” para la fase 2. Todas las zonas se encuentran en trust-vr.

La configuración de un túnel AutoKey IKE basado en rutas mediante un secreto precertificados implica los siguientes pasos:

1. Asignar direcciones IP a las interfaces físicas asociadas a las zonas de seg

2. Configurar el túnel VPN, designar su interfaz de salida en la zona Untrust, aconfigurar su ID de proxy.

TokioZona Trust

eth1, 10.1.1.1/24

Interfaz de salidaZona Untrust

eth3, 1.1.1.1/24Puerta de enlace 1.1.1.250

Túnel VPN

Internet



Topología de las zonas configuradas en el dispositivo

NetScreen de Tokio

Zona Trust

Zona Untrust

Zona Untrus

TokioParísTokio

Tcon

Interfaz de túnelTunnel.1

Interfaz de túnelTunnel.1


112

tas de direcciones para las

al destino a través de la s alejada de cero) a la ruta nula n, si el estado de la interfaz de

n se inactiva, el dispositivo lugar de la ruta

sume que ambos participantes a más información sobre cómo

s y haga clic en Apply :

e)

OK :

s y haga clic en OK :

e)


3. Introducir las direcciones IP de los puntos finales local y remoto en las librezonas Trust y Untrust.

4. Introducir una ruta predeterminada al enrutador externo en trust-vr, una rutainterfaz de túnel y otra ruta nula al destino. Asigne una métrica más alta (mápara que se convierta en la siguiente opción de ruta al destino. A continuaciótúnel cambia a “inactivo” y la ruta que hace referencia a esa interfaz tambiéNetScreen utiliza la ruta nula, que descarta todo tráfico enviado hacia él, enpredeterminada, que reenvía tráfico no encriptado.

5. Definir directivas para la circulación del tráfico VPN entre ambos sitios.

En los ejemplos siguientes, la clave previamente compartida es h1p8A24nG5. Se atienen certificados RSA y utilizan Entrust como autoridad de certificación (CA). (Parobtener y cargar certificados, consulte “Certificados y CRLs” en la página 29).

WebUI (Tokio)

1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato

Zone Name: Trust

Static IP: (seleccione esta opción si es posibl

IP Address/Netmask: 10.1.1.1/24

Seleccione los siguientes datos y haga clic en

Interface Mode: NAT

Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato

Zone Name: Untrust




113

ga clic en OK :

lic en OK :

lic en OK :

tos y haga clic en OK :

/Hostname: 2.2.2.2


Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha

Tunnel Interface Name: tunnel.1

Zone (VR): Untrust (trust-vr)

Unnumbered: (seleccione)

Interface: ethernet3 (trust-vr)

2. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c

Address Name: Trust_LAN

IP Address/Domain Name:


Zone: Trust

Objects > Addresses > List > New: Introduzca los siguientes datos y haga c

Address Name: Paris_Office



Zone: Untrust

3. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da

Gateway Name: To_Paris

Security Level: Custom

Remote Gateway Type:

Static IP Address: (seleccione), IP Address


114

avanzados y haga clic en uración básica de puerta de

ecurity Level): pre-g2-3des-sha

tion)


ecurity Level): rsa-g2-3des-sha

OK :



Preshared Key: h1p8A24nG5

Outgoing Interface: ethernet3

> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configenlace:


Phase 1 Proposal (for Custom S

Mode (Initiator): Main (ID Protec

(o bien)

Certificados





Preferred certificate (optional)

Peer CA: Entrust

Peer Type: X509-SIG

VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en

VPN Name: Tokyo_Paris

Security Level: Compatible


115

avanzados y haga clic en uración básica de AutoKey IKE:

l.1

24

0/24




Remote Gateway:

Predefined: (seleccione), To_Paris

> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de config


Bind to: Tunnel Interface, tunne

Proxy-ID: (seleccione)

Local IP / Netmask: 10.1.1.0/

Remote IP / Netmask: 10.2.2.

Service: ANY

4. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient








Interface: Tunnel.1



116


haga clic en OK :

y haga clic en OK :





Interface: Null


Metric: 10

5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Name: To_Paris

Source Address: Trust_LAN

Destination Address: Paris_Office

Service: ANY

Action: Permit

Position at Top: (seleccione)

Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos

Name: From_Paris

Source Address: Paris_Office

Destination Address: Trust_LAN

Service: ANY

Action: Permit



117


e)

OK :


e)

ga clic en OK :

lic en OK :


WebUI (París)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust









Address Name: Trust_LANIP Address/Domain Name:

IP/Netmask: (seleccione), 10.2.2.0/24Zone: Trust


118

lic en OK :


/Hostname: 1.1.1.1



tion)



Address Name: Tokyo_Office



Zone: Untrust


Gateway Name: To_Tokyo











(o bien)


119



OK :


l.1

24

0/24


Certificados






Peer CA: Entrust

Peer Type: X509-SIG


Name: Paris_Tokyo


Remote Gateway:

Predefined: (seleccione), To_Tokyo







Service: ANY


120





4. RutasNetwork > Routing > Routing Entries > trust-vr New : Introduzca los siguient





Network > Routing > Routing Entries > trust-vr New : Introduzca los siguient



Interface: Tunnel.1





Interface: Null


Metric: 10


121

haga clic en OK :

N

ffice

haga clic en OK :

ffice

N



Name: To_Tokyo

Source Address:

Address Book Entry: (seleccione), Trust_LA

Destination Address:

Address Book Entry: (seleccione), Tokyo_O

Service: ANY

Action: Permit


Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y

Name: From_Tokyo

Source Address:




Service: ANY

Action: Permit



122

nterface ethernet3

e

-ip 10.2.2.0/24 any


CLI (Tokio)

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3

2. Direccionesset address trust Trust_LAN 10.1.1.0/24set address untrust Paris_Office 10.2.2.0/24

3. VPN


set ike gateway To_Paris address 2.2.2.2 main outgoing-ipreshare h1p8A24nG5 proposal pre-g2-3des-sha

set vpn Tokyo_Paris gateway To_Paris sec-level compatiblset vpn Tokyo_Paris bind interface tunnel.1set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote

(o bien)


123

nterface ethernet3

e

-ip 10.2.2.0/24 any

gateway 1.1.1.2501tric 10

t_LAN Paris_Office any

aris_Office Trust_LAN

ke ca .


Certificado

set ike gateway To_Paris address 2.2.2.2 main outgoing-iproposal rsa-g2-3des-sha

set ike gateway To_Paris cert peer-ca 13

set ike gateway To_Paris cert peer-cert-type x509-sigset vpn Tokyo_Paris gateway To_Paris sec-level compatiblset vpn Tokyo_Paris bind interface tunnel.1set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote

4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.2.2.0/24 interface tunnel.set vrouter trust-vr route 10.2.2.0/24 interface null me

5. Directivasset policy top name “To Paris” from trust to untrust Trus

permitset policy top name “From Paris” from untrust to trust P

any permitsave

3. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get i


124

nterface ethernet3

e

-ip 10.1.1.0/24 any


CLI (París)




2. Direccionesset address trust Trust_LAN 10.2.2.0/24set address untrust Tokyo_Office 10.1.1.0/24

3. VPN


set ike gateway To_Tokyo address 1.1.1.1 main outgoing-ipreshare h1p8A24nG5 proposal pre-g2-3des-sha

set vpn Paris_Tokyo gateway To_Tokyo sec-level compatiblset vpn Paris_Tokyo bind interface tunnel.1set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote

(o bien)


125

nterface ethernet3

e

-ip 10.1.1.0/24 any


t_LAN Tokyo_Office any

okyo_Office Trust_LAN


Certificado

set ike gateway To_Tokyo address 1.1.1.1 main outgoing-iproposal rsa-g2-3des-sha

set ike gateway To_Tokyo cert peer-ca 1set ike gateway To_Tokyo cert peer-cert-type x509-sigset vpn Paris_Tokyo gateway To_Tokyo sec-level compatiblset vpn Paris_Tokyo bind interface tunnel.1set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote


5. Directivasset policy top name “To_Tokyo” from trust to untrust Trus

permitset policy top name “From_Tokyo” from untrust to trust T

any permitsave


126

Eo o un par de certificados (uno

kio y París. Para los niveles de g2-3des-sha para el método de conjunto de propuestas

eto previamente compartido o

l y remota.

ParísZona Trust1, 10.2.2.1/24

Zona Trust

París

opología de las zonas iguradas en el dispositivo NetScreen de París

Zona Untrust-Tun


Ejemplo: VPN punto a punto basada en directivas, AutoKey IKEn este ejemplo, un túnel AutoKey IKE que utiliza un secreto previamente compartidpor cada extremo del túnel) proporciona la conexión segura entre las oficinas de Toseguridad de las fases 1 y 2, debe especificar una propuesta de fase 1 (ya sea pre-clave previamente compartida o rsa-g2-3des-sha para certificados) y seleccionar el predefinido “Compatible” para la fase 2. Todas las zonas se encuentran en trust-vr.

La configuración de un túnel AutoKey IKE utilizando AutoKey IKE mediante un secrcertificados implica los siguientes pasos:

1. Definir las direcciones IP de la interfaz de zona de seguridad.

2. Realizar entradas en la libreta de direcciones para las entidades finales loca

TokioZona Trust

eth1, 10.1.1.1/24



Túnel VPN

Interneteth




NetScreen de Tokio

Zona Trust

Zona Untrust

Zona Untrust

TokioParísTokio

Tconf

Zona Untrust-Tun


127

ecificar un secreto previamente

sume que ambos participantes a más información sobre cómo


e)

OK :


e)


3. Definir la puerta de enlace remota y el modo de intercambio de claves, y espcompartido o un certificado.

4. Crear la VPN Autokey IKE.

5. Configurar una ruta predeterminada que conduzca al enrutador externo.

6. Configurar directivas.

En los ejemplos siguientes, la clave previamente compartida es h1p8A24nG5. Se atienen certificados RSA y utilizan Entrust como autoridad de certificación (CA). (Parobtener y cargar certificados, consulte “Certificados y CRLs” en la página 29).

WebUI (Tokio)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust




128

lic en OK :

lic en OK :


/Hostname: 2.2.2.2

avanzados y haga clic en OK básica de la puerta de enlace:


tion)






Zone: Trust





Zone: Untrust




Remote Gateway Type:Static IP Address: (seleccione), IP Address

Clave previamente compartidaPreshared Key: h1p8A24nG5


> Advanced: Introduzca los siguientes ajustespara regresar a la página de configuración





129

avanzados y haga clic en OK básica de la puerta de enlace:


tion)

OK :

o_Paris



(o bien)

CertificadosOutgoing Interface: ethernet3

> Advanced: Introduzca los siguientes ajustespara regresar a la página de configuración





Peer CA: Entrust

Peer Type: X509-SIG




Remote Gateway: Predefined: (seleccione), T

4. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient






130

haga clic en OK :

N

ffice

leccione)



Name: To/From Paris

Source Address:



Address Book Entry: (seleccione), Paris_O

Service: ANY

Action: Tunnel

Tunnel VPN: Tokyo_Paris

Modify matching bidirectional VPN policy: (se



131


e)

OK :


e)

lic en OK :

lic en OK :


WebUI (París)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust







Zone: Trust





Zone: Untrust


132


/Hostname: 1.1.1.1



tion)



tion)













(o bien)







Peer CA: Entrust

Peer Type: X509-SIG


133

OK :

o_Tokyo


haga clic en OK :

N

ffice

leccione)



VPN Name: Paris_Tokyo


Remote Gateway: Predefined: (seleccione), T







Name: To/From Tokyo

Source Address:




Service: ANY

Action: Tunnel

Tunnel VPN: Paris_Tokyo




134

nterface ethernet3

e

nterface ethernet3

e

ke ca .


CLI (Tokio)



2. Direccionesset address trust Trust_LAN 10.1.1.0/24set address untrust paris_office 10.2.2.0/24

3. VPN

Clave previamente compartidaset ike gateway to_paris address 2.2.2.2 main outgoing-i

preshare h1p8A24nG5 proposal pre-g2-3des-shaset vpn tokyo_paris gateway to_paris sec-level compatibl

(o bien)

Certificadosset ike gateway to_paris address 2.2.2.2 main outgoing-i

proposal rsa-g2-3des-shaset ike gateway to_paris cert peer-ca 14

set ike gateway to_paris cert peer-cert-type x509-sigset vpn tokyo_paris gateway to_paris sec-level compatibl



135

gateway 1.1.1.250

t Trust_LAN

t paris_office

nterface ethernet3

e


4. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3

5. Directivasset policy top name “To/From Paris” from trust to untrus

paris_office any tunnel vpn tokyo_parisset policy top name “To/From Paris” from untrust to trus

Trust_LAN any tunnel vpn tokyo_parissave

CLI (París)



2. Direccionesset address trust Trust_LAN 10.2.2.0/24set address untrust tokyo_office 10.1.1.0/24

3. VPN


set ike gateway to_tokyo address 1.1.1.1 main outgoing-ipreshare h1p8A24nG5 proposal pre-g2-3des-sha

set vpn paris_tokyo gateway to_tokyo sec-level compatibl

(o bien)


136

nterface ethernet3

fs-esp-3des-sha

gateway 2.2.2.250

t Trust_LAN

t tokyo_office


Certificados

set ike gateway to_tokyo address 1.1.1.1 main outgoing-iproposal rsa-g2-3des-sha

set ike gateway to_tokyo cert peer-ca 1set ike gateway to_tokyo cert peer-cert-type x509-sigset vpn paris_tokyo gateway to_tokyo tunnel proposal nop


5. Directivasset policy top name “To/From Tokyo” from trust to untrus

tokyo_office any tunnel vpn paris_tokyoset policy top name “To/From Tokyo” from untrust to trus

Trust_LAN any tunnel vpn paris_tokyosave


137

ámicoartida o un par de certificados

os NetScreen para proteger las en la oficina de París tiene una rfaz de zona Untrust de forma tiene una dirección fija para su na vez establecido un túnel, el

nel. Todas las zonas de túnel y

Parísona Trust, 10.2.2.1/24

Zona Trust

París

las zonas el dispositivo de París


Ejemplo: VPN punto a punto basada en rutas, interlocutor dinEn este ejemplo, un túnel VPN AutoKey IKE que utiliza una clave previamente comp(uno por cada extremo del túnel) proporciona la conexión segura entre los dispositivoficinas de Tokio y París. La interfaz de zona Untrust para el dispositivo NetScreen dirección IP estática. El ISP de la oficina de Tokio asigna la dirección IP para la intedinámica a través del protocolo DHCP. Como sólo el dispositivo NetScreen de Paríszona Untrust, el tráfico VPN se debe originar desde los hosts de la oficina de Tokio. Utráfico que atraviese el túnel se puede originar desde cualquier extremo de dicho túde seguridad se encuentran en trust-vr.

Internet

Túnel VPN

TokioZona Trust

eth1, 10.1.1.1/24


eth3 y puerta de enlaceasignadas dinámicamente

por el ISPZ

eth1


eth3, 2.2.2.2/24Puerta de enlace

2.2.2.250

Servidor DHCP2.1.1.5Interfaz de túnel

Tunnel.1Interfaz de túnel

Tunnel.1


NetScreen de Tokio

Zona Trust

Zona Untrust

Zona Untrust

TokioParísTokio

Topología deconfiguradas en

NetScreen


138

participantes ya tienen de correo electrónico información sobre la adquisición eles de seguridad de las fases 1 de clave previamente

as “Compatible” para la fase 2.

) a la ruta nula para que se do de la interfaz de túnel activa, el dispositivo NetScreen ruta predeterminada, que

s.


e)

OK :


OK :

ediante comandos CLI.


La clave previamente compartida es h1p8A24nG5. Se parte de la base de que amboscertificados RSA emitidos por la autoridad de certificación (CA) Verisign, y la direcció[email protected] aparece en el certificado local de NetScreen A. (Para obtener más y la carga de certificados, consulte “Certificados y CRLs” en la página 29). Para los nivy 2, debe especificar una propuesta de fase 1 (ya sea pre-g2-3des-sha para el métodocompartida o rsa-g2-3des-sha para certificados) y seleccionar el conjunto de propuestIndique tres rutas en los dispositivos NetScreen en cada extremo del túnel VPN:

• Una ruta predeterminada que conduzca al enrutador externo en trust-vr.• Una ruta al destino a través de la interfaz de túnel• Una ruta nula al destino. Asigne una métrica más alta (más alejada de cero

convierta en la siguiente opción de ruta al destino. A continuación, si el estacambia a “inactivo” y la ruta que hace referencia a esa interfaz también se inutiliza la ruta nula, que descarta todo tráfico enviado hacia él, en lugar de lareenvía tráfico no encriptado.

Finalmente, configure directivas para permitir tráfico bidireccional entre los dos sitio

WebUI (Tokio)1. Interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datoZone Name: TrustStatic IP: (seleccione esta opción si es posiblIP Address/Netmask: 10.1.1.1/24

Seleccione los siguientes datos y haga clic enInterface Mode: NAT

Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datoZone Name: UntrustIntroduzca los siguientes datos y haga clic enObtain IP using DHCP: (seleccione)5

5. La dirección IP del servidor DHCP no se puede especificar mediante WebUI; no obstante, sí se puede especificar m


139

ga clic en OK :

lic en OK :

lic en OK :


/Hostname: 2.2.2.2











Zone: Trust





Zone: Untrust







140







Local ID: [email protected]





Mode (Initiator): Aggressive

(o bien)

CertificadosLocal ID: [email protected]






Preferred Certificate (optional):

Peer CA: Verisign

Peer Type: X509-SIG

6. El U-FQDN “[email protected]” debe aparecer en el campo SubjectAltName del certificado.


141

OK :


cione), tunnel.1

24

0/24







Remote Gateway:



Bind to: Tunnel Interface: (selec




Service: ANY









Interface: Tunnel.1


7. El ISP proporciona la dirección IP de la puerta de enlace de forma dinámica a través del protocolo DHCP.


142


haga clic en OK :

N

ffice

haga clic en OK :

ffice

N





Interface: Null


Metric: 10


Source Address:




Service: Any

Action: Permit



Source Address:




Service: Any

Action: Permit



143


e)

OK :


e)

ga clic en OK :

lic en OK :


WebUI (París)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust


IP Address: 2.2.2.2/24










Zone: Trust


144

lic en OK :


: [email protected]








Zone: Untrust





Dynamic IP Address: (seleccione), Peer ID








(o bien)


145



OK :


cione), tunnel.1

24

0/24


Certificados







Peer CA: Verisign

Peer Type: X509-SIG


VPN Name: Paris_Tokyo


Remote Gateway:



Bind to: Tunnel Interface: (selec




Service: ANY


146


0








Gateway IP Address: (seleccione), 2.2.2.25




Interface: Tunnel.1





Interface: Null


Metric: 10


147

haga clic en OK :

N

ffice

haga clic en OK :

ffice

N



Source Address:




Service: Any

Action: Permit



Source Address:




Service: Any

Action: Permit



148

1.5

l-id [email protected] posal pre-g2-3des-shampatible

-ip 10.2.2.0/24 any


CLI (Tokio)


set interface ethernet3 zone untrustset interface ethernet3 dhcp clientset interface ethernet3 dhcp client settings server 1.1.



3. VPN

Clave previamente compartidaset ike gateway To_Paris address 2.2.2.2 aggressive loca

outgoing-interface ethernet3 preshare h1p8A24nG5 proset vpn Tokyo_Paris gateway To_Paris tunnel sec-level coset vpn Tokyo_Paris bind interface tunnel.1set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote

(o bien)


149

l-id [email protected] a

mpatible

-ip 10.2.2.0/24 any

10

1tric 10

ice any permitLAN any permit

ke ca .

o, no se puede especificar aquí.


Certificadosset ike gateway To_Paris address 2.2.2.2 aggressive loca

outgoing-interface ethernet3 proposal rsa-g2-3des-shset ike gateway To_Paris cert peer-ca 19

set ike gateway To_Paris cert peer-cert-type x509-sigset vpn Tokyo_Paris gateway To_Paris tunnel sec-level coset vpn Tokyo_Paris bind interface tunnel.1set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote


5. Directivasset policy top from trust to untrust Trust_LAN Paris_Offset policy top from untrust to trust Paris_Office Trust_save



10. El ISP proporciona la dirección IP de la puerta de enlace de forma dinámica a través del protocolo DHCP, por lo tant


150

ve outgoing-interface hampatible

-ip 10.1.1.0/24 any


CLI (París)





3. VPN

Clave previamente compartidaset ike gateway To_Tokyo dynamic [email protected] aggressi

ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sset vpn Paris_Tokyo gateway To_Tokyo tunnel sec-level coset vpn Paris_Tokyo bind interface tunnel.1set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote

(o bien)


151

ve outgoing-interface

mpatible

-ip 10.1.1.0/24 any


ice any permitLAN any permit

ke ca .


Certificadosset ike gateway To_Tokyo dynamic [email protected] aggressi

ethernet3 proposal rsa-g2-3des-shaset ike gateway To_Tokyo cert peer-ca 111

set ike gateway To_Tokyo cert peer-cert-type x509-sigset vpn Paris_Tokyo gateway To_Tokyo tunnel sec-level coset vpn Paris_Tokyo bind interface tunnel.1set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote


5. Directivasset policy top from trust to untrust Trust_LAN Tokyo_Offset policy top from untrust to trust Tokyo_Office Trust_save



152

r dinámicorust situados detrás de tScreen B. La interfaz de zona igna la dirección IP para su e sólo NetScreen B tiene una ituados detrás de NetScreen A. se puede originar desde miento trust-vr.

Servidor de correo3.3.3.5

PeticiónIDENT

Zona DMZ

st

B

Topología de las zonas nfiguradas en NetScreen-B

en la sede central

ina corporativaZona DMZ

h2, 3.3.3.3/24


Ejemplo: VPN punto a punto basada en directivas, interlocutoEn este ejemplo, un túnel VPN conecta de forma segura a los usuarios de la zona TNetScreen A con el servidor de correo de la zona corporativa DMZ protegida por NeUntrust para NetScreen B tiene una dirección IP estática. El ISP de NetScreen A asinterfaz de zona Untrust de forma dinámica a través del protocolo DHCP. Puesto qudirección fija para su zona Untrust, el tráfico VPN se debe originar desde los hosts sUna vez que NetScreen A haya establecido el túnel, el tráfico que atraviese el túnelcualquiera de sus extremos. Todas las zonas se encuentran en el dominio de enruta

Internet

Túnel VPNNetScreen-A NetScreen-BPeticiónSMTP o POP3

Topología de las zonas configuradas en NetScreen-A

en la sucursal

Zona Trust

Zona Untrust

ZonaUntru

ABA

co

SucursalZona Trust

eth1, 10.1.1.1/24


eth3 y puerta de enlaceasignadas dinámicamente

por el ISP

Ofic

et



2.2.2.250

Nota: antes de realizar una conexión SMTP o POP3 con el servidor de correo corporativo, Phil debe iniciar primero una conexión HTTP, FTP o Telnet para que NetScreen A pueda autenticarle.

Servidor DHCP2.1.1.5


153

; contraseña: Nd4syst4) desea rlo, pasa por dos s de permitir que el tráfico tentica de nuevo enviando una

s participantes ya tienen n de correo electrónico s información sobre la ). Para los niveles de seguridad ara el método de clave

to de propuestas predefinido


e)

OK :

ro una conexión HTTP, FTP o Telnet autenticarle. Una vez que NetScreen el VPN.

i los administradores de los rto 113) y configuran directivas


En este ejemplo, el usuario de autenticación local Phil (nombre de usuario: pmasonrecoger su correo electrónico del servidor del sitio corporativo. Cuando intenta haceautenticaciones: primero, el dispositivo NetScreen A le autentica de forma local anteoriginado por él atraviese el túnel12; después, el programa de servidor de correo le aupetición IDENT a través del túnel.

La clave previamente compartida es h1p8A24nG5. Se parte de la base de que ambocertificados RSA emitidos por la autoridad de certificación (CA) Verisign, y la direcció[email protected] aparece en el certificado local de NetScreen A. (Para obtener máadquisición y la carga de certificados, consulte “Certificados y CRLs” en la página 29de las fases 1 y 2, debe especificar la propuesta de fase 1 (ya sea pre-g2-3des-sha ppreviamente compartida o rsa-g2-3des-sha para certificados) y seleccionar el conjun“Compatible” para la fase 2.

WebUI (NetScreen-A)


Zone Name: Trust




Interface Mode: NAT

12. Como Phil es un usuario de autenticación, antes de que pueda realizar una petición SMTP o POP3, debe iniciar primepara que NetScreen A pueda responder con un mensaje de petición de inicio de sesión/usuario de cortafuegos paraA le haya autenticado, tendrá permiso para establecer contacto con el servidor de correo corporativo a través del tún

Nota: El servidor de correo puede enviar la petición IDENT a través del túnel sólo sdispositivos NetScreen A y B agregan un servicio personalizado para ello (TCP, pueque permitan el tráfico a través del túnel hacia la subred 10.10.10.0/24.


154


en OK :

lic en OK :

lic en OK :

ediante comandos CLI.



Zone Name: Untrust

Obtain IP using DHCP: (seleccione)13

2. UsuarioObjects > Users > Local > New: Introduzca los siguientes datos y haga clic

User Name: pmason

Status: Enable

Authentication User: (seleccione)

User Password: Nd4syst4

Confirm Password: Nd4syst4


Address Name: Trusted network



Zone: Trust


Address Name: Mail Server



Zone: Untrust

13. La dirección IP del servidor DHCP no se puede especificar mediante WebUI; no obstante, sí se puede especificar m


155

clic en OK :

los siguientes servicios y,


/Hostname: 2.2.2.2


4. ServiciosObjects > Services > Custom > New: Introduzca los siguientes datos y haga

Service Name: Ident

Service Timeout:

Use protocol default: (seleccione)

Transport Protocol: TCP (seleccione)

Source Port: Low 0, High 65535

Destination Port: Low 113, High 113

Objects > Services > Group > New: Introduzca los siguientes datos, muevafinalmente, haga clic en OK :

Group Name: Remote_Mail

Group Members << Available Members:

HTTPFTPTelnetIdentMAILPOP3


Gateway Name: To_Mail





156







Local ID: [email protected]






(o bien)

CertificadosLocal ID: [email protected]







Peer CA: Verisign

Peer Type: X509-SIG


157

OK :


haga clic en OK :

network

ver

leccione)



Name: branch_corp


Remote Gateway Tunnel: To_Mail







Source Address:

Address Book Entry: (seleccione), Trusted


Address Book Entry: (seleccione), Mail Ser

Service: Remote_Mail

Action: Tunnel

VPN Tunnel: branch_corp





158

avanzados y haga clic en uración básica de directiva:

User - pmason


e)


e)

lic en OK :



Authentication: (seleccione)

Auth Server: Local

User: (seleccione), Local Auth

WebUI (NetScreen-B)


Zone Name: DMZ




Zone Name: Untrust







Zona: DMZ


159

lic en OK :

clic en OK :




Address Name: branch office



Zone: Untrust


Service Name: Ident

Service Timeout:








Ident

MAIL

POP3


160

y haga clic en OK :

[email protected]

vanzados y haga clic en ación básica de puerta de

urity Level): pre-g2-3des-sha

vanzados y haga clic en ación básica de puerta de

urity Level): rsa-g2-3des-sha


4. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos

Gateway Name: To_branchSecurity Level: CustomRemote Gateway Type:

Dynamic IP Address: (seleccione), Peer ID: p

Clave previamente compartidaPreshared Key: h1p8A24nG5Outgoing Interface: ethernet3> Advanced: Introduzca los siguientes ajustes a

Return para regresar a la página de configurenlace:

Security Level: CustomPhase 1 Proposal (for Custom SecMode (Initiator): Aggressive

(o bien)

CertificadosOutgoing Interface: ethernet3> Advanced: Introduzca los siguientes ajustes a

Return para regresar a la página de configurenlace:

Security Level: CustomPhase 1 Proposal (for Custom SecMode (Initiator): AggressivePreferred Certificate (optional):

Peer CA: VerisignPeer Type: X509-SIG


161

OK :


haga clic en OK :

ver

ffice

leccione)



VPN Name: corp_branch


Remote Gateway:

Predefined: (seleccione), To_branch






6. DirectivasPolicies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y

Source Address:



Address Book Entry: (seleccione), branch o


Action: Tunnel

VPN Tunnel: corp_branch




162

1.5

113-113


CLI (NetScreen-A)


set interface ethernet3 zone untrustset interface ethernet3 dhcp clientset interface ethernet3 dhcp client settings server 1.1.

2. Usuarioset user pmason password Nd4syst4

3. Direccionesset address trust “trusted network” 10.1.1.0/24set address untrust “mail server” 3.3.3.5/32

4. Serviciosset service ident protocol tcp src-port 0-65535 dst-portset group service remote_mailset group service remote_mail add httpset group service remote_mail add ftpset group service remote_mail add telnetset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3


163

-id [email protected] posal pre-g2-3des-sha

-id [email protected] a

17

mail server” user pmasonted network”

ke ca .


5. VPN

Clave previamente compartidaset ike gateway to_mail address 2.2.2.2 aggressive local

outgoing-interface ethernet3 preshare h1p8A24nG5 proset vpn branch_corp gateway to_mail sec-level compatible

(o bien)

Certificadosset ike gateway to_mail address 2.2.2.2 aggressive local

outgoing-interface ethernet3 proposal rsa-g2-3des-shset ike gateway to_mail cert peer-ca 116

set ike gateway to_mail cert peer-cert-type x509-sigset vpn branch_corp gateway to_mail sec-level compatible


7. Directivasset policy top from trust to untrust “trusted network” “

remote_mail tunnel vpn branch_corp auth server Localset policy top from untrust to trust “mail server” “trus

remote_mail tunnel vpn branch_corpsave





164

113-113

ive outgoing-interface haompatible


CLI (NetScreen-B)

1. Interfacesset interface ethernet2 zone dmzset interface ethernet2 ip 3.3.3.3/24


2. Direccionesset address dmz “mail server” 3.3.3.5/32set address untrust “branch office” 10.1.1.0/24

3. Serviciosset service ident protocol tcp src-port 0-65535 dst-portset group service remote_mailset group service remote_mail add identset group service remote_mail add mailset group service remote_mail add pop3

4. VPN


set ike gateway to_branch dynamic [email protected] aggressethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-s

set vpn corp_branch gateway to_branch tunnel sec-level c

(o bien)


165

ive outgoing-interface

le

gateway 2.2.2.250

office” remote_mail

server” remote_mail

ke ca .


Certificados

set ike gateway to_branch dynamic [email protected] aggressethernet3 proposal rsa-g2-3des-sha

set ike gateway to_branch cert peer-ca 118

set ike gateway to_branch cert peer-cert-type x509-sigset vpn corp_branch gateway to_branch sec-level compatib


6. Directivasset policy top from dmz to untrust “mail server” “branch

tunnel vpn corp_branchset policy top from untrust to dmz “branch office” “mail

tunnel vpn corp_branchsave



166

a entre las oficinas de Tokio y son las siguientes:

to trust-vr. La interfaz de zona

thernet1): 10.2.2.1/24

(ethernet3): 2.2.2.2/24

ParísZona Trust

eth1, 10.2.2.1/24

Zona Trust

st

París

Topología de las zonas nfiguradas en el dispositivo

NetScreen de París


Ejemplo: VPN punto a punto basada en rutas, clave manualEn este ejemplo, un túnel con clave manual ofrece un canal de comunicación segurParís. Las zonas Trust de cada punto se encuentran en modo NAT. Las direcciones

Las zonas de seguridad Trust y Untrust se encuentran en el dominio de enrutamienUntrust (ethernet3) actúa como interfaz de salida para el túnel VPN.

• Tokio:

- Interfaz de zona Trust (ethernet1): 10.1.1.1/24

- Interfaz de zona Untrust (ethernet3): 1.1.1.1/24

• París:

- Interfaz de zona Trust (e

- Interfaz de zona Untrust

TokioZona Trust

eth1, 10.1.1.1/24



1.1.1.250

Túnel VPN

Internet



2.2.2.250


NetScreen de Tokio

Zona Trust

Zona Untrust

ZonaUntru

TokioParísTokio

co

Interfaz de túneltunnel.1

Interfaz de túneltunnel.1


167

reen a ambos extremos del


asociarla a la interfaz de túnel.





e)

OK :


e)


Para configurar el túnel, lleve a cabo los siguientes pasos en los dispositivos NetSctúnel:


2. Configurar el túnel VPN, designar su interfaz de salida en la zona Untrust y




WebUI (Tokio)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust




168

ga clic en OK :

lic en OK :

lic en OK :

K :











Zone: Trust





Zone: Untrust

3. VPNVPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en O

VPN Tunnel Name: Tokyo_Paris

Gateway IP: 2.2.2.2

Security Index: 3020 (Local), 3030 (Remote)


ESP-CBC: (seleccione)

Encryption Algorithm: 3DES-CBC


169

avanzados y haga clic en uración básica del túnel de

l.1





Generate Key by Password: asdlk24234

Authentication Algorithm: SHA-1

Generate Key by Password: PNas134a

> Advanced: Introduzca los siguientes ajustes Return para regresar a la página de configclave manual:










Interface: tunnel.1





Interface: Null


Metric: 10


170

haga clic en OK :

N

ffice

haga clic en OK :

ffice

N



Name: To Paris

Source Address:




Service: ANY

Action: Permit



Name: From Paris

Source Address:




Service: ANY

Action: Permit



171


e)

OK :


e)

ga clic en OK :

lic en OK :


WebUI (París)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust












Zone: Trust


172

lic en OK :

K :


l.1






Zone: Untrust


VPN Tunnel Name: Paris_Tokyo

Gateway IP: 1.1.1.1











173





4. RutasNetwork > Routing > Routing Entries > trust-vr New : Introduzca los siguient








Interface: tunnel.1





Interface: Null


Metric: 10


174

haga clic en OK :

N

ffice

haga clic en OK :

ffice

N



Name: To Tokyo

Source Address:




Service: ANY

Action: Permit



Name: From Tokyo

Source Address:




Service: ANY

Action: Permit



175

going-interface ssword PNas134a


t_LAN Paris_Office any

aris_Office Trust_LAN


CLI (Tokio)





3. VPNset vpn Tokyo_Paris manual 3020 3030 gateway 2.2.2.2 out

ethernet3 esp 3des password asdlk24234 auth sha-1 paset vpn Tokyo_Paris bind interface tunnel.1



permitset policy top name “From Paris” from untrust to trust P

any permitsave


176



t_LAN Tokyo_Office any

okyo_Office Trust_LAN


CLI (París)





3. VPNset vpn Paris_Tokyo manual 3030 3020 gateway 1.1.1.1 out

ethernet3 esp 3des password asdlk24234 auth sha-1 paset vpn Paris_Tokyo bind interface tunnel.1


5. Directivasset policy top name “To Tokyo” from trust to untrust Trus

permitset policy top name “From Tokyo” from untrust to trust T

any permitsave


177

nuala entre las oficinas de Tokio y t de cada punto se encuentran

en el dominio de enrutamiento l túnel VPN.

10.2.2.1/24

): 2.2.2.2/24

ParísZona Trust

th1, 10.2.2.1/24

Zona Trust

st

París

Topología de las zonas nfiguradas en el dispositivo

NetScreen de París

Zona Untrust-Tun


Ejemplo: VPN punto a punto basada en directivas, clave maEn este ejemplo, un túnel con clave manual ofrece un canal de comunicación segurParís utilizando ESP con encriptación 3DES y autenticación SHA-1. Las zonas Trusen modo NAT. Las direcciones son las siguientes:

Las zonas de seguridad Trust y Untrust y la zona de túnel Untrust-Tun se encuentrantrust-vr. La interfaz de zona Untrust (ethernet3) actúa como interfaz de salida para e

• Tokio:

- Interfaz Trust (ethernet1): 10.1.1.1/24

- Interfaz Untrust (ethernet3): 1.1.1.1/24

• París:

- Interfaz Trust (ethernet1):

- Interfaz Untrust (ethernet3

TokioZona Trust

eth1, 10.1.1.1/24



1.1.1.250

Túnel VPN

Internete



2.2.2.250


NetScreen de Tokio

Zona Trust

Zona Untrust

ZonaUntru

TokioParísTokio

co

Zona Untrust-Tun


178

etScreen-A ambos extremos

uridad.


por el túnel.


e)

OK :


e)

lic en OK :


Para configurar el túnel, lleve a cabo los cinco pasos siguientes en los dispositivos Ndel túnel:


2. Configurar el túnel VPN y designar su interfaz de salida en la zona Untrust.


4. Introducir una ruta predeterminada que conduzca al enrutador externo.

5. Configurar directivas para que el tráfico VPN circule de forma bidireccional

WebUI (Tokio)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust







179

lic en OK :

K :


un



Zone: Trust





Zone: Untrust


VPN Tunnel Name: Tokyo_Paris

Gateway IP: 2.2.2.2









Bind to: Tunnel Zone, Untrust-T


180


haga clic en OK :

N

ffice

leccione)








Name: To/From Paris

Source Address:




Service: ANY

Action: Tunnel

Tunnel VPN: Tokyo_Paris




181


e)

OK :


e)

lic en OK :

lic en OK :


WebUI (París)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust







Zone: Trust





Zone: Untrust


182

K :

020 (Remote)


un




VPN Tunnel Name: Paris_Tokyo

Gateway IP: 1.1.1.1

Security Index (HEX Number): 3030 (Local), 3















183

haga clic en OK :

N

ffice

leccione)



Name: To/From Tokyo

Source Address:




Service: ANY

Action: Tunnel

Tunnel VPN: Paris_Tokyo




184


gateway 1.1.1.250

t Trust_LAN

t paris_office


CLI (Tokio)




3. VPNset vpn tokyo_paris manual 3020 3030 gateway 2.2.2.2 out

ethernet3 esp 3des password asdlk24234 auth sha-1 paset vpn tokyo_paris bind zone untrust-tun


5. Directivasset policy top name “To/From Paris” from trust to untrus

paris_office any tunnel vpn tokyo_parisset policy top name “To/From Paris” from untrust to trus

Trust_LAN any tunnel vpn tokyo_parissave


185


gateway 2.2.2.250

t Trust_LAN

t tokyo_office


CLI (París)




3. VPNset vpn paris_tokyo manual 3030 3020 gateway 1.1.1.1 out

ethernet3 esp 3des password asdlk24234 auth sha-1 paset vpn paris_tokyo bind zone untrust-tun


5. Directivasset policy top name “To/From Tokyo” from trust to untrus

tokyo_office any tunnel vpn paris_tokyoset policy top name “To/From Tokyo” from untrust to trus

Trust_LAN any tunnel vpn paris_tokyosave

Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN

186

especificar su nombre de . Por ejemplo, un proveedor de rotocolo DHCP. El ISP toma

e conectan en línea. Aunque el forma impredecible. El ain Name Service”) entre su

dinámico).uede avisar manualmente al ada vez que el dispositivo

N en el que se esté ejecutando cambios de dirección para que

o de dispositivo terminal VPN, utomática entre FQDN y

es posible configurar un túnel e una dirección IP.

28 = www.ns.com

Servidor DNS

terlocutor IKE

Servidor DHCP

2s.com


PUERTAS DE ENLACE IKE DINÁMICAS CON FQDNPara un interlocutor IKE que obtenga su dirección IP de forma dinámica, es posible dominio completo (FQDN) en la configuración local para la puerta de enlace remotaservicios de Internet (ISP) podría asignar direcciones IP a sus clientes a través del pdirecciones de un amplio conjunto de direcciones y las asigna cuando los clientes sinterlocutor IKE posee un FQDN que no varía, tiene una dirección IP que cambia deinterlocutor IKE dispone de tres métodos para mantener una asignación DNS (“DomFQDN y su dirección IP asignada de forma dinámica (un proceso denominado DNS

• Si el interlocutor IKE remoto es un dispositivo NetScreen, el administrador pservidor DNS para que actualice su asignación entre FQDN y dirección IP cNetScreen reciba una dirección IP nueva de su ISP.

• Si el interlocutor IKE remoto es cualquier otro tipo de dispositivo terminal VPsoftware DNS dinámico, dicho software puede notificar al servidor DNS susel servidor actualice su tabla de asignación entre FQDN y dirección IP.

• Si el interlocutor IKE remoto es un dispositivo NetScreen o cualquier otro tipun host ubicado detrás de él puede ejecutar un programa de actualización adirección IP que avise al servidor DNS de los cambios de dirección.

Sin que sea necesario conocer la dirección IP actual de un interlocutor IKE remoto, VPN AutoKey IKE que conecte con dicho interlocutor utilizando su FQDN en lugar d

2.2.2.

2.2.2.10 –2.2.7.9

Conjunto de direcciones IP

InDispositivo NetScreen local

1.1.1.1Túnel VPN

Internet

1. El servidor DHCP toma la dirección 2.2.2.28 de su conjunto de direcciones IP y la asigna al interlocutor IKE.

2. El interlocutor IKE notifica al servidor DNS la nueva dirección para que éste pueda actualizar su tabla de asignación entre FQDN y dirección IP.

1

www.n


187

ervidor DNS al que consulta el elve varias direcciones IP, el re el orden de aparición de las

en local utilice la dirección IP

Servidor DNS

nterlocutor IKE remoto

nterlocutor IKE remoto

terlocutor IKE remoto


AliasTambién es posible utilizar un alias para el FQDN del interlocutor IKE remoto si el sdispositivo NetScreen local devuelve sólo una dirección IP. Si el servidor DNS devudispositivo local utilizará la primera que reciba. Como no existe ninguna garantía sobdirecciones en la respuesta del servidor DNS, es posible que el dispositivo NetScreincorrecta y, por tanto, las negociaciones IKE podrían fracasar.

Consulta DNS: www.jnpr.net = IP ?

Respuesta DNS:www.jnpr.net = 1.1.1.202www.jnpr.net = 1.1.1.114www.jnpr.net = 1.1.1.20

El dispositivo NetScreen utiliza esta dirección IP.

Si el interlocutor IKE remoto se encuentra en 1.1.1.202, las negociaciones IKE se desarrollan

con éxito.

Dispositivo NetScreen local

Dispositivo NetScreen local I

Si el interlocutor IKE remoto se encuentra en

1.1.1.114 ó

1.1.1.20, las negociaciones IKE fracasan.

Dispositivo NetScreen local I

El dispositivo NetScreen local desea establecer un túnel VPN IKE con su

interlocutor remoto. Utiliza www.jnpr.net como dirección de puerta

de enlace remota.

Dispositivo NetScreen local In

1

2

3a

3b


188

partido o un par de certificados de Tokio y París. La oficina de kio utiliza el FQDN del en su configuración de

veles de seguridad de las fases todo de clave previamente stas predefinido “Compatible”

Zona Trust

París

opología de las zonas guradas en el dispositivo NetScreen de París

ParísZona Trust

eth1, 10.2.2.1/24

l.11.1.1.1


Ejemplo: Interlocutor AutoKey IKE con FQDNEn este ejemplo, un túnel VPN AutoKey IKE que utiliza un secreto previamente com(uno por cada extremo del túnel) proporciona una conexión segura entre dos oficinasParís tiene una dirección IP asignada de forma dinámica, por lo que la oficina de Tointerlocutor remoto (www.nspar.com) como dirección de la puerta de enlace remotatúnel VPN.

La siguiente configuración corresponde a un túnel VPN basado en rutas. Para los ni1 y 2, debe especificar una propuesta de fase 1 (ya sea pre-g2-3des-sha para el mécompartida o rsa-g2-3des-sha para certificados) y seleccionar el conjunto de propuepara la fase 2. Todas las zonas se encuentran en trust-vr.


NetScreen de Tokio

Zona Trust

Zona Untrust

ParísTokio

Zona Untrust

Tokio

Tconfi

TokioZona Trust

eth1, 10.1.1.1/24



1.1.1.250

Túnel VPN

Internet


eth3, IP y puerta de enlace a través del

protocolo DHCPwww.nspar.com

Interfaz de túnel: tunnePuerta de enlace remota:

Interfaz de túnel: tunnel.1Puerta de enlace remota: www.nspar.com


189

viamente compartido o


ecificar un secreto previamente

sociarla a la interfaz de túnel y




sume que ambos participantes a obtener información sobre la os y ejemplos: manual de


e)

OK :


La configuración de un túnel AutoKey IKE basado en rutas mediante un secreto precertificados implica los siguientes pasos:


2. Definir la puerta de enlace remota y el modo de intercambio de claves, y espcompartido o un certificado.

3. Configurar el túnel VPN, designar su interfaz de salida en la zona Untrust, aconfigurar su ID de proxy.



6. Definir directivas para la circulación del tráfico entre ambos sitios.

En los ejemplos siguientes, la clave previamente compartida es h1p8A24nG5. Se atienen certificados RSA y utilizan Entrust como autoridad de certificación (CA). (Paradquisición y la carga de certificados, consulte el Volumen 4 de NetScreen conceptreferencia, VPNs ).

WebUI (Tokio)1. Interfaces


Zone Name: Trust




Interface Mode: NAT


190


e)

ga clic en OK :

lic en OK :

lic en OK :



Zone Name: Untrust


IP Address/Netmask: 1.1.1.1










Zone: Trust





Zone: Untrust


191


/Hostname: www.nspar.com



tion)
















(o bien)

Certificados







192

OK :


l.1

24



Peer CA: Entrust

Peer Type: X509-SIG




Remote Gateway:






Local IP / Netmask: 10.1.1.0/24

Remote IP / Netmask: 10.2.2.0/

Service: ANY








193



haga clic en OK :





Interface: tunnel.1





Interface: Null


Metric: 10


Name: To_Paris


Destination Address: Paris_Office

Service: ANY

Action: Permit



194



e)

OK :



Policies > Policy (From: Untrust, To: Trust) > New Policy: Introduzca los sigu

Name: From_Paris

Source Address: Paris_Office


Service: ANY

Action: Permit


WebUI (París)

1. Nombre de host y nombre de dominioNetwork > DNS: Introduzca los siguientes datos y haga clic en Apply :

Host Name: www

Domain Name: nspar.com


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust

Obtain IP using DHCP: (seleccione)


195

ga clic en OK :

lic en OK :

lic en OK :


/Hostname: 1.1.1.1











Zone: Trust





Zone: Untrust







196



tion)











(o bien)

Certificados






Peer CA: Entrust

Peer Type: X509-SIG


197

OK:


l.1

24

es datos y haga clic en OK:




Name: Paris_Tokyo


Remote Gateway:


> Advanced: Introduzca los siguientes ajustesReturn para regresar a la página de config





Remote IP / Netmask: 10.1.1.0/

Service: ANY









Interface: tunnel.1



198


haga clic en OK :

haga clic en OK :





Interface: Null


Metric: 10


Name: To Tokyo


Destination Address: Tokyo_Office

Service: ANY

Action: Permit



Name: From Tokyo

Source Address: Tokyo_Office


Service: ANY

Action: Permit



199

oing-interface hae

-ip 10.2.2.0/24 any


CLI (Tokio)





3. VPN

Clave previamente compartidaset ike gateway to_paris address www.nspar.com main outg

ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sset vpn tokyo_paris gateway to_paris sec-level compatiblset vpn tokyo_paris bind interface tunnel.1set vpn tokyo_paris proxy-id local-ip 10.1.1.0/24 remote

(o bien)


200

oing-interface

e

-ip 10.2.2.0/24 any


t_LAN paris_office any

aris_office Trust_LAN

ke ca .


Certificadoset ike gateway to_paris address www.nspar.com main outg

ethernet3 proposal rsa-g2-3des-shaset ike gateway to_paris cert peer-ca 120

set ike gateway to_paris cert peer-cert-type x509-sigset vpn tokyo_paris gateway to_paris sec-level compatiblset vpn tokyo_paris bind interface tunnel.1set vpn tokyo_paris proxy-id local-ip 10.1.1.0/24 remote



permitset policy top name “From Paris” from untrust to trust p

any permitsave



201

nterface ethernet3

e

-ip 10.1.1.0/24 any


CLI (París)

1. Nombre de host y nombre de dominioset hostname wwwset domain nspar.com


set interface ethernet3 zone untrustset interface ethernet3 ip dhcp-client enable



4. VPN


set ike gateway to_tokyo address 1.1.1.1 main outgoing-ipreshare h1p8A24nG5 proposal pre-g2-3des-sha

set vpn paris_tokyo gateway to_tokyo sec-level compatiblset vpn paris_tokyo bind interface tunnel.1set vpn paris_tokyo proxy-id local-ip 10.2.2.0/24 remote

(o bien)


202

nterface ethernet3

e

-ip 10.1.1.0/24 any


t_LAN tokyo_office any

okyo_office Trust_LAN


Certificado

set ike gateway to_tokyo address 1.1.1.1 main outgoing-iproposal rsa-g2-3des-sha

set ike gateway to_tokyo cert peer-ca 1set ike gateway to_tokyo cert peer-cert-type x509-sigset vpn paris_tokyo gateway to_tokyo sec-level compatiblset vpn paris_tokyo bind interface tunnel.1set vpn paris_tokyo proxy-id local-ip 10.2.2.0/24 remote


6. Directivasset policy top name “To Tokyo” from trust to untrust Trus

permitset policy top name “From Tokyo” from untrust to trust t

any permitsave

Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas

203

robable que las direcciones de N bidireccional entre dos

os extremos del túnel deben -dst) al tráfico VPN que circule

IP en subredes únicas entre sí, 22. Las directivas que regulan el para traducir las direcciones de

ducir el tráfico VPN entrante y terfaz de túnel (pero no en el nte) o en una dirección de otra de rutas. (Para obtener “Enrutamiento para NAT-Dst”

como dirección de destino. La z de túnel (pero no en el mismo ara obtener información sobre

de direcciones en ambos la dirección de destino del

as direcciones de las que se

cial o totalmente.

cesario que el conjunto incluya la ces de zona de seguridad, es posible

terfaz. Para obtener más información,


SITIOS VPN CON DIRECCIONES SUPERPUESTASComo el rango de direcciones IP privadas es relativamente pequeño, es bastante plas redes protegidas de dos interlocutores VPN se superpongan21. Para el tráfico VPentidades finales con direcciones superpuestas, los dispositivos NetScreen de los daplicar una traducción de direcciones de red de origen y de destino (NAT-src y NATentre ellos.

Para NAT-src, las interfaces a ambos extremos del túnel deben poseer direcciones con un conjunto de direcciones IP dinámicas (DIP) en cada una de dichas subredestráfico VPN saliente pueden aplicar NAT-src mediante direcciones de conjunto DIP origen originales y convertirlas en direcciones de un espacio de direcciones neutro.

Hay dos posibilidades para aplicar NAT-dst al tráfico VPN entrante:

• NAT-dst basada en directivas: una directiva puede aplicar NAT-dst para traconvertirlo en una dirección que se encuentre en la misma subred que la inmismo rango que el conjunto de DIP local utilizado para el tráfico VPN saliesubred sobre la que el dispositivo NetScreen tenga una entrada en su tablainformación sobre el enrutamiento a la hora de configurar NAT-dst, consulteen la página 7 -42).

• Dirección IP asignada (MIP): una directiva puede hacer referencia a una MIPMIP utiliza una dirección que se encuentra en la misma subred que la interfarango que el conjunto de DIP local utilizado para el tráfico VPN de salida). (Plas MIP, consulte “Direcciones IP asignadas” en la página 7 -92).

El tráfico VPN entre dos puntos con direcciones superpuestas requiere la traducciónsentidos. Como la dirección de origen del tráfico saliente no puede ser la misma quetráfico entrante (la dirección NAT-dst o MIP no puede estar en el conjunto de DIP), lincluyen referencias en las directivas de entrada y salida no pueden ser simétricas.

21. Un espacio de direcciones superpuesto se produce cuando los rangos de direcciones IP de dos redes coinciden par

22. El rango de direcciones en un conjunto de DIP debe estar en la misma subred que la interfaz de túnel, pero no es nedirección IP de la interfaz o cualquier otra dirección MIP o VIP que pueda encontrarse en dicha subred. Para las interfadefinir una dirección IP extendida y un conjunto de DIP auxiliar en una subred distinta de la de la dirección IP de la inconsulte “Interfaz extendida y DIP” en la página 2 -283.


204

n y destino para el tráfico VPN

ctivas. Si hace referencia de eriva una ID de proxy a partir positivo NetScreen deriva la ID z que el dispositivo se reinicia.

que se haga referencia en una ario y no la ID de proxy

ner una ID de proxy definida hace referencia de forma (permite o deniega) el acceso interfaz de túnel que, a su vez, mente a ninguna directiva a la dirección de destino y el una configuración VPN basada ico túnel VPN; es decir, una SA

VPN entre dos puntos con

o cumple una tupla especificada de

tunnel.2.20.2.1/24

.2.5 (a 10.1.1.5)2.2 – 10.20.2.2

creen-BEspacio de direcciones

internas10.1.1.0/24


Si desea que el dispositivo NetScreen realice una traducción de direcciones de origebidireccional que atraviese el mismo túnel, dispone de las dos opciones siguientes:

• Puede definir una ID de proxy23 para una configuración VPN basada en direforma específica a un túnel VPN en una directiva, el dispositivo NetScreen dde los componentes de la directiva que hagan referencia a dicho túnel. El disde proxy al crear la directiva por primera vez, y a partir de entonces, cada veSin embargo, si define manualmente una ID de proxy para un túnel VPN al directiva, el dispositivo NetScreen aplicará la ID de proxy definida por el usuderivada a partir de la directiva.

• Puede utilizar una configuración de túnel VPN basada en rutas, que debe tepor el usuario. Con una configuración de túnel VPN basada en rutas, no se específica a un túnel VPN en una directiva. En su lugar, la directiva controlaa un destino en particular. La ruta que conduce a dicho destino apunta a unaestá asociada a un túnel VPN. Como el túnel VPN no está asociado directapartir de la que se pueda derivar una ID de proxy de la dirección de origen, servicio, habrá que definir una ID de proxy de forma manual. (Recuerde queen rutas también permite crear múltiples directivas que hagan uso de un únde fase 2 sencilla).

Examine las direcciones de la siguiente ilustración en la que se ejemplifica un túnel espacios de direcciones superpuestas:

23. Una ID de proxy es un tipo de acuerdo entre interlocutores IKE para permitir el tráfico a través de un túnel si el tráficdirección local, dirección remota y servicio.

tunnel.110.10.1.1/24 10

10.10.1.2 – 10.10.1.2 DIP10.10.1.5 (a 10.1.1.5) MIP

MIP 10.20DIP 10.20.

NetScreen-A NetSTúnel VPNEspacio de direcciones

internas10.1.1.0/24

Direcciones en directivas


205

r de las directivas, como ocurre dan como resultado las

ara el saliente. Cuando el 0.2.5/32, los dos interlocutores fase 2. La SA de fase 2 da ID de proxy de entrada para el

de 10.20.2.2/32 a 10.10.1.5/32 dos interlocutores utilizan la SA negociar una SA de fase 2 y de entrada para NetScreen A ) porque las direcciones son

IDs de proxy con direcciones o del túnel:

áfico VPN entrante como en el to de DIP 10.10.1.2 – 10.10.1.2

en-BRemota Servicio

10.10.1.2/32 Any10.10.1.5/32 Any

-Bta Servicio0/24 Any

/0 Any


Si los dispositivos NetScreen de la ilustración anterior derivan las ID de proxy a partien las configuraciones VPN basadas en directivas, las directivas de entrada y salidasiguientes IDs de proxy:

Como puede ver, existen dos IDs de proxy: una para el tráfico VPN entrante y otra pdispositivo NetScreen A envía tráfico por primera vez desde 10.10.1.2/32 hasta 10.2realizan negociaciones IKE y generan asociaciones de seguridad (SAs) de fase 1 y como resultado la ID de proxy de salida anterior para el dispositivo NetScreen A y ladispositivo NetScreen B.

Si NetScreen B envía tráfico a NetScreen A, la consulta de directivas para el tráficoindica que no hay ninguna SA de fase 2 activa para tal ID de proxy. Por lo tanto, los de fase 1 existente (asumiendo que su periodo de vigencia no haya caducado) paradistinta. Las IDs de proxy resultantes se indican en la tabla anterior como ID de proxe ID de proxy de salida para NetScreen B. Hay dos SAs de fase 2 (dos túneles VPNasimétricas y requieren IDs de proxy distintas.

Para crear un solo túnel para tráfico VPN bidireccional, puede definir las siguientes cuyo alcance incluya las direcciones de origen y destino traducidas en cada extrem

Las IDs de proxy anteriores comprenden las direcciones que aparecen tanto en el trsaliente que circule entre ambos puntos. La dirección 10.10.1.0/24 incluye el conjun

NetScreen-A NetScreLocal Remota Servicio Local

Salida 10.10.1.2/32 10.20.2.5/32 Any Entrada 10.20.2.5/32Entrada 10.10.1.5/32 10.20.2.2/32 Any Salida 10.20.2.2/32

NetScreen-A NetScreenLocal Remota Servicio Local Remo

10.10.1.0/24 10.20.2.0/24 Any 10.20.2.0/24 10.10.1.o bien

0.0.0.0/0 0.0.0.0/0 Any 0.0.0.0/0 0.0.0.0


206

de DIP 10.20.2.2 – 10.20.2.2 y dirección local de NetScreen A etScreen B, la SA de fase 2 y la r lo tanto, sólo se requiere una

dos puntos.

de direcciones superpuestas o se encuentran en subredes

.0/0 – tipo de servicio . Si desea NAT-dst deberán encontrarse

” situado en la sede central y el iones para las entidades finales ar este conflicto, utilizaremos traducir la dirección de destino N corporativa accedan a un n servidor FTP de la sede

: AutoKey IKE, clave mpatible” para propuestas de

n de túnel” en la página 11).

irección IP 1.1.1.1/24 y está puerta de enlace IKE remota.

rigen y destino (NAT-src y


y la dirección MIP 10.10.1.5. Asimismo, la dirección 10.20.2.0/24 incluye el conjuntola dirección MIP 10.20.2.524. Las IDs de proxy anteriores son simétricas, es decir, laes la dirección remota de NetScreen B y viceversa. Si NetScreen A envía tráfico a NID de proxy también se aplican al tráfico enviado de NetScreen B a NetScreen A. Poúnica SA de fase 2 (es decir, un único túnel VPN) para el tráfico bidireccional entre

Para crear un túnel VPN para el tráfico bidireccional entre dos puntos con espacios cuando las direcciones para NAT-src y NAT-dst configuradas en el mismo dispositivdistintas, la ID de proxy para el túnel debe ser (IP local) 0.0.0.0/0 – (IP remota) 0.0.0utilizar direcciones más restrictivas en la ID de proxy, las direcciones para NAT-src yen la misma subred.

Ejemplo: Interfaz de túnel con NAT-Src y NAT-DstEn este ejemplo vamos a configurar un túnel VPN entre el dispositivo “NetScreen Adispositivo “NetScreen B” situado en la sucursal de la empresa. El espacio de direccVPN se superpone; ambas utilizan direcciones en la subred 10.1.1.0/24. Para superNAT-src para traducir la dirección de origen del tráfico VPN saliente y NAT-dst paradel tráfico VPN entrante. Las directivas permiten que todas las direcciones de la LAservidor FTP de la sucursal, y que todas las direcciones de la sucursal accedan a ucentral.

Las configuraciones de ambos extremos del túnel utilizan los siguientes parámetrospreviamente compartida (“netscreen1”) y el nivel de seguridad predefinido como “Cofase 1 y fase 2. (Para ver los detalles sobre estas propuestas, consulte “Negociació

La interfaz de salida de NetScreen-A en la sede central es ethernet3, que tiene la dasociada a la zona Untrust. NetScreen-B, en la sucursal, utiliza esta dirección como

24. La dirección 0.0.0.0/0 incluye todas las direcciones IP y, por tanto, las direcciones del conjunto de DIP y MIP.

Nota: Para obtener más información sobre la traducción de direcciones de red de oNAT-dst), consulte el Volumen 7, “Traducción de direcciones”.


207

ión IP 2.2.2.2/24 y está omo puerta de enlace IKE

irección IP 10.1.1.1/24. Todas iento trust-vr.

Red B10.1.1.0/24

Servidor B

Servidor B10.1.1.5

4

.1.2.1.1.5

red B

ed B

Zona Trust

de las zonas en NetScreen B ucursal

B


La interfaz de salida de NetScreen-B en la sucursal es ethernet3, que tiene la direccasociada a la zona Untrust. NetScreen-A, en la sede central, utiliza esta dirección cremota.

La interfaz de zona Trust de ambos dispositivos NetScreen es ethernet1 y tiene la dlas zonas de ambos dispositivos NetScreen se encuentran en el dominio de enrutam

Red A10.1.1.0/24

Red A

Servidor A10.1.1.5

Tunnel.1 10.10.1.1/24 Tunnel.1 10.20.1.1/2

DIP 6 10.20.1.2 – 10.20NAT-Dst 10.20.1.5 –> 10

Túnel VPN“vpn1”

Los usuarios de la red A pueden acceder al servidor B. Los usuarios de lapueden acceder al servidor A.

Todo el tráfico circula a través del túnel VPN entre los dos puntos.

Servidor A R

Internet

DIP 5 10.10.1.2 – 10.10.1.2NAT-Dst 10.10.1.5 –> 10.1.1.5

NetScreen-A NetScreen-B

Topología de las zonas configuradas en NetScreen-A

en la sede central

Zona Trust

Zona Untrust

Zona Untrust

Topología configuradas

en la s

AA B





208


e)

OK :


e)

ga clic en OK :


10.10.1.2

econdary IPs: (seleccione)


WebUI (NetScreen-A)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust






Fixed IP: (seleccione)

IP Address / Netmask: 10.10.1.1/24

2. DIPNetwork > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los sigu

ID: 5

IP Address Range: (seleccione), 10.10.1.2 ~

Port Translation: (seleccione)

In the same subnet as the interface IP or its s


209

lic en OK :

lic en OK :

lic en OK :

lic en OK :



Address Name: corp



Zone: Trust


Address Name: virtualA



Zone: Trust


Address Name: branch1



Zone: Untrust


Address Name: serverB



Zone: Untrust


210

OK :

(seleccione)

name: 2.2.2.2


l.1

4

/24

aso se encuentran en la misma zona.


4. VPNVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en

VPN Name: vpn1


Remote Gateway: Create a Simple Gateway:

Gateway Name: branch1

Type: Static IP: (seleccione), Address/Host

Preshared Key: netscreen1







Remote IP / Netmask: 10.20.1.0

Service: ANY

25. La interfaz de salida no necesita estar en la misma zona a la que está asociada la interfaz del túnel, aunque en este c


211




haga clic en OK :










Interface: tunnel.1





Interface: Null


Metric: 10


Source Address:

Address Book Entry: (seleccione), corp


Address Book Entry: (seleccione), serverB

Service: FTP


212


ne)0.1.2)/X-late

haga clic en OK :


ccione)

e), 10.1.1.5

cción)


Action: Permit



NAT:Source Translation: (seleccio

DIP On: 5 (10.10.1.2–10.1


Source Address:

Address Book Entry: (seleccione), branch1


Address Book Entry: (seleccione), virtualA

Service: FTP

Action: Permit



NAT:

Destination Translation: (sele

Translate to IP: (seleccion

Map to Port: (anule la sele


213


e)

OK :


e)

ga clic en OK :


10.20.1.2



WebUI (NetScreen-B)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust








2. DIPNetwork > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los sigu

ID: 6

IP Address Range: (seleccione), 10.20.1.2 ~




214

lic en OK :

lic en OK :

lic en OK :

lic en OK :



Address Name: branch1



Zone: Trust


Address Name: virtualB



Zone: Trust


Address Name: corp



Zone: Untrust


Address Name: serverA



Zone: Untrust


215

OK :

(seleccione)

name: 1.1.1.1


l.1

4

/24




VPN Name: vpn1



Gateway Name: corp










Service: ANY



216




haga clic en OK :










Interface: tunnel.1





Interface: Null


Metric: 10


Source Address:



Address Book Entry: (seleccione), serverA

Service: FTP


217


ne)0.1.2)/X-late

haga clic en OK :


ccione)

selección)


Action: Permit



NAT:Source Translation: (seleccio

DIP on: 6 (10.20.1.2–10.2


Source Address:



Address Book Entry: (seleccione), virtualB

Service: FTP

Action: Permit



NAT:


Translate to IP: 10.1.1.5

Map to Port: (anule la


218

ce ethernet327 preshare

.20.1.0/24 any



CLI (NetScreen-A)



set interface tunnel.1 zone untrustset interface tunnel.1 ip 10.10.1.1/24

2. DIPset interface tunnel.1 dip 5 10.10.1.2 10.10.1.2

3. Direccionesset address trust corp 10.1.1.0/24set address trust virtualA 10.10.1.5/32set address untrust branch1 10.20.1.2/32set address untrust serverB 10.20.1.5/32

4. VPNset ike gateway branch1 address 2.2.2.2 outgoing-interfa

netscreen1 sec-level compatibleset vpn vpn1 gateway branch1 sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 10.10.1.0/24 remote-ip 10



219

gateway 1.1.1.250.1etric 10

t src dip-id 5 permitp nat dst ip 10.1.1.5


5. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.20.1.0/24 interface tunnelset vrouter trust-vr route 10.20.1.0/24 interface null m

6. Directivasset policy top from trust to untrust corp serverB ftp naset policy top from untrust to trust branch1 virtualA ft

permitsave

CLI (NetScreen-B)




2. DIPset interface tunnel.1 dip 6 10.20.1.2 10.20.1.2

3. Direccionesset address trust branch1 10.1.1.0/24set address trust virtualB 10.20.1.5/32set address untrust corp 10.10.1.2/32set address untrust serverA 10.10.1.5/32


220

ethernet328 preshare

.10.1.0/24 any

gateway 2.2.2.250.1etric 10

nat src dip-id 6

at dst ip 10.1.1.5



4. VPNset ike gateway corp address 1.1.1.1 outgoing-interface

netscreen1 sec-level compatibleset vpn vpn1 gateway corp sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 10.20.1.0/24 remote-ip 10

5. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.10.1.0/24 interface tunnelset vrouter trust-vr route 10.10.1.0/24 interface null m

6. Directivasset policy top from trust to untrust branch1 serverA ftp

permitset policy top from untrust to trust corp virtualB ftp n

permitsave


Capítulo 4 VPNs punto a punto VPN en modo transparente

221

(es decir, si no tienen VLAN1 como punto terminal de se encuentran en modo NAT o hace referencia a una zona de e salida. Si tiene múltiples ra de ellas.

I está compuesto por siete capas; la

s se encuentren en modo sobre el modo transparente,


VPN EN MODO TRANSPARENTESi las interfaces de los dispositivos NetScreen se encuentran en modo transparentedirecciones IP y operan en la capa 2 del modelo OSI29), puede utilizar la dirección IP la VPN. En lugar de una interfaz de salida, tal como se utiliza cuando las interfaces de rutas (es decir, cuando tienen direcciones IP y operan en la capa 3), un túnel VPNsalida. De forma predeterminada, un túnel utiliza la zona V1-Untrust como su zona dinterfaces asociadas a la misma zona de salida, el túnel VPN puede utilizar cualquie

29. El modelo OSI es un modelo estándar en el sector de redes de una arquitectura de protocolos de red. El modelo OScapa 2 es la capa de enlace de datos, y la capa 3 es la capa de red.

Nota: En el momento de esta publicación, un dispositivo NetScreen cuyas interfacetransparente sólo admite VPN basadas en directivas. Para obtener más informaciónconsulte “Modo transparente” en la página 2 -108.


222

sparente entre dos dispositivos

mbos extremos del túnel son

ntren en modo transparente. odo transparente, y las del

NetScreen-B

ace: ethernet1, 0.0.0.0/0e la administración para el administrador local)

ace: ethernet3, 0.0.0.0/0

el tráfico administrativo y la dirección

Address: 2.2.2.2/24Manage IP: 2.2.2.3

lan: 2.2.2.0/24 in V1-Trustn: 1.1.1.0/24 in V1-Untrust

, preshared key h1p8A24nG5, security: compatible

security: compatible

> peer_lan, any service, vpn1> local_lan, any service, vpn1

Address: 2.2.2.250

0/0, use VLAN1 interfaceo gateway 2.2.2.250


Ejemplo: VPN AutoKey IKE basada en directivas en modo tranEn este ejemplo, vamos a configurar un túnel VPN AutoKey IKE basado en directivasNetScreen cuyas interfaces operan en modo transparente.

Los elementos clave para la configuración de los dispositivos NetScreen situados a aéstos:

Nota: No es necesario que las interfaces de ambos dispositivos NetScreen se encueLas interfaces del dispositivo situado a un extremo del túnel pueden encontrarse en motro dispositivo pueden encontrarse en modo NAT o de rutas.

Elementos de configuración

NetScreen-A

Zona V1-Trust Interface: ethernet1, 0.0.0.0/0(habilite la administración para el

administrador local)

Interf(habilit

Zona V1-Untrust Interface: ethernet3, 0.0.0.0/0 Interf

Interfaz VLAN1 IP Address: 1.1.1.1/24Manage IP: 1.1.1.2*

* Puede separar el tráfico VPN del administrativo utilizando la dirección IP de administración para recibirVLAN1 para terminar el tráfico VPN.

IP

Direcciones local_lan: 1.1.1.0/24 in V1-Trustpeer_lan: 2.2.2.0/24 en V1-Untrust

local_peer_la

Puerta de enlace IKE gw1, 2.2.2.2, preshared key h1p8A24nG5, security: compatible

gw1, 1.1.1.1

Túnel VPN security: compatible

Directivas local_lan -> peer_lan, any service, vpn1peer_lan -> local_lan, any service, vpn1

local_lan -peer_lan -

Enrutador externo IP Address: 1.1.1.250 IP

Ruta 0.0.0.0/0, use VLAN1 interfaceto gateway 1.1.1.250

0.0.0.t


223

etScreen cuyas interfaces se

de seguridad de capa 2.

LAN1.


t.

ust-vr.

tes datos y haga clic en OK :

e que el dispositivo NetScreen a de configurar un dispositivo rimera dirección VLAN1 y ar la dirección VLAN1, deberá la misma subred que la nueva trabajo en una subred

faz VLAN1 para que un administrador e la WebUI aún no está habilitada en a realizar estos ajustes. En su lugar,


La configuración de un túnel AutoKey IKE basado en directivas para un dispositivo Nencuentren en modo transparente implica los siguientes pasos:

1. Eliminar las direcciones IP de las interfaces físicas y asociarlas a las zonas

2. Asignar una dirección IP y una dirección IP de administración a la interfaz V

3. Introducir las direcciones IP de los puntos finales local y remoto en las librezonas V1-Trust y V1-Untrust.

4. Configurar el túnel VPN y designar su zona de salida como zona V1-Untrus

5. Introducir una ruta predeterminada que conduzca al enrutador externo en tr


WebUI (NetScreen-A)

1. Interfaces

Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguien


Manage IP: 1.1.1.2

Management Services: WebUI, Telnet, Ping30

Nota: El desplazamiento de la dirección IP VLAN1 a una subred distinta hacelimine todas las rutas relacionadas con la interfaz VLAN1 anterior. A la horNetScreen a través de la WebUI, la estación de trabajo debe acceder a la pencontrarse en la misma subred que la dirección nueva. Después de cambimodificar la dirección IP de su estación de trabajo para que se encuentre endirección VLAN1. Es posible que también tenga que reubicar su estación defísicamente adyacente al dispositivo NetScreen.

30. Se deben habilitar las opciones de administración para WebUI, Telnet y Ping tanto en la zona V1-Trust como en la interlocal de la zona V1-Trust pueda acceder a la dirección IP de administración de VLAN1. Si la administración a través dlas interfaces de zona V1-Trust y VLAN1, no será posible acceder al dispositivo NetScreen a través de la WebUI pardeberá habilitar la administración mediante WebUI en estas interfaces a través de una conexión de consola.


224


OK :


lic en OK :

lic en OK :



Management Services: WebUI, Telnet

Other Services: Ping


Zone Name: V1-Trust



Zone Name: V1-Untrust



Address Name: local_lan



Zone: V1-Trust


Address Name: peer_lan



Zone: V1-Untrust


225


/Hostname: 2.2.2.2

OK :




Gateway Name: gw1





Outgoing Zone: V1-Untrust


VPN Name: vpn1


Remote Gateway:

Predefined: (seleccione), gw1




Interface: VLAN1 (VLAN)



226

haga clic en OK :

leccione)



Source Address:

Address Book Entry: (seleccione), local_lan


Address Book Entry: (seleccione), peer_lan

Service: ANY

Action: Tunnel

Tunnel VPN: vpn1




227



OK :


e que el dispositivo NetScreen a de configurar un dispositivo rimera dirección VLAN1 y ar la dirección VLAN1, deberá la misma subred que la nueva trabajo en una subred

á posible acceder al dispositivo ebUI en estas interfaces a través de


WebUI (NetScreen-B)

1. Interfaces

Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguien


Manage IP: 2.2.2.3

Management Services: WebUI31, Telnet, Ping


Management Services: WebUI, Telnet

Other Services: Ping


Zone Name: V1-Trust



Zone Name: V1-Untrust


Nota: El desplazamiento de la dirección IP VLAN1 a una subred distinta hacelimine todas las rutas relacionadas con la interfaz VLAN1 anterior. A la horNetScreen a través de la WebUI, la estación de trabajo debe acceder a la pencontrarse en la misma subred que la dirección nueva. Después de cambimodificar la dirección IP de su estación de trabajo para que se encuentre endirección VLAN1. Es posible que también tenga que reubicar su estación defísicamente adyacente al dispositivo NetScreen.

31. Si la administración a través de la WebUI aún no está habilitada en las interfaces de zona V1-Trust y VLAN1, no serNetScreen a través de la WebUI para realizar estos ajustes. En su lugar, deberá habilitar la administración mediante Wuna conexión de consola.


228

lic en OK :

lic en OK :


/Hostname: 1.1.1.1

OK :



Address Name: local_lan



Zone: V1-Trust


Address Name: peer_lan



Zone: V1-Untrust


Gateway Name: gw1





Outgoing Zone: V1-Untrust


VPN Name: vpn1


Remote Gateway:

Predefined: (seleccione), gw1


229


haga clic en OK :

leccione)





Interface: VLAN1 (VLAN)



Source Address:

Address Book Entry: (seleccione), local_lan


Address Book Entry: (seleccione), peer_lan

Service: ANY

Action: Tunnel

Tunnel VPN: vpn1




230

ce v1-untrust preshare

faz VLAN1 para que un administrador


CLI (NetScreen-A)

1. Interfaces y zonasunset interface ethernet1 ipunset interface ethernet1 zoneset interface ethernet1 zone v1-trustset zone v1-trust manage webset zone v1-trust manage telnetset zone v1-trust manage ping32

unset interface ethernet3 ipunset interface ethernet3 zoneset interface ethernet3 zone v1-untrust

set interface vlan1 ip 1.1.1.1/24set interface vlan1 manage-ip 1.1.1.2set interface vlan1 manage webset interface vlan1 manage telnetset interface vlan1 manage ping

2. Direccionesset address v1-trust local_lan 1.1.1.0/24set address v1-untrust peer_lan 2.2.2.0/24

3. VPNset ike gateway gw1 address 2.2.2.2 main outgoing-interfa

h1p8A24nG5 sec-level compatibleset vpn vpn1 gateway gw1 sec-level compatible

32. Se deben habilitar las opciones de administración para WebUI, Telnet y Ping tanto en la zona V1-Trust como en la interlocal de la zona V1-Trust pueda acceder a la dirección IP de administración de VLAN1.


231

eway 1.1.1.250

r_lan any tunnel vpn

l_lan any tunnel vpn


4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface vlan1 gat

5. Directivasset policy top from v1-trust to v1-untrust local_lan pee

vpn1set policy top from v1-untrust to v1-trust peer_lan loca

vpn1save

CLI (NetScreen-B)

1. Interfaces y zonasunset interface ethernet1 ipunset interface ethernet1 zoneset interface ethernet1 zone v1-trustset zone v1-trust manage

unset interface ethernet3 ipunset interface ethernet3 zoneset interface ethernet3 zone v1-untrust

set interface vlan1 ip 2.2.2.2/24set interface vlan1 manage-ip 2.2.2.3set interface vlan1 manage

2. Direccionesset address v1-trust local_lan 2.2.2.0/24set address v1-untrust peer_lan 1.1.1.0/24


232

ce v1-untrust preshare

eway 2.2.2.250

r_lan any tunnel vpn

l_lan any tunnel vpn


3. VPNset ike gateway gw1 address 1.1.1.1 main outgoing-interfa

h1p8A24nG5 sec-level compatibleset vpn vpn1 gateway gw1 sec-level compatible

4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface vlan1 gat

5. Directivasset policy top from v1-trust to v1-untrust local_lan pee

vpn1set policy top from v1-untrust to v1-trust peer_lan loca

vpn1save

5

233

Capítulo 5

e configurar un dispositivo etScreen-Remote o a otro

las VPN de acceso telefónico:

E” en la página 235

mico” en la página 244

dinámico” en la página 256

en la página 267

gina 290

página 298


VPNs de acceso telefónico

Los dispositivos NetScreen admiten conexiones a VPNs de acceso telefónico. PuedNetScreen con una dirección IP estática para asegurar un túnel IPSec a un cliente Ndispositivo NetScreen con una dirección IP dinámica.

En este capítulo se ofrecen ejemplos de los siguientes conceptos relacionados con

• “VPNs de acceso telefónico” en la página 234

– “Ejemplo: VPN de acceso telefónico basada en directivas, AutoKey IK

– “Ejemplo: VPN de acceso telefónico basada en rutas, interlocutor diná

– “Ejemplo: VPN de acceso telefónico basada en directivas, interlocutor

– “Ejemplo: Directivas bidireccionales para VPNs de acceso telefónico”

• “Identificación IKE de grupo” en la página 275

– “Ejemplo: Identificación IKE de grupo (certificados)” en la página 281

– “Ejemplo: ID IKE de grupo (claves previamente compartidas)” en la pá

• “Identificación IKE compartida” en la página 297

– “Ejemplo: ID IKE compartida (claves previamente compartidas)” en la

Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico

234

ndividual o reuniendo varios igurar un túnel. También es ario cuya identificación IKE se

Esto permite ahorrar bastante tendrá que configurar a cada

el dispositivo telefónico para interlocutor puerta de enlace segura etScreen-Remote o a otro

nico a VPNs. En el caso de un ivas o basada en rutas. Dado irtual, al igual que el dispositivo n interna virtual a través de una n rutas entre el dispositivo

consulte “Usuarios y grupos de identificación IKE de grupo,

lte el Capítulo 1, “IPSec”. Si , “Directivas VPN”.

al.

interlocutor dinámico punto a fónico es una dirección virtual.


VPNS DE ACCESO TELEFÓNICOEs posible configurar túneles para usuarios de VPN de acceso telefónico de forma iusuarios en un grupo VPN de acceso telefónico, en cuyo caso sólo tendrá que confposible crear un usuario de identificación IKE de grupo, lo que permite definir un usuutilizará como parte de todas las IDs IKE de los usuarios IKE de acceso telefónico. tiempo cuando hay grandes grupos de usuarios de acceso telefónico, puesto que nousuario IKE individualmente.

Si el cliente de acceso telefónico admite una dirección IP interna virtual, como haceNetScreen-Remote, también puede crear un túnel AutoKey IKE de VPN de acceso dinámico (con clave o certificados previamente compartidos). Puede configurar unaNetScreen con una dirección IP estática para asegurar un túnel IPSec a un cliente Ndispositivo NetScreen con una dirección IP dinámica.

Puede configurar túneles VPN basados en directivas para usuarios de acceso telefócliente dinámico de acceso telefónico1, puede configurar una VPN basada en directque el cliente dinámico de acceso telefónico puede admitir una dirección IP interna vNetScreen, puede configurar una entrada de la tabla de enrutamiento a esa direccióinterfaz de túnel designada. De esta forma podrá configurar un túnel VPN basado eNetScreen y el cliente.

Nota: Para obtener más información sobre la creación de grupos de usuarios IKE, usuarios IKE” en la página 8 -78. Para obtener más información sobre la función deconsulte “Identificación IKE de grupo” en la página 275.

Nota: Para obtener más información sobre las opciones de VPN disponibles, consudesea obtener ayuda para elegir entre las distintas opciones, consulte el Capítulo 3

1. Un cliente dinámico de acceso telefónico es un cliente de acceso telefónico que admite una dirección IP interna virtu

Nota: Un interlocutor dinámico de acceso telefónico es prácticamente idéntico a unpunto, excepto por el hecho de que la dirección IP interna del cliente de acceso tele


235

toKey IKEa o un par de certificados (uno suario IKE Wendy y el servidor -1.

ente compartida o con

el dominio de enrutamiento

na Trust.

uario de acceso telefónico

certificados. Para obtener más

Zona Trust

ina corporativaZona Trustnet1, 10.1.1.1/24

Servidor UNIX

10.1.1.5LAN


Ejemplo: VPN de acceso telefónico basada en directivas, AuEn este ejemplo, un túnel AutoKey IKE que utiliza una clave previamente compartidpor cada extremo del túnel2) proporciona el canal de comunicación segura entre el uUNIX. El túnel, nuevamente, utiliza ESP con encriptación 3DES y autenticación SHA

Para configurar el túnel AutoKey IKE utilizando AutoKey IKE con una clave previamcertificados, es necesario realizar la siguiente configuración en la empresa:

1. Configurar interfaces para las zonas Trust y Untrust, que se encuentran en trust-vr.

2. Introducir la dirección del servidor UNIX en la libreta de direcciones de la zo

3. Definir a Wendy como usuario IKE.

4. Configurar la puerta de enlace remota y la VPN AutoKey IKE.

5. Configurar una ruta predeterminada.

6. Crear una directiva de la zona Untrust a la zona Trust que permita que el usacceda a UNIX.

2. La clave previamente compartida es h1p8A24nG5. Se parte de la base de que ambos participantes ya disponen de información sobre los certificados, consulte “Certificados y CRLs” en la página 29.

Internet

Túnel VPN

Zona Untrust

Usuario remoto: WendyNetScreen-Remote

Ofic

ether


ethernet3, 1.1.1.1/24Puerta de enlace

1.1.1.250


236

mbos participantes ya tienen ote contiene el U-FQDN os, consulte “Certificados y cificar la propuesta de fase 1 3des-sha para certificados) y


e)

OK :


e)

lic en OK :


La clave previamente compartida es h1p8A24nG5. En este ejemplo se asume que acertificados RSA emitidos por Verisign, y que el certificado local en [email protected]. (Para más información sobre cómo obtener y cargar certificadCRLs” en la página 29). Para los niveles de seguridad de las fases 1 y 2, debe espe(ya sea pre-g2-3des-sha para el método de clave previamente compartida o rsa-g2-seleccionar el conjunto de propuestas predefinido “Compatible” para la fase 2.

WebUI


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust



2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c

Address Name: UNIX



Zone: Trust


237

en OK :





3. UsuarioObjects > Users > Local > New: Introduzca los siguientes datos y haga clic

User Name: Wendy

Status: Enable (seleccione)

IKE User: (seleccione)

Simple Identity: (seleccione)

IKE Identity: [email protected]


Gateway Name: Wendy_NSR



Dialup User: (seleccione), User: Wendy









238



OK :



(o bien)

Certificados







Peer CA: Verisign

Peer Type: X509-SIG


VPN Name: Wendy_UNIX


Remote Gateway:

Predefined: (seleccione), Wendy_NSR







239

haga clic en OK :

VPN

ule la selección)


6. DirectivaPolicies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y

Source Address:

Address Book Entry: (seleccione), Dial-Up


Address Book Entry: (seleccione), UNIX

Service: ANY

Action: Tunnel

Tunnel VPN: Wendy_UNIX

Modify matching bidirectional VPN policy: (an


CLI



2. Direcciónset address trust unix 10.1.1.5/32

3. Usuarioset user wendy ike-id u-fqdn [email protected]


240

ng-interface ethernet3

e


e

gateway 1.1.1.250

any tunnel vpn

ki x509 list ca-cert .


4. VPN


set ike gateway wendy_nsr dialup wendy aggressive outgoipreshare h1p8A24nG5 proposal pre-g2-3des-sha

set vpn wendy_unix gateway wendy_nsr sec-level compatibl

(o bien)

Certificados

set ike gateway wendy_nsr dialup wendy aggressive outgoiproposal rsa-g2-3des-sha

set ike gateway wendy_nsr cert peer-ca 13

set ike gateway wendy_nsr cert peer-cert-type x509-sigset vpn wendy_unix gateway wendy_nsr sec-level compatibl


6. Directivaset policy top from untrust to trust “Dial-Up VPN” unix

wendy_unixsave

3. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get p


241

a conexión que aparecerá en

leccione)

pliar la directiva de la conexión.

clic en OK .

ctive Enable Perfect Forward

y y, a continuación, en el change (Phase 2) para ampliar


Editor de directivas de seguridad de NetScreen-Remote

1. Haga clic en Options > Secure > Specified Connections .

2. Haga clic en Add a new connection y escriba UNIX junto al icono de nuevpantalla.

3. Configure las opciones de conexión:

Connection Security: Secure

Remote Party Identity and Addressing:

ID Type: IP Address, 10.1.1.5

Protocol: All

Connect using Secure Gateway Tunnel: (se


4. Haga clic en el signo MÁS situado a la izquierda del icono de UNIX para am

5. Haga clic en My Identity: Siga uno de estos dos pasos:

Haga clic en Pre-shared Key > Enter Key : Escriba h1p8A24nG5 y haga

ID Type: (seleccione E-mail Address ) y escriba [email protected] .

(o bien)

Seleccione un certificado en la lista desplegable Select Certificate.

ID Type: (seleccione E-mail Address )4

6. Haga clic en el icono Security Policy , seleccione Aggressive Mode y desaSecrecy (PFS) .

7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policsímbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exmás aún la directiva.

4. La dirección de correo electrónico del certificado aparecerá automáticamente en el campo del identificador.


242

nte método y algoritmos de

ntes protocolos IPSec:

e los siguientes protocolos

los siguientes protocolos IPSec:


8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione el siguieautenticación:

Authentication Method: Pre-Shared Key

(o bien)

Authentication Method: RSA Signatures

Encrypt Alg: Triple DES

Hash Alg: SHA-1

Key Group: Diffie-Hellman Group 2

9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguie

Encapsulation Protocol (ESP): (seleccione)


Hash Alg: SHA-1

Encapsulation: Tunnel

10. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccionIPSec:



Hash Alg: MD5


11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione


Encrypt Alg: DES

Hash Alg: SHA-1



243





Encrypt Alg: DES

Hash Alg: MD5


13. Haga clic en File > Save Changes .


244

utor dinámicoispositivo NetScreen-Remote a orreo en la zona DMZ. La ote tiene una dirección IP inistrador del dispositivo

a un túnel VPN apropiado.

de originarse desde el otro enrutamiento Trust-vr.

rreo de la empresa. Cuando na petición IDENT a través del

i el administrador NetScreen tiva de salida que permita el

Zona DMZ

corporativathernet22.2.1/24 Servidor de

correo electrónico

1.2.2.5

Petición IDENT


Ejemplo: VPN de acceso telefónico basada en rutas, interlocEn este ejemplo, un túnel VPN conecta de forma segura al usuario situado tras el dla interfaz de la zona Untrust del dispositivo NetScreen que protege el servidor de cinterfaz de la zona Untrust tiene una dirección IP estática. El cliente NetScreen-Remexterna asignada dinámicamente y una dirección IP interna estática (virtual). El admNetScreen debe conocer la dirección IP interna del interlocutor por dos motivos:

• Puede utilizarla en directivas.

• Puede crear una ruta asociando la dirección con una interfaz de túnel unida

Cuando el cliente NetScreen-Remote establece el túnel, el tráfico a través de él pueextremo. Todas las zonas del dispositivo NetScreen se encuentran en el dominio de

En este ejemplo, Phil desea acceder a su correo electrónico desde el servidor de cointenta hacerlo, es autenticado por el programa del servidor de correo, que le envía utúnel.

Nota: El servidor de correo puede enviar la petición IDENT a través del túnel sólo sagrega un servicio personalizado para ello (TCP, puerto 113) y establece una directráfico a través del túnel hacia 10.10.10.1.

Internet

Túnel VPN

Zona Untrust

Usuario remoto: PhilNetScreen-Remote

Oficinae1.

Interfaz de salidaethernet31.1.1.1/24

Dirección IP externadinámica

Dirección IP interna10.10.10.1

PeticiónSMTP

Interfaz de túnelTunnel.1Puerta de

enlace 1.1.1.250


245

bos participantes ya tienen ote contiene el U-FQDN onsulte “Certificados y CRLs” la propuesta de fase 1 (ya sea a para certificados) y

) a la ruta nula para que se do de la interfaz de túnel activa, el dispositivo NetScreen ruta predeterminada, que

entre Phil y el servidor de


e)


e)


La clave previamente compartida es h1p8A24nG5. Partiremos de la base de que amcertificados RSA emitidos por Verisign, y que el certificado local en [email protected]. (Para más información sobre cómo obtener y cargar certificados, cen la página 29). Para los niveles de seguridad de las fases 1 y 2, debe especificar pre-g2-3des-sha para el método de clave previamente compartida o rsa-g2-3des-shseleccionar el conjunto de propuestas predefinido “Compatible” para la fase 2.

Introduzca las tres rutas siguientes en el dispositivo NetScreen:

• Una ruta predeterminada que conduzca al enrutador externo en trust-vr.

• Una ruta al destino a través de la interfaz de túnel.

• Una ruta nula al destino. Asigne una métrica más alta (más alejada de ceroconvierta en la siguiente opción de ruta al destino. A continuación, si el estacambia a “inactivo” y la ruta que hace referencia a esa interfaz también se inutiliza la ruta nula, que descarta todo tráfico enviado hacia él, en lugar de lareenvía tráfico no encriptado.

Finalmente, creará directivas permitiendo que el tráfico fluya en ambas direcciones correo.

WebUI


Zone Name: DMZ




Zone Name: Untrust




246

ga clic en OK :

lic en OK :

lic en OK :

clic en OK :











Zone: DMZ


Address Name: Phil



Zone: Untrust


Service Name: Ident

Service Timeout:






247



: [email protected]







IdentMAILPOP3


Gateway Name: To_Phil











(o bien)


248



OK :


cione), tunnel.1

.1/32


Certificados







Peer CA: Verisign

Peer Type: X509-SIG


VPN Name: corp_Phil


Remote Gateway:

Predefined: (seleccione), To_Phil


Bind to: Interfaz de túnel: (selec



Remote IP / Netmask: 10.10.10

Service: Any


249













Interface: tunnel.1





Interface: Null


Metric: 10


250

haga clic en OK :

ver

haga clic en OK :

ver


6. DirectivasPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y

Source Address:

Address Book Entry: (seleccione), Phil




Action: Permit


Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y

Source Address:





Action: Permit



251

113-113

e outgoing-interface ha

10.10.10.1/32 any


CLI




2. Direccionesset address dmz “Mail Server” 1.2.2.5/32set address untrust phil 10.10.10.1/32


4. VPN


set ike gateway to_phil dynamic [email protected] aggressivethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-s

set vpn corp_phil gateway to_phil sec-level compatibleset vpn corp_phil bind interface tunnel.1set vpn corp_phil proxy-id local-ip 1.2.2.5/32 remote-ip

(o bien)


252

e outgoing-interface

10.10.10.1/32 any

gateway 1.1.1.250l.1metric 10

mote_mail permitmote_mail permit



Certificados

set ike gateway to_phil dynamic [email protected] aggressivethernet3 proposal rsa-g2-3des-sha

set ike gateway to_phil cert peer-ca 15

set ike gateway to_phil cert peer-cert-type x509-sigset vpn corp_phil gateway to_phil sec-level compatibleset vpn corp_phil bind interface tunnel.1set vpn corp_phil proxy-id local-ip 1.2.2.5/32 remote-ip

5. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.10.10.1/32 interface tunneset vrouter trust-vr route 10.10.10.1/32 interface null

6. Directivasset policy top from dmz to untrust “Mail Server” phil reset policy top from untrust to dmz phil “Mail Server” resave



253

erificación Allow to Specify

de la nueva conexión que

leccione)



scriba h1p8A24nG5 y haga

ción de correo electrónico elect Certificate”.


NetScreen-Remote

1. Haga clic en Options > Global Policy Settings y seleccione la casilla de vInternal Network Address .

2. Options > Secure > Specified Connections .

3. Haga clic en el botón Add a new connection y escriba Mail junto al icono aparecerá en pantalla.





Protocol: All



5. Haga clic en el signo MÁS situado a la izquierda del icono de unix para am

6. Haga clic en el icono Security Policy, seleccione Aggressive Mode y desaSecrecy (PFS) .

7. Haga clic en My Identity y lleve a cabo una de estas dos acciones:

Haga clic en Pre-shared Key > Enter Key : Eclic en OK .

ID Type: E-mail Address; [email protected]

Internal Network IP Address: 10.10.10.1

(o bien)

Seleccione el certificado que contiene la direc“[email protected]” en la lista desplegable “S


254











(o bien)



Hash Alg: SHA-1


10. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguie



Hash Alg: SHA-1





Hash Alg: MD5



255






Encrypt Alg: DES

Hash Alg: SHA-1




Encrypt Alg: DES

Hash Alg: MD5




256

erlocutor dinámicoispositivo NetScreen-Remote a orreo en la zona DMZ. La ote tiene una dirección IP inistrador del dispositivo garla a la libreta de direcciones uando el cliente sde el otro extremo.

rreo de la empresa. Cuando na petición IDENT a través del

i el administrador NetScreen tiva de salida que permita el

Zona DMZ

ficina corporativaZona DMZ

ernet2, 1.2.2.1/24Servidor de

correo electrónico

1.2.2.5PeticiónIDENT


Ejemplo: VPN de acceso telefónico basada en directivas, intEn este ejemplo, un túnel VPN conecta de forma segura al usuario situado tras el dla interfaz de la zona Untrust del dispositivo NetScreen que protege el servidor de cinterfaz de la zona Untrust tiene una dirección IP estática. El cliente NetScreen-Remexterna asignada dinámicamente y una dirección IP interna estática (virtual). El admNetScreen debe conocer la dirección IP interna del cliente, de forma que pueda agrede la zona Untrust para su uso en directivas de tráfico de túnel desde ese origen. CNetScreen-Remote establece el túnel, el tráfico que lo atraviesa puede originarse de

En este ejemplo, Phil desea acceder a su correo electrónico desde el servidor de cointenta hacerlo, es autenticado por el programa del servidor de correo, que le envía utúnel.

Nota: El servidor de correo puede enviar la petición IDENT a través del túnel sólo sagrega un servicio personalizado para ello (TCP, puerto 113) y establece una directráfico a través del túnel hacia 10.10.10.1.

Internet

Túnel VPN

Zona Untrust

Usuario remoto: PhilNetScreen-Remote O

eth


ethernet3, 1.1.1.1/24Puerta de enlace

1.1.1.250

Dirección IP externadinámica

Dirección IP interna10.10.10.1

PeticiónSMTP


257

mbos participantes ya tienen ote contiene el U-FQDN onsulte “Certificados y CRLs” la propuesta de fase 1 (ya sea a para certificados) y


e)


e)

lic en OK :


La clave previamente compartida es h1p8A24nG5. En este ejemplo se asume que acertificados RSA emitidos por Verisign, y que el certificado local en [email protected]. (Para más información sobre cómo obtener y cargar certificados, cen la página 29.) Para los niveles de seguridad de las fases 1 y 2, debe especificar pre-g2-3des-sha para el método de clave previamente compartida o rsa-g2-3des-shseleccionar el conjunto de propuestas predefinido “Compatible” para la fase 2.

WebUI


Zone Name: DMZ




Zone Name: Untrust







Zone: DMZ


258

lic en OK :

clic en OK :




Address Name: Phil



Zone: Untrust


Service Name: Ident

Service Timeout:








IdentMAILPOP3


259


: [email protected]







Gateway Name: To_Phil










(o bien)








260

OK :


haga clic en OK :

ver

leccione)


Peer CA: Verisign

Peer Type: X509-SIG


VPN Name: corp_Phil


Remote Gateway:

Predefined: (seleccione), To_Phil






6. DirectivasPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y

Source Address:





Action: Tunnel

VPN Tunnel: corp_Phil




261

113-113

e outgoing-interface ha


CLI



2. Direccionesset address dmz “mail server” 1.2.2.5/32set address untrust phil 10.10.10.1/32


4. VPN


set ike gateway to_phil dynamic [email protected] aggressivethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-s

set vpn corp_phil gateway to_phil sec-level compatible

(o bien)


262

e outgoing-interface

gateway 1.1.1.250

mote_mail tunnel vpn

mote_mail tunnel vpn



Certificados

set ike gateway to_phil dynamic [email protected] aggressivethernet3 proposal rsa-g2-3des-sha

set ike gateway to_phil cert peer-ca 16

set ike gateway to_phil cert peer-cert-type x509-sigset vpn corp_phil gateway to_phil sec-level compatible


6. Directivasset policy top from untrust to dmz phil “mail server” re

corp_philset policy top from dmz to untrust “mail server” phil re

corp_philsave



263

cify Internal Network

conexión que aparecerá en

leccione)



scriba h1p8A24nG5 y haga

ción de correo electrónico le “Select Certificate”.


NetScreen-Remote1. Haga clic en Options > Global Policy Settings y seleccione Allow to Spe

Address .

2. Options > Secure > Specified Connections .

3. Haga clic en Add a new connection y escriba Mail junto al icono de nuevapantalla.





Protocol: All



5. Haga clic en el signo MÁS situado a la izquierda del icono de unix para am

6. Haga clic en el icono Security Policy seleccione Aggressive Mode y desaSecrecy (PFS) .

7. Haga clic en My Identity y lleve a cabo una de estas dos acciones:

Haga clic en Pre-shared Key > Enter Key : Eclic en OK .



(o bien)

Seleccione el certificado que contiene la direc“[email protected]” en la lista desplegab


264




ne los siguientes protocolos







(o bien)



Hash Alg: SHA-1





Hash Alg: SHA-1


11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccioIPSec:



Hash Alg: MD5



265






Encrypt Alg: DES

Hash Alg: SHA-1




Encrypt Alg: DES

Hash Alg: MD5




266

so telefóniconfiguración presenta unas rgo, con una configuración de conocer el espacio de o como dirección de destino ico basada en directivas, de acceso telefónico, el l usuario de acceso telefónico.

l-Up VPN” como dirección de

ráfico se origine en un extremo emoto debe iniciar en primer lefónico de interlocutor ctivas de entrada y salida.

na VPN de acceso telefónico suarios de acceso telefónico A el dispositivo NetScreen envía ue se incluye una referencia en elativa a la VPN del usuario A todo el tráfico VPN saliente

rponerse con una dirección de a un túnel VPN. Si esto ibutos básicos de tráfico número de puerto de destino o ico con una dirección derivada omienda colocar la directiva irectivas.

idireccionales que hacen


Directivas bidireccionales para usuarios de VPN de acceEs posible crear directivas bidireccionales para VPNs de acceso telefónico. Esta cofunciones similares a la configuración VPN para interlocutores dinámicos. Sin embaVPN para interlocutores dinámicos, el administrador del dispositivo NetScreen debedirecciones IP interno del usuario de acceso telefónico, de forma que pueda utilizarlcuando configure una directiva de salida (consulte “Ejemplo: VPN de acceso telefóninterlocutor dinámico” en la página 256). Con una configuración de usuario de VPN administrador del sitio LAN no necesita conocer el espacio de direcciones interno deEl dispositivo NetScreen que protege la red LAN utiliza la dirección predefinida “Diaorigen en la directiva de entrada y la de destino en la directiva de salida.La posibilidad de crear directivas bidireccionales para un túnel VPN permite que el tde la LAN de la conexión VPN cuando ya se ha establecido la conexión (el equipo rlugar la creación del túnel). Observe que, a diferencia de un túnel VPN de acceso tedinámico, con esta función es necesario que sean idénticos los servicios de las dire

Tenga en cuenta que el espacio de direcciones interno de dos o más usuarios de uconectados simultáneamente podría hacer que se superpusieran. Por ejemplo, los uy B podrían tener un espacio de direcciones IP interno 10.2.2.0/24. Si esto sucede, todo el tráfico de VPN saliente al usuario A y al usuario B a través de la VPN de la qla primera directiva que encuentre en la lista de directivas. Si la directiva de salida raparece primero en la lista de directivas, el dispositivo NetScreen envía al usuario Apara los usuarios A y B.De forma similar, la dirección interna de un usuario de acceso telefónico podría supecualquier otra directiva, independientemente de si esa otra directiva hace referenciasucede, el dispositivo NetScreen aplica la primera directiva que coincida con los atrrelativos a la dirección de origen, dirección de destino, número de puerto de origen,servicio. Para evitar que una directiva bidireccional para una VPN de acceso telefóndinámicamente anule otra directiva con una dirección estática, Juniper Networks recbidireccional de VPN de acceso telefónico en una posición más baja en la lista de d

Nota: NetScreen no admite grupos de servicios ni de direcciones en las directivas breferencia a una configuración de VPN de acceso telefónico.


267

fónicoceso telefónico AutoKey IKE Para las negociaciones de la 1d7uU . Seleccione el conjunto

ust para acceder a los ión VPN, el tráfico se puede

entra en modo NAT. La interfaz inada apunta al enrutador


e)

OK :


e)


Ejemplo: Directivas bidireccionales para VPNs de acceso teleEn este ejemplo configuraremos directivas bidireccionales para un túnel VPN de acllamado VPN_dial para el usuario IKE dialup-j con la identificación IKE [email protected] .fase 1, utilice la propuesta pre-g2-3des-sha con la clave previamente compartida Jf1predefinidos de propuestas “Compatible” para las negociaciones de la fase 2.

El usuario IKE inicia una conexión VPN al dispositivo NetScreen desde la zona Untrservidores corporativos de la zona Trust. Una vez el usuario IKE establece la conexiniciar desde cualquiera de los dos extremos del túnel.

La interfaz de la zona Trust es ethernet1, tiene la dirección IP 10.1.1.1/24 y se encude la zona Untrust es ethernet3 y tiene la dirección IP 1.1.1.1/24. La ruta predetermexterno situado en 1.1.1.250.

WebUI


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust




268

lic en OK :

en OK :





2. ObjetosObjects > Addresses > List > New: Introduzca los siguientes datos y haga c

Address Name: trust_net



Zone: Trust

Objects > Users > Local > New: Introduzca los siguientes datos y haga clic

User Name: dialup-j

Status: Enable


Simple Identity: (seleccione); [email protected]


Gateway Name: dialup1



Dialup User: (seleccione); dialup-j

Preshared Key: Jf11d7uU






269

OK :

-j




VPN Name: VPN_dial


Remote Gateway:

Create a Simple Gateway: (seleccione)


Type:

Dialup User: (seleccione); dialup

Preshared Key: Jf11d7uU









270

haga clic en OK :

VPN

t

leccione)


5. DirectivasPolicies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y

Source Address:



Address Book Entry: (seleccione), trust_ne

Service: ANY

Action: Tunnel

VPN Tunnel: VPN_dial



271


gateway 1.1.1.250

any tunnel vpn

any tunnel vpn


CLI



2. Objetosset address trust trust_net 10.1.1.0/24set user dialup-j ike-id u-fqdn [email protected]

3. VPNset ike gateway dialup1 dialup dialup-j aggressive outgoi

preshare Jf11d7uU proposal pre-g2-3des-shaset vpn VPN_dial gateway dialup1 sec-level compatible


5. Directivasset policy from untrust to trust “Dial-Up VPN” trust_net

VPN_dialset policy from trust to untrust trust_net “Dial-Up VPN”

VPN_dialsave


272

a conexión que aparecerá en

leccione)


n OK .







2. Haga clic en Add a new connection y escriba Corp junto al icono de nuevpantalla.



Remote Party Identity and Addressing

ID Type: IP Subnet

Subnet: 10.1.1.0

Mask: 255.255.255.0

Protocol: All



4. Haga clic en el signo MÁS situado a la izquierda del icono de UNIX para am

5. Haga clic en My Identity : Siga uno de estos dos pasos:

Haga clic en Pre-shared Key > Enter Key : Escriba Jf11d7uU y haga clic e






273






(o bien)



Hash Alg: SHA-1





Hash Alg: SHA-1





Hash Alg: MD5




Encrypt Alg: DES

Hash Alg: SHA-1



274





Encrypt Alg: DES

Hash Alg: MD5



Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo

275

Por ejemplo, un departamento nicación segura por acceso lta práctico crear una definición

sola definición esté disponible o se aplica a todos los usuarios os los usuarios cuya ida con una identificación IKE

s IKE de una VPN de acceso icho grupo. El número máximo

eguridad admitidas en la fase 1

reen, éste primero extrae y de interlocutor por si el usuario con la identificación IKE

búsqueda de parte de la porada y un usuario ya


IDENTIFICACIÓN IKE DE GRUPOAlgunas organizaciones pueden tener muchos usuarios de acceso telefónico VPN. de ventas puede tener cientos de usuarios, muchos de los cuales necesitarán comutelefónico cuando se encuentran fuera de las oficinas. Con tantos usuarios, no resude usuario, una configuración de VPN y una directiva para cada uno.

Para evitar este problema, el método de identificación IKE de grupo permite que unapara múltiples usuarios. La definición de usuario para una identificación IKE de grupque tengan certificados con valores específicos en el nombre completo (DN) o a todidentificación IKE completa y clave previamente compartida en su cliente VPN coincparcial y una clave previamente compartida del dispositivo NetScreen.

Debe agregar un único usuario de identificación IKE de grupo a un grupo de usuariotelefónico y especificar el número máximo de conexiones simultáneas que admitirá dde sesiones simultáneas no podrá exceder el número máximo de asociaciones de so el número máximo de túneles VPN admitidos en la plataforma NetScreen.

Nota: Cuando un usuario IKE de acceso telefónico se conecta al dispositivo NetScutiliza la identificación IKE completa para buscar sus registros de puerta de enlace no pertenece a un grupo de usuarios de identificación IKE de grupo. Si la búsquedacompleta no ofrece ningún resultado, el dispositivo NetScreen realizará una nueva identificación IKE, buscando coincidencias entre la identificación IKE entrante incorconfigurado de la identificación IKE de grupo.


276

utenticación IKE para un grupo dependiente para cada uno de o de identificación IKE de grupo cer correctamente un túnel

cifica un certificado que definición de la identificación tScreen.

de identificación IKE de grupo

de ID IKE ASN1-DN IKE parcial: ou=eng

ticar el usuario, NetScreen compara o específico del nombre completo do al grupo de usuarios de acceso on el elemento correspondiente del y del DN utilizados en la carga de identificación IKE que acompaña al cial de la fase 1.

de usuarios de acceso telefónico


Identificación IKE de grupo con certificadosLa identificación IKE de grupo con certificados es una técnica para llevar a cabo la ade usuarios IKE de acceso telefónico sin tener que configurar un perfil de usuario inellos. En lugar de hacer eso, el dispositivo NetScreen utiliza un único perfil de usuaricon una identificación IKE parcial. El usuario IKE de acceso telefónico podrá estableVPN a un dispositivo NetScreen si la configuración de VPN en su cliente VPN especontenga elementos de nombre completo con coincidan con los configurados comoIKE parcial en el perfil de usuario de identificación IKE de grupo en el dispositivo Ne

ID IKE de grupo completa(nombre completo)

CertificadoDN:

cn=aliceou=eng--------------------

Usuario

TipoID

Para autenun element(DN) asociatelefónico ccertificado datos de la paquete ini

Grupo

Nota: Como el nombre completo en el certificado de Carol no incluye ou=eng , NetScreen rechaza la petición de conexión.

Usuarios IKE de acceso telefónico

Identificación IKE de grupo con certificados

CertificadoDN:

cn=bobou=eng--------------------

CertificadoDN:

cn=carolou=sales--------------------


277

ca a continuación:

parcial (como podrán utilizar el perfil de la

telefónico7 y asigne un nombre

e el nombre del grupo de erán del modo dinámico y que certificado cargado en los

cceso telefónico especificada.

información definida en la

o para las negociaciones de la uished Name para el tipo de

do con elementos de nombre io de la ID IKE de grupo podrán o de ID IKE de grupo tiene la ID fase 1 de cualquier usuario ximo de usuarios IKE de

úmero máximo de sesiones


Puede configurar una identificación IKE de grupo con certificados tal y como se indi

En el dispositivo NetScreen:

1. Cree un nuevo usuario de identificación IKE de grupo con una identidad IKEou=sales,o=netscreen) y especifique cuántos usuarios de acceso telefónicoidentificación IKE de grupo para conectarse.

2. Asigne el nuevo usuario de ID IKE de grupo al grupo de usuarios de accesoal grupo.

3. En la configuración de la VPN de acceso telefónico AutoKey IKE, especifiquusuarios de acceso telefónico, indique que las negociaciones de la fase 1 spara la autenticación se utilizarán certificados (RSA o DSA, según el tipo declientes VPN de acceso telefónico).

4. Cree una directiva que permita el tráfico de entrada a través de la VPN de a

En el cliente VPN:

1. Obtenga y cargue un certificado cuyo nombre completo contenga la misma identificación IKE parcial del dispositivo NetScreen.

2. Configure un túnel VPN al dispositivo NetScreen utilizando el modo dinámicfase 1, especifique el certificado cargado anteriormente y seleccione Distingidentificación IKE local.

A continuación, cada usuario IKE de acceso telefónico que disponga de un certificacompleto que coincidan con la identificación IKE parcial definida en el perfil de usuarestablecer correctamente un túnel al dispositivo NetScreen. Por ejemplo, si el usuariIKE OU=sales,O=netscreen, el dispositivo NetScreen aceptará las negociaciones deque tenga un certificado con esos elementos en su nombre completo. El número máacceso telefónico que se podrán conectar al dispositivo NetScreen dependerá del nsimultáneas que especifique en el perfil de usuario de identificación IKE de grupo.

7. Sólo puede asignar un usuario de ID IKE de grupo a un grupo de usuarios IKE.


278

leto según la norma ASN-1 tación constituye una cadena ejemplo:

ID ASN1-DN del interlocutor

o si los valores de los campos os identificativos del ASN1-DN da campo identificativo (por ue sigan los campos

o si los valores de los campos s de los campos identificativos iples entradas por cada campo alores en los campos

car el tipo como “wildcard” o tor (p. ej., la siguiente palabra clave: .

a:aís

Estado

ocalidad

rganización

Unidad organizativa

Nombre común


Tipos de identificación IKE ASN1-DN Wildcard y ContainerCuando se define la ID IKE para un usuario IKE de grupo, se utiliza el nombre comp(ASN1-DN) como tipo de identificación IKE de la configuración de identidad. Esta node valores, ordenados normalmente desde lo más general a lo más específico. Por

Cuando se configura el usuario de la identificación IKE de grupo, debe especificar lacomo uno de estos dos tipos:

• Wildcard: NetScreen autentica la ID de un usuario IKE de acceso telefónicidentificativos del ASN1-DN de dicho usuario coinciden con los de los campdel usuario IKE de grupo. El tipo de ID Wildcard sólo admite un valor por caejemplo, “ou=eng” o bien “ou=sw”, pero no “ou=eng,ou=sw”). Así, el orden qidentificativos en las dos cadenas ASN1-DN no es importante.

• Container: NetScreen autentica la ID de un usuario IKE de acceso telefónicidentificativos del ASN1-DN de dicho usuario coinciden exactamente con lodel ASN1-DN del usuario IKE de grupo. El tipo de ID Container admite múltidentificativo (por ejemplo, “ou=eng,ou=sw,ou=screenos”). El orden de los videntificativos de las dos cadenas ASN1-DN debe ser idéntico.

Cuando configure una ID de ASN1-DN para un usuario IKE remoto, deberá especifi“container”, y definir la ID ASN1-DN que espere recibir en el certificado del interlocu“c=us,st=ca,cn=jrogers”). Si configura una ID ASN1-DN para una ID IKE local, utilice[DistinguishedName]. Incluya los corchetes y escríbalo exactamente como se indica

C=usLeyend

C = P

ST =

L = L

O = O

OU =

CN =

ST=ca

L=sunnyvale

O=juniper

OU=sales

CN=joe

General

Específico

ASN1-DN: C=us,ST=ca,L=sunnyvale,O=juniper,OU=sales,CN=joe


279

bre completo del interlocutor de grupo. El orden que sigan ario IKE de acceso telefónico y

ue el orden de los valores en

E=

C=us

ST=

L=

=juniper

OU=

CN=

E Wildcard del N del usuario IKE de grupo


ID IKE del ASN1-DN de tipo Wildcard

Un ASN1-DN de tipo Wildcard hace necesario que los valores de la ID IKE del nomremoto coincidan con los valores de la ID IKE parcial del ASN1-DN del usuario IKE estos valores en la cadena del ASN1-DN es irrelevante. Por ejemplo, si la ID del usula ID del usuario IKE de grupo son las siguientes:

• ID IKE del ASN1-DN completo del usuario IKE de acceso telefónico: CN=christine,OU=finance,O=netscreen,ST=ca,C=us

• ID IKE parcial del ASN1-DN del usuario IKE de grupo: C=us,O=netscreen

una ID IKE de tipo Wildcard del ASN1-DN hace que coincidan las dos IDs IKE, aunqlas dos IDs difiere.

E=

CN=christine

OU=finance

O=juniper

L=

ST=ca

C=us

O

ID IKE del ASN1-DN del usuario IKE de acceso telefónico

ID IKASN1-D

Autenticación

El ASN1-DN del usuario IKE de acceso telefónico contiene los valores especificados en el ASN1-DN del usuario IKE de grupo. El orden de los valores es irrelevante.


280

nga múltiples entradas en cada ID de usuario de acceso l usuario IKE de grupo. Al

N también debe coincidir en las múltiples, su orden en los

E=

C=us

ST=

L=

O=juniper

kt,OU=dom,OU=west

CN=

ntainer del ASN1-DN del ario IKE de grupo

E=

C=us

ST=

L=

O=juniper

kt,OU=dom,OU=west

CN=

Container del ASN1-DN suario IKE de grupo


ID IKE del ASN1-DN de tipo Container

Una ID de tipo Container del ASN1-DN permite que la ID del usuario IKE de grupo tecampo identificativo. NetScreen autentica un usuario IKE de acceso telefónico si la telefónico contiene valores que coinciden al cien por cien con los valores de la ID decontrario de lo que sucede con el tipo Wildcard, el orden de los campos del ASN1-DIDs del usuario IKE de acceso telefónico y del usuario IKE de grupo. Si hay valores campos correspondientes también deberá ser igual.

El segundo ASN1-DN de usuario IKE de acceso telefónico contiene valores exactamente iguales a los del ASN1-DN del usuario IKE de grupo. Sin embargo, el orden de las entradas múltiples en el campo identificativo OU no es igual.

OU=m


ID IKE Cousu

Autenticación

El primer ASN1-DN de usuario IKE de acceso telefónico contiene valores exactamente iguales a los del ASN1-DN del usuario IKE de grupo. El orden de las entradas múltiples en el campo identificativo OU también es igual.

E=

C=us

ST=ca

L= sf

O=juniper

OU=mkt,OU=dom,OU=west

CN=yuki

OU=m


ID IKE del u

Autenticación

E=

C=us

ST=ca

L= la

O=juniper

OU=mkt,OU=west,OU=dom

CN=joe


281

ser1. A continuación, as en la fase 1 por parte de autoridad de certificación (CA)

El nombre completo (DN) en un como la siguiente cadena:

,CN=a2010002,CN=ns500,

ocutor y el usuario utiliza el ticará el usuario.

se 1 (rsa-g2-3des-sha para la fase 2.

tráfico HTTP a través del túnel liente VPN remoto (utilizando

t/24

web110.1.1.5

Zona Trust


Ejemplo: Identificación IKE de grupo (certificados)En este ejemplo definirá un nuevo usuario de identificación IKE de grupo llamado Uconfigurará la definición para que acepte un máximo de 10 negociaciones simultáneclientes VPN con certificados RSA que contengan O=netscreen y OU=marketing . Laserá Verisign. El grupo de usuarios IKE de acceso telefónico será office_1 .

Los usuarios IKE de acceso telefónico envían un nombre completo como su ID IKE. certificado para un usuario IKE de acceso telefónico en este grupo puede aparecer

C=us,ST=ca,L=sunnyvale,O=netscreen,OU=marketing,CN=michael zhangCN=4085557800,CN=rsa-key,CN=10.10.5.44

Como los valores O=netscreen y OU=marketing aparecen en el certificado del interlnombre completo como su tipo de identificación IKE, el dispositivo NetScreen auten

Para los niveles de seguridad de las fases 1 y 2, debe especificar la propuesta de facertificados) y seleccionar el conjunto de propuestas predefinido “Compatible” para

Ahora debe configurar una VPN de acceso telefónico y una directiva que permita elVPN para acceder al servidor web Web1. También se incluirá la configuración del cNetScreen-Remote).


eth3, 1.1.1.1/24

Zona Truseth1, 10.1.1.1

Modo NAT

Usuario de acceso

telefónico con ID IKE:

o=juniperou=marketing

puerta de enlace 1.1.1.250

Zona Untrust

Túnel VPN

Perfil de usuario de identificación IKE de grupo

User Name: User1Grupo de usuarios: office_1

Nombre completo:o=juniper

ou=marketing


282


e)

OK :


e)

lic en OK :

en OK :


WebUI


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust




Address Name: web1



Zone: Trust

3. UsuariosObjects > Users > Local > New: Introduzca los siguientes datos y haga clic

User Name: User1

Status Enable: (seleccione)


283

e)

Name, realice la acción que se

over esta definición de la roup Members.


seleccione), Group: office_1





Number of Multiple Logins with same ID: 10

Use Distinguished Name For ID: (seleccion

OU: marketing

Organization: juniper

Objects > User Groups > Local > New: Escriba office_1 en el campo Groupindica a continuación y, finalmente, haga clic en OK :

Seleccione User1 y utilice el botón << para mcolumna Available Members a la columna G


Gateway Name: Corp_GW


Remote Gateway Type: Dialup User Group: (







Peer CA: Verisign

Peer Type: X509-SIG


284

OK :

orp_GW


haga clic en OK :

VPN

ule la selección)



VPN Name: Corp_VPN


Remote Gateway: Predefined: (seleccione), C







Source Address:



Address Book Entry: (seleccione), web1

Service: HTTP

Action: Tunnel

Tunnel VPN: Corp_VPN




285

eting share-limit 10


gateway 1.1.1.250

ttp tunnel vpn Corp_VPN



CLI



2. Direcciónset address trust web1 10.1.1.5/32

3. Usuariosset user User1 ike-id asn1-dn wildcard o=juniper,ou=markset user-group office_1 user User1

4. VPNset ike gateway Corp_GW dialup office_1 aggressive outgoi

proposal rsa-g2-3des-shaset ike gateway Corp_GW cert peer-ca 18

set ike gateway Corp_GW cert peer-cert-type x509-sigset vpn Corp_VPN gateway Corp_GW sec-level compatible


6. Directivaset policy top from untrust to trust “Dial-Up VPN” web1 hsave



286

va conexión que aparecerá en

lse el tabulador y escriba 80 .leccione)


o=netscreen,ou=marketing en

la lista desplegable.



ntes algoritmos de encriptación

Para obtener más información sobre



1. Haga clic en Options > Secure > Specified Connections .2. Haga clic en Add a new connection y escriba web1 junto al icono de nue

pantalla.

3. Configure las opciones de conexión:Connection Security: SecureRemote Party Identity and Addressing

ID Type: IP Address, 10.1.1.5Protocol: Seleccione All , escriba HTTP , puConnect using Secure Gateway Tunnel: (seID Type: IP Address, 1.1.1.1

4. Haga clic en el signo MÁS situado a la izquierda del icono de web1 para am

5. Haga clic en My Identity : Seleccione el certificado que tiene los elementossu nombre completo en la lista desplegable Select Certificate9.

ID Type: Seleccione Distinguished Name en



8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione los siguiee integridad de datos:

Authentication Method: RSA SignaturesEncrypt Alg: Triple DESHash Alg: SHA-1Key Group: Diffie-Hellman Group 2

9. En este ejemplo se parte de la base de que ya ha cargado un certificado adecuado en el cliente NetScreen-Remote.cómo cargar certificados en el cliente NetScreen-Remote, consulte la documentación de NetScreen-Remote.


287









Hash Alg: SHA-1





Hash Alg: MD5




Encrypt Alg: DES

Hash Alg: SHA-1




Encrypt Alg: DES

Hash Alg: MD5




288

ara llevar a cabo la configurar un perfil de usuario en utiliza un único perfil de IKE de acceso telefónico podrá n de su cliente VPN tiene la

l usuario coincide con la ID IKE

te compartida puede ser una

rio de identificación IKE de grupo

IKE parcial: eng.ns.comor de inicialización de clave mente compartida: N11wWd2

genera en tiempo real una clave te compartida cuando un usuario u identificación IKE completa.

iamente compartida de cada = valor inicial de clave previamente x ID IKE completa).

ticar el usuario, NetScreen compara nerada con la clave previamente que acompaña al paquete inicial de

po de usuarios de acceso telefónico


ID IKE de grupo con claves previamente compartidasLa identificación IKE de grupo con claves previamente compartidas es una técnica pautenticación IKE para un grupo de usuarios IKE de acceso telefónico sin tener queindependiente para cada uno de ellos. En lugar de hacer eso, el dispositivo NetScreusuario de identificación IKE de grupo con una identificación IKE parcial. El usuario establecer correctamente un túnel VPN a un dispositivo NetScreen si la configuracióclave previamente compartida correcta y si la mayor parte de la ID IKE completa deparcial del perfil de usuario de la identificación IKE de grupo.

El tipo de ID IKE que utilice para la ID IKE de grupo con función de clave previamendirección de correo electrónico o un nombre de dominio completo (FQDN).

ID IKE de grupo con claves previamente

compartidas+


alice.eng.ns.com+

011fg3322eda837c

bob.eng.ns.com+

bba7e22561c5da82

carol.ns.com+

834a2bbd32adc4e9

Usua

IDVal

previa

NetScreenpreviamenIKE envía s

(Clave prevusuario IKEcompartida

Para autensu clave gecompartidala fase 1.

Gru

Nota: Como la ID IKE de Carol no es carol.eng.ns.com , NetScreen rechaza la petición de conexión.

Usuarios IKE de acceso telefónico

ID IKE de grupo con claves previamente compartidas


289

as tal y como se indica a

parcial (como juniper.net) y la identificación IKE de grupo

so telefónico.

nombre para la puerta de lefónico e introduzca un valor

artida individual para el usuario tida y la ID IKE completa del

nfiguración de un cliente VPN

o en las negociaciones de la nte en el dispositivo NetScreen.

ario individual cuya ID IKE al. Por ejemplo, si el usuario de re de dominio en su ID IKE creen. Por ejemplo:

que se pueden conectar e usuario de ID IKE de grupo.


Puede configurar una identificación IKE de grupo con claves previamente compartidcontinuación:

En el dispositivo NetScreen:

1. Cree un nuevo usuario de identificación IKE de grupo con una identidad IKEespecifique cuántos usuarios de acceso telefónico podrán utilizar el perfil depara conectarse.

2. Asigne el nuevo usuario de ID IKE de grupo a un grupo de usuarios de acce

3. En la configuración de la VPN de acceso telefónico AutoKey IKE, asigne unenlace remota (p. ej., road1), especifique el grupo de usuarios de acceso teinicial de clave previamente compartida.

4. Utilice el siguiente comando CLI para generar una clave previamente compde acceso telefónico utilizando el valor inicial de clave previamente comparusuario (como [email protected]).

exec ike preshare-gen name_str usr_name_str

(por ejemplo) exec ike preshare-gen road1 [email protected]

5. Registre la clave previamente compartida para poder utilizarla durante la coremoto.

En el cliente VPN:

Configure un túnel VPN al dispositivo NetScreen utilizando el modo dinámicfase 1 e introduzca la clave previamente compartida que generó anteriorme

Posteriormente, el dispositivo NetScreen podrá autenticar correctamente a cada usucontenga una sección que coincida con el perfil de usuario de ID IKE de grupo parciID IKE de grupo tiene la identidad IKE juniper.net , cualquier usuario con ese nombpuede iniciar negociaciones IKE de fase 1 en modo dinámico con el dispositivo [email protected] , [email protected] y [email protected] . El número de usuariosdependerá del número máximo de sesiones simultáneas especificadas en el perfil d


290

ser2 . A continuación, as en la fase 1 por parte de rmine con la cadena e usuarios IKE de acceso

de seguridad predefinido como miento trust-vr.


e)

OK :

st1.1.1/24T

web110.1.1.5

Zona Trust


Ejemplo: ID IKE de grupo (claves previamente compartidas)En este ejemplo definirá un nuevo usuario de identificación IKE de grupo llamado Uconfigurará la definición para que acepte un máximo de 10 negociaciones simultáneclientes VPN con claves previamente compartidas que contengan una ID IKE que tejuniper.net . El valor inicial de la clave previamente compartida es jk930k . El grupo dtelefónico será office_2 .

Tanto para las negociaciones de fase 1 como de fase 2, deberá seleccionar el nivel “Compatible”. Todas las zonas de seguridad se encuentran en el dominio de enruta

WebUI


Zone Name: Trust




Interface Mode: NAT


ethernet3, 1.1.1.1/24

Zona Truethernet1, 10.

Modo NA

Usuario de acceso telefónico

con ID IKE:[email protected]

puerta de enlace 1.1.1.250

Zona Untrust

Túnel VPN

Perfil de usuario de identificación IKE de grupoNombre de usuario: User2

Grupo de usuarios: office_2ID simple: juniper.net


291


e)

lic en OK :

en OK :

Name, realice la acción que se

asladarlo de la columna mbers.



Zone Name: Untrust




Address Name: web1



Zone: Trust


User Name: User2

Status: Enable




IKE Identity: juniper.net

Objects > User Groups > Local > New: Escriba office_2 en el campo Groupindica a continuación y, finalmente, haga clic en OK :

Seleccione User2 y utilice el botón << para trAvailable Members a la columna Group Me


292

OK :

orp_GW


haga clic en OK :

VPN

ule la selección)

compartida, pero no un valor te compartida. Para introducir de enlace IKE, debe utilizar la


4. VPN


VPN Name: Corp_VPN


Remote Gateway: Predefined: (seleccione), C







Source Address:




Service: HTTP

Action: Tunnel

Tunnel VPN: Corp_VPN



Nota: La WebUI sólo permite introducir un valor para la clave previamenteinicial a partir del cual el dispositivo NetScreen derive una clave previamenun valor inicial para clave previamente compartida al configurar una puertainterfaz CLI.


293

preshare jk930k

gateway 1.1.1.250

http tunnel vpn


CLI




3. Usuariosset user User2 ike-id u-fqdn juniper.net share-limit 10set user-group office_2 user User2

4. VPNset ike gateway Corp_GW dialup office_2 aggressive seed-

sec-level compatibleset vpn Corp_VPN gateway Corp_GW sec-level compatible


6. Directivaset policy top from untrust to trust “Dial-Up VPN” web1

Corp_VPNsave


294

nte comando CLI:

ente compartida jk930k (como rp_GW ) y la identificación 11257f691af96916f2 .


lse el tabulador y escriba 80 .

leccione)



iba


Obtención de la clave previamente compartida

La clave previamente compartida sólo se puede obtener utilizando el siguie

exec ike preshare-gen name_str usr_name_str

La clave previamente compartida, basada en el valor inicial de clave previamse especificó en la configuración de la puerta de enlace remota llamada Cocompleta de usuario individual [email protected] es 11ccce1d396f8f29ffa93d



2. Haga clic en Add a new connection y escriba web1 junto al icono de nuepantalla.



Remote Party Identity and Addressing


Protocol: Seleccione All , escriba HTTP , pu




5. Haga clic en el icono Security Policy, seleccione Aggressive Mode y desaSecrecy (PFS) .

6. Haga clic en My Identity : Haga clic en Pre-shared Key > Enter Key : Escr11ccce1d396f 8f29 f f a 93d11257f 6 91a f 96916f 2 y haga clic en OK .



295

y y, a continuación, en el ange (Phase 2) para ampliar






7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policsímbolo MÁS situado a la izquierda de Authentication (Phase 1) y Key Exchaún más la directiva.




Hash Alg: SHA-1


9. Haga clic en Authentication (Phase 1) > Create New Proposal : SeleccionIPSec:



Hash Alg: MD5




Encrypt Alg: DES

Hash Alg: SHA-1




Encrypt Alg: DES


296






Hash Alg: MD5





Hash Alg: SHA-1





Hash Alg: MD5




Encrypt Alg: DES

Hash Alg: SHA-1




Encrypt Alg: DES

Hash Alg: MD5



Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida

297

mero de usuarios de acceso de acceso telefónico utilizando a protección IPSec para

mente compartidas, con las

reo electrónico o un nombre de ión de correo electrónico.

E de usuario completa para una única clave previamente

spositivo NetScreen:

usuarios de acceso telefónico ión de correo electrónico como

co.

puerta de enlace de ID IKE

ta.

negociaciones de la fase 1 e ivo NetScreen. A continuación,


IDENTIFICACIÓN IKE COMPARTIDALa función de identificación IKE compartida facilita la implementación de un gran nútelefónico. Gracias a ella, el dispositivo NetScreen autentica múltiples usuarios VPNuna única identificación IKE de grupo y clave compartida. De esta forma, proporciongrandes grupos de usuarios remotos por medio de una configuración VPN común.

Esta función es similar a la identificación IKE de grupo con función de claves previasiguientes diferencias:

• Con la función de ID IKE de grupo, la ID IKE puede ser una dirección de cordominio completo (FQDN). Para esta función, la ID IKE debe ser una direcc

• En lugar de utilizar el valor inicial de clave previamente compartida y la ID IKgenerar una clave previamente compartida para cada usuario, se especificacompartida para todos los usuarios del grupo.

• Debe utilizar XAuth para autenticar los usuarios individuales.

Para configurar una ID IKE compartida y una clave previamente compartida en el di

1. Cree un nuevo usuario de identificación IKE de grupo y especifique cuántospodrán utilizar la ID IKE para conectarse. En esta función, utilice una direccID IKE.

2. Asigne la nueva ID IKE de grupo a un grupo de usuarios de acceso telefóni

3. En la configuración VPN de acceso telefónico a LAN AutoKey IKE, cree unacompartida.

4. Defina los usuarios XAuth y habilite XAuth en la puerta de enlace IKE remo

En el cliente VPN:

Configure un túnel VPN al dispositivo NetScreen utilizando el modo dinámico en lasintroduzca la clave previamente compartida que definió anteriormente en el dispositéste autenticará cada usuario remoto tal y como se indica a continuación:


298

l cliente VPN comparando la ID reviamente compartida del nticar el usuario individual. de la fase 1 y la fase 2. Si el ctos, comenzarán las

s)o Remote_Sales. Aceptará lave previamente compartida demás, configuraremos dos

de seguridad predefinido como miento trust-vr.

1.1.1/24AT

web110.1.1.5

Zona Trust


Durante las negociaciones de la fase 1, el dispositivo NetScreen primero autentica eIKE y la clave previamente compartida que el cliente envía con la ID IKE y la clave pdispositivo NetScreen. Si coinciden, el dispositivo NetScreen utiliza XAuth para auteEnvía una petición de inicio de sesión al usuario remoto entre las negociaciones IKEusuario remoto consigue conectarse con el nombre de usuario y la contraseña correnegociaciones de la fase 2.

Ejemplo: ID IKE compartida (claves previamente compartidaEn este ejemplo crearemos un nuevo usuario de identificación IKE de grupo llamadhasta 250 negociaciones simultáneas de fase 1 desde clientes VPN con la misma c(abcd1234). El nombre del grupo de usuarios IKE de acceso telefónico será R_S . Ausuarios XAuth, Joe y Mike.

Tanto para las negociaciones de fase 1 como de fase 2, deberá seleccionar el nivel “Compatible”. Todas las zonas de seguridad se encuentran en el dominio de enruta

Interfaz de salidaethernet3, 1.1.1.1/24

ethernet1, 10.Modo N

Usuario de acceso telefónico con

ID IKE: [email protected]ña XAuth: 1234 Zona Untrust

Túneles VPN

Perfil de usuario de ID IKE compartida

Nombre de usuario: Remote_SalesGrupo de usuarios: R_S

ID simple: [email protected]

Usuario de acceso telefónico con

ID IKE: [email protected]ña XAuth: 5678


299


e)

OK :


e)

lic en OK :

en OK :


WebUI


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust




Address Name: web1



Zone: Trust


User Name: Remote_Sales

Status: Enable



300

0

me, realice la acción que se

<< para moverlo de la columna mbers.

en OK :

en OK :


ione), R_S





Objects > User Groups > Local > New: Escriba R_S en el campo Group Naindica a continuación y, finalmente, haga clic en OK :

Seleccione Remote_sales y utilice el botón Available Members a la columna Group Me


User Name: Joe

Status: Enable

XAuth User: (seleccione)

Password: 1234

Confirm Password: 1234


User Name: Mike

Status: Enable

XAuth User: (seleccione)

Password: 5678

Confirm Password: 5678


Gateway Name: sales_gateway

Security Level: Compatible (seleccione)

Remote Gateway Type: Dialup Group (selecc


301

y haga clic en Return para a de puerta de enlace:

e)

OK :

les_gateway


un



Preshared Key: abcd1234


> Advanced: Introduzca los siguientes datos regresar a la página de configuración básic

Enable XAuth: (seleccione)

Local Authentication: (seleccion

Allow Any: (seleccione)


VPN Name: Sales_VPN


Remote Gateway: Predefined: (seleccione) sa




Network Address / Netmask: 0.0.0.0/0





302

haga clic en OK :

VPN

ule la selección)



Source Address:




Service: HTTP

Action: Tunnel

Tunnel VPN: Sales_VPN




303

0

oing-interface

ible

0

tp tunnel vpn sales_vpn


CLI




3. Usuariosset user Remote_Sales ike-id [email protected] share-limit 25set user-group R_S user Remote_Salesset user Joe password 1234set user Joe type xauthset user Mike password 5678set user Mike type xauth

4. VPNset ike gateway sales_gateway dialup R_S aggressive outg

ethernet3 preshare abcd1234 sec-level compatibleset ike gateway sales_gateway xauthset vpn sales_vpn gateway sales_gateway sec-level compatset vpn sales_vpn bind zone untrust-tun

5. Rutaset route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.25

6. Directivaset policy top from untrust to trust “Dial-Up VPN” web1 htsave


304


ccione)



iba abcd1234 y haga clic en

y y, a continuación, en el ange (Phase 2) para ampliar


nded Authentication



En este ejemplo se muestra la configuración del usuario Joe.


2. Haga clic en Add a new connection y escriba web1 junto al icono de nuepantalla.



Remote Party ID Type: IP Address

Dirección IP: 10.1.1.5

Connect using Secure Gateway Tunnel: (sele

ID Type: IP Address; 1.1.1.1



6. Haga clic en My Identity : Haga clic en Pre-shared Key > Enter Key : Escr OK .


7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policsímbolo MÁS situado a la izquierda de Authentication (Phase 1) y Key Exchaún más la directiva.


Authentication Method: Pre-Shared Key; Exte


Hash Alg: SHA-1



305


nded Authentication


nded Authentication


nded Authentication




9. Haga clic en Authentication (Phase 1) > Create New Proposal : SeleccioIPSec:



Hash Alg: MD5




Encrypt Alg: DES

Hash Alg: SHA-1




Encrypt Alg: DES

Hash Alg: MD5





Hash Alg: SHA-1





306





Hash Alg: MD5




Encrypt Alg: DES

Hash Alg: SHA-1




Encrypt Alg: DES

Hash Alg: MD5



6

307

tocol), su utilización en solitario P y L2TP sobre IPSec:

predeterminados L2TP” en la


Capítulo 6

L2TP

Este capítulo proporciona una introducción al protocolo L2TP (Layer 2 Tunneling Proy con soporte IPSec, y a continuación algunos ejemplos de la configuración de L2T

• “Introducción al L2TP” en la página 308

• “Encapsulado y desencapsulado de paquetes” en la página 312

• “Parámetros L2TP” en la página 314

– “Ejemplo: Configuración de un conjunto de direcciones IP y los ajustespágina 315

• “L2TP y L2TP sobre IPSec” en la página 317

– “Ejemplo: Configuración de L2TP” en la página 318

– “Ejemplo: Configuración de L2TP sobre IPSec” en la página 326

– “Ejemplo: L2TP bidireccional sobre IPSec” en la página 339

Capítulo 6 L2TP Introducción al L2TP

308

zar una conexión con un er un dispositivo NetScreen. y el LNS.

or túnel a un LNS en el sitio de lefónico, sino sólo hasta el LAC ración L2TP obligatoria).

dows 2000 por sí mismo, o del usuario de acceso s, a esta solución se le llama

LANde empresa

en

red


INTRODUCCIÓN AL L2TPEl protocolo L2TP proporciona a un usuario de acceso telefónico una forma de realiprotocolo punto a punto virtual (PPP) a un servidor de red L2TP (LNS), que puede sL2TP envía tramas PPP por un túnel entre un concentrador de acceso L2TP (LAC)

En origen, L2TP se diseñó para que un LAC residente en un sitio ISP se conectase potro ISP o empresa. El túnel L2TP no llega hasta al equipo del usuario de acceso teen el ISP local del usuario de acceso telefónico. (A veces, a esto se le llama configu

Un cliente NetScreen-Remote sobre Windows 2000 o Windows NT, o un cliente Winpuede actuar como un LAC. El túnel L2TP puede llegar directamente hasta el equiptelefónico, proporcionando así un encapsulado de protocolos punto a punto. (A vececonfiguración L2TP voluntaria).

Usuario de acceso

telefónicoISP

Internet

Concentrador de acceso

L2TP(LAC)

Conexión de acceso

telefónico Dispositivo NetScre

Servidor deL2TP(LNS)

Túnel L2TP(reenvío de sesiones PPP

del LAC al LNS)


309

ternet hasta el dispositivo dirección IP, las direcciones de l o desde un servidor de

otra lógica procedente del LNS. P realiza las asignaciones de

n una dirección IP pública, que

itivo een)

LANde empresa


Debido a que el enlace PPP va desde el usuario de acceso telefónico a través de InNetScreen (LNS), es el dispositivo NetScreen y no el ISP quien asigna al cliente su los servidores DNS y WINS, y autentica al usuario, bien desde la base de datos locaautenticado externo (RADIUS, SecurID, o LDAP).

De hecho, el cliente recibe dos direcciones IP, una para su conexión física al ISP, y Cuando el cliente se conecta a su ISP, por ejemplo utilizando el protocolo PPP, el ISIP y DNS, y autentica al cliente. Esto permite a los usuarios conectarse a Internet cose convierte en la dirección IP externa del túnel L2TP.

Internet

NetScreen-Remoteo Windows 2000

(LAC)ISP

DisposNetScr

(LNS

Túnel L2TP(reenvío de sesiones PPP

del LAC al LNS)

Dirección IP: 5.5.5.5DNS: 6.6.6.6, 7.7.7.7

ISPEn primer lugar, el ISP asigna al cliente una dirección IP pública y las direcciones de los servidores DNS.

1


310

etScreen, éste asigna al cliente to de direcciones privadas no

ente de la de las direcciones IP

es IP254

LAN de empresa10.1.1.0/24


Después, cuando el túnel L2TP envía las tramas PPP encapsuladas al dispositivo Nuna dirección IP y los ajustes de DNS y WINS. La dirección IP puede ser del conjunutilizables en Internet. Ésta se convierte en la dirección IP interna del túnel L2TP.

Nota: Las direcciones IP asignadas al cliente L2TP deben estar en una subred diferen la LAN corporativa.

Dirección IP: 10.10.1.161DNS: 10.1.1.10, 1.2.2.10

WINS: 10.1.1.48, 10.1.1.49Conjunto de direccion

10.10.1.1 – 10.10.1.

Dispositivo NetScreen(LNS)

Internet

En segundo lugar, el dispositivo NetScreen, actuando como LNS, asigna al cliente una dirección IP privada (lógica), y las direcciones de los servidores DNS y WINS.

2


311

do principal utilizando partida o certificados

rincipal que utilizan certificados

ec. Una directiva de acceso un túnel bidireccional.

) y CHAP (Challenge idor externo de autenticado

in Name System), y los s local o un servidor RADIUS

les

a la clave ProhibitIPSec en el registro de seguridad del registro.) Haga clic

lSet > Services > RasMan > base de numeración, y después haga para obtener información sobre cómo

n PAP y CHAP SecurID y los

3, con interfaces de la zona de en la capa 2, con interfaces de nada con el L2TP en el WebUI,


La versión actual de ScreenOS proporciona el siguiente soporte al L2TP:

• Túneles L2TP con origen en un host con Windows 20001

• Combinación de L2TP e IPSec en modo de transporte (L2TP sobre IPSec)

– Para NetScreen-Remote: L2TP sobre IPSec con negociaciones en mocertificados, y en modo dinámico utilizando una clave previamente com

– Para Windows 2000: L2TP sobre IPSec, con negociaciones en modo p

• Directiva de acceso telefónico saliente para túneles L2TP y L2TP sobre IPStelefónico saliente se puede emparejar con una entrante para proporcionar

• Autenticación de usuario utilizando PAP (Password Authentication ProtocolHandshake Authentication Protocol) desde la base de datos local o un serv(RADIUS, SecurID, o LDAP)

• Asignación de las direcciones IP de los usuarios, los servidores DNS (Domaservidores WINS (Windows Internet Naming Service) desde la base de dato

• Túneles L2TP y L2TP sobre IPSec para el sistema raíz y los sistemas virtua

1. De forma predeterminada, Windows 2000 realiza L2TP sobre IPSec. Para forzarlo a utilizar sólo L2TP, debe dirigirse y cambiar 0 (L2TP sobre IPSec) por 1 (sólo L2TP ). (Antes de hacerlo, Juniper Networks recomienda hacer una copiaen Inicio > Ejecutar : Escriba regedit . Haga doble click en HKEY_LOCAL_MACHINE > System > CurrentControParameters . Haga doble clic en ProhibitIPSec : Escriba 1 en el campo Value data, seleccione Hexadecimal como clic en OK . Reinicie. (Si no encuentra esta entrada en el registro, consulte la documentación de Microsoft Windows crear una).

Nota: La base de datos local y los servidores RADIUS son compatibles coservidores LDAP sólo son compatibles con PAP.

Nota: Para utilizar el L2TP, el dispositivo NetScreen debe operar en la capaseguridad en modo NAT o de ruta. Cuando el dispositivo NetScreen operala zona de seguridad en modo transparente, no aparece información relacioy los comandos CLI relativos al L2TP provocan mensajes de error.

Capítulo 6 L2TP Encapsulado y desencapsulado de paquetes

312

esde el LAC hasta el LNS. , se muestra un resumen del

nel L2TP, el LAC encapsula el gmentos de la capa 4. ce PPP, el encapsulado será

ca entre el usuario de acceso


ENCAPSULADO Y DESENCAPSULADO DE PAQUETESL2TP emplea el encapsulado de paquetes como forma de transportar tramas PPP dAntes de ver ejemplos específicos de configuración del L2TP y el L2TP sobre IPSecencapsulado y desencapsulado implicados en el proceso L2TP.

EncapsuladoCuando un usuario de acceso telefónico dentro de una red IP envía datos por un túpaquete IP dentro de una serie de tramas de la capa 2, paquetes de la capa 3, y seSuponiendo que el usuario de acceso telefónico se conecte al ISP local por un enlacomo se indica a continuación:

1. Los datos se ubican en la carga de la trama IP.

2. El paquete IP se encapsula en una trama PPP.

3. La trama PPP se encapsula en una trama L2TP.

4. La trama L2TP se encapsula en un segmento UDP.

5. El segmento UDP se encapsula en un paquete IP.

6. El paquete IP se encapsula en una trama PPP para realizar la conexión físitelefónico y el ISP.

Capítulo 6 L2TP Encapsulado y desencapsulado de paquetes

313

ontenido anidado será como se

.

ero del puerto reservado para

cabezado L2TP para identificar

l usuario.

P se elimina y los datos se


DesencapsuladoCuando el LAC inicia el enlace PPP hacia el ISP, el desencapsulado y reenvío del cindica a continuación:

1. El ISP finaliza el enlace PPP y asigna una dirección IP al equipo del usuarioEn la carga PPP hay un paquete IP.

2. El ISP quita el encabezado PPP y reenvía el paquete IP al LNS.3. El LNS quita el encabezado IP.

En la carga IP hay un segmento UDP que especifica el puerto 1701, el númL2TP.

4. El LNS quita el encabezado UDP.En la carga UDP hay una trama L2TP.

5. El LNS procesa la trama L2TP, utilizando los datos tunnel ID y call ID del enel túnel L2TP concreto. Después, el LNS quita el encabezado L2TP.En la carga L2TP hay una trama PPP.

6. El LNS procesa la trama PPP, y asigna una dirección lógica IP al equipo deEn la carga PPP hay un paquete IP.

7. El LNS enruta el paquete IP hacia su último destino, donde el encabezado Iextraen del paquete IP.

ISP

LNS

Capítulo 6 L2TP Parámetros L2TP

314

lefónico que habitualmente

to de direcciones IP y la asigna cíclicamente el conjunto de ecciones se seleccionan .1 – 10.10.1.2 …

etScreen proporciona estas

creen también proporciona

ña. Se pueden introducir los (RADIUS, SecurID, o LDAP).

PP:

ivo NetScreen envía un desafío hecho una petición de enlace

base de datos local y los

io de acceso telefónico sin ervidores RADIUS, SecurID, y

ste falla, entonces el PAP.

2TP puede ser el mismo


PARÁMETROS L2TPEl LNS utiliza L2TP para proporcionar los ajustes PPP para un usuario de acceso teproviene de un ISP. Estos ajustes son los siguientes:

• Dirección IP: el dispositivo NetScreen selecciona una dirección de un conjunal equipo del usuario de acceso telefónico. El proceso de selección recorre direcciones IP, esto es, en el grupo desde 10.10.1.1 hasta 10.10.1.3, las dirsiguiendo el ciclo que se indica: 10.10.1.1 – 10.10.1.2 – 10.10.1.3 – 10.10.1

• Direcciones IP de los servidores DNS primario y secundario: el dispositivo Ndirecciones para uso del equipo del usuario de acceso telefónico.

• Direcciones IP del servidor WINS primario y secundario: el dispositivo NetSestas direcciones para uso del equipo del usuario de acceso telefónico.

El LNS también autentica al usuario mediante un nombre de usuario y una contrasedatos del usuario en la base de datos local o en un servidor externo de autenticado

Además, puede especificar uno de los siguientes esquemas para la autenticación P

• Challenge Handshake Authentication Protocol (CHAP), en el que el disposit(clave de cifrado) al usuario de acceso telefónico después de que éste hayaPPP, y el usuario cifra su nombre de usuario y contraseña con la clave. La servidores RADIUS soportan CHAP.

• Password Authentication Protocol (PAP), que envía la contraseña del usuarcodificar junto con la petición de enlace PPP. La base de datos local y los sLDAP soportan PAP.

• “ANY”, lo que significa que el dispositivo NetScreen negocia el CHAP, y si é

Nota: El servidor RADIUS o SecurID que se utiliza para autenticar a los usuarios Lservidor utilizado para los usuarios de red, u otro diferente.


315

ros predeterminados L2TP que lt Settings) o con el comando ecíficamente para los usuarios

el comando set user name_str s predeterminados L2TP.

s ajustes

10.1.3.100. Se especifican las positivo NetScreen realiza la

DNS 11.1.1.2

DNS 21.1.1.3nternet

Zona Untrust


Puede aplicar a los usuarios o grupos de usuarios de acceso telefónico los parámetse configuran en la página básica de configuración de L2TP (VPNs > L2TP > Defauset l2tp default . También puede aplicar los parámetros L2TP que se configuran espL2TP en la página de configuración de usuario (Users > Users > Local > New) o conremote-settings . Los ajustes específicos de usuario L2TP reemplazan a los ajuste

Ejemplo: Configuración de un conjunto de direcciones IP y lopredeterminados L2TPEn este ejemplo, se define un conjunto de direcciones IP en un rango de 10.1.3.40 adirecciones IP de los servidores DNS 1.1.1.2 (primario) y 1.1.1.3 (secundario). El disautenticación PPP mediante CHAP.

Nota: Especifique el servidor de autenticación para cada túnel L2TP.

RADIUS10.1.1.245

Conjunto de direcciones IP L2TP

10.1.3.40 – 10.1.3.100

I

Zona Trust

Nota: El conjunto de direcciones L2TP debe pertenecer a una subred distinta de la de la zona Trust.

ethernet3,1.1.1.1/24

ethernet1,10.1.1.1/24


316

:

en Apply :


WebUI

1. Conjunto de direcciones IPObjects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK

IP Pool Name: Sutro

Start IP: 10.1.3.40

End IP: 10.1.3.100

2. Ajustes predeterminados de L2TPVPNs > L2TP > Default Settings: Introduzca los siguientes datos y haga clic

IP Pool Name: Sutro

PPP Authentication: CHAP

DNS Primary Server IP: 1.1.1.2

DNS Secondary Server IP: 1.1.1.3

WINS Primary Server IP: 0.0.0.0

WINS Secondary Server IP: 0.0.0.0

CLI

1. Conjunto de direcciones IPset ippool sutro 10.1.3.40 10.1.3.100

2. Ajustes predeterminados de L2TPset l2tp default ippool sutroset l2tp default ppp-auth chapset l2tp default dns1 1.1.1.2set l2tp default dns2 1.1.1.3save

Capítulo 6 L2TP L2TP y L2TP sobre IPSec

317

AP, el túnel L2TP no está mente permitir al administrador so telefónico remoto, de forma

uesto que L2TP supone que la tación. Esta combinación se L2TP y otro IPSec ambos con iere que el túnel IPSec esté en

Para obtener información sobre

s 2000 si se cambian los el registro, consulte la nota al

iera de los siguientes clientes

s 2000 o Windows NT

s.


L2TP Y L2TP SOBRE IPSECAunque el usuario de acceso telefónico puede ser autenticado mediante CHAP o Pencriptado, y por tanto no es un túnel VPN auténtico. El objetivo del L2TP es simpledel dispositivo NetScreen local la asignación de direcciones IP a un usuario de acceque sea posible introducir referencias a estas direcciones en las directivas.

Para encriptar un túnel L2TP, es necesario aplicarle un esquema de encriptación. Pred entre el LAC y el LNS es IP, se puede utilizar IPSec para proporcionar la encripllama L2TP sobre IPSec. L2TP sobre IPSec requiere el establecimiento de un túnellos mismos extremos, y después enlazarlos en una directiva. L2TP sobre IPSec requmodo de transporte para que la dirección del extremo del túnel quede sin codificar. (el modo de transporte y el modo de túnel, consulte “Modos” en la página 4.)

Se puede crear un túnel L2TP entre un dispositivo NetScreen y un host con Windowajustes del registro de Windows 2000. (Para ver las instrucciones de como cambiarpie de la página 311.)

Se puede crear un túnel L2TP sobre IPSec entre un dispositivo NetScreen y cualquVPN:

• Un host que ejecute NetScreen-Remote en los sistemas operativos Window

• Un host que ejecute Windows 2000 (sin NetScreen-Remote)2

2. Para proporcionar autenticación cuando se utiliza Windows 2000 sin NetScreen-Remote, se deben utilizar certificado


318

“field-sales”) y se configura un e salida de túnel L2TP. El

al grupo de usuarios de acceso

.100 a 10.10.2.1803.

ner información sobre la ows 2000. A continuación se

rativa.

puración.

Redcorporativa

al

Zona Trust

1,24


Ejemplo: Configuración de L2TPEn este ejemplo, se crea un grupo de usuarios de acceso telefónico llamado “fs” (detúnel L2TP llamado “sales_corp”, utilizando ethernet3 (zona Untrust) como interfaz ddispositivo NetScreen aplica los siguientes ajustes del túnel L2TP predeterminados telefónico.

• Los usuarios L2TP se autentican a través de la base de datos local.

• La autenticación PPP utiliza CHAP.

• El rango del conjunto de direcciones IP (denominado “global”) es de 10.10.2

• Los servidores DNS son 1.1.1.2 (primario) y 1.1.1.3 (secundario).

Los clientes remotos L2TP van sobre el sistema operativo Windows 2000. Para obteconfiguración del L2TP en los clientes remotos, consulte la documentación de Windproporciona sólo la configuración del dispositivo NetScreen al final del túnel L2TP.

3. El conjunto de direcciones IP de L2TP debe pertenecer a una subred distinta de la de las direcciones de la red corpo

Nota: Una configuración con sólo L2TP no es segura. Se recomienda sólo para de

Autenticado/L2TP grupo de usuarios de acceso telefónico: fs

Adam

Betty

Carol

DNS 1: 1.1.1.2DNS 2: 1.1.1.3

Conjunto de direcciones IP: glob

10.10.2.100 –10.10.2.180

Internet

Túnel L2TP: sales_corp

Zona Untrust


ethernet10.1.1.1/


319


e)

OK :


e)

en OK :


WebUI


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust



2. Usuarios L2TPObjects > Users > Local > New: Introduzca los siguientes datos y haga clic

User Name: Adam

Status: Enable

L2TP User: (seleccione)

User Password: AJbioJ15

Confirm Password: AJbioJ15


320

en OK :

en OK :

e, haga lo siguiente, y luego


asladarla de la columna mbers.




User Name: Betty

Status: Enable


User Password: BviPsoJ1

Confirm Password: BviPsoJ1


User Name: Carol

Status: Enable


User Password: Cs10kdD3

Confirm Password: Cs10kdD3

3. Grupo de usuarios L2TPObjects > User Groups > Local > New: Escriba fs en el campo Group Namhaga clic OK :

Seleccione Adam y utilice el botón << para trAvailable Members a la columna Group Me

Seleccione Betty y utilice el botón << para trAvailable Members a la columna Group Me

Seleccione Carol y utilice el botón << para trAvailable Members a la columna Group Me


321

:

en OK :

n OK :


4. Ajustes predeterminados de L2TPObjects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK

IP Pool Name: global

Start IP: 10.10.2.100

End IP: 10.10.2.180

VPNs > L2TP > Default Settings: Introduzca los siguientes datos y haga clic







5. Túnel L2TPVPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic e

Name: sales_corp

Use Custom Settings: (seleccione)

Authentication Server: Local

Dialup Group: Local Dialup Group - fs



322

el equipo que actúa como

artido entre el LAC y el LNS.

ción > Panel de Control > Sistema . la entrada Nombre completo del

modificar el registro de

ditor del registro.

uscar en el menú emergente

or de cadena.

ición de cadena.a palabra introducida en el

indows 2000, no es necesaria nticados por IPSec.

vo NetScreen envíe una señal Hello


Peer IP: 0.0.0.04

Host Name (optional): Introduzca el nombre dLAC5.

Secret (optional): Introduzca un secreto comp

Keep Alive: 606

4. Debido a que el ISP del interlocutor le asigna dinámicamente una dirección IP, introduzca aquí 0.0.0.0 .5. Para encontrar el nombre del equipo que ejecuta Windows 2000, haga lo siguiente: Haga clic en Inicio > Configura

Aparece el cuadro de diálogo de propiedades del sistema. Haga clic en la ficha de Identificación de red , y consulteequipo .

Nota: Para añadir un secreto al LAC para autenticar el túnel L2TP, se debeWindows 2000 de la siguiente forma:

(1) Haga clic en Inicio > Ejecutar , y luego escriba regedit . Se abre el e(2) Haga clic en HKEY_LOCAL_MACHINE .(3) Haga clic con el botón secundario en SYSTEM , y luego seleccione Bque aparece.(4) Escriba ms_l2tpminiport , y luego haga clic en Buscar siguiente .(5) En el menú Edición, resalte la opción Nuevo , y luego seleccione Val(6) Escriba Contraseña .(7) Haga doble clic en Contraseña . Aparece el cuadro de diálogo de ed(8) Escriba la contraseña en el campo “Value” data. Debe coincidir con lcampo L2TP Tunnel Configuration Secret en el dispositivo NetScreen.(9) Reinicie el equipo Windows 2000.

Cuando se utiliza L2TP sobre IPSec, que es la opción predeterminada de Wla autenticación del túnel; todos los mensajes L2TP son encriptados y aute

6. El valor Keep Alive (mantenimiento de conexión) es el número de segundos de inactividad antes de que el dispositiL2TP al LAC.


323

y haga clic en OK :

haga clic en OK :

VPN


6. RutaNetwork > Routing > Routing Entries > New: Introduzca los siguientes datos






Source Address:



Address Book Entry: (seleccione), Any

NAT: Off

Service: ANY

Action: Tunnel

Tunnel L2TP: sales_corp



324

definir el tipo de usuario como L2TP


CLI

1. Usuarios de acceso telefónicoset user adam type l2tpset user adam password AJbioJ15unset user adam type auth7

set user betty type l2tpset user betty password BviPsoJ1unset user betty type auth

set user carol type l2tpset user carol password Cs10kdD3unset user carol type auth

2. Grupo de usuarios L2TPset user-group fs location localset user-group fs user adamset user-group fs user bettyset user-group fs user carol

3. Ajustes predeterminados de L2TPset ippool global 10.10.2.100 10.10.2.180set l2tp default ippool globalset l2tp default auth server Localset l2tp default ppp-auth chapset l2tp default dns1 1.1.1.2set l2tp default dns2 1.1.1.3

7. Definir una contraseña para un usuario le clasifica automáticamente como un usuario autenticado. Por lo tanto, paraen sentido estricto, se debe desactivar el tipo de usuario autenticado.


325

gateway 1.1.1.250

ny tunnel l2tp


4. Túnel L2TPset l2tp sales_corp outgoing-interface ethernet3set l2tp sales_corp auth server Local user-group fs


6. Directivaset policy top from untrust to trust “Dial-Up VPN” any a

sales_corpsave


326

ación de L2TP” en la página ación. El túnel IPSec negocia la 3DES y autenticación SHA-1. obtener y cargar certificados, ción de fase 2 utiliza el nivel de ec está en modo de transporte.

ncuentran en el dominio de ethernet2 (1.3.3.1/24) y

emote sobre un sistema e acceso telefónico Adam s otros dos usuarios de acceso

e 1 deben ser en modo principal y el

l

Zona Trust

Red corporativa

,4


Ejemplo: Configuración de L2TP sobre IPSecEste ejemplo utiliza el tunel L2TP creado en el ejemplo anterior (“Ejemplo: Configur318). Además, se superpone un túnel IPSec al túnel L2TP para proporcionar encriptfase 1 en modo agresivo utilizando un certificado RSA previamente cargado, cifradoLa autoridad de certificación (CA) será Verisign. (Para más información sobre cómoconsulte el Capítulo 2, “Criptografía de claves públicas” en la página 23.) La negociaseguridad predefinido como “Compatible” para las propuestas de fase 2. El túnel IPS

La zona Trust predefinida y la zona de acceso telefónico definida por el usuario se eenrutamiento trust-vr. Las interfaces para las zonas de acceso telefónico y Trust sonethernet1 (10.1.1.1/24) respectivamente. La zona Trust está en modo NAT.

Los usuarios de acceso telefónico Adam, Betty y Carol utilizan clientes NetScreen-Roperativo Windows 20008. La configuración del NetScreen-Remote para el usuario dtambién se incluye en lo que sigue. (La configuración del NetScreen-Remote para lotelefónico es la misma que para Adam.)

8. Para configurar un túnel L2TP sobre IPSec para Windows 2000 (sin NetScreen-Remote), las negociaciones de la fastipo de identificación IKE debe ser ASN1-DN.

IKE-L2TPGrupo de usuarios de acceso telefónico: fs

Adam

Betty

Carol

DNS 1: 1.1.1.2

DNS 2: 1.1.1.3

Conjunto de direcciones IP: globa

10.10.2.100 –10.10.2.180

Túnel L2TP: sales_corpTúnel VPN: from_sales


Zona de acceso

telefónico

ethernet110.1.1.1/2

Internet

Clientes NetScreen-Remote


327

:

ión)


e)

OK :


e)


WebUI

1. Zona definida por el usuarioNetwork > Zones > New: Introduzca los siguientes datos y haga clic en OK

Zone Name: Dialup

Virtual Router Name: trust-vr

Zone Type: Layer 3 (seleccione)

Block Intra-Zone Traffic: (seleccione)

TCP/IP Reassembly for ALG: (anule la selecc


Zone Name: Trust




Interface Mode: NAT


Zone Name: Dialup



Nota: La zona Trust está preconfigurada. No es necesario crearla.


328

en OK :

en OK :

que aparece en el certificado que el


3. Usuarios IKE/L2TPObjects > Users > Local > New: Introduzca los siguientes datos y haga clic

User Name: Adam

Status: Enable


Simple Identity: (seleccione)9



User Password: AJbioJ15

Confirm Password: AJbioJ15


User Name: Betty

Status: Enable





User Password: BviPsoJ1

Confirm Password: BviPsoJ1

9. La ID IKE debe ser la misma que la que envía el cliente NetScreen-Remote, que es la dirección de correo electrónicocliente utiliza para la autenticación.


329

en OK :

haga lo siguiente, y luego haga






User Name: Carol

Status: Enable





User Password: Cs10kdD3

Confirm Password: Cs10kdD3

4. Grupo de usuarios IKE/L2TP

Objects > User Groups > Local > New: Escriba fs en el campo Group Name,clic OK :

Seleccione Adam y utilice el botón << para trAvailable Members a la columna Group Me

Seleccione Betty y utilice el botón << para trAvailable Members a la columna Group Me

Seleccione Carol y utilice el botón << para trAvailable Members a la columna Group Me


330

:

en Apply :


5. Conjunto de direcciones IPObjects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK


Start IP: 10.10.2.100

End IP: 10.10.2.180

6. Ajustes predeterminados de L2TP

VPNs > L2TP > Default Settings: Introduzca los siguientes datos y haga clic








331

n OK :

p - fs

nel L2TP a un host específico, como LAC11.

artido entre el LAC y el LNS12

ción > Panel de control > Sistema . la entrada Nombre completo del

creto puede que sean suarios avanzados utilicen

uiente forma: Consulte la nota del

Hello L2TP al LAC.


7. Túnel L2TPVPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic e

Name: sales_corp

Dialup Group: (seleccione) Local Dialup Grou

Authentication Server: Local


Peer IP: 0.0.0.010

Host Name (optional): Si quiere restringir el túintroduzca el nombre del equipo que actúa

Secret (optional): Introduzca un secreto comp

Keep Alive: 6013

10. Debido a que la dirección IP del interlocutor es dinámica, introduzca aquí 0.0.0.0 .

11. Para encontrar el nombre del equipo que ejecuta Windows 2000, haga lo siguiente: Haga clic en Inicio > ConfiguraAparece el cuadro de diálogo de propiedades del sistema. Haga clic en la ficha de Identificación de red , y consulteequipo .

Nota: El nombre del host y los ajustes del sedesconocidos. Se recomienda que sólo los uestos ajustes.

12. Para añadir un secreto al LAC para autenticar el túnel L2TP, se debe modificar el registro de Windows 2000 de la sigejemplo anterior.

13. El valor Keep Alive es el número de segundos de inactividad antes de que el dispositivo NetScreen envíe una señal


332



ustom

sha

OK :



8. Túnel VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da

Gateway Name: field



Dialup User Group: (seleccione), Group: fs



Security Level: User Defined: C

Phase 1 Proposal: rsa-g2-3des-

Mode (Initiator): Aggressive14


Peer CA: Verisign

Peer Type: X509-SIG


Name: from_sales


Remote Gateway: Predefined: field



Transport Mode: (seleccione)

14. Windows 2000 (sin NetScreen-Remote) sólo admite negociaciones en modo principal.


333

aga clic en OK :

VPN

anule la selección)


9. DirectivaPolicies > (From: Dialup, To: Trust) New: Introduzca los siguientes datos y h

Source Address:




Service: ANY

Action: Tunnel

Tunnel VPN: from_sales

Modify matching bidirectional VPN policy: (

L2TP: sales_corp



334
CLI1. Zona definida por el usuario

set zone name dialupset zone dialup vrouter trust-vrset zone dialup block


set interface ethernet2 zone dialupset interface ethernet2 ip 1.3.3.1/24

3. Usuarios L2TP/IKEset user adam type ike l2tpset user adam password AJbioJ15unset user adam type authset user adam ike-id u-fqdn [email protected]

set user betty type ike l2tpset user betty password BviPsoJ1unset user betty type authset user betty ike-id u-fqdn [email protected]

set user carol type ike l2tpset user carol password Cs10kdD3unset user carol type authset user carol ike-id u-fqdn [email protected]


335

erface ethernet2

patible

tunnel vpn from_sales



4. Grupo de usuarios IKE/L2TPset user-group fs location Localset user-group fs user adamset user-group fs user bettyset user-group fs user carol

5. Conjunto de direcciones IPset ippool global 10.10.2.100 10.10.2.180

6. Ajustes predeterminados de L2TPset l2tp default ippool globalset l2tp default ppp-auth chapset l2tp default dns1 1.1.1.2set l2tp default dns2 1.1.1.3

7. Túnel L2TPset l2tp sales_corp outgoing-interface ethernet2set l2tp sales_corp auth server Local user-group fs

8. Túnel VPNset ike gateway field dialup fs aggressive15 outgoing-int

proposal rsa-g2-3des-shaset ike gateway field cert peer-ca116

set ike gateway field cert peer-cert-type x509-sigset vpn from_sales gateway field transport sec-level com

9. Directivaset policy top from dialup to trust “Dial-Up VPN” any any

l2tp sales_corpsave

15. Windows 2000 (sin NetScreen-Remote) sólo admite negociaciones en modo principal.



336

conexión que aparecerá en

le la selección)

iar la directiva de la conexión.

orreo electrónico especificada tScreen en la lista desplegable


ento que aquí se describe para Adam.


Editor de directivas de seguridad de NetScreen-Remote (Adam17)


2. Haga clic en Add a new connection y escriba AJ junto al icono de nueva pantalla.




Dirección IP: 1.3.3.1

Protocol: UDP

Port: L2TP

Connect using Secure Gateway Tunnel: (anu

4. Haga clic en el signo MÁS situado a la izquierda del icono de AJ para ampl

5. Haga clic en My Identity y configure lo siguiente:

Seleccione el certificado con la dirección de ccomo ID IKE del usuario en el dispositivo NeSelect Certificate.

ID Type: Dirección de correo electrónico 18

Port: L2TP

6. Haga clic en el icono Security Policy y seleccione Aggressive Mode .


17. Para configurar los túneles L2TP sobre IPSec para los clientes NetScreen-Remote de Betty y Carol, siga el procedimi



337

te método y algoritmos de

tes protocolos IPSec:


los siguientes protocolos


8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione el siguienautenticación:


(o bien)


Hash Alg: SHA-1


9. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguien



Hash Alg: SHA-1

Encapsulation: Transport




Hash Alg: MD5


11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : SeleccioneIPSec:


Encrypt Alg: DES

Hash Alg: SHA-1



338


lizando el asistente para

ducir un nombre de host ie la conexión y reciba una ara más información, consulte




Encrypt Alg: DES

Hash Alg: MD5



14. También es necesario configurar la conexión de red para Windows 2000 uticonexión de red.

Nota: Cuando se configura el asistente para conexión de red, se debe introdestino o una dirección IP. Introduzca 1.3.3.1. Posteriormente, cuando inicpetición de nombre de usuario y contraseña, introduzca adam, AJbioJ15. Pla documentación de Microsoft Windows 2000.


339

ra en modo NAT, mientras que obre IPSec entre un usuario de aja con una aplicación

ico AutoKey IKE denominado enominado tun1. El usuario IKE der a los servidores L2TP. Después de la s configuradas, el tráfico puede

sistema operativo Windows dialup-j aparece después de

e 1 deben ser en modo principal y el


Servidor Unix

Zona Trust

LAN


Ejemplo: L2TP bidireccional sobre IPSecEn este ejemplo, ethernet1 (10.1.1.1/24) es la interfaz de la zona Trust y se encuentethernet3 (1.1.1.1/24) es la interfaz de la zona Untrust. Usted creará túneles L2TP sacceso telefónico NetScreen-Remote y una LAN corporativa. El usuario remoto trabX-Windows, lo que requiere establecer directivas bidireccionales.

Configurará las directivas entrantes y salientes para el túnel VPN de acceso telefón VPN_dial para el usuario IKE dialup-j con la ID de IKE [email protected]. y el túnel L2TP dinicia una conexión IPSec al dispositivo NetScreen desde la zona Untrust para accecorporativos de la zona Trust. En este punto, solamente se permite la comunicaciónnegociación L2TP/PPP, se establece el túnel L2TP. Con las directivas bidireccionaleiniciarse desde cualquier extremo del túnel.

El usuario de acceso telefónico dialup-j utiliza un cliente NetScreen-Remote con el 200019. La configuración de NetScreen-Remote para el usuario de acceso telefónicoeste ejemplo.

19. Para configurar un túnel L2TP sobre IPSec para Windows 2000 (sin NetScreen-Remote), las negociaciones de la fastipo de identificación IKE debe ser ASN1-DN.

ethernet31.1.1.1/24

Cliente de NetScreen-Remote ejecutando X-Windows Server

Internet

Zona de acceso telefónico

Túnel L2TP sobre IPSec

Enrutador externo1.1.1.250


340


e)

OK :


e)

lic en OK :


WebUI


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust




Address Name: trust_net



Zone: Trust


341

en OK :

n OK :

que aparece en el certificado que el


3. Usuario L2TP/IKEObjects > Users > Local > New: Introduzca los siguientes datos y haga clic

User Name: dialup-j

Status: Enable


Simple Identity: (seleccione)20


Authentication User: (seleccione)


User Password: abc123

Confirm Password: abc123

4. L2TPVPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic e

Name: tun1

Use Default Settings: (seleccione)

Secret: netscreen

Keepalive: 60

20. La ID IKE debe ser la misma que la que envía el cliente NetScreen-Remote, que es la dirección de correo electrónicocliente utiliza para la autenticación.


342


one), dialup-j

y haga clic en Return para a de la puerta de enlace

ne)

OK :

ialup1

y haga clic en Return para a de AutoKey IKE:

ione)

sobre IPSec): (seleccione)




Security Level: (seleccione); Standard

Remote Gateway Type: Dialup User; (selecci

Preshared Key: n3TsCr33N

Outgoing Interface: (seleccione) ethernet3

> Advanced: Introduzca los siguientes datos regresar a la página de configuración básicAutoKey IKE:


Enable NAT-Traversal: (seleccio

UDP Checksum: (seleccione)

Keepalive Frequency: 5


VPN Name: VPN_dial

Remote Gateway: Predefined: (seleccione), d

> Advanced: Introduzca los siguientes datos regresar a la página de configuración básic

Security Level: Standard (selecc

Transport Mode (sólo para L2TP


343

y haga clic en OK :

haga clic en OK :

VPN

t

seleccione)

haga clic en OK :

t

VPN


6. RutaNetwork > Routing > Routing Entries > New: Introduzca los siguientes datos






Source Address:




Service: ANY

Action: Tunnel

Tunnel VPN: VPN_dial


L2TP: (seleccione) tun1

Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Source Address:




Service: ANY


344

seleccione)

reen" keepalive 60

going-interface

y 5 etime 0 sec-level


Action: Tunnel

Tunnel VPN: VPN_dial


L2TP: tun1

CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. Direcciónset address trust trust_net 10.1.1.0/24

3. Usuario L2TP/IKEset user dialup-j ike-id u-fqdn [email protected] user dialup-j type auth ike l2tpset user dialup-j password abc123

4. L2TPset l2tp tun1 outgoing-interface ethernet3 secret "netsc

5. VPNset ike gateway dialup1 dialup "dialup-j" aggressive out

ethernet3 preshare n3TsCr33N sec-level standard set ike gateway dialup1 nat-traversal udp-checksum set ike gateway dialup1 nat-traversal keepalive-frequencset vpn VPN_dial gateway dialup1 no-replay transport idl

standard


345

gateway 1.1.1.250

t” any tunnel vpn

any tunnel vpn



7. Directivasset policy from untrust to trust “Dial-Up VPN” “trust_ne

VPN_dial tun1set policy from trust to untrust trust_net “Dial-Up VPN”

VPN_dial l2tp tun1save


346

uario dialup-j)

eva conexión que aparecerá en

le la selección)

ampliar la directiva de la

orreo electrónico especificada tScreen en la lista desplegable



Editor de directivas de seguridad de NetScreen-Remote (para el us


2. Haga clic en Add a new connection y escriba dialup-j junto al icono de nupantalla.




IP Address: 1.1.1.1

Protocol: UDP

Port: L2TP

Connect using Secure Gateway Tunnel: (anu

4. Haga clic en el signo MÁS situado a la izquierda del icono de dialup-j para conexión.

5. Haga clic en My Identity y configure lo siguiente:

Seleccione el certificado con la dirección de ccomo ID IKE del usuario en el dispositivo NeSelect Certificate.

ID Type: Dirección de correo electrónico 21

Port: L2TP

6. Haga clic en el icono Security Policy y seleccione Aggressive Mode .




347





n debe estar activada para el cliente




(o bien)


Hash Alg: SHA-1





Hash Alg: SHA-1





Hash Alg: MD5




Encrypt Alg: DES

22. Si la opción Perfect Forwarding Secrecy (PFS) está activada en el dispositivo NetScreen (grupo DF 1, 2 o 5), tambiéVPN en NetScreen-Remote.


348


el asistente para conexión de

nombre de host destino o una olicite el nombre de usuario y la ntación de Microsoft Windows


Hash Alg: SHA-1




Encrypt Alg: DES

Hash Alg: MD5



También es necesario configurar la conexión de red para Windows 2000 utilizando red.

Nota: Cuando se configura el asistente para conexión de red, se debe introducir undirección IP. Introduzca 1.1.1.1. Posteriormente, cuando inicie la conexión y se le scontraseña, introduzca dialup-j, abc123. Para más información, consulte la docume2000.

7

349

Capítulo 7

80


Funciones de VPN avanzadas

En este capítulo se tratan algunos usos más avanzados de la tecnología VPN:

• “NAT-Traversal” en la página 351

– “Atravesar un dispositivo NAT” en la página 354

– “Suma de comprobación de UDP” en la página 357

– “Paquetes de mantenimiento de conexión” en la página 357

– “Simetría iniciador/respondedor” en la página 358

• “Supervisión de VPNs” en la página 361

– “Opciones de reencriptación y optimización” en la página 362

– “Interfaz de origen y dirección de destino” en la página 363

– “Consideraciones sobre directivas” en la página 365

– “Configuración de la función de supervisión de VPN” en la página 365

– “Objetos y capturas SNMP para la supervisión de VPN” en la página 3

• “Múltiples túneles por interfaz de túnel” en la página 381

– “Asignación de rutas a túneles” en la página 382

– “Direcciones de interlocutores remotos” en la página 383

– “Entradas de tabla manuales y automáticas” en la página 385

• “Puertas de enlace VPN redundantes” en la página 441

– “Grupos VPN” en la página 442

– “Mecanismos de supervisión” en la página 443

– “Comprobación de flag TCP SYN” en la página 447

Capítulo 7 Funciones de VPN avanzadas

350
• “VPNs adosadas” en la página 460

– “Ejemplo: VPNs adosadas” en la página 461

• “VPNs radiales” en la página 471

– “Ejemplo: VPNs radiales” en la página 472

Capítulo 7 Funciones de VPN avanzadas NAT-Traversal

351

ddress Port Translation) tráfico interno y un segundo ecciones externas utilizando

e datos no afecta a las de segmentos UDP (User

nalizadas las negociaciones de de IPSec1 es que en el stinguir la ubicación del l protocolo de encabezado de ificar el número de puerto, pero

emote (versión 6.0 o posterior2) apsulación UDP a los paquetes mbios de fase 1, según lo sec-udp-encaps-00.txt , así

IKE/IPSec e intentan procesar ESP) y 51 (para AH). Para ciones IETF previamente DP 500 a 4500 para IKE. Para

2 insertan un encabezado UDP 50 o 51 del campo “Protocol”

e Bernard Aboba.

ietf-ipsec-udp-encaps-00.txt .


NAT-TRAVERSALLos estándares de Internet NAT (Network Address Translation ) y NAPT (Network Apermiten que una red de área local (LAN) utilice un grupo de direcciones IP para el grupo de direcciones para el tráfico externo. Los dispositivos NAT generan estas dirconjuntos predeterminados de direcciones IP.

Cuando se configura un túnel IPSec, la presencia de un dispositivo NAT en la ruta dnegociaciones IKE de fase 1 y fase 2, que siempre encapsulan paquetes IKE dentroDatagram Protocol). Sin embargo, si se aplica NAT a los paquetes IPSec una vez fifase 2, el túnel fallará. Una de las muchas razones por las que NAT provoca el falloprotocolo ESP (Encapsulating Security Protocol), los dispositivos NAT no pueden diencabezado de capa 4 para la traducción del puerto (porque está encriptado). En eautenticación (AH, o “Authentication Header”), los dispositivos NAT no pueden modfalla la comprobación de autenticación, que incluye el paquete IPSec completo.

Para solucionar estos problemas, los dispositivos NetScreen y el cliente NetScreen-Rpueden aplicar una función NAT-Traversal (NAT-T). NAT-T agrega una capa de encIPSec si detecta al menos un dispositivo NAT en la ruta de datos durante los intercaestablecido en las especificaciones IETF draft-ietf-ipsec-nat-t-ike-00.txt y draft-ietf-ipcomo en versiones más recientes de estas especificaciones.

Los dispositivos NAT pueden crear otro problema si también están preparados parapaquetes con el número de puerto IKE 500 o con los números de protocolo 50 (paraevitar ese procesamiento intermedio de paquetes IKE, la versión 2 de las especificamencionadas propone el desplazamiento (o “flotación”) de los números de puertos Uevitar el procesamiento intermedio de paquetes IPSec, ambas especificaciones 0 y entre el encabezado IP externo y el encabezado ESP o AH, cambiando así el valor

1. Para obtener una lista de las incompatibilidades IPSec/NAT, consulte el documento draft-ietf-ipsec-nat-regts-00.txt d

2. NetScreen-Remote 6 y 7 es compatible con NAT-T según las especificaciones draft-ietf-ipsec-nat-t-ike-00.txt y draft-NetScreen-Remote 8.2 es compatible con las especificaciones 02.


352

nsertado también utiliza el on las especificaciones

versión 0 de estas

dos hashes MD-5 en la carga de fase 1, un hash para el

sh”) MD-5 de

sh”) MD-5 de

e carga de datos del fabricante specificaciones, NetScreen

argas de datos NAT de o principal) o durante los

ontienen un hash negociado de

o IPSec usando AH. NetScreen

recientemente introducido. El número quetes IKE” en la página 16.


(para ESP o AH, respectivamente) a 17 (para UDP). Además, el encabezado UDP ipuerto 4500. La versión actual de ScreenOS es compatible con NAT-T de acuerdo c draft-ietf-ipsec-nat-t-ike-02.txt y draft-ietf-ipsec-udp-encaps-02.txt , así como con la especificaciones.

Sondeos de NATPara comprobar si ambos extremos del túnel VPN admiten NAT-T, NetScreen envíade datos de ID del fabricante en los dos primeros intercambios de las negociacionestítulo de la especificación 0 y otro para el título de la especificación 2:

• “4485152d 18b6bbcd 0be8a846 9579ddcc”, que es una transformación (“ha“draft-ietf-ipsec-nat-t-ike-00”

• “90cb8091 3ebb696e 086381b5 ec427b1f”, que es una transformación (“ha“draft-ietf-ipsec-nat-t-ike-02”

Ambos interlocutores deben enviar y recibir al menos uno de estos valores en la ID dpara que el sondeo NAT-T continúe. Si envían hashes correspondientes a ambas eutiliza la implementación NAT-T correspondiente a la especificación 2.Si los dispositivos de cada punto terminal admiten NAT-T, se envían mutuamente cdescubrimiento (NAT-D) durante los intercambios tercero y cuarto de la fase 1 (modintercambios segundo y tercero (modo dinámico)3. Las cargas de datos de NAT-D cla siguiente información:

• Hash del destino NAT-D:Cookie del iniciador (CKY-I)Cookie del respondedor (CKY-R)Dirección IP del interlocutor IKE remoto (de destino)Número del puerto de destino

Nota: NetScreen no admite NAT-T para los túneles de clave manual ni para el tráficsólo admite NAT-T para túneles AutoKey IKE con ESP.

3. La carga de datos de descubrimiento NAT (“Nat-Discovery” o “NAT-D”) es un tipo de carga de datos IKE para NAT-T de tipo de carga de datos NAT-D es 0130. Para obtener una lista de otros tipos de carga de datos IKE, consulte “Pa


353

reconocer si entre ellos se ha dos implica la de la ubicación

ntenimiento de conexión IKE aquetes de mantenimiento de

n”) el número de puerto IKE de ociaciones de la fase 1. En el

exto de la fase 1, y mero de puerto se desplaza al ambios de la fase 2. Los o IPSec subsiguiente.

ones que no especifiquen una interfaz

cido ninguna traducción de

cido ninguna traducción de

ivo NAT delante del oto.

ivo NAT delante del l.


• Hash del origen NAT-D (uno o varios4):Cookie del iniciador (CKY-I)Cookie del respondedor (CKY-R)Dirección IP del interlocutor IKE local (de origen)Número del puerto de origen

Cuando cada interlocutor compara los hashes que recibe con los que envía, puede producido una traducción de direcciones. La identificación de los paquetes modificadel dispositivo NAT:

Conocer la ubicación del dispositivo NAT es importante porque los paquetes de madeben iniciarse desde el interlocutor situado detrás del dispositivo NAT. Consulte “Pconexión” en la página 357.Si ambos interlocutores cumplen la especificación IETF 2, también desplazan (“flota500 a 4500 tan pronto como detectan un dispositivo NAT entre ellos durante las negmodo principal, los números de puertos flotan a 4500 en los intercambios quinto y sposteriormente durante todos los intercambios de la fase 2. En modo dinámico, el nú4500 en el tercer (y último) intercambio de la fase 1, y luego durante todos los intercinterlocutores también utilizan 4500 como número de puerto UDP para todo el tráfic

4. NAT-T admite múltiples hashes de origen NAT-D para dispositivos equipados con múltiples interfaces e implementacisaliente.

Si coincide con entoncesel hash de destino del interlocutor local

al menos uno de los hashes de origen del interlocutor remoto

no se ha produdirecciones.

al menos uno de los hashes de origen del interlocutor local

el hash de destino del interlocutor remoto

no se ha produdirecciones.

Si no coincide con entoncesel hash de destino del interlocutor local

al menos uno de los hashes de origen del interlocutor remoto

hay un dispositinterlocutor rem

al menos uno de los hashes de origen del interlocutor local

el hash de destino del interlocutor remoto

hay un dispositinterlocutor loca


354

un hotel recibe un paquete de l. Para todo el tráfico saliente,

la nueva dirección 2.2.2.2. ectan que los dos participantes entra delante del cliente VPN.

to el cliente VPN como el ticación. El dispositivo NAT los P sin modificar el SPI en el aquetes IPSec, que no tendrán s no habrán cambiado.

ec. Un dispositivo NAT reenviarlo. Para impedir tal n y de destino para IKE de 500

ntes de la carga de datos. Para externo y el encabezado ESP. y el de destino.

o y la carga de datos del de 4 bytes a cero (0000) y se quete encapsulado ESP, que ncapsulado era un paquete

esa


Atravesar un dispositivo NATEn la siguiente ilustración, un dispositivo NAT situado en el perímetro de la LAN de un cliente VPN de acceso telefónico con la dirección IP 2.1.1.5, asignada por el hoteel dispositivo NAT sustituye la dirección IP de origen en el encabezado externo por Durante las negociaciones de la fase 1, el cliente VPN y el dispositivo NetScreen detVPN admiten NAT-T, que hay un dispositivo NAT en la ruta de datos y que se encu

Si se encapsulan los paquetes IPSec dentro de paquetes UDP (cosa que harán tandispositivo NetScreen) se resuelve el problema de fallo en la comprobación de autenprocesa como paquetes UDP, cambiando el puerto de origen en el encabezado UDencabezado AH o ESP. Los participantes VPN retiran la capa UDP y procesan los pproblemas en la comprobación de autenticación, ya que los contenidos autenticado

Puede presentarse otro problema si el dispositivo NAT está preparado para IKE/IPSpreparado para IKE/IPSec podría intentar procesar el tráfico IKE/IPSec en lugar de procesamiento intermedio, NAT-T (v2) cambia los números de puertos UDP de origea 4500. NAT-T también inserta un marcador no-ESP en el encabezado UDP justo ael tráfico IPSec, NAT-T (v0 y v2) inserta un encabezado UDP entre el encabezado IPEl paquete UDP también utiliza 4500 como número de ambos puertos, el de origen

Según lo mencionado, NAT-T (v2) agrega un marcador no-ESP entre el encabezadsegmento del UDP que encapsula el paquete ISAKMP. El marcador no ESP constaagrega al segmento UDP para distinguir un paquete ISAKMP encapsulado de un pano tiene tal marcador. Sin el marcador no ESP, el receptor no sabría si el paquete e

Dispositivo NATInternet


IP de origen 200.1.1.1 -> 210.2.2.2

Hotel Empr

Túnel VPN



355

os. Utilizando este marcador se plexarlo correctamente.

vo NAT en la ruta de datos, los e IKE cambian de 500 a 4500. encabezado UDP y la carga de or puede utilizar este marcador plexarlo correctamente.

o por IKE.

probación

500 para IKE )

robación

para IKE )


ISAKMP o un paquete ESP, porque el encabezado UDP utiliza 4500 para ambos tipindica el tipo correcto de paquete encapsulado para que el receptor pueda desmulti

Como puede comprobar en la ilustración siguiente, después de detectar un dispositinúmeros de los puertos de origen y de destino en el encabezado UDP de un paquetAsimismo, los puntos terminales del túnel VPN insertan un marcador no ESP entre eldatos para distinguir el paquete ISAKMP encapsulado de un paquete ESP. El receptpara distinguir el paquete ISAKMP encapsulado de un paquete ESP y para desmulti

Paquete IKE (Para las fases 1 y 2)

EncabezadoUDP

EncabezadoIP

EncabezadoISAKMP Carga de datos

Nota: ISAKMP es el formato de paquetes utilizad

Carga de datos

Segmento UDP después de detectar un dispositivo NAT

Tamaño


Suma de com


Marcador no ESP (0000)

Carga de datos

Segmento UDP

Tamaño


Suma de comp



356

en la ruta de datos, los puntos o IP externo y el encabezado uede distinguir el paquete ESP ente.

a de datos

or

datos

probación

500 para ESP )


Como puede ver en la ilustración siguiente, después de detectar un dispositivo NATterminales del túnel VPN insertan un encabezado UDP adicional entre el encabezadESP de un paquete IPSec. Dado que no hay ningún marcador no ESP, el receptor pencapsulado de un un paquete ISAKMP y desmultiplexar el paquete ESP correctam

Paquete IPSec ESP después de detectar un dispositivo NAT

EncabezadoUDP

EncabezadoIP2

EncabezadoESP

EncabezadoIP1

EncabezadoTCP Carg

Paquete originalEnviado por el host iniciad

Paquete IPSecEnviado por la puerta de enlace IKE


Paquete IPSec – Carga de seguridad encapsulada (ESP)

EncabezadoIP2

EncabezadoESP

EncabezadoIP1

EncabezadoTCP Carga de

Paquete originalEnviado por el host

Paquete IPSecEnviado por la puerta de

enlace IKE


Carga de datos

Encabezado UDP

Tamaño

Puerto de origen ( 4500 para ESP )

Suma de com



357

alculado que garantiza que los esitan utilizar la suma de ma de comprobación como n, por lo que puede ser

AT-T se incluye la suma de

ecesarios para la nueva puerta unto” en la página 103 o en el uientes datos y, finalmente,


ne)

rmina el intervalo de tiempo que invalidar cualquier dirección IP s participantes IPSec envíen avés del dispositivo NAT, de fase 1 y fase 2 expiren.

n, dependiendo del fabricante y der establecer un valor de


Suma de comprobación de UDPTodos los paquetes UDP contienen una suma de comprobación de UDP, un valor cpaquetes UDP no tienen errores de transmisión. Los dispositivos NetScreen no neccomprobación de UDP para NAT-T, de modo que la WebUI y la CLI presentan la suajuste opcional. Aún así, ciertos dispositivos NAT precisan de suma de comprobaciónecesario habilitar o inhabilitar esta opción. De forma predeterminada, al habilitar Ncomprobación UDP.

WebUIVPNs > AutoKey Advanced > Gateway > New: Introduzca los parámetros nde enlace del túnel tal y como se describe en el Capítulo 4, “VPNs punto a pCapítulo 5, “VPNs de acceso telefónico” en la página 233, introduzca los sighaga clic en OK :


Enable NAT-Traversal: (seleccioUDP Checksum: Enable

CLIset ike gateway name nat-traversal udp-checksumunset ike gateway name nat-traversal udp-checksum

Paquetes de mantenimiento de conexiónCuando un dispositivo NAT asigna una dirección IP a un host, el dispositivo NAT detela nueva dirección será válida si no hay tráfico. Por ejemplo, un dispositivo NAT podríagenerada que no se utilice durante 20 segundos. Por eso, suele ser necesario que loperiódicamente paquetes de mantenimiento de conexión (paquetes UDP vacíos) a trforma que la asignación NAT no cambie hasta que las asociaciones de seguridad de

Nota: Los dispositivos NAT tienen distintos intervalos de tiempo de espera de sesióel modelo. Es importante determinar qué intervalo tiene el dispositivo NAT, para pofrecuencia de mantenimiento de conexión por debajo de dicho intervalo.


358

o NAT, cada dispositivo puede ntra tras un dispositivo NAT, do el dispositivo NAT genera

ispositivo NAT. Si el dispositivo etScreen-B (tomándolas inequívocamente a NetScreen etScreen-A debe actuar como s de fase 1 en modo dinámico.

ión IP asignada (MIP) o rma única a NetScreen B. En s y ambos podrán utilizar el

Host B10.1.1.5

Zona Trust

duce la dirección IP de origen en del dispositivo NetScreen B, utilizando de su conjunto de direcciones IP.


Simetría iniciador/respondedorCuando dos dispositivos NetScreen establecen un túnel en ausencia de un dispositivfuncionar como iniciador o respondedor. Sin embargo, si uno de los hosts se encueesta simetría iniciador/respondedor podría llegar a ser imposible. Esto sucede cuandirecciones IP dinámicamente.

En la ilustración anterior, NetScreen-B se encuentra en una subred situada tras un dNAT genera nuevas direcciones IP de origen para los paquetes que recibe desde Ndinámicamente de un conjunto de direcciones IP), NetScreen-A no puede identificarB. Por lo tanto, NetScreen-A no podrá iniciar con éxito un túnel con NetScreen-B. Nrespondedor, NetScreen-B como iniciador, y ambos deben realizar las negociacione

No obstante, si el dispositivo NAT genera la nueva dirección IP utilizando una direcccualquier otro método de direccionamiento “1:1”, NetScreen A podrá identificar de foconsecuencia, tanto NetScreen-A como NetScreen-B podrán actuar como iniciadoremodo principal o dinámico en la fase 1.

Host ANetScreen-A NetScreen-B

DispositivoNAT

1.2.1.1 1.1.1.250

Internet

Zona Untrust

Nota: Las zonas de seguridad ilustradas a continuación se muestran desde la perspectiva de NetScreen-B.

Túnel

Conjunto de direcciones IP1.2.1.2 - 1.2.1.50

El dispositivo NAT trapaquetes que recibe direcciones que toma


359

e un hotel asigna una dirección stá participando en una de un túnel VPN de acceso urada en el dispositivo so telefónico. También deberá DP en sus transmisiones, y

y lo configura para que lleve a tores configurados en la misma el mismo orden. Los

ente)

es de fase 1 en modo principal que las negociaciones IKE se

teriormente mencionados en la todas las propuestas de fase 1 o NetScreen generará un

resa


Ejemplo: Habilitación de NAT-TraversalEn el siguiente ejemplo, un dispositivo NAT ubicado en el perímetro de la red local dal cliente VPN de acceso telefónico utilizado por Michael Smith, un comercial que econvención. Para que Michael Smith pueda acceder a la LAN corporativa por mediotelefónico, se debe habilitar NAT-T para la puerta de enlace remota “msmith”, configNetScreen, y para la puerta de enlace remota, configurada en el cliente VPN de accehabilitar el dispositivo NetScreen para que incluya una suma de comprobación de Uestablecer una frecuencia de mantenimiento de conexión de 8 segundos.

Nota: Si habilita NAT-T en un dispositivo NetScreen que actúa como respondedor cabo las negociaciones IKE en modo principal, este dispositivo y todos sus interlocuinterfaz de salida deberán usar las mismas propuestas de fase 1 y presentadas eninterlocutores podrán ser de los siguientes tipos:

• Interlocutor dinámico (interlocutores con direcciones IP asignadas dinámicam• Usuarios VPN de acceso telefónico• Interlocutores con direcciones IP estáticas tras un dispositivo NAT

Como no es posible conocer la identidad de un interlocutor durante las negociacionhasta los dos últimos mensajes, las propuestas de fase 1 deberán ser iguales parapuedan llevar a cabo.

Cuando se configura IKE en modo principal para uno de los tipos de interlocutor anmisma interfaz de salida, el dispositivo NetScreen comprueba automáticamente quesean iguales y tengan el mismo orden. Si las propuestas son distintas, el dispositivmensaje de error.

Dispositivo NATInternet


Hotel Emp

Túnel VPN



360

ecesarios para la nueva puerta unto” en la página 103 o en el uientes datos y, finalmente,


ne)

os (0~300 Sec)

8

sitivo NetScreen activa


WebUI

VPNs > AutoKey Advanced > Gateway > New: Introduzca los parámetros nde enlace del túnel tal y como se describe en el Capítulo 4, “VPNs punto a pCapítulo 5, “VPNs de acceso telefónico” en la página 233, introduzca los sighaga clic en OK :


Enable NAT-Traversal: (seleccio

UDP Checksum: Enable

Keepalive Frequency: 8 segund

CLI

set ike gateway msmith nat-traversalset ike gateway msmith nat-traversal udp-checksumset ike gateway msmith nat-traversal keepalive-frequencysave

Nota: Cuando se configura una VPN de acceso telefónico con CLI, el dispoautomáticamente NAT-Traversal.

Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs

361

etScreen envía peticiones de segundos) para supervisar la ue el estado de supervisión de del protocolo simple de gestión

VPN para el túnel está activo no provoca respuesta y no hay

), pero la petición de eco ICMP to-up” sólo se produce si se ha 2 aún está activa cuando una

da túnel VPN. Un objeto VPN a vez definido un objeto VPN, rectivas). Dado que ScreenOS ás parámetros de la directiva, ión entre objeto VPN y túnel

ervalo predeterminado es de 10

: set vpnmonitor threshold number .

ervisión de VPN, consulte


SUPERVISIÓN DE VPNSCuando se habilita la supervisión de VPNs para un túnel específico, el dispositivo Neco ICMP (o “pings”) a través del túnel en intervalos determinados (configurables enconectividad de la red a través del túnel5. Si la actividad de estas peticiones indica qVPN ha cambiado, el dispositivo NetScreen activará una de las siguientes capturas de redes (SNMP, o “Simple Network Management Protocol”):

• Up to Down: esta captura se produce cuando el estado de supervisión de (up), pero un número consecutivo de peticiones de eco ICMP determinado otro tráfico VPN entrante6. Entonces el estado cambia a inactivo (down).

• Down to Up: cuando el estado de la supervisión de VPN es inactivo (downobtiene una sola respuesta, el estado pasa a activo (up). La captura “down-inhabilitado la opción de reencriptación y la asociación de seguridad de fasepetición de eco ICMP obtiene respuesta a través del túnel.

Usted aplica la supervisión de VPN por cada objeto VPN, no necesariamente por caes el que se define con el comando set vpn , o con sus equivalentes de WebUI. Unpuede hacer referencia a él en unas o más directivas (creando VPNs basadas en dideriva un túnel de VPN basada en directivas a partir de un objeto VPN más los demun solo objeto VPN puede ser un elemento de numerosos túneles VPN. Esta distinc

5. Para cambiar el intervalo de pings, puede utilizar el siguiente comando CLI: set vpnmonitor interval número . El intsegundos.

6. Para cambiar el límite de peticiones de eco ICMP consecutivas sin respuesta, puede utilizar el siguiente comando CLIEl valor predeterminado es de 10 peticiones.

Nota: Para obtener más información sobre los datos SNMP que proporciona la sup“Objetos y capturas SNMP para la supervisión de VPN” en la página 380.


362

PN a no más de 100 túneles al número de túneles VPN a ión de optimización, consulte

r peticiones de eco ICMP las indefinidamente. Las

lecer un túnel VPN hasta que el positivo NetScreen utiliza las e VPN para el túnel pasa de A) de fase 2 para ese

terlocutor según los intervalos s de fase 1, si fuera necesario)

iación de seguridad de fase 2, á un mensaje indicando que se

IKE siempre esté activo, quizá s de enrutamiento dinámico tra aplicación de la supervisión sociación de túneles a saltos a una sola interfaz de túnel.

únel” en la página 381.

upervisión de VPN cuando el

ivarla en todos los objetos de la

se reencripte. Sin embargo, una


VPN es importante porque Juniper Networks recomienda aplicar la supervisión de VIPSec VPN (si no habilita la optimización). Si habilita la optimización, no habrá límitelos que pueda aplicar la supervisión de VPN. Para obtener información sobre la opc“Opciones de reencriptación y optimización” en la página 362.

Opciones de reencriptación y optimizaciónSi se habilita la opción de reencriptación, el dispositivo NetScreen comienza a enviainmediatamente después de completar la configuración del túnel y seguirá enviándopeticiones de eco desencadenan un intento de iniciar negociaciones IKE para estabestado de la supervisión de VPN para el túnel sea activo (up). A continuación, el dispeticiones de eco con fines de supervisión de VPN. Si el estado de la supervisión dactivo a inactivo, el dispositivo NetScreen desactivará su asociación de seguridad (Sinterlocutor. El dispositivo NetScreen continuará enviando peticiones de eco a su indefinidos, desencadenando intentos de reiniciar las negociaciones IKE de fase 2 (y lahasta que tenga éxito. En ese momento, el dispositivo NetScreen reactivará la asocgenerará una nueva clave y restablecerá el túnel. En el registro de eventos aparecerha realizado correctamente una operación de reencriptación7.

La opción de reencriptación se puede utilizar para garantizar que un túnel AutoKey para supervisar dispositivos en la ubicación remota o para permitir que los protocolomemoricen rutas en una ubicación remota y transmitir mensajes a través del túnel. Ode VPN con la opción de reencriptación es completar automáticamente la tabla de asiguientes (tabla NHTB) y la tabla de rutas cuando se asocian múltiples túneles VPNPara ver un ejemplo de este último uso, consulte “Múltiples túneles por interfaz de t

Si desactiva la opción de reencriptación, el dispositivo NetScreen sólo realizará la stúnel esté activo con tráfico generado por el usuario.

Nota: La optimización de la supervisión de VPN funciona objeto por objeto. Para actVPN, en ninguno o sólo en algunos.

7. Si un dispositivo NetScreen es un cliente DHCP, una actualización de DHCP en una dirección distinta hará que IKE actualización de DHCP en la misma dirección no provocará la reencriptación de IKE.


363

a. Si la habilita ( set vpn name mo se indica a continuación:

N equivalente a las respuestas e eco ICMP se pueden reducir s del túnel y las respuestas de

reen también suprimirá las tráfico de red.

que la supervisión deja de ndo se activa la opción de o de la disponibilidad de una puede hacer que los resultados

la interfaz de salida local como e destino. Si el interlocutor dirección IP interna, el omo destino. El cliente VPN o el miembro de un grupo VPN de otras direcciones IP de

de VPN cuando el otro extremo

cal y remota, la dirección de é ser la dirección de destino itar la supervisión de VPN en


De forma predeterminada, la optimización de la supervisión de VPN está inhabilitadmonitor optimized ), el comportamiento de la supervisión de VPN cambiará tal y co

• El dispositivo NetScreen considerará el tráfico entrante a través del túnel VPde eco ICMP. Si se acepta tráfico entrante en sustitución de las respuestas dlas falsas alarmas que podrían producirse cuando hay mucho tráfico a travéeco no consiguen pasar.

• Si hay tráfico entrante y saliente a través del túnel VPN, el dispositivo NetScpeticiones de eco de supervisión de VPN. Esto puede contribuir a reducir el

Aunque la optimización de supervisión de VPN presenta algunas ventajas, observe ofrecer estadísticas SNMP precisas, como el tiempo de retardo de red de VPN, cuaoptimización. Además, si se utiliza la supervisión de VPN para hacer un seguimientdirección IP de destino en el extremo remoto de un túnel, la función de optimización sean erróneos.

Interfaz de origen y dirección de destinoDe forma predeterminada, la función de supervisión de VPN utiliza la dirección IP dedirección de origen y la dirección IP de la puerta de enlace remota como dirección dremoto es un cliente VPN de acceso telefónico (como NetScreen-Remote) con una dispositivo NetScreen detectará automáticamente su dirección interna y la utilizará cpuede ser un usuario XAuth con una dirección IP interna asignada, un usuario VPN de acceso telefónico con una dirección IP interna. También puede especificar el usoorigen y destino para la supervisión de VPN, sobre todo para permitir la supervisión de un túnel VPN no es un dispositivo NetScreen.

Como la supervisión de VPN funciona de forma independiente en las ubicaciones loorigen configurada en el dispositivo ubicado en un extremo del túnel no tiene por quconfigurada en el dispositivo ubicado en el otro extremo. De hecho, es posible habilambos extremos del túnel o sólo en uno de ellos.


364

e que recibe su dirección a ción IP asignada a XAuth como nsulte “Usuarios y grupos de

ona Untrust

n destino:nlace remota

ona Untrust

rminador de VPN otro fabricante

NetScreen-B

ona Untrust

Dirección destino:NetScreen-Remote

Dirección destino:servidor FTP

LAN

peticiones de eco de la zona Trust

e peticiones de eco de la zona Trust


Nota: Si al otro lado de un túnel se encuentra un cliente de VPN NetScreen-Remottravés de XAuth, el dispositivo NetScreen utilizará de forma predeterminada la direcdestino para la supervisión de VPN. Para obtener más información sobre XAuth, cousuarios XAuth” en la página 8 -83.

Túnel VPN

ZZona Trust

Dirección origen:interfaz de salida

Direcciópuerta de e

NetScreen-A envía peticiones de eco desde la interfaz de zona Trust a NetScreen-Remote. NetScreen-Remote necesita una directiva que admita el tráfico ICMP entrante desde una dirección más allá de la puerta de enlace remota; es decir, desde más allá de la interfaz de zona Untrust de NetScreen-A.

Zona Trust Z

NetScreen-A

TedeNetScreen-A

NetScreen-A envía peticiones de eco desde su interfaz de salida a la puerta de enlace remota; es decir, desde la interfaz de zona Untrust en NetScreen-A a la interfaz de zona Untrust en NetScreen-B.

Túnel VPN

Túnel VPN

ZZona Trust

NetScreen-A

Dirección origen:interfaz de la zona Trust

Dirección origen:interfaz de la zona Trust

LAN

LAN

LAN

NetScreen-A –> NetScreen-Remote

NetScreen-A –> NetScreen-B

NetScreen-A envía peticiones de eco desde la interfaz de zona Trust a un dispositivo ubicado más allá de la puerta de enlace remota. Esto podría ser necesario si el interlocutor remoto no responde a peticiones de eco pero admite directivas que permitan el tráfico entrante de estas peticiones de eco.

NetScreen-A –> Terminador de VPN de otro fabricante

Nota: NetScreen-A precisa de una directiva que permita el tráfico dea la zona Untrust.

Nota: NetScreen-A precisa de una directiva que permita el tráfico da la zona Untrust.

(comportamiento predeterminado)


365

e eco procedentes de la zona e contiene la dirección de

estino.

tino y está habilitado el bloqueo

eticiones de eco procedentes a la zona que contiene la

origen.

origen y está habilitado el

roduzca los siguientes datos, PN y, finalmente, haga clic en

itar la supervisión de VPN en

las peticiones de eco ICMP, a. El cortafuegos del

las peticiones de eco ICMP.


Consideraciones sobre directivasDebe crear una directiva en el dispositivo de envío para permitir que las peticiones ddonde se encuentra la interfaz de origen pasen a través del túnel VPN a la zona qudestino si:

• La interfaz de origen se encuentra en una zona distinta de la dirección de d

• La interfaz de origen se encuentra en la misma zona que la dirección de desintrazonal.

Asimismo, debe crear una directiva en el dispositivo receptor para permitir que las pde la zona donde se encuentra la dirección de origen pasen a través del túnel VPN dirección de destino si:

• La dirección de destino se encuentra en una zona distinta de la dirección de

• La dirección de destino se encuentra en la misma zona que la dirección de bloqueo intrazonal.

Configuración de la función de supervisión de VPNPara habilitar la supervisión de VPN, siga estos pasos:

WebUIVPNs > AutoKey IKE > New: Configure la VPN, haga clic en Advanced , inthaga clic en Return para regresar a la página de configuración básica de V OK :

VPN Monitor : seleccione la opción para habileste túnel VPN.

Nota: Si el dispositivo receptor es un producto de otro fabricante que no responde acambie el destino a un host interno en la LAN del interlocutor remoto que sí respondinterlocutor remoto siempre debe disponer de una directiva que permita el paso de


366

desplegable. Si elige “default”, de salida.

destino. Si no introduce ningún rección IP de puerta de enlace

l dispositivo NetScreen intente de fase 1 si fuera necesario) si tivo. Cuando seleccione esta ealizar las negociaciones IKE rvisión de VPN inmediatamente

ea que el dispositivo NetScreen do el estado del túnel cambie ptación está inhabilitada, la tráfico generado por el usuario iaciones IKE y se detendrá inactivo.

oduzca los siguientes datos, PN y, finalmente, haga clic en

itar la supervisión de VPN en

desplegable. Si elige “default”, de salida.

destino. Si no introduce ningún rección IP de puerta de enlace


Source Interface: elija una interfaz en la lista el dispositivo NetScreen utilizará la interfaz

Destination IP: introduzca una dirección IP dedato, el dispositivo NetScreen utilizará la diremota.

Rekey: seleccione esta opción si desea que erealizar las negociaciones IKE de fase 2 (yel estado del túnel cambia de activo a inacopción, el dispositivo NetScreen intentará rpara configurar el túnel y comenzar la supedespués de terminar la configuración.

Anule la selección de esta opción si no desintente realizar las negociaciones IKE cuande activo a inactivo. Si la opción de reencrisupervisión de VPN comenzará cuando el haya desencadenado el inicio de las negoccuando el estado del túnel pase de activo a

(o bien)

VPNs > Manual Key > New: Configure la VPN, haga clic en Advanced , intrhaga clic en Return para regresar a la página de configuración básica de V OK :

VPN Monitor : seleccione la opción para habileste túnel VPN.

Source Interface: elija una interfaz en la lista el dispositivo NetScreen utilizará la interfaz

Destination IP: introduzca una dirección IP dedato, el dispositivo NetScreen utilizará la diremota.


367

destination-ip

ermina si la puerta de enlace remota puesta o 10 peticiones consecutivas

a.


CLI

set vpnmonitor frequency number8

set vpnmonitor threshold number9

set vpn name_str monitor [ source-interface interface10 [ ip_addr 11 ] ] [optimized] [ rekey12 ]

save

8. La frecuencia de supervisión de VPN se mide en segundos. El intervalo predeterminado es de 10 segundos.

9. El límite (threshold) de supervisión de VPN es el número de peticiones de eco ICMP seguidas sin respuesta que detes accesible a través del túnel o no. El límite predeterminado es de 10 peticiones de eco ICMP consecutivas con ressin respuesta.

10. Si no elige una interfaz de origen, el dispositivo NetScreen utilizará la interfaz de salida como predeterminada.

11. Si no elige una dirección IP de destino, el dispositivo NetScreen utilizará la dirección IP de la puerta de enlace remot

12. La opción de reencriptación no está disponible para los túneles VPN con clave manual.


368

ara la supervisión

reen (NetScreen-A y ona Trust (ethernet1) a la

ure la supervisión de VPN a (10.1.1.5) ubicado tras

4

, pre-g2-des-sha y pre-g2-des-md5.

sp-3des-md5, nopfs-esp-des-sha

lace: gw1 puerta de enlace: 1.1.1.1

partida: Ti82g4aXnet3

pn1patible = ethernet1; dst = 10.1.1.5

nel.1


Ejemplo: Especificación de las direcciones de origen y destino pde VPNEn este ejemplo configuraremos un túnel VPN AutoKey IKE entre dos dispositivos NetScNetScreen-B). En el dispositivo A, configure la supervisión de VPN desde su interfaz de zinterfaz de zona Trust (10.2.1.1/24) del dispositivo NetScreen-B. En NetScreen-B, configdesde su interfaz de zona Trust interface (ethernet1) a un servidor de red local corporativNetScreen-A.

NetScreen-A NetScreen-BZonas e interfaces• ethernet1

- Zona: Trust- Dirección IP: 10.1.1.1/24- Modo de interfaz: NAT

• ethernet3- Zona: Untrust- Dirección IP: 1.1.1.1/24

• ethernet1- Zona: Trust- Dirección IP: 10.2.1.1/2- Modo de interfaz: NAT

• ethernet3- Zona: Untrust- Dirección IP: 2.2.2.2/24

Parámetros de túnel AutoKey IKE basado en rutas• Fase 1

- Nombre de puerta de enlace: gw1- Dirección IP estática de puerta de enlace: 2.2.2.2- Nivel de seguridad: Compatible*

- Clave previamente compartida: Ti82g4aX- Interfaz de salida: ethernet3- Modo: Principal

• Fase 2- Nombre de túnel VPN: vpn1- Nivel de seguridad: Compatible†

- Supervisión de VPN: src = ethernet1; dst = 10.2.1.1- Asociado a interfaz: tunnel.1

* El nivel de seguridad Compatible en la fase 1 incluye las siguientes propuestas: pre-g2-3des-sha, pre-g2-3des-md5† El nivel de seguridad Compatible en la fase 2 incluye las siguientes propuestas: nopfs-esp-3des-sha, nopfs-e

y nopfs-esp-des-md5.

• Fase 1- Nombre de puerta de en- Dirección IP estática de- Propuestas: Compatible- Clave previamente com- Interfaz de salida: ether- Modo: Principal

• Fase 2- Nombre de túnel VPN: v- Nivel de seguridad: Com- Supervisión de VPN: src- Asociado a interfaz: tun


369

zona Trust a una dirección de ir directivas que permitan que


e)

OK :

3, puerta de enlace

l.1, sin puerta de enlaceáfico a 10.1.1.0/24 si

10.1.1.0/24, utilizar interfaz

, es posible utilizar las e otras opciones se incluye da utilizarlas.


Como los dos dispositivos envían peticiones de eco ICMP desde una interfaz en susu zona Untrust, los administradores en ambos extremos del túnel VPN deben definlas peticiones pasen de una zona a otra.

WebUI (NetScreen-A)


Zone Name: Trust



Introduzca los siguientes datos y haga clic en

Interface Mode: NAT


Rutas

A 0.0.0.0/0, utilizar ethernet3, puerta de enlace 1.1.1.250A 10.2.1.0/24, utilizar tunnel.1, sin puerta de enlace(Ruta nula: para derivar el tráfico a 10.2.1.0/24 si tunnel.1 se desactiva) Para 10.2.1.0/24, utilizar interfaz nula, métrica: 10

A 0.0.0.0/0, utilizar ethernet2.2.2.250A 10.1.1.0/24, utilizar tunne(Ruta nula: para derivar el trtunnel.1 se desactiva) Para nula, métrica: 10

Nota: Como los dos terminadores VPN de este ejemplo son dispositivos NetScreendirecciones predeterminadas de origen y destino para la supervisión VPN. El uso dúnicamente para ilustrar la configuración de un dispositivo NetScreen para que pue


370


e)

ga clic en OK :

lic en OK :

lic en OK :



Zone Name: Untrust



Network > Interfaces > Tunnel IF New: Introduzca los siguientes datos y ha


Zone (VR): Trust (trust-vr)


Interface: ethernet1(trust-vr)





Zone: Trust


Address Name: Remote_LAN



Zone: Untrust


371

OK :

/Hostname: 2.2.2.2


l.1

24

0/24



VPN Name: vpn1


Remote Gateway:


Gateway Name: gw1

Type:

Static IP: (seleccione), Address

Preshared Key: Ti82g4aX








Service: ANY

VPN Monitor: (seleccione)

Source Interface: ethernet1

Destination IP: 10.2.1.1

Rekey: (anule la selección)


372




haga clic en OK :

N

_LAN










Interface: Tunnel.1Gateway IP Address: 0.0.0.0




Interface: NullGateway IP Address: 0.0.0.0Metric: 10


Source Address:



Address Book Entry: (seleccione), Remote

Service: ANY

Action: Permit



373

haga clic en OK :

_LAN

N


e)

OK :


e)



Source Address:




Service: Any

Action: Permit


WebUI (NetScreen-B)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust




374

ga clic en OK :

lic en OK :

lic en OK :

OK :


Network > Interfaces > Tunnel IF New: Introduzca los siguientes datos y ha


Zone (VR): Trust (trust-vr)


Interface: ethernet1(trust-vr)





Zone: Trust


Address Name: Remote_LAN



Zone: Untrust


VPN Name: vpn1


Remote Gateway:


Gateway Name: gw1


375

/Hostname: 1.1.1.1


l.1

24

0/24



Type:

Static IP: (seleccione), Address

Preshared Key: Ti82g4aX








Service: ANY

VPN Monitor: (seleccione)

Source Interface: ethernet1

Destination IP: 10.1.1.5

Rekey: (anule la selección)







376



haga clic en OK:

N

_LAN





Interface: Tunnel.1





Interface: Null


Metric: 10


Source Address:




Service: ANY

Action: Permit



377

haga clic en OK :

_LAN

N



Source Address:




Service: Any

Action: Permit



378

ace ethernet3 preshare

2.1.0/24 anyion-ip 10.2.1.1


N any permitN any permit


CLI (NetScreen-A)

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface tunnel.1 zone trustset interface tunnel.1 ip unnumbered interface ethernet1

2. Direccionesset address trust Trust_LAN 10.1.1.0/24set address untrust Remote_LAN 10.2.1.0/24

3. VPNset ike gateway gw1 address 2.2.2.2 main outgoing-interf

Ti82g4aX sec-level compatibleset vpn vpn1 gateway gw1 sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 10.1.1.0/24 remote-ip 10.set vpn vpn1 monitor source-interface ethernet1 destinat


5. Directivasset policy top from trust to untrust Trust_LAN Remote_LAset policy top from untrust to trust Remote_LAN Trust_LAsave


379

ace ethernet3 preshare

1.1.0/24 anyion-ip 10.1.1.5


N any permitN any permit


CLI (NetScreen-B)

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.2.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 2.2.2.2/24set interface tunnel.1 zone trustset interface tunnel.1 ip unnumbered interface ethernet1

2. Direccionesset address trust Trust_LAN 10.2.1.0/24set address untrust Remote_LAN 10.1.1.0/24

3. VPNset ike gateway gw1 address 1.1.1.1 main outgoing-interf

Ti82g4aX sec-level compatibleset vpn vpn1 gateway gw1 sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 10.2.1.0/24 remote-ip 10.set vpn vpn1 monitor source-interface ethernet1 destinat


5. Directivasset policy top from trust to untrust Trust_LAN Remote_LAset policy top from untrust to trust Remote_LAN Trust_LAsave


380

ndo objetos y capturas SNMP ervisión de VPN indica si cada as enviadas correctamente, la

clave manual, el dispositivo ientes datos:

(MD5 o SHA-1) ESP

rtificados)

ndex”)

ncriptación; el periodo de eencriptación)

ervisión de VPN, es necesario uede encontrar los archivos de itivo NetScreen.


Objetos y capturas SNMP para la supervisión de VPNScreenOS permite determinar el estado y las condiciones de las VPN activas utiliza(Simple Network Management Protocol) para la supervisión de VPN. La MIB de suppetición de eco ICMP provoca una respuesta, un promedio actualizado de respuestlatencia de la respuesta y la latencia media de los últimos 30 intentos.

Si se habilita la función de supervisión de VPN en un túnel VPN AutoKey IKE o conNetScreen activará sus objetos SNMP de supervisión de VPN, que incluyen los sigu

• Número total de sesiones de VPN activas

• Hora en la que se inició cada sesión

• Elementos de asociación de seguridad (SA) de cada sesión:

– Tipos de algoritmos de encriptación (DES o 3DES) y de autenticación – Tipo de algoritmo de encabezado de autenticación (MD5 o SHA-1)– Protocolo de intercambio de claves (AutoKey IKE o clave manual)– Método de autenticación de fase 1 (clave previamente compartida o ce– Tipo de VPN (acceso telefónico o punto a punto)– Direcciones IP de interlocutor y puerta de enlace local– IDs de interlocutor y puerta de enlace local– Número SPI (índice de parámetro de seguridad, “Security Parameter I

• Parámetros de estado de sesión– Estado de supervisión de VPN (activo o inactivo)– Estado de túnel (activo o inactivo)– Estado de fase 1 y 2 (inactivo o activo)– Periodo de vigencia de fase 1 y 2 (tiempo en segundos antes de la ree

vigencia de fase 2 también se registra en bytes restantes antes de la r

Nota: Para permitir que la aplicación de gestión SNMP reconozca las MIBs de supimportar en la aplicación los archivos de extensión MIB específicos de NetScreen. Pextensión MIB en el CD de documentación de NetScreen que recibió con su dispos

Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel

381

ncular un destino específico a reen utiliza dos tablas: la tabla creen asigna la dirección IP de un túnel VPN particular dmitir varios túneles VPN.

únel que se puedan crear, sino s admitido (lo que sea menor). dicados, será posible crear en admite 8.192 rutas y 10.000 a interfaz de túnel13. Para ver la de datos correspondiente del

en rutas las rutas generadas edeterminada) que tendrá que definir.

és de una sola interfaz de túnel l túnel VPN (lo que sea menor).


MÚLTIPLES TÚNELES POR INTERFAZ DE TÚNELEs posible asociar múltiples túneles VPN IPSec a una sola interfaz de túnel. Para viuno de los túneles VPN asociados a la misma interfaz de túnel, el dispositivo NetScde rutas y la de asociación de túneles a saltos siguientes (NHTB). El dispositivo NetSpuerta de enlace al siguiente salto, especificada en la entrada de la tabla de rutas, aespecificado en la tabla NHTB. Con esta técnica, una sola interfaz de túnel puede a(Consulte “Asignación de rutas a túneles” en la página 382.)

El número máximo de túneles VPN no está limitado por el número de interfaces de tpor la capacidad de la tabla de rutas o el número máximo de túneles VPN dedicadoPor ejemplo, si el dispositivo NetScreen admite 4.000 rutas y 1.000 túneles VPN de1.000 túneles VPN y asociarlos a una sola interfaz de túnel. Si el dispositivo NetScretúneles VPN dedicados, será posible crear 8.000 túneles VPN y asociarlos a una solcapacidad máxima de rutas y túneles de su dispositivo NetScreen, consulte la hoja producto.

13. Si la capacidad de la tabla de rutas es lo que va a establecer el límite, deberá restar al total de túneles VPN basadosautomáticamente por las interfaces de zona de seguridad y otras rutas estáticas (como la ruta a la puerta de enlace pr

El dispositivo NetScreen puede ordenar el tráfico VPN enviado a trava tantos túneles VPN como admita la tabla de rutas o la capacidad de

Túneles VPN basados en rutas para múltiples interlocutores remotos.

Todos los túneles comparten la misma interfaz de túnel.



382

nel, el dispositivo NetScreen a a un nombre de túnel VPN HTB se muestra a

ico enviado de 10.2.1.5 a

10.1.1.5

10.1.1.0/24

(con direcciones IP mente y direcciones sus LAN protegidas

Flagstatic

static

static

eles a saltos siguientes

bién es la dirección IP oto. Esta dirección IP determinado para el

2, los dos interlocutores erfaz de túnel e introducen es de túnel a salto én se pueden introducir iguiente salto será la l interlocutor remoto.


Asignación de rutas a túnelesPara ordenar el tráfico a través de túneles VPN asociados a la misma interfaz de túasigna la dirección IP de la puerta de enlace al salto siguiente especificada en la rutdeterminado. La asignación de entradas en la tabla de rutas a entradas en la tabla Ncontinuación. En la siguiente ilustración, el dispositivo NetScreen local enruta el tráf10.1.1.5 a través de la interfaz tunnel.1 y, a continuación, a través de vpn2.

vpn2

vpn3

vpn1tunnel.1

10.2.0.0/16

10.2.1.5

10.1.0.0/24

10.1.2.0/24

10.1.1.1

10.1.2.1

LAN de zona Trust

10.1.3.1

Dispositivo NetScreen local con múltiples túneles asignados a la interfaz tunnel.1

Interlocutores VPN remotos externas asignadas dinámicaIP de interfaz de túnel fijas) y

ID IP-Prefix (Dst) Interface Gateway Next-Hop VPN1 10.1.0.0/24 tunnel.1 10.1.1.1 10.1.1.1 vpn1

2 10.1.1.0/24 tunnel.1 10.1.2.1 10.1.2.1 vpn23 10.1.2.0/24 tunnel.1 10.1.3.1 10.1.3.1 vpn3

Tabla de rutas Tabla de asociación de tún

En las entradas anteriores, la dirección IP de la puerta de enlace en la tabla de rutas, que tamde salto siguiente en la tabla NHTB, es la interfaz de túnel en la ubicación del interlocutor remvincula la ruta (y, en consecuencia, la interfaz de túnel especificada en la ruta) a un túnel VPNtráfico destinado al prefijo IP especificado.

Se puede utilizar un protocolo de enrutamiento dinámico como Border Gateway Protocol (BGP) para rellenar la tabla de rutas automáticamente, o bien introducir manualmente estas rutas. La dirección IP de la puerta de enlace es la dirección de la interfaz de túnel en la ubicación del interlocutor remoto.

Durante las negociaciones de faseIKE intercambian direcciones de int automáticamente estas asociacionsiguiente. De forma opcional tambimanualmente. La dirección IP del sdirección IP de interfaz de túnel de


383

remoto como puerta de enlace un protocolo de enrutamiento de interfaz de túnel del ne que introducir como salto a vez más, dispone de dos a recoja del interlocutor remoto

tabla de rutas y la dirección IP lar la interfaz de túnel con el inado al prefijo IP especificado

accede por VPNs basadas en ucción de direcciones de red Además, las direcciones IP de pretende conectar un gran a de direcciones. A 1.000 túneles VPN:

VPN


El dispositivo NetScreen utiliza la dirección IP de la interfaz de túnel del interlocutory dirección IP del salto siguiente. Puede introducir la ruta manualmente o hacer quedinámico introduzca automáticamente una ruta que haga referencia a la dirección IPinterlocutor como puerta de enlace en la tabla de rutas. La misma dirección IP se tiesiguiente, junto con el nombre de túnel VPN correspondiente, en la tabla NHTB. Unalternativas: puede introducirla manualmente o hacer que el dispositivo NetScreen ldurante las negociaciones de fase 2 y la introduzca manualmente.

El dispositivo NetScreen utiliza la dirección IP de puerta de enlace en la entrada de lade salto siguiente en la entrada de la tabla NHTB como elemento común para vincutúnel VPN correspondiente. El dispositivo NetScreen puede así dirigir el tráfico desten la ruta con el túnel VPN adecuado especificado en la tabla NHTB.

Direcciones de interlocutores remotosEl esquema de direccionamiento interno de los interlocutores remotos a los que se rutas debe ser único para todos ellos. Una forma de conseguirlo es realizar una trad(NAT) de las direcciones de origen y de las de destino por cada interlocutor remoto.interfaz de túnel también deben ser únicas para todos los interlocutores remotos. Sinúmero de ubicaciones remotas, será absolutamente necesario elaborar un esquemcontinuación se muestra un ejemplo de esquema de direcciones para un máximo de

Dst en tabla de rutas local

Interfaz de túnel local Puerta de enlace/salto siguiente (interfaz de túnel de interlocutor)

Túnel

10.0.3.0/24 tunnel.1 10.0.2.1/24 vpn1

10.0.5.0/24 tunnel.1 10.0.4.1/24 vpn2

10.0.7.0/24 tunnel.1 10.0.6.1/24 vpn3

… … … …

10.0.251.0/24 tunnel.1 10.0.250.1/24 vpn125


384

ts remotos, hay una interfaz de to siguiente en la tabla de rutas

rfaz de túnel con traducción de es superpuestas” en la

0

VPN


La interfaz de túnel en el dispositivo NetScreen local es 10.0.0.1/24. En todos los hostúnel con una dirección IP que aparece como la dirección IP de puerta de enlace/sallocal y en la tabla NHTB.

Si desea ver un ejemplo que ilustra la asociación de múltiples túneles a una sola intedirecciones, consulte “Ejemplo: Múltiples VPNs en una interfaz de túnel para subredpágina 388.

10.1.3.0/24 tunnel.1 10.1.2.1/24 vpn126

10.1.5.0/24 tunnel.1 10.1.4.1/24 vpn127

10.1.7.0/24 tunnel.1 10.1.6.1/24 vpn128

… … … …

10.1.251.0/24 tunnel.1 10.1.250.1/24 vpn250

10.2.3.0/24 tunnel.1 10.2.2.1/24 vpn251

… … … …

10.2.251.0/24 tunnel.1 10.2.250.1/24 vpn375

… … … …

10.7.3.0/24 tunnel.1 10.7.2.1/24 vpn876

… … … …

10.7.251.0/24 tunnel.1 10.7.250.1/24 vpn100

Dst en tabla de rutas local

Interfaz de túnel local Puerta de enlace/salto siguiente (interfaz de túnel de interlocutor)

Túnel


385

automatizar la carga de las iados a una sola interfaz de túneles, el método automático

tan dinámicamente cuando los del concentrador.

l de un interlocutor remoto en la nerse en contacto con el en ese extremo del túnel. A con el siguiente comando:

tr

.7.250.1/24st 10.7.251.1 ->

iones IP internas

10.6.2.1/24NAT-dst 10.6.3.1->

direcciones IP internas

10.1.1.1/24NAT-dst 10.1.2.1 ->


10.0.6.1/24NAT-dst 10.0.7.1 ->


n751

vpn251


Entradas de tabla manuales y automáticasPuede incluir entradas manualmente en las tablas NHTB y de rutas. También puedetablas NHTB y de rutas. Si se va a trabajar con un número pequeño de túneles asoctúnel, el método manual puede funcionar bien. Sin embargo, para un gran número dereduce la configuración y el mantenimiento administrativos, ya que las rutas se ajustúneles o interfaces dejan de estar disponibles en la interfaz de túnel en la ubicación

Entradas manuales en la tablaUn túnel VPN se puede asignar manualmente a la dirección IP de la interfaz de túnetabla de asociación de túneles a saltos siguientes (NHTB). En primer lugar debe poadministrador remoto y conocer las direcciones IP utilizadas por la interfaz de túnel continuación podrá asociar esta dirección al nombre de túnel VPN en la tabla NHTB

set interface tunnel.1 nhtb peer’s_tunnel_interface_address vpn name_s


10.0.0.1/24NAT-dst 10.0.1.1 ->

direcciones IP internas 10NAT-ddirecc

10.0.4.1/24NAT-dst 10.0.5.1 ->


IF 10.0.2.1/24NAT-dst 10.0.3.1 ->


vpn1000

vp

vpn3vpn2

vpn1

El dispositivo NetScreen local y todos sus interlocutores ejecutan la traducción de direcciones de destino (NAT-dst) con desplazamiento de IP en el tráfico VPN entrante y traducción de direcciones de origen (NAT-src) desde la dirección IP de interfaz de túnel de salida con traducción de puertos en el tráfico VPN saliente. Para obtener más información sobre NAT-src y NAT-dst, consulte el Volumen 7, “Traducción de direcciones”.


386

a la dirección IP de interfaz de el siguiente comando CLI:

unnel_interface_addr

umplir las siguientes

nterfaz de túnel local deben ser

a interfaz debe tener una rlocutores.

ción de reencriptación (Rekey), onnect) para cada puerta de

un protocolo de enrutamiento

sitivos NetScreen situados en haya tráfico VPN originado por ón a los dos lados de un túnel 1 y 2 para establecer el túnel.

de desencadenar negociaciones IKE s de IKE. En cualquier caso, Juniper lugar de ello, utilice la supervisión de

interlocutor local como interfaz “punto

nio completo (FQDN) asignado a una ociación de seguridad de fase 2 en el terlocutor puede reiniciar las .


Una vez hecho esto, podrá introducir una ruta estática en la tabla de rutas que utiliztúnel como puerta de enlace. Puede introducir la ruta por medio de la WebUI o con

set vrouter name -str route dst_addr interface tunnel.1 gateway peer’s_t

Entradas automáticas en la tablaPara que la tabla de rutas y la tabla NHTB se rellenen automáticamente, se deben ccondiciones:

• Los interlocutores remotos de todos los túneles VPN asociados a una sola idispositivos NetScreen con ScreenOS 5.0.0.

• Cada interlocutor remoto debe asociar su túnel a una interfaz de túnel, y esdirección IP única entre todas las direcciones de interfaz de túnel de los inte

• En ambos extremos del túnel VPN, habilite la supervisión de VPN con la opo habilite la opción de nueva conexión de latidos de IKE (IKE Heartbeat Recenlace remota14.

• Los interlocutores locales y remotos deben tener habilitada una instancia dedinámico15 en sus interfaces de túnel de conexión.

El uso de supervisión de VPN con la opción de reencriptación permite que los dispoambos extremos de un túnel puedan establecer el túnel sin tener que esperar a queel usuario16. Una vez habilitada la supervisión de VPN con la opción de reencriptaciVPN, los dos dispositivos NetScreen llevarán a cabo las negociaciones IKE de fase(Para obtener más información, consulte “Supervisión de VPNs” en la página 361).

14. Si se ejecuta un protocolo de enrutamiento dinámico en las interfaces de túnel, el tráfico generado por el protocolo pueaunque no se habilite la supervisión de VPN con la opción de reencriptación o la opción de nueva conexión de latidoNetworks recomienda no confiar en que el tráfico de enrutamiento dinámico desencadene las negociaciones IKE. EnVPN con la opción de reencriptación o de nueva conexión de latidos de IKE.

15. Para OSPF (“Open Shortest Path First” = “abrir primero la ruta más corta”), debe configurar la interfaz de túnel en el a multipunto” antes de activar el protocolo de enrutamiento en la interfaz.

16. En el caso de interlocutores remotos con una dirección IP externa asignada dinámicamente o con un nombre de domidirección IP dinámica, el interlocutor remoto primero debe iniciar las negociaciones IKE. Sin embargo, dado que la asdispositivo NetScreen local guarda en caché la dirección IP asignada dinámicamente del interlocutor remoto, cada innegociaciones IKE para restablecer un túnel cuyo estado de supervisión de VPN haya cambiado de activo a inactivo


387

sí direcciones IP de interfaz de z de túnel y su nombre de túnel

utomáticamente en esta tabla motas. Los pasos básicos son

ne la interfaz de túnel a la que

los interlocutores BGP.

da y una ruta estática a cada aces de túnel de los icialmente a sus vecinos BGP a

ión de enrutamiento, de forma rlocutores establecen un túnel dispositivo local. Cuando la un interlocutor a través de un moto como puerta de enlace en

a única interfaz de túnel, donde onsulte “Ejemplo: Entradas


Durante las negociaciones de fase 2, los dispositivos NetScreen intercambian entretúnel. Cada módulo IKE puede introducir automáticamente la dirección IP de interfaVPN correspondiente en la tabla NHTB.

Para hacer que el dispositivo NetScreen pueda introducir rutas a destinos remotos ade rutas, debe habilitar una instancia de BGP en las interfaces de túnel locales y relos siguientes:

1. Crear una instancia de enrutamiento BGP en el enrutador virtual que contiese han asociado múltiples túneles VPN.

2. Habilitar la instancia de enrutamiento en el enrutador virtual.

3. Habilitar la instancia de enrutamiento en la interfaz de túnel que conduce a

Los interlocutores remotos también llevan a cabo estos pasos.

En el dispositivo local (o concentrador), también debe definir una ruta predeterminadirección IP de interfaz de túnel de los interlocutores. Las rutas estáticas a las interfinterlocutores son necesarias para que el dispositivo concentrador pueda acceder intravés del túnel VPN correcto.

Después de establecer las comunicaciones, los vecinos BGP intercambian informacque pueden rellenar automáticamente sus tablas de rutas. Una vez que los dos inteVPN entre sí, pueden enviar y recibir información de enrutamiento desde y hacia el instancia de enrutamiento dinámico en el dispositivo NetScreen aprende una ruta a interfaz de túnel local, incluye la dirección IP de la interfaz de túnel del interlocutor rela ruta.

Para ver un ejemplo que ilustra la configuración de múltiples túneles asociados a unel dispositivo “concentrador” rellena sus tablas NHTB y de rutas automáticamente, cautomáticas en la tabla de rutas y la tabla NHTB” en la página 420.


388

es superpuestas1, vpn2 y vpn3) a una sola otos: peer1, peer2 y peer3. Las nualmente a NetScreen A.

ntes parámetros: AutoKey IKE, n3”) y el nivel de seguridad s detalles sobre estas

ominio de enrutamiento virtual

N para mostrar cómo se puede para evitar problemas de e NAT-src y NAT-dst, consulte

vpn1erta de enlace IKE: peer1, 2.2.2.2faz de túnel del interlocutor remoto:

10.0.2.1

vpn2Puerta de enlace IKE: peer2,

3.3.3.3Interfaz de túnel del

interlocutor remoto: 10.0.4.1

vpn3erta de enlace IKE: peer3, 4.4.4.4faz de túnel del interlocutor remoto:

10.0.6.1


Ejemplo: Múltiples VPNs en una interfaz de túnel para subredEn este ejemplo asociaremos tres túneles VPN AutoKey IKE basados en rutas (vpninterfaz de túnel (tunnel.1). Los túneles van de NetScreen A a tres interlocutores rementradas de las tablas NHTB y de rutas para los tres interlocutores se agregarán ma

Las configuraciones de túnel VPN a ambos extremos de cada túnel utilizan los siguieclave previa compartida (peer1: “netscreen1”, peer2: “netscreen2”, peer3: “netscreepredefinidos como “Compatible” para las propuestas de fase 1 y fase 2. (Para ver lopropuestas, consulte “Negociación de túnel” en la página 11).

Todas las zonas de seguridad e interfaces en cada dispositivo se encuentran en el dtrust-vr del dispositivo correspondiente.

En este ejemplo se utiliza el mismo espacio de direcciones (10.1.1.0/24) en cada LAutilizar la traducción de direcciones de red de origen y destino (NAT-src y NAT-dst) direccionamiento entre los interlocutores IPSec. Para obtener más información sobrel Volumen 7, “Traducción de direcciones”.

tunnel.110.0.0.1/30

Conjunto de DIP 5: 10.0.0.2 - 10.0.0.2

vpn2

vpn3

vpn1

peer1

LAN

peer2

peer3

LAN

LAN

ethernet31.1.1.1/24Enrutador externo

1.1.1.250

Zona Untrust

La interfaz tunnel.1 de NetScreen-A se asocia a tres túneles VPN.

NetScreen-A

Zona Trustethernet1

10.1.1.1/24

PuInterNota: La zona Trust de

NetScreen-A no se muestra.

PuInter


389


e)

OK :


e)

ga clic en OK :


0.0.0.2



WebUI (NetScreen-A)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust








Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los sigu

ID: 5

IP Address Range: (seleccione), 10.0.0.2 ~ 1




390

lic en OK :

lic en OK :

lic en OK :

OK :

(seleccione)

name: 2.2.2.2



Address Name: corp



Zone: Trust


Address Name: oda1



Zone: Trust


Address Name: peers



Zone: Untrust

3. VPNsVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en

VPN Name: vpn1



Gateway Name: peer1



391


l.1

/0

OK :

(seleccione)

name: 3.3.3.3


l.1










Service: ANY


VPN Name: vpn2



Gateway Name: peer2










392

/0

OK :

(seleccione)

name: 4.4.4.4


l.1

/0




Service: ANY


VPN Name: vpn3



Gateway Name: peer3










Service: ANY

4. RutasNetwork > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien






393






Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien








Interface: tunnel.1





Interface: tunnel.1





Interface: tunnel.1



394









Interface: tunnel.1





Interface: tunnel.1





Interface: tunnel.1





Interface: null


Metric: 10


395

ientes datos y haga clic en

datos y haga clic en Add :

datos y haga clic en Add :

ga clic en OK :

vanzados y haga clic en ación básica de directivas:

))/X-late


Network > Interfaces > Edit (para tunnel.1) > NHTB > New: Introduzca los sigu Add :

New Next Hop Entry:


VPN: vpn1

Network > Interfaces > Edit (para tunnel.1) > NHTB: Introduzca los siguientes

New Next Hop Entry:


VPN: vpn2

Network > Interfaces > Edit (para tunnel.1) > NHTB: Introduzca los siguientes

New Next Hop Entry:


VPN: vpn3

5. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y ha

Source Address:Address Book: (seleccione), corp

Destination Address:Address Book: (seleccione), peers

Service: AnyAction: PermitPosition at Top: (seleccione)

> Advanced: Introduzca los siguientes ajustes a Return para regresar a la página de configur

NAT:Source Translation: (seleccione

DIP On: 5 (10.0.0.2–10.0.0.2


396

haga clic en OK :

avanzados y haga clic en uración básica de directivas:

ccione)

leccione), 10.1.1.0 - 10.1.1.254



Source Address:

Address Book Entry: (seleccione), peers


Address Book Entry: (seleccione), oda1

Service: Any

Action: Permit



NAT:


Translate to IP Range: (se

CLI (NetScreen-A)

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface tunnel.1 zone untrustset interface tunnel.1 ip 10.0.0.1/30set interface tunnel.1 dip 5 10.0.0.2 10.0.0.2

2. Direccionesset address trust corp 10.1.1.0/24set address trust oda1 10.0.1.0/24set address untrust peers 10.0.0.0/16


397

ethernet3 preshare

.0/0 any ethernet3 preshare

.0/0 any ethernet3 preshare

.0/0 any

gateway 1.1.1.250t11 gateway 10.0.2.11 gateway 10.0.2.11 gateway 10.0.4.11 gateway 10.0.4.11 gateway 10.0.6.11 gateway 10.0.6.1tric 10


3. VPNsset ike gateway peer1 address 2.2.2.2 outgoing-interface

netscreen1 sec-level compatibleset vpn vpn1 gateway peer1 sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0set ike gateway peer2 address 3.3.3.3 outgoing-interface

netscreen2 sec-level compatibleset vpn vpn2 gateway peer2 sec-level compatibleset vpn vpn2 bind interface tunnel.1set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0set ike gateway peer3 address 4.4.4.4 outgoing-interface

netscreen3 sec-level compatibleset vpn vpn3 gateway peer3 sec-level compatibleset vpn vpn3 bind interface tunnel.1set vpn vpn3 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0

4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 10.0.1.0/24 interface etherneset vrouter trust-vr route 10.0.3.0/24 interface tunnel.set vrouter trust-vr route 10.0.2.2/32 interface tunnel.set vrouter trust-vr route 10.0.5.0/24 interface tunnel.set vrouter trust-vr route 10.0.4.2/32 interface tunnel.set vrouter trust-vr route 10.0.7.0/24 interface tunnel.set vrouter trust-vr route 10.0.6.2/32 interface tunnel.set vrouter trust-vr route 10.0.0.0/16 interface null meset interface tunnel.1 nhtb 10.0.2.1 vpn vpn1set interface tunnel.1 nhtb 10.0.4.1 vpn vpn2set interface tunnel.1 nhtb 10.0.6.1 vpn vpn3


398

dip-id 5 permitip 10.1.1.0 10.1.1.254


5. Directivasset policy from trust to untrust corp peers any nat src set policy from untrust to trust peers oda1 any nat dst

permitsave


399

en la ubicación peer1 debe configura el dispositivo

e las direcciones internas se /24. Peer1 lleva a cabo ternas a 10.0.2.2 al enviar nviado desde NetScreen-A, iones.

haga clic en Apply :

K :

Traducción de direcciones”.

st3.255

NAT-dst de10.0.3.0 – 10.0.3.255

a10.1.1.0 – 10.1.1.255

con desplazamiento de direcciones


Peer1

La siguiente configuración es la que el administrador remoto del dispositivo NetScreenintroducir para crear un túnel VPN a NetScreen en la empresa. El administrador remotoNetScreen para que realice NAT en el origen y en el destino (NAT-src y NAT-dst) porquencuentran en el mismo espacio de direcciones que las de la LAN corporativa: 10.1.1.0NAT-src utilizando el conjunto de DIP 6 para traducir todas las direcciones de origen intráfico a través de VPN1 a NetScreen-A. Peer1 lleva a cabo NAT-dst en el tráfico VPN etraduciendo las direcciones de 10.0.3.0/24 a 10.1.1.0/24 con desplazamiento de direcc

WebUI (Peer1)

1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y

Zone Name: Trust

Static IP: (seleccione esta opción si es posible)


Introduzca los siguientes datos y haga clic en O

Interface Mode: NAT

Nota: Para obtener más información sobre NAT-src y NAT-dst, consulte el Volumen 7, “

Peer1Zona Untrust

LAN10.1.1.0/24

Zona Trust


2.2.2.250

tunnel.1010.0.2.1/30

Conjunto de DIP 6 10.0.2.2 - 10.0.2.2

vpn1 desde NetScreen-A

Rango NAT-d10.0.3.0 – 10.0.



400


e)

ga clic en OK :

uientes datos y haga clic en

0.0.2.2


lic en OK :



Zone Name: Untrust








Network > Interfaces > Edit (para tunnel.10) > DIP > New: Introduzca los sigOK :

ID: 6





Address Name: lan



Zone: Trust


401

lic en OK :

lic en OK :

lic en OK :

OK :

(seleccione)

name: 1.1.1.1



Address Name: oda2



Zone: Trust


Address Name: to_corp



Zone: Untrust


Address Name: fr_corp



Zone: Untrust


VPN Name: vpn1



Gateway Name: corp




402


l.10

/0











Service: ANY






Metric: 1






Metric: 1


403



haga clic en OK :





Interface: tunnel.10


Metric: 10




Interface: null


Metric: 12


Source Address:

Address Book Entry: (seleccione), fr_corp



Service: Any

Action: Permit



404


ccione)

leccione), 10.1.1.0 - 10.1.1.254

haga clic en OK :


ne)

2.2)/X-late



NAT:



Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Source Address:

Address Book Entry: (seleccione), lan


Address Book Entry: (seleccione), to_corp

Service: Any

Action: Permit



NAT:

Source Translation: (seleccio

DIP On: 6 (10.0.2.2–10.0.


405

ethernet3 preshare

.0/0 any

eway 2.2.2.250 metric 1etric 1tric 1012

dip-id 6 permitt ip 10.1.1.0


CLI (Peer1)


2. Direccionesset address trust lan 10.1.1.0/24set address trust oda2 10.0.3.0/24set address untrust to_corp 10.0.1.0/24set address untrust fr_corp 10.0.0.2/32


netscreen1 sec-level compatibleset vpn vpn1 gateway corp sec-level compatibleset vpn vpn1 bind interface tunnel.10set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0

4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gatset vrouter trust-vr route 10.0.3.0/24 interface ethernet1 mset vrouter trust-vr route 10.0.0.0/8 interface tunnel.10 meset vrouter trust-vr route 10.0.0.0/8 interface null metric

5. Directivasset policy from trust to untrust lan to_corp any nat srcset policy from untrust to trust fr_corp oda2 any nat ds

10.1.1.254 permitsave


406

en en la ubicación peer2 debe oto configura el dispositivo

rque las direcciones internas se .1.0/24. Peer2 lleva a cabo internas a 10.0.4.2 al enviar

N enviado desde NetScreen-A, ecciones. ethernet3


e)

OK :

7, “Traducción de direcciones”.

0/24

rust

NAT-dst de10.0.5.0 – 10.0.5.255

a10.1.1.0 – 10.1.1.255


AT-dst10.0.5.255


Peer2

La siguiente configuración es la que el administrador remoto del dispositivo NetScreintroducir para crear un túnel VPN a NetScreen en la empresa. El administrador remNetScreen para que realice NAT en el origen y en el destino (NAT-src y NAT-dst) poencuentran en el mismo espacio de direcciones que las de la LAN corporativa: 10.1NAT-src utilizando el conjunto de DIP 7 para traducir todas las direcciones de origentráfico a través de VPN2 a NetScreen-A. Peer2 lleva a cabo NAT-dst en el tráfico VPtraduciendo las direcciones de 10.0.5.0/24 a 10.1.1.0/24 con desplazamiento de dir

WebUI (Peer2)1. Interfaces


Zone Name: Trust




Interface Mode: NAT

Nota: Para obtener más información sobre NAT-src y NAT-dst, consulte el Volumen

Peer2


Zona Untrust

LAN10.1.1.

Zona T


Rango N10.0.5.0 –

ethernet33.3.3.3/24


tunnel.2010.0.4.1/30

Conjunto de DIP 7 10.0.4.2 - 10.0.4.2


407


e)

ga clic en OK :


0.0.4.2


lic en OK :



Zone Name: Untrust








Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los sigu

ID: 7





Address Name: lan



Zone: Trust


408

lic en OK :

lic en OK :

lic en OK :

OK :

(seleccione)

name: 1.1.1.1



Address Name: oda3



Zone: Trust





Zone: Untrust





Zone: Untrust


VPN Name: vpn2



Gateway Name: corp




409


l.20

/0











Service: ANY






Metric: 1






Metric: 1


410



haga clic en OK :







Metric: 10




Interface: null


Metric: 12


Source Address:




Service: Any

Action: Permit



411


ne)

4.2)/X-late

haga clic en OK :


ccione)

leccione), 10.1.1.0 - 10.1.1.254



NAT:


DIP On: 7 (10.0.4.2–10.0.


Source Address:




Service: Any

Action: Permit



NAT:




412

ethernet3 preshare

.0/0 any




CLI (Peer2)









413

en en la ubicación peer3 debe oto configura el dispositivo

rque las direcciones internas se .1.0/24. Peer3 lleva a cabo internas a 10.0.6.2 al enviar

N enviado desde NetScreen-A, ecciones.


e)

OK :

cción de direcciones”.

/24

ust

T-dst.0.7.255

NAT-dst de10.0.7.0 – 10.0.7.255

a10.1.1.0 – 10.1.1.255



Peer3

La siguiente configuración es la que el administrador remoto del dispositivo NetScreintroducir para crear un túnel VPN a NetScreen en la empresa. El administrador remNetScreen para que realice NAT en el origen y en el destino (NAT-src y NAT-dst) poencuentran en el mismo espacio de direcciones que las de la LAN corporativa: 10.1NAT-src utilizando el conjunto de DIP 8 para traducir todas las direcciones de origentráfico a través de VPN3 a NetScreen-A. Peer3 lleva a cabo NAT-dst en el tráfico VPtraduciendo las direcciones de 10.0.7.0/24 a 10.1.1.0/24 con desplazamiento de dir

WebUI (Peer3)


Zone Name: Trust




Interface Mode: NAT

Nota: Para obtener más información sobre NAT-dst, consulte el Volumen 7, “Tradu

Peer3

ethernet110.1.1.1/24Zona Untrust

LAN10.1.1.0

Zona Trvpn3 desde NetScreen-A

Rango NA10.0.7.0 – 10

ethernet34.4.4.4/24


tunnel.3010.0.6.1/30

Conjunto de DIP 8 10.0.6.2 - 10.0.6.2


414

s y haga clic en OK:

e)

ga clic en OK:

uientes datos y haga clic en

0.0.6.2


lic en OK:



Zone Name: Untrust








Network > Interfaces > Edit (para tunnel.30) > DIP > New: Introduzca los sigOK:

ID: 7





Address Name: lan



Zone: Trust


415

lic en OK :

lic en OK :

lic en OK :

OK :

(seleccione)

name: 1.1.1.1



Address Name: oda4



Zone: Trust





Zone: Untrust





Zone: Untrust


VPN Name: vpn3



Gateway Name: corp




416


l.30

/0











Service: ANY






Metric: 1






Metric: 1


417



haga clic en OK :







Metric: 10




Interface: null


Metric: 12


Source Address:




Service: Any

Action: Permit



418


ne)

6.2)/X-late

haga clic en OK :


ccione)

leccione), 10.1.1.0 - 10.1.1.254



NAT:


DIP On: 8 (10.0.6.2–10.0.


Source Address:




Service: Any

Action: Permit



NAT:




419

ethernet3 preshare

.0/0 any




CLI (Peer3)









420

NHTB1 y vpn2) a una sola interfaz de r remoto protege tiene múltiples tores comunican sus rutas a s NetScreen-A a los

brir primero la ruta más corta”) F para entradas automáticas

?

?

?

?

Las rutas tras cada interlocutor son desconocidas para NetScreen-A hasta que los interlocutores utilizan BGP para enviarlas.

.4.1


Ejemplo: Entradas automáticas en la tabla de rutas y la tablaEn este ejemplo asociaremos dos túneles VPN AutoKey IKE basados en rutas (vpntúnel (tunnel.1) en NetScreen-A, ubicado en la empresa. La red que cada interlocutorutas tras la ruta conectada. Al utilizar BGP (Border Gateway Protocol), los interlocuNetScreen-A. Este ejemplo permite el tráfico VPN desde la ubicación corporativa trainterlocutores.

Nota: En este ejemplo también puede utilizar OSPF (“Open Shortest Path First” = “aen lugar de BGP como protocolo de enrutamiento. Consulte “Anexo al ejemplo: OSPen la tabla de rutas” en la página 438 para ver las configuraciones de OSPF.

tunnel.110.0.0.1/30

peer1

peer2

?


1.1.1.250

Zona Untrust

La interfaz tunnel.1 de NetScreen-A se asocia a dos túneles VPN.

NetScreen-A

Zona Trustethernet1

10.1.1.1/24

Nota: La zona Trust de NetScreen-A no se muestra.

?vpn2

vpn1

vpn1Puerta de enlace IKE: peer1, 2.2.2.2

Interfaz de túnel del interlocutor remoto: 2.3.3.1

vpn2Puerta de enlace IKE: peer2, 3.3.3.3

Interfaz de túnel del interlocutor remoto: 3.4


421

ntes parámetros: AutoKey IKE, uridad predefinido como tas propuestas, consulte

r sus tablas de rutas y NHTB

e latidos de IKE)18

el VPN AutoKey IKE, o en que usted y el s no esperan a que aparezca negociaciones de fase 2, el NetScreen A realiza

as claves de fase 1 y 2, los ingún usuario tenga que ásicamente una forma de

suario. Esto es necesario para an y habilitan en las interfaces a NetScreen y rellenen través del túnel VPN antes de tradores en las ubicaciones de da virtual a través de la interfaz

de desencadenar negociaciones IKE s de IKE. En cualquier caso, Juniper lugar de ello, utilice la supervisión de

n cuando no se habilite la supervisión Networks recomienda no confiar en e reencriptación o de nueva conexión


Las configuraciones de túnel VPN a ambos extremos de cada túnel utilizan los siguieclave previa compartida (peer1: “netscreen1”, peer2: “netscreen2”) y el nivel de seg“Compatible” para las propuestas de fase 1 y fase 2. (Para ver los detalles sobre es“Negociación de túnel” en la página 11).

Al configurar las dos siguientes funciones, puede habilitar NetScreen A para rellenaautomáticamente17.

• Supervisión de VPN con la opción de reencriptación (o de nueva conexión d

• Enrutamiento dinámico BGP en tunnel.1

Cuando se activa la supervisión de VPN con la opción de reencriptación para un túnNetScreen A establece una conexión VPN con su interlocutor remoto en el momentadministrador en la ubicación remota terminan de configurar el túnel. Los dispositivotráfico VPN generado por el usuario para iniciar las negociaciones IKE. Durante las dispositivo NetScreen intercambia su dirección IP de interfaz de túnel, de forma queautomáticamente una asociación de la VPN al siguiente salto en su tabla NHTB.

La opción de reencriptación garantiza que cuando finalice el periodo de validez de ldispositivos negociarán automáticamente la generación de nuevas claves sin que nintervenir. La supervisión de VPN con la opción de reencriptación habilitada ofrece bconservar siempre activo un túnel VPN, aun cuando no haya tráfico generado por uque las instancias de enrutamiento dinámico BGP, que usted y el administrador crede túnel a ambos lados de los túneles, puedan enviar información de enrutamiento automáticamente su tabla de rutas con las rutas que necesita para dirigir el tráfico aque esas rutas sean necesarias para el tráfico generado por el usuario. (Los adminislos interlocutores tienen que introducir una única ruta estática al resto de la red privade túnel en cada ubicación).

17. Si se ejecuta un protocolo de enrutamiento dinámico en las interfaces de túnel, el tráfico generado por el protocolo pueaunque no se habilite la supervisión de VPN con la opción de reencriptación o la opción de nueva conexión de latidoNetworks recomienda no confiar en que el tráfico de enrutamiento dinámico desencadene las negociaciones IKE. EnVPN con la opción de reencriptación o de nueva conexión de latidos de IKE.

18. Si las interfaces de túnel se ejecutan con BGP, el tráfico generado por BGP puede desencadenar negociaciones IKE aude VPN con la opción de reencriptación o la opción de nueva conexión de latidos de IKE. En cualquier caso, Juniperque el tráfico BGP desencadene las negociaciones IKE. En lugar de esto, utilice la supervisión de VPN con la opción dde latidos de IKE.


422

eder a sus vecinos BGP a cada dispositivo se encuentran


e)

OK :


e)

ga clic en OK :


Debe introducir una ruta predeterminada y rutas estáticas en NetScreen-A para acctravés de los túneles VPN adecuados. Todas las zonas de seguridad e interfaces enen el dominio de enrutamiento virtual trust-vr del dispositivo correspondiente.

WebUI (NetScreen-A)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust









423

OK:

(seleccione)

name: 2.2.2.2


l.1

/0

OK:

(seleccione)

ación sobre estas opciones, consulte


2. VPNsVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en

VPN Name: vpn1



Gateway Name: peer1





> Advanced: Introduzca los siguientes ajustesReturn para regresar a la página de config





Service: ANY

VPN Monitor19: (seleccione)

Rekey: (seleccione)


VPN Name: vpn2



19. Conserve los ajustes predeterminados en las opciones de interfaz de origen e IP de destino. Para obtener más inform“Supervisión de VPNs” en la página 361.


424

name: 3.3.3.3


l.1

/0



ación sobre estas opciones, consulte


Gateway Name: peer2










Service: ANY

VPN Monitor20: (seleccione)

Rekey: (seleccione)

3. Ruta estáticaNetwork > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien







20. Conserve los ajustes predeterminados en las opciones de interfaz de origen e IP de destino. Para obtener más inform“Supervisión de VPNs” en la página 361.


425


nce: Introduzca los siguientes

rificación Protocol BGP y, a

e > Neighbors: Introduzca los

e > Neighbors: Introduzca los



Interface: tunnel.1


Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguient



Interface: tunnel.1


4. Enrutamiento dinámicoNetwork > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instadatos y haga clic en OK :

AS Number (obligatorio): 99

BGP Enabled: (seleccione)

Network > Interfaces > Edit (para tunnel.1) > BGP: Seleccione la casilla de vecontinuación, haga clic en OK .

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instancsiguientes datos y haga clic en Add :

AS Number: 99

Remote IP: 2.3.3.1

Outgoing Interface: tunnel.1

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instancsiguientes datos y haga clic en Add :

AS Number: 99

Remote IP: 3.4.4.1



426

haga clic en OK :

ethernet3 preshare

.0/0 any


5. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Source Address:

Address Book: (seleccione), Any


Address Book: (seleccione), Any

Service: ANY

Action: Permit

CLI (NetScreen-A)




2. VPNsset ike gateway peer1 address 2.2.2.2 outgoing-interface

netscreen1 sec-level compatibleset vpn vpn1 gateway peer1 sec-level compatibleset vpn vpn1 bind interface tunnel.1set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0set vpn vpn1 monitor rekey


427

ethernet3 preshare

.0/0 any

gateway 1.1.1.250 gateway 2.3.3.1 gateway 2.4.4.1

going interface

going interface


set ike gateway peer2 address 3.3.3.3 outgoing-interfacenetscreen2 sec-level compatible

set vpn vpn2 gateway peer2 sec-level compatibleset vpn vpn2 bind interface tunnel.1set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0set vpn vpn2 monitor rekey

3. Rutas estáticasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3set vrouter trust-vr route 2.3.3.1/32 interface tunnel.1set vrouter trust-vr route 2.4.4.1/32 interface tunnel.1

4. Enrutamiento dinámicons-> set vrouter trust-vr protocol bgp 99ns-> set vrouter trust-vr protocol bgp enablens-> set interface tunnel.1 protocol bgpns-> set vrouter trust-vrns(trust-vr)-> set protocol bgpns(trust-vr/bgp)-> set neighbor 2.3.3.1 remote-as 99 out

tunnel.1ns(trust-vr/bgp)-> set neighbor 2.3.3.1 enablens(trust-vr/bgp)-> set neighbor 3.4.4.1 remote-as 99 out

tunnel.1ns(trust-vr/bgp)-> set neighbor 3.4.4.1 enablens(trust-vr/bgp)-> exitns(trust-vr)-> exit

5. Directivaset policy from trust to untrust any any any permitsave


428

en en la ubicación peer1 debe emoto configura el dispositivo ura el dispositivo NetScreen


e)


e)

rust

2.3.

2.3.


Peer1

La siguiente configuración es la que el administrador remoto del dispositivo NetScreintroducir para crear un túnel VPN a NetScreen-A en la empresa. El administrador rNetScreen para permitir el tráfico entrante desde el sitio corporativo. También configpara comunicar rutas internas a su vecino BGP a través de vpn1.

WebUI (Peer1)


Zone Name: Trust




Zone Name: Untrust



Peer1Zona Untrust

2.3.4.0/24

Zona T


2.2.2.250

tunnel.102.3.3.1/30


ethernet12.3.4.1/24


429

ga clic en OK :

lic en OK :

OK :

(seleccione)

name: 1.1.1.1


l.10








Address Name: corp



Zone: Untrust


VPN Name: vpn1



Gateway Name: corp








430

/0



ance: Introduzca los siguientes

verificación Protocol BGP y, a





Service: ANY

4. Rutas estáticasNetwork > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien





Metric: 1






Metric: 1

5. Enrutamiento dinámicoNetwork > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instdatos y haga clic en OK :



Network > Interfaces > Edit (para tunnel.10) > BGP: Seleccione la casilla de continuación, haga clic en OK .


431

ce > Neighbors: Introduzca los

haga clic en OK :


Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instansiguientes datos y haga clic en Add :

AS Number: 99

Remote IP: 10.0.0.1



Source Address:




Service: ANY

Action: Permit

CLI (Peer1)

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 2.3.4.1/24



2. Direcciónset address untrust corp 10.1.1.0/24


432

ethernet3 preshare

.0/0 any

eway 2.2.2.250 metric 1etric 1

tgoing interface




4. Rutas estáticasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gatset vrouter trust-vr route 10.1.1.0/24 interface tunnel.10 m

5. Enrutamiento dinámicons-> set vrouter trust-vr protocol bgp 99ns-> set vrouter trust-vr protocol bgp enablens-> set interface tunnel.10 protocol bgpns-> set vrouter trust-vrns(trust-vr)-> set protocol bgpns(trust-vr/bgp)-> set neighbor 10.0.0.1 remote-as 99 ou


6. Directivaset policy from untrust to trust corp any any permitsave


433

en en la ubicación peer2 debe oto configura el dispositivo ura el dispositivo NetScreen


e)


e)

na Trust

3.4.

3.4.


Peer2

La siguiente configuración es la que el administrador remoto del dispositivo NetScreintroducir para crear un túnel VPN a NetScreen en la empresa. El administrador remNetScreen para permitir el tráfico entrante desde el sitio corporativo. También configpara comunicar rutas internas a su vecino BGP a través de vpn2.

WebUI (Peer2)


Zone Name: Trust




Zone Name: Untrust



Peer2

Zona Untrust3 .4.5.0/24

Zo

ethernet33.3.3.3/24


tunnel.203.4.4.1/30


ethernet13.4.5.1/24


434

ga clic en OK :

lic en OK :

OK :

(seleccione)

name: 1.1.1.1








Address Name: corp



Zone: Untrust


VPN Name: vpn2



Gateway Name: corp






435


l.20

/0









Service: ANY

4. Rutas estáticasNetwork > Routing > Routing Entries > (trust-vr) New: Introduzca los siguien





Metric: 1






Metric: 1


436

ance: Introduzca los siguientes

verificación Protocol BGP y, a

ce > Neighbors: Introduzca los

haga clic en OK :


5. Enrutamiento dinámicoNetwork > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instdatos y haga clic en OK :



Network > Interfaces > Edit (para tunnel.20) > BGP: Seleccione la casilla de continuación, haga clic en OK .

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instansiguientes datos y haga clic en Add :

AS Number: 99

Remote IP: 10.0.0.1



Source Address:




Service: ANY

Action: Permit

CLI (Peer2)

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 3.4.5.1/24


437

ethernet3 preshare

.0/0 any

eway 3.3.3.250 metric 1etric 1

tgoing interface




2. Direcciónset address untrust corp 10.1.1.0/24



4. Rutas estáticasset vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gatset vrouter trust-vr route 10.1.1.0/24 interface tunnel.20 m

5. Enrutamiento dinámicons-> set vrouter trust-vr protocol bgp 99ns-> set vrouter trust-vr protocol bgp enablens-> set interface tunnel.20 protocol bgpns-> set vrouter trust-vrns(trust-vr)-> set protocol bgpns(trust-vr/bgp)-> set neighbor 10.0.0.1 remote-as 99 ou


6. Directivaset policy from untrust to trust corp any any permitsave


438

la de rutas los interlocutores comuniquen dyacencias OSPF con sus

". La configuración de

stance: Seleccione OSPF

er la interfaz tunnel.1 de la lista lic en OK .

s datos y haga clic en Apply :

en la lista desplegable


Anexo al ejemplo: OSPF para entradas automáticas en la tabTambién puede configurar OSPF en lugar del enrutamiento dinámico BGP para quesus rutas a NetScreen-A. Para permitir que tunnel.1 en NetScreen-A pueda formar ainterlocutores, debe configurar la interfaz de túnel como interfaz "punto a multipuntoenrutamiento dinámico OSPF para cada dispositivo se muestra a continuación.

WebUI (NetScreen-A)

Enrutamiento dinámico (OSPF)

Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF InEnabled y haga clic en Apply .

Area > Configure (para el área 0.0.0.0): Haga clic en << Add para mov“Available Interface(s)” a la lista “Selected Interface(s)” y luego haga c

Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguiente

Bind to Area: (seleccione), Seleccione 0.0.0.0

Protocol OSPF: Enable

Link Type: Point-to-Multipoint (seleccione)

CLI (NetScreen-A)


ns-> set vrouter trust-vr protocol ospfns-> set vrouter trust-vr protocol ospf enablens-> set interface tunnel.1 protocol ospf area 0ns-> set interface tunnel.1 protocol ospf link-type p2mpns-> set interface tunnel.1 protocol ospf enablens-> save


439








WebUI (Peer1)







CLI (Peer1)


ns-> set vrouter trust-vr protocol ospfns-> set vrouter trust-vr protocol ospf enablens-> set interface tunnel.1 protocol ospf area 0ns-> set interface tunnel.1 protocol ospf enablens-> save

WebUI (Peer2)





440







CLI (Peer2)


ns-> set vrouter trust-vr protocol ospfns-> set vrouter trust-vr protocol ospf enablens-> set interface tunnel.1 protocol ospf area 0ns-> set interface tunnel.1 protocol ospf enablens-> save

Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes

441

conectividad VPN continua grupo VPN para proporcionar tar túneles VPN AutoKey IKE s. Cuando el dispositivo grupo VPN, realiza las sitivo NetScreen envía datos a o. Para todas las demás

seguridad de fase 1 y 2 y de conexión IKE. Si el túnel nlace con el segundo nivel de

dos en rutas. En una configuración de IP Untrust asignada dinámicamente,

enlace redundantes están . Además, cada sitio (al ser

Screen que funcionan en modo ebe ser mayor que el límite de r innecesarias.

Grupo VPN, ID 1 de VPN)


PUERTAS DE ENLACE VPN REDUNDANTESLa función de puertas de enlace redundantes NetScreen ofrece una solución para ladurante y después de una conmutación por error punto a punto. Es posible crear unun grupo de hasta cuatro puertas de enlace redundantes a la que se pueden conecIPSec21 de interlocutor dinámico punto a punto o punto a punto basados en directivaNetScreen recibe por primera vez tráfico que coincide con una directiva relativa a unnegociaciones IKE de fase 1 y fase 2 con todos los miembros de ese grupo. El dispotravés del túnel VPN a la puerta de enlace con la mayor prioridad (o “peso”) del gruppuertas de enlace del grupo, el dispositivo NetScreen actualiza las asociaciones demantiene activos los túneles enviando a través de ellos paquetes de mantenimientoVPN activo falla, puede producir una conmutación por error al túnel y la puerta de eprioridad del grupo.

21. Los grupos VPN no admiten L2TP, L2TP-sobre-IPSec, acceso telefónico, clave manual ni tipos de túneles VPN basainterlocutores dinámicos punto a punto, el dispositivo NetScreen que supervisa el grupo VPN debe tener la direcciónmientas que las direcciones IP de los miembros del grupo VPN deben ser estáticas.

Nota: En este esquema se asume que los sitios situados detrás de las puertas de conectados de tal forma que los datos se replican entre los hosts de todos los sitiosdedicado para alta disponibilidad) tiene un conjunto redundante de dispositivos Netde alta disponibilidad. Así, el límite de conmutación por fallo de VPN que se ajuste dconmutación por error del dispositivo o se podrían producir conmutaciones por erro

= Datos= Latidos de IKE

Grupo VPN, ID 1(Después de una conmutación por error


442

uertas de enlace remotas de da túnel de un grupo pueden

e remota, que, lógicamente, bro del grupo se le asigna un el túnel activo. Un valor de 1

opios miembros tienen una a conectividad y el correcto tas para ello:

sión” en la página 443.

ositivo de supervisión también o dispositivo de supervisión.


Grupos VPNUn grupo VPN es un conjunto de configuraciones de túnel VPN para hasta cuatro pdestino. Los parámetros de asociación de seguridad (SA) de fase 1 y fase 2 para caser distintos o idénticos (excepto en el caso de la dirección IP de la puerta de enlacdebe ser diferente). El grupo VPN tiene un número de ID inequívoco, y a cada miempeso inequívoco para indicar su lugar en el rango de preferencia para convertirse enconstituye el rango inferior o de menor preferencia.

El dispositivo NetScreen que se comunica con los miembros del grupo VPN y los prrelación supervisor/destino. El dispositivo de supervisión supervisa continuamente lestado de cada dispositivo de destino. El supervisor utiliza las siguientes herramien

• Latidos de IKE

• Intentos de recuperación de IKE

Ambas herramientas se describen en la sección siguiente, “Mecanismos de supervi

Nota: La relación supervisor/destino no tiene por qué ser de un solo sentido. El disppuede ser un miembro de un grupo VPN y, por tanto, ser a su vez el destino de otr

Grupo VPN 1 Peso

4

3

2

1

Supervisor

D

e

s

t

i

n

o

Nota: En esta ilustración, el sombreado simboliza el peso de cada túnel. Cuanto más oscuro sea el sombreado de un túnel, mayor será su prioridad.


443

con el fin de determinar su

plicación TCP (consulte den detectar si es necesario ener que interrumpir el servicio

tuamente bajo la protección de ad y el correcto estado del otro. os (el valor predeterminado es ctivo. Device_m elimina de su

entes y comienza el en la página 444).

a ambos extremos de un túnel _m suprime la transmisión de have been disabled because no los está enviando).


Mecanismos de supervisiónNetScreen utiliza dos mecanismos para supervisar los miembros de un grupo VPN capacidad para terminar tráfico VPN:

• Latidos de IKE

• Intentos de recuperación de IKE

Utilizando estas dos herramientas junto con la opción de conmutación por error de a“Comprobación de flag TCP SYN” en la página 447), los dispositivos NetScreen puerealizar una conmutación por error de la VPN y desviar el tráfico al nuevo túnel sin tde VPN.

Latidos de IKE

Los latidos de IKE son mensajes de saludo que los interlocutores IKE se envían muuna asociación de seguridad (SA) de fase 1 establecida para confirmar la conectividPor ejemplo, si device_m (el “supervisor”) no recibe un determinado número de latid5) de device_t (el “destino”), device_m llega a la conclusión de que device_t está inamemoria caché las asociaciones de seguridad (SAs) de fase 1 y fase 2 correspondiprocedimiento de recuperación IKE. (Consulte “Procedimiento de recuperación IKE”Device_t también elimina sus SAs.

Nota: La función de latidos de IKE debe estar habilitada en los dispositivos ubicadosVPN en un grupo VPN. Si está habilitada en device_m pero no en device_t, devicelatidos de IKE y genera el siguiente mensaje en el registro de eventos: “Heartbeatsthe peer is not sending them” (los latidos se han desactivado porque el interlocutor

Los latidos de IKE deben fluir en ambos sentidos a través del túnel VPN.


444

el valor predeterminado es 5),

o umbral de latidos de IKE “Heartbeat Hello” y “Heartbeat

dispositivo de destino está ocutor de su caché de SA. Tras rlocutor fallido. Si el primer fase 1 a intervalos regulares


Para definir el intervalo de latidos de IKE y el umbral para un túnel VPN específico (realice los siguientes pasos:

WebUI

VPNs > AutoKey Advanced > Gateway > Edit (para la puerta de enlace cuydesee modificar) > Advanced: Introduzca los valores nuevos en los camposThreshold” y haga clic en OK.

CLI

set ike gateway name_str heartbeat hello number

set ike gateway name_str heartbeat threshold number

Procedimiento de recuperación IKE

Después de que el dispositivo NetScreen de supervisión haya determinado que un inactivo, el supervisor deja de enviar latidos de IKE y elimina las SA para dicho interlun intervalo definido, el supervisor intenta iniciar negociaciones de fase 1 con el inteintento no tiene éxito, el supervisor continúa intentando establecer negociaciones dehasta que obtiene resultados satisfactorios.


445

mínimo es 60 segundos),

intervalo de reconexión de IKE Heartbeat Reconnect y haga

r error del túnel a otro miembro realiza automáticamente una n hace que la puerta de enlace VPN si es posible.

ento fallido

ento fallido

to con éxito


Para definir el intervalo de recuperación IKE para un túnel VPN específico (el ajusterealice uno de los siguientes pasos:

WebUI

VPNs > AutoKey Advanced > Gateway > Edit (para la puerta de enlace cuyodesee modificar) > Advanced: Introduzca el valor en segundos en el campoclic en OK.

CLI

set ike gateway name_str heartbeat reconnect number

Cuando el miembro con el mayor peso de un grupo VPN realiza una conmutación podel grupo y, a continuación, conecta de nuevo con el dispositivo de supervisión, se conmutación por recuperación del túnel al primer miembro. El sistema de ponderacióque tiene la mayor valoración del grupo se encargue siempre de gestionar los datos

Supervisor Destino

Int

Int

Inten

Intentos de negociación de fase 1 IKE cada 5 minutos

Intervalo:5 minutos

(300 segundos) ......

...

......

...


446

n grupo VPN cuando la .

estino

o estaba stablecer

ados.

se la N).


En la siguiente ilustración se muestra el proceso al que se somete un miembro de uausencia de latidos de una puerta de enlace de destino sobrepasa el umbral de fallo

Supervisor D

Latidos IKE en ambos sentidos

El destino deja de enviar latidos IKE.

El supervisor realiza una conmutación por error de la VPN (si el destingestionando datos VPN), elimina las SA de fase 1 y fase 2 e intenta e

de nuevo el túnel VPN con los intervalos especificados.

El destino responde a la iniciación de fase 1 con latidos IKE habilit

Las negociaciones de fase 1 y fase 2 IKE tienen éxito, el túnel salvaguarda y se realiza una conmutación por recuperación deVPN (si su peso da preferencia a otros miembros del grupo VP

1.

2.

3.

4.

5.


447

siones TCP debe estar activa recibe un paquete era el primer paquete de una aquete. Como este paquete en ecuencia, la nueva puerta de

las aplicaciones TCP se tienen

sesiones TCP en túneles VPN

da.


Comprobación de flag TCP SYNPara que se produzca una conmutación por error VPN gradual, el manejo de las sedireccionado. Si, después de una conmutación por error, la nueva puerta de enlacedurante una sesión TCP existente, la nueva puerta de enlace lo gestiona como si fusesión TCP nueva y comprueba si el flag SYN está activado en el encabezado del prealidad forma parte de una sesión existente, no tiene el flag SYN activado. En consenlace rechaza el paquete. Con la comprobación de flag TCP SYN habilitada, todasque reconectar después de que se produzca la conmutación por error.

Para resolver este problema, puede inhabilitar la comprobación de flag SYN para lasdel siguiente modo:

WebUI

No es posible inhabilitar la comprobación de flag SYN mediante la WebUI.

CLI

unset flow tcp-syn-check-in-tunnel

Nota: De forma predeterminada, la comprobación de flag SYN está habilita


448

e datos y un segundo túnel que una conexión de línea punto a ente para proporcionar un e 24 horas o una catástrofe

ara las zonas Trust y Untrust, y

Todos los túneles AutoKey IKE puestas de fase 1 y fase 2. Las

a, de enlace dat)

ID de grupoVPN y peso

W) 1.1.1.2 – –

W) 2.2.2.2 ID = 1, Peso = 2

W) 3.3.3.2 ID = 1, Peso = 1

co.


Ejemplo: Puertas de enlace VPN redundantes

En este ejemplo, un sitio corporativo tiene un túnel VPN que conecta con un centro dconecta con un centro de datos de respaldo. Todos los datos se replican a través depunto entre los dos centros de datos. Los centros de datos están separados físicamservicio continuo, incluso en caso de fallo catastrófico, como un corte de corriente dnatural.

El nombre y la ubicación del dispositivo, las interfaces físicas y sus direcciones IP pla ID de grupo VPN y el peso de cada dispositivo NetScreen son los siguientes:

Todas las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr.punto a punto utilizan el nivel de seguridad predefinido como “Compatible” para proclaves previamente compartidas autentican a los participantes.

Ubicacióndel dispositivo

Nombre deldispositivo

Interfaz física ydirección IP(zona Trust)

Interfaz físicdirección IP, puerta

predetermina(zona Untrus

Empresa Monitor1 ethernet1, 10.10.1.1/24 ethernet3, 1.1.1.1/24, (G

Centro de datos (primario) Target1 ethernet1, 10.1.1.1/16 ethernet3, 2.2.2.1/24, (G

Centro de datos (de respaldo)

Target2 ethernet1, 10.1.1.1/16 ethernet3, 3.3.3.1/24, (G

Nota: El espacio de direcciones interno en ambos centros de datos debe ser idénti


449


e)

OK :

Sitio primario delcentro de datos

Sitio de copia de seguridaddel centro de

datos

0.1.0.0/16

0.1.0.0/16

Línea punto a punto para la

réplica de datos del sitio primario

al sitio de respaldo


WebUI (Monitor1)


Zone Name: Trust




Interface Mode: NAT

Sitio corporativo

Monitor1

Untrust, eth31.1.1.1/24

Trust, eth110.10.1.1/24

1

Trust, eth110.1.1.1/16



Trust, eth110.1.1.1/16

1

10.10.1.0/24 Internet

Target1

Target2

Nota: Las zonas de seguridad y los enrutadores externos no se muestran en esta ilustración.


450


e)

lic en OK :

lic en OK :

roup ID y haga clic en Add .


leccione), IP Address: 2.2.2.1



Zone Name: Untrust




Address Name: in_trust



Zone: Trust


Address Name: data_ctr



Zone: Untrust

3. VPNsVPNs > AutoKey Advanced > VPN Group: Introduzca 1 en el campo VPN G

VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da

Gateway Name: target1


Remote Gateway Type: Static IP Address: (se

Preshared Key: SLi1yoo129



451


tion)

OK :

arget1



leccione), IP Address: 3.3.3.1





Heartbeat:

Hello: 3 Seconds

Reconnect: 60 seconds

Threshold: 5


VPN Name: to_target1


Remote Gateway: Predefined: (seleccione), t


VPN Group: VPN Group -1

Weight: 2

VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da

Gateway Name: target2


Remote Gateway Type: Static IP Address: (se

Preshared Key: CMFwb7oN23



452


tion)

OK :

arget2







Heartbeat:

Hello: 3 Seconds


Threshold: 5


VPN Name: to_target2


Remote Gateway: Predefined: (seleccione), t


VPN Group: VPN Group -1

Weight: 1





Gateway IP Address: 1.1.1.2(untrust)


453

haga clic en OK :

leccione)



Source Address:

Address Book Entry: (seleccione), in_trust


Address Book Entry: (seleccione), data_ctr

Service: ANY

Action: Tunnel

VPN: VPN Group -1




454


e)

OK :


e)

lic en OK :

lic en OK :


WebUI (Target1)


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust




Address Name: in_trust



Zone: Trust


Address Name: corp



Zone: Untrust


455


/Hostname: 1.1.1.1


tion)

K :

onitor1



Gateway Name: monitor1




Preshared Key: SLi1yoo129





Heartbeat:

Hello: 3 Seconds


VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en O

Nombre: to_monitor1


Remote Gateway: Predefined: (seleccione), m


456


haga clic en OK :

leccione)

pero defina la dirección IP de la e predeterminada como 3.3.3.2








Source Address:

Address Book Entry: (seleccione), in_trust



Service: ANY

Action: Tunnel

Tunnel VPN: monitor1



WebUI (Target2)

Nota: Siga los pasos de configuración de Target1 para configurar Target2, interfaz de zona Untrust como 3.3.3.1/24, la dirección IP de puerta de enlacy utilice CMFwb7oN23 para generar la clave previamente compartida.


457

terface ethernet3

terface ethernet3

gateway 1.1.1.2


CLI (Monitor1)1. Interfaces

set interface ethernet1 zone trustset interface ethernet1 ip 10.10.1.1/24set interface ethernet1 nat


2. Direcciones

set address trust in_trust 10.10.1.0/24set address untrust data_ctr 10.1.0.0/16

3. VPNs

set ike gateway target1 address 2.2.2.1 main outgoing-inpreshare SLi1yoo129 sec-level compatible

set ike gateway target1 heartbeat hello 3set ike gateway target1 heartbeat reconnect 60set ike gateway target1 heartbeat threshold 5set vpn to_target1 gateway target1 sec-level compatibleset ike gateway target2 address 3.3.3.1 main outgoing-in

preshare CMFwb7oN23 sec-level compatibleset ike gateway target2 heartbeat hello 3set ike gateway target2 heartbeat reconnect 60set ike gateway target2 heartbeat threshold 5set vpn to_target2 gateway target2 sec-level compatibleset vpn-group id 1 vpn to_target1 weight 2set vpn-group id 1 vpn to_target2 weight 1unset flow tcp-syn-check-in-tunnel

4. Ruta

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3


458

ny tunnel “vpn-group 1”ny tunnel “vpn-group 1”

nterface ethernet3

e

gateway 2.2.2.2

unnel vpn to_monitorunnel vpn to_monitor


5. Directivas

set policy top from trust to untrust in_trust data_ctr aset policy top from untrust to trust data_ctr in_trust asave

CLI (Target1)



2. Direccionesset address trust in_trust 10.1.0.0/16set address untrust corp 10.10.1.0/24

3. VPNset ike gateway monitor1 address 1.1.1.1 main outgoing-i

preshare SLi1yoo129 sec-level compatibleset ike gateway monitor1 heartbeat hello 3set ike gateway monitor1 heartbeat threshold 5set vpn to_monitor1 gateway monitor1 sec-level compatibl


5. Directivasset policy top from trust to untrust in_trust corp any tset policy top from untrust to trust corp in_trust any tsave


459

pero defina la dirección IP de la e predeterminada como 3.3.3.2


CLI (Target2)

Nota: Siga los pasos de configuración de Target1 para configurar Target2, interfaz de zona Untrust como 3.3.3.1/24, la dirección IP de puerta de enlacy utilice CMFwb7oN23 para generar la clave previamente compartida.

Capítulo 7 Funciones de VPN avanzadas VPNs adosadas

460

circule de un túnel VPN a otro istintas, el dispositivo

ar el tráfico de un túnel a otro. untos radiales. Esta

las dos interfaces de túnel dentro de

Radio B


VPNS ADOSADASPuede aplicar directivas interzonales en el lado del concentrador para el tráfico queubicando los puntos radiales en zonas diferentes22. Como se encuentran en zonas dNetScreen del concentrador debe realizar una consulta de directivas antes de enrutAsí, es posible controlar el tráfico que circule a través de los túneles VPN entre los pconfiguración se denomina “VPN adosada”.

22. De forma opcional, puede habilitar un bloqueo intrazonal y definir una directiva intrazonal para controlar el tráfico entrela misma zona.

ZonaX1

VPN1 VPN2

VPNs adosadas

ZonaX2

Consultade

directivas

Radio A

Concentrador (hub)


461

e perímetro A puede enlazar e configurar un túnel VPN. de diez túneles VPN de pciones y funciones de VPN.

el tráfico VPN entre los

permitir la circulación de

l acceso a A del tráfico

o tiempo, permitir sólo a un

l tráfico saliente de todas las ctiva que dirija todo el tráfico policy top from trust to PN específico que conecta rador puede controlar el TTP), realizando bloqueos

configuración radial, dio de otra.

en un detalle: el dispositivo tivas en el tráfico que enruta itio remoto en una zona

ión LAN de París se io de enrutamiento Trust-VR.

clave de software de zona


Ventajas de las VPNs adosadas:

• Puede conservar el número de VPNs que necesite crear. Por ejemplo, el punto dcon el concentrador y los puntos de perímetro B, C, D, etc., pero A sólo tiene quEspecialmente para usuarios de NetScreen-5XP, que pueden utilizar un máximoforma simultánea, aplicar el método radial aumenta de manera significativa las o

• El administrador del dispositivo concentrador puede controlar completamente puntos de perímetro. Por ejemplo:

– Puede permitir sólo la circulación de tráfico HTTP desde A hasta B, perocualquier tipo de tráfico desde B hasta A.

– Puede permitir el acceso a C del tráfico procedente de A, pero denegar eprocedente de C.

– Puede permitir a un host concreto de A el acceso a toda la red D y, al mismhost concreto de D acceder a otro host distinto en A.

• El administrador del dispositivo concentrador puede controlar completamente eredes del perímetro. En cada punto de perímetro debe existir primero una direde salida a través de las VPN radiales hasta el concentrador; por ejemplo: setuntrust any any any tunnel vpn name_str (donde name_str define el túnel Vcada punto de perímetro con el concentrador). En el concentrador, el administacceso a Internet, permitiendo determinado tipo de tráfico (por ejemplo, sólo Hde URL o sitios web no deseables, etc.

• Se pueden utilizar concentradores regionales y túneles interconectados en unapermitiendo que los puntos de radio de una región accedan a los puntos de ra

Ejemplo: VPNs adosadasEl ejemplo siguiente es parecido al “Ejemplo: VPNs radiales” en la página 472, exceptoNetScreen del lado del concentrador en Nueva York realiza una comprobación de direcentre los dos túneles con destino a las sucursales de Tokio y París. Colocando cada sdistinta, el tráfico VPN se controla en el concentrador.La dirección LAN de Tokio se encuentra en la zona definida por el usuario X1, y la direccencuentra en la zona definida por el usuario X2. Ambas zonas se encuentran en el domin

Nota: Para crear zonas definidas por el usuario, primero hay que adquirir y cargar unaen el dispositivo NetScreen.


462

z tunnel.2. Aunque no se mbas interfaces de túnel. Las rust-VR. Colocando la destinado a dicha subred se

ver en la siguiente ilustración, tráfico que utiliza estos túneles eviamente compartidas. Hay opuestas de fase 1 y fase 2. La ecir, el túnel correcto se tiva), las IDs de proxy se

uado en el lado del concentrador.

LAN de Tokio10.10.1.0/24

LAN de París10.20.1.0/24

dio)1.1ís (radio)0.2.2.2

Dominio de enrutamiento Untrust-VR


El túnel VPN1 se asocia a la interfaz tunnel.1, y el túnel VPN2 se asocia a la interfaasignan direcciones IP a las interfaces de zona X1 y X2, se asignan direcciones a arutas para estas interfaces aparecen automáticamente en la tabla de enrutamiento Tdirección IP de una interfaz de túnel en la misma subred que la de destino, el tráficoenruta a la interfaz de túnel.

La interfaz de salida es ethernet3, que está asociada a la zona Untrust. Como puedeambos túneles terminan en la zona Untrust; sin embargo, los puntos finales para el se encuentran en las zonas X1 y X2. Los túneles utilizan AutoKey IKE con claves prque seleccionar el nivel de seguridad predefinido como “Compatible” para ambas przona Untrust se asocia a untrust-vr. Como los túneles están basados en rutas (es ddetermina por el enrutamiento, no por un nombre de túnel especificado en una direcincluyen en la configuración de cada túnel.

Nota: A continuación se proporciona sólo la configuración del dispositivo NetScreen sit

Zona X1

VPN1

VPN2

Sede central en Nueva York

(concentrador)

Interfaz: tunnel.1

10.10.1.2/24

Tokio (ra110.1.

Par22

Interfaz de salidade Nueva YorkZona Untrust

eth3, IP 123.1.1.1/24

Puerta de enlace predeterminada

IP 123.1.1.2

Zona X2

Consulta de

directivasZona Trust

Dominio de enrutamiento

Trust-VR VPN1

eth1, 10.1.1.1/24 Interfaz: tunnel.2

10.20.1.2/24


463



ga clic en OK :

:

:


WebUI

1. Zonas de seguridad y enrutadores virtualesNetwork > Interfaces > Edit (para ethernet3): Introduzca los siguientes dato


Manage IP: 0.0.0.0


Zone Name: Null

Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y ha

Virtual Router Name: untrust-vr


Network > Zones > New: Introduzca los siguientes datos y haga clic en OK

Zone Name: X1



Network > Zones > New: Introduzca los siguientes datos y haga clic en OK

Zone Name: X2




464


e)

ga clic en OK :

ga clic en OK :



Zone Name: Untrust





Zone (VR): X1 (trust-vr)





Zone (VR): X2 (trust-vr)




465

OK :

(seleccione)

name: 110.1.1.1


/24

.0/24

stos procedimientos: .0/24 (París) para IP Local/Netmask,

io) y 10.20.1.0/24 (París), y otra en la s de origen y destino en la directiva


3. VPN para la oficina de TokioVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en

VPN Name: VPN1



Gateway Name: Tokyo





Proxy-ID: (seleccione)23

Local IP / Netmask: 10.20.1.0


Service: ANY

23. Para configurar el túnel VPN en el dispositivo NetScreen que protege las oficinas de Tokio y París, ejecute uno de e(VPN basada en rutas) Seleccione la casilla de verificación Enable Proxy-ID y escriba 10.10.1.0/24 (Tokio) y 10.20.1y 10.20.1.0/24 (Tokio) y 10.10.1.0/24 (París) para IP remota/Netmask . (VPN basada en directivas) Realice una entrada en la libreta de direcciones de la zona Trust para 10.10.1.0/24 (Toklibreta de direcciones de la zona Untrust para 10.20.1.0/24 (Tokio) y 10.10.1.0/24 (París). Utilícelas como direccionerelativa al túnel VPN al sitio del concentrador (hub).


466

OK :

(seleccione)

name: 220.2.2.2


/24

.0/24


4. VPN para la oficina de ParísVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en

VPN Name: VPN2



Gateway Name: París






Local IP / Netmask: 10.10.1.0


Service: ANY


467


untrust-vr

ntes datos y haga clic en OK :

lic en OK :

lic en OK :




Next Hop Virtual Router Name: (seleccione),

Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguie






Address Name: Tokyo LAN



Zone: X1


Address Name: Paris LAN



Zone: X2


468

en OK :

AN

N

en OK :

N

AN


7. DirectivasPolicy > (From: X1, To: X2) New: Introduzca los siguientes datos y haga clic

Source Address:

Address Book Entry: (seleccione), Tokyo L


Address Book Entry: (seleccione), Paris LA

Service: ANY

Action: Permit


Policy > (From: X2, To: X1) New: Introduzca los siguientes datos y haga clic

Source Address:

Address Book Entry: (seleccione), Paris LA


Address Book Entry: (seleccione), Tokyo L

Service: ANY

Action: Permit



469

ethernet3 preshare

0.1.0/24 any24

procedimientos: 0.10.1.0/24 (Tokyo) and set vpn

y 10.20.1.0/24 (París), y otra en la origen y destino en las directivas


CLI

1. Zonas de seguridad y enrutadores virtualesunset interface ethernet3 ipunset interface ethernet3 zone

set zone untrust vrouter untrust-vrset zone untrust block

set zone name x1set zone x1 vrouter trust-vrset zone x1 block

set zone name x2set zone x2 vrouter trust-vrset zone x2 block

2. Interfacesset interface ethernet3 zone untrustset interface ethernet3 ip 123.1.1.1/24

set interface tunnel.1 zone x1set interface tunnel.1 ip 10.10.1.2/24

set interface tunnel.2 zone x2set interface tunnel.2 ip 10.20.1.2/24

3. VPN para la oficina de Tokioset ike gateway Tokyo address 110.1.1.1 outgoing-interface

netscreen1 sec-level compatibleset vpn VPN1 gateway Tokyo sec-level compatibleset vpn VPN1 bind interface tunnel.1set vpn VPN1 proxy-id local-ip 10.20.1.0/24 remote-ip 10.1

24. Para configurar el túnel VPN en el dispositivo NetScreen que protege las oficinas de Tokio y París, ejecute uno de estos(VPN basada en rutas) Introduzca los siguientes comandos: set vpn VPN1 proxy-id local-ip 10.20.1.0/24 remote-ip 1VPN1 proxy-id local-ip 10.10.1.0/24 remote-ip 10.20.1.0/24 (Paris) . (VPN basada en directivas) Realice una entrada en la libreta de direcciones de la zona Trust para 10.10.1.0/24 (Tokio) libreta de direcciones de la zona Untrust para 10.20.1.0/24 (Tokio) y 10.10.1.0/24 (París). Utilícelas como direcciones derelativas al túnel VPN al sitio del concentrador (hub).


470

ce ethernet3 preshare

.20.1.0/24 any

t3 gateway 123.1.1.2

permit25

permit

rning: Some interfaces in the


4. VPN para la oficina de Parísset ike gateway Paris address 220.2.2.2 outgoing-interfa

netscreen2 sec-level compatibleset vpn VPN2 gateway Paris sec-level compatibleset vpn VPN2 bind interface tunnel.2set vpn VPN2 proxy-id local-ip 10.10.1.0/24 remote-ip 10

5. Rutasset vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vrset vrouter untrust-vr route 0.0.0.0/0 interface etherne

6. Direccionesset address x1 “Tokyo LAN” 10.10.1.0/24set address x2 “Paris LAN” 10.20.1.0/24

7. Directivas

set policy top from x1 to x2 “Tokyo LAN” “Paris LAN” anyset policy top from x2 to x1 “Paris LAN” “Tokyo LAN” anysave

25. Puede hacer caso omiso al siguiente mensaje, que aparece porque las interfaces de túnel están en modo NAT: “Wa<zone_name> zone are in NAT mode. Traffic might not pass through them!”

Capítulo 7 Funciones de VPN avanzadas VPNs radiales

471

r un par de rutas para que el úneles están incluidos en la un túnel a otro. Sólo es

dos túneles cualesquiera.


VPNS RADIALESSi crea dos túneles VPN que terminen en un dispositivo NetScreen, puede configuradispositivo NetScreen dirija el tráfico que salga de un túnel hacia el otro. Si ambos tmisma zona, no es necesario crear una directiva para permitir que el tráfico pase denecesario definir las rutas. Esta configuración se denomina “VPN radial”.

También es posible configurar VPNs múltiples en una zona y enrutar el tráfico entre

Túneles VPN radialesZona Untrust

El dispositivo NetScreen enruta el tráfico de un túnel a otro.

Sitios remotos

Túneles VPN radiales múltiples

El dispositivo NetScreen enruta el tráfico entre túneles.

Zona Untrust


472

un par de túneles VPN (VPN1 central de Nueva York. El

el otro.o tiene que hacer una consulta rque ambos puntos finales

numerar. Los túneles utilizan eguridad predefinido como untrust-vr. La interfaz de zona

áfico entre las dos interfaces de túnel.

VPN radiales basadas en zonas de seguridad definidas

LAN de Tokio10.2.2.0/24

LAN de París10.3.3.0/24

Dominio de enrutamiento untrust-vr

.3.3)

.2.2 )


Ejemplo: VPNs radialesEn este ejemplo, dos sucursales de Tokio y París se comunican entre sí a través dey VPN2). Cada túnel tiene su punto de origen en el sitio remoto y termina en la sededispositivo NetScreen de la sede central enruta el tráfico que sale de un túnel haciaInhabilitando el bloqueo intrazonal, el dispositivo NetScreen de la sede central sólde rutas (no una consulta de directivas) para dirigir el tráfico de un túnel a otro poremotos se encuentran en la misma zona (zona Untrust)26.Los túneles se asocian a las interfaces de túnel (tunnel.1 y tunnel.2), que están sin AutoKey IKE con claves previamente compartidas. Hay que seleccionar el nivel de s“Compatible” para ambas propuestas de fase 1 y fase 2. La zona Untrust se asocia aUntrust es ethernet3.

26. De forma opcional, puede mantener el bloqueo intrazonal habilitado y definir una directiva intrazonal que permita el tr

Nota: La siguiente configuración es aplicable a VPN basadas en rutas. Si configuradirectivas, debe utilizar las zonas Trust y Untrust en las directivas; no puede utilizarpor el usuario.

Zona Untrust

VPN1

VPN2Nueva York: sede central

(concentrador)Interfaz: tunnel.1Interfaz: tunnel.2

Puerta de enlace

predeterminadaIP 1.1.1.250

Internet

París 3.3(radio

Tokio 2.2(radio

Interfaz de salidaeth3

IP 1.1.1.1


473



ga clic en OK :


e)

ga clic en OK :


WebUI (Nueva York)



Manage IP: 0.0.0.0


Zone Name: Null



Block Intra-Zone Traffic: (anule la selección)


Zone Name: Untrust





Zone (VR): Untrust (untrust-vr)


Interface: ethernet3 (untrust-vr)


474

ga clic en OK :

OK :

(seleccione)

name: 2.2.2.2


/0







3. VPN para la oficina de TokioVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en

VPN Name: VPN1



Gateway Name: Tokyo









Service: ANY


475

OK :

(seleccione)

name: 3.3.3.3


/0



4. VPN para la oficina de ParísVPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en

VPN Name: VPN2



Gateway Name: Paris









Service: ANY

5. RutasNetwork > Routing > Routing Entries > untrust-vr New: Introduzca los siguie



Interface: tunnel.1



476







Interface: tunnel.2








477



ga clic en OK :


e)

OK :


e)


WebUI (Tokio)



Manage IP: 0.0.0.0


Zone Name: Null





Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust




478

ga clic en OK :

lic en OK :

OK :

(seleccione)

name: 1.1.1.1








Address Name: Paris



Zone: Untrust


VPN Name: VPN1



Gateway Name: New York






479


/0


untrust-vr








Service: ANY



Next Hop Virtual Router Name: (seleccione);









Interface: tunnel.1



480

haga clic en OK :



ga clic en OK :



Source Address:



Address Book Entry: (seleccione), Paris

Service: ANY

Action: Permit

WebUI (París)



Manage IP: 0.0.0.0


Zone Name: Null





481


e)

OK :


e)

ga clic en OK :

lic en OK :



Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust









Address Name: Tokyo



Zone: Untrust


482

OK :

(seleccione)

name: 1.1.1.1


/0


untrust-vr



VPN Name: VPN2



Gateway Name: New York









Service: ANY



Next Hop Virtual Router Name: (seleccione);


483



haga clic en OK :










Interface: tunnel.1



Source Address:



Address Book Entry: (seleccione), Tokyo

Service: ANY

Action: Permit


484

ethernet3 preshare

.0/0 any

ethernet3 preshare

.0/0 any

l.1l.2t3 gateway 1.1.1.250


CLI (Nueva York)

1. Zonas de seguridad y enrutadores virtualesunset interface ethernet3 ipunset interface ethernet3 zoneset zone untrust vrouter untrust-vrunset zone untrust block

2. Interfacesset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3set interface tunnel.2 zone untrustset interface tunnel.2 ip unnumbered interface ethernet3

3. VPN para la oficina de Tokioset ike gateway Tokyo address 2.2.2.2 outgoing-interface

netscreen1 sec-level compatibleset vpn VPN1 gateway Tokyo sec-level compatibleset vpn VPN1 bind interface tunnel.1set vpn VPN1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0

4. VPN para la oficina de Parísset ike gateway Paris address 3.3.3.3 outgoing-interface

netscreen2 sec-level compatibleset vpn VPN2 gateway Paris sec-level compatibleset vpn VPN2 bind interface tunnel.2set vpn VPN2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0

5. Rutasset vrouter untrust-vr route 10.2.2.0/24 interface tunneset vrouter untrust-vr route 10.3.3.0/24 interface tunneset vrouter untrust-vr route 0.0.0.0/0 interface ethernesave


485

rface ethernet3

.0/0 any

t3 gateway 2.2.2.250l.1


CLI (Tokio)

1. Zonas de seguridad y enrutadores virtualesunset interface ethernet3 ipunset interface ethernet3 zoneset zone untrust vrouter untrust-vr




3. Direcciónset address untrust Paris 10.3.3.0/24

4. VPNset ike gateway “New York” address 1.1.1.1 outgoing-inte

preshare netscreen1 sec-level compatibleset vpn VPN1 gateway “New York” sec-level compatibleset vpn VPN1 bind interface tunnel.1set vpn VPN1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0

5. Rutasset vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vrset vrouter untrust-vr route 0.0.0.0/0 interface etherneset vrouter untrust-vr route 10.3.3.0/24 interface tunne


486

rface ethernet3

.0/0 any


6. Directivasset policy from trust to untrust any Paris any permitset policy from untrust to trust Paris any any permitsave

CLI (París)

1. Zonas de seguridad y enrutadores virtualesunset interface ethernet3 ipunset interface ethernet3 zoneset zone untrust vrouter untrust-vr




3. Direcciónset address untrust Tokyo 10.2.2.0/24

4. VPNset ike gateway “New York” address 1.1.1.1 outgoing-inte

preshare netscreen2 sec-level compatibleset vpn VPN2 gateway “New York” sec-level compatibleset vpn VPN2 bind interface tunnel.1set vpn VPN2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0


487

t3 gateway 3.3.3.250l.1


5. Rutasset vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vrset vrouter untrust-vr route 0.0.0.0/0 interface etherneset vrouter untrust-vr route 10.2.2.0/24 interface tunne

6. Directivasset policy from trust to untrust any Tokyo any permitset policy from untrust to trust Tokyo any any permitsave


488

Índice

IX-I

1uestas 11uestas, predefinidas 123uestas 13, 14uestas, predefinidas 14ital 24aquetes basada en directivas 88–89 basada en rutas 82–87 de entrada 85–87 de salida 83–85

ción IKE de grupoficados 276–287 previamente compartida 288–296oxy 14cidencia 81, 90s y NAT 203–2041, 126, 235E, Windows 200 328, 341cal, ASN1-DN 278mota, ASN1-DN 278tificación IKE 66–68, 75–76tificación IKE de grupo, container 280tificación IKE de grupo, wildcard 279e proxy 14

os 443sajes de saludo 443uestas de fase 1, predefinidas 12uestas de fase 2, predefinidas 14tas de enlace redundantes 441–459mendaciones de ID IKE 92

Juniper Networks NetScreen Concepts & Examples – Volume 5: VPNs

Índice

Símbolos3DES 8

AAES (Advanced Encryption Standard) 8AH 3, 7archivos MIB, importación 380asociación de seguridad

véase SAsataques

repetición 15autenticación

algoritmos 7, 66, 71, 75, 79

Ccarga de seguridad encapsulada

véase ESPcertificado local 30certificados 10

CA 26, 30carga 34local 30petición 31por correo electrónico 30revocación 29, 44

certificados de CA 26, 30Challenge Handshake Authentication Protocol

véase CHAPCHAP 311, 314clave manual 166, 177

administración 9clave previamente compartida 9, 235CLI

convenciones vicódigo de autenticación de mensajes basado en

hashvéase HMAC

comprobación contra reprocesamiento de paquetes 68, 76

confidencialidad directa perfectavéase PFS

conjuntos de caracteres compatibles con ScreenOS x

conjuntos de DIPinterfaces extendidas 203NAT para VPNs 203

container 280convenciones

CLI viilustración ixnombres xWebUI vii

CRL (lista de revocación de certificados) 28, 44carga 28

DDES 8Diffie-Hellman, grupos 13, 65, 69, 74, 77direcciones IP

extendidas 203directivas

VPNs bidireccionales 178DN (nombre completo) 275DNS

ajustes de L2TP 314

Eencabezado de autenticación

véase AHencriptación

algoritmos 8, 66, 70, 74, 79ESP 3, 7, 8

encriptación y autenticación 70, 78sólo autenticación 70sólo encriptación 70

FFase 1 1

propprop

Fase 2 1propprop

firma digflujo de p

VPNVPNVPNVPN

HHMAC 7

Iidentifica

certiclave

IDs de prcoinVPN

IKE 9, 11ID IKID loID reidenidenidenIDs dlatidmenpropproppuerreco

Índice

IX-II

eos de NAT 352–353versale NAT-Tn-Remotelocutor dinámico 244, 256ón NAT-T 351 AutoKey IKE 235

enciones xe encriptación de datose DES

nline Certificate Status Protocol) 44t 44idor de respuesta 44e reencriptación, supervisión de VPN 362 criptográficas 62–79so telefónico 72–79ritmos de autenticación 66, 71, 75, 79ritmos de encriptación 66, 70, 74, 79probación contra reprocesamiento de paquetes 68, 76-Hellman, grupos 65, 69, 74, 77 70, 78tificación IKE 66–68, 75–76itudes de bits de los certificados 65, 73dos de administración de claves 64o de transporte 78o de túnel 78os de fase 1 64, 73 68, 77colos IPSec 69, 78

o a punto 63–71mendaciones VPN de acceso telefónico 79mendaciones VPN punto a punto 71 de autenticación 64, 73

, 314aves pública/privada 27d Authentication Protocole PAP


usuario de identificación IKE compartida 297–306

usuario de identificación IKE de grupo 275–296

ilustraciónconvenciones ix

infraestructura de claves públicasvéase PKI

intercambio de claves de Internetvéase IKE

intercambio Diffie-Hellman 13interfaces

extendidas 203null 109

interfaz nula 109IPSec 3

AH 2, 69, 78ESP 2, 69, 78firma digital 24modo de transporte 4, 311, 317, 326modo de túnel 5negociación de túnel 11SAs 2, 10, 11, 14SPI 2túnel 2

Kkeepalive

frecuencia, NAT-T 357L2TP 322

LL2TP 307–348

autenticado del túnel Windows 2000 322bidireccional 311concentrador de accesos: véase LACconfiguración obligatoria 308configuración voluntaria 308desencapsulado 313encapsulado 312Keep Alive 322L2TP en solitario sobre Windows 2000 311modo de funcionamiento 311parámetros predeterminados 315

señal hello 322servidor de red: véase LNSservidor RADIUS 314servidor SecurID 314soporte de ScreenOS 311túnel 317Windows 2000 331

L2TP sobre IPSec 4, 317, 326bidireccional 311túnel 317

LAC 308NetScreen-Remote 5.0 308Windows 2000 308

Layer 2 Tunneling Protocolvéase L2TP

LNS 308

MMD5 7Message Digest versión 5

véase MD5MIP

VPNs 203modo de transporte 4, 311, 317, 326modo de túnel 5modo dinámico 12modo principal 12módulo 13

NNAT

IPSec y NAT 351servidores NAT 351

NAT-dstVPNs 203

NAT-srcVPNs 206

NAT-T 351–360frecuencia de mantenimiento de conexión 357habilitar 359iniciador y respondedor 358obstáculos para VPNs 354paquete IKE 354paquete IPSec 356

sondNAT-Tra

véasNetScree

interopciVPN

nombresconv

Norma dvéas

OOCSP (O

clienserv

opción dopciones

accealgoalgocom

DiffieESPidenlongmétomodmodmodPFSprotopuntreco

recotipos

PPAP 311par de clPasswor

véas

Índice

IX-III

adas en rutas 80–81

FQDN 187Key IKE 9das en rutas o basadas en directivas 80ejos de configuración 90–92-Hellman, grupos 13 1 11 2 13

de paquetes 82–89N para puerta de enlace 186–202os redundantes, procedimiento de recuperación 444os VPN 441e proxy, coincidencia 90

cambio Diffie-Hellman 13203

o dinámico 12o principal 12iples túneles por interfaz de túnel 381–437 para direcciones superpuestas 203–220-dst 203-src 206ones criptográficas 62–79cción contra reprocesamiento de paquetes 15tas de enlace redundantes 441–459 10rvisión y reencriptación de VPN 362l siempre activo 362

enciones vii279

tes de L2TP 314

rvisión de VPN 364


PFS 15, 68, 77PKI 26PPP 309propuestas

Fase 1 11, 90Fase 2 14, 90

protección contra reprocesamiento de paquetes 15protocolo punto a punto

véase PPPprotocolos

CHAP 311PAP 311PPP 309

puertas de enlace redundantes 441–459comprobación de flag TCP SYN 447procedimiento de recuperación 444

RRADIUS

L2TP 314RFC

(MD5)1321 72403 7

(SHA-1)2404 7

2104 72407 32408 3

ruta nula 109

SSAs 10, 11, 14

comprobación en flujo de paquetes 84SCEP (Simple Certificate Enrollment Protocol) 38Secure Hash Algorithm-1

véase SHA-1SecurID

L2TP 314Seguridad IP

véase IPSecSHA-1 7

SNMParchivos MIB, importación 380supervisión de VPN 380

supervisión de VPN 361–379cambios de estado 361, 366dirección de destino 363–367dirección de destino, XAuth 364directivas 365diseño de rutas 93interfaz de salida 363–367opción de reencriptación 362, 386peticiones de eco ICMP 380SNMP 380

Ttabla NHTB 381–387

asignación de rutas a túneles 382entradas automáticas 386entradas manuales 385esquema de direccionamiento 383

TCPcomprobación de flag SYN 447

Triple DESvéase 3DES

UUDP

encapsulación NAT-T 351suma de comprobación 357

usuario de identificación IKE de grupo 275–296certificados 276clave previamente compartida 288

usuariosidentificación IKE compartida 297–306identificación IKE de grupo 275–296

VVerisign 44VPN AutoKey IKE 9

administración 9VPN basada en directivas 80

VPN basVPNs

aliasAutobasaconsDiffieFaseFaseflujoFQDgrup

grupIDs dinterMIP modmodmúltNATNATNATopciprote

puerSAssupetúne

WWebUI

convwildcard WINS

ajus

XXAuth

supe

Índice

IX-IV

Documents

CE_v5_SP