Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5". Juniper Networks, Inc. has sales offices worldwide. For contact information, refer to www.juniper.net. 530-010089-01, Revision 1 A book with .25" spine would cut here. A book with 2.5" spine would cut here. Juniper Networks, Inc. Printed on recycled paper Juniper Networks, Inc. Guía de inicio al acceso remoto de NetScreen RA 500 Plataforma instantánea para extranet virtual de NetScreen A 1.25" spine would fold here. A 2.5" spine would fold here. Cover size is 8.3 x 10.75". This is the hardware version: has blue line and blue bar Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 USA Phone 408 745 2000 or 888 JUNIPER Fax 408 745 2100 ™ CORPORATE HEADQUARTERS M320 Internet Router Hardware Guide ™ M-series Routing Platforms www.juniper.net NetScreen-RA 500 de Juniper Networks Guía de inicio Versión 4.x Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 EE.UU. +1-408-745-2000 www.juniper.net Número de pieza: 093-1398-000-ES Juniper Networks, el logotipo de Juniper Networks, NetScreen, NetScreen Technologies, el logotipo de NetScreen, NetScreen-Global Pro, ScreenOS y GigaScreen son marcas comerciales registradas de Juniper Networks, Inc. en los Estados Unidos y en otros países. Juniper Networks, el logotipo de Juniper Networks, NetScreen, NetScreen Technologies, Neoteris, Neoteris-Secure Access, Neoteris-Secure Meeting, NetScreen-SA 1000, NetScreen-SA 3000, NetScreen-SA 5000, IVE, GigaScreen y el logotipo de NetScreen son marcas comerciales registradas de Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC y NetScreen ScreenOS son marcas comerciales de Juniper Networks, Inc. Todas las demás marcas comerciales y marcas comerciales registradas son propiedad de sus respectivas empresas. Copyright © 2001 D. J. Bernstein. Copyright © 1985-2003 por Massachusetts Institute of Technology. Reservados todos los derechos. Copyright © 2000 por Zero-Knowledge Systems, Inc. Copyright © 2001, Dr. Brian Gladman <[email protected]>, Worcester, Reino Unido. Reservados todos los derechos. Copyright © 1989, 1991 Free Software Foundation, Inc. Copyright © 1989, 1991, 1992 por Carnegie Mellon University. Derivative Work - 1996, 1998-2000. Copyright © 1996, 1998-2000 The Regents of the University of California. Reservados todos los derechos. Copyright © 1999-2001 The OpenLDAP Foundation, Redwood City, California, EE.UU. Reservados todos los derechos. Se autorizan la copia y la distribución de copias íntegras de este documento. Copyright © 1995 Tatu Ylonen <[email protected]>, Espoo, Finlandia. Reservados todos los derechos. Copyright © 1986 Gary S. Brown. Copyright © 1998 CORE SDI S.A., Buenos Aires, Argentina. Copyright © 1995, 1996 por David Mazieres <[email protected]>. Copyright © 1998-2002. The OpenSSL Project. Reservados todos los derechos. Copyright © 1989-2001, Larry Wall. Reservados todos los derechos. Copyright © 1989, 1991 Free Software Foundation, Inc. Copyright © 1996-2002 Andy Wardley. Reservados todos los derechos. Copyright © 1998-2002. Canon Research Centre Europe Ltd. Copyright © 1995-1998. Jean-loup Gailly y Mark Adler. Guía de inicio de NetScreen-RA 500 de Juniper Networks, versión 4.x Copyright © 2004, Juniper Networks, Inc. Reservados todos los derechos. Impreso en los EE.UU. Redactora: Carolyn A. Harding Editora: Dana Marcell Historial de revisiones 10 de julio de 2004 — Borrador Beta 26 de julio de 2004 — Borrador final Juniper Networks no asume responsabilidad alguna por cualquier imprecisión que contenga este documento. Juniper Networks se reserva el derecho a cambiar, modificar, transferir o revisar de cualquier otro modo esta publicación sin previo aviso. Contenido Parte 1 Instalación y configuración 1 Paso 1: Instalar el hardware .............................................................................3 Paso 2: Realizar la configuración básica ...........................................................4 Paso 3: Actualizar y registrar la licencia del NetScreen-RA 500 ........................7 Paso 4: Especificar la dirección IP para Network Connect ................................9 Paso 5: Verificar la accesibilidad de los usuarios ............................................11 Parte 2 Fundamentos de la administración de accesos 13 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500..................................................... 15 Definir una función de usuario ................................................................15 Definir una directiva de recursos .............................................................17 Definir un servidor de autenticación........................................................19 Definir un dominio de autenticación .......................................................21 Definir una directiva de inicio de sesión ..................................................24 Utilizar el supuesto de prueba.................................................................. 26 Ajustes predeterminados para administradores ............................................. 29 iii Guía de inicio al acceso remoto de NetScreen iv Parte 1 Instalación y configuración 1 Guía de inicio al acceso remoto de NetScreen 2 Gracias por elegir el dispositivo VPN SSL NetScreen-RA 500 de Juniper Networks. Puede instalar el NetScreen-RA 500 y empezar a configurar el sistema en cinco sencillos pasos: Paso 1: Instalar el hardware ......................................................................3 Paso 2: Realizar la configuración básica.....................................................4 Paso 3: Actualizar y registrar la licencia del NetScreen-RA 500.....................7 Paso 4: Especificar la dirección IP para Network Connect ............................9 Paso 5: Verificar la accesibilidad de los usuarios ......................................11 Recomendamos que instale el dispositivo NetScreen-RA 500 en su red de área local para asegurarse de que pueda comunicarse con los recursos correspondientes, es decir: Servidores de autenticación Servidores DNS Servidores web internos mediante HTTP/HTTPS Sitios web externos mediante HTTP/HTTPS (opcional) Puertas de enlace y enrutadores internos y externos (opcional) Servidores de archivos Windows (opcional) Servidores de archivos NFS (opcional) Aplicaciones cliente/servidor (opcional) Si decide instalar el dispositivo en una DMZ, cerciórese de que el NetScreen-RA 500 pueda conectarse a estos recursos. Las versiones francesa, alemana y japonesa de esta guía están disponible en el sitio web de Soporte Técnico. Paso 1: Instalar el hardware El NetScreen-RA 500 se suministra con argollas de montaje y pies de goma. Utilice las argollas de montaje para montar el dispositivo en bastidor, o instale los pies de goma si prefiere colocarlo sobre una superficie plana. A continuación, enciéndalo y conecte al equipo los cables incluidos siguiendo estas instrucciones: 1. En el panel trasero, enchufe el cable de alimentación en el receptáculo de CA. Paso 1: Instalar el hardware 3 Guía de inicio al acceso remoto de NetScreen 2. En el panel delantero: 1. Enchufe el cable Ethernet en el puerto derecho (marcado como “INTERNAL”). Este puerto utiliza dos LED para indicar el estado de la conexión, que se describe en la Tabla 1. 2. Empuje el conmutador de palanca en la esquina derecha una vez. El LED verde junto al conmutador de alimentación se enciende. 3. Enchufe el cable serie en el puerto serie. La instalación del hardware estará completa cuando conecte los cables de alimentación, red y serie al dispositivo y encienda el equipo. El paso siguiente es conectarse a la consola serie del dispositivo para introducir los ajustes básicos del equipo y de la red. Tabla 1: NetScreen-RA 500 — LEDs del puerto derecho Estado de la LAN LED 1 LED2 Conexión a 10 Mbps Apagado n/a Conexión a 100 Mbps Encendido n/a Transfiriendo datos Naranja o apagado Intermitente Sin conexión Apagado Apagado Paso 2: Realizar la configuración básica Tras arrancar un dispositivo NetScreen-RA 500 no configurado, debe introducir la información básica de la red y del equipo a través de la consola serie, para hacer el dispositivo accesible a la red. Después de introducir estos ajustes, puede continuar la configuración del NetScreen-RA 500 a través de la consola web del administrador. Esta sección describe la configuración requerida para la consola serie y las tareas que deben realizarse tras conectar el NetScreen-RA 500 por primera vez. Para realizar la configuración básica: 1. Configure una utilidad de terminal de consola o de emulación de terminal, como Hyperterminal, para que utilice estos parámetros de conexión serie: 9600 bits por segundo 1 bit de parada 8 bits sin paridad (8N1) Sin control de flujo 2. Conecte el terminal o el equipo al cable serie enchufado en el puerto serie del dispositivo y presione Intro hasta que el script de inicialización le pida información. 4 Paso 2: Realizar la configuración básica Guía de inicio al acceso remoto de NetScreen Figura 1: Pantalla de bienvenida de la consola serie del NetScreen-RA 500 3. Pulse y para proceder y luego y para aceptar los términos de la licencia (o bien r para leerla primero). 4. Introduzca la información de la configuración de Ethernet que se le solicite, incluyendo: Dirección IP del puerto interno (opcionalmente, configure el puerto externo a través de la consola web del administrador después de la configuración inicial) Máscara de red Dirección de la puerta de enlace predeterminada 5. Introduzca la información de DNS que le sea solicitada: Dirección del servidor DNS principal Dirección del servidor DNS secundario (opcional) Nombre de dominio DNS predeterminado (por ejemplo: miempresa.com) 6. Introduzca la información del servidor WINS que le sea solicitada (opcional). 7. Especifique un nombre de usuario y una contraseña para crear una cuenta de administrador. 8. Introduzca la información necesaria para crear un certificado de servidor web autofirmado, incluyendo un nombre común del equipo, por ejemplo connect.acme.com, el nombre de su empresa y un texto al azar. Los nombres común y de equipo se utilizan para crear un certificado digital autofirmado que se utiliza durante la evaluación del producto y la configuración inicial. Recomendamos encarecidamente que importe un certificado digital autofirmado expedido por una autoridad de certificación fiable (CA) antes de entregar el NetScreen-RA 500 para su uso en producción. Paso 2: Realizar la configuración básica 5 Guía de inicio al acceso remoto de NetScreen Después de introducir esta información, habrá completado la configuración de la consola serie. Cuando el NetScreen-RA 500 le pregunte si desea modificar sus ajustes, elija la opción apropiada o continúe. 9. En un explorador, introduzca la URL del equipo seguida de “/admin” para acceder a la página de inicio de sesión del administrador. La URL está en el formato: https://a.b.c.d/admin, donde a.b.c.d es la dirección IP del equipo que introdujo en el paso 4. Cuando aparezca el aviso de seguridad preguntando si desea proceder sin un certificado firmado, haga clic en Yes. Si aparece la página de inicio de sesión del administrador, significa que se habrá conectado correctamente su dispositivo NetScreen-RA 500 a la red. Si no puede alcanzar la página de inicio de sesión, regrese a la consola serie para comprobar los ajustes del equipo y de la red. Figura 2: Página de inicio de sesión del administrador 10. En la página de inicio de sesión, introduzca el nombre de usuario y la contraseña del administrador que creó en el paso 7 y, a continuación, haga clic en Sign In. Se abrirá la consola web del administrador en la página System>Status>Overview. Figura 3: Página System > Status > Overview 6 Paso 2: Realizar la configuración básica Guía de inicio al acceso remoto de NetScreen 11. Junto a System Date and Time, haga clic en Edit. En la página Date and Time, especifique la hora del equipo y haga clic en Save Changes. 12. Para cambiar opcionalmente la duración de la sesión de administrador (para no forzar un cierre de sesión por inactividad de la sesión durante más de diez minutos), elija Administrators>Delegation. En la página Delegated Admin Roles, haga clic en .Administrators, vinculado a las páginas de configuración de la función incorporada .Administrators. Para esta función: 1. Elija General>Session Options y, bajo Session lifetime, cambie los valores de temporización por inactividad y de duración máxima de la sesión. 2. Haga clic en Save Changes. Cuando termine esta configuración básica a través de las consolas serie y web, todo estará listo para instalar el Service Pack más actualizado y registrar la licencia del NetScreen-RA 500. Paso 3: Actualizar y registrar la licencia del NetScreen-RA 500 Antes de verificar la accesibilidad de los usuarios, recomendamos que actualice su NetScreen-RA 500 con el paquete de actualización (Service Pack) más reciente del sistema operativo, disponible en el sitio de Soporte Técnico de Juniper (http://www.juniper.net/support). Para acceder al sitio de soporte, deberá adquirir y activar un contrato de mantenimiento. Si no suscribe un contrato de mantenimiento, no tendrá acceso las versiones más recientes del software. Póngase en contacto con su distribuidor para obtener los detalles sobre cómo comprar un contrato de mantenimiento. Si aún no tiene un contrato de mantenimiento, inicie este procedimiento en el paso 3. Para actualizar y registrar la licencia del NetScreen-RA 500: 1. Obtenga* el paquete de actualización más reciente para el sistema operativo: 1. En un explorador web, introduzca la URL del sitio de soporte: http://www.juniper.net/support. 2. Conéctese al sitio de soporte utilizando sus correspondientes credenciales de cuenta. Se abrirá la página Customer Support Center. 3. En la sección Download Software, haga clic en el vínculo IVE Software para acceder a la página IVE OS Software. 4. Haga clic en el vínculo correspondiente a la versión deseada y, en la página web correspondiente, haga clic en el vínculo de descarga del paquete de actualización. Cuando se le pregunte, guarde el paquete en un directorio de red accesible al dispositivo NetScreen-RA 500. * Si no tiene un contrato de mantenimiento, salte al paso 3. Paso 3: Actualizar y registrar la licencia del NetScreen-RA 500 7 Guía de inicio al acceso remoto de NetScreen 2. Actualice* el paquete de actualización instalado en su NetScreen-RA 500: 1. En un explorador, introduzca la URL del equipo NetScreen-RA 500 seguida de “/admin” para acceder a la página de inicio de sesión del administrador. La URL está en el formato: https://a.b.c.d/admin, donde a.b.c.d es la dirección IP del equipo que introdujo en el paso 2-4 (página 5). Cuando aparezca el aviso de seguridad preguntando si desea proceder sin un certificado firmado, haga clic en Yes. 2. En la página de inicio de sesión del administrador, introduzca el nombre y la contraseña del administrador que creó en el paso 2-7 (página 5) y haga clic en Sign In. Se abrirá la consola web del administrador en la página System>Status>Overview. 3. Elija Maintenance>System>Upgrade/Downgrade. 4. En la página Install Service Package, navegue hasta el paquete de actualización que descargó anteriormente. Después de seleccionar el paquete, cuando el nombre del archivo aparezca en el campo Service package to install, haga clic en Install Now. El NetScreen-RA 500 transferirá el paquete de actualización desde el directorio de red y comenzará a instalarlo. El proceso puede durar varios minutos. Puede supervisar el estado a través de la consola web o de la consola serie. Cuando el NetScreen-RA 500 acabe de instalar el paquete de actualización, el sistema se reiniciará. Cuando el NetScreen-RA 500 se haya reiniciado, vuelva a iniciar una sesión en la consola web del administrador para introducir la licencia del sistema. 3. Instale la licencia del producto en el dispositivo NetScreen-RA 500: 1. Si aún no ha iniciado una sesión en la consola web, introduzca la URL del NetScreen-RA 500 seguida por “/admin” para acceder a la página de inicio de sesión del administrador. La URL está en el formato: https://a.b.c.d/admin, donde a.b.c.d es la dirección IP del equipo que introdujo en el paso 2-4 (página 5). Cuando aparezca el aviso de seguridad preguntando si desea proceder sin un certificado firmado, haga clic en Yes. 2. Elija System>Configuration>Licensing. En la página Licensing: 8 a. En el campo Company Name or ID, introduzca la identificación de licencia (License ID) especificada en la tarjeta de clave de licencia (License Key Card) incluida en el paquete del producto. b. En el campo License Key(s), introduzca la clave de licencia especificada en la tarjeta de clave de licencia incluida en el paquete del producto. c. Haga clic en Save Changes. La información de su código de licencia aparecerá en la página Licensing y el sistema le pedirá que cree una directiva de conjunto de direcciones IP de Network Connect (Network Connect IP Address Pool). Paso 3: Actualizar y registrar la licencia del NetScreen-RA 500 Guía de inicio al acceso remoto de NetScreen Figura 4: Página System > Configuration > Licensing Cuando haya actualizado y registrado la licencia de su NetScreen-RA 500, podrá especificar la dirección IP para Network Connect. Paso 4: Especificar la dirección IP para Network Connect Cuando Network Connect se ejecuta en un equipo de usuario, todo el tráfico hacia y desde el cliente se transmite a través de un túnel Network Connect seguro. Este túnel se encuentra entre un proceso del lado del servidor y el agente del lado del cliente, cada uno de los cuales requiere una dirección IP. Especifique una dirección IP para el proceso Network Connect del lado del servidor que se utilizará en todas las sesiones de usuario de Network Connect. Cuando el dispositivo NetScreen-RA 500 reciba una petición de cliente para iniciar una sesión de Network Connect, asignará una dirección IP al agente Network Connect del lado del cliente desde una directiva de recursos de conjunto de direcciones IP de Network Connect (Network Connect IP Address Pool). El dispositivo NetScreen-RA 500 asignará estas direcciones IP basándose en la directiva de conjunto de direcciones IP aplicable a una función de usuario. Una función de usuario es una entidad que permite definir parámetros de sesión y ajustes de personalización para usuarios, y también habilita la funcionalidad de acceso Network Connect. El NetScreen-RA 500 asigna a cada usuario autenticado una o más funciones. Las opciones de sesión y las directivas de recursos de Network Connect especificadas para las funciones definen los recursos y conjuntos de direcciones IP accesibles. Para obtener más información sobre funciones (roles), consulte “Definir una función de usuario” en la página 15. Para especificar la dirección IP para Network Connect: 1. En la consola web, elija Resource Policies>Network Connect>IP Address Pools. 2. En la página Network Connect IP Address Policies, haga clic en New Policy. Paso 4: Especificar la dirección IP para Network Connect 9 Guía de inicio al acceso remoto de NetScreen 3. En la página New Policy, introduzca: Un nombre para identificar esta directiva. Una descripción de la directiva (opcional). 4. En la sección Resources, especifique las direcciones IP concretas o un rango de direcciones IP que el dispositivo NetScreen-RA 500 asignará a los clientes que ejecuten el servicio Network Connect. Puede especificar un rango de direcciones IP como “a.b.c.d-e”, donde el último componente de la dirección IP corresponde a un rango delimitado por un guión (-). No se permiten caracteres especiales. Ejemplo: 10.10.10.1-100 5. En la sección Roles, especifique: Policy applies to ALL roles — Para aplicar esta directiva a todos los usuarios. Policy applies to SELECTED roles — Para aplicar esta directiva sólo a los usuarios asignados a funciones en la lista de funciones Selected. Asegúrese de agregar funciones a esta lista desde la lista de funciones Available. Policy applies to all roles OTHER THAN those selected below — Para aplicar esta directiva a todos los usuarios, salvo los asignados a las funciones de la lista Selected. Asegúrese de agregar funciones a esta lista desde la lista de funciones Available. Para obtener información sobre funciones de usuario, consulte “Definir una función de usuario” en la página 15. 6. Haga clic en Save Changes. 7. Elija System>Network>Network Connect. 8. Bajo Network Connect Server IP Address, introduzca una dirección IP para el proceso Network Connect del lado del servidor, que se utilizará en todas las sesiones de usuario de Network Connect. Cerciórese de que la dirección IP pertenezca a la misma subred que alguna de sus directivas de recursos de conjunto de direcciones IP (IP Address Pool). Ejemplo: 10.10.10.200 9. Haga clic en Save. Después de crear una directiva de recursos Network Connect IP Address Pool para procesos del lado del cliente y especificar una dirección IP para el proceso del lado del servidor, podrá verificar la accesibilidad de los usuarios. 10 Paso 4: Especificar la dirección IP para Network Connect Guía de inicio al acceso remoto de NetScreen Paso 5: Verificar la accesibilidad de los usuarios Puede crear fácilmente una cuenta de usuario en el servidor de autenticación del sistema para verificar la accesibilidad de ese usuario a su NetScreen-RA 500. Un servidor de autenticación es una base de datos que almacena las credenciales de los usuarios (nombre y contraseña) y, normalmente, información sobre el grupo y atributos. El NetScreen-RA 500 reenvía las credenciales del usuario a un servidor de autenticación para verificar su identidad. El NetScreen-RA 500 viene preconfigurado con un servidor de autenticación local para usuarios llamado “System Local”. Este servidor de autenticación local predefinido es una base de datos en el NetScreen-RA 500 que permite crear rápidamente cuentas de usuario para su autenticación. Después de crear la cuenta a través de la consola web del administrador, inicie una sesión como usuario en la página de inicio de sesión de usuarios del NetScreen-RA 500. Para obtener más información sobre servidores de autenticación, consulte “Definir un servidor de autenticación” en la página 19. Para verificar la accesibilidad de los usuarios: 1. En la consola web del administrador, elija Users>New User. 2. En la página New Local User, escriba “testuser1” como nombre de usuario y una contraseña; luego haga clic en Save Changes. El NetScreen-RA 500 creará la cuenta “testuser1”. 3. En otra ventana del explorador, introduzca la URL del equipo para acceder a la página de inicio de sesión de usuarios. La URL está en el formato: https://a.b.c.d, donde a.b.c.d es la dirección IP del equipo que introdujo en el paso 2-7. Cuando aparezca el aviso de seguridad preguntando si desea proceder sin un certificado firmado, haga clic en Yes. Si aparece la página de inicio de sesión del usuario, significa que se habrá conectado correctamente a su dispositivo NetScreen-RA 500. Figura 5: Página de inicio de sesión de usuario 4. En la página de inicio de sesión, introduzca el nombre de usuario y la contraseña que creó para esa cuenta y haga clic en Sign In para lanzar la sesión de Network Connect y acceder a la página inicial de usuario del dispositivo NetScreen-RA 500. Al comenzar la sesión de Network Connect, aparece una ventana de estado (Figura 6 en la página 12). Paso 5: Verificar la accesibilidad de los usuarios 11 Guía de inicio al acceso remoto de NetScreen 5. Abra una aplicación cliente/servidor, como Microsoft Outlook, y observe los campos Sent y Received en la ventana Network Connect Status para comprobar si Network Connect está interceptando y transfiriendo datos de la aplicación. Figura 6: Ventana Network Connect Status Figura 7: Página inicial del usuario del NetScreen-RA 500 Después de verificar la accesibilidad de los usuarios, regrese a la consola web del administrador y prosiga con la parte 2 de esta guía, que presenta el sistema de administración de accesos del NetScreen-RA 500. 12 Paso 5: Verificar la accesibilidad de los usuarios Parte 2 Fundamentos de la administración de accesos 13 Guía de inicio al acceso remoto de NetScreen 14 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 El NetScreen-RA 500 es un sistema flexible de administración de accesos que facilita la personalización de los accesos remotos de un usuario mediante la utilización de funciones (roles), directivas de recursos, servidores de autenticación, dominios de autenticación y directivas de inicio de sesión. Para que pueda comenzar a trabajar rápidamente con estas entidades, NetScreen-RA 500 se suministra de fábrica con ajustes predeterminados para cada una de ellas. Esta sección describe estos preajustes del sistema y muestra cómo crear cada entidad de administración de accesos mediante las siguientes tareas: Definir una función de usuario .................................................................15 Definir una directiva de recursos..............................................................17 Definir un servidor de autenticación .........................................................19 Definir un dominio de autenticación .........................................................21 Definir una directiva de inicio de sesión ...................................................24 Para obtener información sobre cómo configurar las características de seguridad del nodo final, incluyendo las funciones Host Checker y Cache Cleaner, consulte la ayuda en línea, accesible desde el vínculo Help de la consola web del administrador. El NetScreen-RA 500 reconoce dos tipos de usuarios: Administrators (administradores) — Un administrador es una persona que puede ver y modificar los ajustes de configuración del NetScreen-RA 500. Creará la primera cuenta de administrador a través de la consola serie. Users (usuarios) — Un usuario es una persona que utiliza el NetScreen-RA 500 para acceder a los recursos corporativos de acuerdo con la configuración definida por un administrador. Creará la primera cuenta de usuario (testuser1) en el “Paso 5: Verificar la accesibilidad de los usuarios” en la página 11. El siguiente supuesto de prueba se centra en utilizar los elementos de administración de accesos del NetScreen-RA 500 para configurar los parámetros de acceso de un usuario. Para obtener información sobre los ajustes predeterminados del sistema para administradores, consulte “Ajustes predeterminados para administradores” en la página 29. Definir una función de usuario Una función de usuario es una entidad que permite definir parámetros de sesión y ajustes de personalización para usuarios, y también habilita la funcionalidad de acceso Network Connect. El NetScreen-RA 500 asigna a cada usuario autenticado una o más funciones. Las opciones de sesión y las directivas de recursos de Network Connect especificadas para estas funciones definen a qué tipos de recursos puede acceder el usuario durante la sesión de NetScreen-RA 500. Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 15 Guía de inicio al acceso remoto de NetScreen El NetScreen-RA 500 se suministra preconfigurado con una función de usuario llamada “Users”. Esta función predefinida habilita la funcionalidad Network Connect, permitiendo a cualquier usuario asignado a la función “Users” acceder a su red corporativa. Puede ver esta función en la página Users>Roles. Para definir una función de usuario: 1. En la consola web del administrador, elija Users>Roles. 2. En la página Roles, haga clic en New Role. 3. En la página New Role, escriba “Test Role” en el campo Name, asegúrese de que la opción Network Connect bajo Access Features esté activada y haga clic en Save Changes. El NetScreen-RA 500 creará la función y mostrará las correspondientes fichas de configuración. Para obtener información sobre cómo configurar estas fichas, consulte la ayuda en línea. Una vez completados estos pasos, habrá definido una función de usuario. Cuando cree directivas de recursos, podrá aplicarlas a esta función. También podrá asignar usuarios a esta función mediante reglas de asignación definidas para un dominio de autenticación. Figura 8: Página Users > Roles > New Role 16 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 Guía de inicio al acceso remoto de NetScreen Definir una directiva de recursos Una directiva de recursos es una regla del sistema que especifica: Los recursos a los que debe aplicarse la directiva (por ejemplo, conjuntos de direcciones IP y servidores de aplicaciones, web y archivos), Los usuarios a los que debe aplicarse la directiva (especificados mediante funciones y otras variables de la sesión), y Si el NetScreen-RA 500 debe conceder acceso a un recurso o habilita una opción de configuración. El NetScreen-RA 500 viene preconfigurado con una directiva de control de acceso a conexión de red (Network Connect Access Control), que permite a todos los usuarios acceder a la red corporativa. Puede ver la directiva predeterminada Network Connect Access Control en la página Resource Policies>Network Connect>Network Connect Access Control. Para definir una directiva de recursos: 1. En la consola web del administrador, elija Resource Policies>Network Connect>Network Connect Access Control. 2. En la página Network Connect Access Policies, haga clic en New Policy. 3. En la página New Policy: 1. En el campo Name, escriba: Test NC Access 2. En el campo Resources, introduzca un servidor web corporativo en el siguiente formato: protocolo://IP:Puerto Ejemplo: tcp://10.10.10.220:80 3. Bajo Roles, active Policy applies to SELECTED roles y seleccione “Test Role” en el campo Available Roles; a continuación, haga clic en Add para moverlo al campo Selected Roles. 4. Bajo Action, seleccione Deny access. 5. Haga clic en Save Changes. El NetScreen-RA 500 agrega “Test NC Access” a la página Network Connect Access Policies. 4. En la página Network Connect Access Policies, haga clic en la casilla de verificación junto a “Test NC Access” en la lista Policies. El NetScreen-RA 500 resalta la fila de la tabla en amarillo. Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 17 Guía de inicio al acceso remoto de NetScreen 5. Haga clic en la flecha ascendente en la parte superior de la página para mover la fila “Test NC Access” por encima de la fila integrada “Initial Network Connect Policy” y, a continuación, haga clic en Save Changes. El NetScreen-RA 500 procesa las directivas de recursos por orden, comenzando por la primera directiva de la lista. Para asegurarse de que el NetScreen-RA 500 aplique las restricciones de recursos correspondientes a los usuarios, ordene las directivas de la lista en función de su nivel de restricción, colocando la directiva más restrictiva en el primer puesto de la lista. Una vez completados estos pasos, habrá configurado una directiva de recursos de control de acceso a conexiones de red. Observe que, aunque la siguiente directiva de la lista Network Connect Access Policies permite a todos los usuarios acceder a todos los recursos de red, los usuarios asignados a Test Role siguen teniendo prohibido el acceso al servidor especificado, ya que cumplen las condiciones de la primera directiva, Test NC Access, que tiene prioridad sobre la siguiente. Figura 9: Resource Policies > Network Connect > Network Connect Access Control > New Policy 18 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 Guía de inicio al acceso remoto de NetScreen Figura 10: Resource Policies > Network Connect > Network Connect Access Policies — Cambiar la orden de las directivas Definir un servidor de autenticación Un servidor de autenticación es una base de datos que almacena las credenciales de los usuarios (nombre y contraseña) y, normalmente, información sobre el grupo y atributos. Cuando un usuario se conecta al NetScreen-RA 500, debe especificar un dominio de autenticación, que está asociado a un servidor de autenticación. El NetScreen-RA 500 reenvía las credenciales del usuario a este servidor de autenticación para verificar su identidad. El NetScreen-RA 500 admite los servidores de autenticación más comunes, como Windows NT Domain, Active Directory, RADIUS, LDAP, NIS, RSA ACE/Server y Netegrity SiteMinder, lo que permite crear una o más bases de datos locales de usuarios que reciben la autenticación del NetScreen-RA 500. El NetScreen-RA 500 viene preconfigurado con un servidor de autenticación local para usuarios llamado “System Local”. Este servidor de autenticación local predefinido es una base de datos del NetScreen-RA 500 que permite crear rápidamente cuentas del usuario para su autenticación. Esta funcionalidad proporciona la flexibilidad necesaria para realizar pruebas y para permitir el acceso a terceros, eliminando la necesidad de crear cuentas de usuario en un servidor de autenticación externo. Puede ver el servidor de autenticación local predeterminado en la página System>Signing In> Authentication/Authorization Servers . El NetScreen-RA 500 también es compatible con servidores de autorizaciones. Un servidor de autorizaciones (o servidor de directorios) es una base de datos que almacena información sobre los atributos de los usuarios y grupos. Puede configurar un dominio de autenticación de modo que utilice un servidor de directorios con el fin de consultar atributos del usuario o información del grupo, que se utilizarán en las reglas y directivas de recursos durante la asignación de funciones. Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 19 Guía de inicio al acceso remoto de NetScreen Para definir un servidor de autenticación: 1. En la consola web del administrador, elija System>Signing In>Servers. 2. En la página Servers, elija IVE Authentication en la lista New y haga clic en New Server. 3. En la página New IVE Authentication, escriba “Test Server” en el campo Name y haga clic en Save Changes. Espere a que el NetScreen-RA 500 notifique que los cambios se han guardado, después de lo cual aparecerán fichas de configuración adicionales. 4. Haga clic en la ficha Users y luego en New. 5. En la página New Local User, escriba “testuser2” en el campo Username, escriba una contraseña y haga clic en Save Changes para crear la cuenta del usuario en el servidor de autenticación Test Server. Una vez completados estos pasos, habrá creado un servidor de autenticación que contendrá una cuenta de usuario. Este usuario podrá conectarse a un dominio de autenticación que utilice el servidor de autenticación Test Server. Figura 11: System > Signing In > Servers > New Server Figura 12: System > Signing In > Servers > Test Server > New User 20 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 Guía de inicio al acceso remoto de NetScreen Figura 13: System > Signing In > Servers Definir un dominio de autenticación Un dominio de autenticación es una agrupación de recursos de autenticación, a saber: Un servidor de autenticación, que verifica la identidad del usuario. El NetScreen-RA 500 reenvía las credenciales enviadas desde la página de inicio de sesión a un servidor de autenticación. Una directiva de autenticación, que especifica qué requisitos de seguridad del dominio deberán cumplirse para que el NetScreen-RA 500 envíe las credenciales a un servidor de autenticación para su verificación. Un servidor de directorios, que es un servidor LDAP que proporciona información de atributos de usuario y de grupo al NetScreen-RA 500 para su utilización en las reglas y directivas de recursos durante la asignación de funciones (opcional). Reglas de asignación de funciones, que son condiciones que un usuario debe satisfacer para que el NetScreen-RA 500 asigne el usuario a unas o más funciones. Estas condiciones se basan en la información devuelta por el servidor de directorios del dominio, el nombre de usuario de la persona o los atributos del certificado. El NetScreen-RA 500 se suministra preconfigurado con un dominio de usuarios llamado “Users”. Este dominio predefinido utiliza el servidor de autenticación System Local, una directiva de autenticación que requiere una longitud de contraseña mínima de cuatro caracteres, no utiliza servidor de directorios, y contiene una regla de asignación de funciones que asigna el dominio Users y la función Users a todos los usuarios que inicien una sesión. La cuenta “testuser1” que se creó en el “Paso 5: Verificar la accesibilidad de los usuarios” en la página 11 forma parte del dominio Users, porque se creó en el servidor de autenticación System Local. La cuenta “testuser2” creada en “Definir un servidor de autenticación” en la página 19 no forma parte del dominio Users, porque se creó en el nuevo servidor de autenticación “Test Server”, que ese dominio no utiliza. Puede ver el dominio de autenticación de usuarios predeterminado en la página Users>Authentication. Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 21 Guía de inicio al acceso remoto de NetScreen Para definir un dominio de autenticación: 1. En la consola web del administrador, elija Users>Authentication. 2. En la página User Authentication Realms, haga clic en New. 3. En la página New Authentication Realm: 1. En el campo Name, escriba: Test Realm 2. Bajo Servers, elija “Test Server” en la lista Authentication server. 3. Haga clic en Save Changes. Espere a que el NetScreen-RA 500 le notifique que los cambios han sido guardados y a que aparezcan las fichas de configuración del dominio. 4. En la ficha Role Mapping, haga clic en New Rule. 5. En la página Role Mapping Rule: 1. En el campo Name, escriba: Test Rule 2. Bajo Rule: If username..., escriba “testuser2” en el campo del valor. 3. Bajo ...then assign these roles, elija “Test Role” en el campo Available Roles y haga clic en Add para moverlo al campo Selected Roles. 4. Haga clic en Save Changes. Una vez completados estos pasos, habrá terminado de crear un dominio de autenticación. Este dominio utiliza Test Server para autenticar usuarios y una regla de asignación de función que asigna “testuser2” a la función Test Role. Dado que Test Role cumple la directiva de recursos Test NC Access, cualquier usuario asignado a esta función puede acceder al servidor web corporativo especificado en el campo Resources de la directiva. Figura 14: Users > Authentication > New Realm 22 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 Guía de inicio al acceso remoto de NetScreen Figura 15: Users > Authentication > Test Server > New Rule Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 23 Guía de inicio al acceso remoto de NetScreen Definir una directiva de inicio de sesión Una directiva de inicio de sesión es una regla del sistema que especifica: La URL en la que un usuario puede iniciar una sesión en el NetScreen-RA 500, Una página de inicio de sesión que mostrar al usuario, Si el usuario debe o no escribir o seleccionar un dominio de autenticación al que el NetScreen-RA 500 envía credenciales, y Los dominios de autenticación a los que la directiva es aplicable. El NetScreen-RA 500 se suministra preconfigurado con una directiva de inicio de sesión aplicable a los usuarios: */. Esta directiva predeterminada de inicio de sesión de usuarios (*/) especifica que cuando un usuario introduce la URL del NetScreen-RA 500, el NetScreen-RA 500 muestra la página predeterminada de inicio de sesión y exige al usuario seleccionar un dominio de autenticación (si existe más de uno). La directiva */ de inicio de sesión está configurada para ser aplicable al dominio de autenticación Users, por lo que esta directiva de inicio de sesión no es aplicable al dominio de autenticación creado en “Definir un dominio de autenticación” en la página 21. Puede ver la directiva predeterminada de inicio de sesión de usuarios en la página System>Signing In>Sign-in Policies. La directiva predeterminada de inicio de sesión es aplicable a todos los usuarios. Puede modificar la URL de la página de inicio de sesión de usuarios del NetScreen-RA 500 agregando a la ruta, por ejemplo: */employees Para definir una directiva de inicio de sesión: 1. En la consola web del administrador, elija System>Signing In>Sign-in Policies. 2. En la página Sign-in Policies, haga clic en */. 3. En la página */ : 1. En el campo Sign-in URL, escriba “test” después de “*/.” 2. Bajo Authentication realm, seleccione User picks from a list of authentication realms y luego “Test Realm” en el campo Available Roles; a continuación, haga clic en Add para moverlo al campo Selected Roles. (Repita este proceso para la función Users si aún no se encuentra en el campo Selected Roles). 3. Haga clic en Save Changes. Una vez completados estos pasos, habrá terminado de modificar la directiva predeterminada de inicio de sesión de usuarios. Opcional: 1. Elija System>Signing In>Sign-in Pages y haga clic en New Page. 24 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 Guía de inicio al acceso remoto de NetScreen 2. En la página New Sign-In Page, escriba “Test Sign-in Page” en el campo Name, escriba “#FF0000” (rojo) en el campo Background color y haga clic en Save Changes. 3. Elija System>Signing In>Sign-in Policies y haga clic en */test/ bajo User URLs. 4. En la página */test/, elija “Test Sign-in Page” en la lista Sign-in page y haga clic en Save Changes. Después de completar estos pasos opcionales, habrá terminado de definir una nueva página de inicio de sesión asociada a la directiva de inicio de sesión “*/test/”. Figura 16: System > Signing In > Sign-in Policies > */ Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 25 Guía de inicio al acceso remoto de NetScreen Figura 17: System > Signing In > Sign-in Pages > New Page — Página nueva opcional Sign-in Figura 18: System > Signing In > Sign-in Policies > */test/ — Usar la página nueva Sign-in Utilizar el supuesto de prueba El supuesto de prueba le permite: Acceder a la consola web del usuario utilizando la directiva predeterminada modificada de inicio de sesión Iniciar una sesión en el dominio Test Realm como el usuario creado en Test Server Comprobar su acceso al servidor web, que depende de una configuración correcta de Test Role y Test NC Access Para utilizar el supuesto de prueba: 1. En un explorador, introduzca la URL del equipo seguida de “/test” para acceder a la página de inicio de sesión del usuario. La URL está en el formato: https://a.b.c.d/test, donde a.b.c.d es la dirección IP del equipo que introdujo en el paso 2-4. Cuando aparezca el aviso de seguridad preguntando si proceder sin un certificado firmado, haga clic en Yes. Si aparece la página de inicio de sesión del usuario, significa que se habrá conectado correctamente a su dispositivo NetScreen-RA 500. 26 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 Guía de inicio al acceso remoto de NetScreen Figura 19: Página de inicio de sesión de usuario Si realizó los pasos de configuración opcionales de “Definir una directiva de inicio de sesión” en la página 24, el color del encabezado de la página será rojo. 2. En la página de inicio de sesión, escriba “testuser2” y la contraseña creada para esa cuenta de usuario en Test Server, seleccione “Test Realm” en la lista Realm y haga clic en Sign In para acceder a la página inicial de NetScreen-RA 500 para usuarios. El NetScreen-RA 500 reenviará las credenciales a Test Realm, configurado para utilizar Test Server. Tras la verificación correcta por parte de este servidor de autenticación, el dispositivo NetScreen-RA 500 procesa la regla de asignación de función definida para Test Realm, que asigna “testuser2” a la función Test Role. Test Role deniega el acceso al servidor web corporativo que especificó anteriormente en la directiva de recursos Network Connect Access Control bajo “Definir una directiva de recursos” en la página 17. Figura 20: Página inicial del usuario 3. Haga clic en el icono Network Connect en la bandeja del sistema para abrir la ventana Network Connect Status (si aún no está visible). Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 27 Guía de inicio al acceso remoto de NetScreen Figura 21: Icono de la bandeja del sistema y ventana de estado de Network Connect 4. En otra ventana del explorador, introduzca la URL del servidor web corporativo especificado en su directiva de recursos personalizada Network Connect Access Control y, a continuación, haga clic en Browse. El número de bytes en el campo Sent de la ventana Network Connect Status cambia, indicando que Network Connect está atendiendo la petición del web. Dado que la directiva Test NC Access deniega el acceso al servidor solicitado, el explorador muestra el error “The page cannot be displayed”. 5. Regrese a la página inicial del NetScreen-RA 500 y haga clic en Sign Out. 6. En el explorador, introduzca de nuevo la URL del equipo NetScreen-RA 500 seguida de “/test” para acceder a la página de inicio de sesión del usuario. 7. En la página de inicio de sesión, escriba “testuser1” y la contraseña que creó para este usuario (durante el “Paso 5: Verificar la accesibilidad de los usuarios” en la página 11), seleccione “Users” en la lista Realm y haga clic en Sign In para acceder a la página inicial de usuarios del NetScreen-RA 500. 8. Haga clic en el icono Network Connect en la bandeja del sistema para abrir la ventana Network Connect Status (si aún no está visible). 9. En otra ventana del explorador, introduzca la URL del servidor web corporativo especificado en su directiva de recursos personalizada Network Connect Access Control y, a continuación, haga clic en Browse. El número de bytes en el campo Sent de la ventana Network Connect Status cambia, indicando que Network Connect está atendiendo la petición del web. Dado que la directiva Test NC Access no es aplicable a “testuser1”, el explorador muestra la página web solicitada. Este supuesto de prueba demuestra las capacidades de administración de accesos del NetScreen-RA 500. Para obtener más información sobre las funciones de administración de accesos o las características de seguridad del NetScreen-RA 500 en el nodo final, le recomendamos leer la ayuda en línea. 28 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con NetScreen-RA 500 Guía de inicio al acceso remoto de NetScreen Cuando configure el NetScreen-RA 500 para su empresa, le recomendamos que configure los accesos de usuarios en el orden presentado en esta sección. Para obtener información detallada sobre la configuración, consulte la ayuda en línea o el archivo PDF de la guía de administración, disponible en nuestro sitio web de Soporte Técnico. Antes de poner su NetScreen-RA 500 disponible para las ubicaciones externas, recomendamos que importe un certificado de firma digital de una autoridad de certificación fiable (CA). Ajustes predeterminados para administradores Igual que para los usuarios, el NetScreen-RA 500 proporciona ajustes predeterminados que permiten configurar rápidamente cuentas de administradores. Esta lista resume los ajustes predeterminados del sistema para los administradores: Funciones de administrador .Administrators — Esta función integrada permite a los administradores administrar todos los aspectos del NetScreen-RA 500. El usuario administrador que creó en la consola serie está asignado a esta función. .Read-Only Administrators — Esta función integrada permite a usuarios asignados a la función ver (pero no configurar) todos los ajustes del NetScreen-RA 500. Si desea restringir los accesos de los administradores, deberá asignarles a esta función. Administrators local authentication server (El servidor de autenticación Administrators) — El servidor de autenticación Administrators es una base de datos de NetScreen-RA 500 en la que se almacenan cuentas de administradores. La primera cuenta de administrador en este servidor se crea a través de la consola serie. (El NetScreen-RA 500 agrega a este servidor todas las cuentas de administrador creadas a través de la consola serie). No puede eliminar este servidor local. Admin Users authentication realm (El dominio de autenticación Admin Users) — El dominio de autenticación Admin Users utiliza el servidor de autenticación predeterminado Administrators, una directiva de autenticación que requiere una longitud mínima de contraseña de cuatro caracteres, ningún servidor de directorios y contiene una regla de asignación de función que asigna a todos los usuarios que inicien una sesión en el dominio Admin Users a la función .Administrators. La cuenta de administrador que creó en la consola serie es parte del dominio Admin Users. Ajustes predeterminados para administradores 29 Guía de inicio al acceso remoto de NetScreen 30 Directiva de inicio de sesión */admin — La directiva predeterminada de inicio de sesión (*/admin) especifica que cuando un usuario introduce la URL del NetScreen-RA 500 seguida de “/admin,” el NetScreen-RA 500 muestra la página predeterminada de inicio de sesión para administradores. Esta directiva también obliga al administrador a seleccionar un dominio de autenticación (si existe más de uno). La directiva de inicio de sesión */admin está configurada para ser aplicable al dominio de autenticación Admin Users, por lo que esta directiva de inicio de sesión es aplicable a la cuenta de administrador creada a través de la consola serie. Ajustes predeterminados para administradores Allows for variable-width spine. Assume for now that spine is 1.25" wide; maximum spine width is 2.5". Juniper Networks, Inc. tiene oficinas de ventas en todo el mundo. Si desa ponerse en contacto con nosotros, visite www.juniper.net. 093-1398-000-ES A book with .25" spine would cut here. A book with 2.5" spine would cut here. Juniper Networks, Inc. Impreso en papel reciclado Juniper Networks, Inc. A 1.25" spine would fold here. A 2.5" spine would fold here. NetScreen Secure Access NetScreen Secure Access FIPS Quick Start NetScreen Instant Virtual Extranet Platform Cover size is 8.3 x 10.75". This is the hardware version: has blue line and blue bar Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 EE.UU. Tel. 408 745 2000 Fax 408 745 2100 ™ SEDE CENTRAL M320 Internet Router Hardware Guide ™ M-series Routing Platforms www.juniper.net