NetScreen conceptos y ejemplos: Volumen 5 ... - Juniper Networks
NetScreen conceptos y ejemplos: Volumen 5 ... - Juniper Networks
NetScreen conceptos y ejemplos: Volumen 5 ... - Juniper Networks
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong><br />
Manual de referencia de ScreenOS<br />
<strong>Volumen</strong> 5: VPNs<br />
ScreenOS 5.1.0<br />
Ref. 093-1370-000-SP<br />
Revisión B
Copyright Notice<br />
Copyright © 2004 <strong>Juniper</strong> <strong>Networks</strong>, Inc. All rights reserved.<br />
<strong>Juniper</strong> <strong>Networks</strong>, the <strong>Juniper</strong> <strong>Networks</strong> logo, <strong>NetScreen</strong>, <strong>NetScreen</strong><br />
Technologies, GigaScreen, and the <strong>NetScreen</strong> logo are registered trademarks<br />
of <strong>Juniper</strong> <strong>Networks</strong>, Inc. <strong>NetScreen</strong>-5GT, <strong>NetScreen</strong>-5XP, <strong>NetScreen</strong>-5XT,<br />
<strong>NetScreen</strong>-25, <strong>NetScreen</strong>-50, <strong>NetScreen</strong>-100, <strong>NetScreen</strong>-204, <strong>NetScreen</strong>-208,<br />
<strong>NetScreen</strong>-500, <strong>NetScreen</strong>-5200, <strong>NetScreen</strong>-5400, <strong>NetScreen</strong>-Global PRO,<br />
<strong>NetScreen</strong>-Global PRO Express, <strong>NetScreen</strong>-Remote Security Client,<br />
<strong>NetScreen</strong>-Remote VPN Client, <strong>NetScreen</strong>-IDP 10, <strong>NetScreen</strong>-IDP 100,<br />
<strong>NetScreen</strong>-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and <strong>NetScreen</strong><br />
ScreenOS are trademarks of <strong>Juniper</strong> <strong>Networks</strong>, Inc. All other trademarks and<br />
registered trademarks are the property of their respective companies.<br />
Information in this document is subject to change without notice.<br />
No part of this document may be reproduced or transmitted in any form or by<br />
any means, electronic or mechanical, for any purpose, without receiving written<br />
permission from:<br />
<strong>Juniper</strong> <strong>Networks</strong>, Inc.<br />
ATTN: General Counsel<br />
1194 N. Mathilda Ave.<br />
Sunnyvale, CA 94089-1206<br />
FCC Statement<br />
The following information is for FCC compliance of Class A devices: This<br />
equipment has been tested and found to comply with the limits for a Class A<br />
digital device, pursuant to part 15 of the FCC rules. These limits are designed to<br />
provide reasonable protection against harmful interference when the equipment<br />
is operated in a commercial environment. The equipment generates, uses, and<br />
can radiate radio-frequency energy and, if not installed and used in accordance<br />
with the instruction manual, may cause harmful interference to radio<br />
communications. Operation of this equipment in a residential area is likely to<br />
cause harmful interference, in which case users will be required to correct the<br />
interference at their own expense.<br />
The following information is for FCC compliance of Class B devices: The<br />
equipment described in this manual generates and may radiate radio-frequency<br />
energy. If it is not installed in accordance with <strong>NetScreen</strong>’s installation<br />
instructions, it may cause interference with radio and television reception. This<br />
equipment has been tested and found to comply with the limits for a Class B<br />
digital device in accordance with the specifications in part 15 of the FCC rules.<br />
These specifications are designed to provide reasonable protection against<br />
such interference in a residential installation. However, there is no guarantee<br />
that interference will not occur in a particular installation.<br />
If this equipment does cause harmful interference to radio or television<br />
reception, which can be determined by turning the equipment off and on, the<br />
user is encouraged to try to correct the interference by one or more of the<br />
following measures:<br />
• Reorient or relocate the receiving antenna.<br />
• Increase the separation between the equipment and receiver.<br />
• Consult the dealer or an experienced radio/TV technician for help.<br />
• Connect the equipment to an outlet on a circuit different from that to<br />
which the receiver is connected.<br />
Caution: Changes or modifications to this product could void the user's<br />
warranty and authority to operate this device.<br />
Disclaimer<br />
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE<br />
ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION<br />
PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED<br />
HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE<br />
SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR<br />
NETSCREEN REPRESENTATIVE FOR A COPY.
Contenido<br />
Contenido<br />
Prefacio ......................................................................... v<br />
Convenciones ........................................................... vi<br />
Convenciones de la interfaz de línea<br />
de comandos (CLI) ...................................................... vi<br />
Convenciones de la interfaz gráfica (WebUI)..............vii<br />
Convenciones para las ilustraciones........................... ix<br />
Convenciones de nomenclatura y conjuntos de<br />
caracteres .................................................................... x<br />
Documentación de <strong>NetScreen</strong><br />
de <strong>Juniper</strong> <strong>Networks</strong> .................................................. xi<br />
Capítulo 1 IPSec ...........................................................1<br />
Introducción a las VPNs..............................................2<br />
Conceptos de IPSec...................................................3<br />
Modos...........................................................................4<br />
Modo de transporte ...............................................4<br />
Modo de túnel........................................................5<br />
Protocolos .....................................................................7<br />
AH...........................................................................7<br />
ESP..........................................................................8<br />
Administración de claves .............................................9<br />
Clave manual ........................................................9<br />
AutoKey IKE.............................................................9<br />
Asociación de seguridad ...........................................10<br />
Negociación de túnel ..............................................11<br />
Fase 1 .........................................................................11<br />
Modo principal y modo dinámico .......................12<br />
Intercambio Diffie-Hellman...................................13<br />
Fase 2......................................................................... 13<br />
Confidencialidad directa perfecta ..................... 15<br />
Protección contra reprocesamiento.................... 15<br />
Paquetes IKE e IPSec ................................................16<br />
Paquetes IKE............................................................... 16<br />
Paquetes IPSec........................................................... 20<br />
Capítulo 2 Criptografía de claves públicas ...............23<br />
Introducción a la criptografía de claves públicas...24<br />
PKI.............................................................................26<br />
Certificados y CRLs...................................................29<br />
Obtención manual de un certificado........................ 30<br />
Ejemplo: Petición de certificado manual ............ 31<br />
Ejemplo: Carga de certificados y CRLs ............... 34<br />
Ejemplo: Configuración de ajustes de CRL ......... 36<br />
Obtención automática de un certificado local ........ 38<br />
Ejemplo: Petición automática de certificado...... 39<br />
Renovación automática de certificado .................... 43<br />
Generación de pares de claves ......................... 43<br />
Comprobación de estado mediante OCSP.............44<br />
Configuración de OCSP............................................. 45<br />
Especificación de CRL u OCSP ............................ 45<br />
Visualización de los atributos de comprobación<br />
de estado ............................................................ 45<br />
Especificación de la URL de un servidor<br />
de respuesta OCSP .............................................. 46<br />
Eliminación de atributos de comprobación<br />
de estado ............................................................ 46<br />
Certificados autofirmados (“Self-Signed<br />
Certificates”).............................................................47<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs i
Contenido<br />
Asegurar el tráfico administrativo con SSL ..................48<br />
Validación de certificados...................................49<br />
Creación manual de certificados autofirmados..51<br />
Ejemplo: Certificado autofirmado y definido<br />
por el administrador.............................................53<br />
Autogeneración de certificados ..........................58<br />
Eliminación de certificados autofirmados............60<br />
Capítulo 3 Directivas VPN ...........................................61<br />
Opciones criptográficas...........................................62<br />
Opciones criptográficas punto a punto.....................63<br />
Opciones VPN de acceso telefónico .........................72<br />
Túneles basados en directivas y en rutas.................80<br />
Flujo de paquetes: VPN punto a punto ....................82<br />
Consejos para la configuración de un túnel ...........90<br />
Consideraciones sobre seguridad en VPNs<br />
basadas en rutas .....................................................93<br />
Ruta nula ....................................................................94<br />
Línea de acceso telefónico o arrendada..................96<br />
Ejemplo: Conmutación por error de la VPN<br />
hacia la línea arrendada o la ruta nula ..............97<br />
Interfaz de túnel ficticia ............................................100<br />
Enrutador virtual para interfaces de túnel ................101<br />
Reencaminar a otro túnel.........................................101<br />
Capítulo 4 VPNs punto a punto ................................103<br />
Configuraciones VPN punto a punto......................104<br />
Pasos de configuración de túneles punto a punto ..105<br />
Ejemplo: VPN punto a punto basada en rutas,<br />
AutoKey IKE.........................................................111<br />
Ejemplo: VPN punto a punto basada<br />
en directivas, AutoKey IKE ..................................126<br />
Ejemplo: VPN punto a punto basada en rutas,<br />
interlocutor dinámico ........................................ 137<br />
Ejemplo: VPN punto a punto basada<br />
en directivas, interlocutor dinámico .................. 152<br />
Ejemplo: VPN punto a punto basada<br />
en rutas, clave manual...................................... 166<br />
Ejemplo: VPN punto a punto basada<br />
en directivas, clave manual .............................. 177<br />
Puertas de enlace IKE dinámicas con FQDN .........186<br />
Alias.......................................................................... 187<br />
Ejemplo: Interlocutor AutoKey IKE con FQDN ..... 188<br />
Sitios VPN con direcciones superpuestas ...............203<br />
Ejemplo: Interfaz de túnel con NAT-Src<br />
y NAT-Dst ............................................................ 206<br />
VPN en modo transparente ....................................221<br />
Ejemplo: VPN AutoKey IKE basada en<br />
directivas en modo transparente ...................... 222<br />
Capítulo 5 VPNs de acceso telefónico.....................233<br />
VPNs de acceso telefónico ....................................234<br />
Ejemplo: VPN de acceso telefónico basada<br />
en directivas, AutoKey IKE.................................. 235<br />
Ejemplo: VPN de acceso telefónico basada<br />
en rutas, interlocutor dinámico.......................... 244<br />
Ejemplo: VPN de acceso telefónico basada<br />
en directivas, interlocutor dinámico .................. 256<br />
Directivas bidireccionales para usuarios de VPN<br />
de acceso telefónico .............................................. 266<br />
Ejemplo: Directivas bidireccionales para VPNs<br />
de acceso telefónico ........................................ 267<br />
Identificación IKE de grupo....................................275<br />
Identificación IKE de grupo con certificados........... 276<br />
Tipos de identificación IKE ASN1-DN Wildcard<br />
y Container ........................................................ 278<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs ii
Contenido<br />
Ejemplo: Identificación IKE de grupo<br />
(certificados) ......................................................281<br />
ID IKE de grupo con claves previamente<br />
compartidas .............................................................288<br />
Ejemplo: ID IKE de grupo (claves<br />
previamente compartidas) ................................290<br />
Identificación IKE compartida................................297<br />
Ejemplo: ID IKE compartida (claves<br />
previamente compartidas) ................................298<br />
Capítulo 6. L2TP .........................................................307<br />
Introducción al L2TP ...............................................308<br />
Encapsulado y desencapsulado de paquetes .....312<br />
Encapsulado ............................................................312<br />
Desencapsulado ......................................................313<br />
Parámetros L2TP......................................................314<br />
Ejemplo: Configuración de un conjunto de<br />
direcciones IP y los ajustes predeterminados<br />
L2TP.....................................................................315<br />
L2TP y L2TP sobre IPSec...........................................317<br />
Ejemplo: Configuración de L2TP ........................318<br />
Ejemplo: Configuración de L2TP sobre IPSec .....326<br />
Ejemplo: L2TP bidireccional sobre IPSec ............339<br />
Capítulo 7. Funciones de VPN avanzadas ................349<br />
NAT-Traversal ..........................................................351<br />
Sondeos de NAT........................................................352<br />
Atravesar un dispositivo NAT .....................................354<br />
Suma de comprobación de UDP .............................357<br />
Paquetes de mantenimiento de conexión...............357<br />
Simetría iniciador/respondedor ................................358<br />
Ejemplo: Habilitación de NAT-Traversal ..............359<br />
Supervisión de VPNs................................................361<br />
Opciones de reencriptación y optimización ........... 362<br />
Interfaz de origen y dirección de destino................ 363<br />
Consideraciones sobre directivas............................ 365<br />
Configuración de la función de supervisión<br />
de VPN ..................................................................... 365<br />
Ejemplo: Especificación de las direcciones de<br />
origen y destino para la supervisión de VPN ..... 368<br />
Objetos y capturas SNMP para la supervisión<br />
de VPN ..................................................................... 380<br />
Múltiples túneles por interfaz de túnel ....................381<br />
Asignación de rutas a túneles.................................. 382<br />
Direcciones de interlocutores remotos..................... 383<br />
Entradas de tabla manuales y automáticas............ 385<br />
Entradas manuales en la tabla ......................... 385<br />
Entradas automáticas en la tabla ..................... 386<br />
Ejemplo: Múltiples VPNs en una interfaz<br />
de túnel para subredes superpuestas ............... 388<br />
Ejemplo: Entradas automáticas en la tabla<br />
de rutas y la tabla NHTB..................................... 420<br />
Anexo al ejemplo: OSPF para entradas<br />
automáticas en la tabla de rutas ...................... 438<br />
Puertas de enlace VPN redundantes .....................441<br />
Grupos VPN .............................................................. 442<br />
Mecanismos de supervisión ..................................... 443<br />
Latidos de IKE..................................................... 443<br />
Procedimiento de recuperación IKE.................. 444<br />
Comprobación de flag TCP SYN .............................. 447<br />
Ejemplo: Puertas de enlace VPN redundantes .. 448<br />
VPNs adosadas.......................................................460<br />
Ejemplo: VPNs adosadas ................................... 461<br />
VPNs radiales..........................................................471<br />
Ejemplo: VPNs radiales....................................... 472<br />
Índice ......................................................................... IX-I<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs iii
Contenido<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs iv
Prefacio<br />
Una red privada virtual (VPN) es un medio rentable y seguro para las empresas que ofrece a los usuarios acceso<br />
telefónico a la red de la empresa y permite que las redes remotas se comuniquen entre sí a través de Internet. Las<br />
conexiones privadas seguras a través de Internet son más económicas que las líneas privadas especializadas. Los<br />
dispositivos <strong>NetScreen</strong> ofrecen una funcionalidad VPN completa para aplicaciones VPN de acceso telefónico y<br />
punto a punto seguras.<br />
En el <strong>Volumen</strong> 5, “VPNs”, se describen los siguientes <strong>conceptos</strong> y funciones VPN disponibles en los dispositivos<br />
<strong>NetScreen</strong>:<br />
• Elementos del intercambio de claves de Internet (“Internet Key Exchange” o “IKE”) y de la seguridad del<br />
protocolo de Internet (“Internet Protocol Security” o “IPSec”)<br />
Certificados y listas de revocación de certificados (CRLs) en el contexto de infraestructura de claves<br />
públicas (PKI)<br />
VPNs punto a punto<br />
VPNs de acceso telefónico<br />
Protocolo de encapsulamiento de capa 2 (L2TP) y L2TP sobre IPSec<br />
Características avanzadas de VPN, como NAT-Traversal, supervisión de VPN, asociación de múltiples<br />
túneles VPN a una sola interfaz de túnel, puertas de enlace IKE redundantes y comportamiento de<br />
conmutación por error en túneles VPN.<br />
Este volumen incluye numerosos <strong>ejemplos</strong> que ilustran todas estas funciones.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs v
Prefacio Convenciones<br />
CONVENCIONES<br />
Este documento contiene distintos tipos de convenciones, que se explican en las siguientes secciones:<br />
“Convenciones de la interfaz de línea de comandos (CLI)”<br />
“Convenciones de la interfaz gráfica (WebUI)” en la página vii<br />
“Convenciones para las ilustraciones” en la página ix<br />
“Convenciones de nomenclatura y conjuntos de caracteres” en la página x<br />
Convenciones de la interfaz de línea de comandos (CLI)<br />
Las siguientes convenciones se utilizan para representar la sintaxis de los comandos de la interfaz de línea de<br />
comandos (CLI):<br />
Los comandos entre corchetes [ ] son opcionales.<br />
Los elementos entre llaves { } son obligatorios.<br />
Si existen dos o más opciones alternativas, aparecerán separadas entre sí por barras verticales ( | ).<br />
Por ejemplo:<br />
set interface { ethernet1 | ethernet2 | ethernet3 } manage<br />
significa “establecer las opciones de administración de la interfaz ethernet1, ethernet2 o ethernet3”.<br />
Las variables aparecen en cursiva. Por ejemplo:<br />
set admin user name password<br />
Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvo en el caso de las variables,<br />
que siempre aparecen en cursiva ). Por ejemplo: “Utilice el comando get system para visualizar el número de serie<br />
de un dispositivo <strong>NetScreen</strong>”.<br />
Nota: Para escribir palabras clave, basta con introducir los primeros caracteres que permitan al sistema reconocer<br />
de forma inequívoca la palabra que se está introduciendo. Por ejemplo, es suficiente escribir set adm u joe<br />
j12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54 . Aunque este método se<br />
puede utilizar para introducir comandos, en la presente documentación todos ellos se representan con sus<br />
palabras completas.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs vi
Prefacio Convenciones<br />
Convenciones de la interfaz gráfica (WebUI)<br />
En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegación de la WebUI por las que se<br />
pasa al hacer clic en opciones de menú y vínculos. Por ejemplo, la ruta para abrir el cuadro de diálogo de<br />
configuración de direcciones se representa como sigue: Objects > Addresses > List > New . A continuación se<br />
muestra la secuencia de navegación.<br />
1<br />
2<br />
1. Haga clic en Objects en la columna de menú.<br />
La opción de menú Objects se desplegará para<br />
mostrar las opciones subordinadas que contiene.<br />
2. (Menú Applet) Sitúe el mouse sobre Addresses.<br />
(Menú DHTML) Haga clic en Addresses.<br />
La opción de menú Addresses se desplegará para<br />
mostrar las opciones subordinadas que contiene.<br />
3<br />
3. Haga clic en List.<br />
Aparecerá la tabla de libretas de direcciones.<br />
4. Haga clic en el vínculo New.<br />
Aparecerá el cuadro de diálogo de configuración<br />
de nuevas direcciones.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs vii<br />
4
Prefacio Convenciones<br />
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de diálogo apropiado, donde<br />
podrá definir objetos y establecer parámetros de ajuste. El conjunto de instrucciones de cada tarea se divide en dos<br />
partes: la ruta de navegación y los datos de configuración. Por ejemplo, el siguiente conjunto de instrucciones<br />
incluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes de configuración que se deben<br />
realizar:<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: addr_1<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.5/32<br />
Zone: Untrust<br />
IP Address Name/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.5/32<br />
Address Name: addr_1<br />
Zone: Untrust<br />
Haga clic<br />
en OK .<br />
Nota: En este ejemplo, no hay<br />
instrucciones para el campo<br />
Comment, por lo que se deja<br />
en blanco.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs viii
Prefacio Convenciones<br />
Convenciones para las ilustraciones<br />
Los siguientes gráficos conforman el conjunto básico de imágenes utilizado en las ilustraciones de este manual:<br />
Dispositivo <strong>NetScreen</strong> genérico<br />
Dominio de enrutamiento virtual<br />
Zona de seguridad<br />
Interfaces de zonas de seguridad<br />
Blanca = interfaz de zona protegida<br />
(ejemplo: zona Trust)<br />
Negra = interfaz de zona externa<br />
(ejemplo: zona sin confianza o zona Untrust)<br />
Interfaz de túnel<br />
Túnel VPN<br />
Icono de enrutador (router)<br />
Icono de conmutador (switch)<br />
Red de área local (LAN) con<br />
una única subred<br />
(ejemplo: 10.1.1.0/24)<br />
Internet<br />
Rango de direcciones IP dinámicas<br />
(DIP)<br />
Equipo de escritorio<br />
Equipo portátil<br />
Dispositivo de red genérico<br />
(<strong>ejemplos</strong>: servidor NAT,<br />
concentrador de acceso)<br />
Servidor<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs ix
Prefacio Convenciones<br />
Convenciones de nomenclatura y conjuntos de caracteres<br />
ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios<br />
administradores, servidores de autenticación, puertas de enlace IKE, sistemas virtuales, túneles de VPN y zonas)<br />
definidas en las configuraciones de ScreenOS.<br />
Si la secuencia de caracteres que conforma un nombre contiene al menos un espacio, la<br />
cadena completa deberá entrecomillarse mediante comillas dobles ( “ ); por ejemplo,<br />
set address trust “ local LAN” 10.1.1.0/24 .<br />
<strong>NetScreen</strong> eliminará cualquier espacio al comienzo o al final de una cadena entrecomillada;<br />
por ejemplo, “ local LAN ” se transformará en “local LAN”.<br />
<strong>NetScreen</strong> tratará varios espacios consecutivos como uno solo.<br />
En las cadenas de nombres se distingue entre mayúsculas y minúsculas; por el contrario, en<br />
muchas palabras clave de la interfaz de línea de comandos pueden utilizarse indistintamente.<br />
Por ejemplo, “local LAN” es distinto de “local lan”.<br />
ScreenOS admite los siguientes conjuntos de caracteres:<br />
Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de múltiples bytes (MBCS). Algunos<br />
<strong>ejemplos</strong> de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS,<br />
también conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano<br />
y el japonés.<br />
Nota: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS,<br />
según el conjunto de caracteres que admita el explorador web.<br />
Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepción de las comillas dobles ( “ ),<br />
que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs x
Prefacio Documentación de <strong>NetScreen</strong> de <strong>Juniper</strong> <strong>Networks</strong><br />
DOCUMENTACIÓN DE NETSCREEN DE JUNIPER NETWORKS<br />
Para obtener documentación técnica sobre cualquier producto <strong>NetScreen</strong> de <strong>Juniper</strong> <strong>Networks</strong>, visite<br />
www.juniper.net/techpubs/.<br />
Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo “Case Manager” en la página web<br />
http://www.juniper.net/support/ o llame al teléfono 1-888-314-JTAC (si llama desde los EE.UU.) o al<br />
+1-408-745-9500 (si llama desde fuera de los EE.UU.).<br />
Si encuentra algún error o omisión en esta documentación, póngase en contacto con nosotros a través de la<br />
siguiente dirección de correo electrónico:<br />
techpubs-comments@juniper.net<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs xi
Prefacio Documentación de <strong>NetScreen</strong> de <strong>Juniper</strong> <strong>Networks</strong><br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs xii
Capítulo 1<br />
IPSec<br />
1<br />
En este capítulo se presentan los diversos elementos de seguridad de protocolo Internet (IPsec) y se explica cómo<br />
están relacionados con el encapsulamiento de red privada virtual (VPN, o “Virtual Private Network”). En primer lugar<br />
se incluye una “Introducción a las VPNs” en la página 2, y a continuación se tratan los siguientes elementos de<br />
IPSec:<br />
“Conceptos de IPSec” en la página 3<br />
– “Modos” en la página 4<br />
– “Protocolos” en la página 7<br />
– “Administración de claves” en la página 9<br />
– “Asociación de seguridad” en la página 10<br />
“Negociación de túnel” en la página 11<br />
– “Fase 1” en la página 11<br />
– “Fase 2” en la página 13<br />
“Paquetes IKE e IPSec” en la página 16<br />
– “Paquetes IKE” en la página 16<br />
– “Paquetes IPSec” en la página 20<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 1
Capítulo 1 IPSec Introducción a las VPNs<br />
INTRODUCCIÓN A LAS VPNS<br />
Una red privada virtual (VPN) representa un medio de comunicación segura entre equipos remotos de una red de<br />
área extensa (WAN) pública, como Internet.<br />
Una conexión VPN puede enlazar dos redes de área local (LAN) entre sí, o un usuario de acceso telefónico remoto<br />
y una LAN. El tráfico que circula entre estos dos puntos atraviesa determinados recursos compartidos, como<br />
enrutadores, conmutadores y otros equipos de red que conforman la WAN pública. Para garantizar la seguridad de<br />
las comunicaciones VPN a través de la WAN, los dos participantes crean un túnel de seguridad IP (IPSec) 1 .<br />
Un túnel IPSec está formado por un par de asociaciones de seguridad (SA) unidireccionales (una a cada extremo<br />
del túnel) que especifican el índice de parámetros de seguridad (SPI), la dirección IP de destino y el protocolo de<br />
seguridad (encabezado de autenticación o carga de seguridad encapsulada) empleado.<br />
Nota: Para obtener más información sobre SPIs, consulte “Asociación de seguridad” en la página 10. Para obtener<br />
más información sobre los protocolos de seguridad IPSec, consulte “Protocolos” en la página 7.<br />
A través de la SA, un túnel IPSec puede proporcionar las siguientes funciones de seguridad:<br />
Privacidad (por encriptación)<br />
Integridad de contenido (por autenticación de datos)<br />
Autenticación de remitente y (si se usan certificados) función Sin rechazo (por autenticación de origen de<br />
datos)<br />
Las funciones de seguridad empleadas dependen de las necesidades particulares. Si sólo necesita autenticar el<br />
origen del paquete IP y la integridad de contenido, puede autenticar el paquete sin aplicar ningún tipo de<br />
encriptación. Por otro lado, si sólo le preocupa preservar la privacidad, puede encriptar el paquete sin aplicar ningún<br />
mecanismo de autenticación. También puede encriptar y autenticar el paquete. La mayoría de los diseñadores de<br />
seguridad de red se decantan por la encriptación, la autenticación y la protección contra reprocesamiento de<br />
paquetes para el tráfico VPN.<br />
<strong>NetScreen</strong> admite la tecnología IPSec para la creación de túneles VPN con dos tipos de mecanismos de<br />
elaboración de claves:<br />
Clave manual<br />
AutoKey IKE con un certificado o una clave previamente compartida<br />
1. El término “túnel” no denota ni transporte ni modo de túnel (consulte “Modos” en la página 4). Se refiere simplemente a la conexión IPSec.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 2
Capítulo 1 IPSec Conceptos de IPSec<br />
CONCEPTOS DE IPSEC<br />
La seguridad IP (IPSec) es un conjunto de protocolos relacionados utilizados para garantizar la seguridad de las<br />
comunicaciones en la capa de paquete IP mediante encriptación. IPSec está compuesto por dos modos y dos<br />
protocolos principales:<br />
Modos de túnel y de transporte<br />
Protocolo de encabezado de autenticación (AH) para la autenticación y protocolo de carga de seguridad<br />
encapsulada (ESP) para la encriptación (y la autenticación)<br />
IPSec también ofrece métodos para la negociación manual y automática de asociaciones de seguridad (SA) y<br />
distribución de claves; todos los atributos necesarios para ello están reunidos en un dominio de interpretación<br />
(DOI). Consulte las normas RFC 2407 y 2408.<br />
Nota: <strong>NetScreen</strong> no<br />
admite el modo de<br />
transporte con AH.<br />
Modo de transporte<br />
Protocolo AH<br />
Algoritmo de autenticación<br />
(MD5, SHA-1)<br />
Arquitectura IPSec<br />
Dominio de<br />
interpretación (DOI)<br />
Protocolo ESP<br />
Algoritmo de encriptación<br />
(DES, 3DES)<br />
Administración de claves y SA<br />
(manual y automática)<br />
Modo de túnel<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 3
Capítulo 1 IPSec Conceptos de IPSec<br />
Nota: El dominio de interpretación (DOI) IPSec es un documento que contiene definiciones para todos los<br />
parámetros de seguridad requeridos para la negociación satisfactoria de un túnel VPN (fundamentalmente, todos<br />
los atributos necesarios para las negociaciones IKE y SA).<br />
Modos<br />
IPSec tiene dos modos operativos: transporte y túnel. Cuando ambos extremos del túnel son hosts, se puede<br />
utilizar tanto el modo de transporte como el modo de túnel. Cuando al menos uno de los puntos finales de un túnel<br />
es una puerta de enlace de seguridad (como un enrutador o un cortafuegos), hay que utilizar el modo de túnel. Los<br />
dispositivos <strong>NetScreen</strong> funcionan siempre en modo de túnel cuando se trata de túneles IPSec y en modo de<br />
transporte cuando se trata de túneles L2TP sobre IPSec.<br />
Modo de transporte<br />
El paquete IP original no está encapsulado en otro paquete IP. El paquete completo se puede autenticar (con AH),<br />
la carga se puede encriptar (con ESP), y el encabezado original continúa en texto sin formato tal como se envía por<br />
la WAN.<br />
Modo de transporte,<br />
AH<br />
Modo de transporte,<br />
ESP<br />
Encabezado<br />
original<br />
Encabezado<br />
original<br />
Encabezado<br />
AH<br />
Encabezado<br />
ESP<br />
Paquetes IP<br />
Encriptado<br />
Carga de<br />
datos<br />
Carga de<br />
datos<br />
Autenticado<br />
Autenticado<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 4
Capítulo 1 IPSec Conceptos de IPSec<br />
Modo de túnel<br />
El paquete IP original completo (carga y encabezado) está encapsulado en otra carga IP y tiene adjunto un nuevo<br />
encabezado. El paquete original completo se puede encriptar, autenticar o ambas cosas. Con AH, se autentican el<br />
AH y los nuevos encabezados. Con ESP, se autentica el encabezado ESP.<br />
Modo de túnel, AH<br />
Modo de túnel, ESP<br />
Encabezado<br />
nuevo<br />
Encabezado<br />
nuevo<br />
Encabezado<br />
AH<br />
Encabezado<br />
ESP<br />
Paquetes IP<br />
Encabezado<br />
original<br />
Encabezado<br />
original<br />
Encriptado<br />
El paquete original está<br />
encapsulado.<br />
Carga de datos<br />
Carga de datos<br />
Autenticado<br />
Autenticado<br />
En una VPN punto a punto, las direcciones de origen y destino utilizadas en el encabezado nuevo son las<br />
direcciones IP de la interfaz de salida (en modo de ruta o NAT) o la dirección IP VLAN1 (en modo transparente); las<br />
direcciones de origen y destino de los paquetes encapsulados son las direcciones de los puntos finales definitivos<br />
de la conexión.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 5
Capítulo 1 IPSec Conceptos de IPSec<br />
Puerta de enlace de túnel<br />
de<br />
<strong>NetScreen</strong>-A<br />
Internet<br />
Puerta de enlace de túnel<br />
de<br />
<strong>NetScreen</strong>-B<br />
LAN Túnel<br />
LAN<br />
1 2<br />
A B<br />
A B 1 2 A B<br />
A B<br />
Carga de datos Carga de datos Carga de datos<br />
El paquete original está<br />
encapsulado.<br />
VPN punto a punto en modo de túnel<br />
En una VPN de acceso telefónico no existe ninguna puerta de enlace de túnel en el extremo del túnel<br />
correspondiente al cliente de acceso telefónico VPN; el túnel se prolonga directamente hasta el propio cliente. En<br />
este caso, en los paquetes enviados desde el cliente de acceso telefónico, tanto el encabezado nuevo como el<br />
encabezado encapsulado original tendrán la misma dirección IP: la dirección del equipo del cliente 2 .<br />
Cliente VPN de<br />
acceso telefónico<br />
A = 1<br />
Internet<br />
Túnel<br />
A B 1 2 A B<br />
A B<br />
<strong>NetScreen</strong>-B<br />
puerta de enlace de túnel<br />
2. Algunos clientes VPN, como <strong>NetScreen</strong>-Remote, permiten definir una dirección IP interna virtual. En estos casos, la dirección IP interna virtual es la dirección<br />
IP de origen en el encabezado del paquete original del tráfico originado por el cliente, y la dirección IP que el ISP asigna dinámicamente al cliente de acceso<br />
telefónico es la dirección IP de origen en el encabezado externo.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 6<br />
LAN<br />
Carga de datos Carga de datos Carga de datos<br />
El paquete original está<br />
encapsulado.<br />
VPN de acceso telefónico en modo de túnel<br />
2<br />
B
Capítulo 1 IPSec Conceptos de IPSec<br />
Protocolos<br />
IPSec utiliza dos protocolos para garantizar la seguridad de las comunicaciones en la capa IP:<br />
AH<br />
Encabezado de autenticación (AH): protocolo de seguridad que sirve para autenticar el origen de un<br />
paquete IP y verificar la integridad de su contenido.<br />
Carga de seguridad encapsulada (ESP): protocolo de seguridad que sirve para encriptar el paquete IP<br />
completo (y autenticar su contenido).<br />
El protocolo de encabezado de autenticación (AH) ofrece un medio para verificar la autenticidad/integridad del<br />
contenido y el origen de un paquete. Puede autenticar el paquete por la suma de comprobación calculada a través<br />
de un código de autenticación de mensajes basado en hash (HMAC) mediante una clave secreta y funciones MD5<br />
o SHA-1 hash.<br />
Síntesis de mensaje versión 5 (MD5, o Message Digest) : algoritmo que produce un hash de 128 bits<br />
(también denominado firma digital o síntesis del mensaje) a partir de un mensaje de longitud arbitraria y<br />
una clave de 16 bytes. El hash resultante se utiliza, como si fuese la huella dactilar de la entrada, para<br />
verificar la autenticidad y la integridad del contenido y el origen.<br />
Algortimo de hash seguro-1 (SHA-1, o Secure Hash Algorithm-1) : algoritmo que produce un hash de<br />
160 bits a partir de un mensaje de longitud arbitraria y una clave de 20 bytes. Normalmente, se considera<br />
más seguro que MD5 debido al mayor tamaño del hash que produce. Como el procesamiento<br />
computacional se realiza en ASIC de <strong>NetScreen</strong>, los costes de rendimiento son insignificantes.<br />
Nota: Para obtener más información sobre los algoritmos MD5 y SHA-1, consulte las siguientes normas RFC:<br />
(MD5) 1321, 2403; (SHA-1) 2404. Para obtener información sobre HMAC, consulte la norma RFC 2104.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 7
Capítulo 1 IPSec Conceptos de IPSec<br />
ESP<br />
El protocolo de carga de seguridad encapsulada (ESP) proporciona un medio para garantizar la privacidad<br />
(encriptación), la autenticación de origen y la integridad de contenidos (autenticación). El protocolo ESP en modo<br />
de túnel encapsula el paquete IP completo (encabezado y carga) y adjunta un nuevo encabezado IP al paquete<br />
ahora encriptado. Este nuevo encabezado IP contiene la dirección de destino necesaria para enrutar los datos<br />
protegidos a través de la red.<br />
Con ESP, es posible encriptar y autenticar, sólo encriptar o sólo autenticar. Para la encriptación se puede<br />
seleccionar cualquiera de los siguientes algoritmos de encriptación:<br />
Norma de encriptación de datos (DES) : algoritmo de bloque criptográfico con una clave de 56 bits.<br />
Triple DES (3DES) : versión más potente de DES en la que el algoritmo original DES se aplica en tres<br />
rondas mediante una clave de 168 bits. DES ofrece un ahorro de rendimiento significativo, pero no se<br />
considera aceptable para numerosas transferencias de material delicado o clasificado.<br />
Norma de encriptación avanzada (AES): norma de encriptación que, cuando sea adoptada por las<br />
infraestructuras de Internet de todo el mundo, ofrecerá una mayor interoperabilidad con otros dispositivos<br />
de seguridad de red. <strong>NetScreen</strong> admite AES con claves de 128, 192 y 256 bits.<br />
Para la autenticación, puede utilizar algoritmos MD5 o SHA-1.<br />
Para el algoritmo de autenticación o encriptación puede seleccionar NULL ; sin embargo, no es posible<br />
seleccionar NULL para ambos de forma simultánea.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 8
Capítulo 1 IPSec Conceptos de IPSec<br />
Administración de claves<br />
La distribución y la administración de claves son fundamentales para el uso satisfactorio de las redes VPN. IPSec<br />
admite los métodos de distribución de claves manual y automático.<br />
Clave manual<br />
Con las claves manuales, los administradores de ambos extremos de un túnel configuran todos los parámetros de<br />
seguridad. Ésta es una técnica viable para redes pequeñas y estáticas, donde la distribución, el mantenimiento y el<br />
seguimiento de las claves no resulta difícil. Sin embargo, la distribución segura de configuraciones de clave manual<br />
a través de largas distancias genera problemas de seguridad. Excepto en el caso de que las claves se transmitan<br />
“cara a cara”, no es posible estar completamente seguro de que las claves no hayan quedado comprometidas<br />
durante la transferencia. Además, a la hora de modificar la clave nos enfrentamos a los mismos problemas que a la<br />
hora de distribuirla inicialmente.<br />
AutoKey IKE<br />
Cuando es necesario crear y administrar numerosos túneles, se requiere un método en el que no haya que<br />
configurar cada elemento de forma manual. IPSec admite la generación y negociación automatizada de claves y<br />
asociaciones de seguridad mediante el protocolo de intercambio de claves de Internet (IKE). <strong>NetScreen</strong> denomina<br />
estas negociaciones de túnel automatizadas “AutoKey IKE” y admite AutoKey IKE con claves previamente<br />
compartidas y AutoKey IKE con certificados.<br />
AutoKey IKE con claves previamente compartidas<br />
Si AutoKey IKE utiliza claves previamente compartidas para autenticar a sus participantes en una sesión<br />
IKE, cada parte debe configurar e intercambiar de forma segura la clave compartida 3 por adelantado. En<br />
este sentido, el problema de distribución segura de claves es idéntico al que presentan las claves<br />
manuales. Sin embargo, al contrario de lo que ocurre con las claves manuales, una AutoKey, una vez<br />
distribuida, puede modificar sus claves automáticamente a intervalos predeterminados mediante el<br />
protocolo IKE. Con frecuencia, la modificación de claves aumenta la seguridad de forma considerable.<br />
Además, la automatización de esta tarea reduce significativamente las responsabilidades de administración<br />
de claves. Sin embargo, la modificación de claves eleva el nivel máximo de tráfico; por lo tanto, si se realiza<br />
a menudo, puede disminuir la eficacia de la transmisión de datos.<br />
3. Una clave previamente compartida es una clave que se utiliza tanto para la encriptación como para la desencriptación y que ambos participantes deben<br />
poseer antes de iniciar la comunicación.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 9
Capítulo 1 IPSec Conceptos de IPSec<br />
AutoKey IKE con certificados<br />
Cuando se utilizan certificados para autenticar a los participantes durante una negociación AutoKey IKE,<br />
cada parte genera un par de claves públicas/privadas (consulte el Capítulo 2, “Criptografía de claves<br />
públicas” en la página 23) y adquiere un certificado (consulte “Certificados y CRLs” en la página 29). Si la<br />
autoridad de certificación (CA) es fiable para ambas partes, los participantes podrán recuperar la clave<br />
pública del interlocutor y verificar la firma del interlocutor. No es necesario realizar un seguimiento de las<br />
claves y SAs; IKE lo hace automáticamente.<br />
Nota: Para obtener <strong>ejemplos</strong> de ambos túneles (clave manual y AutoKey IKE), consulte el Capítulo 4, “VPNs punto<br />
a punto” en la página 103.<br />
Asociación de seguridad<br />
Una asociación de seguridad (SA) es un acuerdo unidireccional entre los participantes VPN en lo que respecta a los<br />
métodos y parámetros empleados para garantizar la seguridad de un canal de comunicaciones. Una comunicación<br />
bidireccional completa requiere al menos dos SA, una para cada dirección.<br />
Una SA agrupa los siguientes componentes para garantizar la seguridad de las comunicaciones:<br />
– Claves y algoritmos de seguridad<br />
– Modo de protocolo (transporte o túnel)<br />
– Método de administración de claves (clave manual o AutoKey IKE)<br />
– Periodo de vigencia de SA<br />
Para el tráfico VPN saliente, la directiva invoca la SA asociada al túnel VPN. Para el tráfico entrante, el dispositivo<br />
<strong>NetScreen</strong> consulta la SA mediante los siguientes tres elementos: IP de destino, protocolo de seguridad (AH o<br />
ESP) y valor del índice de parámetros de seguridad (SPI).<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 10
Capítulo 1 IPSec Negociación de túnel<br />
NEGOCIACIÓN DE TÚNEL<br />
Para un túnel IPSec de clave manual, como todos los parámetros de la asociación de seguridad (SA) se han<br />
definido previamente, no es necesario negociar qué SAs utilizar. Básicamente, el túnel ya se ha establecido.<br />
Cuando el tráfico coincide con una directiva que utilice ese túnel de clave manual o cuando una ruta utiliza el túnel,<br />
el dispositivo <strong>NetScreen</strong> simplemente encripta y autentica los datos, tal como se haya determinado, y los envía a la<br />
puerta de enlace de destino.<br />
Para establecer un túnel IPSec AutoKey IKE se requieren dos fases de negociación:<br />
Fase 1<br />
En la fase 1, los participantes establecen un canal seguro en el que negociar las SAs IPSec.<br />
En la fase 2, los participantes negocian las SAs IPSec para encriptar y autenticar los sucesivos<br />
intercambios de datos de usuario.<br />
La fase 1 de una negociación de túnel AutoKey IKE consiste en el intercambio de propuestas sobre cómo autenticar<br />
y garantizar la seguridad del canal. El intercambio se puede realizar en uno de estos dos modos: modo dinámico o<br />
modo principal (consulte más adelante). En cualquiera de los dos modos, los participantes intercambian propuestas<br />
de servicios de seguridad aceptables, como por ejemplo:<br />
Algoritmos de encriptación (DES y 3DES) y de autenticación (MD5 y SHA-1). Para obtener más información<br />
sobre estos algoritmos, consulte “Protocolos” en la página 7.<br />
Un grupo Diffie-Hellman (consulte “Intercambio Diffie-Hellman” en la página 13)<br />
Una clave previamente compartida o certificados RSA/DSA (consulte “AutoKey IKE” en la página 9)<br />
Una negociación de fase 1 correcta concluye cuando ambos extremos del túnel se ponen de acuerdo para aceptar<br />
al menos un conjunto de los parámetros de seguridad de fase 1 propuestos y comienzan a procesarlos. Los<br />
dispositivos <strong>NetScreen</strong> admiten hasta cuatro propuestas para negociaciones de fase 1 y permiten definir el grado<br />
de restricción del rango aceptable de parámetros de seguridad para la negociación de claves.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 11
Capítulo 1 IPSec Negociación de túnel<br />
Las propuestas predefinidas de fase 1 que ofrece <strong>NetScreen</strong> son las siguientes:<br />
Estándar: pre-g2-aes128-sha y pre-g2-3des-sha<br />
Compatibles: pre-g2-3des-sha, pre-g2-3des-md5, pre-g2-des-sha y pre-g2-des-md5<br />
Básicas: pre-g1-des-sha y pre-g1-des-md5<br />
También es posible definir propuestas de fase 1 personalizadas.<br />
Modo principal y modo dinámico<br />
La fase 1 se puede desarrollar en modo principal o en modo dinámico. Estos dos modos se describen a<br />
continuación.<br />
Modo principal: el iniciador y el destinatario envían tres intercambios en dos direcciones (seis mensajes en total)<br />
para lograr los siguientes servicios:<br />
Primer intercambio (mensajes 1 y 2): proponer y aceptar los algoritmos de encriptación y autenticación.<br />
Segundo intercambio (mensajes 3 y 4): ejecutar un intercambio Diffie-Hellman; el iniciador y el destinatario<br />
ofrecen un número aleatorio (propuesta) cada uno.<br />
Tercer intercambio (mensajes 5 y 6): enviar y verificar las identidades.<br />
La información transmitida en el tercer intercambio de mensajes está protegida por el algoritmo de encriptación<br />
establecido en los dos primeros intercambios. Es decir, las identidades de los participantes no se transmiten de<br />
modo transparente.<br />
Modo dinámico: el iniciador y el destinatario logran los mismos objetivos, pero en sólo dos intercambios y con un<br />
total de tres mensajes:<br />
Primer mensaje: el iniciador propone la SA, inicia el intercambio Diffie-Hellman y envía una propuesta y su<br />
identidad IKE.<br />
Segundo mensaje: el destinatario acepta la SA, autentica al iniciador y envía un nonce, su identidad IKE y,<br />
si se utilizan certificados, el certificado de destinatario.<br />
Tercer mensaje: el iniciador autentica al destinatario, confirma el intercambio y, si se utilizan certificados,<br />
envía el certificado de iniciador.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 12
Capítulo 1 IPSec Negociación de túnel<br />
Puesto que las identidades de los participantes se intercambian en modo transparente (en los dos primeros<br />
mensajes), el modo dinámico no ofrece protección de identidad.<br />
Nota: Cuando un usuario VPN de acceso telefónico negocia un túnel AutoKey IKE con una clave previamente<br />
compartida, se debe utilizar el modo dinámico. Recuerde también que un usuario VPN de acceso telefónico puede<br />
utilizar una dirección de correo electrónico, un nombre de dominio completo (FQDN) o una dirección IP como su ID<br />
IKE. Un interlocutor dinámico puede utilizar una dirección de correo electrónico o un FQDN, pero no una dirección<br />
IP.<br />
Intercambio Diffie-Hellman<br />
Un intercambio Diffie-Hellman permite a los participantes elaborar un valor secreto compartido. El punto fuerte de<br />
esta técnica es que permite a los participantes crear el valor secreto a través de un medio no seguro sin tener que<br />
transmitir este valor por la línea. Hay cinco grupos Diffie-Hellman (DH); <strong>NetScreen</strong> admite los grupos 1, 2 y 5. El<br />
tamaño del módulo primario utilizado en el cálculo de cada grupo varía del siguiente modo:<br />
Grupo DH 1: módulo de 768 bits 4<br />
Grupo DH 2: módulo de 1024 bits<br />
Grupo DH 5: módulo de 1536 bits<br />
Cuanto mayor es un módulo, más segura se considera la clave generada; no obstante, cuanto mayor es un módulo,<br />
más tarda el proceso de generación de claves. Como el módulo de cada grupo DH tiene un tamaño distinto, los<br />
participantes tienen que ponerse de acuerdo para utilizar el mismo grupo 5 .<br />
Fase 2<br />
Una vez que los participantes han establecido un canal seguro y autenticado, continúan con la fase 2, en la que<br />
negocian las SA para garantizar la seguridad de los datos que se van a transmitir a través del túnel IPSec.<br />
4. La seguridad del grupo DH 1 ha disminuido y <strong>Juniper</strong> <strong>Networks</strong> recomienda no utilizarlo.<br />
5. Si configura múltiples propuestas (hasta cuatro) para negociaciones de fase 1, utilice el mismo grupo Diffie-Hellman para todas ellas. La misma directriz se<br />
aplica a la creación de múltiples propuestas para negociaciones de fase 2.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 13
Capítulo 1 IPSec Negociación de túnel<br />
Al igual que ocurre en la fase 1, los participantes intercambian propuestas para determinar los parámetros de<br />
seguridad que se van a emplear en la SA. Una propuesta de fase 2 incluye también un protocolo de seguridad<br />
(encabezado de autenticación, AH, o carga de seguridad encapsulada, ESP) y algoritmos de encriptación y<br />
autenticación seleccionados. La propuesta también puede especificar un grupo Diffie-Hellman si se desea una<br />
confidencialidad directa perfecta (PFS).<br />
Nota: Para obtener más información sobre los grupos Diffie-Hellman, consulte “Intercambio Diffie-Hellman”. Para<br />
obtener más información sobre PFS, consulte “Confidencialidad directa perfecta” en la página 15.<br />
Independientemente del modo utilizado en la fase 1, la fase 2 funciona siempre en modo rápido e implica el<br />
intercambio de tres mensajes 5 .<br />
Los dispositivos <strong>NetScreen</strong> admiten hasta cuatro propuestas para negociaciones de fase 2 y permiten definir el<br />
grado de restricción del rango aceptable de parámetros de túnel. <strong>NetScreen</strong> también ofrece una función de<br />
protección contra reprocesamiento de paquetes. El uso de esta función no requiere negociación porque los<br />
paquetes se envían siempre con números de secuencia. Sólo existe la opción de comprobar los números de<br />
secuencia o no. (Para más información sobre la protección contra reprocesamiento de paquetes, consulte más<br />
adelante).<br />
Las propuestas predefinidas de fase 2 que ofrece <strong>NetScreen</strong> son las siguientes:<br />
Estándar: g2-esp-3des-sha y g2-esp-aes128-sha<br />
Compatibles: nopfs-esp-3des-sha, nopfs-esp-3des-md5, nopfs-esp-des-sha y nopfs-esp-des-md5<br />
Básicas: nopfs-esp-des-sha y nopfs-esp-des-md5<br />
También es posible definir propuestas de fase 2 personalizadas.<br />
En la fase 2, los interlocutores también intercambian IDs de proxy. Una ID de proxy es una tupla de tres partes<br />
compuesta por dirección IP local/dirección IP remota/servicio. La ID de proxy para ambos interlocutores debe<br />
coincidir, es decir, el servicio especificado en la ID de proxy para ambos interlocutores debe ser idéntico, y la<br />
dirección IP local indicada para un interlocutor debe ser igual que la dirección IP remota indicada para el otro<br />
interlocutor.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 14
Capítulo 1 IPSec Negociación de túnel<br />
Confidencialidad directa perfecta<br />
La confidencialidad directa perfecta (PFS) es un método para derivar claves de fase 2 independientes y no<br />
relacionadas con las claves anteriores. De forma alternativa, la propuesta de fase 1 crea la clave (SKEYID_d) a<br />
partir de la que se derivan todas las claves de fase 2. La clave SKEYID_d puede generar claves de fase 2 con un<br />
mínimo de procesamiento de CPU. Lamentablemente, si un interlocutor no autorizado obtiene acceso a la clave<br />
SKEYID_d, todas las claves de encriptación quedarán comprometidas.<br />
PFS afronta este riesgo de seguridad forzando un nuevo intercambio de claves Diffie-Hellman para cada túnel de<br />
fase 2. Por lo tanto, utilizar PFS es más seguro, aunque el procedimiento de reencriptación de la fase 2 puede<br />
prolongarse ligeramente si la función PFS está habilitada.<br />
Protección contra reprocesamiento<br />
Se produce un ataque de reproducción cuando alguien intercepta una serie de paquetes y los utiliza posteriormente<br />
para inundar el sistema, provocando un rechazo de servicio (DoS), o para obtener acceso a la red fiable. La función<br />
de protección contra reprocesamiento de paquetes permite que los dispositivos <strong>NetScreen</strong> comprueben cada<br />
paquete IPSec para verificar si se ha recibido antes. Si llegan paquetes fuera de un rango de secuencia<br />
especificado, el dispositivo <strong>NetScreen</strong> los rechaza.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 15
Capítulo 1 IPSec Paquetes IKE e IPSec<br />
PAQUETES IKE E IPSEC<br />
Un túnel VPN IPSec consta de dos elementos importantes:<br />
Configuración del túnel: En primer lugar, los interlocutores establecen las asociaciones de seguridad<br />
(SAs), que definen los parámetros para asegurar el tráfico entre ellos. Los administradores de cada<br />
extremo pueden definir los SAs manualmente, o bien dinámicamente durante las negociaciones IKE de<br />
fase 1 y fase 2. La fase 1 se puede desarrollar en modo principal o en modo dinámico. La fase 2 ocurre<br />
siempre en modo rápido.<br />
Seguridad aplicada: IPSec protege el tráfico enviado entre los dos puntos terminales del túnel usando los<br />
parámetros de seguridad definidos en los SAs que los interlocutores acordaron durante la configuración del<br />
túnel. IPSec se puede aplicar en uno de ambos modos: modo de transporte (“Transport”) y modo de túnel<br />
(“Tunnel”). Ambos modos admiten los dos protocolos IPSec: Encapsulating Security Payload (ESP) y<br />
Authentication Header (AH).<br />
Para ayudar a desmitificar el procesamiento de paquetes que se produce durante las etapas IKE e IPSec de un túnel<br />
VPN, consulte las secciones siguientes, que muestran los encabezados de paquetes tanto para IKE como para IPSec.<br />
Paquetes IKE<br />
Cuando un paquete de texto puro que requiere encapsulamiento llega al dispositivo <strong>NetScreen</strong> y no existe ninguna<br />
SA activa de fase 2 para ese túnel, el dispositivo <strong>NetScreen</strong> inicia las negociaciones IKE (y descarta el paquete 6 ).<br />
Las direcciones de origen y de destino en el encabezado del paquete IP son las de las puertas de enlace IKE local<br />
y remota, respectivamente. En la carga de datos del paquete IP hay un segmento UDP que encapsula un paquete<br />
ISAKMP (IKE). El formato de los paquetes IKE es igual para la fase 1 y la fase 2.<br />
Paquete IKE<br />
(Para las fases 1 y 2)<br />
Encabezado<br />
IP<br />
Encabezado<br />
UDP<br />
Encabezado<br />
ISAKMP<br />
Carga de datos<br />
Nota: ISAKMP es el formato de paquetes utilizado por IKE.<br />
6. Cuando se descarta el paquete IP inicial, el host de origen lo reenvía. Típicamente, para cuando el segundo paquete alcanza el dispositivo <strong>NetScreen</strong>, las<br />
negociaciones IKE se han completado y el dispositivo <strong>NetScreen</strong> lo protege (como también protege todos los paquetes subsiguientes de esa sesión) con<br />
IPSec antes de reenviarlo.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 16
Capítulo 1 IPSec Paquetes IKE e IPSec<br />
Encabezado IP<br />
Versión<br />
Longitud del<br />
encabezado<br />
Tiempo de vida (“Time to<br />
Live” o “TTL”)<br />
Encabezado UDP<br />
Identificación<br />
Tipo de servicio Tamaño total del paquete (en bytes)<br />
Protocolo ( 17 para UDP )<br />
Suma de comprobación del encabezado<br />
Dirección de origen (puerta de enlace del interlocutor local)<br />
Dirección de destino (puerta de enlace del interlocutor remoto)<br />
Opciones IP (si las hay)<br />
Puerto de origen ( 500 para IKE )<br />
Tamaño<br />
Encabezado ISAKMP (para IKE)<br />
Carga de datos siguiente<br />
Versión<br />
mayor<br />
Carga de datos IP<br />
Carga de datos UDP<br />
Cookie del iniciador<br />
Longitud del mensaje<br />
Carga de datos ISAKMP<br />
0 D M Desplazamiento del fragmento<br />
Cookie del respondedor<br />
(0000 para el primer paquete)<br />
Versión Tipo del intercambio<br />
menor<br />
ID del mensaje<br />
Suma de comprobación<br />
Relleno<br />
Puerto de destino ( 500 para IKE )<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 17<br />
Flags
Capítulo 1 IPSec Paquetes IKE e IPSec<br />
El campo “Next Payload” contiene un número que indica uno de los siguientes tipos de carga de datos:<br />
0002 – Carga de datos de la negociación SA; contiene una definición para la SA de fase 1 o de fase 2<br />
0004 – Carga de datos propuesta; puede ser una propuesta de fase 1 o de fase 2<br />
0008 – Carga de datos de transformación; la carga de datos de transformación es encapsulada en una<br />
carga de datos propuesta que se encapsula en una carga de datos SA<br />
0010 – Carga de datos Key Exchange (KE); contiene la información necesaria para realizar un intercambio<br />
de claves, como un valor público Diffie-Hellman<br />
0020 – Carga de datos de identificación (IDx)<br />
– En la fase 1, IDii indica la identificación del iniciador, mientras IDir indica la del respondedor<br />
– En la fase 2, IDui indica el iniciador del usuario, mientras IDur indica el respondedor<br />
Las identificaciones son tipos de IDs IKE, como FQDN, U-FQDN, dirección IP y ASN.1_DN.<br />
0040 – Carga de datos de certificado (CERT)<br />
0080 – Carga de datos de petición de certificado (CERT_REQ)<br />
0100 – Carga de datos de Hash (HASH); contiene el resultado resumido de una determinada función de<br />
transformación (“hash”)<br />
0200 – Carga de datos de firma (SIG); contiene una firma digital<br />
0400 – Carga de datos Nonce (Nx); contiene determinada información pseudoaleatoria necesaria para el<br />
intercambio<br />
0800 – Carga de datos de notificación<br />
1000 – Carga de datos de eliminación ISAKMP<br />
2000 – Carga de datos de ID del fabricante (VID); puede incluirse en cualquier punto de las negociaciones<br />
de fase 1. <strong>NetScreen</strong> la utiliza para marcar la compatibilidad con NAT-T.<br />
Cada carga de datos ISAKMP comienza con el mismo encabezado genérico:<br />
Encabezado genérico de la carga de datos ISAKMP<br />
Encabezado siguiente<br />
Reservado Longitud de la carga de datos (en bytes)<br />
Carga de datos<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 18
Capítulo 1 IPSec Paquetes IKE e IPSec<br />
Puede haber múltiples cargas de datos ISAKMP encadenadas, indicándose cada tipo de carga de datos<br />
subsiguiente en el valor del campo del encabezado siguiente. Un valor 0000 indica la última carga de datos<br />
ISAKMP. Consulte el ejemplo que aparece en el diagrama siguiente:<br />
Encabezado ISAKMP con cargas de datos genéricos ISAKMP<br />
Carga de datos siguiente<br />
(0002 para SA)<br />
Encabezado siguiente<br />
(0004 para propuesta)<br />
Encabezado siguiente<br />
(0008 para transformación)<br />
Encabezado siguiente<br />
(0000 para fin)<br />
SPI del iniciador<br />
SPI del respondedor (0000 para el primer paquete)<br />
Versión<br />
mayor<br />
Versión<br />
menor<br />
ID del mensaje<br />
Longitud total del mensaje<br />
Carga de datos SA<br />
Tipo del intercambio<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 19<br />
Flags<br />
Reservado Longitud de la carga de datos SA<br />
Reservado Longitud de la carga de datos de la propuesta<br />
Carga de datos de la propuesta<br />
Reservado Longitud de la carga de datos de transformación<br />
Carga de datos de transformación<br />
Encabezado<br />
ISAKMP<br />
Carga de<br />
datos<br />
SA<br />
Carga de<br />
datos de la<br />
propuesta<br />
Carga de<br />
datos de<br />
transformación
Capítulo 1 IPSec Paquetes IKE e IPSec<br />
Paquetes IPSec<br />
Una vez completadas las negociaciones IKE y después de que las dos puertas de enlace IKE hayan establecido las<br />
asociaciones de seguridad de fase 1 y fase 2 (SAs), el dispositivo <strong>NetScreen</strong> aplica la protección IPSec a los<br />
paquetes IP de texto puro subsiguientes que los hosts situados detrás de una puerta de enlace IKE envían a los<br />
hosts que se encuentran detrás de la otra puerta de enlace (asumiendo que las directivas permitan el tráfico). Si la<br />
SA de fase 2 especifica el protocolo Encapsulating Security Protocol (ESP) en modo de túnel, el paquete se<br />
parecerá al que aparece debajo 7 . Observe que el dispositivo <strong>NetScreen</strong> agrega dos encabezados adicionales al<br />
paquete original enviado por el host.<br />
Paquete IPSec –<br />
Encapsulating Security Payload (ESP) en el modo de túnel<br />
Paquete IPSec<br />
Enviado por la puerta<br />
de enlace IKE<br />
Encabezado<br />
IP2<br />
Encabezado<br />
ESP<br />
Encabezado<br />
IP1<br />
La puerta de enlace local agrega estos<br />
encabezados al paquete.<br />
Encabezado<br />
TCP<br />
Paquete original<br />
Enviado por el host iniciador<br />
Carga de datos<br />
Como muestra la ilustración anterior, el paquete que el host iniciador construye incluye la carga de datos, el<br />
encabezado TCP y el encabezado IP interno (IP1).<br />
El encabezado IP externo (IP2) que agrega el dispositivo <strong>NetScreen</strong> contiene la dirección IP de la puerta de enlace<br />
remota como dirección IP de destino y la dirección IP del dispositivo <strong>NetScreen</strong> local como dirección IP de origen.<br />
El dispositivo <strong>NetScreen</strong> también agrega un encabezado ESP entre los encabezados IP externo e interno. El<br />
encabezado ESP contiene información que permite al interlocutor remoto procesar correctamente el paquete al<br />
recibirlo.<br />
7. Para obtener más información sobre ESP, consulte “ESP” en la página 8. Para obtener información sobre el modo de túnel, consulte “Modo de túnel” en la<br />
página 5.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 20
Capítulo 1 IPSec Paquetes IKE e IPSec<br />
Encriptado<br />
Encabezado IP externo (IP2)<br />
Versión<br />
Tamaño del<br />
encabezado<br />
Tiempo de vida (“Time<br />
to Live” o “TTL”)<br />
Encabezado ESP<br />
Identificación<br />
Tipo de servicio Tamaño total del paquete (en bytes)<br />
Protocolo ( 50 para ESP )<br />
Suma de comprobación del encabezado<br />
Dirección de origen (puerta de enlace del interlocutor local)<br />
Dirección de destino (puerta de enlace del interlocutor remoto)<br />
Opciones IP (si las hay)<br />
Carga de datos<br />
Carga de datos * ‡ (variable)<br />
Longitud de<br />
relleno * ‡<br />
Relleno * ‡ (0-255 bytes)<br />
Datos de autenticación<br />
(variables)<br />
0 D M Desplazamiento del fragmento<br />
Relleno<br />
Índice de parámetros de seguridad (“Security Parameters Index” o “SPI”) del interlocutor remoto *<br />
* = secciones autenticadas del paquete<br />
‡ = secciones encriptadas del paquete<br />
Número correlativo*<br />
Vector de inicialización * (IV) – Primeros 8 octetos del campo de datos<br />
Encabezado siguiente<br />
(4 para IP) * ‡<br />
El campo de siguiente encabezado indica el tipo de datos contenidos en el campo de carga de datos. En el modo<br />
de túnel, este valor es 4, indicando IP-en-IP. Si se aplica ESP en el modo de transporte, este valor indica un<br />
protocolo de capa de transporte, como 6 para TCP o 17 para UDP.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 21<br />
Auten-<br />
ticado
Capítulo 1 IPSec Paquetes IKE e IPSec<br />
Encabezado IP interno (IP1)<br />
Versión<br />
Tamaño del<br />
encabezado<br />
Tiempo de vida (“Time<br />
to Live” o “TTL”)<br />
Encabezado TCP<br />
Tamaño del<br />
encabezado<br />
Identificación<br />
Tipo de servicio Tamaño total del paquete (en bytes)<br />
Protocolo ( 6 para TCP )<br />
Dirección de origen (host iniciador)<br />
Dirección de destino (host receptor)<br />
Opciones IP (si las hay)<br />
Carga de datos<br />
0 D M Desplazamiento del fragmento<br />
Suma de comprobación del encabezado<br />
Puerto de origen Puerto de destino<br />
U<br />
Reservado R<br />
G<br />
Suma de<br />
comprobación<br />
A<br />
C<br />
K<br />
Número correlativo<br />
Número de reconocimiento<br />
P<br />
S<br />
H<br />
R<br />
S<br />
T<br />
S<br />
Y<br />
N<br />
F<br />
I<br />
N<br />
Opciones (si las hay)<br />
Datos<br />
Tamaño de la<br />
ventana<br />
Indicador<br />
“Urgente”<br />
Relleno<br />
Relleno<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 22
Capítulo 2<br />
Criptografía de claves públicas<br />
2<br />
En este capítulo se ofrece una introducción a la criptografía de claves públicas y al uso de certificados y listas de<br />
revocación de certificados (CRLs, o “Certificate Revocation Lists”) en el marco de las infraestructuras de claves<br />
públicas (PKI, o “Public Key Infraestructure”). El contenido del capítulo se divide en las siguientes secciones:<br />
“Introducción a la criptografía de claves públicas” en la página 24<br />
“PKI” en la página 26<br />
“Certificados y CRLs” en la página 29<br />
– “Obtención manual de un certificado” en la página 30<br />
– “Obtención automática de un certificado local” en la página 38<br />
– “Renovación automática de certificado” en la página 43<br />
“Comprobación de estado mediante OCSP” en la página 44<br />
– “Configuración de OCSP” en la página 45<br />
“Certificados autofirmados (“Self-Signed Certificates”)” en la página 47<br />
– “Asegurar el tráfico administrativo con SSL” en la página 48<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 23
Capítulo 2 Criptografía de claves públicas Introducción a la criptografía de claves públicas<br />
INTRODUCCIÓN A LA CRIPTOGRAFÍA DE CLAVES PÚBLICAS<br />
En la criptografía de claves públicas se utiliza el par formado por una clave pública y otra privada para encriptar y<br />
desencriptar datos. Los datos encriptados con una clave pública, que su propietario pone a disposición de otros<br />
usuarios, sólo pueden ser desencriptados con la clave privada correspondiente, que el propietario mantendrá<br />
protegida y en secreto. Por ejemplo, si Alicia quiere enviar a Juan un mensaje encriptado, utilizará la clave pública<br />
de él para encriptarlo y, a continuación, se lo enviará. Cuando reciba el mensaje, Juan podrá desencriptarlo con su<br />
clave privada.<br />
El método inverso también resulta de gran utilidad; esto es, encriptar los datos con una clave privada y que se<br />
puedan desencriptar con la clave pública correspondiente. Este método se conoce como firma digital. Si, por<br />
ejemplo, Alicia desea que se sepa que ella es la autora de un mensaje, lo encripta con su clave privada y lo envía<br />
de forma pública a Juan. A continuación, Juan sólo puede desencriptar los datos utilizando la clave pública de<br />
Alicia, lo que significa que lo ha enviado ella.<br />
Los conjuntos de claves privada y pública también desempeñan un importante papel en el uso de certificados<br />
digitales. El procedimiento para firmar un certificado (por parte de una autoridad de certificación) y, a continuación,<br />
verificar la firma (por parte del receptor), se desarrolla tal y como se indica a continuación:<br />
Firma de un certificado<br />
1. La autoridad de certificación (CA) que emite el certificado lo somete a una operación matemática en la que<br />
se utiliza un algoritmo “hash” (MD5 o SHA-1) para generar una codificación.<br />
2. A continuación, la CA “firma” el certificado encriptando la codificación con su clave privada. El resultado es<br />
una firma digital.<br />
3. La CA envía el certificado firmado digitalmente a la persona que lo solicitó.<br />
Verificación de una firma digital<br />
1. Cuando el destinatario recibe el certificado, también genera otra codificación aplicando el mismo algoritmo<br />
hash (MD5 o SHA-1) en el archivo de certificado.<br />
2. El destinatario utiliza la clave pública de la CA para desencriptar la firma digital.<br />
3. El destinatario compara la codificación desencriptada con la codificación que acaba de generar. Si ambas<br />
coinciden, el destinatario puede confirmar la integridad de la firma de la CA y, por extensión, la integridad<br />
del certificado que lo acompaña.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 24
Capítulo 2 Criptografía de claves públicas Introducción a la criptografía de claves públicas<br />
1. La CA genera la codificación A a partir del certificado<br />
utilizando el algoritmo hash MD5 o SHA-1.<br />
2. Con su clave privada, la CA encripta la codificación A. El<br />
resultado es la codificación B, la firma digital.<br />
3. La CA envía el certificado firmado digitalmente a la<br />
persona que lo solicitó.<br />
1. Genera la codificación A a partir del certificado utilizando<br />
MD5 o SHA-1.<br />
2. Utilizando la clave pública de la CA, desencripta la<br />
codificación B.<br />
3. Compara la codificación A con la B. Si coinciden, el<br />
receptor sabrá que el certificado no está manipulado.<br />
Codificación A<br />
Codificación A<br />
Algoritmo hash<br />
(MD5 o SHA-1)<br />
Algoritmo hash<br />
(MD5 o SHA-1)<br />
El procedimiento de firma digital de los mensajes enviados por dos participantes en una sesión IKE funciona de<br />
forma muy parecida, con las siguientes diferencias:<br />
En lugar de generar una codificación a partir del certificado de la CA, el emisor la genera a partir de los<br />
datos del paquete IP.<br />
En vez de utilizar el par de claves pública/privada de la CA, los participantes utilizan el par de claves<br />
pública/privada del emisor.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 25<br />
3<br />
Emisor (CA)<br />
Receptor<br />
2<br />
Comparación<br />
2<br />
1<br />
Cert.<br />
Codificación B<br />
Clave privada de la CA<br />
1<br />
Cert.<br />
Codificación B<br />
Clave pública de la CA
Capítulo 2 Criptografía de claves públicas PKI<br />
PKI<br />
El término infraestructura de claves públicas (PKI) hace referencia a la estructura jerárquica de confianza necesaria<br />
para la correcta implementación de la criptografía de claves públicas. Para verificar la fiabilidad de un certificado, es<br />
necesario poder identificar una ruta de CA fiables desde la CA que emite el certificado localmente hasta la autoridad<br />
raíz de un dominio de CA.<br />
Jerarquía de confianza de una PKI:<br />
dominio de CA<br />
La CA de nivel raíz valida las CA<br />
subordinadas.<br />
Las CAs subordinadas<br />
validan<br />
certificados locales y a<br />
otras CAs.<br />
Los certificados locales<br />
contienen la clave pública del<br />
usuario.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 26
Capítulo 2 Criptografía de claves públicas PKI<br />
Si los certificados se utilizan exclusivamente dentro de una organización, dicha organización puede tener su propio<br />
dominio de CA dentro del cual una CA de la empresa emite y valida certificados entre sus empleados. Si después<br />
esa organización desea que sus empleados puedan intercambiar sus certificados con otro dominio de CA (por<br />
ejemplo, con empleados de otra organización que tiene su propio dominio de CA), las dos CA pueden desarrollar<br />
una certificación cruzada; es decir, pueden llegar a un acuerdo para confiar mutuamente en la autoridad de cada<br />
una de ellas. En este caso, la estructura de la PKI no se extiende en vertical, sino en horizontal.<br />
Dominio CA: A Dominio CA: B<br />
Certificación<br />
cruzada<br />
Los usuarios del dominio A pueden utilizar sus certificados y pares de<br />
claves con los usuarios del dominio B porque ambas CA disponen de<br />
certificación cruzada entre sí.<br />
Por motivos prácticos y de comodidad, la PKI debe administrarse e implementarse de forma transparente. Para<br />
conseguirlo, <strong>NetScreen</strong> ScreenOS hace lo siguiente:<br />
1. Genera un par de claves pública/privada cuando se crea una petición de certificado.<br />
2. Proporciona esa clave pública como parte de la petición de certificado en un archivo de texto que se<br />
transmite a una autoridad de certificación (CA) para la inscripción del certificado (archivo PKCS #10).<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 27
Capítulo 2 Criptografía de claves públicas PKI<br />
3. Permite cargar el certificado local, el certificado de CA y la lista de revocación de certificados (CRL) 1 en la<br />
unidad.<br />
También puede especificar un intervalo de tiempo para actualizar la CRL automáticamente. Para obtener<br />
más información sobre las CRL, consulte “Certificados y CRLs” en la página 29.<br />
4. Permite enviar certificados cuando se establece un túnel IPSec.<br />
5. Admite la validación ascendente de rutas de certificados a través de ocho niveles de autoridades CA en la<br />
jerarquía PKI.<br />
6. Es compatible con la norma de criptografía PKCS #7, lo que significa que el dispositivo <strong>NetScreen</strong> puede<br />
aceptar certificados X.509 y CRL empaquetadas según la norma PKCS #7 2 . La compatibilidad con PKCS<br />
#7 permite enviar múltiples certificados X.509 dentro de una única petición PKI. Ahora es posible configurar<br />
PKI para validar a la vez todos los certificados enviados por la CA emisora.<br />
7. Admite recuperación de CRL en línea a través de LDAP o HTTP.<br />
1. La autoridad de certificación normalmente proporciona una CRL. Aunque puede cargar una CRL en el dispositivo <strong>NetScreen</strong>, no podrá verla una vez<br />
cargada.<br />
2. <strong>NetScreen</strong> admite un tamaño de archivo PKCS #7 de hasta 7 kB.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 28
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
CERTIFICADOS Y CRLS<br />
Un certificado digital es un método electrónico para verificar la identidad de un usuario utilizando la palabra de una<br />
tercera parte en la que se confía, conocida como autoridad de certificación (CA). El servidor de CA que esté utilizando<br />
puede ser propiedad de una CA independiente 3 o de su propia organización, en cuyo caso usted será su propia CA. Si<br />
utiliza una CA independiente, debe ponerse en contacto con ella para obtener las direcciones de los servidores de CA<br />
y CRL (y conseguir certificados y listas de revocación de certificados) o la información que dichos servidores necesitan<br />
cuando envían peticiones de certificados personales. Si es su propia CA, podrá hacerlo por sí mismo.<br />
Nota: ScreenOS dispone de un certificado de CA para las descargas de autenticación desde el servidor de archivos<br />
de firmas de virus y el servidor de la base de datos de objetos de ataque Deep Inspection (DI). Para obtener más<br />
información sobre el servidor de archivos de firmas de virus, consulte “Análisis antivirus” en la página 4 -86. Para<br />
obtener más información sobre el servidor de la base de datos de objetos de ataque DI, consulte “Servidor de la<br />
base de datos de objetos de ataque” en la página 4 -141.<br />
Para utilizar un certificado digital y así autenticar su identidad al establecer una conexión VPN segura, siga estos<br />
pasos:<br />
Genere una clave en el dispositivo <strong>NetScreen</strong>, envíela a una CA para obtener un certificado personal<br />
(también llamado certificado local) y cargue el certificado en el dispositivo <strong>NetScreen</strong>.<br />
Consiga un certificado de la CA que emitió el certificado personal (básicamente para verificar la identidad<br />
de la CA que lo verifica a usted) y cargue el certificado de la CA en el dispositivo <strong>NetScreen</strong>. Esto lo puede<br />
hacer manual o automáticamente, utilizando el protocolo SCEP (Simple Certificate Enrollment Protocol).<br />
Si el certificado no contiene la extensión de punto de distribución de certificados (CDP) y no recibe<br />
automáticamente la CRL a través de LDAP o HTTP, puede obtenerla manualmente y cargarla en el<br />
dispositivo <strong>NetScreen</strong>.<br />
Durante el proceso de negociación, puede haber muchos casos en los que sea necesario revocar un certificado. Es<br />
posible que quiera revocar un certificado si sospecha que es peligroso o si su propietario ha dejado la empresa. Las<br />
revocaciones y validaciones de certificados se pueden administrar localmente (aunque esta solución es limitada) o<br />
con referencia a la CRL de una CA, a la que se puede acceder en línea de forma automática en intervalos diarios,<br />
semanales o mensuales, o según el intervalo predefinido por la CA.<br />
3. <strong>NetScreen</strong> admite las siguientes CAs: Baltimore, Entrust, Microsoft, Netscape, RSA Keon y Verisign.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 29
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
Obtención manual de un certificado<br />
Para conseguir un certificado firmado digitalmente siguiendo el método manual, debe seguir estos pasos:<br />
1. Generar un par de claves pública/privada<br />
2. Rellenar la petición de certificado<br />
3. Enviar la petición a la CA que desee<br />
4. Una vez recibido el certificado firmado, cargarlo en el dispositivo <strong>NetScreen</strong> junto con el certificado de CA<br />
Ahora dispondrá de los siguientes elementos con los siguientes objetivos:<br />
Un certificado local para el dispositivo <strong>NetScreen</strong>, para autenticar su identidad en cada conexión de túnel<br />
Un certificado de CA (clave pública de la CA), para verificar el certificado del otro interlocutor<br />
Si la lista de revocación de certificados (CRL) está incluida en el certificado de CA 4 , una CRL para<br />
identificar certificados no válidos<br />
Cuando reciba estos archivos (los archivos de certificado suelen tener la extensión .cer y los archivos de CRL, la<br />
extensión .crl), cárguelos en el dispositivo <strong>NetScreen</strong> siguiendo el procedimiento descrito en la siguiente sección.<br />
Nota: Si piensa utilizar el correo electrónico para enviar el archivo PKCS #10 y obtener los certificados, debe<br />
configurar adecuadamente los ajustes de <strong>NetScreen</strong> para poder enviar mensajes de correo electrónico al<br />
administrador del sistema. Deberá establecer los servidores DNS principal y secundario, y especificar los ajustes<br />
de dirección del servidor SMTP y del servidor de correo.<br />
4. La CRL puede acompañar al certificado de CA y se puede almacenar en la base de datos de <strong>NetScreen</strong>. Alternativamente, el certificado de CA puede<br />
contener la URL de la CRL (ya sea LDAP o HTTP) si ésta se encuentra almacenada en la base de datos de la CA. Si es incapaz de obtener la CRL por<br />
cualquiera de los métodos, puede introducir manualmente los ajustes predeterminados del servidor para la URL de la CRL en el dispositivo <strong>NetScreen</strong>, tal<br />
y como se explica en “Ejemplo: Configuración de ajustes de CRL” en la página 36.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 30
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
Ejemplo: Petición de certificado manual<br />
Cuando se solicita un certificado, el dispositivo <strong>NetScreen</strong> genera un par de claves. La clave pública se incorpora<br />
en la propia petición y, posteriormente, en el certificado local firmado digitalmente que recibirá de la CA.<br />
En el siguiente ejemplo, el administrador de seguridad realiza una petición de certificado para Michael Zhang en el<br />
departamento de desarrollo de <strong>Juniper</strong> <strong>Networks</strong> en Sunnyvale, California. Este certificado se utilizará en un<br />
dispositivo <strong>NetScreen</strong> con la dirección IP 10.10.5.44. El administrador ordena al dispositivo <strong>NetScreen</strong> que envíe la<br />
petición por correo electrónico al administrador de seguridad, que tiene la dirección admin@juniper.net. A<br />
continuación, el administrador de seguridad copia la petición y la pega en el campo de texto de petición de<br />
certificado en el punto de inscripción de certificados de la CA. Una vez finalizado el proceso de inscripción, la CA<br />
normalmente devuelve el certificado por correo electrónico al administrador de seguridad.<br />
Nota: Antes de generar una petición de certificado, compruebe que ha ajustado el reloj del sistema y que ha<br />
asignado un nombre de host y un nombre de dominio al dispositivo <strong>NetScreen</strong>. Si el dispositivo <strong>NetScreen</strong> se<br />
encuentra en un clúster NSRP, sustituya el nombre de host por un nombre de clúster. (Para obtener más<br />
información, consulte “Nombre de clúster” en la página 10 -18).<br />
WebUI<br />
1. Generación del certificado<br />
Objects > Certificates > New: Introduzca los siguientes datos y haga clic en Generate :<br />
Name: Michael Zhang<br />
Phone: 408-730-6000<br />
Unit/Department: Development<br />
Organization: <strong>Juniper</strong> <strong>Networks</strong><br />
County/Locality: Sunnyvale<br />
State: CA<br />
Country: US<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 31
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
E-mail: mzhang@juniper.net 5<br />
IP Address: 10.10.5.44<br />
Write to file: (seleccione)<br />
RSA: (seleccione)<br />
Create new key pair of 1024 6 length: (seleccione)<br />
El dispositivo <strong>NetScreen</strong> genera un archivo PKCS #10 y solicita que envíe el archivo por correo electrónico,<br />
lo guarde en disco o lo inscriba automáticamente a través del protocolo SCEP (“Simple Certificate<br />
Enrollment Protocol”).<br />
Seleccione la opción E-mail to , escriba admin@juniper.net y haga clic en OK 7 .<br />
2. Petición de certificado<br />
El administrador de seguridad abre el archivo y copia su contenido, procurando copiar el texto completo<br />
pero no los espacios en blanco situados delante o detrás del texto (comenzando por “-----BEGIN<br />
CERTIFICATE REQUEST-----” y finalizando en “-----END CERTIFICATE REQUEST-----”).<br />
A continuación, el administrador de seguridad sigue las direcciones de la petición de certificado en el sitio<br />
web de la CA, pegando el archivo PKCS #10 en el campo apropiado.<br />
3. Recuperación del certificado<br />
Cuando el administrador de seguridad recibe el certificado de la CA por correo electrónico, se lo reenvía a<br />
usted. Cópielo en un archivo de texto y guárdelo en su estación de trabajo (para después cargarlo en el<br />
dispositivo <strong>NetScreen</strong> a través de la interfaz WebUI) o en un servidor TFTP (para cargarlo a través de CLI).<br />
5. Ciertas CA no admiten direcciones de correo electrónico en los certificados. Si no incluye una dirección de correo electrónico en la petición de certificado<br />
local, no podrá utilizarla como identificación de IKE local al configurar el dispositivo <strong>NetScreen</strong> como interlocutor dinámico. En su lugar, podrá utilizar un<br />
nombre de dominio completo (si se encuentra en el certificado local) o dejar el campo vacío. De forma predeterminada, el dispositivo <strong>NetScreen</strong> envía su<br />
nombrehost.nombredominio. Si no especifica la identificación local para un interlocutor dinámico, introduzca el nombrehost.nombredominio del interlocutor<br />
en el dispositivo que se encuentra en el otro extremo del túnel IPSec en el campo de identificación del interlocutor.<br />
6. El valor 1024 indica la longitud en bits del par de claves. Si va a utilizar el certificado para SSL (consulte “Secure Sockets Layer” en la página 3 -8), asegúrese<br />
de que utiliza una longitud de bits que también sea compatible con su explorador web.<br />
7. Si utiliza la dirección de correo electrónico, se supone que ya ha configurado la dirección IP para el servidor SMTP:<br />
set admin mail server-name { ip_addr | dom_name }.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 32
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
CLI<br />
1. Generación del certificado<br />
set pki x509 dn country-name US<br />
set pki x509 dn email mzhang@juniper.net<br />
set pki x509 dn ip 10.10.5.44<br />
set pki x509 dn local-name “Santa Clara”<br />
set pki x509 dn name “Michael Zhang”<br />
set pki x509 dn org-name “<strong>Juniper</strong> <strong>Networks</strong>”<br />
set pki x509 dn org-unit-name Development<br />
set pki x509 phone 408-730-6000<br />
set pki x509 dn state-name CA<br />
set pki x509 default send-to admin@juniper.net 8<br />
exec pki rsa new-key 1024<br />
La petición de certificado se envía por correo electrónico a admin@juniper.net.<br />
2. Petición de certificado<br />
El administrador de seguridad abre el archivo y copia su contenido, procurando copiar el texto completo<br />
pero no los espacios en blanco situados delante o detrás del texto (comenzando por “-----BEGIN<br />
CERTIFICATE REQUEST-----” y finalizando en “-----END CERTIFICATE REQUEST-----”).<br />
A continuación, el administrador de seguridad sigue las direcciones de la petición de certificado en el sitio<br />
web de la CA, pegando el archivo PKCS #10 en el campo apropiado.<br />
3. Recuperación del certificado<br />
Cuando el administrador de seguridad recibe el certificado de la CA por correo electrónico, se lo reenvía a<br />
usted. Cópielo en un archivo de texto y guárdelo en su estación de trabajo (para después cargarlo en el<br />
dispositivo <strong>NetScreen</strong> a través de la interfaz WebUI) o en un servidor TFTP (para cargarlo a través de CLI).<br />
8. Si utiliza la dirección de correo electrónico, se supone que ya ha configurado la dirección IP para el servidor SMTP:<br />
set admin mail server-name { ip_addr | dom_name }.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 33
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
Ejemplo: Carga de certificados y CRLs<br />
La CA le devuelve los siguientes tres archivos para que los cargue en el dispositivo <strong>NetScreen</strong>:<br />
Un certificado de CA, que contiene la clave pública de la CA<br />
Un certificado local, que identifica su equipo local (su clave pública)<br />
Una CRL, que enumera los certificados revocados por la CA<br />
Para el ejemplo con la WebUI, habrá descargado los archivos a un directorio llamado C:\certs\ns en la estación de<br />
trabajo del administrador. Para el ejemplo con CLI, habrá descargado el directorio raíz TFTP a un servidor TFTP<br />
con la dirección IP 198.168.1.5.<br />
Nota: Los dispositivos <strong>NetScreen</strong> configurados con ScreenOS 2.5 o versiones posteriores, incluyendo los sistemas<br />
virtuales, permiten cargar certificados locales desde distintas CAs.<br />
En este ejemplo se muestra cómo se deben cargar dos archivos distintos, llamados auth.cer (certificado de CA) y<br />
local.cer (su clave pública), y el archivo de CRL, llamado distrust.crl.<br />
WebUI<br />
1. Objects > Certificates: Seleccione Load Cert y haga clic en Browse .<br />
2. Acceda al directorio C:\certs, seleccione auth.cer y haga clic en Open .<br />
La ruta del directorio y el nombre de archivo (C:\certs\ns\auth.cer) aparecerán en el campo File Browse.<br />
3. Haga clic en Load .<br />
Se cargará el archivo local.cer.<br />
4. Objects > Certificates: Seleccione Load Cert y haga clic en Browse .<br />
5. Acceda al directorio C:\certs, seleccione local.cer y haga clic en Open .<br />
La ruta del directorio y el nombre de archivo (C:\certs\ns\local.cer) aparecerán en el campo File Browse.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 34
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
6. Haga clic en Load .<br />
Se cargará el archivo local.cer.<br />
7. Objects > Certificates: Seleccione Load CRL y haga clic en Browse .<br />
8. Acceda al directorio C:\certs, seleccione distrust.crl y haga clic en Open .<br />
9. Haga clic en Load .<br />
CLI<br />
Se cargará el archivo de CRL distrust.crl.<br />
exec pki x509 tftp 198.168.1.5 cert-name auth.cer<br />
exec pki x509 tftp 198.168.1.5 cert-name local.cer<br />
exec pki x509 tftp 198.168.1.5 crl-name distrust.crl<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 35
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
Ejemplo: Configuración de ajustes de CRL<br />
En la fase 1 de las negociaciones, los participantes consultan la lista CRL para comprobar si los certificados<br />
recibidos durante un intercambio IKE siguen siendo válidos. Si una CRL determinada no acompaña al certificado de<br />
CA correspondiente y no está cargada en la base de datos de <strong>NetScreen</strong>, el dispositivo <strong>NetScreen</strong> intentará<br />
recuperarla mediante la URL de LDAP o HTTP 9 definida en el propio certificado. Si no hay ninguna dirección URL<br />
definida en el certificado de CA, el dispositivo <strong>NetScreen</strong> utiliza la URL del servidor definido para ese certificado de<br />
CA. Si no define ninguna URL de CRL para un certificado de CA determinado, el dispositivo <strong>NetScreen</strong> utilizará el<br />
servidor CRL de la dirección URL de CRL predeterminada.<br />
Nota: Con ScreenOS 2.5 y versiones posteriores, al cargar la CRL puede desactivar la comprobación de firmas<br />
digitales. Sin embargo, si desactiva la comprobación del certificado de CRL pondrá en peligro la seguridad del<br />
dispositivo <strong>NetScreen</strong>.<br />
En este ejemplo, primero configurará el servidor de CA Entrust para comprobar la CRL diariamente mediante una<br />
conexión al servidor LDAP ubicado en 2.2.2.121 y la localización del archivo de CRL. A continuación configurará los<br />
ajustes predeterminados de validación de certificados para su uso en el servidor LDAP ubicado en 10.1.1.200,<br />
comprobando también diariamente la CRL.<br />
Nota: El número de índice (IDX) para el certificado de Entrust CA es 1. Para poder ver una lista de los números<br />
IDX de todos los certificados de CA cargados en un dispositivo <strong>NetScreen</strong>, utilice el siguiente comando CLI:<br />
get pki x509 list ca-cert .<br />
WebUI<br />
Objects > Certificates (Show: CA) > Server Settings (para <strong>NetScreen</strong>): Introduzca los siguientes datos y<br />
haga clic en OK :<br />
X509 Cert_Path Validation Level: Full<br />
CRL Settings:<br />
9. La extensión del punto de distribución de la CRL (.cdp) en un certificado X509 puede ser una URL HTTP o una URL LDAP.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 36
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
CLI<br />
URL Address: ldap:///CN=Entrust,CN=en2001,CN=PublicKeyServices,<br />
CN=Services,CN=Configuration,DC=EN2001,DC=com?CertificateRevocat<br />
ionList?base?objectclass=CRLDistributionPoint<br />
LDAP Server: 2.2.2.121<br />
Refresh Frequency: Daily<br />
Objects > Certificates > Default Cert Validation Settings: Introduzca los siguientes datos y haga clic en OK :<br />
X509 Certificate Path Validation Level: Full<br />
Certificate Revocation Settings:<br />
Check Method: CRL<br />
URL Address: ldap:///CN=<strong>NetScreen</strong>,CN=safecert,CN=PublicKeyServices,<br />
CN=Services,CN=Configuration,DC=SAFECERT,DC=com?CertificateRev<br />
ocationList?base?objectclass=CRLDistributionPoint<br />
LDAP Server: 10.1.1.200<br />
set pki authority 1 cert-path full<br />
set pki authority 1 cert-status crl url “ldap:///CN=Entrust,CN=en2001,<br />
CN=PublicKeyServices,CN=Services,CN=Configuration,DC=EN2000,DC=com?Certific<br />
ateRevocationList?base?objectclass=CRLDistributionPoint”<br />
set pki authority 1 cert-status crl server-name 2.2.2.121<br />
set pki authority 1 cert-status crl refresh daily<br />
set pki authority default cert-path full<br />
set pki authority default cert-status crl url “ldap:///CN=<strong>NetScreen</strong>,<br />
CN=safecert,CN=PublicKeyServices,CN=Services,CN=Configuration,DC=SAFECERT,<br />
DC=com?CertificateRevocationList?base?objectclass=CRLDistributionPoint”<br />
set pki authority default cert-status crl server-name 10.1.1.200<br />
set pki authority default cert-status crl refresh daily<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 37
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
Obtención automática de un certificado local<br />
Para utilizar un certificado digital y así autenticar su identidad al establecer una conexión VPN segura, siga estos<br />
pasos:<br />
Consiga el certificado de una autoridad de certificación (CA) de la cual desee obtener un certificado<br />
personal y cárguelo en el dispositivo <strong>NetScreen</strong>.<br />
Obtenga un certificado local (también llamado certificado personal) de la CA cuyo certificado de CA ya ha<br />
cargado y, a continuación, cargue el certificado local en el dispositivo <strong>NetScreen</strong>. Esto lo puede hacer<br />
manual o automáticamente, utilizando el protocolo SCEP (“Simple Certificate Enrollment Protocol”).<br />
Como durante el método manual para solicitar certificados locales se le va a pedir que copie información de un<br />
certificado a otro, puede llegar a ser un proceso largo. Para evitarlo, puede utilizar el método automático.<br />
Nota: Antes de utilizar el protocolo SCEP, debe llevar a cabo estas tareas:<br />
Configurar y habilitar DNS (consulte “Compatibilidad con DNS (sistema de nombres de dominio)” en la<br />
página 2 -379).<br />
Ajustar el reloj del sistema (consulte “Reloj del sistema” en la página 2 -467).<br />
Asignar un nombre de host y un nombre de dominio al dispositivo <strong>NetScreen</strong>. Si el dispositivo <strong>NetScreen</strong> se<br />
encuentra en un clúster NSRP, sustituya el nombre de host por un nombre de clúster. (Para obtener más<br />
información, consulte “Nombre de clúster” en la página 10 -18).<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 38
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
Ejemplo: Petición automática de certificado<br />
En este ejemplo seguirá el método automático para solicitar un certificado local. Para ello utilizará el protocolo<br />
SCEP con la autoridad de certificación Verisign. Establecerá los siguientes ajustes de CA:<br />
Validación de la ruta de certificado completa<br />
RA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe 10<br />
CA CGI: http://ipsec.verisign.com/cgi-bin/pkiclient.exe<br />
Confirmación automática de la integridad de los certificados de CA<br />
CA ID, que identifica un servidor SCEP, donde el servidor SCEP de Verisign utilizará un nombre de<br />
dominio, como juniper.net, o un dominio establecido por Verisign para su empresa<br />
Contraseña de desafío<br />
Sondeo automático de certificado cada 30 minutos (de forma predeterminada no se realiza ningún sondeo)<br />
A continuación generará un par de claves RSA, especificando una longitud de 1024 bits, e iniciará la operación<br />
SCEP para solicitar un certificado local de la CA Verisign con los ajustes de CA anteriormente mencionados.<br />
Si utiliza la interfaz WebUI, hará referencia a los certificados de CA por su nombre. Si utiliza CLI, hará referencia a<br />
los certificados de CA por su número de índice (IDX). En este ejemplo, el número IDX de la CA Verisign es “1”. Para<br />
consultar los números IDX para los certificados de CA, utilice el siguiente comando: get pki x509 list ca-cert .<br />
Aparecerá un número IDX y un número de ID para cada certificado. Apunte el número IDX y utilícelo para hacer<br />
referencia al certificado de CA en los comandos.<br />
10. La interfaz de puerta de enlace común (CGI, o “Common Gateway Interface”) es un método estándar que utilizan los servidores web para enviar una petición<br />
de usuario a un programa de aplicación y recibir a cambio datos. La interfaz CGI forma parte del protocolo de transferencia de hipertexto (HTTP, o “Hypertext<br />
Transfer Protocol”). Debe especificar una ruta RA CGI aunque la autoridad de registro (RA) no exista. Si la RA no existe, utilice el valor especificado para<br />
la CA CGI.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 39
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
WebUI<br />
1. Ajustes del servidor de CA<br />
Objects > Certificates > Show CA > Server Settings (para Verisign): Introduzca los siguientes datos y haga<br />
clic en OK :<br />
X509 certificate path validation level: Full<br />
SCEP Settings:<br />
RA CGI: http://ipsec.verisigncom/cgi-bin/pkiclient.exe<br />
CA CGI: http://ipsec.verisigncom/cgi-bin/pkiclient.exe<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica CA Server<br />
Settings:<br />
Polling Interval: 30<br />
Certificate Authentication: Auto<br />
Certificate Renew: 14<br />
2. Petición de certificado local<br />
Objects > Certificates > New: Introduzca los siguientes datos y haga clic en Generate :<br />
Name: Michael Zhang<br />
Phone: 408-730-6000<br />
Unit/Department: Development<br />
Organization: <strong>Juniper</strong> <strong>Networks</strong><br />
County/Locality: Sunnyvale<br />
State: CA<br />
Country: US<br />
Email: mzhang@juniper.net<br />
IP Address: 10.10.5.44<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 40
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
Key Pair Information:<br />
RSA: (seleccione)<br />
Create new key pair of 1024 11 length.<br />
Ejecute el comando CLI get pki x509 pkcs para que el dispositivo <strong>NetScreen</strong> genere un archivo PKCS #10<br />
y, a continuación, siga uno de estos pasos:<br />
– Envíe el archivo PKCS #10 de petición de certificado a una dirección de correo electrónico<br />
– Guárdelo en disco<br />
– Inscríbalo automáticamente enviando el archivo a una CA que admita el protocolo SCEP<br />
3. Inscripción automática<br />
Seleccione la opción Automatically enroll to , luego la opción Existing CA server settings y, finalmente,<br />
Verisign en la lista desplegable.<br />
Póngase en contacto con Verisign para informarles sobre su petición de certificado. Verisign debe autorizar<br />
la petición de certificado antes de que usted pueda descargarlo.<br />
11. El valor 1024 indica la longitud en bits del par de claves. Si va a utilizar el certificado para SSL, asegúrese de que utiliza una longitud de bits que también<br />
sea compatible con su explorador web.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 41
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
CLI<br />
1. Ajustes del servidor de CA<br />
set pki authority 1 cert-path full<br />
set pki authority 1 scep ca-cgi “http://ipsec.verisign.com/cgi-bin<br />
/pkiclient.exe” 12<br />
set pki authority 1 scep ra-cgi “http://ipsec.verisign.com/cgi-bin<br />
/pkiclient.exe” 13<br />
set pki authority 1 scep polling-int 30<br />
set pki authority 1 scep renew-start 14<br />
2. Petición de certificado local<br />
set pki x509 dn country-name US<br />
set pki x509 dn email mzhang@juniper.net<br />
set pki x509 dn ip 10.10.5.44<br />
set pki x509 dn local-name “Santa Clara”<br />
set pki x509 dn name “Michael Zhang”<br />
set pki x509 dn org-name “<strong>Juniper</strong> <strong>Networks</strong>”<br />
set pki x509 dn org-unit-name Development<br />
set pki x509 phone 408-730-6000<br />
set pki x509 dn state-name CA<br />
exec pki rsa new 1024<br />
3. Inscripción automática<br />
exec pki x509 scep 1<br />
Si ésta es la primera petición de certificado que envía a esta CA, aparecerá un mensaje presentando un<br />
valor de marca de identidad para el certificado de CA. Debe ponerse en contacto con la CA para confirmar<br />
que se trata del certificado de CA correcto.<br />
Póngase en contacto con Verisign para informarles sobre su petición de certificado. Verisign debe autorizar<br />
la petición de certificado antes de que usted pueda descargarlo.<br />
12. La interfaz de puerta de enlace común (CGI, o “Common Gateway Interface”) es un método estándar que utilizan los servidores web para enviar una petición<br />
de usuario a un programa de aplicación y recibir a cambio datos. La interfaz CGI forma parte del protocolo de transferencia de hipertexto (HTTP, o “Hypertext<br />
Transfer Protocol”).<br />
13. Debe especificar una ruta RA CGI aunque la autoridad de registro (RA) no exista. Si la RA no existe, utilice el valor especificado para la CA CGI.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 42
Capítulo 2 Criptografía de claves públicas Certificados y CRLs<br />
Renovación automática de certificado<br />
Puede habilitar el dispositivo <strong>NetScreen</strong> para que renueve automáticamente los certificados adquiridos a través de<br />
SCEP. Esta función evita tener que acordarse de renovar los certificados en el dispositivo <strong>NetScreen</strong> antes de que<br />
venzan y, gracias al token, mantiene la validez de los certificados en todo momento.<br />
De forma predeterminada, esta función está inhabilitada. Puede configurar el dispositivo <strong>NetScreen</strong> para que envíe<br />
automáticamente una petición para renovar un certificado antes de que venza. Puede establecer el momento en<br />
que desee que el dispositivo <strong>NetScreen</strong> envíe la petición de renovación del certificado en días y minutos antes de la<br />
fecha de vencimiento. Si establece momentos distintos para cada certificado, evitará que el dispositivo <strong>NetScreen</strong><br />
tenga que renovar todos los certificados al mismo tiempo.<br />
Para evitar problemas con esta función, el dispositivo <strong>NetScreen</strong> debe ser capaz de acceder al servidor SCEP y el<br />
certificado debe estar presente en el propio dispositivo <strong>NetScreen</strong> durante el proceso de renovación. También debe<br />
asegurarse de que la CA que emite el certificado pueda hacer lo siguiente:<br />
Admitir la aprobación automática de peticiones de certificado.<br />
Devolver el mismo nombre de dominio (DN). En otras palabras, la CA no debe modificar el nombre del<br />
sujeto ni la extensión SubjectAltName en el nuevo certificado.<br />
Puede activar y desactivar la función de renovación automática de certificados SCEP para todos los certificados<br />
SCEP o de forma individual.<br />
Generación de pares de claves<br />
Los dispositivos <strong>NetScreen</strong> guardan en memoria las claves generadas automáticamente. El número de claves<br />
depende del modelo de dispositivo. Durante el funcionamiento normal, el dispositivo <strong>NetScreen</strong> es capaz de<br />
disponer de claves suficientes para renovar certificados, puesto que cada vez que utiliza una clave genera otra<br />
nueva. El proceso de generación de claves normalmente se ejecuta en segundo plano a medida que el dispositivo<br />
tiene tiempo para generar una nueva clave antes de que se necesite utilizar otra. En caso de que el dispositivo<br />
<strong>NetScreen</strong> renueve un gran número de certificados al mismo tiempo y tenga que utilizar claves rápidamente, podría<br />
llegar a quedarse sin claves y tener que generarlas inmediatamente con cada nueva petición. En este caso, la<br />
generación de claves puede afectar al rendimiento del dispositivo <strong>NetScreen</strong>. Especialmente en un entorno de HA<br />
(alta disponibilidad), donde el rendimiento del dispositivo <strong>NetScreen</strong> puede disminuir durante una serie de minutos.<br />
El número de pares de claves generadas automáticamente en un dispositivo <strong>NetScreen</strong> depende del modelo. Para<br />
más información, consulte la hoja de especificaciones de su producto <strong>NetScreen</strong>.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 43
Capítulo 2 Criptografía de claves públicas Comprobación de estado mediante OCSP<br />
COMPROBACIÓN DE ESTADO MEDIANTE OCSP<br />
Cuando un dispositivo <strong>NetScreen</strong> realiza una operación en la que se utiliza un certificado, suele ser importante<br />
verificar su validez. Los certificados pueden quedar invalidados por vencimiento o por revocación. La forma habitual<br />
de comprobar el estado de los certificados es utilizar las listas de revocación de certificados (CRLs). El protocolo de<br />
estado de certificado en línea (OCSP, u “Online Certificate Status Protocol”) es otra forma de comprobar el estado<br />
de los certificados. Este protocolo ofrece información adicional sobre los certificados y realiza comprobaciones de<br />
estado periódicas.<br />
Cuando un dispositivo <strong>NetScreen</strong> utiliza el protocolo OCSP, se le considera el cliente OCSP (o solicitante). Dicho<br />
cliente envía una petición de verificación a un servidor llamado servidor de respuesta OCSP. ScreenOS es<br />
compatible con RSA Keon y Verisign como servidores de respuesta OCSP 14 . La petición del cliente incluye la<br />
identidad del certificado que se debe comprobar. Antes de que el dispositivo <strong>NetScreen</strong> pueda realizar operaciones<br />
OCSP, debe configurarlo para que reconozca la ubicación del servidor de respuesta OCSP.<br />
Una vez recibida la petición, el servidor de respuesta OCSP confirma que la información de estado del certificado<br />
está disponible y, a continuación, devuelve el estado actual al dispositivo <strong>NetScreen</strong>. La respuesta del servidor<br />
OCSP contiene el estado de revocación del certificado, el nombre del servidor de respuesta y el periodo de validez<br />
de la respuesta. A menos que la respuesta sea un mensaje de error, el servidor de respuesta firmará la respuesta<br />
utilizando su clave privada. El dispositivo <strong>NetScreen</strong> verifica la validez de la firma del servidor de respuesta<br />
utilizando su certificado. Este certificado del servidor de respuesta puede estar incorporado en la respuesta OCSP<br />
o almacenado localmente y especificado en la configuración de OCSP. Si el certificado está almacenado<br />
localmente, utilice el siguiente comando para especificar el certificado almacenado localmente:<br />
set pki authority id_num1 cert-status ocsp cert-verify id id_num2<br />
id_num1 identifica el certificado de CA que emitió el certificado que se va a verificar; id_num2 identifica el<br />
certificado almacenado localmente que el dispositivo utiliza para verificar la firma en la respuesta OCSP.<br />
Si el certificado del servidor de respuesta no está incorporado en la respuesta OCSP o almacenado localmente, el<br />
dispositivo <strong>NetScreen</strong> verifica la firma utilizando el certificado de la CA que emitió el certificado en cuestión.<br />
14. <strong>Juniper</strong> <strong>Networks</strong> también ha sido evaluado satisfactoriamente con el servidor de respuesta OCSP Valicert durante un examen exhaustivo en el pasado.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 44
Capítulo 2 Criptografía de claves públicas Comprobación de estado mediante OCSP<br />
Configuración de OCSP<br />
Puede utilizar comandos CLI para configurar un dispositivo <strong>NetScreen</strong> para OCSP. La mayoría de estos comandos<br />
utilizan un número de identificación para asociar la URL de referencia de la revocación con el certificado de CA.<br />
Puede obtener este número ID con el siguiente comando CLI:<br />
get pki x509 list ca-cert<br />
Nota: El dispositivo <strong>NetScreen</strong> asigna de forma dinámica el número ID del certificado de CA cuando se elabora la<br />
lista de certificados de CA. Este número puede cambiar si se modifica el almacenamiento de certificados.<br />
Especificación de CRL u OCSP<br />
Para especificar el método de comprobación de revocaciones (CRL, OCSP o ninguno) para un certificado de una<br />
determinada CA, utilice la siguiente sintaxis en CLI:<br />
set pki authority id_num cert-status revocation-check { CRL | OCSP | none }<br />
donde id_num será el número de identificación del certificado.<br />
El siguiente ejemplo especifica la comprobación de revocaciones con OCSP.<br />
set pki authority 3 cert-status revocation-check ocsp<br />
El número de ID 3 identifica el certificado de la CA.<br />
Visualización de los atributos de comprobación de estado<br />
Para visualizar los atributos de comprobación de estado de una CA determinada, utilice la siguiente sintaxis en CLI:<br />
get pki authority id_num cert-status<br />
donde id_num será el número de identificación del certificado emitido por la CA.<br />
Para visualizar los atributos de comprobación de estado para la CA que emitió el certificado 7:<br />
get pki authority 7 cert-status<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 45
Capítulo 2 Criptografía de claves públicas Comprobación de estado mediante OCSP<br />
Especificación de la URL de un servidor de respuesta OCSP<br />
Para especificar la cadena de URL de un servidor de respuesta OCSP para un certificado en particular, utilice la<br />
siguiente sintaxis en CLI:<br />
set pki authority id_num cert-status ocsp url url_str<br />
Para especificar la cadena de URL de un servidor de respuesta OCSP (http:\\192.168.10.10) para la CA con<br />
certificado 5, utilice la siguiente sintaxis en CLI:<br />
set pki authority 5 cert-status ocsp url http:\\192.168.10.10<br />
Para eliminar la URL (http:\\192.168.2.1) de un servidor de CRL para el certificado 5:<br />
unset pki authority 5 cert-status ocsp url http:\\192.168.2.1<br />
Eliminación de atributos de comprobación de estado<br />
Para eliminar todos los atributos de comprobación de estado de una CA emisora de un determinado certificado,<br />
utilice la siguiente sintaxis:<br />
unset pki authority id_num cert-status<br />
Para eliminar todos los atributos de revocación relativos al certificado 1:<br />
unset pki authority 1 cert-status<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 46
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)<br />
CERTIFICADOS AUTOFIRMADOS (“SELF-SIGNED CERTIFICATES”)<br />
Un certificado autofirmado es un certificado firmado y publicado por la misma entidad; es decir, el emisor y el sujeto<br />
del certificado coinciden. Por ejemplo, los certificados CA de todas las autoridades de certificación raíz (CAs) son<br />
autofirmados.<br />
Los dispositivos <strong>NetScreen</strong> generan automáticamente un certificado autofirmado al encenderse, si no hay ningún<br />
certificado ya configurado para Secure Sockets Layer (SSL), como es el caso cuando se enciende por primera vez.<br />
El dispositivo <strong>NetScreen</strong> que crea un certificado autogenerado y autofirmado es el único dispositivo que lo utiliza. El<br />
dispositivo nunca exporta este certificado fuera de sí mismo. Aunque el dispositivo <strong>NetScreen</strong> se encuentra en un<br />
clúster del protocolo de redundancia de <strong>NetScreen</strong> (“<strong>NetScreen</strong> Redundancy Protocol” o “NSRP”), no incluye el<br />
certificado autofirmado y autogenerado con otros tipos de certificados al sincronizar objetos PKI con otros<br />
miembros del clúster. (Los miembros del NSRP intercambian certificados autofirmados generados manualmente.<br />
Para obtener información sobre la generación manual de certificados autofirmados, consulte “Creación manual de<br />
certificados autofirmados” en la página 51).<br />
Aunque no se pueden exportar certificados autofirmados y autogenerados, puede copiar su nombre de sujeto y<br />
huella. A continuación, puede entregarlo a un administrador remoto que más adelante podrá utilizar el nombre del<br />
sujeto y la huella digital para verificar el certificado autofirmado recibido durante las negociaciones SSL. Comprobar<br />
el nombre del sujeto y la huella digital es una precaución importante contra los ataques por interposición de intrusos<br />
(“man-in-the-middle attacks”), en los que alguien intercepta un intento de conexión SSL y finge ser el dispositivo<br />
<strong>NetScreen</strong> de destino, respondiendo con su propio certificado autofirmado. (Para obtener más información sobre la<br />
verificación de certificados autofirmados, consulte “Validación de certificados” en la página 49).<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 47
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)<br />
Asegurar el tráfico administrativo con SSL<br />
Puede utilizar un certificado autofirmado al establecer una conexión Secure Sockets Layer (SSL) con el dispositivo<br />
<strong>NetScreen</strong>. Si administra el dispositivo a través de WebUI, SSL puede proporcionar autenticación y encriptación<br />
para asegurar su tráfico administrativo. Puede incluso configurar un dispositivo <strong>NetScreen</strong> para redirigir un intento<br />
de conexión administrativo utilizando HTTP (puerto predeterminado 80) hacia SSL (puerto predeterminado 443).<br />
Nota: Para obtener más información sobre SSL, incluyendo el mecanismo de redirección HTTP-a-SSL, consulte<br />
“Secure Sockets Layer” en la página 3 -8.<br />
De forma predeterminada, el dispositivo <strong>NetScreen</strong> pone a disposición el certificado autofirmado y autogenerado<br />
para las negociaciones SSL. Es el certificado SSL predeterminado. Si más adelante instala un certificado firmado<br />
por una CA o configura el dispositivo <strong>NetScreen</strong> para que genere otro certificado autofirmado 15 , puede utilizar uno<br />
de estos otros certificados para SSL. Si elimina el certificado autofirmado y autogenerado y no asigna otro<br />
certificado para su uso en SSL, el dispositivo <strong>NetScreen</strong> genera automáticamente otro certificado autofirmado la<br />
próxima vez que el dispositivo se reinicie 16 .<br />
15. Para averiguar cómo crear otro certificado autofirmado, consulte “Creación manual de certificados autofirmados” en la página 51.<br />
16. Para averiguar cómo eliminar un certificado autofirmado y autogenerado, consulte “Eliminación de certificados autofirmados” en la página 60.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 48
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)<br />
Validación de certificados<br />
Durante el establecimiento de conexión SSL, el dispositivo <strong>NetScreen</strong> se autentica enviando un certificado al cliente<br />
SSL. Cuando el dispositivo <strong>NetScreen</strong> envía un certificado autofirmado, el cliente SSL no puede validarlo<br />
comprobando la firma de la CA emisora porque no la publicó ninguna CA. No obstante, cuando el dispositivo<br />
<strong>NetScreen</strong> presenta un certificado autofirmado para establecer una sesión SSL, el explorador web del equipo del<br />
administrador intenta validarlo con un certificado CA en su almacén de CAs (autoridades de certificación). Si no<br />
puede encontrar esa autoridad, el explorador visualiza un mensaje como el siguiente, pidiendo al administrador que<br />
acepte o rechace el certificado en cuestión:<br />
Cuando un explorador recibe un certificado<br />
autofirmado, pueden aparecer dos tipos de alertas<br />
de seguridad.<br />
Si esta es la primera vez que se conecta al dispositivo <strong>NetScreen</strong> después de su arranque inicial, el reloj del<br />
sistema puede no estar en hora. Por lo tanto, el período de validez indicado en el certificado también puede ser<br />
inexacto. Aunque ponga en hora el reloj del sistema y regenere un certificado autofirmado, el explorador web nunca<br />
podrá encontrar una CA que lo autentique, por lo que el administrador debe estar preparado para obtener uno de<br />
los mensajes antedichos cada vez que el dispositivo <strong>NetScreen</strong> utilice un certificado autofirmado para una conexión<br />
SSL.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 49
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)<br />
Sin poder recurrir a la validación del certificado por parte de una CA imparcial e independiente, el administrador que<br />
inicie una sesión a través de SSL podría preguntarse si el certificado autofirmado recibido realmente procede del<br />
dispositivo <strong>NetScreen</strong> al que está intentando conectarse. (Después de todo, el certificado podría ser un impostor<br />
que esté utilizando un ataque por interposición de intrusos (man-in-the-middle attack) para intentar enmascararse<br />
como dispositivo <strong>NetScreen</strong>). El administrador puede validar el certificado recibido utilizando el nombre del sujeto y<br />
la huella digital del certificado autofirmado. Puede entregar el nombre del sujeto y la huella digital al administrador<br />
para que pueda validar el certificado autofirmado cuando el dispositivo <strong>NetScreen</strong> lo suministre más adelante para<br />
autenticarse.<br />
Para consultar el nombre del sujeto y la huella digital de un certificado autofirmado y autogenerado, utilice el<br />
comando siguiente 17 :<br />
ns-> get pki x509 cert system<br />
. . .<br />
CN=0043022002000186,CN=system generated,CN=self-signed,<br />
. . .<br />
finger print (md5) <br />
finger print (sha) <br />
Después de ver el nombre del sujeto y la huella digital, puede copiarlos y entregarlos (con el método seguro y “fuera<br />
de banda” que usted elija) al administrador que posteriormente se conectará al dispositivo <strong>NetScreen</strong> a través de<br />
SSL. Cuando el cliente SSL del administrador reciba el certificado desde el dispositivo <strong>NetScreen</strong> durante el<br />
establecimiento de conexión SSL, podrá comparar el nombre del sujeto y la huella digital del certificado recibido con<br />
los recibidos anteriormente “fuera de banda”. Si coinciden, sabrá que el certificado es auténtico. Dada la ausencia<br />
de una autoridad CA de confianza para autenticar el certificado, sin nombre de sujeto y huella digital que comparar,<br />
el administrador remoto no puede saber con certeza si el certificado es genuino.<br />
17. WebUI no permite visualizar los detalles de un certificado autofirmado y autogenerado.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 50
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)<br />
Creación manual de certificados autofirmados<br />
El dispositivo <strong>NetScreen</strong> genera automáticamente un certificado autofirmado la primera vez que se enciende, con el<br />
fin de admitir SSL durante la conexión inicial. Sin embargo, puede que desee generar un certificado autofirmado<br />
distinto del que genera automáticamente el dispositivo <strong>NetScreen</strong>. Éstas son algunas razones posibles para<br />
reemplazar el certificado autofirmado y autogenerado por un certificado autofirmado y definido por el administrador:<br />
El certificado autofirmado y autogenerado utiliza un tamaño de clave fijo de 1024 bits. Dependiendo de sus<br />
necesidades, puede necesitar claves con un tamaño mayor o menor, que puede controlar al generar su<br />
propia clave autofirmada.<br />
Puede que desee utilizar un certificado con un nombre de sujeto distinto del creado automáticamente.<br />
Puede necesitar varios certificados autofirmados. En los dispositivos <strong>NetScreen</strong> que admiten sistemas<br />
virtuales, el sistema raíz puede compartir el certificado autofirmado y autogenerado con todos los sistemas<br />
virtuales. Sin embargo, los administradores de vsys pueden preferir generar sus propios certificados<br />
autofirmados y, a continuación, exigir a sus administradores que comprueben el nombre del sujeto y la<br />
huella digital de estos certificados específicos en lugar de los atributos de un certificado compartido.<br />
Nota: A diferencia de un certificado autofirmado y autogenerado, que nunca sale del dispositivo en el cual se crea,<br />
un certificado autofirmado y generado manualmente se incluye con otros certificados cuando un dispositivo<br />
<strong>NetScreen</strong> de un clúster NSRP sincroniza objetos PKI con otros miembros del clúster.<br />
Aunque puede configurar varios componentes de un certificado autofirmado (como los campos de nombres<br />
distinguidos (“distinguished name” o “DN”), el nombre alternativo del sujeto y el tamaño de la clave), los siguientes<br />
elementos de nombres comunes (“common name” o “CN”) siempre aparecen al final del DN:<br />
“CN = dev_serial_num, CN = <strong>NetScreen</strong> self-signed”<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 51
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)<br />
Aunque el principal uso previsto de un certificado autofirmado es permitir que un dispositivo <strong>NetScreen</strong> pueda<br />
establecer inmediatamente conexiones Secure Sockets Layer (SSL), este certificado se puede utilizar igual que<br />
cualquier otro certificado firmado por una CA. Las aplicaciones de un certificado autofirmado pueden ser las<br />
siguientes:<br />
Establecer una conexión Secure Sockets Layer (SSL) para proteger el tráfico administrativo hacia un<br />
dispositivo <strong>NetScreen</strong><br />
Asegurar el tráfico entre <strong>NetScreen</strong>-Security Manager (NSM) y un dispositivo <strong>NetScreen</strong><br />
Autenticar interlocutores IKE al establecer túneles VPN<br />
Nota: Para la versión actual de ScreenOS, <strong>NetScreen</strong> solamente admite certificados autofirmados para su<br />
uso con SSL.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 52
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)<br />
Ejemplo: Certificado autofirmado y definido por el administrador<br />
En este ejemplo, definirá los siguientes componentes de un certificado autofirmado para su uso con SSL:<br />
Distinguished Name/Subject Name:<br />
– Name: 4ssl<br />
– Organization: jnpr<br />
– FQDN: www.juniper.net<br />
Key type and length: RSA, 1024 bits<br />
Después de definirlo, generará el certificado y lo visualizará. A continuación, podrá copiar el nombre del sujeto y la<br />
huella digital (también denominados “thumbprint”) para su distribución a otros administradores que inicien una<br />
sesión a través de SSL para administrar el dispositivo <strong>NetScreen</strong>.<br />
Cuando un administrador intente iniciar una sesión con SSL, el dispositivo <strong>NetScreen</strong> le enviará este certificado.<br />
Cuando lo reciba, podrá abrirlo y comparar el nombre del sujeto y la huella digital que aparecen en el certificado con<br />
la información que recibió previamente. Si coinciden, sabrá que el certificado es auténtico.<br />
WebUI<br />
1. Definir los atributos del certificado<br />
Objects > Certificates > New: Introduzca los siguientes datos y haga clic en Generate :<br />
Certificate Subject Information:<br />
Name: 4ssl<br />
Organization: jnpr<br />
FQDN: www.juniper.net<br />
Key Pair Information:<br />
RSA: (seleccione)<br />
Create new key pair of 1024 length.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 53
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)<br />
2. Generar el certificado autofirmado<br />
Cuando el dispositivo <strong>NetScreen</strong> ha completado la generación de la clave, compone una petición de<br />
certificado. Haga clic en Generate Self-Signed Cert .<br />
3. Ver el certificado autofirmado<br />
Objects > Certificates > Show Local: Haga clic en Detail para ver el certificado recién creado.<br />
Aparece la página siguiente con los detalles del certificado:<br />
Puede copiar el nombre del sujeto y la huella digital desde esta página y comunicarlo a otros<br />
administradores que pretendan utilizar SSL al administrar el dispositivo <strong>NetScreen</strong>. Cuando inicien una<br />
conexión SSL, podrán utilizar esta información para asegurarse de que el certificado que reciben procede,<br />
de hecho, del dispositivo <strong>NetScreen</strong>.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 54
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)<br />
CLI<br />
1. Definir los atributos del certificado<br />
set pki x509 dn name 4ssl<br />
set pki x509 dn org-name jnpr<br />
set pki x509 cert-fqdn www.juniper.net<br />
save<br />
2. Generar el certificado autofirmado<br />
Para generar un par de claves pública/privada que los dispositivos <strong>NetScreen</strong> utilizarán en sus<br />
peticiones de certificado, ejecute el comando siguiente:<br />
exec pki rsa new-key 1024<br />
Después de que el dispositivo <strong>NetScreen</strong> genere un par de claves, compondrá la petición de<br />
certificado siguiente:<br />
-----BEGIN CERTIFICATE REQUEST-----<br />
MIIB0jCCATsCAQAwZTENMAsGA1UEChMESk5QUjEZMBcGA1UEAxMQMDA0MzAyMjAw<br />
MjAwMDE4NjEQMA4GA1UEAxMHcnNhLWtleTEYMBYGA1UEAxMPd3d3Lmp1bmlwZXIu<br />
bmV0MQ0wCwYDVQQDEwQ1c3NsMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDP<br />
aAtelkL4HxQmO1w1jv9NMmrWnzdVYnGrKrXnw2MaB3xEgouWrlymEkZetA2ouKeA<br />
D24SL0h1YvJ7Sd9PvkhwHOnvP1zkOCWA84TgvxBzcAyeBnS1UpSwcC0admX0Da6T<br />
80EUuGrmUWodddRFUc8o5d2VGTUOM7WgcFDZRSGQGwIDAQABoC0wKwYJKoZIhvcN<br />
AQkOMR4wHDAaBgNVHREEEzARgg93d3cuanVuaXBlci5uZXQwDQYJKoZIhvcNAQEF<br />
BQADgYEAgvDXI4H905y/2+k4omo9Y4XQrgq44Rj3jqXAYYMgQBd0Q8HoyL5NE3+i<br />
QUkiYjMTWO2wIWzEr4u/tdAISEVTu03achZa3zIkUtn8sD/VYKhFlyPCBVvMiaHd<br />
FzIHUgBuMrr+awowJDG6wARhR75w7pORXy7+aAmvIjew8YRre9s=<br />
-----END CERTIFICATE REQUEST-----<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 55
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)<br />
Para conocer el número de identificación del par de claves, utilice el comando siguiente:<br />
get pki x509 list key-pair<br />
Getting OTHER PKI OBJECT ...<br />
IDX ID num X509 Certificate Subject Distinguish Name<br />
===========================================================================<br />
0000 176095259 CN=4ssl,CN=www.juniper.net,CN=rsa-key,CN=0043022002000186,<br />
O=jnpr,<br />
===========================================================================<br />
Para generar el certificado autofirmado, ejecute el comando siguiente, haciendo referencia al número<br />
de identificación del par de claves que vio en el resultado del comando anterior:<br />
exec pki x509 self-signed-cert key-pair 176095259<br />
3. Ver el certificado autofirmado<br />
Para visualizar el certificado autofirmado recién creado, ejecute el comando siguiente:<br />
get pki x509 list local-cert<br />
Getting LOCAL CERT ...<br />
IDX ID num X509 Certificate Subject Distinguish Name<br />
===========================================================================<br />
0000 176095261 LOCAL CERT friendly name <br />
LOCAL CERT friendly name <br />
CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key,CN=0043022002000186,<br />
O=jnpr,<br />
Expire on 10-19-2009 17:20, Issued By:<br />
CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key,CN=0043022002000186,<br />
O=jnpr,<br />
===========================================================================<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 56
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)<br />
Para ver el certificado más detalladamente, ejecute el comando siguiente usando el número de<br />
identificación del certificado:<br />
get pki x509 cert 176095261<br />
-0001 176095261 LOCAL CERT friendly name <br />
CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key,CN=0043022002000186,<br />
O=jnpr,<br />
Expire on 10-19-2009 17:20, Issued By:<br />
CN=self-signed,CN=4ssl,CN=www.juniper.net,CN=rsa-key,CN=0043022002000186,<br />
O=jnpr,<br />
Serial Number: <br />
subject alt name extension:<br />
email(1): (vacío)<br />
fqdn(2): (www.juniper.net)<br />
ipaddr(7): (vacío)<br />
no renew<br />
finger print (md5) <br />
finger print (sha) <br />
subject name hash: <br />
use count: <br />
flag <br />
Puede copiar el nombre del sujeto (“subject name”) y la huella digital (“fingerprint”) desde esta<br />
página y comunicarlo a otros administradores que pretendan utilizar SSL para administrar el dispositivo<br />
<strong>NetScreen</strong>. Cuando inicien una conexión SSL, podrán utilizar esta información para asegurarse de que el<br />
certificado que reciben procede, de hecho, del dispositivo <strong>NetScreen</strong>.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 57
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)<br />
Autogeneración de certificados<br />
La primera vez que se encienda el dispositivo <strong>NetScreen</strong>, generará automáticamente un certificado autofirmado. El<br />
principal propósito de este certificado es reconocer inmediatamente SSL después del arranque inicial de un<br />
dispositivo <strong>NetScreen</strong>. Para ver este certificado, utilice el comando CLI siguiente 18 :<br />
get pki x509 cert system<br />
CN=0010062001000021,CN=system generated,CN=self-signed,<br />
Expire on 08- 3-2014 16:19, Issued By:<br />
CN=0010062001000021,CN=system generated,CN=self-signed,<br />
Serial Number: <br />
finger print (md5) <br />
finger print (sha) <br />
subject name hash: <br />
De forma predeterminada, el dispositivo <strong>NetScreen</strong> genera automáticamente un certificado autofirmado durante el<br />
proceso de arranque si se cumplen las condiciones siguientes:<br />
En el dispositivo no existe ningún certificado autofirmado generado automáticamente.<br />
No se ha asignado ningún certificado para su uso con SSL.<br />
Puede utilizar el comando siguiente para consultar si ya hay configurado un certificado para SSL:<br />
get ssl<br />
web SSL enable.<br />
web SSL port number(443).<br />
web SSL cert: Default - System Self-Signed Cert.<br />
web SSL cipher(RC4_MD5).<br />
En el resultado anterior, puede ver que SSL está utilizando el certificado autofirmado y generado<br />
automáticamente (“System”).<br />
18. Sólo CLI permite ver certificados autofirmados generados automáticamente.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 58
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)<br />
El diagrama siguiente muestra la ruta de decisiones que el dispositivo <strong>NetScreen</strong> toma al encenderse para la<br />
generación de certificados:<br />
Ruta de decisiones para<br />
la autogeneración de<br />
certificados<br />
Comienzo del proceso<br />
de arranque<br />
¿Hay cert<br />
autogen y<br />
autofirm?<br />
No<br />
¿Hay cert<br />
para SSL?<br />
No generar automáticamente<br />
un certificado autofirmado.<br />
Si elimina el certificado autofirmado y generado automáticamente, asigne otro certificado para su uso con SSL y<br />
resetee el dispositivo; el dispositivo <strong>NetScreen</strong> no generará otro certificado autofirmado durante el proceso de<br />
arranque. Si a continuación cambia la configuración de SSL para no asignarle ningún certificado y luego resetea el<br />
dispositivo, el dispositivo <strong>NetScreen</strong> generará automáticamente un nuevo certificado autofirmado durante el<br />
siguiente proceso de arranque.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 59<br />
Sí<br />
No<br />
Generar<br />
automáticamente un<br />
certificado autofirmado.<br />
Sí
Capítulo 2 Criptografía de claves públicas Certificados autofirmados (“Self-Signed Certificates”)<br />
Eliminación de certificados autofirmados<br />
Puede eliminar un certificado autofirmado generado automática o manualmente, igual que se puede con cualquier<br />
tipo de certificado. Puede que disponga de un certificado firmado por una CA que prefiera utilizar para SSL en lugar<br />
de un certificado autofirmado. Sea cual sea el motivo para eliminar el certificado autofirmado y autogenerado, utilice<br />
el comando CLI siguiente 19 :<br />
delete pki object-id system<br />
Para eliminar un certificado autofirmado y configurado por el administrador, utilice el comando siguiente, donde<br />
id_num es el número de identificación del certificado que desea eliminar 20 :<br />
delete pki object-id id_num<br />
Si elimina el certificado autofirmado y autogenerado y más adelante desea que el dispositivo <strong>NetScreen</strong> genere<br />
otro, haga lo siguiente:<br />
No asigne ningún otro certificado para SSL (puede utilizar el comando siguiente: unset ssl cert ).<br />
Restablezca el dispositivo <strong>NetScreen</strong>.<br />
El dispositivo <strong>NetScreen</strong> puede redirigir el tráfico HTTP (puerto predeterminado 80) enviado al dispositivo hacia<br />
SSL (puerto predeterminado 443) 21 . Por lo tanto, para asegurarse de que un certificado esté disponible para SSL,<br />
durante el proceso de arranque el dispositivo <strong>NetScreen</strong> siempre comprueba si existe un certificado autofirmado y<br />
autogenerado o si se ha asignado a SSL otro certificado. Si no hay ningún certificado autofirmado y autogenerado y<br />
no se asigna ningún otro certificado para su uso con SSL, el dispositivo <strong>NetScreen</strong> genera automáticamente un<br />
certificado autofirmado.<br />
19. Sólo CLI permite eliminar certificados autofirmados generados automáticamente.<br />
20. Para averiguar el número de identificación de un certificado, utilice el comando siguiente: get pki x509 list local-cert .<br />
21. Para obtener información sobre la redirección del tráfico HTTP a SSL, consulte “Redireccionamiento de HTTP a SSL” en la página 3 -12.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 60
Capítulo 3<br />
Directivas VPN<br />
3<br />
<strong>NetScreen</strong> ofrece una variedad de opciones criptográficas para configurar un túnel VPN. Incluso para configurar un<br />
túnel simple es necesario elegir entre varias opciones. El objetivo de la primera mitad de este capítulo es resumir<br />
todas las opciones disponibles para una VPN punto a punto básica y una VPN de acceso telefónico básica y ofrecer<br />
uno o más motivos para decantarse por una opción u otra.<br />
En la segunda mitad del capítulo, examinaremos las diferencias que existen entre los túneles VPN basados en<br />
rutas y los túneles VPN basados en directivas. A continuación revisaremos el flujo de paquetes de un túnel VPN<br />
AutoKey IKE punto a punto basado en directivas y basado en rutas para ver las etapas de procesamiento de<br />
entrada y salida por las que pasa un paquete. El capítulo termina con algunos consejos útiles de configuración VPN<br />
que hay que tener en cuenta a la hora de configurar un túnel.<br />
El capítulo está organizado del siguiente modo:<br />
“Opciones criptográficas” en la página 62<br />
– “Opciones criptográficas punto a punto” en la página 63<br />
– “Opciones VPN de acceso telefónico” en la página 72<br />
“Túneles basados en directivas y en rutas” en la página 80<br />
“Flujo de paquetes: VPN punto a punto” en la página 82<br />
“Consejos para la configuración de un túnel” en la página 90<br />
“Consideraciones sobre seguridad en VPNs basadas en rutas” en la página 93<br />
– “Ruta nula” en la página 94<br />
– “Línea de acceso telefónico o arrendada” en la página 96<br />
– “Interfaz de túnel ficticia” en la página 100<br />
– “Enrutador virtual para interfaces de túnel” en la página 101<br />
– “Reencaminar a otro túnel” en la página 101<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 61
Capítulo 3 Directivas VPN Opciones criptográficas<br />
OPCIONES CRIPTOGRÁFICAS<br />
Durante la configuración de una VPN es necesario tomar numerosas decisiones sobre la criptografía que se desea<br />
utilizar. Surgirán preguntas sobre cuál es el grupo Diffie-Hellman adecuado, qué algoritmo de encriptación ofrece el<br />
mejor equilibrio entre seguridad y rendimiento, etc. En esta sección se presentan todas las opciones criptográficas<br />
requeridas para configurar un túnel VPN punto a punto básico y un túnel VPN de acceso telefónico básico. También<br />
se indican una o más ventajas de cada opción para ayudarle a tomar una decisión.<br />
La primera decisión que hay que tomar es si se va a optar por un túnel VPN punto a punto (entre dos dispositivos<br />
<strong>NetScreen</strong>) o por un túnel VPN de acceso telefónico (desde el cliente VPN <strong>NetScreen</strong>-Remote hasta el dispositivo<br />
<strong>NetScreen</strong>). Aunque esta decisión depende de la configuración de red, las diferencias entre estos dos tipos de<br />
túneles afectan a algunas opciones criptográficas. Por lo tanto, las opciones se presentan en dos modelos de<br />
decisión distintos:<br />
“Opciones criptográficas punto a punto” en la página 63<br />
“Opciones VPN de acceso telefónico” en la página 72<br />
Cuando haya decidido qué tipo de túnel desea configurar (de acceso telefónico o punto a punto), consulte el<br />
modelo de decisión correspondiente para obtener las indicaciones oportunas. En cada modelo se presentan las<br />
decisiones criptográficas que deberá tomar durante la configuración del túnel. A continuación, se señalan los<br />
motivos que justifican la elección de cada opción del modelo.<br />
Nota: En el Capítulo 4, “VPNs punto a punto”, y el Capítulo 5, “VPNs de acceso telefónico”, se incluyen <strong>ejemplos</strong> de<br />
configuración de ambos tipos de túneles.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 62
Capítulo 3 Directivas VPN Opciones criptográficas<br />
Opciones criptográficas punto a punto<br />
Durante la configuración de un túnel VPN punto a punto básico, deberá seleccionar las opciones criptográficas del<br />
siguiente modelo de decisión que se ajusten a sus necesidades. A continuación se indican las ventajas de cada<br />
opción.<br />
Nota: Las opciones recomendadas por <strong>Juniper</strong> <strong>Networks</strong> están resaltadas en color púrpura. Para obtener<br />
información sobre las distintas opciones IPSec, consulte el Capítulo 1, “IPSec”.<br />
1. Método de administración de claves:<br />
AutoKey IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o bien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Clave manual<br />
2. Modo:<br />
Dinámico o bien Principal<br />
3. Tipo de autenticación:<br />
Certificados o bien Clave<br />
previamente compartida<br />
4. Tipo de certificado:<br />
RSA o DSA<br />
5. Longitud de bits:<br />
512 o bien 768 o bien 1024 o<br />
bien 2048<br />
8. ID IKE local:<br />
Dirección IP o bien<br />
U-FQDN o bien FQDN o bien<br />
ASN1-DN<br />
Fase 1, puerta de enlace IKE<br />
6. Grupo Diffie-Hellman IKE:<br />
1 o bien 2 o bien 5<br />
7. Algoritmos de autenticación y<br />
encriptación IKE:<br />
AES o bien DES o bien 3DES<br />
y<br />
MD5 o bien SHA-1<br />
9. ID IKE remota:<br />
Dirección IP o bien<br />
U-FQDN o bien FQDN o bien<br />
ASN1-DN<br />
13. Protocolo IPSec: ESP o AH<br />
ESP . . . . . . . . o bien . . . . . . . . AH<br />
14. Modo:<br />
Túnel o bien Transporte<br />
15. Opciones ESP:<br />
Encriptación o bien Encriptación y<br />
autenticación o bien Auth<br />
16. Algoritmos de<br />
encriptación:<br />
AES o bien DES o bien 3DES<br />
10. Comprobación contra reprocesamiento de paquetes:<br />
Sí o no<br />
Sí o bien No<br />
11. Confidencialidad directa perfecta:<br />
Sí o bien No<br />
12. Grupo Diffie-Hellman IPSec:<br />
1 o bien 2 o bien 5<br />
Fase 2, túnel VPN<br />
17. Algoritmos de<br />
autenticación:<br />
MD5 o bien SHA-1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 63
Capítulo 3 Directivas VPN Opciones criptográficas<br />
1. Método de administración de claves: Clave manual o AutoKey IKE<br />
AutoKey IKE<br />
– Ofrece una renovación de claves automática, con lo que aumenta la seguridad.<br />
Clave manual<br />
– Resulta útil para depurar problemas IKE.<br />
– Elimina los retardos de negociación IKE a la hora de establecer un túnel.<br />
2. Modo: dinámico o principal<br />
Dinámico<br />
– Es necesario cuando la dirección IP de uno de los interlocutores IPSec está asignada de forma<br />
dinámica y si se utiliza una clave previamente compartida.<br />
Principal<br />
– Ofrece protección de identidad.<br />
– Se puede utilizar cuando el usuario de acceso telefónico posee una dirección IP estática o si se<br />
utilizan certificados para la autenticación.<br />
3. Tipo de autenticación: clave previamente compartida o certificados<br />
Certificados<br />
– Ofrece mayor seguridad que las claves previamente compartidas porque es posible validar los<br />
certificados a través de una autoridad de certificación (CA). (Para obtener más información, consulte<br />
el Capítulo 2, “Criptografía de claves públicas”).<br />
Clave previamente compartida<br />
– Es más fácil de manejar y más rápida de configurar, porque no requiere una infraestructura de claves<br />
públicas (PKI).<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 64
Capítulo 3 Directivas VPN Opciones criptográficas<br />
4. Tipo de certificado: RSA o DSA<br />
Depende de la CA de la que se obtengan los certificados. Ningún tipo de certificado presenta ventajas en<br />
comparación con el otro.<br />
5. Longitud de bits: 512, 768, 1024 ó 2048<br />
512<br />
768<br />
– Su nivel máximo de procesamiento es el más bajo.<br />
– Ofrece más seguridad que la opción de 512 bits.<br />
– Su nivel máximo de procesamiento es inferior al de las opciones de 1024 y 2048 bits.<br />
1024<br />
– Ofrece más seguridad que las opciones de 512 y 768 bits.<br />
– Su nivel máximo de procesamiento es inferior al de la opción de 2048 bits.<br />
2048<br />
– Ofrece la máxima seguridad.<br />
6. Grupo Diffie-Hellman IKE: 1, 2 ó 5<br />
Grupo Diffie-Hellman 1<br />
– Su nivel máximo de procesamiento es inferior al de los grupos Diffie-Hellman 2 y 5.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
Diffie-Hellman Group 2<br />
– Su nivel máximo de procesamiento es inferior al del grupo Diffie-Hellman 5.<br />
– Ofrece más seguridad que el grupo Diffie-Hellman 1.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 65
Capítulo 3 Directivas VPN Opciones criptográficas<br />
Grupo Diffie-Hellman 5<br />
– Ofrece la máxima seguridad.<br />
7. Algoritmos de autenticación y encriptación IKE: AES, DES o 3DES y MD5 o SHA-1<br />
AES<br />
– Tiene un mayor nivel de encriptación que DES y 3DES si las longitudes de clave son iguales.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
– Algoritmo de encriptación aprobado para las normas federales para procesamiento de la información<br />
(FIPS, o “Federal Information Processing Standards”) y los criterios comunes de EAL4.<br />
DES<br />
– Su nivel máximo de procesamiento es inferior al de 3DES y AES.<br />
– Resulta útil cuando el interlocutor remoto no admite AES.<br />
3DES<br />
– Ofrece más seguridad criptográfica que DES.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
MD5<br />
– Su nivel máximo de procesamiento es inferior al de SHA-1.<br />
SHA-1<br />
– Ofrece más seguridad criptográfica que MD5.<br />
– Es el único algoritmo de autenticación que admiten las normas FIPS.<br />
8. ID IKE local: dirección IP (valor predeterminado), o bien U-FQDN, FQDN o ASN1-DN<br />
Dirección IP<br />
– Sólo se puede utilizar si el dispositivo <strong>NetScreen</strong> local tiene una dirección IP estática.<br />
– Es la ID IKE predeterminada cuando se utiliza una clave previamente compartida para la autenticación.<br />
– Se puede utilizar con un certificado si la dirección IP aparece en el campo SubjectAltName.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 66
Capítulo 3 Directivas VPN Opciones criptográficas<br />
U-FQDN<br />
– Nombre de dominio completo de usuario (U-FQDN, dirección de correo electrónico): se puede utilizar<br />
con una clave previamente compartida o un certificado si el U-FQDN aparece en el campo<br />
SubjectAltName.<br />
FQDN<br />
– Nombre de dominio completo (FQDN): se puede utilizar con una clave previamente compartida o un<br />
certificado si el FQDN aparece en el campo SubjectAltName.<br />
– Resulta útil para puertas de enlace VPN que tengan direcciones IP dinámicas.<br />
– Es la ID IKE predeterminada cuando se utilizan certificados RSA o DSA para la autenticación.<br />
ASN1-DN<br />
– Sólo se puede utilizar con certificados.<br />
– Resulta útil si la CA no admite el campo SubjectAltName en los certificados que emite.<br />
9. ID IKE remota: dirección IP (valor predeterminado), o bien U-FQDN, FQDN o ASN1-DN<br />
Dirección IP<br />
– No requiere la introducción de una ID IKE remota para un interlocutor con dirección IP estática cuando<br />
se utilizan claves previamente compartidas para la autenticación y el interlocutor es un dispositivo<br />
<strong>NetScreen</strong>.<br />
– Se puede utilizar para un dispositivo con dirección IP estática.<br />
– Se puede utilizar con una clave previamente compartida o un certificado si la dirección IP aparece en<br />
el campo SubjectAltName.<br />
U-FQDN<br />
– Nombre de dominio completo de usuario (U-FQDN, dirección de correo electrónico): se puede utilizar<br />
con una clave previamente compartida o un certificado si el U-FQDN aparece en el campo<br />
SubjectAltName.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 67
Capítulo 3 Directivas VPN Opciones criptográficas<br />
FQDN<br />
– Nombre de dominio completo (FQDN): se puede utilizar con una clave previamente compartida o un<br />
certificado si el FQDN aparece en el campo SubjectAltName.<br />
– Resulta útil para puertas de enlace VPN que tengan direcciones IP dinámicas.<br />
– No requiere la introducción de una ID IKE remota cuando se utilizan certificados para la autenticación<br />
y el interlocutor es un dispositivo <strong>NetScreen</strong>.<br />
ASN1-DN<br />
– Sólo se puede utilizar con certificados.<br />
– Resulta útil si la CA no admite el campo SubjectAltName en los certificados que emite.<br />
10. Comprobación contra reprocesamiento de paquetes: Sí o no<br />
Sí<br />
– Permite al destinatario comprobar los números de secuencia de los encabezados de paquetes para<br />
prevenir ataques de rechazo de servicio (DoS) provocados cuando un atacante reenvía paquetes<br />
IPSec interceptados.<br />
No<br />
– Desactivar esta opción tal vez sea la solución a problemas de compatibilidad con interlocutores de<br />
terceros.<br />
11. Confidencialidad directa perfecta: Sí o no<br />
Sí<br />
– Confidencialidad directa perfecta (PFS): ofrece una mayor seguridad porque los interlocutores<br />
realizan un segundo intercambio Diffie-Hellman para generar la clave utilizada para la<br />
encriptación/desencriptación IPSec.<br />
No<br />
– Agiliza la configuración del túnel.<br />
– Reduce el procesamiento durante las negociaciones IPSec de fase 2.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 68
Capítulo 3 Directivas VPN Opciones criptográficas<br />
12. Grupo Diffie-Hellman IPSec: 1, 2 ó 5<br />
Grupo Diffie-Hellman 1<br />
– Su nivel máximo de procesamiento es inferior al de los grupos Diffie-Hellman 2 y 5.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
Diffie-Hellman Group 2<br />
– Su nivel máximo de procesamiento es inferior al del grupo Diffie-Hellman 5.<br />
– Ofrece más seguridad que el grupo Diffie-Hellman 1.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
Grupo Diffie-Hellman 5<br />
– Ofrece la máxima seguridad.<br />
13. Protocolo IPSec: ESP o AH<br />
ESP<br />
AH<br />
– Carga de seguridad encapsulada (ESP): puede ofrecer confidencialidad mediante encriptación y<br />
encapsulado del paquete IP original e integridad mediante autenticación.<br />
– Puede proporcionar sólo encriptación o sólo autenticación.<br />
– Encabezado de autenticación (AH): ofrece autenticación del paquete IP completo, incluyendo el<br />
encabezado IPSec y el encabezado IP externo.<br />
14. Modo: túnel o transporte<br />
Túnel<br />
– Oculta el encabezado IP original, con lo que aumenta la privacidad.<br />
Transporte<br />
– Es necesario para el soporte del túnel L2TP sobre IPSec.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 69
Capítulo 3 Directivas VPN Opciones criptográficas<br />
15. Opciones ESP: sólo encriptación, sólo autenticación o encriptación y autenticación<br />
Encriptación<br />
– Ofrece un rendimiento más rápido y su nivel máximo de procesamiento es inferior al de la opción de<br />
encriptación y autenticación.<br />
– Resulta útil cuando se requiere confidencialidad, pero no autenticación.<br />
Encriptación y autenticación<br />
– Resulta útil si se desea obtener confidencialidad y autenticación.<br />
Auth<br />
– Resulta útil cuando se requiere autenticación, pero no confidencialidad. Por ejemplo, cuando la<br />
información no es secreta, pero es importante determinar que procede realmente de la persona que<br />
dice enviarla y que nadie ha manipulado el contenido durante la transmisión.<br />
16. Algoritmos de encriptación: AES, DES o 3DES<br />
AES<br />
– Tiene un mayor nivel de encriptación que DES y 3DES si las longitudes de clave son iguales.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
– Algoritmo de encriptación aprobado para normas FIPS y criterios comunes EAL4.<br />
DES<br />
– Su nivel máximo de procesamiento es inferior al de 3DES y AES.<br />
– Resulta útil cuando el interlocutor remoto no admite AES.<br />
3DES<br />
– Ofrece más seguridad criptográfica que DES.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 70
Capítulo 3 Directivas VPN Opciones criptográficas<br />
17. Algoritmos de autenticación: MD5 o SHA-1<br />
MD5<br />
– Su nivel máximo de procesamiento es inferior al de SHA-1.<br />
SHA-1<br />
– Ofrece más seguridad criptográfica que MD5.<br />
Si se utilizan las opciones recomendadas de la lista anterior, una configuración VPN punto a punto genérica entre<br />
dos dispositivos <strong>NetScreen</strong> con direcciones IP estáticas estaría formada por los siguientes componentes:<br />
AutoKey IKE Confidencialidad directa perfecta (PFS) = sí<br />
Modo principal Grupo Diffie-Hellman 2 para fase 2<br />
Certificados de 1024 bits (RSA o DSA) Carga de seguridad encapsulada (ESP)<br />
Grupo Diffie-Hellman 2 para fase 1 Modo de túnel<br />
Encriptación = AES Encriptación y autenticación<br />
Autenticación = SHA-1 Encriptación = AES<br />
ID IKE = dirección IP (valor predeterminado) Autenticación = SHA-1<br />
Protección contra reprocesamiento de paquetes = sí<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 71
Capítulo 3 Directivas VPN Opciones criptográficas<br />
Opciones VPN de acceso telefónico<br />
Durante la configuración de un túnel VPN de acceso telefónico básico, deberá seleccionar las opciones<br />
criptográficas del siguiente modelo de decisión que se ajusten a sus necesidades. A continuación se indican las<br />
ventajas de cada opción.<br />
Nota: Las opciones recomendadas por <strong>Juniper</strong> <strong>Networks</strong> están resaltadas en color púrpura . Para obtener<br />
información sobre las distintas opciones IPSec, consulte el Capítulo 1, “IPSec”.<br />
1. Modo:<br />
Dinámico o bien Principal<br />
2. Tipo de autenticación:<br />
Certificados o bien Clave<br />
previamente compartida<br />
3. Tipo de certificado:<br />
RSA o DSA<br />
4. Longitud de bits:<br />
512 o bien 768 o bien 1024 o<br />
bien 2048<br />
7. ID IKE local:<br />
Dirección IP (valor<br />
predeterminado) o bien<br />
U-FQDN o bien FQDN o bien<br />
ASN1-DN<br />
Fase 1, puerta de enlace IKE<br />
Método de administración de claves = AutoKey IKE<br />
5. Grupo Diffie-Hellman IKE:<br />
1 o bien 2 o bien 5<br />
6. Algoritmos de autenticación y<br />
encriptación IKE:<br />
AES o bien DES o bien 3DES<br />
y<br />
MD5 o bien SHA-1<br />
8. ID IKE remota:<br />
Dirección IP (valor<br />
predeterminado) o bien<br />
U-FQDN o bien FQDN o bien<br />
ASN1-DN<br />
12. Protocolo IPSec:<br />
ESP . . . . . . . . o bien . . . . . . . . AH<br />
13. Modo:<br />
Túnel o bien Transporte<br />
14. Opciones ESP:<br />
Encriptación o bien Encriptación y autenticación<br />
o bien Autenticación<br />
15. Algoritmos de encriptación:<br />
AES o bien DES o bien 3DES<br />
9. Comprobación contra<br />
reprocesamiento de paquetes:<br />
Sí o bien No<br />
10. Confidencialidad directa<br />
perfecta:<br />
Sí o bien No<br />
11. Grupo Diffie-Hellman IPSec:<br />
1 o bien 2 o bien 5<br />
Fase 2, túnel VPN<br />
16. Algoritmos de<br />
autenticación:<br />
MD5 o bien SHA-1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 72
Capítulo 3 Directivas VPN Opciones criptográficas<br />
1. Modo: Dinámico o principal<br />
Dinámico<br />
– Es necesario cuando la dirección IP de uno de los interlocutores IPSec está asignada de forma<br />
dinámica y si se utiliza una clave previamente compartida.<br />
– Se puede utilizar con certificados o claves previamente compartidas para la autenticación.<br />
Principal<br />
– Ofrece protección de identidad.<br />
2. Tipo de autenticación: clave previamente compartida o certificados<br />
Certificados<br />
– Ofrece mayor seguridad que las claves previamente compartidas porque es posible validar los<br />
certificados a través de una autoridad de certificación (CA). (Para obtener más información, consulte<br />
el Capítulo 2, “Criptografía de claves públicas”).<br />
Clave previamente compartida<br />
– Es más fácil de manejar y más rápida de configurar, porque no requiere una infraestructura de claves<br />
públicas (PKI).<br />
3. Tipo de certificado: RSA o DSA<br />
Depende de la CA de la que se obtengan los certificados. Ningún tipo de certificado presenta ventajas en<br />
comparación con el otro.<br />
4. Longitud de bits: 512, 768, 1024 ó 2048<br />
512<br />
768<br />
– Su nivel máximo de procesamiento es el más bajo.<br />
– Ofrece más seguridad que la opción de 512 bits.<br />
– Su nivel máximo de procesamiento es inferior al de las opciones de 1024 y 2048 bits.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 73
Capítulo 3 Directivas VPN Opciones criptográficas<br />
1024<br />
– Ofrece más seguridad que las opciones de 512 y 768 bits.<br />
– Su nivel máximo de procesamiento es inferior al de la opción de 2048 bits.<br />
2048<br />
– Ofrece la máxima seguridad.<br />
5. Grupo Diffie-Hellman IKE: 1, 2 ó 5<br />
Grupo Diffie-Hellman 1<br />
– Su nivel máximo de procesamiento es inferior al de los grupos Diffie-Hellman 2 y 5.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
Diffie-Hellman Group 2<br />
– Su nivel máximo de procesamiento es inferior al del grupo Diffie-Hellman 5.<br />
– Ofrece más seguridad que el grupo Diffie-Hellman 1.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
Grupo Diffie-Hellman 5<br />
– Ofrece la máxima seguridad.<br />
6. Algoritmos de autenticación y encriptación IKE: AES, DES o 3DES y MD5 o SHA-1<br />
AES<br />
– Tiene un mayor nivel de encriptación que DES y 3DES si las longitudes de clave son iguales.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
– Algoritmo de encriptación aprobado para normas FIPS y criterios comunes EAL4.<br />
DES<br />
– Su nivel máximo de procesamiento es inferior al de 3DES y AES.<br />
– Resulta útil cuando el interlocutor remoto no admite AES.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 74
Capítulo 3 Directivas VPN Opciones criptográficas<br />
3DES<br />
– Ofrece más seguridad criptográfica que DES.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
MD5<br />
– Su nivel máximo de procesamiento es inferior al de SHA-1.<br />
SHA-1<br />
– Ofrece más seguridad criptográfica que MD5.<br />
7. ID IKE local: dirección IP (valor predeterminado), o bien U-FQDN, FQDN o ASN1-DN<br />
Dirección IP (valor predeterminado)<br />
– No requiere la introducción de una ID IKE para un dispositivo con dirección IP estática.<br />
– Se puede utilizar para un dispositivo con dirección IP estática.<br />
– Se puede utilizar con una clave previamente compartida o un certificado si la dirección IP aparece en<br />
el campo SubjectAltName.<br />
U-FQDN<br />
– Nombre de dominio completo de usuario (U-FQDN, dirección de correo electrónico): se puede utilizar<br />
con una clave previamente compartida o un certificado si el U-FQDN aparece en el campo<br />
SubjectAltName.<br />
FQDN<br />
– Nombre de dominio completo (FQDN): se puede utilizar con una clave previamente compartida o un<br />
certificado si el FQDN aparece en el campo SubjectAltName.<br />
– Resulta útil para puertas de enlace VPN que tengan direcciones IP dinámicas.<br />
ASN1-DN<br />
– Sólo se puede utilizar con certificados.<br />
– Resulta útil si la CA no admite el campo SubjectAltName en los certificados que emite.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 75
Capítulo 3 Directivas VPN Opciones criptográficas<br />
8. ID IKE remota: dirección IP (valor predeterminado), o bien U-FQDN, FQDN o ASN1-DN<br />
Dirección IP (valor predeterminado)<br />
– No requiere la introducción de una ID IKE para un dispositivo con dirección IP estática.<br />
– Se puede utilizar para un dispositivo con dirección IP estática.<br />
– Se puede utilizar con una clave previamente compartida o un certificado si la dirección IP aparece en<br />
el campo SubjectAltName.<br />
U-FQDN<br />
– Nombre de dominio completo de usuario (U-FQDN, dirección de correo electrónico): se puede utilizar<br />
con una clave previamente compartida o un certificado si el U-FQDN aparece en el campo<br />
SubjectAltName.<br />
FQDN<br />
– Nombre de dominio completo (FQDN): se puede utilizar con una clave previamente compartida o un<br />
certificado si el FQDN aparece en el campo SubjectAltName.<br />
– Resulta útil para puertas de enlace VPN que tengan direcciones IP dinámicas.<br />
ASN1-DN<br />
– Sólo se puede utilizar con certificados.<br />
– Resulta útil si la CA no admite el campo SubjectAltName en los certificados que emite.<br />
9. Comprobación contra reprocesamiento de paquetes: Sí o no<br />
Sí<br />
No<br />
– Permite al destinatario comprobar los números de secuencia de los encabezados de paquetes para<br />
prevenir ataques de rechazo de servicio (DoS) provocados cuando un atacante reenvía paquetes<br />
IPSec interceptados.<br />
– Desactivar esta opción tal vez sea la solución a problemas de compatibilidad con interlocutores de<br />
terceros.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 76
Capítulo 3 Directivas VPN Opciones criptográficas<br />
10. Confidencialidad directa perfecta: Sí o no<br />
Sí<br />
No<br />
– Confidencialidad directa perfecta (PFS): ofrece una mayor seguridad porque los interlocutores<br />
realizan un segundo intercambio Diffie-Hellman para generar la clave utilizada para la<br />
encriptación/desencriptación IPSec.<br />
– Agiliza la configuración del túnel.<br />
– Reduce el procesamiento durante las negociaciones IPSec de fase 2.<br />
11. Grupo Diffie-Hellman IPSec: 1, 2 ó 5<br />
Grupo Diffie-Hellman 1<br />
– Su nivel máximo de procesamiento es inferior al de los grupos Diffie-Hellman 2 y 5.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
Diffie-Hellman Group 2<br />
– Su nivel máximo de procesamiento es inferior al del grupo Diffie-Hellman 5.<br />
– Ofrece más seguridad que el grupo Diffie-Hellman 1.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
Grupo Diffie-Hellman 5<br />
– Ofrece la máxima seguridad.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 77
Capítulo 3 Directivas VPN Opciones criptográficas<br />
12. Protocolo IPSec: ESP o AH<br />
ESP<br />
AH<br />
– Carga de seguridad encapsulada (ESP): puede ofrecer confidencialidad mediante encriptación y<br />
encapsulado del paquete IP original e integridad mediante autenticación.<br />
– Puede proporcionar sólo encriptación o sólo autenticación.<br />
– Encabezado de autenticación (AH): ofrece autenticación del paquete IP completo, incluyendo el<br />
encabezado IPSec y el encabezado IP externo.<br />
13. Modo: túnel o transporte<br />
Túnel<br />
– Oculta el encabezado IP original, con lo que aumenta la privacidad.<br />
Transporte<br />
– Es necesario para el soporte del túnel L2TP sobre IPSec.<br />
14. Opciones ESP: sólo encriptación, sólo autenticación o encriptación y autenticación<br />
Encriptación<br />
– Ofrece un rendimiento más rápido y su nivel máximo de procesamiento es inferior al de la opción de<br />
encriptación y autenticación.<br />
– Resulta útil cuando se requiere confidencialidad, pero no autenticación.<br />
Encriptación y autenticación<br />
– Resulta útil si se desea obtener confidencialidad y autenticación.<br />
Autenticación<br />
– Resulta útil cuando se requiere autenticación, pero no confidencialidad. Por ejemplo, cuando la<br />
información no es secreta, pero es importante determinar que procede realmente de la persona que<br />
dice enviarlo y que nadie ha manipulado el contenido durante la transmisión.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 78
Capítulo 3 Directivas VPN Opciones criptográficas<br />
15. Algoritmos de encriptación: AES, DES o 3DES<br />
AES<br />
– Tiene un mayor nivel de encriptación que DES y 3DES si las longitudes de clave son iguales.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
– Algoritmo de encriptación aprobado para normas FIPS y criterios comunes EAL4.<br />
DES<br />
– Su nivel máximo de procesamiento es inferior al de 3DES y AES.<br />
– Resulta útil cuando el interlocutor remoto no admite AES.<br />
3DES<br />
– Ofrece más seguridad criptográfica que DES.<br />
– Aceleración de procesamiento proporcionada por el hardware <strong>NetScreen</strong>.<br />
16. Algoritmos de autenticación: MD5 o SHA-1<br />
MD5<br />
– Su nivel máximo de procesamiento es inferior al de SHA-1.<br />
SHA-1<br />
– Ofrece más seguridad criptográfica que MD5.<br />
Si se utilizan las opciones recomendadas de la lista anterior, una configuración VPN de acceso telefónico genérica<br />
entre dos dispositivos <strong>NetScreen</strong> con direcciones IP estáticas estaría formada por los siguientes componentes:<br />
Modo dinámico Confidencialidad directa perfecta (PFS) = sí<br />
Certificados de 1024 bits (RSA o DSA) Grupo Diffie-Hellman 2 para fase 2<br />
Grupo Diffie-Hellman 2 para fase 1 Carga de seguridad encapsulada (ESP)<br />
Encriptación = AES Modo de túnel<br />
Autenticación = SHA-1 Encriptación y autenticación<br />
ID IKE = U-FQDN (dirección de correo electrónico) Encriptación = AES<br />
Protección contra reprocesamiento de paquetes = sí Autenticación = SHA-1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 79
Capítulo 3 Directivas VPN Túneles basados en directivas y en rutas<br />
TÚNELES BASADOS EN DIRECTIVAS Y EN RUTAS<br />
La configuración de un dispositivo <strong>NetScreen</strong> para el soporte VPN es particularmente flexible. Es posible crear<br />
túneles VPN basados en directivas y basados en rutas. Además, en cada tipo de túnel se puede utilizar clave<br />
manual o AutoKey IKE para administrar las claves utilizadas para la encriptación y la autenticación.<br />
En el caso de los túneles VPN basados en directivas, un túnel se gestiona como un objeto (o un bloque de<br />
construcción) que, junto con el origen, el destino, el servicio y la acción, comprende una directiva que permite el<br />
tráfico VPN. (En realidad, la acción de directiva VPN es tunnel , pero la acción permit está implícita si no se<br />
especifica). En una configuración VPN basada en directivas, una directiva hace referencia de forma específica a un<br />
túnel VPN por su nombre.<br />
En las VPN basadas en rutas, la directiva no hace referencia de forma específica al túnel VPN. En su lugar, la<br />
directiva hace referencia a una dirección de destino. Cuando el dispositivo <strong>NetScreen</strong> realice una consulta de ruta<br />
para averiguar la interfaz a través de la que debe enviar el tráfico para alcanzar esa dirección, encontrará una ruta<br />
a través de una interfaz de túnel, que estará asociada a un túnel 1 VPN específico.<br />
Por lo tanto, con un túnel VPN basado en directivas, un túnel se puede considerar como un elemento en la<br />
construcción de una directiva. Con un túnel VPN basado en rutas, un túnel se puede considerar como un medio<br />
para entregar tráfico, y la directiva se puede considerar como un método para permitir o denegar la entrega de<br />
dicho tráfico.<br />
El número de túneles VPN basados en directivas que se pueden crear está limitado por el número de directivas que<br />
admita el dispositivo. El número de túneles VPN basados en rutas que se puede crear está limitado por el número<br />
de entradas de ruta o por el número de interfaces de túnel que admita el dispositivo (el que sea más pequeño).<br />
La configuración de un túnel VPN basado en rutas es una elección acertada si desea conservar los recursos de<br />
túnel y ajustar restricciones granulares para el tráfico VPN. Aunque puede crear numerosas directivas que hagan<br />
referencia al mismo túnel VPN, cada directiva crea una asociación de seguridad (SA) IPSec individual con el<br />
interlocutor remoto; cada una de estas asociaciones cuenta como un túnel VPN independiente. Con el enfoque<br />
basado en rutas para las VPN, la regulación del tráfico no está ligada al medio de entrega. Es posible configurar<br />
docenas de directivas para regular el tráfico que circula a través de un único túnel VPN entre dos puntos, si sólo hay<br />
1. Normalmente, una interfaz de túnel está asociada a un solo túnel. No obstante, también es posible asociar una interfaz de túnel a varios túneles. Para<br />
obtener más información, consulte “Múltiples túneles por interfaz de túnel” en la página 381.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 80
Capítulo 3 Directivas VPN Túneles basados en directivas y en rutas<br />
una SA IPSec operativa. Además, la configuración de una VPN basada en rutas permite crear directivas que hagan<br />
referencia a un destino alcanzado a través de un túnel VPN donde la acción sea deny , en contraste con la<br />
configuración de una VPN basada en directivas, donde, como hemos indicado antes, la acción debe ser tunnel con<br />
la acción implícita permit .<br />
Otra ventaja de las VPN basadas en rutas es el intercambio de información de enrutamiento dinámico a través de<br />
túneles VPN. Es posible habilitar una instancia de un protocolo de enrutamiento dinámico, como BGP (Border<br />
Gateway Protocol), en una interfaz de túnel asociada a un túnel VPN. La instancia de enrutamiento local<br />
intercambia información de enrutamiento a través del túnel con un vecino habilitado en una interfaz de túnel<br />
asociada al otro extremo.<br />
Si un túnel no conecta grandes redes en las que se ejecuten protocolos de enrutamiento dinámico y no es<br />
necesario conservar túneles o definir diversas directivas para filtrar el tráfico a través del túnel, tiene sentido<br />
configurar un túnel basado en directivas. Además, como no existe ninguna red más allá de un cliente VPN de<br />
acceso telefónico, los túneles VPN basados en directivas pueden ser una buena elección para configuraciones<br />
VPN de acceso telefónico.<br />
Dicho esto, si el cliente de acceso telefónico admite una dirección IP interna virtual (como <strong>NetScreen</strong>-Remote),<br />
existen argumentos convincentes para utilizar una configuración VPN basada en rutas. Un túnel VPN de acceso<br />
telefónico basado en rutas presenta las siguientes ventajas:<br />
Se puede asociar su interfaz de túnel a cualquier zona para requerir o no la aplicación de directivas.<br />
Se pueden definir rutas para forzar el tráfico a través del túnel, al contrario de lo que ocurre con una<br />
configuración VPN basada en directivas.<br />
Un túnel VPN basado en rutas simplifica la adición de un radio a una configuración radial (consulte “VPNs<br />
radiales” en la página 471).<br />
Puede ajustar la ID de proxy para que acepte cualquier dirección IP del cliente VPN de acceso telefónico<br />
configurando la dirección del cliente remoto como 255.255.255.255/32.<br />
Puede definir una o más direcciones IP asignadas (MIP) en la interfaz del túnel.<br />
Nota: Para obtener un ejemplo de una configuración VPN basada en rutas para un cliente de acceso telefónico,<br />
consulte “Ejemplo: VPN de acceso telefónico basada en rutas, interlocutor dinámico” en la página 244.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 81
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto<br />
FLUJO DE PAQUETES: VPN PUNTO A PUNTO<br />
Para comprender mejor cómo interactúan los diversos componentes que intervienen en la creación de un túnel<br />
IPSec, en esta sección se describe el proceso de un flujo de paquetes a través de un túnel (tanto cuando un<br />
dispositivo <strong>NetScreen</strong> envía tráfico VPN saliente como cuando recibe tráfico VPN entrante). Se explica el proceso<br />
de una VPN basada en rutas y a continuación se incluye un anexo en el que se indican los dos puntos del flujo que<br />
difieren en el caso de una VPN basada en directivas.<br />
Una empresa con sede en Tokio acaba de abrir una sucursal en París y necesita conectar los dos puntos mediante<br />
un túnel IPSec. El túnel tiene las siguientes características: AutoKey IKE, protocolo ESP, AES para encriptación,<br />
SHA-1 para autenticación con clave previamente compartida y comprobación contra reprocesamiento de paquetes<br />
habilitada. Los dispositivos <strong>NetScreen</strong> que protegen cada punto se encuentran en modo NAT, y todas las zonas se<br />
ubican en el dominio de enrutamiento trust-vr. Las direcciones son las siguientes:<br />
Zona Trust<br />
ethernet1<br />
10.1.1.1/24<br />
10.1.1.5<br />
Tokio<br />
LAN<br />
Oficina<br />
de<br />
Tokio<br />
tunnel.1, 10.1.2.1/24<br />
Zona Untrust<br />
Interfaz de salida: ethernet3, 1.1.1.1/24<br />
Enrutador externo: 1.1.1.250<br />
Internet<br />
La ruta de un paquete procedente de 10.1.1.5/32 en la LAN de Tokio y destinado a 10.2.2.5/32 en la LAN de París<br />
a través de un túnel IPSec se desarrolla tal como se describe en las subsecciones siguientes.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 82<br />
vpn1<br />
Zona Untrust<br />
Enrutador externo: 2.2.2.250<br />
Interfaz de salida: ethernet3, 2.2.2.2/24<br />
tunnel.2, 10.2.1.1/24<br />
Oficina<br />
de<br />
París<br />
París<br />
LAN<br />
10.2.2.5<br />
ethernet1<br />
10.2.2.1/24<br />
Zona Trust
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto<br />
Tokio (iniciador)<br />
1. El host en 10.1.1.5 envía un paquete para 10.2.2.5 a 10.1.1.1, que es la dirección IP ethernet1 y es la<br />
puerta de enlace predeterminada configurada en los ajustes TCP/IP del host.<br />
2. El paquete llega a ethernet1, que está asociado a la zona Trust.<br />
3. Si hay habilitadas opciones SCREEN como la detección de suplantación de IP para la zona Trust, el<br />
dispositivo <strong>NetScreen</strong> activa el módulo SCREEN en este momento. La comprobación de SCREEN puede<br />
producir uno de los tres resultados siguientes:<br />
– Si un mecanismo SCREEN detecta un comportamiento anómalo y está configurado para bloquear el<br />
paquete correspondiente, el dispositivo <strong>NetScreen</strong> descarta el paquete y genera una entrada en el<br />
registro de eventos.<br />
– Si un mecanismo SCREEN detecta un comportamiento anómalo y está configurado para registrar el<br />
evento pero no bloquear el paquete, el dispositivo <strong>NetScreen</strong> registra el evento en la lista de<br />
contadores SCREEN para ethernet1 y continúa con el paso siguiente.<br />
– Si el mecanismo SCREEN no detecta ningún comportamiento anómalo, el dispositivo <strong>NetScreen</strong><br />
procede al paso siguiente.<br />
Si no ha habilitado ninguna opción SCREEN para la zona Trust, el dispositivo <strong>NetScreen</strong> continúa<br />
inmediatamente con el paso siguiente.<br />
4. El módulo de sesiones realiza una consulta de sesiones para comprobar si el paquete coincide con una<br />
sesión existente.<br />
Si el paquete no coincide con una sesión existente, el dispositivo <strong>NetScreen</strong> ejecuta los pasos restantes<br />
con el procedimiento de procesamiento del primer paquete.<br />
Si el paquete coincide con una sesión existente, el dispositivo <strong>NetScreen</strong> ejecuta el procedimiento de<br />
procesamiento rápido utilizando la información disponible en la entrada de sesiones existente para<br />
procesar el paquete. El procedimiento de procesamiento rápido omite las consultas de rutas y directivas<br />
porque la información generada por los pasos omitidos ya se obtuvo durante el procesamiento del primer<br />
paquete de la sesión.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 83
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto<br />
5. El módulo de asignación de direcciones comprueba si una dirección IP asignada (MIP) utiliza la dirección IP<br />
de destino 10.2.2.5. Como 10.2.2.5 no se utiliza en ninguna configuración MIP, el dispositivo <strong>NetScreen</strong><br />
continúa con el paso siguiente. (Para obtener información sobre el procesamiento de paquetes cuando<br />
existe traducción de direcciones de destino [NAT-dst], MIP o VIP, consulte “Flujo de paquetes para<br />
NAT-Dst” en la página 7 -38).<br />
6. Para determinar la zona de destino, el módulo de rutas realiza una consulta de rutas para 10.2.2.5. (El<br />
módulo de rutas utiliza la interfaz de entrada para determinar qué enrutador virtual debe utilizar para la<br />
consulta de rutas). Encuentra una entrada de ruta que dirige el tráfico a 10.2.2.5 a través de la interfaz<br />
tunnel.1 asociada a un túnel VPN llamado “vpn1”. La interfaz de túnel se encuentra en la zona Untrust.<br />
Determinando las interfaces de entrada y salida, el dispositivo <strong>NetScreen</strong> determina las zonas de origen y<br />
de destino y puede realizar una consulta de directivas.<br />
7. El motor de directivas realiza una consulta de directivas entre las zonas Trust y Untrust (según lo<br />
determinado por las correspondientes interfaces de entrada y de salida). La acción especificada en la<br />
directiva que coincide con la dirección de origen y la zona, la dirección de destino y la zona, y el servicio es<br />
permitir.<br />
8. El módulo IPSec comprueba si existe una asociación de seguridad (SA) de fase 2 activa con el interlocutor<br />
remoto. Mediante la comprobación de SA de fase 2 se pueden obtener los siguientes resultados:<br />
– Si el módulo IPSec descubre una SA de fase 2 activa con el interlocutor, continúa con el paso 10.<br />
– Si el módulo IPSec no descubre una SA de fase 2 activa con el interlocutor, descarta el paquete y<br />
activa el módulo IKE.<br />
9. El módulo IKE comprueba si existe una SA de fase 1 activa con el interlocutor remoto. Mediante la<br />
comprobación de SA de fase 1 se pueden obtener los siguientes resultados:<br />
– Si el módulo IKE descubre una SA de fase 1 activa con el interlocutor, utiliza esta SA para negociar<br />
una SA de fase 2.<br />
– Si el módulo IKE no descubre una SA de fase 1 activa con el interlocutor, inicia negociaciones de fase<br />
1 en modo principal y, luego, negociaciones de fase 2.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 84
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto<br />
10. El módulo IPSec coloca un encabezado ESP y un encabezado IP externo en el paquete. Utilizando la<br />
dirección especificada como interfaz de salida, indica 1.1.1.1 como dirección IP de origen en el encabezado<br />
externo. Utilizando la dirección especificada para la puerta de enlace remota, indica 2.2.2.2 como la<br />
dirección IP de destino en el encabezado externo. A continuación, encripta el paquete desde la carga hasta<br />
el siguiente campo de encabezado en el encabezado IP original. Luego, autentica el paquete desde el<br />
finalizador ESP hasta el encabezado ESP.<br />
11. El dispositivo <strong>NetScreen</strong> envía el paquete encriptado y autenticado dirigido a 2.2.2.2 a través de la interfaz<br />
de salida (ethernet3) al enrutador externo en 1.1.1.250.<br />
París (destinatario)<br />
1. El paquete llega a 2.2.2.2, que es la dirección IP de ethernet3, una interfaz asociada a la zona Untrust.<br />
2. Mediante el SPI, la dirección IP de destino y el protocolo IPSec incluidos en el encabezado de paquete<br />
externo, el módulo IPSec intenta localizar una SA de fase 2 activa con el interlocutor iniciador junto con las<br />
claves para autenticar y desencriptar el paquete. Mediante la comprobación de SA de fase 2 se puede<br />
obtener uno de los tres siguientes resultados:<br />
– Si el módulo IPSec descubre una SA de fase 2 activa con el interlocutor, continúa con el paso 4.<br />
– Si el módulo IPSec no descubre una SA de fase 2 activa con el interlocutor pero puede comparar una<br />
SA de fase 2 inactiva utilizando la dirección IP de origen pero no el SPI, descarta el paquete, realiza<br />
una entrada en el registro de eventos y envía una notificación al interlocutor iniciador para avisar de<br />
que ha recibido un SPI incorrecto.<br />
– Si el módulo IPSec no descubre una SA de fase 2 activa con el interlocutor, descarta el paquete y<br />
activa el módulo IKE.<br />
3. El módulo IKE comprueba si existe una SA de fase 1 activa con el interlocutor remoto. Mediante la<br />
comprobación de SA de fase 1 se pueden obtener los siguientes resultados:<br />
– Si el módulo IKE descubre una SA de fase 1 activa con el interlocutor, utiliza esta SA para negociar<br />
una SA de fase 2.<br />
– Si el módulo IKE no descubre una SA de fase 1 activa con el interlocutor, inicia negociaciones de fase<br />
1 en modo principal y, luego, negociaciones de fase 2.<br />
4. El módulo IPSec realiza una comprobación contra reprocesamiento de paquetes. Mediante esta<br />
comprobación se puede obtener uno de los dos resultados siguientes:<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 85
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto<br />
– Si el paquete no pasa la comprobación contra reprocesamiento de paquetes (porque se detecte un<br />
número de secuencia que el dispositivo <strong>NetScreen</strong> ya haya recibido), el dispositivo <strong>NetScreen</strong><br />
descarta el paquete.<br />
– Si el paquete pasa la comprobación contra reprocesamiento de paquetes, el dispositivo <strong>NetScreen</strong><br />
continúa con el siguiente paso.<br />
5. El módulo IPSec intenta autenticar el paquete. Mediante la comprobación de autenticación se puede<br />
obtener uno de los dos resultados siguientes:<br />
– Si el paquete no pasa la comprobación de autenticación, el dispositivo <strong>NetScreen</strong> descarta el<br />
paquete.<br />
– Si el paquete pasa la comprobación de autenticación, el dispositivo <strong>NetScreen</strong> continúa con el<br />
siguiente paso.<br />
6. Mediante la SA de fase 2 y las claves, el módulo IPSec desencripta el paquete, descubriendo la dirección<br />
de origen original (10.1.1.5) y el destino final (10.2.2.5). Averigua que el paquete ha llegado a través de<br />
vpn1, que está asociada a tunnel.1. A partir de este momento, el dispositivo <strong>NetScreen</strong> gestiona el paquete<br />
teniendo en cuenta que su interfaz de entrada es tunnel.1 en lugar de ethernet3. También ajusta la ventana<br />
deslizante contra reprocesamiento de paquetes.<br />
7. Si hay habilitadas opciones SCREEN para la zona Untrust, el dispositivo <strong>NetScreen</strong> activa el módulo<br />
SCREEN en este momento. La comprobación de SCREEN puede producir uno de los tres resultados<br />
siguientes:<br />
– Si un mecanismo SCREEN detecta un comportamiento anómalo y está configurado para bloquear el<br />
paquete correspondiente, el dispositivo <strong>NetScreen</strong> descarta el paquete y genera una entrada en el<br />
registro de eventos.<br />
– Si un mecanismo SCREEN detecta un comportamiento anómalo y está configurado para registrar el<br />
evento pero no bloquear el paquete, el dispositivo <strong>NetScreen</strong> registra el evento en la lista de<br />
contadores SCREEN para ethernet3 y continúa con el paso siguiente.<br />
– Si el mecanismo SCREEN no detecta ningún comportamiento anómalo, el dispositivo <strong>NetScreen</strong><br />
procede al paso siguiente.<br />
8. El módulo de sesiones realiza una consulta de sesiones para comprobar si el paquete coincide con una<br />
sesión existente. A continuación, aplica el procedimiento de procesamiento del primer paquete o de<br />
procesamiento rápido.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 86
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto<br />
Si el paquete coincide con una sesión existente, el dispositivo <strong>NetScreen</strong> ejecuta “Fast Processing”,<br />
utilizando la información disponible en la entrada de sesiones existente para procesar el paquete. “Fast<br />
Processing” omite todos los pasos salvo los dos últimos (encriptar el paquete y reenviarlo) porque la<br />
información generada por los pasos omitidos ya se obtuvo durante el procesamiento del primer paquete de<br />
la sesión.<br />
9. El módulo de asignación de direcciones comprueba si una dirección IP asignada (MIP) o virtual (VIP) utiliza<br />
la dirección IP de destino 10.2.2.5. Como 10.2.2.5 no se utiliza en ninguna configuración MIP o VIP, el<br />
dispositivo <strong>NetScreen</strong> continúa con el paso siguiente.<br />
10. El módulo de rutas utiliza primero la interfaz de entrada para determinar el enrutador virtual que debe<br />
utilizar para la consulta de rutas; en este caso, trust-vr. A continuación, realiza una consulta de rutas para<br />
10.2.2.5 en trust-vr y descubre que el acceso se ha llevado a cabo a través de ethernet1. Determinando la<br />
interfaz de entrada (tunnel.1) y la de salida (ethernet1), el dispositivo <strong>NetScreen</strong> puede determinar las<br />
zonas de origen y destino. La interfaz tunnel.1 está asociada a la zona Untrust y ethernet1 a la zona Trust.<br />
El dispositivo <strong>NetScreen</strong> puede realizar ahora una consulta de directivas.<br />
11. El motor de directivas comprueba su lista de directivas desde la zona Untrust hasta la zona Trust y<br />
encuentra una directiva que permite el acceso.<br />
12. El dispositivo <strong>NetScreen</strong> reenvía el paquete a través de ethernet1 a su destino en 10.2.2.5.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 87
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto<br />
Anexo: VPN basadas en directivas<br />
El flujo de paquetes para una configuración VPN basada en directivas difiere en dos puntos del de la configuración<br />
VPN basada en rutas: la consulta de rutas y la consulta de directivas.<br />
Tokio (iniciador)<br />
Las primeras etapas del flujo de paquetes saliente son las mismas para las configuraciones VPN basadas<br />
en rutas y las basadas en directivas hasta que se producen las consultas de rutas y de directivas:<br />
Consulta de rutas: para determinar la zona de destino, el módulo de rutas realiza una consulta de<br />
rutas para 10.2.2.5. Si no encuentra ninguna entrada para esa dirección específica, el módulo de<br />
rutas, resuelve una ruta a través de ethernet3, que está asociada a la zona Untrust. Determinando las<br />
interfaces de entrada y salida, el dispositivo <strong>NetScreen</strong> determina las zonas de origen y de destino y<br />
puede realizar una consulta de directivas.<br />
Consulta de directivas: el motor de directivas realiza una consulta de directivas en las zonas Trust y<br />
Untrust. La consulta compara la dirección de origen y la zona, la dirección de destino y la zona, y el<br />
servicio, y encuentra una directiva que hace referencia a un túnel VPN llamado vpn1.<br />
El dispositivo <strong>NetScreen</strong> reenvía el paquete a través de ethernet1 a su destino en 10.2.2.5.<br />
París (destinatario)<br />
La mayoría de las etapas del flujo de paquetes entrante en el extremo del destinatario son idénticas tanto<br />
para las configuraciones VPN basadas en directivas como para las basadas en rutas, excepto que el túnel<br />
no está asociado a una interfaz de túnel, sino a una zona de túnel. El dispositivo <strong>NetScreen</strong> averigua que el<br />
paquete ha llegado a través de vpn1, que está asociada a la zona de túnel Untrust-Tun, cuya zona<br />
portadora es la zona Untrust. Al contrario de lo que ocurre en las VPN basadas en rutas, el dispositivo<br />
<strong>NetScreen</strong> considera que ethernet3 es la interfaz de entrada del paquete desencriptado (y no tunnel.1).<br />
El flujo cambia cuando concluye la desencriptación del paquete. En este punto, las consultas de rutas y<br />
directivas difieren:<br />
Consulta de rutas: el módulo de rutas realiza una consulta de rutas para 10.2.2.5 y descubre que el<br />
acceso se ha producido a través de ethernet1, que está asociada a la zona Trust. Averiguando que la<br />
zona Untrust es la zona de origen (porque vpn1 está asociada a la zona de túnel Untrust-Tun, cuya<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 88
Capítulo 3 Directivas VPN Flujo de paquetes: VPN punto a punto<br />
zona portadora es la zona Untrust) y determinando la zona de destino a partir de la interfaz de salida<br />
(ethernet1 está asociada a la zona Trust), el dispositivo <strong>NetScreen</strong> puede buscar ahora una directiva<br />
desde la zona Untrust hasta la zona Trust que haga referencia a vpn1.<br />
Consulta de directivas: el motor de directivas comprueba su lista de directivas desde la zona Untrust<br />
hasta la zona Trust y encuentra una directiva que hace referencia a un túnel VPN llamado vpn1 y que<br />
permite el acceso a 10.2.2.5.<br />
Entonces, el dispositivo <strong>NetScreen</strong> reenvía el paquete a su destino.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 89
Capítulo 3 Directivas VPN Consejos para la configuración de un túnel<br />
CONSEJOS PARA LA CONFIGURACIÓN DE UN TÚNEL<br />
Esta sección contiene algunas indicaciones o consejos que conviene tener en cuenta a la hora de configurar<br />
túneles VPN. Cuando configure un túnel VPN IPSec, recuerde lo siguiente:<br />
<strong>NetScreen</strong> admite un máximo de cuatro propuestas para las negociaciones de fase 1 y un máximo de<br />
cuatro propuestas para las negociaciones de fase 2. Un interlocutor tiene que estar configurado para<br />
aceptar al menos una propuesta de fase 1 y una propuesta de fase 2 realizadas por el otro interlocutor.<br />
Para obtener información sobre las negociaciones IKE de fase 1 y fase 2, consulte “Negociación de túnel”<br />
en la página 11.<br />
Si desea utilizar certificados para la autenticación y hay más de un certificado local cargado en el<br />
dispositivo <strong>NetScreen</strong>, deberá especificar qué certificado desea que utilice cada configuración de túnel<br />
VPN. Para obtener más información sobre los certificados, consulte el Capítulo 2, “Criptografía de claves<br />
públicas” en la página 23.<br />
Para una VPN básica basada en directivas:<br />
– Utilice direcciones definidas por el usuario en la directiva, no la dirección predefinida “Any”.<br />
– Las direcciones y el servicio especificados en las directivas configuradas en los dos extremos de la<br />
VPN deben coincidir.<br />
– Utilice directivas simétricas para el tráfico VPN bidireccional.<br />
La ID de proxy para ambos interlocutores debe coincidir, es decir, el servicio especificado en la ID de proxy<br />
para ambos interlocutores debe ser idéntico, y la dirección IP local indicada para un interlocutor debe ser<br />
igual que la dirección IP remota indicada para el otro interlocutor 2 .<br />
– Para una configuración VPN basada en rutas, la ID de proxy es configurable por el usuario.<br />
– Para una configuración VPN basada en directivas, el dispositivo <strong>NetScreen</strong> (de forma<br />
predeterminada) deriva la ID de proxy a partir de la dirección de origen, la dirección de destino y el<br />
servicio especificados en la directiva que hace referencia al túnel VPN en la lista de directivas.<br />
También es posible definir una ID de proxy para una VPN basada en directivas que reemplace la ID<br />
de proxy derivada.<br />
2. La ID de proxy es una tupla de tres partes compuesta por dirección IP local-dirección IP remota-servicio.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 90
Capítulo 3 Directivas VPN Consejos para la configuración de un túnel<br />
El método más simple para garantizar que las ID de proxy coinciden es utilizar 0.0.0.0/0 para la dirección<br />
local, 0.0.0.0/0 para la dirección 3 remota y “any” para el servicio. En lugar de utilizar la ID de proxy para el<br />
control de acceso, se utilizan directivas para controlar el tráfico procedente de y destinado a la VPN. Para<br />
obtener <strong>ejemplos</strong> de configuraciones VPN con ID de proxy configurables por el usuario, consulte los<br />
<strong>ejemplos</strong> de VPN basadas en rutas del Capítulo 4, “VPNs punto a punto”.<br />
3. Si la dirección remota es la dirección interna virtual de un cliente VPN de acceso telefónico, utilice 255.255.255.255/32 para la dirección IP remota/máscara<br />
de red en la ID de proxy.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 91
Capítulo 3 Directivas VPN Consejos para la configuración de un túnel<br />
Siempre que coincidan los ajustes de ID de proxy de los interlocutores, es irrelevante si un interlocutor<br />
define una VPN basada en rutas y el otro, una VPN basada en directivas. Si el interlocutor 1 utiliza una<br />
configuración VPN basada en directivas, y el interlocutor utiliza una configuración VPN basada en rutas, el<br />
interlocutor 2 deberá definir una ID de proxy que coincida con la ID de proxy derivada de la directiva 4 del<br />
interlocutor 1. Si el interlocutor 1 realiza la traducción de direcciones de red de origen (NAT-src) mediante<br />
un conjunto de DIP, utilice la dirección y la máscara de red para el conjunto de DIP como dirección remota<br />
en la ID de proxy del interlocutor 2. Por ejemplo:<br />
Si el conjunto de DIP es: Utilice esto en la ID de proxy:<br />
1.1.1.8 – 1.1.1.8 1.1.1.8/32<br />
1.1.1.20 – 1.1.1.50 1.1.1.20/26<br />
1.1.1.100 – 1.1.1.200 1.1.1.100/25<br />
1.1.1.0 – 1.1.1.255 1.1.1.0/24<br />
Para obtener más información sobre las IDs de proxy cuando se utilizan con NAT-src y NAT-dst, consulte<br />
“Sitios VPN con direcciones superpuestas” en la página 203.<br />
Como las ID de proxy admiten o bien un servicio, o bien todos los servicios, el servicio de una ID de proxy<br />
derivada a partir de una VPN basada en directivas que haga referencia a un grupo de servicios se<br />
considera como “any”.<br />
Cuando ambos interlocutores tienen direcciones IP estáticas, pueden utilizar la ID IKE predeterminada, es<br />
decir, su dirección IP. Cuando un usuario de acceso telefónico o interlocutor tiene una dirección IP<br />
asignada de forma dinámica, dicho usuario o interlocutor debe utilizar otro tipo de ID IKE. Un nombre<br />
completo (FQDN) es una buena elección para un interlocutor dinámico, y un U-FQDN (dirección de correo<br />
electrónico) es una buena elección para un usuario de acceso telefónico. Se pueden utilizar los dos tipos de<br />
ID IKE FQDN y U-FQDN con claves previamente compartidas y certificados (si el FQDN o U-FQDN<br />
aparece en el campo SubjectAltName del certificado). Si utiliza certificados, el interlocutor dinámico o el<br />
usuario de acceso telefónico también podrá utilizar todo o parte del ASN1-DN como ID IKE.<br />
4. El interlocutor 1 también puede definir una ID de proxy que coincida con la ID de proxy del interlocutor 2. La ID de proxy definida por el usuario del interlocutor<br />
1 reemplaza la ID de proxy que el dispositivo <strong>NetScreen</strong> deriva de los componentes de la directiva.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 92
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas<br />
CONSIDERACIONES SOBRE SEGURIDAD EN VPNS BASADAS EN RUTAS<br />
Aunque los cambios de rutas no afectan a las VPNs basadas en directivas, las VPNs basadas en rutas son otra<br />
cuestión. El dispositivo <strong>NetScreen</strong> puede enrutar paquetes a través del túnel de una VPN basada en rutas<br />
combinando rutas estáticas con protocolos de enrutamiento dinámico. Mientras no ocurra ningún cambio de ruta, el<br />
dispositivo <strong>NetScreen</strong> encripta y reenvía constantemente los paquetes destinados a las interfaces de túnel<br />
asociadas a los túneles de la VPN basada en rutas.<br />
Sin embargo, cuando se utiliza el seguimiento de VPN con una configuración de túnel VPN basado en rutas, el<br />
estado del túnel puede cambiar de activo (up) a inactivo (down). Cuando esto ocurre, todas las entradas de la tabla<br />
de rutas que hacen referencia a la interfaz de túnel asociada a ese túnel cambian a inactivas. A continuación, si el<br />
dispositivo <strong>NetScreen</strong> examina las rutas para buscar tráfico que originalmente debería estar encriptado y enviarse a<br />
través de un túnel asociado a esa interfaz de túnel, no tendrá en cuenta la ruta relativa a la interfaz de túnel y<br />
buscará la siguiente ruta con mayor coincidencia. La ruta que encontrará podría ser la ruta predeterminada. Con<br />
esta ruta, el dispositivo <strong>NetScreen</strong> enviaría fuera el tráfico desencriptado (es decir, en texto puro o sin formato ) a<br />
través de una interfaz sin túnel a la WAN pública.<br />
Para evitar reencaminar el tráfico previsto originalmente para un túnel VPN a la WAN pública como texto puro,<br />
puede configurar el dispositivo <strong>NetScreen</strong> para que desvíe dicho tráfico a otro túnel, reencaminarlo a una línea<br />
arrendada o simplemente descartarlo, utilizando una de las siguientes soluciones:<br />
“Ruta nula” en la página 94 (descarta el tráfico cuando la ruta a la interfaz de túnel se desactiva)<br />
“Línea de acceso telefónico o arrendada” en la página 96 (reencamina el tráfico a otra ruta segura cuando<br />
la ruta a la interfaz de túnel se desactiva)<br />
“Interfaz de túnel ficticia” en la página 100 (descarta el tráfico cuando la ruta a la interfaz de túnel se<br />
desactiva)<br />
“Enrutador virtual para interfaces de túnel” en la página 101 (descarta el tráfico cuando la ruta a la interfaz<br />
de túnel se desactiva)<br />
“Reencaminar a otro túnel” en la página 101 (reencamina el tráfico a un túnel VPN alternativo cuando la<br />
ruta a la interfaz de túnel se desactiva)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 93
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas<br />
Ruta nula<br />
Si el estado de un túnel VPN cambia a “inactivo” (“down”), el dispositivo <strong>NetScreen</strong> cambia cualquier ruta que haga<br />
referencia a esa interfaz de túnel a “inactiva”. Si la ruta a la interfaz de túnel deja de estar disponible y la opción<br />
siguiente es la ruta predeterminada (por ejemplo), a continuación el dispositivo <strong>NetScreen</strong> utiliza la ruta<br />
predeterminada para reenviar el tráfico previsto originalmente para el túnel VPN. Para evitar enviar tráfico en texto<br />
sin formato hacia la WAN pública cuando se produce un cambio de ruta, puede utilizar una ruta nula. Una ruta nula<br />
apunta a la misma dirección de destino que la ruta a través de la interfaz de túnel, pero dirige el tráfico hacia la<br />
interfaz Null. La interfaz Null es una interfaz lógica que descarta el tráfico enviado hacia ella. Asigne a la ruta nula<br />
una métrica más elevada (más alejada de cero) que la ruta que utiliza la interfaz de túnel para que la ruta nula tenga<br />
una prioridad inferior.<br />
Nota: Las versiones anteriores a ScreenOS 5.1.0 no admiten interfaces nulas. Sin embargo, puede utilizar una<br />
interfaz de túnel ficticia para lograr el mismo objetivo. Para obtener más información, consulte “Interfaz de túnel<br />
ficticia” en la página 100.<br />
Por ejemplo, si crea una ruta estática a través de tunnel.1 hacia una LAN remota con la dirección IP 10.2.2.0/24, su<br />
métrica recibirá automáticamente el valor predeterminado 1:<br />
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1<br />
get route<br />
…<br />
Dest-Routes for (4 entries)<br />
ID IP-Prefix Interface Gateway P Pref Mtr Vsys<br />
* 3 0.0.0.0/0 eth3 1.1.1.250 S 20 1 Root<br />
* 2 1.1.1.0/24 eth3 0.0.0.0 C 0 0 Root<br />
* 1 10.1.1.0/24 eth1 0.0.0.0 C 0 0 Root<br />
* 4 10.2.2.0/24 tun.1 0.0.0.0 S 20 1 Root<br />
En la tabla de enrutamiento anterior, un asterisco (*) indica que una ruta está activa, “S” indica una “ruta<br />
estática” y “C” indica una “ruta conectada”.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 94
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas<br />
En la tabla de enrutamiento anterior, el dispositivo <strong>NetScreen</strong> tiene dos rutas para alcanzar cualquier dirección en la<br />
subred 10.2.2.0/24. La primera opción es la ruta nº 4 porque coincide en mayor medida con esa dirección. La<br />
segunda opción es la ruta predeterminada (0.0.0.0/0).<br />
Si a continuación agrega otra ruta a 10.2.2.0/24 a través de la interfaz Null y le asigna un valor mayor que 1, esa<br />
ruta se convierte en la segunda opción de enrutamiento hacia cualquier dirección de la subred 10.2.2.0/24. Si la ruta<br />
hacia 10.2.2.0/24 a través de tunnel.1 se desactiva, el dispositivo <strong>NetScreen</strong> utiliza la ruta hacia la interfaz Null. El<br />
dispositivo <strong>NetScreen</strong> reenvía el tráfico destinado a 10.2.2.0/24 hacia esa interfaz y luego lo descarta.<br />
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10<br />
get route<br />
…<br />
Dest-Routes for (5 entries)<br />
ID IP-Prefix Interface Gateway P Pref Mtr Vsys<br />
* 3 0.0.0.0/0 eth3 1.1.1.250 S 20 1 Root<br />
* 2 1.1.1.0/24 eth3 0.0.0.0 C 0 0 Root<br />
* 1 10.1.1.0/24 eth1 0.0.0.0 C 0 0 Root<br />
4 10.2.2.0/24 tun.1 0.0.0.0 S 20 1 Root<br />
* 5 10.2.2.0/24 null 0.0.0.0 S 20 10 Root<br />
En la tabla de enrutamiento anterior, la ruta hacia 10.2.2.0/24 a través de tunnel.1 está inactiva (indicado por la<br />
ausencia de un asterisco en la columna izquierda). Por lo tanto, el dispositivo <strong>NetScreen</strong> busca la siguiente ruta con<br />
la mayor coincidencia con la dirección de destino y encuentra la ruta nº 5. (La siguiente opción después de la ruta nº<br />
5 es la ruta predeterminada con la identificación nº 3). A continuación, el dispositivo <strong>NetScreen</strong> reenvía el tráfico<br />
para 10.2.2.0/24 a la interfaz Null, que descarta el tráfico. Consecuentemente, si la ruta que utiliza tunnel.1 se<br />
desactiva, el dispositivo <strong>NetScreen</strong> descarta el tráfico para 10.2.2.0/24 en lugar de utilizar la ruta nº 3 para<br />
reenviarlo hacia fuera a través de ethernet3 como texto puro al enrutador en 1.1.1.250.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 95
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas<br />
Línea de acceso telefónico o arrendada<br />
Si no desea que el tráfico dirigido a un interlocutor remoto se descarte cuando el túnel hacia ese interlocutor se<br />
desactive, puede agregar una ruta alternativa hacia ese interlocutor a través de una línea de acceso telefónico o<br />
arrendada. Esta ruta alternativa utilizará la misma dirección IP de destino que la ruta a través del túnel VPN, pero<br />
tendrá otra interfaz de salida y una métrica menos prioritaria. Si la ruta a través del túnel VPN llegase a<br />
desactivarse, el dispositivo <strong>NetScreen</strong> reencaminaría el tráfico dirigido al interlocutor remoto a través de la línea de<br />
acceso telefónico o arrendada.<br />
Cuando utilice una línea de acceso telefónico o arrendada como ruta de siguiente opción, todavía existe la<br />
posibilidad de que las rutas de primera y de segunda opción puedan desactivarse simultáneamente. En ese caso, el<br />
dispositivo <strong>NetScreen</strong> recurre a la tercera opción, que puede ser la ruta predeterminada. En previsión de tal<br />
situación, puede convertir la ruta de acceso telefónico o arrendada en la segunda opción y la ruta nula en la tercera<br />
opción (consulte “Ruta nula” en la página 94). La ilustración siguiente muestra cómo estas opciones de tratamiento<br />
de un fallo de enrutamiento pueden funcionar en tándem.<br />
Primera opción: Un túnel VPN<br />
hacia el interlocutor remoto. Dispositivo<br />
ethernet1<br />
10.1.1.1/24<br />
<strong>NetScreen</strong><br />
local<br />
ethernet3<br />
Zona Trust<br />
1.1.1.1/24<br />
LAN<br />
local<br />
Segunda opción: Una ruta estática 2<br />
sobre una línea de acceso telefónico o<br />
arrendada hacia el interlocutor de la<br />
VPN. Su métrica es mayor que la de la<br />
ruta que utiliza el túnel VPN. Esta 3<br />
opción de enrutamiento reenvía el<br />
tráfico como texto puro a través de la<br />
línea protegida al interlocutor.<br />
Tercera opción: Una ruta nula con una<br />
métrica superior que la de la línea de<br />
acceso telefónico o arrendada. Esta<br />
opción descarta el tráfico.<br />
1<br />
tunnel.1<br />
ethernet4<br />
1.2.2.1/24<br />
Interfaz<br />
Null<br />
Descartar<br />
tráfico<br />
Internet<br />
Túnel VPN<br />
Línea de<br />
acceso<br />
telefónico o<br />
arrendada<br />
Zona Untrust<br />
Interlocutor de la VPN<br />
remoto<br />
LAN<br />
remota<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 96
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas<br />
Ejemplo: Conmutación por error de la VPN hacia la línea arrendada o la ruta nula<br />
En este ejemplo, deseamos que el tráfico procedente de la sucursal detrás de <strong>NetScreen</strong>-A alcance la red<br />
corporativa situada detrás de <strong>NetScreen</strong>-B a través de una conexión VPN segura. Si el túnel falla, el tráfico deberá<br />
fluir a través de una línea arrendada hacia la oficina corporativa. Si tanto el túnel VPN como la línea arrendada<br />
fallan, <strong>NetScreen</strong>-A deberá descartar el tráfico en lugar de enviarlo fuera hacia Internet como texto puro.<br />
Creará tres rutas en <strong>NetScreen</strong>-A para alcanzar a 10.2.2.0/24 y asignará a cada una otra métrica:<br />
Ruta preferida – utilizar tunnel.1, asociado a vpn1 (métrica = 1)<br />
Ruta secundaria – utilizar ethernet4 y la puerta de enlace en 1.2.2.5 para utilizar la línea arrendada (métrica = 2)<br />
Ruta terciaria – utilice la interfaz nula para descartar tráfico (métrica = 10)<br />
Al crear la ruta preferida, utilizará la métrica predeterminada de una ruta estática, que es 1. Asignará una métrica de<br />
2 a la ruta secundaria; es decir, la ruta de respaldo a través de la línea arrendada (mostrada en rojo en el diagrama<br />
de debajo). La métrica es inferior que la de la ruta preferida a través del túnel VPN. El dispositivo <strong>NetScreen</strong> no<br />
utiliza la ruta secundaria a menos que falle la ruta preferida a través del túnel VPN.<br />
Finalmente, agregará una ruta NULA con una métrica de 10. Si la ruta preferida falla y a continuación también falla<br />
la ruta secundaria, el dispositivo <strong>NetScreen</strong> descartará todos los paquetes. Todas las zonas de seguridad se<br />
encuentran en el dominio de enrutamiento trust-vr.<br />
Nota: Ese ejemplo muestra solamente la configuración para cuatro rutas (tres para la conmutación por error) en<br />
<strong>NetScreen</strong>-A. No incluye la configuración de otros elementos necesarios, como interfaces y directivas.<br />
Preferencias de rutas:<br />
1. tunnel.1 -> vpn1<br />
2. ethernet4 -> línea arrendada<br />
3. null interface -> descartar<br />
LAN<br />
10.1.1.0/24<br />
3<br />
ethernet3<br />
1.1.1.1/24<br />
<strong>NetScreen</strong>-A<br />
Internet<br />
<strong>NetScreen</strong>-B<br />
Ruta NULA<br />
tunnel.1<br />
ethernet4<br />
1.2.2.1/24<br />
El tráfico fluye desde la sucursal<br />
a la oficina corporativa.<br />
Puerta de enlace<br />
1.1.1.250<br />
1<br />
vpn1<br />
ethernet3<br />
2.2.2.2/24<br />
2<br />
Línea arrendada (ruta de respaldo)<br />
Puerta de enlace: 1.2.2.5/24<br />
ethernet4<br />
2.3.3.2/24<br />
tunnel.1<br />
LAN<br />
10.2.2.0/24<br />
Nota: Las zonas de seguridad no se<br />
muestran en esta ilustración.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 97
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas<br />
WebUI (<strong>NetScreen</strong>-A)<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
Metric: 1<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.2.2.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 1<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.2.2.0/24<br />
Gateway: (seleccione)<br />
Interface: ethernet4<br />
Gateway IP Address: 1.2.2.5<br />
Metric: 2<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.2.2.0/24<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 98
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas<br />
CLI (<strong>NetScreen</strong>-A)<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1<br />
set vrouter trust-vr route 10.2.2.0/24 interface ethernet4 gateway 1.2.2.5<br />
metric 2<br />
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10<br />
save<br />
Puede verificar la presencia de las nuevas rutas ejecutando el comando get route .<br />
ns-> get route<br />
…<br />
Dest-Routes for (7 entries))<br />
ID IP-Prefix Interface Gateway P Pref Mtr Vsys<br />
* 4 0.0.0.0/0 eth3 1.1.1.250 S 20 1 Root<br />
* 2 1.1.1.0/24 eth3 0.0.0.0 C 0 0 Root<br />
* 7 10.2.2.0/24 null 0.0.0.0 S 20 10 Root<br />
* 5 10.2.2.0/24 tunnel.1 0.0.0.0 S 20 1 Root<br />
* 6 10.2.2.0/24 eth4 1.2.2.5 S 20 2 Root<br />
* 1 10.1.1.0/24 eth1 0.0.0.0 C 0 0 Root<br />
* 3 1.2.2.0/24 eth4 0.0.0.0 C 0 0 Root<br />
La entrada de la tabla de rutas con la identificación 5 dirige el tráfico destinado a 10.2.2.0/24 hacia tunnel.1 y luego<br />
a través del túnel VPN. Es la ruta preferida para que el tráfico alcance la red 10.2.2.0. Si ese túnel falla, la siguiente<br />
mejor ruta es la correspondiente a la entrada 6 sobre una línea arrendada a través de una puerta de enlace en<br />
1.2.2.5. Si la conexión de la entrada de ruta 6 falla, la entrada de ruta 7 se convierte en la siguiente mejor ruta y el<br />
dispositivo <strong>NetScreen</strong> dirige el tráfico destinado a 10.2.2.0/24 hacia la interfaz nula, que lo descarta.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 99
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas<br />
Interfaz de túnel ficticia<br />
Cuando se produce un error, en lugar de conmutar el tráfico de un túnel VPN a una interfaz nula (donde se<br />
descarta), se puede utilizar una interfaz de túnel inoperativa para lograr el mismo objetivo.<br />
Nota: Las versiones anteriores a ScreenOS 5.1.0 no admiten interfaces nulas (consulte “Ruta nula” en la página<br />
94). Sin embargo, puede utilizar una interfaz de túnel ficticia para lograr el mismo objetivo.<br />
Para configurar una interfaz de túnel ficticia, haga lo siguiente:<br />
1. Cree una segunda interfaz de túnel, pero no la asocie a un túnel VPN. En su lugar, asóciela a una<br />
zona de túnel que se encuentre en el mismo dominio de enrutamiento virtual que la primera interfaz<br />
de túnel 5 .<br />
2. Defina una segunda ruta hacia el mismo destino utilizando esta segunda interfaz de túnel y asígnele<br />
una métrica más alta (más alejada de cero) que la de la ruta preferida.<br />
Cuando el estado de la interfaz de túnel en funcionamiento pase de activo a inactivo y la entrada de la<br />
tabla de rutas relativa a esa interfaz quede inactiva, las búsquedas de rutas encontrarán esta segunda<br />
ruta a la interfaz de túnel no operativa. El dispositivo <strong>NetScreen</strong> reenviará el tráfico a la segunda<br />
interfaz de túnel, y como no está asociada a un túnel VPN, el dispositivo descartará el tráfico.<br />
5. Si una interfaz de túnel está asociada a una zona de túnel, su estado siempre será activo.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 100
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas<br />
Enrutador virtual para interfaces de túnel<br />
Para evitar que, al desactivarse la ruta programada a través de un túnel VPN, el tráfico que originalmente debía<br />
atravesar el túnel, sea conmutado a causa del error hacia la ruta predeterminada, puede crear un dominio de<br />
enrutamiento virtual especial exclusivamente para el tráfico VPN. Para configurarlo, proceda de la siguiente<br />
manera:<br />
1. Cree un enrutador virtual independiente para utilizarlo con todas las rutas que apunten a interfaces de<br />
túnel y déle, por ejemplo, el nombre “VR-VPN”.<br />
2. Cree una zona de seguridad (llamada, por ejemplo, “zona VPN”) y asóciela a VR-VPN.<br />
3. Asocie todas las interfaces de túnel a la zona VPN e introduzca todas las direcciones de ubicaciones<br />
remotas a las que desee acceder a través de túneles VPN en esta zona.<br />
4. Configure rutas estáticas en todos los demás enrutadores virtuales a VR-VPN para el tráfico que<br />
desee que esté encriptado y se envíe a través de los túneles. En caso necesario, defina rutas<br />
estáticas para el tráfico desencriptado desde VR-VPN a otros enrutadores virtuales. Estas rutas son<br />
necesarias para permitir que el tráfico VPN entrante pase por el túnel si se inicia desde la ubicación<br />
remota.<br />
Si el estado de una interfaz de túnel pasa de activo a inactivo, el dispositivo <strong>NetScreen</strong> aún lo<br />
reenviará a VR-VPN, donde debido a que ahora el estado de la ruta a esa interfaz está inactivo y no<br />
hay otras rutas adecuadas, el dispositivo <strong>NetScreen</strong> descartará el tráfico.<br />
Reencaminar a otro túnel<br />
Puede configurar dos o más túneles VPN hacia el mismo interlocutor remoto. Si uno de los túneles se desactiva, el<br />
dispositivo <strong>NetScreen</strong> puede reencaminar el tráfico a través de otro túnel VPN. Para obtener información y <strong>ejemplos</strong><br />
sobre la configuración de túneles VPN redundantes, consulte:<br />
“Interfaces Dual Untrust” en la página 10 -69<br />
“Ejemplo: Conmutación por error del túnel activo-a-respaldo” en la página 10 -79<br />
“Ejemplo: Túneles activos duales” en la página 10 -88<br />
“Ejemplo: Aplicación de pesos a la conmutación por error de túneles” en la página 10 -95.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 101
Capítulo 3 Directivas VPN Consideraciones sobre seguridad en VPNs basadas en rutas<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 102
Capítulo 4<br />
VPNs punto a punto<br />
4<br />
En este capítulo se explica cómo configurar un túnel de red privada virtual (VPN) punto a punto entre dos<br />
dispositivos <strong>NetScreen</strong>. Aquí se examinan los túneles VPN basados en rutas y basados en directivas, se presentan<br />
los diversos elementos que hay que tener en cuenta al configurar un túnel y se ofrecen varios <strong>ejemplos</strong>.<br />
“Configuraciones VPN punto a punto” en la página 104<br />
– “Pasos de configuración de túneles punto a punto” en la página 105<br />
– “Ejemplo: VPN punto a punto basada en rutas, AutoKey IKE” en la página 111<br />
– “Ejemplo: VPN punto a punto basada en directivas, AutoKey IKE” en la página 126<br />
– “Ejemplo: VPN punto a punto basada en rutas, interlocutor dinámico” en la página 137<br />
– “Ejemplo: VPN punto a punto basada en directivas, interlocutor dinámico” en la página 152<br />
– “Ejemplo: VPN punto a punto basada en rutas, clave manual” en la página 166<br />
– “Ejemplo: VPN punto a punto basada en directivas, clave manual” en la página 177<br />
“Puertas de enlace IKE dinámicas con FQDN” en la página 186<br />
– “Ejemplo: Interlocutor AutoKey IKE con FQDN” en la página 188<br />
“Sitios VPN con direcciones superpuestas” en la página 203<br />
– “Ejemplo: Interfaz de túnel con NAT-Src y NAT-Dst” en la página 206<br />
“VPN en modo transparente” en la página 221<br />
– “Ejemplo: VPN AutoKey IKE basada en directivas en modo transparente” en la página 222<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 103
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
CONFIGURACIONES VPN PUNTO A PUNTO<br />
Existe un túnel VPN IPSec entre dos puertas de enlace, y cada puerta de enlace necesita una dirección IP. Si<br />
ambas puertas de enlace tienen direcciones IP estáticas, se pueden configurar los siguientes tipos de túneles:<br />
Túnel VPN punto a punto AutoKey IKE (con clave previamente compartida o certificados)<br />
Túnel VPN punto a punto con clave manual<br />
Si una puerta de enlace tiene una dirección estática, y la otra tiene una dirección asignada de forma dinámica, se<br />
puede configurar el siguiente tipo de túnel:<br />
Túnel VPN punto a punto de interlocutor dinámico AutoKey IKE (con clave previamente compartida o<br />
certificados)<br />
Tal como se utiliza aquí, una VPN punto a punto estática implica la existencia de un túnel IPSec para conectar dos<br />
puntos, cada uno de ellos con un dispositivo <strong>NetScreen</strong> operativo como puerta de enlace segura. La interfaz o<br />
subinterfaz física utilizada como interfaz de salida en ambos dispositivos tiene una dirección IP fija, y los hosts<br />
internos también tienen direcciones IP estáticas. Si el dispositivo <strong>NetScreen</strong> se encuentra en modo transparente,<br />
utiliza la dirección VLAN1 como dirección IP para la interfaz de salida. Con una VPN punto a punto estática, los<br />
hosts situados en cualquier extremo del túnel pueden iniciar la configuración del túnel VPN porque la dirección IP<br />
de la puerta de enlace remota se mantiene constante y, por tanto, accesible.<br />
Si la interfaz de salida de uno de los dispositivos <strong>NetScreen</strong> tiene una dirección IP asignada dinámicamente, dicho<br />
dispositivo se considera un interlocutor dinámico y la VPN se configura de forma distinta. Con una VPN punto a<br />
punto de interlocutor dinámico, sólo los hosts ubicados detrás del interlocutor dinámico pueden iniciar la<br />
configuración del túnel VPN, ya que sólo su puerta de enlace remota tiene una dirección IP fija y, por tanto, es<br />
accesible desde su puerta de enlace local. Sin embargo, una vez que se ha establecido un túnel entre un<br />
interlocutor dinámico y un interlocutor estático, los hosts ubicados detrás de cualquier puerta de enlace pueden<br />
iniciar tráfico VPN si los hosts de destino tienen direcciones IP fijas.<br />
Nota: Para obtener más información sobre las opciones de VPN disponibles, consulte el Capítulo 1, “IPSec”. Si<br />
desea obtener ayuda para elegir entre las distintas opciones, consulte el Capítulo 3, “Directivas VPN”.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 104
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Pasos de configuración de túneles punto a punto<br />
La configuración de un túnel VPN punto a punto requiere la coordinación de la configuración del túnel con la<br />
configuración de otros ajustes (interfaces, direcciones, rutas y directivas). Los tres <strong>ejemplos</strong> de configuración VPN<br />
incluidos en esta sección se enmarcan en el siguiente contexto: una oficina de Tokio desea comunicarse de forma<br />
segura con una oficina de París a través de un túnel VPN IPSec.<br />
Zona Trust<br />
Eth1<br />
10.1.1.1/24<br />
NAT<br />
LAN<br />
10.1.1.0/24<br />
Oficina<br />
de Tokio<br />
<strong>NetScreen</strong><br />
de Tokio<br />
Los administradores de ambas oficinas configuran los siguientes ajustes:<br />
Interfaces: Zonas de seguridad y túnel<br />
Direcciones<br />
VPN (una de las opciones siguientes)<br />
– AutoKey IKE<br />
– Interlocutor dinámico<br />
– Clave manual<br />
Rutas<br />
Directivas<br />
Internet<br />
Túnel: vpn1<br />
enrutador externo, 2.2.2.250<br />
Eth3, 2.2.2.2/24<br />
tunnel.1, sin numerar<br />
Zona Untrust<br />
Zona Untrust<br />
Eth3, 1.1.1.1/24<br />
tunnel.1, sin numerar<br />
enrutador externo, 1.1.1.250<br />
<strong>NetScreen</strong><br />
de París<br />
Oficina<br />
de París<br />
LAN<br />
10.2.2.0/24<br />
Eth1<br />
10.2.2.1/24<br />
NAT<br />
Zona Trust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 105
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Zona Trust<br />
Eth1<br />
10.1.1.1/24<br />
NAT<br />
Oficina<br />
de Tokio<br />
tunnel.1, sin numerar<br />
Eth3, 1.1.1.1/24<br />
Zona Untrust<br />
1. Interfaces: Zonas de seguridad y túnel<br />
Internet<br />
Zona Untrust<br />
Eth3, 2.2.2.2/24<br />
tunnel.1, sin numerar<br />
Oficina<br />
de París<br />
Eth1<br />
10.2.2.1/24<br />
NAT<br />
Zona Trust<br />
El administrador de la oficina de Tokio configura las interfaces de zona de seguridad y túnel con los ajustes<br />
que aparecen en rojo en la ilustración anterior. Asimismo, el administrador de la oficina de París configura<br />
los ajustes que aparecen en azul.<br />
Ethernet3 va a ser la interfaz de salida para el tráfico VPN y la puerta de enlace remota para el tráfico VPN<br />
enviado desde el otro extremo del túnel.<br />
Ethernet1 se encuentra en modo NAT, por lo que cada administrador puede asignar direcciones IP a todos<br />
los hosts internos, incluso si el tráfico pasa de la zona Trust a la zona Untrust, el dispositivo <strong>NetScreen</strong><br />
traduce la dirección IP de origen de los encabezados de los paquetes a la dirección de la interfaz de la zona<br />
Untrust, ethernet3 (1.1.1.1 para Tokio y 2.2.2.2 para París).<br />
Para una VPN basada en rutas, cada administrador asocia la interfaz de túnel tunnel.1 al túnel VPN vpn1.<br />
Definiendo una ruta al espacio de direcciones de la LAN de la oficina remota, el dispositivo <strong>NetScreen</strong><br />
puede dirigir todo el tráfico asociado a dicha LAN a la interfaz tunnel.1, y por tanto, a través del túnel al que<br />
está asociada tunnel.1.<br />
Como no se requieren servicios NAT basados en directivas, una configuración VPN basada en rutas no<br />
requiere que tunnel.1 tenga una dirección IP/máscara de red, y una configuración VPN basada en<br />
directivas ni siquiera requiere una interfaz de túnel.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 106
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Trust_LAN<br />
Trust, 10.1.1.0/24<br />
Tokio<br />
Untrust, 10.1.1.0/24<br />
Zona Trust<br />
Eth1<br />
10.1.1.1/24<br />
NAT<br />
LAN<br />
Internet<br />
LAN<br />
2. Direcciones<br />
Oficina<br />
de Tokio<br />
tunnel.1, sin numerar<br />
Eth3, 1.1.1.1/24<br />
Zona Untrust<br />
Zona Untrust<br />
Eth3, 2.2.2.2/24<br />
tunnel.1, sin numerar<br />
Oficina<br />
de París<br />
Eth1<br />
10.2.2.1/24<br />
NAT<br />
Zona Trust<br />
Los administradores definen direcciones para su posterior uso en directivas de entrada y salida. El<br />
administrador de la oficina de Tokio define las direcciones que aparecen en rojo en la ilustración anterior.<br />
Asimismo, el administrador de la oficina de París configura las direcciones que aparecen en azul.<br />
Para VPN basadas en directivas, el dispositivo <strong>NetScreen</strong> deriva las ID de proxy a partir de las directivas 1 .<br />
Como las ID de proxy utilizadas por los dispositivos <strong>NetScreen</strong>-A a ambos extremos del túnel VPN deben<br />
coincidir exactamente, no es posible utilizar la dirección predefinida “ANY”, cuya dirección IP es 0.0.0.0/0,<br />
en un extremo del túnel si se utiliza una dirección más específica en el otro extremo. Por ejemplo:<br />
Si la ID de proxy de Tokio es ... y la ID de proxy de París es ... las ID de proxy no<br />
From: 0.0.0.0/0 <br />
To: 10.1.1.0/24<br />
coincidirán, y las<br />
To: 10.2.2.0/24 From: 10.2.2.0/24<br />
negociaciones IKE<br />
<br />
Service: ANY Service: ANY<br />
fracasarán.<br />
<br />
Para las VPN basadas en rutas, es posible utilizar “0.0.0.0/0–0.0.0.0/0–any” para definir las direcciones IP<br />
local y remota y el tipo de servicio para una ID de proxy. Y luego se pueden utilizar directivas más restrictivas<br />
para filtrar el tráfico VPN entrante y saliente por dirección de origen, dirección de destino y tipo de servicio.<br />
1. En ScreenOS 5.0.0, también es posible definir IDs de proxy para túneles VPN referenciados en configuraciones VPN basadas en directivas.<br />
París<br />
Untrust, 10.2.2.0/24<br />
Trust_LAN<br />
Trust, 10.2.2.0/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 107
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Trust_LAN<br />
Trust, 10.1.1.0/24<br />
Tokio<br />
Untrust, 10.1.1.0/24<br />
Zona Trust<br />
Oficina<br />
de Tokio<br />
Zona Untrust<br />
3. VPN<br />
Es posible configurar una de las tres VPNs siguientes:<br />
– AutoKey IKE<br />
Zona Untrust<br />
Eth1<br />
10.1.1.1/24<br />
NAT<br />
tunnel.1, sin numerar<br />
Eth3, 1.1.1.1/24<br />
LAN<br />
Internet<br />
Túnel: vpn1<br />
LAN<br />
Eth3, 2.2.2.2/24<br />
tunnel.1, sin numerar<br />
Oficina<br />
de París<br />
Eth1<br />
10.2.2.1/24<br />
NAT<br />
Zona Trust<br />
Trust_LAN<br />
Trust, 10.2.2.0/24<br />
París<br />
Untrust, 10.2.2.0/24<br />
El método AutoKey IKE utiliza una clave previamente compartida o un certificado para renovar (es<br />
decir, modificar) las claves de encriptación y autenticación automáticamente en intervalos definidos<br />
por el usuario (conocidos como periodos de vigencia de clave). En esencia, actualizar estas claves<br />
con frecuencia refuerza la seguridad, aunque unos periodos de vigencia de clave excesivamente<br />
breves pueden reducir el rendimiento general.<br />
– Interlocutor dinámico<br />
Un interlocutor dinámico es una puerta de enlace remota que tiene una dirección IP asignada de<br />
forma dinámica. Como es posible que la dirección IP del interlocutor remoto sea diferente cada vez<br />
que comienzan las negociaciones IKE, los hosts situados detrás del interlocutor deben iniciar el tráfico<br />
VPN. Asimismo (si se utiliza una clave previamente compartida para la autenticación), el interlocutor<br />
debe enviar una ID IKE durante el primer mensaje de las negociaciones de fase 1 en modo dinámico<br />
para identificarse.<br />
– Clave manual<br />
El método de clave manual requiere la configuración y actualización manual de las claves de encriptación<br />
y autenticación. Este método es una opción viable para un conjunto pequeño de túneles VPN.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 108
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
trust-vr<br />
Dst 10.2.2.0/24<br />
Utilizar tunnel.1<br />
Dst 10.2.2.0/24<br />
Zona Trust<br />
Oficina<br />
de Tokio<br />
Zona Untrust<br />
Utilizar NULL<br />
Métrica: 50<br />
Eth1<br />
Dst 0.0.0.0/0 10.1.1.1/24<br />
Utilizar puerta<br />
NAT<br />
de enlace eth3: 1.1.1.250<br />
Trust_LAN<br />
LAN<br />
Trust, 10.1.1.0/24<br />
Interfaz Null<br />
tunnel.1, sin numerar<br />
Eth3, 1.1.1.1/24<br />
Enrutador externo, 1.1.1.250<br />
Internet<br />
Túnel: vpn1<br />
LAN<br />
Tokio<br />
Untrust, 10.1.1.0/24<br />
Enrutador externo, 2.2.2.250<br />
Eth3, 2.2.2.2/24<br />
Interfaz Null<br />
Eth1<br />
10.2.2.1/24<br />
tunnel.1, sin numerar<br />
NAT<br />
Zona Untrust<br />
Oficina<br />
de París<br />
Zona Trust<br />
Trust_LAN<br />
Trust, 10.2.2.0/24<br />
París<br />
Untrust, 10.2.2.0/24<br />
trust-vr<br />
Dst 10.1.1.0/24<br />
Utilizar tunnel.1<br />
Dst 10.1.1.0/24<br />
Utilizar NULL<br />
Métrica: 50<br />
Dst 0.0.0.0/0<br />
Utilizar puerta<br />
de enlace eth3:<br />
2.2.2.250<br />
4. Rutas<br />
Los administradores de cada extremo del túnel deben configurar al menos las rutas siguientes:<br />
– Una ruta para tráfico destinada a una dirección de la LAN remota a través de tunnel.1.<br />
– Una ruta predeterminada para el resto del tráfico, incluyendo el tráfico de túnel VPN externo, para el<br />
acceso a Internet a través de ethernet3 y el enrutador externo situado más allá (1.1.1.250 para la<br />
oficina de Tokio y 2.2.2.250 para la de París) 2 . El enrutador externo es la puerta de enlace<br />
predeterminada hacia la que el dispositivo <strong>NetScreen</strong> reenvía todo el tráfico para el que no disponga<br />
de una ruta específica en su tabla de enrutamiento.<br />
– Una ruta nula, de modo que si en algún momento el estado cambia de tunnel.1 a “inactivo” y cualquier<br />
ruta que haga referencia a tunnel.1 se desactiva, el dispositivo <strong>NetScreen</strong> no utilice la ruta<br />
predeterminada para reenviar el tráfico destinado a la LAN remota fuera de ethernet3 sin encriptar.<br />
Una ruta nula utiliza la LAN remota como dirección de destino, pero envía tráfico a la interfaz Null, una<br />
interfaz lógica que descarta todo el tráfico que recibe. Asigne a la ruta nula una métrica superior (más<br />
alejada de cero) que la ruta a la LAN remota que utiliza tunnel.1, haciendo la ruta nula menos<br />
preferente que la ruta que hace referencia a la interfaz de tunnel.1.<br />
2. Si el dispositivo <strong>NetScreen</strong> de la oficina de Tokio recibe su dirección IP externa de forma dinámica de su ISP (es decir, si desde el punto de vista de la oficina<br />
de París, el dispositivo <strong>NetScreen</strong> de la oficina de Tokio es un interlocutor dinámico), el ISP proporciona automáticamente al dispositivo <strong>NetScreen</strong> de Tokio<br />
su dirección IP de puerta de enlace predeterminada.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 109
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
trust-vr<br />
Dst 10.2.2.0/24<br />
Utilizar tunnel.1<br />
Dst 0.0.0.0/0<br />
Utilizar puerta<br />
de enlace eth3:<br />
1.1.1.250<br />
Trust_LAN<br />
Trust, 10.1.1.0/24<br />
Tokio<br />
Untrust, 10.1.1.0/24<br />
Trust -> Untrust<br />
Trust_LAN -> París<br />
ANY, Permit<br />
Untrust -> Trust<br />
París-> Trust_LAN<br />
ANY, Permit<br />
Zona Trust<br />
Eth1<br />
10.1.1.1/24<br />
NAT<br />
Interfaz Null<br />
tunnel.1, sin numerar<br />
Eth3, 1.1.1.1/24<br />
enrutador externo, 1.1.1.250<br />
Internet<br />
LAN LAN<br />
Túnel: vpn1<br />
enrutador externo, 2.2.2.250<br />
Eth1<br />
Eth3, 2.2.2.2/24<br />
tunnel.1, sin numerar<br />
Interfaz Null 10.2.2.1/24<br />
NAT<br />
5. Directivas<br />
Oficina<br />
de Tokio<br />
Zona Untrust<br />
Zona Untrust<br />
Oficina<br />
de París<br />
Zona Trust<br />
trust-vr<br />
Dst 10.1.1.0/24<br />
Utilizar tunnel.1<br />
Dst 0.0.0.0/0<br />
Utilizar puerta<br />
de enlace eth3:<br />
2.2.2.250<br />
Trust_LAN<br />
Trust, 10.2.2.0/24<br />
París<br />
Untrust, 10.2.2.0/24<br />
Trust -> Untrust<br />
Trust_LAN -> París<br />
ANY, Permit<br />
Untrust -> Trust<br />
París-> Trust_LAN<br />
ANY, Permit<br />
Los administradores de cada extremo del túnel definen directivas para permitir el tráfico entre las dos<br />
oficinas:<br />
– Una directiva que permita cualquier tipo de tráfico desde “Trust_LAN” en la zona Trust hasta “París” o<br />
“Tokio” en la zona Untrust<br />
– Una directiva que permita cualquier tipo de tráfico desde “París” o “Tokio” en la zona Untrust hasta<br />
“Trust_LAN” en la zona Trust<br />
Como la ruta preferente al punto remoto indica tunnel.1, que está asociada al túnel VPN vpn1, no es<br />
necesario que la directiva haga referencia al túnel VPN.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 110
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Ejemplo: VPN punto a punto basada en rutas, AutoKey IKE<br />
En este ejemplo, un túnel AutoKey IKE que utiliza un secreto previamente compartido o un par de certificados (uno<br />
por cada extremo del túnel) proporciona la conexión segura entre las oficinas de Tokio y París. Para los niveles de<br />
seguridad de las fases 1 y 2, debe especificar una propuesta de fase 1 (ya sea pre-g2-3des-sha para el método de<br />
clave previamente compartida o rsa-g2-3des-sha para certificados) y seleccionar el conjunto de propuestas<br />
predefinido “Compatible” para la fase 2. Todas las zonas se encuentran en trust-vr.<br />
Topología de las zonas<br />
configuradas en el dispositivo<br />
<strong>NetScreen</strong> de Tokio<br />
Tokio París<br />
Tokio<br />
París<br />
Zona<br />
Trust<br />
Tokio<br />
Zona Trust<br />
eth1, 10.1.1.1/24<br />
Zona<br />
Untrust<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3, 1.1.1.1/24<br />
Puerta de enlace 1.1.1.250<br />
Interfaz de túnel<br />
Tunnel.1<br />
Internet<br />
Túnel VPN<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3, 2.2.2.2/24<br />
Puerta de enlace 2.2.2.250<br />
Interfaz de túnel<br />
Tunnel.1<br />
Topología de las zonas<br />
configuradas en el dispositivo<br />
<strong>NetScreen</strong> de París<br />
Zona<br />
Untrust<br />
París<br />
Zona Trust<br />
eth1, 10.2.2.1/24<br />
La configuración de un túnel AutoKey IKE basado en rutas mediante un secreto previamente compartido o<br />
certificados implica los siguientes pasos:<br />
1. Asignar direcciones IP a las interfaces físicas asociadas a las zonas de seguridad y a la interfaz de túnel.<br />
2. Configurar el túnel VPN, designar su interfaz de salida en la zona Untrust, asociarla a la interfaz de túnel y<br />
configurar su ID de proxy.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 111<br />
Zona<br />
Trust
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
3. Introducir las direcciones IP de los puntos finales local y remoto en las libretas de direcciones para las<br />
zonas Trust y Untrust.<br />
4. Introducir una ruta predeterminada al enrutador externo en trust-vr, una ruta al destino a través de la<br />
interfaz de túnel y otra ruta nula al destino. Asigne una métrica más alta (más alejada de cero) a la ruta nula<br />
para que se convierta en la siguiente opción de ruta al destino. A continuación, si el estado de la interfaz de<br />
túnel cambia a “inactivo” y la ruta que hace referencia a esa interfaz también se inactiva, el dispositivo<br />
<strong>NetScreen</strong> utiliza la ruta nula, que descarta todo tráfico enviado hacia él, en lugar de la ruta<br />
predeterminada, que reenvía tráfico no encriptado.<br />
5. Definir directivas para la circulación del tráfico VPN entre ambos sitios.<br />
En los <strong>ejemplos</strong> siguientes, la clave previamente compartida es h1p8A24nG5. Se asume que ambos participantes<br />
tienen certificados RSA y utilizan Entrust como autoridad de certificación (CA). (Para más información sobre cómo<br />
obtener y cargar certificados, consulte “Certificados y CRLs” en la página 29).<br />
WebUI (Tokio)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 112
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (trust-vr)<br />
2. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
3. VPN<br />
Address Name: Trust_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Paris_Office<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.0/24<br />
Zone: Untrust<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: To_Paris<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 113
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Clave previamente compartida<br />
(o bien)<br />
Certificados<br />
Preshared Key: h1p8A24nG5<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Main (ID Protection)<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha<br />
Preferred certificate (optional)<br />
Peer CA: Entrust<br />
Peer Type: X509-SIG<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: Tokyo_Paris<br />
Security Level: Compatible<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 114
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Remote Gateway:<br />
Predefined: (seleccione), To_Paris<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Security Level: Compatible<br />
Bind to: Tunnel Interface, tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 10.1.1.0/24<br />
Remote IP / Netmask: 10.2.2.0/24<br />
Service: ANY<br />
4. Rutas<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.2.2.0/24<br />
Gateway: (seleccione)<br />
Interface: Tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 115
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
5. Directivas<br />
Network Address/Netmask: 10.2.2.0/24<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: To_Paris<br />
Source Address: Trust_LAN<br />
Destination Address: Paris_Office<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: From_Paris<br />
Source Address: Paris_Office<br />
Destination Address: Trust_LAN<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 116
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
WebUI (París)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.2.2.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.2.2.2/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
2. Direcciones<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (trust-vr)<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Trust_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.0/24<br />
Zone: Trust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 117
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
3. VPN<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Tokyo_Office<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Untrust<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Clave previamente compartida<br />
(o bien)<br />
Gateway Name: To_Tokyo<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1<br />
Preshared Key: h1p8A24nG5<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Main (ID Protection)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 118
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Certificados<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha<br />
Preferred certificate (optional)<br />
Peer CA: Entrust<br />
Peer Type: X509-SIG<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: Paris_Tokyo<br />
Security Level: Compatible<br />
Remote Gateway:<br />
Predefined: (seleccione), To_Tokyo<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Security Level: Compatible<br />
Bind to: Tunnel Interface, tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 10.2.2.0/24<br />
Remote IP / Netmask: 10.1.1.0/24<br />
Service: ANY<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 119
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
4. Rutas<br />
Network > Routing > Routing Entries > trust-vr New : Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.250<br />
Network > Routing > Routing Entries > trust-vr New : Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.1.1.0/24<br />
Gateway: (seleccione)<br />
Interface: Tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.1.1.0/24<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 120
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
5. Directivas<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: To_Tokyo<br />
Source Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Tokyo_Office<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: From_Tokyo<br />
Source Address:<br />
Address Book Entry: (seleccione), Tokyo_Office<br />
Destination Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 121
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
CLI (Tokio)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
2. Direcciones<br />
set address trust Trust_LAN 10.1.1.0/24<br />
set address untrust Paris_Office 10.2.2.0/24<br />
3. VPN<br />
Clave previamente compartida<br />
set ike gateway To_Paris address 2.2.2.2 main outgoing-interface ethernet3<br />
preshare h1p8A24nG5 proposal pre-g2-3des-sha<br />
set vpn Tokyo_Paris gateway To_Paris sec-level compatible<br />
set vpn Tokyo_Paris bind interface tunnel.1<br />
set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any<br />
(o bien)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 122
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Certificado<br />
set ike gateway To_Paris address 2.2.2.2 main outgoing-interface ethernet3<br />
proposal rsa-g2-3des-sha<br />
set ike gateway To_Paris cert peer-ca 1 3<br />
set ike gateway To_Paris cert peer-cert-type x509-sig<br />
set vpn Tokyo_Paris gateway To_Paris sec-level compatible<br />
set vpn Tokyo_Paris bind interface tunnel.1<br />
set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1<br />
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10<br />
5. Directivas<br />
set policy top name “To Paris” from trust to untrust Trust_LAN Paris_Office any<br />
permit<br />
set policy top name “From Paris” from untrust to trust Paris_Office Trust_LAN<br />
any permit<br />
save<br />
3. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get ike ca .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 123
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
CLI (París)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.2.2.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.2/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
2. Direcciones<br />
set address trust Trust_LAN 10.2.2.0/24<br />
set address untrust Tokyo_Office 10.1.1.0/24<br />
3. VPN<br />
Clave previamente compartida<br />
set ike gateway To_Tokyo address 1.1.1.1 main outgoing-interface ethernet3<br />
preshare h1p8A24nG5 proposal pre-g2-3des-sha<br />
set vpn Paris_Tokyo gateway To_Tokyo sec-level compatible<br />
set vpn Paris_Tokyo bind interface tunnel.1<br />
set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any<br />
(o bien)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 124
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Certificado<br />
set ike gateway To_Tokyo address 1.1.1.1 main outgoing-interface ethernet3<br />
proposal rsa-g2-3des-sha<br />
set ike gateway To_Tokyo cert peer-ca 1<br />
set ike gateway To_Tokyo cert peer-cert-type x509-sig<br />
set vpn Paris_Tokyo gateway To_Tokyo sec-level compatible<br />
set vpn Paris_Tokyo bind interface tunnel.1<br />
set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250<br />
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1<br />
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10<br />
5. Directivas<br />
set policy top name “To_Tokyo” from trust to untrust Trust_LAN Tokyo_Office any<br />
permit<br />
set policy top name “From_Tokyo” from untrust to trust Tokyo_Office Trust_LAN<br />
any permit<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 125
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Ejemplo: VPN punto a punto basada en directivas, AutoKey IKE<br />
En este ejemplo, un túnel AutoKey IKE que utiliza un secreto previamente compartido o un par de certificados (uno<br />
por cada extremo del túnel) proporciona la conexión segura entre las oficinas de Tokio y París. Para los niveles de<br />
seguridad de las fases 1 y 2, debe especificar una propuesta de fase 1 (ya sea pre-g2-3des-sha para el método de<br />
clave previamente compartida o rsa-g2-3des-sha para certificados) y seleccionar el conjunto de propuestas<br />
predefinido “Compatible” para la fase 2. Todas las zonas se encuentran en trust-vr.<br />
Zona<br />
Trust<br />
Topología de las zonas<br />
configuradas en el dispositivo<br />
<strong>NetScreen</strong> de Tokio<br />
Tokio París<br />
Tokio<br />
París<br />
Zona<br />
Untrust-Tun<br />
Zona<br />
Untrust<br />
Tokio<br />
Zona Trust<br />
eth1, 10.1.1.1/24<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3, 1.1.1.1/24<br />
Puerta de enlace 1.1.1.250<br />
Internet<br />
Túnel VPN<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3, 2.2.2.2/24<br />
Puerta de enlace 2.2.2.250<br />
Topología de las zonas<br />
configuradas en el dispositivo<br />
<strong>NetScreen</strong> de París<br />
Zona<br />
Untrust<br />
Zona<br />
Untrust-Tun<br />
París<br />
Zona Trust<br />
eth1, 10.2.2.1/24<br />
La configuración de un túnel AutoKey IKE utilizando AutoKey IKE mediante un secreto previamente compartido o<br />
certificados implica los siguientes pasos:<br />
1. Definir las direcciones IP de la interfaz de zona de seguridad.<br />
2. Realizar entradas en la libreta de direcciones para las entidades finales local y remota.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 126<br />
Zona<br />
Trust
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
3. Definir la puerta de enlace remota y el modo de intercambio de claves, y especificar un secreto previamente<br />
compartido o un certificado.<br />
4. Crear la VPN Autokey IKE.<br />
5. Configurar una ruta predeterminada que conduzca al enrutador externo.<br />
6. Configurar directivas.<br />
En los <strong>ejemplos</strong> siguientes, la clave previamente compartida es h1p8A24nG5. Se asume que ambos participantes<br />
tienen certificados RSA y utilizan Entrust como autoridad de certificación (CA). (Para más información sobre cómo<br />
obtener y cargar certificados, consulte “Certificados y CRLs” en la página 29).<br />
WebUI (Tokio)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 127
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
2. Direcciones<br />
3. VPN<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Trust_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Paris_Office<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.0/24<br />
Zone: Untrust<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: To_Paris<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2<br />
Clave previamente compartida<br />
Preshared Key: h1p8A24nG5<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en OK<br />
para regresar a la página de configuración básica de la puerta de enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Main (ID Protection)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 128
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
(o bien)<br />
Certificados<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en OK<br />
para regresar a la página de configuración básica de la puerta de enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha<br />
Mode (Initiator): Main (ID Protection)<br />
Preferred certificate (optional)<br />
Peer CA: Entrust<br />
Peer Type: X509-SIG<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
4. Ruta<br />
VPN Name: Tokyo_Paris<br />
Security Level: Compatible<br />
Remote Gateway: Predefined: (seleccione), To_Paris<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 129
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
5. Directivas<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: To/From Paris<br />
Source Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Paris_Office<br />
Service: ANY<br />
Action: Tunnel<br />
Tunnel VPN: Tokyo_Paris<br />
Modify matching bidirectional VPN policy: (seleccione)<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 130
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
WebUI (París)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.2.2.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
2. Direcciones<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.2.2.2/24<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Trust_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Tokyo_Office<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Untrust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 131
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
3. VPN<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Clave previamente compartida<br />
(o bien)<br />
Certificados<br />
Gateway Name: To_Tokyo<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1<br />
Preshared Key: h1p8A24nG5<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Main (ID Protection)<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha<br />
Mode (Initiator): Main (ID Protection)<br />
Preferred certificate (optional)<br />
Peer CA: Entrust<br />
Peer Type: X509-SIG<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 132
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: Paris_Tokyo<br />
Security Level: Compatible<br />
Remote Gateway: Predefined: (seleccione), To_Tokyo<br />
4. Ruta<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.250<br />
5. Directivas<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: To/From Tokyo<br />
Source Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Tokyo_Office<br />
Service: ANY<br />
Action: Tunnel<br />
Tunnel VPN: Paris_Tokyo<br />
Modify matching bidirectional VPN policy: (seleccione)<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 133
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
CLI (Tokio)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
2. Direcciones<br />
set address trust Trust_LAN 10.1.1.0/24<br />
set address untrust paris_office 10.2.2.0/24<br />
3. VPN<br />
Clave previamente compartida<br />
set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3<br />
preshare h1p8A24nG5 proposal pre-g2-3des-sha<br />
set vpn tokyo_paris gateway to_paris sec-level compatible<br />
(o bien)<br />
Certificados<br />
set ike gateway to_paris address 2.2.2.2 main outgoing-interface ethernet3<br />
proposal rsa-g2-3des-sha<br />
set ike gateway to_paris cert peer-ca 1 4<br />
set ike gateway to_paris cert peer-cert-type x509-sig<br />
set vpn tokyo_paris gateway to_paris sec-level compatible<br />
4. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get ike ca .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 134
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
4. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
5. Directivas<br />
set policy top name “To/From Paris” from trust to untrust Trust_LAN<br />
paris_office any tunnel vpn tokyo_paris<br />
set policy top name “To/From Paris” from untrust to trust paris_office<br />
Trust_LAN any tunnel vpn tokyo_paris<br />
save<br />
CLI (París)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.2.2.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.2/24<br />
2. Direcciones<br />
set address trust Trust_LAN 10.2.2.0/24<br />
set address untrust tokyo_office 10.1.1.0/24<br />
3. VPN<br />
Clave previamente compartida<br />
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3<br />
preshare h1p8A24nG5 proposal pre-g2-3des-sha<br />
set vpn paris_tokyo gateway to_tokyo sec-level compatible<br />
(o bien)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 135
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Certificados<br />
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3<br />
proposal rsa-g2-3des-sha<br />
set ike gateway to_tokyo cert peer-ca 1<br />
set ike gateway to_tokyo cert peer-cert-type x509-sig<br />
set vpn paris_tokyo gateway to_tokyo tunnel proposal nopfs-esp-3des-sha<br />
4. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250<br />
5. Directivas<br />
set policy top name “To/From Tokyo” from trust to untrust Trust_LAN<br />
tokyo_office any tunnel vpn paris_tokyo<br />
set policy top name “To/From Tokyo” from untrust to trust tokyo_office<br />
Trust_LAN any tunnel vpn paris_tokyo<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 136
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Ejemplo: VPN punto a punto basada en rutas, interlocutor dinámico<br />
En este ejemplo, un túnel VPN AutoKey IKE que utiliza una clave previamente compartida o un par de certificados<br />
(uno por cada extremo del túnel) proporciona la conexión segura entre los dispositivos <strong>NetScreen</strong> para proteger las<br />
oficinas de Tokio y París. La interfaz de zona Untrust para el dispositivo <strong>NetScreen</strong> en la oficina de París tiene una<br />
dirección IP estática. El ISP de la oficina de Tokio asigna la dirección IP para la interfaz de zona Untrust de forma<br />
dinámica a través del protocolo DHCP. Como sólo el dispositivo <strong>NetScreen</strong> de París tiene una dirección fija para su<br />
zona Untrust, el tráfico VPN se debe originar desde los hosts de la oficina de Tokio. Una vez establecido un túnel, el<br />
tráfico que atraviese el túnel se puede originar desde cualquier extremo de dicho túnel. Todas las zonas de túnel y<br />
de seguridad se encuentran en trust-vr.<br />
Zona<br />
Trust<br />
Topología de las zonas<br />
configuradas en el dispositivo<br />
<strong>NetScreen</strong> de Tokio<br />
Tokio<br />
Zona Trust<br />
eth1, 10.1.1.1/24<br />
Zona<br />
Untrust<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3 y puerta de enlace<br />
asignadas dinámicamente<br />
por el ISP<br />
Interfaz de túnel<br />
Tunnel.1<br />
Internet<br />
Túnel VPN<br />
Servidor DHCP<br />
2.1.1.5<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3, 2.2.2.2/24<br />
Puerta de enlace<br />
2.2.2.250<br />
Interfaz de túnel<br />
Tunnel.1<br />
Topología de las zonas<br />
configuradas en el dispositivo<br />
<strong>NetScreen</strong> de París<br />
Tokio París<br />
Tokio<br />
París<br />
Zona<br />
Untrust<br />
París<br />
Zona Trust<br />
eth1, 10.2.2.1/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 137<br />
Zona<br />
Trust
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
La clave previamente compartida es h1p8A24nG5. Se parte de la base de que ambos participantes ya tienen<br />
certificados RSA emitidos por la autoridad de certificación (CA) Verisign, y la dirección de correo electrónico<br />
pmason@abc.com aparece en el certificado local de <strong>NetScreen</strong> A. (Para obtener más información sobre la adquisición<br />
y la carga de certificados, consulte “Certificados y CRLs” en la página 29). Para los niveles de seguridad de las fases 1<br />
y 2, debe especificar una propuesta de fase 1 (ya sea pre-g2-3des-sha para el método de clave previamente<br />
compartida o rsa-g2-3des-sha para certificados) y seleccionar el conjunto de propuestas “Compatible” para la fase 2.<br />
Indique tres rutas en los dispositivos <strong>NetScreen</strong> en cada extremo del túnel VPN:<br />
Una ruta predeterminada que conduzca al enrutador externo en trust-vr.<br />
Una ruta al destino a través de la interfaz de túnel<br />
Una ruta nula al destino. Asigne una métrica más alta (más alejada de cero) a la ruta nula para que se<br />
convierta en la siguiente opción de ruta al destino. A continuación, si el estado de la interfaz de túnel<br />
cambia a “inactivo” y la ruta que hace referencia a esa interfaz también se inactiva, el dispositivo <strong>NetScreen</strong><br />
utiliza la ruta nula, que descarta todo tráfico enviado hacia él, en lugar de la ruta predeterminada, que<br />
reenvía tráfico no encriptado.<br />
Finalmente, configure directivas para permitir tráfico bidireccional entre los dos sitios.<br />
WebUI (Tokio)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Untrust<br />
Introduzca los siguientes datos y haga clic en OK :<br />
Obtain IP using DHCP: (seleccione) 5<br />
5. La dirección IP del servidor DHCP no se puede especificar mediante WebUI; no obstante, sí se puede especificar mediante comandos CLI.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 138
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
2. Direcciones<br />
3. VPN<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (trust-vr)<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Trust_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Paris_Office<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.0/24<br />
Zone: Untrust<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: To_Paris<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 139
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Clave previamente compartida<br />
(o bien)<br />
Certificados<br />
Preshared Key: h1p8A24nG5<br />
Local ID: pmason@abc.com<br />
Outgoing Interface: ethernet3<br />
6. El U-FQDN “pmason@abc.com” debe aparecer en el campo SubjectAltName del certificado.<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
Local ID: pmason@abc.com 6<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
Preferred Certificate (optional):<br />
Peer CA: Verisign<br />
Peer Type: X509-SIG<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 140
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: Tokyo_Paris<br />
Security Level: Compatible<br />
Remote Gateway:<br />
Predefined: (seleccione), To_Paris<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface: (seleccione), tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 10.1.1.0/24<br />
Remote IP / Netmask: 10.2.2.0/24<br />
Service: ANY<br />
4. Rutas<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 0.0.0.0 7<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.2.2.0/24<br />
Gateway: (seleccione)<br />
Interface: Tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
7. El ISP proporciona la dirección IP de la puerta de enlace de forma dinámica a través del protocolo DHCP.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 141
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
5. Directivas<br />
Network Address/Netmask: 10.2.2.0/24<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Paris_Office<br />
Service: Any<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Paris_Office<br />
Destination Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Service: Any<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 142
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
WebUI (París)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.2.2.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address: 2.2.2.2/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
2. Direcciones<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (trust-vr)<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Trust_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.0/24<br />
Zone: Trust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 143
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
3. VPN<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Tokyo_Office<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Untrust<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Clave previamente compartida<br />
(o bien)<br />
Gateway Name: To_Tokyo<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Dynamic IP Address: (seleccione), Peer ID: pmason@abc.com<br />
Preshared Key: h1p8A24nG5<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 144
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Certificados<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
Preferred Certificate (optional):<br />
Peer CA: Verisign<br />
Peer Type: X509-SIG<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: Paris_Tokyo<br />
Security Level: Compatible<br />
Remote Gateway:<br />
Predefined: (seleccione), To_Tokyo<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface: (seleccione), tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 10.2.2.0/24<br />
Remote IP / Netmask: 10.1.1.0/24<br />
Service: ANY<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 145
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
4. Rutas<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: (seleccione), 2.2.2.250<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.1.1.0/24<br />
Gateway: (seleccione)<br />
Interface: Tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.1.1.0/24<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 146
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
5. Directivas<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Tokyo_Office<br />
Service: Any<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Tokyo_Office<br />
Destination Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Service: Any<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 147
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
CLI (Tokio)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 dhcp client<br />
set interface ethernet3 dhcp client settings server 1.1.1.5<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
2. Direcciones<br />
set address trust Trust_LAN 10.1.1.0/24<br />
set address untrust Paris_Office 10.2.2.0/24<br />
3. VPN<br />
Clave previamente compartida<br />
set ike gateway To_Paris address 2.2.2.2 aggressive local-id pmason@abc.com<br />
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha<br />
set vpn Tokyo_Paris gateway To_Paris tunnel sec-level compatible<br />
set vpn Tokyo_Paris bind interface tunnel.1<br />
set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any<br />
(o bien)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 148
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Certificados<br />
set ike gateway To_Paris address 2.2.2.2 aggressive local-id pmason@abc.com 8<br />
outgoing-interface ethernet3 proposal rsa-g2-3des-sha<br />
set ike gateway To_Paris cert peer-ca 1 9<br />
set ike gateway To_Paris cert peer-cert-type x509-sig<br />
set vpn Tokyo_Paris gateway To_Paris tunnel sec-level compatible<br />
set vpn Tokyo_Paris bind interface tunnel.1<br />
set vpn Tokyo_Paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 10<br />
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1<br />
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10<br />
5. Directivas<br />
set policy top from trust to untrust Trust_LAN Paris_Office any permit<br />
set policy top from untrust to trust Paris_Office Trust_LAN any permit<br />
save<br />
8. El U-FQDN “pmason@abc.com” debe aparecer en el campo SubjectAltName del certificado.<br />
9. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get ike ca .<br />
10. El ISP proporciona la dirección IP de la puerta de enlace de forma dinámica a través del protocolo DHCP, por lo tanto, no se puede especificar aquí.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 149
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
CLI (París)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.2.2.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.2/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
2. Direcciones<br />
set address trust Trust_LAN 10.2.2.0/24<br />
set address untrust Tokyo_Office 10.1.1.0/24<br />
3. VPN<br />
Clave previamente compartida<br />
set ike gateway To_Tokyo dynamic pmason@abc.com aggressive outgoing-interface<br />
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha<br />
set vpn Paris_Tokyo gateway To_Tokyo tunnel sec-level compatible<br />
set vpn Paris_Tokyo bind interface tunnel.1<br />
set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any<br />
(o bien)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 150
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Certificados<br />
set ike gateway To_Tokyo dynamic pmason@abc.com aggressive outgoing-interface<br />
ethernet3 proposal rsa-g2-3des-sha<br />
set ike gateway To_Tokyo cert peer-ca 1 11<br />
set ike gateway To_Tokyo cert peer-cert-type x509-sig<br />
set vpn Paris_Tokyo gateway To_Tokyo tunnel sec-level compatible<br />
set vpn Paris_Tokyo bind interface tunnel.1<br />
set vpn Paris_Tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250<br />
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1<br />
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10<br />
5. Directivas<br />
set policy top from trust to untrust Trust_LAN Tokyo_Office any permit<br />
set policy top from untrust to trust Tokyo_Office Trust_LAN any permit<br />
save<br />
11. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get ike ca .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 151
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Ejemplo: VPN punto a punto basada en directivas, interlocutor dinámico<br />
En este ejemplo, un túnel VPN conecta de forma segura a los usuarios de la zona Trust situados detrás de<br />
<strong>NetScreen</strong> A con el servidor de correo de la zona corporativa DMZ protegida por <strong>NetScreen</strong> B. La interfaz de zona<br />
Untrust para <strong>NetScreen</strong> B tiene una dirección IP estática. El ISP de <strong>NetScreen</strong> A asigna la dirección IP para su<br />
interfaz de zona Untrust de forma dinámica a través del protocolo DHCP. Puesto que sólo <strong>NetScreen</strong> B tiene una<br />
dirección fija para su zona Untrust, el tráfico VPN se debe originar desde los hosts situados detrás de <strong>NetScreen</strong> A.<br />
Una vez que <strong>NetScreen</strong> A haya establecido el túnel, el tráfico que atraviese el túnel se puede originar desde<br />
cualquiera de sus extremos. Todas las zonas se encuentran en el dominio de enrutamiento trust-vr.<br />
Zona<br />
Trust<br />
Petición<br />
SMTP o POP3<br />
Topología de las zonas<br />
configuradas en <strong>NetScreen</strong>-A<br />
en la sucursal<br />
A B<br />
A<br />
B<br />
Zona<br />
Untrust<br />
Sucursal<br />
Zona Trust<br />
eth1, 10.1.1.1/24<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3 y puerta de enlace<br />
asignadas dinámicamente<br />
por el ISP<br />
Internet<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3, 2.2.2.2/24<br />
Puerta de enlace<br />
2.2.2.250<br />
<strong>NetScreen</strong>-A<br />
Túnel VPN<br />
Servidor DHCP<br />
2.1.1.5<br />
<strong>NetScreen</strong>-B<br />
Nota: antes de realizar una conexión SMTP o POP3 con el servidor<br />
de correo corporativo, Phil debe iniciar primero una conexión HTTP,<br />
FTP o Telnet para que <strong>NetScreen</strong> A pueda autenticarle.<br />
Topología de las zonas<br />
configuradas en <strong>NetScreen</strong>-B<br />
en la sede central<br />
Zona<br />
Untrust<br />
Oficina corporativa<br />
Zona DMZ<br />
eth2, 3.3.3.3/24<br />
Petición<br />
IDENT<br />
Servidor de<br />
correo<br />
3.3.3.5<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 152<br />
Zona<br />
DMZ
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
En este ejemplo, el usuario de autenticación local Phil (nombre de usuario: pmason; contraseña: Nd4syst4) desea<br />
recoger su correo electrónico del servidor del sitio corporativo. Cuando intenta hacerlo, pasa por dos<br />
autenticaciones: primero, el dispositivo <strong>NetScreen</strong> A le autentica de forma local antes de permitir que el tráfico<br />
originado por él atraviese el túnel 12 ; después, el programa de servidor de correo le autentica de nuevo enviando una<br />
petición IDENT a través del túnel.<br />
Nota: El servidor de correo puede enviar la petición IDENT a través del túnel sólo si los administradores de los<br />
dispositivos <strong>NetScreen</strong> A y B agregan un servicio personalizado para ello (TCP, puerto 113) y configuran directivas<br />
que permitan el tráfico a través del túnel hacia la subred 10.10.10.0/24.<br />
La clave previamente compartida es h1p8A24nG5. Se parte de la base de que ambos participantes ya tienen<br />
certificados RSA emitidos por la autoridad de certificación (CA) Verisign, y la dirección de correo electrónico<br />
pmason@abc.com aparece en el certificado local de <strong>NetScreen</strong> A. (Para obtener más información sobre la<br />
adquisición y la carga de certificados, consulte “Certificados y CRLs” en la página 29). Para los niveles de seguridad<br />
de las fases 1 y 2, debe especificar la propuesta de fase 1 (ya sea pre-g2-3des-sha para el método de clave<br />
previamente compartida o rsa-g2-3des-sha para certificados) y seleccionar el conjunto de propuestas predefinido<br />
“Compatible” para la fase 2.<br />
WebUI (<strong>NetScreen</strong>-A)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
12. Como Phil es un usuario de autenticación, antes de que pueda realizar una petición SMTP o POP3, debe iniciar primero una conexión HTTP, FTP o Telnet<br />
para que <strong>NetScreen</strong> A pueda responder con un mensaje de petición de inicio de sesión/usuario de cortafuegos para autenticarle. Una vez que <strong>NetScreen</strong><br />
A le haya autenticado, tendrá permiso para establecer contacto con el servidor de correo corporativo a través del túnel VPN.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 153
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
2. Usuario<br />
Zone Name: Untrust<br />
Obtain IP using DHCP: (seleccione) 13<br />
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
3. Direcciones<br />
User Name: pmason<br />
Status: Enable<br />
Authentication User: (seleccione)<br />
User Password: Nd4syst4<br />
Confirm Password: Nd4syst4<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Trusted network<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Mail Server<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 3.3.3.5/32<br />
Zone: Untrust<br />
13. La dirección IP del servidor DHCP no se puede especificar mediante WebUI; no obstante, sí se puede especificar mediante comandos CLI.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 154
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
4. Servicios<br />
Objects > Services > Custom > New: Introduzca los siguientes datos y haga clic en OK :<br />
Service Name: Ident<br />
Service Timeout:<br />
Use protocol default: (seleccione)<br />
Transport Protocol: TCP (seleccione)<br />
Source Port: Low 0, High 65535<br />
Destination Port: Low 113, High 113<br />
Objects > Services > Group > New: Introduzca los siguientes datos, mueva los siguientes servicios y,<br />
finalmente, haga clic en OK :<br />
Group Name: Remote_Mail<br />
Group Members AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: To_Mail<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 155
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Clave previamente compartida<br />
Preshared Key: h1p8A24nG5<br />
(o bien)<br />
Certificados<br />
Local ID: pmason@abc.com<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
Local ID: pmason@abc.com<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
Preferred Certificate (optional):<br />
Peer CA: Verisign<br />
Peer Type: X509-SIG<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 156
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
6. Ruta<br />
Name: branch_corp<br />
Security Level: Compatible<br />
Remote Gateway Tunnel: To_Mail<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
7. Directivas<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 0.0.0.0 14<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Trusted network<br />
Destination Address:<br />
Address Book Entry: (seleccione), Mail Server<br />
Service: Remote_Mail<br />
Action: Tunnel<br />
VPN Tunnel: branch_corp<br />
Modify matching bidirectional VPN policy: (seleccione)<br />
Position at Top: (seleccione)<br />
14. El ISP proporciona la dirección IP de la puerta de enlace de forma dinámica a través del protocolo DHCP.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 157
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
WebUI (<strong>NetScreen</strong>-B)<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de directiva:<br />
Authentication: (seleccione)<br />
Auth Server: Local<br />
User: (seleccione), Local Auth User - pmason<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: DMZ<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 3.3.3.3/24<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.2.2.2/24<br />
2. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Mail Server<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 3.3.3.5/32<br />
Zona: DMZ<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 158
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
3. Servicios<br />
Address Name: branch office<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Untrust<br />
Objects > Services > Custom > New: Introduzca los siguientes datos y haga clic en OK :<br />
Service Name: Ident<br />
Service Timeout:<br />
Use protocol default: (seleccione)<br />
Transport Protocol: TCP (seleccione)<br />
Source Port: Low 0, High 65535<br />
Destination Port: Low 113, High 113<br />
Objects > Services > Group > New: Introduzca los siguientes datos, mueva los siguientes servicios y,<br />
finalmente, haga clic en OK :<br />
Group Name: Remote_Mail<br />
Group Members
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
4. VPN<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: To_branch<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Dynamic IP Address: (seleccione), Peer ID: pmason@abc.com<br />
Clave previamente compartida<br />
Preshared Key: h1p8A24nG5<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
(o bien)<br />
Certificados<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
Preferred Certificate (optional):<br />
Peer CA: Verisign<br />
Peer Type: X509-SIG<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 160
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
5. Ruta<br />
VPN Name: corp_branch<br />
Security Level: Compatible<br />
Remote Gateway:<br />
Predefined: (seleccione), To_branch<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
6. Directivas<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.250<br />
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Mail Server<br />
Destination Address:<br />
Address Book Entry: (seleccione), branch office<br />
Service: Remote_Mail<br />
Action: Tunnel<br />
VPN Tunnel: corp_branch<br />
Modify matching bidirectional VPN policy: (seleccione)<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 161
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
CLI (<strong>NetScreen</strong>-A)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 dhcp client<br />
set interface ethernet3 dhcp client settings server 1.1.1.5<br />
2. Usuario<br />
set user pmason password Nd4syst4<br />
3. Direcciones<br />
set address trust “trusted network” 10.1.1.0/24<br />
set address untrust “mail server” 3.3.3.5/32<br />
4. Servicios<br />
set service ident protocol tcp src-port 0-65535 dst-port 113-113<br />
set group service remote_mail<br />
set group service remote_mail add http<br />
set group service remote_mail add ftp<br />
set group service remote_mail add telnet<br />
set group service remote_mail add ident<br />
set group service remote_mail add mail<br />
set group service remote_mail add pop3<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 162
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
5. VPN<br />
Clave previamente compartida<br />
set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@abc.com<br />
outgoing-interface ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha<br />
set vpn branch_corp gateway to_mail sec-level compatible<br />
(o bien)<br />
Certificados<br />
set ike gateway to_mail address 2.2.2.2 aggressive local-id pmason@abc.com 15<br />
outgoing-interface ethernet3 proposal rsa-g2-3des-sha<br />
set ike gateway to_mail cert peer-ca 1 16<br />
set ike gateway to_mail cert peer-cert-type x509-sig<br />
set vpn branch_corp gateway to_mail sec-level compatible<br />
6. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 17<br />
7. Directivas<br />
set policy top from trust to untrust “trusted network” “mail server”<br />
remote_mail tunnel vpn branch_corp auth server Local user pmason<br />
set policy top from untrust to trust “mail server” “trusted network”<br />
remote_mail tunnel vpn branch_corp<br />
save<br />
15. El U-FQDN “pmason@abc.com” debe aparecer en el campo SubjectAltName del certificado.<br />
16. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get ike ca .<br />
17. El ISP proporciona la dirección IP de la puerta de enlace de forma dinámica a través del protocolo DHCP.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 163
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
CLI (<strong>NetScreen</strong>-B)<br />
1. Interfaces<br />
set interface ethernet2 zone dmz<br />
set interface ethernet2 ip 3.3.3.3/24<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.2/24<br />
2. Direcciones<br />
set address dmz “mail server” 3.3.3.5/32<br />
set address untrust “branch office” 10.1.1.0/24<br />
3. Servicios<br />
set service ident protocol tcp src-port 0-65535 dst-port 113-113<br />
set group service remote_mail<br />
set group service remote_mail add ident<br />
set group service remote_mail add mail<br />
set group service remote_mail add pop3<br />
4. VPN<br />
Clave previamente compartida<br />
set ike gateway to_branch dynamic pmason@abc.com aggressive outgoing-interface<br />
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha<br />
set vpn corp_branch gateway to_branch tunnel sec-level compatible<br />
(o bien)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 164
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Certificados<br />
set ike gateway to_branch dynamic pmason@abc.com aggressive outgoing-interface<br />
ethernet3 proposal rsa-g2-3des-sha<br />
set ike gateway to_branch cert peer-ca 1 18<br />
set ike gateway to_branch cert peer-cert-type x509-sig<br />
set vpn corp_branch gateway to_branch sec-level compatible<br />
5. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250<br />
6. Directivas<br />
set policy top from dmz to untrust “mail server” “branch office” remote_mail<br />
tunnel vpn corp_branch<br />
set policy top from untrust to dmz “branch office” “mail server” remote_mail<br />
tunnel vpn corp_branch<br />
save<br />
18. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get ike ca .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 165
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Ejemplo: VPN punto a punto basada en rutas, clave manual<br />
En este ejemplo, un túnel con clave manual ofrece un canal de comunicación segura entre las oficinas de Tokio y<br />
París. Las zonas Trust de cada punto se encuentran en modo NAT. Las direcciones son las siguientes:<br />
Tokio:<br />
- Interfaz de zona Trust (ethernet1): 10.1.1.1/24<br />
- Interfaz de zona Untrust (ethernet3): 1.1.1.1/24<br />
Las zonas de seguridad Trust y Untrust se encuentran en el dominio de enrutamiento trust-vr. La interfaz de zona<br />
Untrust (ethernet3) actúa como interfaz de salida para el túnel VPN.<br />
Zona<br />
Trust<br />
Topología de las zonas<br />
configuradas en el dispositivo<br />
<strong>NetScreen</strong> de Tokio<br />
Tokio<br />
Zona Trust<br />
eth1, 10.1.1.1/24<br />
Zona<br />
Untrust<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3, 1.1.1.1/24<br />
Puerta de enlace<br />
1.1.1.250<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 166<br />
París:<br />
Internet<br />
Túnel VPN<br />
- Interfaz de zona Trust (ethernet1): 10.2.2.1/24<br />
- Interfaz de zona Untrust (ethernet3): 2.2.2.2/24<br />
Tokio París<br />
Tokio<br />
París<br />
Interfaz de túnel<br />
tunnel.1<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3, 2.2.2.2/24<br />
Puerta de enlace<br />
2.2.2.250<br />
Interfaz de túnel<br />
tunnel.1<br />
Topología de las zonas<br />
configuradas en el dispositivo<br />
<strong>NetScreen</strong> de París<br />
Zona<br />
Untrust<br />
París<br />
Zona Trust<br />
eth1, 10.2.2.1/24<br />
Zona<br />
Trust
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Para configurar el túnel, lleve a cabo los siguientes pasos en los dispositivos <strong>NetScreen</strong> a ambos extremos del<br />
túnel:<br />
1. Asignar direcciones IP a las interfaces físicas asociadas a las zonas de seguridad y a la interfaz de túnel.<br />
2. Configurar el túnel VPN, designar su interfaz de salida en la zona Untrust y asociarla a la interfaz de túnel.<br />
3. Introducir las direcciones IP de los puntos finales local y remoto en las libretas de direcciones para las<br />
zonas Trust y Untrust.<br />
4. Introducir una ruta predeterminada al enrutador externo en trust-vr, una ruta al destino a través de la<br />
interfaz de túnel y otra ruta nula al destino. Asigne una métrica más alta (más alejada de cero) a la ruta nula<br />
para que se convierta en la siguiente opción de ruta al destino. A continuación, si el estado de la interfaz de<br />
túnel cambia a “inactivo” y la ruta que hace referencia a esa interfaz también se inactiva, el dispositivo<br />
<strong>NetScreen</strong> utiliza la ruta nula, que descarta todo tráfico enviado hacia él, en lugar de la ruta<br />
predeterminada, que reenvía tráfico no encriptado.<br />
5. Definir directivas para la circulación del tráfico VPN entre ambos sitios.<br />
WebUI (Tokio)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 167
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (trust-vr)<br />
2. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Trust_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Paris_Office<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.0/24<br />
Zone: Untrust<br />
3. VPN<br />
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Tunnel Name: Tokyo_Paris<br />
Gateway IP: 2.2.2.2<br />
Security Index: 3020 (Local), 3030 (Remote)<br />
Outgoing Interface: ethernet3<br />
ESP-CBC: (seleccione)<br />
Encryption Algorithm: 3DES-CBC<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 168
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Generate Key by Password: asdlk24234<br />
Authentication Algorithm: SHA-1<br />
Generate Key by Password: PNas134a<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica del túnel de<br />
clave manual:<br />
Bind to: Tunnel Interface, tunnel.1<br />
4. Rutas<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.2.2.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.2.2.0/24<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 169
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
5. Directivas<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: To Paris<br />
Source Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Paris_Office<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: From Paris<br />
Source Address:<br />
Address Book Entry: (seleccione), Paris_Office<br />
Destination Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 170
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
WebUI (París)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.2.2.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.2.2.2/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
2. Direcciones<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (trust-vr)<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Trust_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.0/24<br />
Zone: Trust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 171
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
3. VPN<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Tokyo_Office<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Untrust<br />
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Tunnel Name: Paris_Tokyo<br />
Gateway IP: 1.1.1.1<br />
Security Index: 3030 (Local), 3020 (Remote)<br />
Outgoing Interface: ethernet3<br />
ESP-CBC: (seleccione)<br />
Encryption Algorithm: 3DES-CBC<br />
Generate Key by Password: asdlk24234<br />
Authentication Algorithm: SHA-1<br />
Generate Key by Password: PNas134a<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica del túnel de<br />
clave manual:<br />
Bind to: Tunnel Interface, tunnel.1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 172
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
4. Rutas<br />
Network > Routing > Routing Entries > trust-vr New : Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.250<br />
Network > Routing > Routing Entries > trust-vr New : Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.1.1.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
Network > Routing > Routing Entries > trust-vr New : Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.1.1.0/24<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 173
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
5. Directivas<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: To Tokyo<br />
Source Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Tokyo_Office<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: From Tokyo<br />
Source Address:<br />
Address Book Entry: (seleccione), Tokyo_Office<br />
Destination Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 174
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
CLI (Tokio)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
2. Direcciones<br />
set address trust Trust_LAN 10.1.1.0/24<br />
set address untrust Paris_Office 10.2.2.0/24<br />
3. VPN<br />
set vpn Tokyo_Paris manual 3020 3030 gateway 2.2.2.2 outgoing-interface<br />
ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a<br />
set vpn Tokyo_Paris bind interface tunnel.1<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1<br />
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10<br />
5. Directivas<br />
set policy top name “To Paris” from trust to untrust Trust_LAN Paris_Office any<br />
permit<br />
set policy top name “From Paris” from untrust to trust Paris_Office Trust_LAN<br />
any permit<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 175
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
CLI (París)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.2.2.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.2/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
2. Direcciones<br />
set address trust Trust_LAN 10.2.2.0/24<br />
set address untrust Tokyo_Office 10.1.1.0/24<br />
3. VPN<br />
set vpn Paris_Tokyo manual 3030 3020 gateway 1.1.1.1 outgoing-interface<br />
ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a<br />
set vpn Paris_Tokyo bind interface tunnel.1<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250<br />
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1<br />
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10<br />
5. Directivas<br />
set policy top name “To Tokyo” from trust to untrust Trust_LAN Tokyo_Office any<br />
permit<br />
set policy top name “From Tokyo” from untrust to trust Tokyo_Office Trust_LAN<br />
any permit<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 176
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Ejemplo: VPN punto a punto basada en directivas, clave manual<br />
En este ejemplo, un túnel con clave manual ofrece un canal de comunicación segura entre las oficinas de Tokio y<br />
París utilizando ESP con encriptación 3DES y autenticación SHA-1. Las zonas Trust de cada punto se encuentran<br />
en modo NAT. Las direcciones son las siguientes:<br />
Tokio:<br />
- Interfaz Trust (ethernet1): 10.1.1.1/24<br />
- Interfaz Untrust (ethernet3): 1.1.1.1/24<br />
Las zonas de seguridad Trust y Untrust y la zona de túnel Untrust-Tun se encuentran en el dominio de enrutamiento<br />
trust-vr. La interfaz de zona Untrust (ethernet3) actúa como interfaz de salida para el túnel VPN.<br />
Zona<br />
Trust<br />
Topología de las zonas<br />
configuradas en el dispositivo<br />
<strong>NetScreen</strong> de Tokio<br />
Zona<br />
Untrust<br />
Tokio<br />
Zona Trust<br />
eth1, 10.1.1.1/24<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3, 1.1.1.1/24<br />
Puerta de enlace<br />
1.1.1.250<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 177<br />
París:<br />
Internet<br />
Túnel VPN<br />
- Interfaz Trust (ethernet1): 10.2.2.1/24<br />
- Interfaz Untrust (ethernet3): 2.2.2.2/24<br />
Tokio París<br />
Tokio<br />
París<br />
Zona<br />
Untrust-Tun<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3, 2.2.2.2/24<br />
Puerta de enlace<br />
2.2.2.250<br />
Topología de las zonas<br />
configuradas en el dispositivo<br />
<strong>NetScreen</strong> de París<br />
Zona<br />
Untrust<br />
Zona<br />
Untrust-Tun<br />
París<br />
Zona Trust<br />
eth1, 10.2.2.1/24<br />
Zona<br />
Trust
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
Para configurar el túnel, lleve a cabo los cinco pasos siguientes en los dispositivos <strong>NetScreen</strong>-A ambos extremos<br />
del túnel:<br />
1. Asignar direcciones IP a las interfaces físicas asociadas a las zonas de seguridad.<br />
2. Configurar el túnel VPN y designar su interfaz de salida en la zona Untrust.<br />
3. Introducir las direcciones IP de los puntos finales local y remoto en las libretas de direcciones para las<br />
zonas Trust y Untrust.<br />
4. Introducir una ruta predeterminada que conduzca al enrutador externo.<br />
5. Configurar directivas para que el tráfico VPN circule de forma bidireccional por el túnel.<br />
WebUI (Tokio)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
2. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Trust_LAN<br />
IP Address/Domain Name:<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 178
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
3. VPN<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Paris_Office<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.0/24<br />
Zone: Untrust<br />
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Tunnel Name: Tokyo_Paris<br />
Gateway IP: 2.2.2.2<br />
Security Index: 3020 (Local), 3030 (Remote)<br />
Outgoing Interface: ethernet3<br />
ESP-CBC: (seleccione)<br />
Encryption Algorithm: 3DES-CBC<br />
Generate Key by Password: asdlk24234<br />
Authentication Algorithm: SHA-1<br />
Generate Key by Password: PNas134a<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica del túnel de<br />
clave manual:<br />
Bind to: Tunnel Zone, Untrust-Tun<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 179
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
4. Ruta<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
5. Directivas<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: To/From Paris<br />
Source Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Paris_Office<br />
Service: ANY<br />
Action: Tunnel<br />
Tunnel VPN: Tokyo_Paris<br />
Modify matching bidirectional VPN policy: (seleccione)<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 180
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
WebUI (París)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.2.2.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
2. Direcciones<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.2.2.2/24<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Trust_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Tokyo_Office<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Untrust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 181
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
3. VPN<br />
VPNs > Manual Key > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Tunnel Name: Paris_Tokyo<br />
Gateway IP: 1.1.1.1<br />
Security Index (HEX Number): 3030 (Local), 3020 (Remote)<br />
Outgoing Interface: ethernet3<br />
ESP-CBC: (seleccione)<br />
Encryption Algorithm: 3DES-CBC<br />
Generate Key by Password: asdlk24234<br />
Authentication Algorithm: SHA-1<br />
Generate Key by Password: PNas134a<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica del túnel de<br />
clave manual:<br />
Bind to: Tunnel Zone, Untrust-Tun<br />
4. Ruta<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.250<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 182
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
5. Directivas<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: To/From Tokyo<br />
Source Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Tokyo_Office<br />
Service: ANY<br />
Action: Tunnel<br />
Tunnel VPN: Paris_Tokyo<br />
Modify matching bidirectional VPN policy: (seleccione)<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 183
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
CLI (Tokio)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
2. Direcciones<br />
set address trust Trust_LAN 10.1.1.0/24<br />
set address untrust paris_office 10.2.2.0/24<br />
3. VPN<br />
set vpn tokyo_paris manual 3020 3030 gateway 2.2.2.2 outgoing-interface<br />
ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a<br />
set vpn tokyo_paris bind zone untrust-tun<br />
4. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
5. Directivas<br />
set policy top name “To/From Paris” from trust to untrust Trust_LAN<br />
paris_office any tunnel vpn tokyo_paris<br />
set policy top name “To/From Paris” from untrust to trust paris_office<br />
Trust_LAN any tunnel vpn tokyo_paris<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 184
Capítulo 4 VPNs punto a punto Configuraciones VPN punto a punto<br />
CLI (París)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.2.2.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.2/24<br />
2. Direcciones<br />
set address trust Trust_LAN 10.2.2.0/24<br />
set address untrust tokyo_office 10.1.1.0/24<br />
3. VPN<br />
set vpn paris_tokyo manual 3030 3020 gateway 1.1.1.1 outgoing-interface<br />
ethernet3 esp 3des password asdlk24234 auth sha-1 password PNas134a<br />
set vpn paris_tokyo bind zone untrust-tun<br />
4. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250<br />
5. Directivas<br />
set policy top name “To/From Tokyo” from trust to untrust Trust_LAN<br />
tokyo_office any tunnel vpn paris_tokyo<br />
set policy top name “To/From Tokyo” from untrust to trust tokyo_office<br />
Trust_LAN any tunnel vpn paris_tokyo<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 185
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
PUERTAS DE ENLACE IKE DINÁMICAS CON FQDN<br />
Para un interlocutor IKE que obtenga su dirección IP de forma dinámica, es posible especificar su nombre de<br />
dominio completo (FQDN) en la configuración local para la puerta de enlace remota. Por ejemplo, un proveedor de<br />
servicios de Internet (ISP) podría asignar direcciones IP a sus clientes a través del protocolo DHCP. El ISP toma<br />
direcciones de un amplio conjunto de direcciones y las asigna cuando los clientes se conectan en línea. Aunque el<br />
interlocutor IKE posee un FQDN que no varía, tiene una dirección IP que cambia de forma impredecible. El<br />
interlocutor IKE dispone de tres métodos para mantener una asignación DNS (“Domain Name Service”) entre su<br />
FQDN y su dirección IP asignada de forma dinámica (un proceso denominado DNS dinámico).<br />
Si el interlocutor IKE remoto es un dispositivo <strong>NetScreen</strong>, el administrador puede avisar manualmente al<br />
servidor DNS para que actualice su asignación entre FQDN y dirección IP cada vez que el dispositivo<br />
<strong>NetScreen</strong> reciba una dirección IP nueva de su ISP.<br />
Si el interlocutor IKE remoto es cualquier otro tipo de dispositivo terminal VPN en el que se esté ejecutando<br />
software DNS dinámico, dicho software puede notificar al servidor DNS sus cambios de dirección para que<br />
el servidor actualice su tabla de asignación entre FQDN y dirección IP.<br />
Si el interlocutor IKE remoto es un dispositivo <strong>NetScreen</strong> o cualquier otro tipo de dispositivo terminal VPN,<br />
un host ubicado detrás de él puede ejecutar un programa de actualización automática entre FQDN y<br />
dirección IP que avise al servidor DNS de los cambios de dirección.<br />
Dispositivo <strong>NetScreen</strong> local<br />
1.1.1.1<br />
1. El servidor DHCP toma la dirección 2.2.2.28 de su<br />
conjunto de direcciones IP y la asigna al interlocutor<br />
IKE.<br />
2. El interlocutor IKE notifica al servidor DNS la nueva<br />
dirección para que éste pueda actualizar su tabla de<br />
asignación entre FQDN y dirección IP.<br />
Internet<br />
Túnel VPN<br />
Conjunto de<br />
direcciones IP<br />
2.2.2.10 –<br />
2.2.7.9<br />
Interlocutor IKE<br />
2.2.2.28 = www.ns.com<br />
Servidor DHCP<br />
Servidor DNS<br />
Sin que sea necesario conocer la dirección IP actual de un interlocutor IKE remoto, es posible configurar un túnel<br />
VPN AutoKey IKE que conecte con dicho interlocutor utilizando su FQDN en lugar de una dirección IP.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 186<br />
1<br />
www.ns.com<br />
2
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
Alias<br />
También es posible utilizar un alias para el FQDN del interlocutor IKE remoto si el servidor DNS al que consulta el<br />
dispositivo <strong>NetScreen</strong> local devuelve sólo una dirección IP. Si el servidor DNS devuelve varias direcciones IP, el<br />
dispositivo local utilizará la primera que reciba. Como no existe ninguna garantía sobre el orden de aparición de las<br />
direcciones en la respuesta del servidor DNS, es posible que el dispositivo <strong>NetScreen</strong> local utilice la dirección IP<br />
incorrecta y, por tanto, las negociaciones IKE podrían fracasar.<br />
1<br />
2<br />
3a<br />
3b<br />
Dispositivo <strong>NetScreen</strong> local El dispositivo <strong>NetScreen</strong> local desea<br />
establecer un túnel VPN IKE con su<br />
interlocutor remoto. Utiliza<br />
www.jnpr.net como dirección de puerta<br />
de enlace remota.<br />
Interlocutor IKE remoto<br />
Dispositivo <strong>NetScreen</strong> local<br />
El dispositivo <strong>NetScreen</strong><br />
utiliza esta dirección IP.<br />
Consulta DNS: www.jnpr.net = IP ?<br />
Respuesta DNS:<br />
www.jnpr.net = 1.1.1.202<br />
www.jnpr.net = 1.1.1.114<br />
www.jnpr.net = 1.1.1.20<br />
Servidor DNS<br />
Dispositivo <strong>NetScreen</strong> local<br />
Si el interlocutor IKE remoto se encuentra en<br />
1.1.1.202, las negociaciones IKE se desarrollan<br />
con éxito.<br />
Interlocutor IKE remoto<br />
Dispositivo <strong>NetScreen</strong> local<br />
Si el interlocutor<br />
IKE remoto se<br />
encuentra en<br />
1.1.1.114<br />
ó<br />
1.1.1.20, las<br />
negociaciones<br />
IKE fracasan.<br />
Interlocutor IKE remoto<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 187
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
Ejemplo: Interlocutor AutoKey IKE con FQDN<br />
En este ejemplo, un túnel VPN AutoKey IKE que utiliza un secreto previamente compartido o un par de certificados<br />
(uno por cada extremo del túnel) proporciona una conexión segura entre dos oficinas de Tokio y París. La oficina de<br />
París tiene una dirección IP asignada de forma dinámica, por lo que la oficina de Tokio utiliza el FQDN del<br />
interlocutor remoto (www.nspar.com) como dirección de la puerta de enlace remota en su configuración de<br />
túnel VPN.<br />
La siguiente configuración corresponde a un túnel VPN basado en rutas. Para los niveles de seguridad de las fases<br />
1 y 2, debe especificar una propuesta de fase 1 (ya sea pre-g2-3des-sha para el método de clave previamente<br />
compartida o rsa-g2-3des-sha para certificados) y seleccionar el conjunto de propuestas predefinido “Compatible”<br />
para la fase 2. Todas las zonas se encuentran en trust-vr.<br />
Topología de las zonas<br />
configuradas en el dispositivo<br />
<strong>NetScreen</strong> de Tokio<br />
Tokio<br />
Zona<br />
Trust<br />
Tokio<br />
Zona Trust<br />
eth1, 10.1.1.1/24<br />
Zona<br />
Untrust<br />
París<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3, 1.1.1.1/24<br />
Puerta de enlace<br />
1.1.1.250<br />
Internet<br />
Túnel VPN<br />
Interfaz de túnel: tunnel.1<br />
Puerta de enlace remota: www.nspar.com<br />
Topología de las zonas<br />
configuradas en el dispositivo<br />
<strong>NetScreen</strong> de París<br />
Tokio París<br />
Zona<br />
Untrust<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3, IP y puerta de<br />
enlace a través del<br />
protocolo DHCP<br />
www.nspar.com<br />
Interfaz de túnel: tunnel.1<br />
Puerta de enlace remota: 1.1.1.1<br />
París<br />
Zona Trust<br />
eth1, 10.2.2.1/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 188<br />
Zona<br />
Trust
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
La configuración de un túnel AutoKey IKE basado en rutas mediante un secreto previamente compartido o<br />
certificados implica los siguientes pasos:<br />
1. Asignar direcciones IP a las interfaces físicas asociadas a las zonas de seguridad y a la interfaz de túnel.<br />
2. Definir la puerta de enlace remota y el modo de intercambio de claves, y especificar un secreto previamente<br />
compartido o un certificado.<br />
3. Configurar el túnel VPN, designar su interfaz de salida en la zona Untrust, asociarla a la interfaz de túnel y<br />
configurar su ID de proxy.<br />
4. Introducir las direcciones IP de los puntos finales local y remoto en las libretas de direcciones para las<br />
zonas Trust y Untrust.<br />
5. Introducir una ruta predeterminada al enrutador externo en trust-vr, una ruta al destino a través de la<br />
interfaz de túnel y otra ruta nula al destino. Asigne una métrica más alta (más alejada de cero) a la ruta nula<br />
para que se convierta en la siguiente opción de ruta al destino. A continuación, si el estado de la interfaz de<br />
túnel cambia a “inactivo” y la ruta que hace referencia a esa interfaz también se inactiva, el dispositivo<br />
<strong>NetScreen</strong> utiliza la ruta nula, que descarta todo tráfico enviado hacia él, en lugar de la ruta<br />
predeterminada, que reenvía tráfico no encriptado.<br />
6. Definir directivas para la circulación del tráfico entre ambos sitios.<br />
En los <strong>ejemplos</strong> siguientes, la clave previamente compartida es h1p8A24nG5. Se asume que ambos participantes<br />
tienen certificados RSA y utilizan Entrust como autoridad de certificación (CA). (Para obtener información sobre la<br />
adquisición y la carga de certificados, consulte el <strong>Volumen</strong> 4 de <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong>: manual de<br />
referencia, VPNs ).<br />
WebUI (Tokio)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 189
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
2. Direcciones<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (trust-vr)<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Trust_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Paris_Office<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.0/24<br />
Zone: Untrust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 190
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
3. VPN<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Clave previamente compartida<br />
(o bien)<br />
Certificados<br />
Gateway Name: To_Paris<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: www.nspar.com<br />
Preshared Key: h1p8A24nG5<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Main (ID Protection)<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha<br />
Preferred certificate (optional)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 191
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
Peer CA: Entrust<br />
Peer Type: X509-SIG<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: Tokyo_Paris<br />
Security Level: Compatible<br />
Remote Gateway:<br />
Predefined: (seleccione), To_Paris<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Security Level: Compatible<br />
Bind to: Tunnel Interface, tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 10.1.1.0/24<br />
Remote IP / Netmask: 10.2.2.0/24<br />
Service: ANY<br />
4. Rutas<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 0.0.0.0 19<br />
19. El ISP proporciona la dirección IP de la puerta de enlace de forma dinámica a través del protocolo DHCP.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 192
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.2.2.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
5. Directivas<br />
Network Address/Netmask: 10.2.2.0/24<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: To_Paris<br />
Source Address: Trust_LAN<br />
Destination Address: Paris_Office<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 193
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
Policies > Policy (From: Untrust, To: Trust) > New Policy: Introduzca los siguientes datos y haga clic en OK :<br />
WebUI (París)<br />
Name: From_Paris<br />
Source Address: Paris_Office<br />
Destination Address: Trust_LAN<br />
Service: ANY<br />
Action: Permit<br />
1. Nombre de host y nombre de dominio<br />
Position at Top: (seleccione)<br />
Network > DNS: Introduzca los siguientes datos y haga clic en Apply :<br />
2. Interfaces<br />
Host Name: www<br />
Domain Name: nspar.com<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.2.2.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Obtain IP using DHCP: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 194
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
3. Direcciones<br />
4. VPN<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (trust-vr)<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Trust_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Tokyo_Office<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Untrust<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: To_Tokyo<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 195
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
Clave previamente compartida<br />
(o bien)<br />
Certificados<br />
Preshared Key: h1p8A24nG5<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Main (ID Protection)<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha<br />
Preferred certificate (optional)<br />
Peer CA: Entrust<br />
Peer Type: X509-SIG<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 196
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:<br />
Name: Paris_Tokyo<br />
Security Level: Custom<br />
Remote Gateway:<br />
Predefined: (seleccione), To_Tokyo<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Security Level: Compatible<br />
Bind to: Tunnel Interface, tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 10.2.2.0/24<br />
Remote IP / Netmask: 10.1.1.0/24<br />
Service: ANY<br />
5. Rutas<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK:<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.250<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK:<br />
Network Address/Netmask: 10.1.1.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 197
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
6. Directivas<br />
Network Address/Netmask: 10.1.1.0/24<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: To Tokyo<br />
Source Address: Trust_LAN<br />
Destination Address: Tokyo_Office<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: From Tokyo<br />
Source Address: Tokyo_Office<br />
Destination Address: Trust_LAN<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 198
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
CLI (Tokio)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
2. Direcciones<br />
set address trust Trust_LAN 10.1.1.0/24<br />
set address untrust paris_office 10.2.2.0/24<br />
3. VPN<br />
Clave previamente compartida<br />
set ike gateway to_paris address www.nspar.com main outgoing-interface<br />
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha<br />
set vpn tokyo_paris gateway to_paris sec-level compatible<br />
set vpn tokyo_paris bind interface tunnel.1<br />
set vpn tokyo_paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any<br />
(o bien)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 199
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
Certificado<br />
set ike gateway to_paris address www.nspar.com main outgoing-interface<br />
ethernet3 proposal rsa-g2-3des-sha<br />
set ike gateway to_paris cert peer-ca 1 20<br />
set ike gateway to_paris cert peer-cert-type x509-sig<br />
set vpn tokyo_paris gateway to_paris sec-level compatible<br />
set vpn tokyo_paris bind interface tunnel.1<br />
set vpn tokyo_paris proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.2.0/24 any<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1<br />
set vrouter trust-vr route 10.2.2.0/24 interface null metric 10<br />
5. Directivas<br />
set policy top name “To Paris” from trust to untrust Trust_LAN paris_office any<br />
permit<br />
set policy top name “From Paris” from untrust to trust paris_office Trust_LAN<br />
any permit<br />
save<br />
20. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get ike ca .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 200
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
CLI (París)<br />
1. Nombre de host y nombre de dominio<br />
set hostname www<br />
set domain nspar.com<br />
2. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.2.2.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip dhcp-client enable<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
3. Direcciones<br />
set address trust Trust_LAN 10.2.2.0/24<br />
set address untrust tokyo_office 10.1.1.0/24<br />
4. VPN<br />
Clave previamente compartida<br />
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3<br />
preshare h1p8A24nG5 proposal pre-g2-3des-sha<br />
set vpn paris_tokyo gateway to_tokyo sec-level compatible<br />
set vpn paris_tokyo bind interface tunnel.1<br />
set vpn paris_tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any<br />
(o bien)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 201
Capítulo 4 VPNs punto a punto Puertas de enlace IKE dinámicas con FQDN<br />
Certificado<br />
set ike gateway to_tokyo address 1.1.1.1 main outgoing-interface ethernet3<br />
proposal rsa-g2-3des-sha<br />
set ike gateway to_tokyo cert peer-ca 1<br />
set ike gateway to_tokyo cert peer-cert-type x509-sig<br />
set vpn paris_tokyo gateway to_tokyo sec-level compatible<br />
set vpn paris_tokyo bind interface tunnel.1<br />
set vpn paris_tokyo proxy-id local-ip 10.2.2.0/24 remote-ip 10.1.1.0/24 any<br />
5. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250<br />
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1<br />
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10<br />
6. Directivas<br />
set policy top name “To Tokyo” from trust to untrust Trust_LAN tokyo_office any<br />
permit<br />
set policy top name “From Tokyo” from untrust to trust tokyo_office Trust_LAN<br />
any permit<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 202
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
SITIOS VPN CON DIRECCIONES SUPERPUESTAS<br />
Como el rango de direcciones IP privadas es relativamente pequeño, es bastante probable que las direcciones de<br />
las redes protegidas de dos interlocutores VPN se superpongan 21 . Para el tráfico VPN bidireccional entre dos<br />
entidades finales con direcciones superpuestas, los dispositivos <strong>NetScreen</strong> de los dos extremos del túnel deben<br />
aplicar una traducción de direcciones de red de origen y de destino (NAT-src y NAT-dst) al tráfico VPN que circule<br />
entre ellos.<br />
Para NAT-src, las interfaces a ambos extremos del túnel deben poseer direcciones IP en subredes únicas entre sí,<br />
con un conjunto de direcciones IP dinámicas (DIP) en cada una de dichas subredes 22 . Las directivas que regulan el<br />
tráfico VPN saliente pueden aplicar NAT-src mediante direcciones de conjunto DIP para traducir las direcciones de<br />
origen originales y convertirlas en direcciones de un espacio de direcciones neutro.<br />
Hay dos posibilidades para aplicar NAT-dst al tráfico VPN entrante:<br />
NAT-dst basada en directivas: una directiva puede aplicar NAT-dst para traducir el tráfico VPN entrante y<br />
convertirlo en una dirección que se encuentre en la misma subred que la interfaz de túnel (pero no en el<br />
mismo rango que el conjunto de DIP local utilizado para el tráfico VPN saliente) o en una dirección de otra<br />
subred sobre la que el dispositivo <strong>NetScreen</strong> tenga una entrada en su tabla de rutas. (Para obtener<br />
información sobre el enrutamiento a la hora de configurar NAT-dst, consulte “Enrutamiento para NAT-Dst”<br />
en la página 7 -42).<br />
Dirección IP asignada (MIP): una directiva puede hacer referencia a una MIP como dirección de destino. La<br />
MIP utiliza una dirección que se encuentra en la misma subred que la interfaz de túnel (pero no en el mismo<br />
rango que el conjunto de DIP local utilizado para el tráfico VPN de salida). (Para obtener información sobre<br />
las MIP, consulte “Direcciones IP asignadas” en la página 7 -92).<br />
El tráfico VPN entre dos puntos con direcciones superpuestas requiere la traducción de direcciones en ambos<br />
sentidos. Como la dirección de origen del tráfico saliente no puede ser la misma que la dirección de destino del<br />
tráfico entrante (la dirección NAT-dst o MIP no puede estar en el conjunto de DIP), las direcciones de las que se<br />
incluyen referencias en las directivas de entrada y salida no pueden ser simétricas.<br />
21. Un espacio de direcciones superpuesto se produce cuando los rangos de direcciones IP de dos redes coinciden parcial o totalmente.<br />
22. El rango de direcciones en un conjunto de DIP debe estar en la misma subred que la interfaz de túnel, pero no es necesario que el conjunto incluya la<br />
dirección IP de la interfaz o cualquier otra dirección MIP o VIP que pueda encontrarse en dicha subred. Para las interfaces de zona de seguridad, es posible<br />
definir una dirección IP extendida y un conjunto de DIP auxiliar en una subred distinta de la de la dirección IP de la interfaz. Para obtener más información,<br />
consulte “Interfaz extendida y DIP” en la página 2 -283.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 203
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
Si desea que el dispositivo <strong>NetScreen</strong> realice una traducción de direcciones de origen y destino para el tráfico VPN<br />
bidireccional que atraviese el mismo túnel, dispone de las dos opciones siguientes:<br />
Puede definir una ID de proxy 23 para una configuración VPN basada en directivas. Si hace referencia de<br />
forma específica a un túnel VPN en una directiva, el dispositivo <strong>NetScreen</strong> deriva una ID de proxy a partir<br />
de los componentes de la directiva que hagan referencia a dicho túnel. El dispositivo <strong>NetScreen</strong> deriva la ID<br />
de proxy al crear la directiva por primera vez, y a partir de entonces, cada vez que el dispositivo se reinicia.<br />
Sin embargo, si define manualmente una ID de proxy para un túnel VPN al que se haga referencia en una<br />
directiva, el dispositivo <strong>NetScreen</strong> aplicará la ID de proxy definida por el usuario y no la ID de proxy<br />
derivada a partir de la directiva.<br />
Puede utilizar una configuración de túnel VPN basada en rutas, que debe tener una ID de proxy definida<br />
por el usuario. Con una configuración de túnel VPN basada en rutas, no se hace referencia de forma<br />
específica a un túnel VPN en una directiva. En su lugar, la directiva controla (permite o deniega) el acceso<br />
a un destino en particular. La ruta que conduce a dicho destino apunta a una interfaz de túnel que, a su vez,<br />
está asociada a un túnel VPN. Como el túnel VPN no está asociado directamente a ninguna directiva a<br />
partir de la que se pueda derivar una ID de proxy de la dirección de origen, la dirección de destino y el<br />
servicio, habrá que definir una ID de proxy de forma manual. (Recuerde que una configuración VPN basada<br />
en rutas también permite crear múltiples directivas que hagan uso de un único túnel VPN; es decir, una SA<br />
de fase 2 sencilla).<br />
Examine las direcciones de la siguiente ilustración en la que se ejemplifica un túnel VPN entre dos puntos con<br />
espacios de direcciones superpuestas:<br />
Espacio de<br />
direcciones<br />
internas<br />
10.1.1.0/24<br />
<strong>NetScreen</strong>-A Túnel VPN<br />
<strong>NetScreen</strong>-B<br />
tunnel.1<br />
10.10.1.1/24<br />
10.10.1.2 – 10.10.1.2 DIP<br />
10.10.1.5 (a 10.1.1.5) MIP<br />
Direcciones en directivas<br />
tunnel.2<br />
10.20.2.1/24<br />
MIP 10.20.2.5 (a 10.1.1.5)<br />
DIP 10.20.2.2 – 10.20.2.2<br />
Espacio de<br />
direcciones<br />
internas<br />
10.1.1.0/24<br />
23. Una ID de proxy es un tipo de acuerdo entre interlocutores IKE para permitir el tráfico a través de un túnel si el tráfico cumple una tupla especificada de<br />
dirección local, dirección remota y servicio.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 204
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
Si los dispositivos <strong>NetScreen</strong> de la ilustración anterior derivan las ID de proxy a partir de las directivas, como ocurre<br />
en las configuraciones VPN basadas en directivas, las directivas de entrada y salida dan como resultado las<br />
siguientes IDs de proxy:<br />
<strong>NetScreen</strong>-A <strong>NetScreen</strong>-B<br />
Local Remota Servicio Local Remota Servicio<br />
Salida 10.10.1.2/32 10.20.2.5/32 Any Entrada 10.20.2.5/32 10.10.1.2/32 Any<br />
Entrada 10.10.1.5/32 10.20.2.2/32 Any Salida 10.20.2.2/32 10.10.1.5/32 Any<br />
Como puede ver, existen dos IDs de proxy: una para el tráfico VPN entrante y otra para el saliente. Cuando el<br />
dispositivo <strong>NetScreen</strong> A envía tráfico por primera vez desde 10.10.1.2/32 hasta 10.20.2.5/32, los dos interlocutores<br />
realizan negociaciones IKE y generan asociaciones de seguridad (SAs) de fase 1 y fase 2. La SA de fase 2 da<br />
como resultado la ID de proxy de salida anterior para el dispositivo <strong>NetScreen</strong> A y la ID de proxy de entrada para el<br />
dispositivo <strong>NetScreen</strong> B.<br />
Si <strong>NetScreen</strong> B envía tráfico a <strong>NetScreen</strong> A, la consulta de directivas para el tráfico de 10.20.2.2/32 a 10.10.1.5/32<br />
indica que no hay ninguna SA de fase 2 activa para tal ID de proxy. Por lo tanto, los dos interlocutores utilizan la SA<br />
de fase 1 existente (asumiendo que su periodo de vigencia no haya caducado) para negociar una SA de fase 2<br />
distinta. Las IDs de proxy resultantes se indican en la tabla anterior como ID de proxy de entrada para <strong>NetScreen</strong> A<br />
e ID de proxy de salida para <strong>NetScreen</strong> B. Hay dos SAs de fase 2 (dos túneles VPN) porque las direcciones son<br />
asimétricas y requieren IDs de proxy distintas.<br />
Para crear un solo túnel para tráfico VPN bidireccional, puede definir las siguientes IDs de proxy con direcciones<br />
cuyo alcance incluya las direcciones de origen y destino traducidas en cada extremo del túnel:<br />
<strong>NetScreen</strong>-A <strong>NetScreen</strong>-B<br />
Local Remota Servicio Local Remota Servicio<br />
10.10.1.0/24 10.20.2.0/24 Any 10.20.2.0/24 10.10.1.0/24 Any<br />
o bien<br />
0.0.0.0/0 0.0.0.0/0 Any 0.0.0.0/0 0.0.0.0/0 Any<br />
Las IDs de proxy anteriores comprenden las direcciones que aparecen tanto en el tráfico VPN entrante como en el<br />
saliente que circule entre ambos puntos. La dirección 10.10.1.0/24 incluye el conjunto de DIP 10.10.1.2 – 10.10.1.2<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 205
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
y la dirección MIP 10.10.1.5. Asimismo, la dirección 10.20.2.0/24 incluye el conjunto de DIP 10.20.2.2 – 10.20.2.2 y<br />
la dirección MIP 10.20.2.5 24 . Las IDs de proxy anteriores son simétricas, es decir, la dirección local de <strong>NetScreen</strong> A<br />
es la dirección remota de <strong>NetScreen</strong> B y viceversa. Si <strong>NetScreen</strong> A envía tráfico a <strong>NetScreen</strong> B, la SA de fase 2 y la<br />
ID de proxy también se aplican al tráfico enviado de <strong>NetScreen</strong> B a <strong>NetScreen</strong> A. Por lo tanto, sólo se requiere una<br />
única SA de fase 2 (es decir, un único túnel VPN) para el tráfico bidireccional entre dos puntos.<br />
Para crear un túnel VPN para el tráfico bidireccional entre dos puntos con espacios de direcciones superpuestas<br />
cuando las direcciones para NAT-src y NAT-dst configuradas en el mismo dispositivo se encuentran en subredes<br />
distintas, la ID de proxy para el túnel debe ser (IP local) 0.0.0.0/0 – (IP remota) 0.0.0.0/0 – tipo de servicio . Si desea<br />
utilizar direcciones más restrictivas en la ID de proxy, las direcciones para NAT-src y NAT-dst deberán encontrarse<br />
en la misma subred.<br />
Ejemplo: Interfaz de túnel con NAT-Src y NAT-Dst<br />
En este ejemplo vamos a configurar un túnel VPN entre el dispositivo “<strong>NetScreen</strong> A” situado en la sede central y el<br />
dispositivo “<strong>NetScreen</strong> B” situado en la sucursal de la empresa. El espacio de direcciones para las entidades finales<br />
VPN se superpone; ambas utilizan direcciones en la subred 10.1.1.0/24. Para superar este conflicto, utilizaremos<br />
NAT-src para traducir la dirección de origen del tráfico VPN saliente y NAT-dst para traducir la dirección de destino<br />
del tráfico VPN entrante. Las directivas permiten que todas las direcciones de la LAN corporativa accedan a un<br />
servidor FTP de la sucursal, y que todas las direcciones de la sucursal accedan a un servidor FTP de la sede<br />
central.<br />
Nota: Para obtener más información sobre la traducción de direcciones de red de origen y destino (NAT-src y<br />
NAT-dst), consulte el <strong>Volumen</strong> 7, “Traducción de direcciones”.<br />
Las configuraciones de ambos extremos del túnel utilizan los siguientes parámetros: AutoKey IKE, clave<br />
previamente compartida (“netscreen1”) y el nivel de seguridad predefinido como “Compatible” para propuestas de<br />
fase 1 y fase 2. (Para ver los detalles sobre estas propuestas, consulte “Negociación de túnel” en la página 11).<br />
La interfaz de salida de <strong>NetScreen</strong>-A en la sede central es ethernet3, que tiene la dirección IP 1.1.1.1/24 y está<br />
asociada a la zona Untrust. <strong>NetScreen</strong>-B, en la sucursal, utiliza esta dirección como puerta de enlace IKE remota.<br />
24. La dirección 0.0.0.0/0 incluye todas las direcciones IP y, por tanto, las direcciones del conjunto de DIP y MIP.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 206
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
La interfaz de salida de <strong>NetScreen</strong>-B en la sucursal es ethernet3, que tiene la dirección IP 2.2.2.2/24 y está<br />
asociada a la zona Untrust. <strong>NetScreen</strong>-A, en la sede central, utiliza esta dirección como puerta de enlace IKE<br />
remota.<br />
La interfaz de zona Trust de ambos dispositivos <strong>NetScreen</strong> es ethernet1 y tiene la dirección IP 10.1.1.1/24. Todas<br />
las zonas de ambos dispositivos <strong>NetScreen</strong> se encuentran en el dominio de enrutamiento trust-vr.<br />
Zona<br />
Trust<br />
Topología de las zonas<br />
configuradas en <strong>NetScreen</strong>-A<br />
en la sede central<br />
Servidor A<br />
10.1.1.5<br />
Red A<br />
10.1.1.0/24<br />
Red A<br />
Zona<br />
Untrust<br />
Tunnel.1 10.10.1.1/24 Tunnel.1 10.20.1.1/24<br />
DIP 5 10.10.1.2 – 10.10.1.2<br />
NAT-Dst 10.10.1.5 –> 10.1.1.5<br />
Topología de las zonas<br />
configuradas en <strong>NetScreen</strong> B<br />
en la sucursal<br />
A B A<br />
B<br />
DIP 6 10.20.1.2 – 10.20.1.2<br />
NAT-Dst 10.20.1.5 –> 10.1.1.5<br />
Red B<br />
10.1.1.0/24<br />
Los usuarios de la red A pueden acceder al servidor B. Los usuarios de la red B<br />
pueden acceder al servidor A.<br />
Todo el tráfico circula a través del túnel VPN entre los dos puntos.<br />
<strong>NetScreen</strong>-A <strong>NetScreen</strong>-B<br />
Túnel VPN<br />
Servidor A “vpn1”<br />
Red B<br />
Servidor B<br />
10.1.1.5<br />
Servidor B<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 207<br />
Zona<br />
Untrust<br />
Puerta de enlace<br />
Puerta de enlace<br />
2.2.2.250<br />
2.2.2.250<br />
Internet<br />
<strong>NetScreen</strong>-A <strong>NetScreen</strong>-B<br />
Zona<br />
Trust
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
WebUI (<strong>NetScreen</strong>-A)<br />
1. Interfaces<br />
2. DIP<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Fixed IP: (seleccione)<br />
IP Address / Netmask: 10.10.1.1/24<br />
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los siguientes datos y haga clic en OK :<br />
ID: 5<br />
IP Address Range: (seleccione), 10.10.1.2 ~ 10.10.1.2<br />
Port Translation: (seleccione)<br />
In the same subnet as the interface IP or its secondary IPs: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 208
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
3. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: corp<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: virtualA<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.10.1.5/32<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: branch1<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.20.1.2/32<br />
Zone: Untrust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: serverB<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.20.1.5/32<br />
Zone: Untrust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 209
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
4. VPN<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: vpn1<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: branch1<br />
Type: Static IP: (seleccione), Address/Hostname: 2.2.2.2<br />
Preshared Key: netscreen1<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3 25<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface, tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 10.10.1.0/24<br />
Remote IP / Netmask: 10.20.1.0/24<br />
Service: ANY<br />
25. La interfaz de salida no necesita estar en la misma zona a la que está asociada la interfaz del túnel, aunque en este caso se encuentran en la misma zona.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 210
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
5. Rutas<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.20.1.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.20.1.0/24<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
6. Directivas<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), corp<br />
Destination Address:<br />
Address Book Entry: (seleccione), serverB<br />
Service: FTP<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 211
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de directiva:<br />
NAT:<br />
Source Translation: (seleccione)<br />
DIP On: 5 (10.10.1.2–10.10.1.2)/X-late<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), branch1<br />
Destination Address:<br />
Address Book Entry: (seleccione), virtualA<br />
Service: FTP<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de directiva:<br />
NAT:<br />
Destination Translation: (seleccione)<br />
Translate to IP: (seleccione), 10.1.1.5<br />
Map to Port: (anule la selección)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 212
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
WebUI (<strong>NetScreen</strong>-B)<br />
1. Interfaces<br />
2. DIP<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.2.2.2/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Fixed IP: (seleccione)<br />
IP Address / Netmask: 10.20.1.1/24<br />
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los siguientes datos y haga clic en OK :<br />
ID: 6<br />
IP Address Range: (seleccione), 10.20.1.2 ~ 10.20.1.2<br />
Port Translation: (seleccione)<br />
In the same subnet as the interface IP or its secondary IPs: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 213
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
3. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: branch1<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: virtualB<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.20.1.5/32<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: corp<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.10.1.2/32<br />
Zone: Untrust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: serverA<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.10.1.5/32<br />
Zone: Untrust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 214
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
4. VPN<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: vpn1<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: corp<br />
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1<br />
Preshared Key: netscreen1<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3 26<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface, tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 10.20.1.0/24<br />
Remote IP / Netmask: 10.10.1.0/24<br />
Service: ANY<br />
26. La interfaz de salida no necesita estar en la misma zona a la que está asociada la interfaz del túnel, aunque en este caso se encuentran en la misma zona.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 215
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
5. Rutas<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.250<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.10.1.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.10.1.0/24<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
6. Directivas<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), corp<br />
Destination Address:<br />
Address Book Entry: (seleccione), serverA<br />
Service: FTP<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 216
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de directiva:<br />
NAT:<br />
Source Translation: (seleccione)<br />
DIP on: 6 (10.20.1.2–10.20.1.2)/X-late<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), corp<br />
Destination Address:<br />
Address Book Entry: (seleccione), virtualB<br />
Service: FTP<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de directiva:<br />
NAT:<br />
Destination Translation: (seleccione)<br />
Translate to IP: 10.1.1.5<br />
Map to Port: (anule la selección)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 217
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
CLI (<strong>NetScreen</strong>-A)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip 10.10.1.1/24<br />
2. DIP<br />
set interface tunnel.1 dip 5 10.10.1.2 10.10.1.2<br />
3. Direcciones<br />
set address trust corp 10.1.1.0/24<br />
set address trust virtualA 10.10.1.5/32<br />
set address untrust branch1 10.20.1.2/32<br />
set address untrust serverB 10.20.1.5/32<br />
4. VPN<br />
set ike gateway branch1 address 2.2.2.2 outgoing-interface ethernet3 27 preshare<br />
netscreen1 sec-level compatible<br />
set vpn vpn1 gateway branch1 sec-level compatible<br />
set vpn vpn1 bind interface tunnel.1<br />
set vpn vpn1 proxy-id local-ip 10.10.1.0/24 remote-ip 10.20.1.0/24 any<br />
27. La interfaz de salida no necesita estar en la misma zona a la que está asociada la interfaz del túnel, aunque en este caso se encuentran en la misma zona.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 218
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
5. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
set vrouter trust-vr route 10.20.1.0/24 interface tunnel.1<br />
set vrouter trust-vr route 10.20.1.0/24 interface null metric 10<br />
6. Directivas<br />
set policy top from trust to untrust corp serverB ftp nat src dip-id 5 permit<br />
set policy top from untrust to trust branch1 virtualA ftp nat dst ip 10.1.1.5<br />
permit<br />
save<br />
CLI (<strong>NetScreen</strong>-B)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.2/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip 10.20.1.1/24<br />
2. DIP<br />
set interface tunnel.1 dip 6 10.20.1.2 10.20.1.2<br />
3. Direcciones<br />
set address trust branch1 10.1.1.0/24<br />
set address trust virtualB 10.20.1.5/32<br />
set address untrust corp 10.10.1.2/32<br />
set address untrust serverA 10.10.1.5/32<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 219
Capítulo 4 VPNs punto a punto Sitios VPN con direcciones superpuestas<br />
4. VPN<br />
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 28 preshare<br />
netscreen1 sec-level compatible<br />
set vpn vpn1 gateway corp sec-level compatible<br />
set vpn vpn1 bind interface tunnel.1<br />
set vpn vpn1 proxy-id local-ip 10.20.1.0/24 remote-ip 10.10.1.0/24 any<br />
5. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250<br />
set vrouter trust-vr route 10.10.1.0/24 interface tunnel.1<br />
set vrouter trust-vr route 10.10.1.0/24 interface null metric 10<br />
6. Directivas<br />
set policy top from trust to untrust branch1 serverA ftp nat src dip-id 6<br />
permit<br />
set policy top from untrust to trust corp virtualB ftp nat dst ip 10.1.1.5<br />
permit<br />
save<br />
28. La interfaz de salida no necesita estar en la misma zona a la que está asociada la interfaz del túnel, aunque en este caso se encuentran en la misma zona.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 220
Capítulo 4 VPNs punto a punto VPN en modo transparente<br />
VPN EN MODO TRANSPARENTE<br />
Si las interfaces de los dispositivos <strong>NetScreen</strong> se encuentran en modo transparente (es decir, si no tienen<br />
direcciones IP y operan en la capa 2 del modelo OSI 29 ), puede utilizar la dirección IP VLAN1 como punto terminal de<br />
la VPN. En lugar de una interfaz de salida, tal como se utiliza cuando las interfaces se encuentran en modo NAT o<br />
de rutas (es decir, cuando tienen direcciones IP y operan en la capa 3), un túnel VPN hace referencia a una zona de<br />
salida. De forma predeterminada, un túnel utiliza la zona V1-Untrust como su zona de salida. Si tiene múltiples<br />
interfaces asociadas a la misma zona de salida, el túnel VPN puede utilizar cualquiera de ellas.<br />
Nota: En el momento de esta publicación, un dispositivo <strong>NetScreen</strong> cuyas interfaces se encuentren en modo<br />
transparente sólo admite VPN basadas en directivas. Para obtener más información sobre el modo transparente,<br />
consulte “Modo transparente” en la página 2 -108.<br />
29. El modelo OSI es un modelo estándar en el sector de redes de una arquitectura de protocolos de red. El modelo OSI está compuesto por siete capas; la<br />
capa 2 es la capa de enlace de datos, y la capa 3 es la capa de red.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 221
Capítulo 4 VPNs punto a punto VPN en modo transparente<br />
Ejemplo: VPN AutoKey IKE basada en directivas en modo transparente<br />
En este ejemplo, vamos a configurar un túnel VPN AutoKey IKE basado en directivas entre dos dispositivos<br />
<strong>NetScreen</strong> cuyas interfaces operan en modo transparente.<br />
Nota: No es necesario que las interfaces de ambos dispositivos <strong>NetScreen</strong> se encuentren en modo transparente.<br />
Las interfaces del dispositivo situado a un extremo del túnel pueden encontrarse en modo transparente, y las del<br />
otro dispositivo pueden encontrarse en modo NAT o de rutas.<br />
Los elementos clave para la configuración de los dispositivos <strong>NetScreen</strong> situados a ambos extremos del túnel son<br />
éstos:<br />
Elementos de<br />
configuración<br />
Zona V1-Trust Interface: ethernet1, 0.0.0.0/0<br />
(habilite la administración para el<br />
administrador local)<br />
<strong>NetScreen</strong>-A <strong>NetScreen</strong>-B<br />
Interface: ethernet1, 0.0.0.0/0<br />
(habilite la administración para el<br />
administrador local)<br />
Zona V1-Untrust Interface: ethernet3, 0.0.0.0/0 Interface: ethernet3, 0.0.0.0/0<br />
Interfaz VLAN1 IP Address: 1.1.1.1/24<br />
Manage IP: 1.1.1.2 *<br />
Direcciones local_lan: 1.1.1.0/24 in V1-Trust<br />
peer_lan: 2.2.2.0/24 en V1-Untrust<br />
Puerta de enlace IKE gw1, 2.2.2.2, preshared key h1p8A24nG5,<br />
security: compatible<br />
IP Address: 2.2.2.2/24<br />
Manage IP: 2.2.2.3<br />
local_lan: 2.2.2.0/24 in V1-Trust<br />
peer_lan: 1.1.1.0/24 in V1-Untrust<br />
gw1, 1.1.1.1, preshared key h1p8A24nG5,<br />
security: compatible<br />
Túnel VPN security: compatible security: compatible<br />
Directivas local_lan -> peer_lan, any service, vpn1<br />
peer_lan -> local_lan, any service, vpn1<br />
local_lan -> peer_lan, any service, vpn1<br />
peer_lan -> local_lan, any service, vpn1<br />
Enrutador externo IP Address: 1.1.1.250 IP Address: 2.2.2.250<br />
Ruta 0.0.0.0/0, use VLAN1 interface<br />
to gateway 1.1.1.250<br />
0.0.0.0/0, use VLAN1 interface<br />
to gateway 2.2.2.250<br />
*<br />
Puede separar el tráfico VPN del administrativo utilizando la dirección IP de administración para recibir el tráfico administrativo y la dirección<br />
VLAN1 para terminar el tráfico VPN.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 222
Capítulo 4 VPNs punto a punto VPN en modo transparente<br />
La configuración de un túnel AutoKey IKE basado en directivas para un dispositivo <strong>NetScreen</strong> cuyas interfaces se<br />
encuentren en modo transparente implica los siguientes pasos:<br />
1. Eliminar las direcciones IP de las interfaces físicas y asociarlas a las zonas de seguridad de capa 2.<br />
2. Asignar una dirección IP y una dirección IP de administración a la interfaz VLAN1.<br />
3. Introducir las direcciones IP de los puntos finales local y remoto en las libretas de direcciones para las<br />
zonas V1-Trust y V1-Untrust.<br />
4. Configurar el túnel VPN y designar su zona de salida como zona V1-Untrust.<br />
5. Introducir una ruta predeterminada que conduzca al enrutador externo en trust-vr.<br />
6. Definir directivas para la circulación del tráfico VPN entre ambos sitios.<br />
WebUI (<strong>NetScreen</strong>-A)<br />
1. Interfaces<br />
Nota: El desplazamiento de la dirección IP VLAN1 a una subred distinta hace que el dispositivo <strong>NetScreen</strong><br />
elimine todas las rutas relacionadas con la interfaz VLAN1 anterior. A la hora de configurar un dispositivo<br />
<strong>NetScreen</strong> a través de la WebUI, la estación de trabajo debe acceder a la primera dirección VLAN1 y<br />
encontrarse en la misma subred que la dirección nueva. Después de cambiar la dirección VLAN1, deberá<br />
modificar la dirección IP de su estación de trabajo para que se encuentre en la misma subred que la nueva<br />
dirección VLAN1. Es posible que también tenga que reubicar su estación de trabajo en una subred<br />
físicamente adyacente al dispositivo <strong>NetScreen</strong>.<br />
Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguientes datos y haga clic en OK :<br />
IP Address/Netmask: 1.1.1.1/24<br />
Manage IP: 1.1.1.2<br />
Management Services: WebUI, Telnet, Ping 30<br />
30. Se deben habilitar las opciones de administración para WebUI, Telnet y Ping tanto en la zona V1-Trust como en la interfaz VLAN1 para que un administrador<br />
local de la zona V1-Trust pueda acceder a la dirección IP de administración de VLAN1. Si la administración a través de la WebUI aún no está habilitada en<br />
las interfaces de zona V1-Trust y VLAN1, no será posible acceder al dispositivo <strong>NetScreen</strong> a través de la WebUI para realizar estos ajustes. En su lugar,<br />
deberá habilitar la administración mediante WebUI en estas interfaces a través de una conexión de consola.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 223
Capítulo 4 VPNs punto a punto VPN en modo transparente<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Management Services: WebUI, Telnet<br />
Other Services: Ping<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Zone Name: V1-Trust<br />
IP Address/Netmask: 0.0.0.0/0<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
2. Direcciones<br />
Zone Name: V1-Untrust<br />
IP Address/Netmask: 0.0.0.0/0<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: local_lan<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 1.1.1.0/24<br />
Zone: V1-Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: peer_lan<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 2.2.2.0/24<br />
Zone: V1-Untrust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 224
Capítulo 4 VPNs punto a punto VPN en modo transparente<br />
3. VPN<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: gw1<br />
Security Level: Compatible<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2<br />
Preshared Key: h1p8A24nG5<br />
Outgoing Zone: V1-Untrust<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
4. Ruta<br />
VPN Name: vpn1<br />
Security Level: Compatible<br />
Remote Gateway:<br />
Predefined: (seleccione), gw1<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: VLAN1 (VLAN)<br />
Gateway IP Address: 1.1.1.250<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 225
Capítulo 4 VPNs punto a punto VPN en modo transparente<br />
5. Directivas<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), local_lan<br />
Destination Address:<br />
Address Book Entry: (seleccione), peer_lan<br />
Service: ANY<br />
Action: Tunnel<br />
Tunnel VPN: vpn1<br />
Modify matching bidirectional VPN policy: (seleccione)<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 226
Capítulo 4 VPNs punto a punto VPN en modo transparente<br />
WebUI (<strong>NetScreen</strong>-B)<br />
1. Interfaces<br />
Nota: El desplazamiento de la dirección IP VLAN1 a una subred distinta hace que el dispositivo <strong>NetScreen</strong><br />
elimine todas las rutas relacionadas con la interfaz VLAN1 anterior. A la hora de configurar un dispositivo<br />
<strong>NetScreen</strong> a través de la WebUI, la estación de trabajo debe acceder a la primera dirección VLAN1 y<br />
encontrarse en la misma subred que la dirección nueva. Después de cambiar la dirección VLAN1, deberá<br />
modificar la dirección IP de su estación de trabajo para que se encuentre en la misma subred que la nueva<br />
dirección VLAN1. Es posible que también tenga que reubicar su estación de trabajo en una subred<br />
físicamente adyacente al dispositivo <strong>NetScreen</strong>.<br />
Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguientes datos y haga clic en OK :<br />
IP Address/Netmask: 2.2.2.2/24<br />
Manage IP: 2.2.2.3<br />
Management Services: WebUI 31 , Telnet, Ping<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Management Services: WebUI, Telnet<br />
Other Services: Ping<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Zone Name: V1-Trust<br />
IP Address/Netmask: 0.0.0.0/0<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: V1-Untrust<br />
IP Address/Netmask: 0.0.0.0/0<br />
31. Si la administración a través de la WebUI aún no está habilitada en las interfaces de zona V1-Trust y VLAN1, no será posible acceder al dispositivo<br />
<strong>NetScreen</strong> a través de la WebUI para realizar estos ajustes. En su lugar, deberá habilitar la administración mediante WebUI en estas interfaces a través de<br />
una conexión de consola.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 227
Capítulo 4 VPNs punto a punto VPN en modo transparente<br />
2. Direcciones<br />
3. VPN<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: local_lan<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 2.2.2.0/24<br />
Zone: V1-Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: peer_lan<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 1.1.1.0/24<br />
Zone: V1-Untrust<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: gw1<br />
Security Level: Compatible<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1<br />
Preshared Key: h1p8A24nG5<br />
Outgoing Zone: V1-Untrust<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: vpn1<br />
Security Level: Compatible<br />
Remote Gateway:<br />
Predefined: (seleccione), gw1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 228
Capítulo 4 VPNs punto a punto VPN en modo transparente<br />
4. Ruta<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
5. Directivas<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: VLAN1 (VLAN)<br />
Gateway IP Address: 2.2.2.250<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), local_lan<br />
Destination Address:<br />
Address Book Entry: (seleccione), peer_lan<br />
Service: ANY<br />
Action: Tunnel<br />
Tunnel VPN: vpn1<br />
Modify matching bidirectional VPN policy: (seleccione)<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 229
Capítulo 4 VPNs punto a punto VPN en modo transparente<br />
CLI (<strong>NetScreen</strong>-A)<br />
1. Interfaces y zonas<br />
unset interface ethernet1 ip<br />
unset interface ethernet1 zone<br />
set interface ethernet1 zone v1-trust<br />
set zone v1-trust manage web<br />
set zone v1-trust manage telnet<br />
set zone v1-trust manage ping 32<br />
unset interface ethernet3 ip<br />
unset interface ethernet3 zone<br />
set interface ethernet3 zone v1-untrust<br />
set interface vlan1 ip 1.1.1.1/24<br />
set interface vlan1 manage-ip 1.1.1.2<br />
set interface vlan1 manage web<br />
set interface vlan1 manage telnet<br />
set interface vlan1 manage ping<br />
2. Direcciones<br />
set address v1-trust local_lan 1.1.1.0/24<br />
set address v1-untrust peer_lan 2.2.2.0/24<br />
3. VPN<br />
set ike gateway gw1 address 2.2.2.2 main outgoing-interface v1-untrust preshare<br />
h1p8A24nG5 sec-level compatible<br />
set vpn vpn1 gateway gw1 sec-level compatible<br />
32. Se deben habilitar las opciones de administración para WebUI, Telnet y Ping tanto en la zona V1-Trust como en la interfaz VLAN1 para que un administrador<br />
local de la zona V1-Trust pueda acceder a la dirección IP de administración de VLAN1.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 230
Capítulo 4 VPNs punto a punto VPN en modo transparente<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 1.1.1.250<br />
5. Directivas<br />
set policy top from v1-trust to v1-untrust local_lan peer_lan any tunnel vpn<br />
vpn1<br />
set policy top from v1-untrust to v1-trust peer_lan local_lan any tunnel vpn<br />
vpn1<br />
save<br />
CLI (<strong>NetScreen</strong>-B)<br />
1. Interfaces y zonas<br />
unset interface ethernet1 ip<br />
unset interface ethernet1 zone<br />
set interface ethernet1 zone v1-trust<br />
set zone v1-trust manage<br />
unset interface ethernet3 ip<br />
unset interface ethernet3 zone<br />
set interface ethernet3 zone v1-untrust<br />
set interface vlan1 ip 2.2.2.2/24<br />
set interface vlan1 manage-ip 2.2.2.3<br />
set interface vlan1 manage<br />
2. Direcciones<br />
set address v1-trust local_lan 2.2.2.0/24<br />
set address v1-untrust peer_lan 1.1.1.0/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 231
Capítulo 4 VPNs punto a punto VPN en modo transparente<br />
3. VPN<br />
set ike gateway gw1 address 1.1.1.1 main outgoing-interface v1-untrust preshare<br />
h1p8A24nG5 sec-level compatible<br />
set vpn vpn1 gateway gw1 sec-level compatible<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 2.2.2.250<br />
5. Directivas<br />
set policy top from v1-trust to v1-untrust local_lan peer_lan any tunnel vpn<br />
vpn1<br />
set policy top from v1-untrust to v1-trust peer_lan local_lan any tunnel vpn<br />
vpn1<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 232
Capítulo 5<br />
VPNs de acceso telefónico<br />
Los dispositivos <strong>NetScreen</strong> admiten conexiones a VPNs de acceso telefónico. Puede configurar un dispositivo<br />
<strong>NetScreen</strong> con una dirección IP estática para asegurar un túnel IPSec a un cliente <strong>NetScreen</strong>-Remote o a otro<br />
dispositivo <strong>NetScreen</strong> con una dirección IP dinámica.<br />
5<br />
En este capítulo se ofrecen <strong>ejemplos</strong> de los siguientes <strong>conceptos</strong> relacionados con las VPN de acceso telefónico:<br />
“VPNs de acceso telefónico” en la página 234<br />
– “Ejemplo: VPN de acceso telefónico basada en directivas, AutoKey IKE” en la página 235<br />
– “Ejemplo: VPN de acceso telefónico basada en rutas, interlocutor dinámico” en la página 244<br />
– “Ejemplo: VPN de acceso telefónico basada en directivas, interlocutor dinámico” en la página 256<br />
– “Ejemplo: Directivas bidireccionales para VPNs de acceso telefónico” en la página 267<br />
“Identificación IKE de grupo” en la página 275<br />
– “Ejemplo: Identificación IKE de grupo (certificados)” en la página 281<br />
– “Ejemplo: ID IKE de grupo (claves previamente compartidas)” en la página 290<br />
“Identificación IKE compartida” en la página 297<br />
– “Ejemplo: ID IKE compartida (claves previamente compartidas)” en la página 298<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 233
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
VPNS DE ACCESO TELEFÓNICO<br />
Es posible configurar túneles para usuarios de VPN de acceso telefónico de forma individual o reuniendo varios<br />
usuarios en un grupo VPN de acceso telefónico, en cuyo caso sólo tendrá que configurar un túnel. También es<br />
posible crear un usuario de identificación IKE de grupo, lo que permite definir un usuario cuya identificación IKE se<br />
utilizará como parte de todas las IDs IKE de los usuarios IKE de acceso telefónico. Esto permite ahorrar bastante<br />
tiempo cuando hay grandes grupos de usuarios de acceso telefónico, puesto que no tendrá que configurar a cada<br />
usuario IKE individualmente.<br />
Nota: Para obtener más información sobre la creación de grupos de usuarios IKE, consulte “Usuarios y grupos de<br />
usuarios IKE” en la página 8 -78. Para obtener más información sobre la función de identificación IKE de grupo,<br />
consulte “Identificación IKE de grupo” en la página 275.<br />
Si el cliente de acceso telefónico admite una dirección IP interna virtual, como hace el dispositivo<br />
<strong>NetScreen</strong>-Remote, también puede crear un túnel AutoKey IKE de VPN de acceso telefónico para interlocutor<br />
dinámico (con clave o certificados previamente compartidos). Puede configurar una puerta de enlace segura<br />
<strong>NetScreen</strong> con una dirección IP estática para asegurar un túnel IPSec a un cliente <strong>NetScreen</strong>-Remote o a otro<br />
dispositivo <strong>NetScreen</strong> con una dirección IP dinámica.<br />
Nota: Para obtener más información sobre las opciones de VPN disponibles, consulte el Capítulo 1, “IPSec”. Si<br />
desea obtener ayuda para elegir entre las distintas opciones, consulte el Capítulo 3, “Directivas VPN”.<br />
Puede configurar túneles VPN basados en directivas para usuarios de acceso telefónico a VPNs. En el caso de un<br />
cliente dinámico de acceso telefónico 1 , puede configurar una VPN basada en directivas o basada en rutas. Dado<br />
que el cliente dinámico de acceso telefónico puede admitir una dirección IP interna virtual, al igual que el dispositivo<br />
<strong>NetScreen</strong>, puede configurar una entrada de la tabla de enrutamiento a esa dirección interna virtual a través de una<br />
interfaz de túnel designada. De esta forma podrá configurar un túnel VPN basado en rutas entre el dispositivo<br />
<strong>NetScreen</strong> y el cliente.<br />
Nota: Un interlocutor dinámico de acceso telefónico es prácticamente idéntico a un interlocutor dinámico punto a<br />
punto, excepto por el hecho de que la dirección IP interna del cliente de acceso telefónico es una dirección virtual.<br />
1. Un cliente dinámico de acceso telefónico es un cliente de acceso telefónico que admite una dirección IP interna virtual.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 234
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Ejemplo: VPN de acceso telefónico basada en directivas, AutoKey IKE<br />
En este ejemplo, un túnel AutoKey IKE que utiliza una clave previamente compartida o un par de certificados (uno<br />
por cada extremo del túnel 2 ) proporciona el canal de comunicación segura entre el usuario IKE Wendy y el servidor<br />
UNIX. El túnel, nuevamente, utiliza ESP con encriptación 3DES y autenticación SHA-1.<br />
Para configurar el túnel AutoKey IKE utilizando AutoKey IKE con una clave previamente compartida o con<br />
certificados, es necesario realizar la siguiente configuración en la empresa:<br />
1. Configurar interfaces para las zonas Trust y Untrust, que se encuentran en el dominio de enrutamiento<br />
trust-vr.<br />
2. Introducir la dirección del servidor UNIX en la libreta de direcciones de la zona Trust.<br />
3. Definir a Wendy como usuario IKE.<br />
4. Configurar la puerta de enlace remota y la VPN AutoKey IKE.<br />
5. Configurar una ruta predeterminada.<br />
6. Crear una directiva de la zona Untrust a la zona Trust que permita que el usuario de acceso telefónico<br />
acceda a UNIX.<br />
Usuario remoto: Wendy<br />
<strong>NetScreen</strong>-Remote<br />
Internet<br />
Túnel VPN<br />
Zona<br />
Untrust<br />
Interfaz de salida<br />
Zona Untrust<br />
ethernet3, 1.1.1.1/24<br />
Puerta de enlace<br />
1.1.1.250<br />
Oficina corporativa<br />
Zona Trust<br />
ethernet1, 10.1.1.1/24<br />
2. La clave previamente compartida es h1p8A24nG5. Se parte de la base de que ambos participantes ya disponen de certificados. Para obtener más<br />
información sobre los certificados, consulte “Certificados y CRLs” en la página 29.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 235<br />
LAN<br />
Zona<br />
Trust<br />
Servidor<br />
UNIX<br />
10.1.1.5
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
La clave previamente compartida es h1p8A24nG5. En este ejemplo se asume que ambos participantes ya tienen<br />
certificados RSA emitidos por Verisign, y que el certificado local en <strong>NetScreen</strong>-Remote contiene el U-FQDN<br />
wparker@email.com. (Para más información sobre cómo obtener y cargar certificados, consulte “Certificados y<br />
CRLs” en la página 29). Para los niveles de seguridad de las fases 1 y 2, debe especificar la propuesta de fase 1<br />
(ya sea pre-g2-3des-sha para el método de clave previamente compartida o rsa-g2-3des-sha para certificados) y<br />
seleccionar el conjunto de propuestas predefinido “Compatible” para la fase 2.<br />
WebUI<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
2. Dirección<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: UNIX<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.5/32<br />
Zone: Trust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 236
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
3. Usuario<br />
4. VPN<br />
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
User Name: Wendy<br />
Status: Enable (seleccione)<br />
IKE User: (seleccione)<br />
Simple Identity: (seleccione)<br />
IKE Identity: wparker@email.com<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Clave previamente compartida<br />
Gateway Name: Wendy_NSR<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Dialup User: (seleccione), User: Wendy<br />
Preshared Key: h1p8A24nG5<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 237
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
(o bien)<br />
Certificados<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
Preferred Certificate (optional):<br />
Peer CA: Verisign<br />
Peer Type: X509-SIG<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: Wendy_UNIX<br />
Security Level: Compatible<br />
Remote Gateway:<br />
Predefined: (seleccione), Wendy_NSR<br />
5. Ruta<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 238
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
6. Directiva<br />
CLI<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
1. Interfaces<br />
Source Address:<br />
Address Book Entry: (seleccione), Dial-Up VPN<br />
Destination Address:<br />
Address Book Entry: (seleccione), UNIX<br />
Service: ANY<br />
Action: Tunnel<br />
Tunnel VPN: Wendy_UNIX<br />
Modify matching bidirectional VPN policy: (anule la selección)<br />
Position at Top: (seleccione)<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
2. Dirección<br />
set address trust unix 10.1.1.5/32<br />
3. Usuario<br />
set user wendy ike-id u-fqdn wparker@email.com<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 239
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
4. VPN<br />
Clave previamente compartida<br />
set ike gateway wendy_nsr dialup wendy aggressive outgoing-interface ethernet3<br />
preshare h1p8A24nG5 proposal pre-g2-3des-sha<br />
set vpn wendy_unix gateway wendy_nsr sec-level compatible<br />
(o bien)<br />
Certificados<br />
set ike gateway wendy_nsr dialup wendy aggressive outgoing-interface ethernet3<br />
proposal rsa-g2-3des-sha<br />
set ike gateway wendy_nsr cert peer-ca 1 3<br />
set ike gateway wendy_nsr cert peer-cert-type x509-sig<br />
set vpn wendy_unix gateway wendy_nsr sec-level compatible<br />
5. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
6. Directiva<br />
set policy top from untrust to trust “Dial-Up VPN” unix any tunnel vpn<br />
wendy_unix<br />
save<br />
3. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get pki x509 list ca-cert .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 240
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Editor de directivas de seguridad de <strong>NetScreen</strong>-Remote<br />
1. Haga clic en Options > Secure > Specified Connections .<br />
2. Haga clic en Add a new connection y escriba UNIX junto al icono de nueva conexión que aparecerá en<br />
pantalla.<br />
3. Configure las opciones de conexión:<br />
Connection Security: Secure<br />
Remote Party Identity and Addressing:<br />
ID Type: IP Address, 10.1.1.5<br />
Protocol: All<br />
Connect using Secure Gateway Tunnel: (seleccione)<br />
ID Type: IP Address, 1.1.1.1<br />
4. Haga clic en el signo MÁS situado a la izquierda del icono de UNIX para ampliar la directiva de la conexión.<br />
5. Haga clic en My Identity: Siga uno de estos dos pasos:<br />
Haga clic en Pre-shared Key > Enter Key : Escriba h1p8A24nG5 y haga clic en OK .<br />
ID Type: (seleccione E-mail Address ) y escriba wparker@email.com .<br />
(o bien)<br />
Seleccione un certificado en la lista desplegable Select Certificate.<br />
ID Type: (seleccione E-mail Address ) 4<br />
6. Haga clic en el icono Security Policy , seleccione Aggressive Mode y desactive Enable Perfect Forward<br />
Secrecy (PFS) .<br />
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y, a continuación, en el<br />
símbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exchange (Phase 2) para ampliar<br />
más aún la directiva.<br />
4. La dirección de correo electrónico del certificado aparecerá automáticamente en el campo del identificador.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 241
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione el siguiente método y algoritmos de<br />
autenticación:<br />
Authentication Method: Pre-Shared Key<br />
(o bien)<br />
Authentication Method: RSA Signatures<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Key Group: Diffie-Hellman Group 2<br />
9. Haga clic en Key Exchange (Phase 2) > Proposal 1: Seleccione los siguientes protocolos IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Tunnel<br />
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: MD5<br />
Encapsulation: Tunnel<br />
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Tunnel<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 242
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
13. Haga clic en File > Save Changes .<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: MD5<br />
Encapsulation: Tunnel<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 243
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Ejemplo: VPN de acceso telefónico basada en rutas, interlocutor dinámico<br />
En este ejemplo, un túnel VPN conecta de forma segura al usuario situado tras el dispositivo <strong>NetScreen</strong>-Remote a<br />
la interfaz de la zona Untrust del dispositivo <strong>NetScreen</strong> que protege el servidor de correo en la zona DMZ. La<br />
interfaz de la zona Untrust tiene una dirección IP estática. El cliente <strong>NetScreen</strong>-Remote tiene una dirección IP<br />
externa asignada dinámicamente y una dirección IP interna estática (virtual). El administrador del dispositivo<br />
<strong>NetScreen</strong> debe conocer la dirección IP interna del interlocutor por dos motivos:<br />
Puede utilizarla en directivas.<br />
Puede crear una ruta asociando la dirección con una interfaz de túnel unida a un túnel VPN apropiado.<br />
Cuando el cliente <strong>NetScreen</strong>-Remote establece el túnel, el tráfico a través de él puede originarse desde el otro<br />
extremo. Todas las zonas del dispositivo <strong>NetScreen</strong> se encuentran en el dominio de enrutamiento Trust-vr.<br />
Petición<br />
SMTP<br />
Usuario remoto: Phil<br />
<strong>NetScreen</strong>-Remote<br />
Dirección IP interna<br />
10.10.10.1<br />
Zona Untrust<br />
Internet<br />
Túnel VPN<br />
Dirección IP externa<br />
dinámica<br />
Puerta de<br />
enlace<br />
1.1.1.250<br />
Interfaz de salida<br />
Oficina corporativa<br />
ethernet3<br />
ethernet2<br />
1.1.1.1/24 1.2.2.1/24<br />
Zona DMZ<br />
Servidor de<br />
correo<br />
electrónico<br />
1.2.2.5<br />
Interfaz de túnel<br />
Tunnel.1<br />
Petición<br />
IDENT<br />
En este ejemplo, Phil desea acceder a su correo electrónico desde el servidor de correo de la empresa. Cuando<br />
intenta hacerlo, es autenticado por el programa del servidor de correo, que le envía una petición IDENT a través del<br />
túnel.<br />
Nota: El servidor de correo puede enviar la petición IDENT a través del túnel sólo si el administrador <strong>NetScreen</strong><br />
agrega un servicio personalizado para ello (TCP, puerto 113) y establece una directiva de salida que permita el<br />
tráfico a través del túnel hacia 10.10.10.1.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 244
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
La clave previamente compartida es h1p8A24nG5. Partiremos de la base de que ambos participantes ya tienen<br />
certificados RSA emitidos por Verisign, y que el certificado local en <strong>NetScreen</strong>-Remote contiene el U-FQDN<br />
pm@juniper.net. (Para más información sobre cómo obtener y cargar certificados, consulte “Certificados y CRLs”<br />
en la página 29). Para los niveles de seguridad de las fases 1 y 2, debe especificar la propuesta de fase 1 (ya sea<br />
pre-g2-3des-sha para el método de clave previamente compartida o rsa-g2-3des-sha para certificados) y<br />
seleccionar el conjunto de propuestas predefinido “Compatible” para la fase 2.<br />
Introduzca las tres rutas siguientes en el dispositivo <strong>NetScreen</strong>:<br />
Una ruta predeterminada que conduzca al enrutador externo en trust-vr.<br />
Una ruta al destino a través de la interfaz de túnel.<br />
Una ruta nula al destino. Asigne una métrica más alta (más alejada de cero) a la ruta nula para que se<br />
convierta en la siguiente opción de ruta al destino. A continuación, si el estado de la interfaz de túnel<br />
cambia a “inactivo” y la ruta que hace referencia a esa interfaz también se inactiva, el dispositivo <strong>NetScreen</strong><br />
utiliza la ruta nula, que descarta todo tráfico enviado hacia él, en lugar de la ruta predeterminada, que<br />
reenvía tráfico no encriptado.<br />
Finalmente, creará directivas permitiendo que el tráfico fluya en ambas direcciones entre Phil y el servidor de<br />
correo.<br />
WebUI<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: DMZ<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.2.2.1/24<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 245
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
2. Direcciones<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (trust-vr)<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Mail Server<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 1.2.2.5/32<br />
Zone: DMZ<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
3. Servicios<br />
Address Name: Phil<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.10.10.1/32<br />
Zone: Untrust<br />
Objects > Services > Custom > New: Introduzca los siguientes datos y haga clic en OK :<br />
Service Name: Ident<br />
Service Timeout:<br />
Use protocol default: (seleccione)<br />
Transport Protocol: TCP (seleccione)<br />
Source Port: Low 1, High 65535<br />
Destination Port: Low 113, High 113<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 246
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Objects > Services > Group > New: Introduzca los siguientes datos, mueva los siguientes servicios y,<br />
finalmente, haga clic en OK :<br />
Group Name: Remote_Mail<br />
Group Members AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Clave previamente compartida<br />
(o bien)<br />
Gateway Name: To_Phil<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Dynamic IP Address: (seleccione), Peer ID: pm@juniper.net<br />
Preshared Key: h1p8A24nG5<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 247
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Certificados<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
Preferred Certificate (optional):<br />
Peer CA: Verisign<br />
Peer Type: X509-SIG<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: corp_Phil<br />
Security Level: Compatible<br />
Remote Gateway:<br />
Predefined: (seleccione), To_Phil<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Interfaz de túnel: (seleccione), tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 1.2.2.5/32<br />
Remote IP / Netmask: 10.10.10.1/32<br />
Service: Any<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 248
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
5. Rutas<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.10.10.1/32<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 10.10.10.1/32<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 249
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
6. Directivas<br />
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Phil<br />
Destination Address:<br />
Address Book Entry: (seleccione), Mail Server<br />
Service: Remote_Mail<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Mail Server<br />
Destination Address:<br />
Address Book Entry: (seleccione), Phil<br />
Service: Remote_Mail<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 250
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
CLI<br />
1. Interfaces<br />
set interface ethernet2 zone dmz<br />
set interface ethernet2 ip 1.2.2.1/24<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
2. Direcciones<br />
set address dmz “Mail Server” 1.2.2.5/32<br />
set address untrust phil 10.10.10.1/32<br />
3. Servicios<br />
set service ident protocol tcp src-port 1-65535 dst-port 113-113<br />
set group service remote_mail<br />
set group service remote_mail add ident<br />
set group service remote_mail add mail<br />
set group service remote_mail add pop3<br />
4. VPN<br />
Clave previamente compartida<br />
set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface<br />
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha<br />
set vpn corp_phil gateway to_phil sec-level compatible<br />
set vpn corp_phil bind interface tunnel.1<br />
set vpn corp_phil proxy-id local-ip 1.2.2.5/32 remote-ip 10.10.10.1/32 any<br />
(o bien)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 251
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Certificados<br />
set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface<br />
ethernet3 proposal rsa-g2-3des-sha<br />
set ike gateway to_phil cert peer-ca 1 5<br />
set ike gateway to_phil cert peer-cert-type x509-sig<br />
set vpn corp_phil gateway to_phil sec-level compatible<br />
set vpn corp_phil bind interface tunnel.1<br />
set vpn corp_phil proxy-id local-ip 1.2.2.5/32 remote-ip 10.10.10.1/32 any<br />
5. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
set vrouter trust-vr route 10.10.10.1/32 interface tunnel.1<br />
set vrouter trust-vr route 10.10.10.1/32 interface null metric 10<br />
6. Directivas<br />
set policy top from dmz to untrust “Mail Server” phil remote_mail permit<br />
set policy top from untrust to dmz phil “Mail Server” remote_mail permit<br />
save<br />
5. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get pki x509 list ca-cert .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 252
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
<strong>NetScreen</strong>-Remote<br />
1. Haga clic en Options > Global Policy Settings y seleccione la casilla de verificación Allow to Specify<br />
Internal Network Address .<br />
2. Options > Secure > Specified Connections .<br />
3. Haga clic en el botón Add a new connection y escriba Mail junto al icono de la nueva conexión que<br />
aparecerá en pantalla.<br />
4. Configure las opciones de conexión:<br />
Connection Security: Secure<br />
Remote Party Identity and Addressing:<br />
ID Type: IP Address, 1.2.2.5<br />
Protocol: All<br />
Connect using Secure Gateway Tunnel: (seleccione)<br />
ID Type: IP Address, 1.1.1.1<br />
5. Haga clic en el signo MÁS situado a la izquierda del icono de unix para ampliar la directiva de la conexión.<br />
6. Haga clic en el icono Security Policy, seleccione Aggressive Mode y desactive Enable Perfect Forward<br />
Secrecy (PFS) .<br />
7. Haga clic en My Identity y lleve a cabo una de estas dos acciones:<br />
Haga clic en Pre-shared Key > Enter Key : Escriba h1p8A24nG5 y haga<br />
clic en OK .<br />
ID Type: E-mail Address; pm@juniper.net<br />
Internal Network IP Address: 10.10.10.1<br />
(o bien)<br />
Seleccione el certificado que contiene la dirección de correo electrónico<br />
“pm@juniper.net” en la lista desplegable “Select Certificate”.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 253
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
ID Type: E-mail Address; pm@juniper.net<br />
Internal Network IP Address: 10.10.10.1<br />
8. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y, a continuación, en el<br />
símbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exchange (Phase 2) para ampliar<br />
más aún la directiva.<br />
9. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione el siguiente método y algoritmos de<br />
autenticación:<br />
Authentication Method: Pre-Shared Key<br />
(o bien)<br />
Authentication Method: RSA Signatures<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Key Group: Diffie-Hellman Group 2<br />
10. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguientes protocolos IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Tunnel<br />
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: MD5<br />
Encapsulation: Tunnel<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 254
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Tunnel<br />
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
14. Haga clic en File > Save Changes .<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: MD5<br />
Encapsulation: Tunnel<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 255
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Ejemplo: VPN de acceso telefónico basada en directivas, interlocutor dinámico<br />
En este ejemplo, un túnel VPN conecta de forma segura al usuario situado tras el dispositivo <strong>NetScreen</strong>-Remote a<br />
la interfaz de la zona Untrust del dispositivo <strong>NetScreen</strong> que protege el servidor de correo en la zona DMZ. La<br />
interfaz de la zona Untrust tiene una dirección IP estática. El cliente <strong>NetScreen</strong>-Remote tiene una dirección IP<br />
externa asignada dinámicamente y una dirección IP interna estática (virtual). El administrador del dispositivo<br />
<strong>NetScreen</strong> debe conocer la dirección IP interna del cliente, de forma que pueda agregarla a la libreta de direcciones<br />
de la zona Untrust para su uso en directivas de tráfico de túnel desde ese origen. Cuando el cliente<br />
<strong>NetScreen</strong>-Remote establece el túnel, el tráfico que lo atraviesa puede originarse desde el otro extremo.<br />
Usuario remoto: Phil<br />
Interfaz de salida<br />
Zona Untrust<br />
<strong>NetScreen</strong>-Remote<br />
Petición<br />
SMTP<br />
ethernet3, 1.1.1.1/24<br />
Puerta de enlace<br />
1.1.1.250<br />
Oficina corporativa<br />
Zona DMZ<br />
ethernet2, 1.2.2.1/24<br />
Dirección IP interna<br />
10.10.10.1<br />
Dirección IP externa<br />
dinámica<br />
Internet<br />
Túnel VPN<br />
Zona<br />
Untrust<br />
En este ejemplo, Phil desea acceder a su correo electrónico desde el servidor de correo de la empresa. Cuando<br />
intenta hacerlo, es autenticado por el programa del servidor de correo, que le envía una petición IDENT a través del<br />
túnel.<br />
Nota: El servidor de correo puede enviar la petición IDENT a través del túnel sólo si el administrador <strong>NetScreen</strong><br />
agrega un servicio personalizado para ello (TCP, puerto 113) y establece una directiva de salida que permita el<br />
tráfico a través del túnel hacia 10.10.10.1.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 256<br />
Zona<br />
DMZ<br />
Petición<br />
IDENT<br />
Servidor de<br />
correo<br />
electrónico<br />
1.2.2.5
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
La clave previamente compartida es h1p8A24nG5. En este ejemplo se asume que ambos participantes ya tienen<br />
certificados RSA emitidos por Verisign, y que el certificado local en <strong>NetScreen</strong>-Remote contiene el U-FQDN<br />
pm@juniper.net. (Para más información sobre cómo obtener y cargar certificados, consulte “Certificados y CRLs”<br />
en la página 29.) Para los niveles de seguridad de las fases 1 y 2, debe especificar la propuesta de fase 1 (ya sea<br />
pre-g2-3des-sha para el método de clave previamente compartida o rsa-g2-3des-sha para certificados) y<br />
seleccionar el conjunto de propuestas predefinido “Compatible” para la fase 2.<br />
WebUI<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: DMZ<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.2.2.1/24<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
2. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Mail Server<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 1.2.2.5/32<br />
Zone: DMZ<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 257
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
3. Servicios<br />
Address Name: Phil<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.10.10.1/32<br />
Zone: Untrust<br />
Objects > Services > Custom > New: Introduzca los siguientes datos y haga clic en OK :<br />
Service Name: Ident<br />
Service Timeout:<br />
Use protocol default: (seleccione)<br />
Transport Protocol: TCP (seleccione)<br />
Source Port: Low 1, High 65535<br />
Destination Port: Low 113, High 113<br />
Objects > Services > Group > New: Introduzca los siguientes datos, mueva los siguientes servicios y,<br />
finalmente, haga clic en OK :<br />
Group Name: Remote_Mail<br />
Group Members
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
4. VPN<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Clave previamente compartida<br />
(o bien)<br />
Certificados<br />
Gateway Name: To_Phil<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Dynamic IP Address: (seleccione), Peer ID: pm@juniper.net<br />
Preshared Key: h1p8A24nG5<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
Preferred Certificate (optional):<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 259
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Peer CA: Verisign<br />
Peer Type: X509-SIG<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: corp_Phil<br />
Security Level: Compatible<br />
Remote Gateway:<br />
Predefined: (seleccione), To_Phil<br />
5. Ruta<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
6. Directivas<br />
Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Phil<br />
Destination Address:<br />
Address Book Entry: (seleccione), Mail Server<br />
Service: Remote_Mail<br />
Action: Tunnel<br />
VPN Tunnel: corp_Phil<br />
Modify matching bidirectional VPN policy: (seleccione)<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 260
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
CLI<br />
1. Interfaces<br />
set interface ethernet2 zone dmz<br />
set interface ethernet2 ip 1.2.2.1/24<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
2. Direcciones<br />
set address dmz “mail server” 1.2.2.5/32<br />
set address untrust phil 10.10.10.1/32<br />
3. Servicios<br />
set service ident protocol tcp src-port 1-65535 dst-port 113-113<br />
set group service remote_mail<br />
set group service remote_mail add ident<br />
set group service remote_mail add mail<br />
set group service remote_mail add pop3<br />
4. VPN<br />
Clave previamente compartida<br />
set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface<br />
ethernet3 preshare h1p8A24nG5 proposal pre-g2-3des-sha<br />
set vpn corp_phil gateway to_phil sec-level compatible<br />
(o bien)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 261
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Certificados<br />
set ike gateway to_phil dynamic pm@juniper.net aggressive outgoing-interface<br />
ethernet3 proposal rsa-g2-3des-sha<br />
set ike gateway to_phil cert peer-ca 1 6<br />
set ike gateway to_phil cert peer-cert-type x509-sig<br />
set vpn corp_phil gateway to_phil sec-level compatible<br />
5. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
6. Directivas<br />
set policy top from untrust to dmz phil “mail server” remote_mail tunnel vpn<br />
corp_phil<br />
set policy top from dmz to untrust “mail server” phil remote_mail tunnel vpn<br />
corp_phil<br />
save<br />
6. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get pki x509 list ca-cert .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 262
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
<strong>NetScreen</strong>-Remote<br />
1. Haga clic en Options > Global Policy Settings y seleccione Allow to Specify Internal Network<br />
Address .<br />
2. Options > Secure > Specified Connections .<br />
3. Haga clic en Add a new connection y escriba Mail junto al icono de nueva conexión que aparecerá en<br />
pantalla.<br />
4. Configure las opciones de conexión:<br />
Connection Security: Secure<br />
Remote Party Identity and Addressing:<br />
ID Type: IP Address, 1.2.2.5<br />
Protocol: All<br />
Connect using Secure Gateway Tunnel: (seleccione)<br />
ID Type: IP Address, 1.1.1.1<br />
5. Haga clic en el signo MÁS situado a la izquierda del icono de unix para ampliar la directiva de la conexión.<br />
6. Haga clic en el icono Security Policy seleccione Aggressive Mode y desactive Enable Perfect Forward<br />
Secrecy (PFS) .<br />
7. Haga clic en My Identity y lleve a cabo una de estas dos acciones:<br />
Haga clic en Pre-shared Key > Enter Key : Escriba h1p8A24nG5 y haga<br />
clic en OK .<br />
Internal Network IP Address: 10.10.10.1<br />
ID Type: E-mail Address; pm@juniper.net<br />
(o bien)<br />
Seleccione el certificado que contiene la dirección de correo electrónico<br />
“pmason@email.com” en la lista desplegable “Select Certificate”.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 263
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Internal Network IP Address: 10.10.10.1<br />
ID Type: E-mail Address; pm@juniper.net<br />
8. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y, a continuación, en el<br />
símbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exchange (Phase 2) para ampliar<br />
más aún la directiva.<br />
9. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione el siguiente método y algoritmos de<br />
autenticación:<br />
Authentication Method: Pre-Shared Key<br />
(o bien)<br />
Authentication Method: RSA Signatures<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Key Group: Diffie-Hellman Group 2<br />
10. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguientes protocolos IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Tunnel<br />
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: MD5<br />
Encapsulation: Tunnel<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 264
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Tunnel<br />
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
14. Haga clic en File > Save Changes .<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: MD5<br />
Encapsulation: Tunnel<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 265
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Directivas bidireccionales para usuarios de VPN de acceso telefónico<br />
Es posible crear directivas bidireccionales para VPNs de acceso telefónico. Esta configuración presenta unas<br />
funciones similares a la configuración VPN para interlocutores dinámicos. Sin embargo, con una configuración de<br />
VPN para interlocutores dinámicos, el administrador del dispositivo <strong>NetScreen</strong> debe conocer el espacio de<br />
direcciones IP interno del usuario de acceso telefónico, de forma que pueda utilizarlo como dirección de destino<br />
cuando configure una directiva de salida (consulte “Ejemplo: VPN de acceso telefónico basada en directivas,<br />
interlocutor dinámico” en la página 256). Con una configuración de usuario de VPN de acceso telefónico, el<br />
administrador del sitio LAN no necesita conocer el espacio de direcciones interno del usuario de acceso telefónico.<br />
El dispositivo <strong>NetScreen</strong> que protege la red LAN utiliza la dirección predefinida “Dial-Up VPN” como dirección de<br />
origen en la directiva de entrada y la de destino en la directiva de salida.<br />
La posibilidad de crear directivas bidireccionales para un túnel VPN permite que el tráfico se origine en un extremo<br />
de la LAN de la conexión VPN cuando ya se ha establecido la conexión (el equipo remoto debe iniciar en primer<br />
lugar la creación del túnel). Observe que, a diferencia de un túnel VPN de acceso telefónico de interlocutor<br />
dinámico, con esta función es necesario que sean idénticos los servicios de las directivas de entrada y salida.<br />
Nota: <strong>NetScreen</strong> no admite grupos de servicios ni de direcciones en las directivas bidireccionales que hacen<br />
referencia a una configuración de VPN de acceso telefónico.<br />
Tenga en cuenta que el espacio de direcciones interno de dos o más usuarios de una VPN de acceso telefónico<br />
conectados simultáneamente podría hacer que se superpusieran. Por ejemplo, los usuarios de acceso telefónico A<br />
y B podrían tener un espacio de direcciones IP interno 10.2.2.0/24. Si esto sucede, el dispositivo <strong>NetScreen</strong> envía<br />
todo el tráfico de VPN saliente al usuario A y al usuario B a través de la VPN de la que se incluye una referencia en<br />
la primera directiva que encuentre en la lista de directivas. Si la directiva de salida relativa a la VPN del usuario A<br />
aparece primero en la lista de directivas, el dispositivo <strong>NetScreen</strong> envía al usuario A todo el tráfico VPN saliente<br />
para los usuarios A y B.<br />
De forma similar, la dirección interna de un usuario de acceso telefónico podría superponerse con una dirección de<br />
cualquier otra directiva, independientemente de si esa otra directiva hace referencia a un túnel VPN. Si esto<br />
sucede, el dispositivo <strong>NetScreen</strong> aplica la primera directiva que coincida con los atributos básicos de tráfico<br />
relativos a la dirección de origen, dirección de destino, número de puerto de origen, número de puerto de destino o<br />
servicio. Para evitar que una directiva bidireccional para una VPN de acceso telefónico con una dirección derivada<br />
dinámicamente anule otra directiva con una dirección estática, <strong>Juniper</strong> <strong>Networks</strong> recomienda colocar la directiva<br />
bidireccional de VPN de acceso telefónico en una posición más baja en la lista de directivas.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 266
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Ejemplo: Directivas bidireccionales para VPNs de acceso telefónico<br />
En este ejemplo configuraremos directivas bidireccionales para un túnel VPN de acceso telefónico AutoKey IKE<br />
llamado VPN_dial para el usuario IKE dialup-j con la identificación IKE jf@ns.com . Para las negociaciones de la<br />
fase 1, utilice la propuesta pre-g2-3des-sha con la clave previamente compartida Jf11d7uU . Seleccione el conjunto<br />
predefinidos de propuestas “Compatible” para las negociaciones de la fase 2.<br />
El usuario IKE inicia una conexión VPN al dispositivo <strong>NetScreen</strong> desde la zona Untrust para acceder a los<br />
servidores corporativos de la zona Trust. Una vez el usuario IKE establece la conexión VPN, el tráfico se puede<br />
iniciar desde cualquiera de los dos extremos del túnel.<br />
La interfaz de la zona Trust es ethernet1, tiene la dirección IP 10.1.1.1/24 y se encuentra en modo NAT. La interfaz<br />
de la zona Untrust es ethernet3 y tiene la dirección IP 1.1.1.1/24. La ruta predeterminada apunta al enrutador<br />
externo situado en 1.1.1.250.<br />
WebUI<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 267
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
2. Objetos<br />
3. VPN<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: trust_net<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
User Name: dialup-j<br />
Status: Enable<br />
IKE User: (seleccione)<br />
Simple Identity: (seleccione); jf@ns.com<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: dialup1<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Dialup User: (seleccione); dialup-j<br />
Preshared Key: Jf11d7uU<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): pre-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 268
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
4. Ruta<br />
VPN Name: VPN_dial<br />
Security Level: Compatible<br />
Remote Gateway:<br />
Create a Simple Gateway: (seleccione)<br />
Gateway Name: dialup1<br />
Type:<br />
Dialup User: (seleccione); dialup-j<br />
Preshared Key: Jf11d7uU<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet1<br />
Gateway IP Address: 1.1.1.250<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 269
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
5. Directivas<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Dial-Up VPN<br />
Destination Address:<br />
Address Book Entry: (seleccione), trust_net<br />
Service: ANY<br />
Action: Tunnel<br />
VPN Tunnel: VPN_dial<br />
Modify matching bidirectional VPN policy: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 270
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
CLI<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
2. Objetos<br />
set address trust trust_net 10.1.1.0/24<br />
set user dialup-j ike-id u-fqdn jf@ns.com<br />
3. VPN<br />
set ike gateway dialup1 dialup dialup-j aggressive outgoing-interface ethernet3<br />
preshare Jf11d7uU proposal pre-g2-3des-sha<br />
set vpn VPN_dial gateway dialup1 sec-level compatible<br />
4. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
5. Directivas<br />
set policy from untrust to trust “Dial-Up VPN” trust_net any tunnel vpn<br />
VPN_dial<br />
set policy from trust to untrust trust_net “Dial-Up VPN” any tunnel vpn<br />
VPN_dial<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 271
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Editor de directivas de seguridad de <strong>NetScreen</strong>-Remote<br />
1. Haga clic en Options > Secure > Specified Connections .<br />
2. Haga clic en Add a new connection y escriba Corp junto al icono de nueva conexión que aparecerá en<br />
pantalla.<br />
3. Configure las opciones de conexión:<br />
Connection Security: Secure<br />
Remote Party Identity and Addressing<br />
ID Type: IP Subnet<br />
Subnet: 10.1.1.0<br />
Mask: 255.255.255.0<br />
Protocol: All<br />
Connect using Secure Gateway Tunnel: (seleccione)<br />
ID Type: IP Address, 1.1.1.1<br />
4. Haga clic en el signo MÁS situado a la izquierda del icono de UNIX para ampliar la directiva de la conexión.<br />
5. Haga clic en My Identity : Siga uno de estos dos pasos:<br />
Haga clic en Pre-shared Key > Enter Key : Escriba Jf11d7uU y haga clic en OK .<br />
ID Type: (seleccione E-mail Address ) y escriba jf@ns.com .<br />
6. Haga clic en el icono Security Policy seleccione Aggressive Mode y desactive Enable Perfect Forward<br />
Secrecy (PFS) .<br />
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y, a continuación, en el<br />
símbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exchange (Phase 2) para ampliar<br />
más aún la directiva.<br />
8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione el siguiente método y algoritmos de<br />
autenticación:<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 272
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
Authentication Method: Pre-Shared Key<br />
(o bien)<br />
Authentication Method: RSA Signatures<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Key Group: Diffie-Hellman Group 2<br />
9. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguientes protocolos IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Tunnel<br />
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: MD5<br />
Encapsulation: Tunnel<br />
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Tunnel<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 273
Capítulo 5 VPNs de acceso telefónico VPNs de acceso telefónico<br />
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: MD5<br />
Encapsulation: Tunnel<br />
13. Haga clic en File > Save Changes .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 274
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
IDENTIFICACIÓN IKE DE GRUPO<br />
Algunas organizaciones pueden tener muchos usuarios de acceso telefónico VPN. Por ejemplo, un departamento<br />
de ventas puede tener cientos de usuarios, muchos de los cuales necesitarán comunicación segura por acceso<br />
telefónico cuando se encuentran fuera de las oficinas. Con tantos usuarios, no resulta práctico crear una definición<br />
de usuario, una configuración de VPN y una directiva para cada uno.<br />
Para evitar este problema, el método de identificación IKE de grupo permite que una sola definición esté disponible<br />
para múltiples usuarios. La definición de usuario para una identificación IKE de grupo se aplica a todos los usuarios<br />
que tengan certificados con valores específicos en el nombre completo (DN) o a todos los usuarios cuya<br />
identificación IKE completa y clave previamente compartida en su cliente VPN coincida con una identificación IKE<br />
parcial y una clave previamente compartida del dispositivo <strong>NetScreen</strong>.<br />
Nota: Cuando un usuario IKE de acceso telefónico se conecta al dispositivo <strong>NetScreen</strong>, éste primero extrae y<br />
utiliza la identificación IKE completa para buscar sus registros de puerta de enlace de interlocutor por si el usuario<br />
no pertenece a un grupo de usuarios de identificación IKE de grupo. Si la búsqueda con la identificación IKE<br />
completa no ofrece ningún resultado, el dispositivo <strong>NetScreen</strong> realizará una nueva búsqueda de parte de la<br />
identificación IKE, buscando coincidencias entre la identificación IKE entrante incorporada y un usuario ya<br />
configurado de la identificación IKE de grupo.<br />
Debe agregar un único usuario de identificación IKE de grupo a un grupo de usuarios IKE de una VPN de acceso<br />
telefónico y especificar el número máximo de conexiones simultáneas que admitirá dicho grupo. El número máximo<br />
de sesiones simultáneas no podrá exceder el número máximo de asociaciones de seguridad admitidas en la fase 1<br />
o el número máximo de túneles VPN admitidos en la plataforma <strong>NetScreen</strong>.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 275
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
Identificación IKE de grupo con certificados<br />
La identificación IKE de grupo con certificados es una técnica para llevar a cabo la autenticación IKE para un grupo<br />
de usuarios IKE de acceso telefónico sin tener que configurar un perfil de usuario independiente para cada uno de<br />
ellos. En lugar de hacer eso, el dispositivo <strong>NetScreen</strong> utiliza un único perfil de usuario de identificación IKE de grupo<br />
con una identificación IKE parcial. El usuario IKE de acceso telefónico podrá establecer correctamente un túnel<br />
VPN a un dispositivo <strong>NetScreen</strong> si la configuración de VPN en su cliente VPN especifica un certificado que<br />
contenga elementos de nombre completo con coincidan con los configurados como definición de la identificación<br />
IKE parcial en el perfil de usuario de identificación IKE de grupo en el dispositivo <strong>NetScreen</strong>.<br />
Usuarios IKE<br />
de acceso<br />
telefónico<br />
ID IKE de grupo completa<br />
(nombre completo)<br />
Certificado<br />
DN:<br />
cn=alice<br />
ou=eng<br />
----------<br />
----------<br />
Certificado<br />
DN:<br />
cn=bob<br />
ou=eng<br />
----------<br />
----------<br />
Certificado<br />
DN:<br />
cn=carol<br />
ou=sales<br />
----------<br />
----------<br />
<br />
<br />
<br />
Identificación IKE de grupo con certificados<br />
Nota: Como el nombre completo<br />
en el certificado de Carol no<br />
incluye ou=eng , <strong>NetScreen</strong><br />
rechaza la petición de conexión.<br />
Grupo de usuarios de acceso<br />
telefónico<br />
Usuario de identificación IKE de<br />
grupo<br />
Tipo de ID IKE ASN1-DN<br />
ID IKE parcial: ou=eng<br />
Para autenticar el usuario, <strong>NetScreen</strong> compara<br />
un elemento específico del nombre completo<br />
(DN) asociado al grupo de usuarios de acceso<br />
telefónico con el elemento correspondiente del<br />
certificado y del DN utilizados en la carga de<br />
datos de la identificación IKE que acompaña al<br />
paquete inicial de la fase 1.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 276
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
Puede configurar una identificación IKE de grupo con certificados tal y como se indica a continuación:<br />
En el dispositivo <strong>NetScreen</strong>:<br />
1. Cree un nuevo usuario de identificación IKE de grupo con una identidad IKE parcial (como<br />
ou=sales,o=netscreen) y especifique cuántos usuarios de acceso telefónico podrán utilizar el perfil de la<br />
identificación IKE de grupo para conectarse.<br />
2. Asigne el nuevo usuario de ID IKE de grupo al grupo de usuarios de acceso telefónico 7 y asigne un nombre<br />
al grupo.<br />
3. En la configuración de la VPN de acceso telefónico AutoKey IKE, especifique el nombre del grupo de<br />
usuarios de acceso telefónico, indique que las negociaciones de la fase 1 serán del modo dinámico y que<br />
para la autenticación se utilizarán certificados (RSA o DSA, según el tipo de certificado cargado en los<br />
clientes VPN de acceso telefónico).<br />
4. Cree una directiva que permita el tráfico de entrada a través de la VPN de acceso telefónico especificada.<br />
En el cliente VPN:<br />
1. Obtenga y cargue un certificado cuyo nombre completo contenga la misma información definida en la<br />
identificación IKE parcial del dispositivo <strong>NetScreen</strong>.<br />
2. Configure un túnel VPN al dispositivo <strong>NetScreen</strong> utilizando el modo dinámico para las negociaciones de la<br />
fase 1, especifique el certificado cargado anteriormente y seleccione Distinguished Name para el tipo de<br />
identificación IKE local.<br />
A continuación, cada usuario IKE de acceso telefónico que disponga de un certificado con elementos de nombre<br />
completo que coincidan con la identificación IKE parcial definida en el perfil de usuario de la ID IKE de grupo podrán<br />
establecer correctamente un túnel al dispositivo <strong>NetScreen</strong>. Por ejemplo, si el usuario de ID IKE de grupo tiene la ID<br />
IKE OU=sales,O=netscreen, el dispositivo <strong>NetScreen</strong> aceptará las negociaciones de fase 1 de cualquier usuario<br />
que tenga un certificado con esos elementos en su nombre completo. El número máximo de usuarios IKE de<br />
acceso telefónico que se podrán conectar al dispositivo <strong>NetScreen</strong> dependerá del número máximo de sesiones<br />
simultáneas que especifique en el perfil de usuario de identificación IKE de grupo.<br />
7. Sólo puede asignar un usuario de ID IKE de grupo a un grupo de usuarios IKE.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 277
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
Tipos de identificación IKE ASN1-DN Wildcard y Container<br />
Cuando se define la ID IKE para un usuario IKE de grupo, se utiliza el nombre completo según la norma ASN-1<br />
(ASN1-DN) como tipo de identificación IKE de la configuración de identidad. Esta notación constituye una cadena<br />
de valores, ordenados normalmente desde lo más general a lo más específico. Por ejemplo:<br />
ASN1-DN: C=us,ST=ca,L=sunnyvale,O=juniper,OU=sales,CN=joe<br />
C=us<br />
ST=ca<br />
L=sunnyvale<br />
O=juniper<br />
OU=sales<br />
CN=joe<br />
Específico<br />
General<br />
Leyenda:<br />
C = País<br />
ST = Estado<br />
L = Localidad<br />
O = Organización<br />
OU = Unidad organizativa<br />
CN = Nombre común<br />
Cuando se configura el usuario de la identificación IKE de grupo, debe especificar la ID ASN1-DN del interlocutor<br />
como uno de estos dos tipos:<br />
Wildcard: <strong>NetScreen</strong> autentica la ID de un usuario IKE de acceso telefónico si los valores de los campos<br />
identificativos del ASN1-DN de dicho usuario coinciden con los de los campos identificativos del ASN1-DN<br />
del usuario IKE de grupo. El tipo de ID Wildcard sólo admite un valor por cada campo identificativo (por<br />
ejemplo, “ou=eng” o bien “ou=sw”, pero no “ou=eng,ou=sw”). Así, el orden que sigan los campos<br />
identificativos en las dos cadenas ASN1-DN no es importante.<br />
Container: <strong>NetScreen</strong> autentica la ID de un usuario IKE de acceso telefónico si los valores de los campos<br />
identificativos del ASN1-DN de dicho usuario coinciden exactamente con los de los campos identificativos<br />
del ASN1-DN del usuario IKE de grupo. El tipo de ID Container admite múltiples entradas por cada campo<br />
identificativo (por ejemplo, “ou=eng,ou=sw,ou=screenos”). El orden de los valores en los campos<br />
identificativos de las dos cadenas ASN1-DN debe ser idéntico.<br />
Cuando configure una ID de ASN1-DN para un usuario IKE remoto, deberá especificar el tipo como “wildcard” o<br />
“container”, y definir la ID ASN1-DN que espere recibir en el certificado del interlocutor (p. ej.,<br />
“c=us,st=ca,cn=jrogers”). Si configura una ID ASN1-DN para una ID IKE local, utilice la siguiente palabra clave:<br />
[DistinguishedName]. Incluya los corchetes y escríbalo exactamente como se indica.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 278
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
ID IKE del ASN1-DN de tipo Wildcard<br />
Un ASN1-DN de tipo Wildcard hace necesario que los valores de la ID IKE del nombre completo del interlocutor<br />
remoto coincidan con los valores de la ID IKE parcial del ASN1-DN del usuario IKE de grupo. El orden que sigan<br />
estos valores en la cadena del ASN1-DN es irrelevante. Por ejemplo, si la ID del usuario IKE de acceso telefónico y<br />
la ID del usuario IKE de grupo son las siguientes:<br />
ID IKE del ASN1-DN completo del usuario IKE de acceso telefónico:<br />
CN=christine,OU=finance,O=netscreen,ST=ca,C=us<br />
ID IKE parcial del ASN1-DN del usuario IKE de grupo: C=us,O=netscreen<br />
una ID IKE de tipo Wildcard del ASN1-DN hace que coincidan las dos IDs IKE, aunque el orden de los valores en<br />
las dos IDs difiere.<br />
El ASN1-DN del usuario IKE de<br />
acceso telefónico contiene los<br />
valores especificados en el<br />
ASN1-DN del usuario IKE de<br />
grupo. El orden de los valores es<br />
irrelevante.<br />
ID IKE del ASN1-DN<br />
del usuario IKE de<br />
acceso telefónico<br />
E=<br />
CN=christine<br />
OU=finance<br />
O=juniper<br />
L=<br />
ST=ca<br />
C=us<br />
Autenticación<br />
<br />
ID IKE Wildcard del<br />
ASN1-DN del usuario IKE<br />
de grupo<br />
E=<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 279<br />
C=us<br />
ST=<br />
L=<br />
O=juniper<br />
OU=<br />
CN=
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
ID IKE del ASN1-DN de tipo Container<br />
Una ID de tipo Container del ASN1-DN permite que la ID del usuario IKE de grupo tenga múltiples entradas en cada<br />
campo identificativo. <strong>NetScreen</strong> autentica un usuario IKE de acceso telefónico si la ID de usuario de acceso<br />
telefónico contiene valores que coinciden al cien por cien con los valores de la ID del usuario IKE de grupo. Al<br />
contrario de lo que sucede con el tipo Wildcard, el orden de los campos del ASN1-DN también debe coincidir en las<br />
IDs del usuario IKE de acceso telefónico y del usuario IKE de grupo. Si hay valores múltiples, su orden en los<br />
campos correspondientes también deberá ser igual.<br />
El primer ASN1-DN de usuario<br />
IKE de acceso telefónico<br />
contiene valores exactamente<br />
iguales a los del ASN1-DN del<br />
usuario IKE de grupo. El orden<br />
de las entradas múltiples en el<br />
campo identificativo OU<br />
también es igual.<br />
El segundo ASN1-DN de<br />
usuario IKE de acceso<br />
telefónico contiene valores<br />
exactamente iguales a los del<br />
ASN1-DN del usuario IKE de<br />
grupo. Sin embargo, el orden<br />
de las entradas múltiples en el<br />
campo identificativo OU no es<br />
igual.<br />
ID IKE del ASN1-DN del usuario<br />
IKE de acceso telefónico<br />
E=<br />
C=us<br />
ST=ca<br />
L= sf<br />
O=juniper<br />
OU=mkt,OU=dom,OU=west<br />
CN=yuki<br />
ID IKE del ASN1-DN del usuario<br />
IKE de acceso telefónico<br />
E=<br />
C=us<br />
ST=ca<br />
L= la<br />
O=juniper<br />
OU=mkt,OU=west,OU=dom<br />
CN=joe<br />
Autenticación<br />
<br />
Autenticación<br />
ID IKE Container del ASN1-DN del<br />
usuario IKE de grupo<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 280<br />
<br />
E=<br />
C=us<br />
ST=<br />
L=<br />
O=juniper<br />
OU=mkt,OU=dom,OU=west<br />
CN=<br />
ID IKE Container del ASN1-DN<br />
del usuario IKE de grupo<br />
E=<br />
C=us<br />
ST=<br />
L=<br />
O=juniper<br />
OU=mkt,OU=dom,OU=west<br />
CN=
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
Ejemplo: Identificación IKE de grupo (certificados)<br />
En este ejemplo definirá un nuevo usuario de identificación IKE de grupo llamado User1. A continuación,<br />
configurará la definición para que acepte un máximo de 10 negociaciones simultáneas en la fase 1 por parte de<br />
clientes VPN con certificados RSA que contengan O=netscreen y OU=marketing . La autoridad de certificación (CA)<br />
será Verisign. El grupo de usuarios IKE de acceso telefónico será office_1 .<br />
Usuario de<br />
acceso<br />
telefónico con ID<br />
IKE:<br />
o=juniper<br />
ou=marketing<br />
Zona Untrust<br />
Túnel VPN<br />
Interfaz de salida<br />
Zona Untrust<br />
eth3, 1.1.1.1/24<br />
puerta de enlace<br />
1.1.1.250<br />
Perfil de usuario de<br />
identificación IKE de grupo<br />
User Name: User1<br />
Grupo de usuarios: office_1<br />
Nombre completo:<br />
o=juniper<br />
ou=marketing<br />
Zona Trust<br />
eth1, 10.1.1.1/24<br />
Modo NAT<br />
Zona Trust<br />
web1<br />
10.1.1.5<br />
Los usuarios IKE de acceso telefónico envían un nombre completo como su ID IKE. El nombre completo (DN) en un<br />
certificado para un usuario IKE de acceso telefónico en este grupo puede aparecer como la siguiente cadena:<br />
C=us,ST=ca,L=sunnyvale,O=netscreen,OU=marketing,CN=michael zhang,CN=a2010002,CN=ns500,<br />
CN=4085557800,CN=rsa-key,CN=10.10.5.44<br />
Como los valores O=netscreen y OU=marketing aparecen en el certificado del interlocutor y el usuario utiliza el<br />
nombre completo como su tipo de identificación IKE, el dispositivo <strong>NetScreen</strong> autenticará el usuario.<br />
Para los niveles de seguridad de las fases 1 y 2, debe especificar la propuesta de fase 1 (rsa-g2-3des-sha para<br />
certificados) y seleccionar el conjunto de propuestas predefinido “Compatible” para la fase 2.<br />
Ahora debe configurar una VPN de acceso telefónico y una directiva que permita el tráfico HTTP a través del túnel<br />
VPN para acceder al servidor web Web1. También se incluirá la configuración del cliente VPN remoto (utilizando<br />
<strong>NetScreen</strong>-Remote).<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 281
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
WebUI<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
2. Dirección<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
3. Usuarios<br />
Address Name: web1<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.5/32<br />
Zone: Trust<br />
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
User Name: User1<br />
Status Enable: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 282
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
IKE User: (seleccione)<br />
Number of Multiple Logins with same ID: 10<br />
Use Distinguished Name For ID: (seleccione)<br />
OU: marketing<br />
Organization: juniper<br />
Objects > User Groups > Local > New: Escriba office_1 en el campo Group Name, realice la acción que se<br />
indica a continuación y, finalmente, haga clic en OK :<br />
Seleccione User1 y utilice el botón AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: Corp_GW<br />
Security Level: Custom<br />
Remote Gateway Type: Dialup User Group: (seleccione), Group: office_1<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Custom<br />
Phase 1 Proposal (for Custom Security Level): rsa-g2-3des-sha<br />
Mode (Initiator): Aggressive<br />
Preferred Certificate (optional):<br />
Peer CA: Verisign<br />
Peer Type: X509-SIG<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 283
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
5. Ruta<br />
VPN Name: Corp_VPN<br />
Security Level: Compatible<br />
Remote Gateway: Predefined: (seleccione), Corp_GW<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
6. Directiva<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Dial-Up VPN<br />
Destination Address:<br />
Address Book Entry: (seleccione), web1<br />
Service: HTTP<br />
Action: Tunnel<br />
Tunnel VPN: Corp_VPN<br />
Modify matching bidirectional VPN policy: (anule la selección)<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 284
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
CLI<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
2. Dirección<br />
set address trust web1 10.1.1.5/32<br />
3. Usuarios<br />
set user User1 ike-id asn1-dn wildcard o=juniper,ou=marketing share-limit 10<br />
set user-group office_1 user User1<br />
4. VPN<br />
set ike gateway Corp_GW dialup office_1 aggressive outgoing-interface ethernet3<br />
proposal rsa-g2-3des-sha<br />
set ike gateway Corp_GW cert peer-ca 1 8<br />
set ike gateway Corp_GW cert peer-cert-type x509-sig<br />
set vpn Corp_VPN gateway Corp_GW sec-level compatible<br />
5. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
6. Directiva<br />
set policy top from untrust to trust “Dial-Up VPN” web1 http tunnel vpn Corp_VPN<br />
save<br />
8. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get pki x509 list ca-cert .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 285
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
Editor de directivas de seguridad de <strong>NetScreen</strong>-Remote<br />
1. Haga clic en Options > Secure > Specified Connections .<br />
2. Haga clic en Add a new connection y escriba web1 junto al icono de nueva conexión que aparecerá en<br />
pantalla.<br />
3. Configure las opciones de conexión:<br />
Connection Security: Secure<br />
Remote Party Identity and Addressing<br />
ID Type: IP Address, 10.1.1.5<br />
Protocol: Seleccione All , escriba HTTP , pulse el tabulador y escriba 80 .<br />
Connect using Secure Gateway Tunnel: (seleccione)<br />
ID Type: IP Address, 1.1.1.1<br />
4. Haga clic en el signo MÁS situado a la izquierda del icono de web1 para ampliar la directiva de la conexión.<br />
5. Haga clic en My Identity : Seleccione el certificado que tiene los elementos o=netscreen,ou=marketing en<br />
su nombre completo en la lista desplegable Select Certificate 9 .<br />
ID Type: Seleccione Distinguished Name en la lista desplegable.<br />
6. Haga clic en el icono Security Policy seleccione Aggressive Mode y desactive Enable Perfect Forward<br />
Secrecy (PFS) .<br />
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y, a continuación, en el<br />
símbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exchange (Phase 2) para ampliar<br />
más aún la directiva.<br />
8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione los siguientes algoritmos de encriptación<br />
e integridad de datos:<br />
Authentication Method: RSA Signatures<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Key Group: Diffie-Hellman Group 2<br />
9. En este ejemplo se parte de la base de que ya ha cargado un certificado adecuado en el cliente <strong>NetScreen</strong>-Remote. Para obtener más información sobre<br />
cómo cargar certificados en el cliente <strong>NetScreen</strong>-Remote, consulte la documentación de <strong>NetScreen</strong>-Remote.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 286
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
9. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguientes protocolos IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Tunnel<br />
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: MD5<br />
Encapsulation: Tunnel<br />
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Tunnel<br />
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
13. Haga clic en File > Save Changes .<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: MD5<br />
Encapsulation: Tunnel<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 287
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
ID IKE de grupo con claves previamente compartidas<br />
La identificación IKE de grupo con claves previamente compartidas es una técnica para llevar a cabo la<br />
autenticación IKE para un grupo de usuarios IKE de acceso telefónico sin tener que configurar un perfil de usuario<br />
independiente para cada uno de ellos. En lugar de hacer eso, el dispositivo <strong>NetScreen</strong> utiliza un único perfil de<br />
usuario de identificación IKE de grupo con una identificación IKE parcial. El usuario IKE de acceso telefónico podrá<br />
establecer correctamente un túnel VPN a un dispositivo <strong>NetScreen</strong> si la configuración de su cliente VPN tiene la<br />
clave previamente compartida correcta y si la mayor parte de la ID IKE completa del usuario coincide con la ID IKE<br />
parcial del perfil de usuario de la identificación IKE de grupo.<br />
Usuarios IKE<br />
de acceso<br />
telefónico<br />
ID IKE de grupo con<br />
claves previamente<br />
compartidas<br />
+<br />
Clave previamente<br />
compartida<br />
alice.eng.ns.com<br />
+<br />
011fg3322eda837c<br />
bob.eng.ns.com<br />
+<br />
bba7e22561c5da82<br />
carol.ns.com<br />
+<br />
834a2bbd32adc4e9<br />
<br />
<br />
<br />
ID IKE de grupo con claves<br />
previamente compartidas<br />
Nota: Como la ID IKE de Carol no es<br />
carol.eng.ns.com , <strong>NetScreen</strong><br />
rechaza la petición de conexión.<br />
Grupo de usuarios de acceso<br />
telefónico<br />
Usuario de identificación IKE de<br />
grupo<br />
ID IKE parcial: eng.ns.com<br />
Valor de inicialización de clave<br />
previamente compartida: N11wWd2<br />
<strong>NetScreen</strong> genera en tiempo real una clave<br />
previamente compartida cuando un usuario<br />
IKE envía su identificación IKE completa.<br />
(Clave previamente compartida de cada<br />
usuario IKE = valor inicial de clave previamente<br />
compartida x ID IKE completa).<br />
Para autenticar el usuario, <strong>NetScreen</strong> compara<br />
su clave generada con la clave previamente<br />
compartida que acompaña al paquete inicial de<br />
la fase 1.<br />
El tipo de ID IKE que utilice para la ID IKE de grupo con función de clave previamente compartida puede ser una<br />
dirección de correo electrónico o un nombre de dominio completo (FQDN).<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 288
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
Puede configurar una identificación IKE de grupo con claves previamente compartidas tal y como se indica a<br />
continuación:<br />
En el dispositivo <strong>NetScreen</strong>:<br />
1. Cree un nuevo usuario de identificación IKE de grupo con una identidad IKE parcial (como juniper.net) y<br />
especifique cuántos usuarios de acceso telefónico podrán utilizar el perfil de la identificación IKE de grupo<br />
para conectarse.<br />
2. Asigne el nuevo usuario de ID IKE de grupo a un grupo de usuarios de acceso telefónico.<br />
3. En la configuración de la VPN de acceso telefónico AutoKey IKE, asigne un nombre para la puerta de<br />
enlace remota (p. ej., road1), especifique el grupo de usuarios de acceso telefónico e introduzca un valor<br />
inicial de clave previamente compartida.<br />
4. Utilice el siguiente comando CLI para generar una clave previamente compartida individual para el usuario<br />
de acceso telefónico utilizando el valor inicial de clave previamente compartida y la ID IKE completa del<br />
usuario (como joe@juniper.net).<br />
exec ike preshare-gen name_str usr_name_str<br />
(por ejemplo) exec ike preshare-gen road1 joe@juniper.net<br />
5. Registre la clave previamente compartida para poder utilizarla durante la configuración de un cliente VPN<br />
remoto.<br />
En el cliente VPN:<br />
Configure un túnel VPN al dispositivo <strong>NetScreen</strong> utilizando el modo dinámico en las negociaciones de la<br />
fase 1 e introduzca la clave previamente compartida que generó anteriormente en el dispositivo <strong>NetScreen</strong>.<br />
Posteriormente, el dispositivo <strong>NetScreen</strong> podrá autenticar correctamente a cada usuario individual cuya ID IKE<br />
contenga una sección que coincida con el perfil de usuario de ID IKE de grupo parcial. Por ejemplo, si el usuario de<br />
ID IKE de grupo tiene la identidad IKE juniper.net , cualquier usuario con ese nombre de dominio en su ID IKE<br />
puede iniciar negociaciones IKE de fase 1 en modo dinámico con el dispositivo <strong>NetScreen</strong>. Por ejemplo:<br />
alice@juniper.net , bob@juniper.net y carol@juniper.net . El número de usuarios que se pueden conectar<br />
dependerá del número máximo de sesiones simultáneas especificadas en el perfil de usuario de ID IKE de grupo.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 289
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
Ejemplo: ID IKE de grupo (claves previamente compartidas)<br />
En este ejemplo definirá un nuevo usuario de identificación IKE de grupo llamado User2 . A continuación,<br />
configurará la definición para que acepte un máximo de 10 negociaciones simultáneas en la fase 1 por parte de<br />
clientes VPN con claves previamente compartidas que contengan una ID IKE que termine con la cadena<br />
juniper.net . El valor inicial de la clave previamente compartida es jk930k . El grupo de usuarios IKE de acceso<br />
telefónico será office_2 .<br />
Usuario de acceso<br />
telefónico<br />
con ID IKE:<br />
joe@juniper.net<br />
Tanto para las negociaciones de fase 1 como de fase 2, deberá seleccionar el nivel de seguridad predefinido como<br />
“Compatible”. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr.<br />
WebUI<br />
1. Interfaces<br />
Zona Untrust<br />
Túnel VPN<br />
Interfaz de salida<br />
Zona Untrust<br />
ethernet3, 1.1.1.1/24<br />
puerta de enlace<br />
1.1.1.250<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Perfil de usuario de<br />
identificación IKE de grupo<br />
Nombre de usuario: User2<br />
Grupo de usuarios: office_2<br />
ID simple: juniper.net<br />
Zona Trust<br />
ethernet1, 10.1.1.1/24<br />
Modo NAT<br />
Zona Trust<br />
web1<br />
10.1.1.5<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 290
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
2. Dirección<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
3. Usuarios<br />
Address Name: web1<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.5/32<br />
Zone: Trust<br />
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
User Name: User2<br />
Status: Enable<br />
IKE User: (seleccione)<br />
Number of Multiple Logins with same ID: 10<br />
Simple Identity: (seleccione)<br />
IKE Identity: juniper.net<br />
Objects > User Groups > Local > New: Escriba office_2 en el campo Group Name, realice la acción que se<br />
indica a continuación y, finalmente, haga clic en OK :<br />
Seleccione User2 y utilice el botón
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
4. VPN<br />
Nota: La WebUI sólo permite introducir un valor para la clave previamente compartida, pero no un valor<br />
inicial a partir del cual el dispositivo <strong>NetScreen</strong> derive una clave previamente compartida. Para introducir<br />
un valor inicial para clave previamente compartida al configurar una puerta de enlace IKE, debe utilizar la<br />
interfaz CLI.<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: Corp_VPN<br />
Security Level: Compatible<br />
Remote Gateway: Predefined: (seleccione), Corp_GW<br />
5. Ruta<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
6. Directiva<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Dial-Up VPN<br />
Destination Address:<br />
Address Book Entry: (seleccione), web1<br />
Service: HTTP<br />
Action: Tunnel<br />
Tunnel VPN: Corp_VPN<br />
Modify matching bidirectional VPN policy: (anule la selección)<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 292
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
CLI<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
2. Dirección<br />
set address trust web1 10.1.1.5/32<br />
3. Usuarios<br />
set user User2 ike-id u-fqdn juniper.net share-limit 10<br />
set user-group office_2 user User2<br />
4. VPN<br />
set ike gateway Corp_GW dialup office_2 aggressive seed-preshare jk930k<br />
sec-level compatible<br />
set vpn Corp_VPN gateway Corp_GW sec-level compatible<br />
5. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
6. Directiva<br />
set policy top from untrust to trust “Dial-Up VPN” web1 http tunnel vpn<br />
Corp_VPN<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 293
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
Obtención de la clave previamente compartida<br />
La clave previamente compartida sólo se puede obtener utilizando el siguiente comando CLI:<br />
exec ike preshare-gen name_str usr_name_str<br />
La clave previamente compartida, basada en el valor inicial de clave previamente compartida jk930k (como<br />
se especificó en la configuración de la puerta de enlace remota llamada Corp_GW ) y la identificación<br />
completa de usuario individual joe@juniper.net es 11ccce1d396f8f29ffa93d11257f691af96916f2 .<br />
Editor de directivas de seguridad de <strong>NetScreen</strong>-Remote<br />
1. Haga clic en Options > Secure > Specified Connections .<br />
2. Haga clic en Add a new connection y escriba web1 junto al icono de nueva conexión que aparecerá en<br />
pantalla.<br />
3. Configure las opciones de conexión:<br />
Connection Security: Secure<br />
Remote Party Identity and Addressing<br />
ID Type: IP Address, 10.1.1.5<br />
Protocol: Seleccione All , escriba HTTP , pulse el tabulador y escriba 80 .<br />
Connect using Secure Gateway Tunnel: (seleccione)<br />
ID Type: IP Address, 1.1.1.1<br />
4. Haga clic en el signo MÁS situado a la izquierda del icono de web1 para ampliar la directiva de la conexión.<br />
5. Haga clic en el icono Security Policy, seleccione Aggressive Mode y desactive Enable Perfect Forward<br />
Secrecy (PFS) .<br />
6. Haga clic en My Identity : Haga clic en Pre-shared Key > Enter Key : Escriba<br />
11ccce1d396f 8f29 f f a 93d11257f 6 91a f 96916f 2 y haga clic en OK .<br />
ID Type: (seleccione E-mail Address ) y escriba joe@juniper.net .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 294
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y, a continuación, en el<br />
símbolo MÁS situado a la izquierda de Authentication (Phase 1) y Key Exchange (Phase 2) para ampliar<br />
aún más la directiva.<br />
8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione los siguientes algoritmos de encriptación<br />
e integridad de datos:<br />
Authentication Method: Pre-Shared Key<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Key Group: Diffie-Hellman Group 2<br />
9. Haga clic en Authentication (Phase 1) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Authentication Method: Pre-Shared Key<br />
Encrypt Alg: Triple DES<br />
Hash Alg: MD5<br />
Key Group: Diffie-Hellman Group 2<br />
10. Haga clic en Authentication (Phase 1) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Authentication Method: Pre-Shared Key<br />
Encrypt Alg: DES<br />
Hash Alg: SHA-1<br />
Key Group: Diffie-Hellman Group 2<br />
11. Haga clic en Authentication (Phase 1) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Authentication Method: Pre-Shared Key<br />
Encrypt Alg: DES<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 295
Capítulo 5 VPNs de acceso telefónico Identificación IKE de grupo<br />
Hash Alg: MD5<br />
Key Group: Diffie-Hellman Group 2<br />
12. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguientes protocolos IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Tunnel<br />
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: MD5<br />
Encapsulation: Tunnel<br />
14. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Tunnel<br />
15. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: MD5<br />
Encapsulation: Tunnel<br />
16. Haga clic en File > Save Changes .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 296
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida<br />
IDENTIFICACIÓN IKE COMPARTIDA<br />
La función de identificación IKE compartida facilita la implementación de un gran número de usuarios de acceso<br />
telefónico. Gracias a ella, el dispositivo <strong>NetScreen</strong> autentica múltiples usuarios VPN de acceso telefónico utilizando<br />
una única identificación IKE de grupo y clave compartida. De esta forma, proporciona protección IPSec para<br />
grandes grupos de usuarios remotos por medio de una configuración VPN común.<br />
Esta función es similar a la identificación IKE de grupo con función de claves previamente compartidas, con las<br />
siguientes diferencias:<br />
Con la función de ID IKE de grupo, la ID IKE puede ser una dirección de correo electrónico o un nombre de<br />
dominio completo (FQDN). Para esta función, la ID IKE debe ser una dirección de correo electrónico.<br />
En lugar de utilizar el valor inicial de clave previamente compartida y la ID IKE de usuario completa para<br />
generar una clave previamente compartida para cada usuario, se especifica una única clave previamente<br />
compartida para todos los usuarios del grupo.<br />
Debe utilizar XAuth para autenticar los usuarios individuales.<br />
Para configurar una ID IKE compartida y una clave previamente compartida en el dispositivo <strong>NetScreen</strong>:<br />
1. Cree un nuevo usuario de identificación IKE de grupo y especifique cuántos usuarios de acceso telefónico<br />
podrán utilizar la ID IKE para conectarse. En esta función, utilice una dirección de correo electrónico como<br />
ID IKE.<br />
2. Asigne la nueva ID IKE de grupo a un grupo de usuarios de acceso telefónico.<br />
3. En la configuración VPN de acceso telefónico a LAN AutoKey IKE, cree una puerta de enlace de ID IKE<br />
compartida.<br />
4. Defina los usuarios XAuth y habilite XAuth en la puerta de enlace IKE remota.<br />
En el cliente VPN:<br />
Configure un túnel VPN al dispositivo <strong>NetScreen</strong> utilizando el modo dinámico en las negociaciones de la fase 1 e<br />
introduzca la clave previamente compartida que definió anteriormente en el dispositivo <strong>NetScreen</strong>. A continuación,<br />
éste autenticará cada usuario remoto tal y como se indica a continuación:<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 297
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida<br />
Durante las negociaciones de la fase 1, el dispositivo <strong>NetScreen</strong> primero autentica el cliente VPN comparando la ID<br />
IKE y la clave previamente compartida que el cliente envía con la ID IKE y la clave previamente compartida del<br />
dispositivo <strong>NetScreen</strong>. Si coinciden, el dispositivo <strong>NetScreen</strong> utiliza XAuth para autenticar el usuario individual.<br />
Envía una petición de inicio de sesión al usuario remoto entre las negociaciones IKE de la fase 1 y la fase 2. Si el<br />
usuario remoto consigue conectarse con el nombre de usuario y la contraseña correctos, comenzarán las<br />
negociaciones de la fase 2.<br />
Ejemplo: ID IKE compartida (claves previamente compartidas)<br />
En este ejemplo crearemos un nuevo usuario de identificación IKE de grupo llamado Remote_Sales. Aceptará<br />
hasta 250 negociaciones simultáneas de fase 1 desde clientes VPN con la misma clave previamente compartida<br />
(abcd1234). El nombre del grupo de usuarios IKE de acceso telefónico será R_S . Además, configuraremos dos<br />
usuarios XAuth, Joe y Mike.<br />
Tanto para las negociaciones de fase 1 como de fase 2, deberá seleccionar el nivel de seguridad predefinido como<br />
“Compatible”. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr.<br />
Usuario de acceso telefónico<br />
con<br />
ID IKE: joe@ns.com<br />
Contraseña XAuth: 1234<br />
Zona Untrust<br />
Interfaz de salida<br />
ethernet3, 1.1.1.1/24<br />
ethernet1, 10.1.1.1/24<br />
Modo NAT<br />
Zona Trust<br />
Usuario de acceso telefónico<br />
con<br />
ID IKE: mike@ns.com<br />
Contraseña XAuth: 5678<br />
Túneles VPN<br />
Perfil de usuario de ID IKE<br />
compartida<br />
Nombre de usuario: Remote_Sales<br />
Grupo de usuarios: R_S<br />
ID simple: sales@ns.com<br />
web1<br />
10.1.1.5<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 298
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida<br />
WebUI<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
2. Dirección<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
3. Usuarios<br />
Address Name: web1<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.5/32<br />
Zone: Trust<br />
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
User Name: Remote_Sales<br />
Status: Enable<br />
IKE User: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 299
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida<br />
Number of Multiple Logins with same ID: 250<br />
Simple Identity: (seleccione)<br />
IKE Identity: sales@ns.com<br />
Objects > User Groups > Local > New: Escriba R_S en el campo Group Name, realice la acción que se<br />
indica a continuación y, finalmente, haga clic en OK :<br />
Seleccione Remote_sales y utilice el botón Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
User Name: Joe<br />
Status: Enable<br />
XAuth User: (seleccione)<br />
Password: 1234<br />
Confirm Password: 1234<br />
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
User Name: Mike<br />
Status: Enable<br />
XAuth User: (seleccione)<br />
Password: 5678<br />
Confirm Password: 5678<br />
4. VPN<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: sales_gateway<br />
Security Level: Compatible (seleccione)<br />
Remote Gateway Type: Dialup Group (seleccione), R_S<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 300
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida<br />
Preshared Key: abcd1234<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes datos y haga clic en Return para<br />
regresar a la página de configuración básica de puerta de enlace:<br />
Enable XAuth: (seleccione)<br />
Local Authentication: (seleccione)<br />
Allow Any: (seleccione)<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
5. Ruta<br />
VPN Name: Sales_VPN<br />
Security Level: Compatible<br />
Remote Gateway: Predefined: (seleccione) sales_gateway<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Zone, Untrust-Tun<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 301
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida<br />
6. Directiva<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Dial-Up VPN<br />
Destination Address:<br />
Address Book Entry: (seleccione), web1<br />
Service: HTTP<br />
Action: Tunnel<br />
Tunnel VPN: Sales_VPN<br />
Modify matching bidirectional VPN policy: (anule la selección)<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 302
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida<br />
CLI<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
2. Dirección<br />
set address trust web1 10.1.1.5/32<br />
3. Usuarios<br />
set user Remote_Sales ike-id sales@ns.com share-limit 250<br />
set user-group R_S user Remote_Sales<br />
set user Joe password 1234<br />
set user Joe type xauth<br />
set user Mike password 5678<br />
set user Mike type xauth<br />
4. VPN<br />
set ike gateway sales_gateway dialup R_S aggressive outgoing-interface<br />
ethernet3 preshare abcd1234 sec-level compatible<br />
set ike gateway sales_gateway xauth<br />
set vpn sales_vpn gateway sales_gateway sec-level compatible<br />
set vpn sales_vpn bind zone untrust-tun<br />
5. Ruta<br />
set route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
6. Directiva<br />
set policy top from untrust to trust “Dial-Up VPN” web1 http tunnel vpn sales_vpn<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 303
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida<br />
Editor de directivas de seguridad de <strong>NetScreen</strong>-Remote<br />
En este ejemplo se muestra la configuración del usuario Joe.<br />
1. Haga clic en Options > Secure > Specified Connections .<br />
2. Haga clic en Add a new connection y escriba web1 junto al icono de nueva conexión que aparecerá en<br />
pantalla.<br />
3. Configure las opciones de conexión:<br />
Connection Security: Secure<br />
Remote Party ID Type: IP Address<br />
Dirección IP: 10.1.1.5<br />
Connect using Secure Gateway Tunnel: (seleccione)<br />
ID Type: IP Address; 1.1.1.1<br />
4. Haga clic en el signo MÁS situado a la izquierda del icono de web1 para ampliar la directiva de la conexión.<br />
5. Haga clic en el icono Security Policy seleccione Aggressive Mode y desactive Enable Perfect Forward<br />
Secrecy (PFS) .<br />
6. Haga clic en My Identity : Haga clic en Pre-shared Key > Enter Key : Escriba abcd1234 y haga clic en<br />
OK .<br />
ID Type: (seleccione E-mail Address ) y escriba sales@ns.com .<br />
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y, a continuación, en el<br />
símbolo MÁS situado a la izquierda de Authentication (Phase 1) y Key Exchange (Phase 2) para ampliar<br />
aún más la directiva.<br />
8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione los siguientes algoritmos de encriptación<br />
e integridad de datos:<br />
Authentication Method: Pre-Shared Key; Extended Authentication<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Key Group: Diffie-Hellman Group 2<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 304
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida<br />
9. Haga clic en Authentication (Phase 1) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Authentication Method: Pre-Shared Key; Extended Authentication<br />
Encrypt Alg: Triple DES<br />
Hash Alg: MD5<br />
Key Group: Diffie-Hellman Group 2<br />
10. Haga clic en Authentication (Phase 1) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Authentication Method: Pre-Shared Key; Extended Authentication<br />
Encrypt Alg: DES<br />
Hash Alg: SHA-1<br />
Key Group: Diffie-Hellman Group 2<br />
11. Haga clic en Authentication (Phase 1) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Authentication Method: Pre-Shared Key; Extended Authentication<br />
Encrypt Alg: DES<br />
Hash Alg: MD5<br />
Key Group: Diffie-Hellman Group 2<br />
12. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguientes protocolos IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Tunnel<br />
13. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 305
Capítulo 5 VPNs de acceso telefónico Identificación IKE compartida<br />
Encrypt Alg: Triple DES<br />
Hash Alg: MD5<br />
Encapsulation: Tunnel<br />
14. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Tunnel<br />
15. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: MD5<br />
Encapsulation: Tunnel<br />
16. Haga clic en File > Save Changes .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 306
Capítulo 6<br />
L2TP<br />
6<br />
Este capítulo proporciona una introducción al protocolo L2TP (Layer 2 Tunneling Protocol), su utilización en solitario<br />
y con soporte IPSec, y a continuación algunos <strong>ejemplos</strong> de la configuración de L2TP y L2TP sobre IPSec:<br />
“Introducción al L2TP” en la página 308<br />
“Encapsulado y desencapsulado de paquetes” en la página 312<br />
“Parámetros L2TP” en la página 314<br />
– “Ejemplo: Configuración de un conjunto de direcciones IP y los ajustes predeterminados L2TP” en la<br />
página 315<br />
“L2TP y L2TP sobre IPSec” en la página 317<br />
– “Ejemplo: Configuración de L2TP” en la página 318<br />
– “Ejemplo: Configuración de L2TP sobre IPSec” en la página 326<br />
– “Ejemplo: L2TP bidireccional sobre IPSec” en la página 339<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 307
Capítulo 6 L2TP Introducción al L2TP<br />
INTRODUCCIÓN AL L2TP<br />
El protocolo L2TP proporciona a un usuario de acceso telefónico una forma de realizar una conexión con un<br />
protocolo punto a punto virtual (PPP) a un servidor de red L2TP (LNS), que puede ser un dispositivo <strong>NetScreen</strong>.<br />
L2TP envía tramas PPP por un túnel entre un concentrador de acceso L2TP (LAC) y el LNS.<br />
En origen, L2TP se diseñó para que un LAC residente en un sitio ISP se conectase por túnel a un LNS en el sitio de<br />
otro ISP o empresa. El túnel L2TP no llega hasta al equipo del usuario de acceso telefónico, sino sólo hasta el LAC<br />
en el ISP local del usuario de acceso telefónico. (A veces, a esto se le llama configuración L2TP obligatoria).<br />
Usuario de<br />
acceso<br />
telefónico<br />
Conexión de<br />
acceso<br />
telefónico<br />
ISP<br />
Internet<br />
Dispositivo <strong>NetScreen</strong><br />
Concentrador<br />
de acceso<br />
L2TP<br />
(LAC)<br />
Túnel L2TP<br />
(reenvío de sesiones PPP<br />
del LAC al LNS)<br />
Servidor de red<br />
L2TP<br />
(LNS)<br />
LAN<br />
de empresa<br />
Un cliente <strong>NetScreen</strong>-Remote sobre Windows 2000 o Windows NT, o un cliente Windows 2000 por sí mismo,<br />
puede actuar como un LAC. El túnel L2TP puede llegar directamente hasta el equipo del usuario de acceso<br />
telefónico, proporcionando así un encapsulado de protocolos punto a punto. (A veces, a esta solución se le llama<br />
configuración L2TP voluntaria).<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 308
Capítulo 6 L2TP Introducción al L2TP<br />
<strong>NetScreen</strong>-Remote<br />
o Windows 2000<br />
(LAC)<br />
ISP<br />
Internet<br />
Debido a que el enlace PPP va desde el usuario de acceso telefónico a través de Internet hasta el dispositivo<br />
<strong>NetScreen</strong> (LNS), es el dispositivo <strong>NetScreen</strong> y no el ISP quien asigna al cliente su dirección IP, las direcciones de<br />
los servidores DNS y WINS, y autentica al usuario, bien desde la base de datos local o desde un servidor de<br />
autenticado externo (RADIUS, SecurID, o LDAP).<br />
De hecho, el cliente recibe dos direcciones IP, una para su conexión física al ISP, y otra lógica procedente del LNS.<br />
Cuando el cliente se conecta a su ISP, por ejemplo utilizando el protocolo PPP, el ISP realiza las asignaciones de<br />
IP y DNS, y autentica al cliente. Esto permite a los usuarios conectarse a Internet con una dirección IP pública, que<br />
se convierte en la dirección IP externa del túnel L2TP.<br />
En primer lugar, el ISP asigna al<br />
cliente una dirección IP pública y las<br />
direcciones de los servidores DNS.<br />
1<br />
Túnel L2TP<br />
(reenvío de sesiones PPP<br />
del LAC al LNS)<br />
Dirección IP: 5.5.5.5<br />
DNS: 6.6.6.6, 7.7.7.7<br />
Dispositivo<br />
<strong>NetScreen</strong><br />
(LNS)<br />
LAN<br />
de empresa<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 309<br />
ISP
Capítulo 6 L2TP Introducción al L2TP<br />
Después, cuando el túnel L2TP envía las tramas PPP encapsuladas al dispositivo <strong>NetScreen</strong>, éste asigna al cliente<br />
una dirección IP y los ajustes de DNS y WINS. La dirección IP puede ser del conjunto de direcciones privadas no<br />
utilizables en Internet. Ésta se convierte en la dirección IP interna del túnel L2TP.<br />
En segundo lugar, el dispositivo <strong>NetScreen</strong>, actuando<br />
como LNS, asigna al cliente una dirección IP privada<br />
(lógica), y las direcciones de los servidores DNS y WINS.<br />
2<br />
Dirección IP: 10.10.1.161<br />
DNS: 10.1.1.10, 1.2.2.10<br />
WINS: 10.1.1.48, 10.1.1.49<br />
Internet<br />
Dispositivo <strong>NetScreen</strong><br />
(LNS)<br />
Conjunto de direcciones IP<br />
10.10.1.1 – 10.10.1.254<br />
LAN de empresa<br />
10.1.1.0/24<br />
Nota: Las direcciones IP asignadas al cliente L2TP deben estar en una subred diferente de la de las direcciones IP<br />
en la LAN corporativa.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 310
Capítulo 6 L2TP Introducción al L2TP<br />
La versión actual de ScreenOS proporciona el siguiente soporte al L2TP:<br />
Túneles L2TP con origen en un host con Windows 2000 1<br />
Combinación de L2TP e IPSec en modo de transporte (L2TP sobre IPSec)<br />
– Para <strong>NetScreen</strong>-Remote: L2TP sobre IPSec con negociaciones en modo principal utilizando<br />
certificados, y en modo dinámico utilizando una clave previamente compartida o certificados<br />
– Para Windows 2000: L2TP sobre IPSec, con negociaciones en modo principal que utilizan certificados<br />
Directiva de acceso telefónico saliente para túneles L2TP y L2TP sobre IPSec. Una directiva de acceso<br />
telefónico saliente se puede emparejar con una entrante para proporcionar un túnel bidireccional.<br />
Autenticación de usuario utilizando PAP (Password Authentication Protocol) y CHAP (Challenge<br />
Handshake Authentication Protocol) desde la base de datos local o un servidor externo de autenticado<br />
(RADIUS, SecurID, o LDAP)<br />
Nota: La base de datos local y los servidores RADIUS son compatibles con PAP y CHAP SecurID y los<br />
servidores LDAP sólo son compatibles con PAP.<br />
Asignación de las direcciones IP de los usuarios, los servidores DNS (Domain Name System), y los<br />
servidores WINS (Windows Internet Naming Service) desde la base de datos local o un servidor RADIUS<br />
Túneles L2TP y L2TP sobre IPSec para el sistema raíz y los sistemas virtuales<br />
Nota: Para utilizar el L2TP, el dispositivo <strong>NetScreen</strong> debe operar en la capa 3, con interfaces de la zona de<br />
seguridad en modo NAT o de ruta. Cuando el dispositivo <strong>NetScreen</strong> opera en la capa 2, con interfaces de<br />
la zona de seguridad en modo transparente, no aparece información relacionada con el L2TP en el WebUI,<br />
y los comandos CLI relativos al L2TP provocan mensajes de error.<br />
1. De forma predeterminada, Windows 2000 realiza L2TP sobre IPSec. Para forzarlo a utilizar sólo L2TP, debe dirigirse a la clave ProhibitIPSec en el registro<br />
y cambiar 0 (L2TP sobre IPSec) por 1 (sólo L2TP ). (Antes de hacerlo, <strong>Juniper</strong> <strong>Networks</strong> recomienda hacer una copia de seguridad del registro.) Haga clic<br />
en Inicio > Ejecutar : Escriba regedit . Haga doble click en HKEY_LOCAL_MACHINE > System > CurrentControlSet > Services > RasMan ><br />
Parameters . Haga doble clic en ProhibitIPSec : Escriba 1 en el campo Value data, seleccione Hexadecimal como base de numeración, y después haga<br />
clic en OK . Reinicie. (Si no encuentra esta entrada en el registro, consulte la documentación de Microsoft Windows para obtener información sobre cómo<br />
crear una).<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 311
Capítulo 6 L2TP Encapsulado y desencapsulado de paquetes<br />
ENCAPSULADO Y DESENCAPSULADO DE PAQUETES<br />
L2TP emplea el encapsulado de paquetes como forma de transportar tramas PPP desde el LAC hasta el LNS.<br />
Antes de ver <strong>ejemplos</strong> específicos de configuración del L2TP y el L2TP sobre IPSec, se muestra un resumen del<br />
encapsulado y desencapsulado implicados en el proceso L2TP.<br />
Encapsulado<br />
Cuando un usuario de acceso telefónico dentro de una red IP envía datos por un túnel L2TP, el LAC encapsula el<br />
paquete IP dentro de una serie de tramas de la capa 2, paquetes de la capa 3, y segmentos de la capa 4.<br />
Suponiendo que el usuario de acceso telefónico se conecte al ISP local por un enlace PPP, el encapsulado será<br />
como se indica a continuación:<br />
1. Los datos se ubican en la carga de la trama IP.<br />
2. El paquete IP se encapsula en una trama PPP.<br />
3. La trama PPP se encapsula en una trama L2TP.<br />
4. La trama L2TP se encapsula en un segmento UDP.<br />
5. El segmento UDP se encapsula en un paquete IP.<br />
6. El paquete IP se encapsula en una trama PPP para realizar la conexión física entre el usuario de acceso<br />
telefónico y el ISP.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 312
Capítulo 6 L2TP Encapsulado y desencapsulado de paquetes<br />
Desencapsulado<br />
Cuando el LAC inicia el enlace PPP hacia el ISP, el desencapsulado y reenvío del contenido anidado será como se<br />
indica a continuación:<br />
ISP<br />
LNS<br />
1. El ISP finaliza el enlace PPP y asigna una dirección IP al equipo del usuario.<br />
En la carga PPP hay un paquete IP.<br />
2. El ISP quita el encabezado PPP y reenvía el paquete IP al LNS.<br />
3. El LNS quita el encabezado IP.<br />
En la carga IP hay un segmento UDP que especifica el puerto 1701, el número del puerto reservado para<br />
L2TP.<br />
4. El LNS quita el encabezado UDP.<br />
En la carga UDP hay una trama L2TP.<br />
5. El LNS procesa la trama L2TP, utilizando los datos tunnel ID y call ID del encabezado L2TP para identificar<br />
el túnel L2TP concreto. Después, el LNS quita el encabezado L2TP.<br />
En la carga L2TP hay una trama PPP.<br />
6. El LNS procesa la trama PPP, y asigna una dirección lógica IP al equipo del usuario.<br />
En la carga PPP hay un paquete IP.<br />
7. El LNS enruta el paquete IP hacia su último destino, donde el encabezado IP se elimina y los datos se<br />
extraen del paquete IP.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 313
Capítulo 6 L2TP Parámetros L2TP<br />
PARÁMETROS L2TP<br />
El LNS utiliza L2TP para proporcionar los ajustes PPP para un usuario de acceso telefónico que habitualmente<br />
proviene de un ISP. Estos ajustes son los siguientes:<br />
Dirección IP: el dispositivo <strong>NetScreen</strong> selecciona una dirección de un conjunto de direcciones IP y la asigna<br />
al equipo del usuario de acceso telefónico. El proceso de selección recorre cíclicamente el conjunto de<br />
direcciones IP, esto es, en el grupo desde 10.10.1.1 hasta 10.10.1.3, las direcciones se seleccionan<br />
siguiendo el ciclo que se indica: 10.10.1.1 – 10.10.1.2 – 10.10.1.3 – 10.10.1.1 – 10.10.1.2 …<br />
Direcciones IP de los servidores DNS primario y secundario: el dispositivo <strong>NetScreen</strong> proporciona estas<br />
direcciones para uso del equipo del usuario de acceso telefónico.<br />
Direcciones IP del servidor WINS primario y secundario: el dispositivo <strong>NetScreen</strong> también proporciona<br />
estas direcciones para uso del equipo del usuario de acceso telefónico.<br />
El LNS también autentica al usuario mediante un nombre de usuario y una contraseña. Se pueden introducir los<br />
datos del usuario en la base de datos local o en un servidor externo de autenticado (RADIUS, SecurID, o LDAP).<br />
Nota: El servidor RADIUS o SecurID que se utiliza para autenticar a los usuarios L2TP puede ser el mismo<br />
servidor utilizado para los usuarios de red, u otro diferente.<br />
Además, puede especificar uno de los siguientes esquemas para la autenticación PPP:<br />
Challenge Handshake Authentication Protocol (CHAP), en el que el dispositivo <strong>NetScreen</strong> envía un desafío<br />
(clave de cifrado) al usuario de acceso telefónico después de que éste haya hecho una petición de enlace<br />
PPP, y el usuario cifra su nombre de usuario y contraseña con la clave. La base de datos local y los<br />
servidores RADIUS soportan CHAP.<br />
Password Authentication Protocol (PAP), que envía la contraseña del usuario de acceso telefónico sin<br />
codificar junto con la petición de enlace PPP. La base de datos local y los servidores RADIUS, SecurID, y<br />
LDAP soportan PAP.<br />
“ANY”, lo que significa que el dispositivo <strong>NetScreen</strong> negocia el CHAP, y si éste falla, entonces el PAP.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 314
Capítulo 6 L2TP Parámetros L2TP<br />
Puede aplicar a los usuarios o grupos de usuarios de acceso telefónico los parámetros predeterminados L2TP que<br />
se configuran en la página básica de configuración de L2TP (VPNs > L2TP > Default Settings) o con el comando<br />
set l2tp default . También puede aplicar los parámetros L2TP que se configuran específicamente para los usuarios<br />
L2TP en la página de configuración de usuario (Users > Users > Local > New) o con el comando set user name_str<br />
remote-settings . Los ajustes específicos de usuario L2TP reemplazan a los ajustes predeterminados L2TP.<br />
Ejemplo: Configuración de un conjunto de direcciones IP y los ajustes<br />
predeterminados L2TP<br />
En este ejemplo, se define un conjunto de direcciones IP en un rango de 10.1.3.40 a 10.1.3.100. Se especifican las<br />
direcciones IP de los servidores DNS 1.1.1.2 (primario) y 1.1.1.3 (secundario). El dispositivo <strong>NetScreen</strong> realiza la<br />
autenticación PPP mediante CHAP.<br />
Nota: Especifique el servidor de autenticación para cada túnel L2TP.<br />
Zona<br />
Trust<br />
RADIUS<br />
10.1.1.245<br />
Zona<br />
Untrust<br />
DNS 1<br />
1.1.1.2<br />
Nota: El conjunto de direcciones<br />
L2TP debe pertenecer a una<br />
subred distinta de la de la zona<br />
Trust.<br />
Internet<br />
DNS 2<br />
1.1.1.3<br />
ethernet1,<br />
10.1.1.1/24<br />
Conjunto de direcciones<br />
IP L2TP<br />
10.1.3.40 – 10.1.3.100<br />
ethernet3,<br />
1.1.1.1/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 315
Capítulo 6 L2TP Parámetros L2TP<br />
WebUI<br />
1. Conjunto de direcciones IP<br />
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK :<br />
2. Ajustes predeterminados de L2TP<br />
CLI<br />
IP Pool Name: Sutro<br />
Start IP: 10.1.3.40<br />
End IP: 10.1.3.100<br />
VPNs > L2TP > Default Settings: Introduzca los siguientes datos y haga clic en Apply :<br />
1. Conjunto de direcciones IP<br />
IP Pool Name: Sutro<br />
PPP Authentication: CHAP<br />
DNS Primary Server IP: 1.1.1.2<br />
DNS Secondary Server IP: 1.1.1.3<br />
WINS Primary Server IP: 0.0.0.0<br />
WINS Secondary Server IP: 0.0.0.0<br />
set ippool sutro 10.1.3.40 10.1.3.100<br />
2. Ajustes predeterminados de L2TP<br />
set l2tp default ippool sutro<br />
set l2tp default ppp-auth chap<br />
set l2tp default dns1 1.1.1.2<br />
set l2tp default dns2 1.1.1.3<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 316
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
L2TP Y L2TP SOBRE IPSEC<br />
Aunque el usuario de acceso telefónico puede ser autenticado mediante CHAP o PAP, el túnel L2TP no está<br />
encriptado, y por tanto no es un túnel VPN auténtico. El objetivo del L2TP es simplemente permitir al administrador<br />
del dispositivo <strong>NetScreen</strong> local la asignación de direcciones IP a un usuario de acceso telefónico remoto, de forma<br />
que sea posible introducir referencias a estas direcciones en las directivas.<br />
Para encriptar un túnel L2TP, es necesario aplicarle un esquema de encriptación. Puesto que L2TP supone que la<br />
red entre el LAC y el LNS es IP, se puede utilizar IPSec para proporcionar la encriptación. Esta combinación se<br />
llama L2TP sobre IPSec. L2TP sobre IPSec requiere el establecimiento de un túnel L2TP y otro IPSec ambos con<br />
los mismos extremos, y después enlazarlos en una directiva. L2TP sobre IPSec requiere que el túnel IPSec esté en<br />
modo de transporte para que la dirección del extremo del túnel quede sin codificar. (Para obtener información sobre<br />
el modo de transporte y el modo de túnel, consulte “Modos” en la página 4.)<br />
Se puede crear un túnel L2TP entre un dispositivo <strong>NetScreen</strong> y un host con Windows 2000 si se cambian los<br />
ajustes del registro de Windows 2000. (Para ver las instrucciones de como cambiar el registro, consulte la nota al<br />
pie de la página 311.)<br />
Se puede crear un túnel L2TP sobre IPSec entre un dispositivo <strong>NetScreen</strong> y cualquiera de los siguientes clientes<br />
VPN:<br />
Un host que ejecute <strong>NetScreen</strong>-Remote en los sistemas operativos Windows 2000 o Windows NT<br />
Un host que ejecute Windows 2000 (sin <strong>NetScreen</strong>-Remote) 2<br />
2. Para proporcionar autenticación cuando se utiliza Windows 2000 sin <strong>NetScreen</strong>-Remote, se deben utilizar certificados.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 317
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
Ejemplo: Configuración de L2TP<br />
En este ejemplo, se crea un grupo de usuarios de acceso telefónico llamado “fs” (de “field-sales”) y se configura un<br />
túnel L2TP llamado “sales_corp”, utilizando ethernet3 (zona Untrust) como interfaz de salida de túnel L2TP. El<br />
dispositivo <strong>NetScreen</strong> aplica los siguientes ajustes del túnel L2TP predeterminados al grupo de usuarios de acceso<br />
telefónico.<br />
Los usuarios L2TP se autentican a través de la base de datos local.<br />
La autenticación PPP utiliza CHAP.<br />
El rango del conjunto de direcciones IP (denominado “global”) es de 10.10.2.100 a 10.10.2.180 3 .<br />
Los servidores DNS son 1.1.1.2 (primario) y 1.1.1.3 (secundario).<br />
Nota: Una configuración con sólo L2TP no es segura. Se recomienda sólo para depuración.<br />
Autenticado/L2TP grupo de<br />
usuarios de acceso telefónico: fs<br />
Adam<br />
Betty<br />
Carol<br />
Zona<br />
Untrust<br />
Túnel L2TP:<br />
sales_corp<br />
Internet<br />
DNS 1: 1.1.1.2<br />
DNS 2: 1.1.1.3<br />
Interfaz de salida<br />
ethernet3, 1.1.1.1/24<br />
Conjunto de<br />
direcciones IP: global<br />
10.10.2.100 –<br />
10.10.2.180<br />
ethernet1,<br />
10.1.1.1/24<br />
Los clientes remotos L2TP van sobre el sistema operativo Windows 2000. Para obtener información sobre la<br />
configuración del L2TP en los clientes remotos, consulte la documentación de Windows 2000. A continuación se<br />
proporciona sólo la configuración del dispositivo <strong>NetScreen</strong> al final del túnel L2TP.<br />
3. El conjunto de direcciones IP de L2TP debe pertenecer a una subred distinta de la de las direcciones de la red corporativa.<br />
Red<br />
corporativa<br />
Zona Trust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 318
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
WebUI<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
2. Usuarios L2TP<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
User Name: Adam<br />
Status: Enable<br />
L2TP User: (seleccione)<br />
User Password: AJbioJ15<br />
Confirm Password: AJbioJ15<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 319
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
User Name: Betty<br />
Status: Enable<br />
L2TP User: (seleccione)<br />
User Password: BviPsoJ1<br />
Confirm Password: BviPsoJ1<br />
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
3. Grupo de usuarios L2TP<br />
User Name: Carol<br />
Status: Enable<br />
L2TP User: (seleccione)<br />
User Password: Cs10kdD3<br />
Confirm Password: Cs10kdD3<br />
Objects > User Groups > Local > New: Escriba fs en el campo Group Name, haga lo siguiente, y luego<br />
haga clic OK :<br />
Seleccione Adam y utilice el botón
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
4. Ajustes predeterminados de L2TP<br />
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK :<br />
IP Pool Name: global<br />
Start IP: 10.10.2.100<br />
End IP: 10.10.2.180<br />
VPNs > L2TP > Default Settings: Introduzca los siguientes datos y haga clic en OK :<br />
5. Túnel L2TP<br />
IP Pool Name: global<br />
PPP Authentication: CHAP<br />
DNS Primary Server IP: 1.1.1.2<br />
DNS Secondary Server IP: 1.1.1.3<br />
WINS Primary Server IP: 0.0.0.0<br />
WINS Secondary Server IP: 0.0.0.0<br />
VPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: sales_corp<br />
Use Custom Settings: (seleccione)<br />
Authentication Server: Local<br />
Dialup Group: Local Dialup Group - fs<br />
Outgoing Interface: ethernet3<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 321
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
Peer IP: 0.0.0.0 4<br />
Host Name (optional): Introduzca el nombre del equipo que actúa como<br />
LAC 5 .<br />
Secret (optional): Introduzca un secreto compartido entre el LAC y el LNS.<br />
Nota: Para añadir un secreto al LAC para autenticar el túnel L2TP, se debe modificar el registro de<br />
Windows 2000 de la siguiente forma:<br />
(1) Haga clic en Inicio > Ejecutar , y luego escriba regedit . Se abre el editor del registro.<br />
(2) Haga clic en HKEY_LOCAL_MACHINE .<br />
(3) Haga clic con el botón secundario en SYSTEM , y luego seleccione Buscar en el menú emergente<br />
que aparece.<br />
(4) Escriba ms_l2tpminiport , y luego haga clic en Buscar siguiente .<br />
(5) En el menú Edición, resalte la opción Nuevo , y luego seleccione Valor de cadena.<br />
(6) Escriba Contraseña .<br />
(7) Haga doble clic en Contraseña . Aparece el cuadro de diálogo de edición de cadena.<br />
(8) Escriba la contraseña en el campo “Value” data. Debe coincidir con la palabra introducida en el<br />
campo L2TP Tunnel Configuration Secret en el dispositivo <strong>NetScreen</strong>.<br />
(9) Reinicie el equipo Windows 2000.<br />
Cuando se utiliza L2TP sobre IPSec, que es la opción predeterminada de Windows 2000, no es necesaria<br />
la autenticación del túnel; todos los mensajes L2TP son encriptados y autenticados por IPSec.<br />
Keep Alive: 60 6<br />
4. Debido a que el ISP del interlocutor le asigna dinámicamente una dirección IP, introduzca aquí 0.0.0.0 .<br />
5. Para encontrar el nombre del equipo que ejecuta Windows 2000, haga lo siguiente: Haga clic en Inicio > Configuración > Panel de Control > Sistema .<br />
Aparece el cuadro de diálogo de propiedades del sistema. Haga clic en la ficha de Identificación de red , y consulte la entrada Nombre completo del<br />
equipo .<br />
6. El valor Keep Alive (mantenimiento de conexión) es el número de segundos de inactividad antes de que el dispositivo <strong>NetScreen</strong> envíe una señal Hello<br />
L2TP al LAC.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 322
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
6. Ruta<br />
Network > Routing > Routing Entries > New: Introduzca los siguientes datos y haga clic en OK :<br />
7. Directiva<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Dial-Up VPN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Any<br />
NAT: Off<br />
Service: ANY<br />
Action: Tunnel<br />
Tunnel L2TP: sales_corp<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 323
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
CLI<br />
1. Usuarios de acceso telefónico<br />
set user adam type l2tp<br />
set user adam password AJbioJ15<br />
unset user adam type auth 7<br />
set user betty type l2tp<br />
set user betty password BviPsoJ1<br />
unset user betty type auth<br />
set user carol type l2tp<br />
set user carol password Cs10kdD3<br />
unset user carol type auth<br />
2. Grupo de usuarios L2TP<br />
set user-group fs location local<br />
set user-group fs user adam<br />
set user-group fs user betty<br />
set user-group fs user carol<br />
3. Ajustes predeterminados de L2TP<br />
set ippool global 10.10.2.100 10.10.2.180<br />
set l2tp default ippool global<br />
set l2tp default auth server Local<br />
set l2tp default ppp-auth chap<br />
set l2tp default dns1 1.1.1.2<br />
set l2tp default dns2 1.1.1.3<br />
7. Definir una contraseña para un usuario le clasifica automáticamente como un usuario autenticado. Por lo tanto, para definir el tipo de usuario como L2TP<br />
en sentido estricto, se debe desactivar el tipo de usuario autenticado.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 324
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
4. Túnel L2TP<br />
set l2tp sales_corp outgoing-interface ethernet3<br />
set l2tp sales_corp auth server Local user-group fs<br />
5. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
6. Directiva<br />
set policy top from untrust to trust “Dial-Up VPN” any any tunnel l2tp<br />
sales_corp<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 325
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
Ejemplo: Configuración de L2TP sobre IPSec<br />
Este ejemplo utiliza el tunel L2TP creado en el ejemplo anterior (“Ejemplo: Configuración de L2TP” en la página<br />
318). Además, se superpone un túnel IPSec al túnel L2TP para proporcionar encriptación. El túnel IPSec negocia la<br />
fase 1 en modo agresivo utilizando un certificado RSA previamente cargado, cifrado 3DES y autenticación SHA-1.<br />
La autoridad de certificación (CA) será Verisign. (Para más información sobre cómo obtener y cargar certificados,<br />
consulte el Capítulo 2, “Criptografía de claves públicas” en la página 23.) La negociación de fase 2 utiliza el nivel de<br />
seguridad predefinido como “Compatible” para las propuestas de fase 2. El túnel IPSec está en modo de transporte.<br />
La zona Trust predefinida y la zona de acceso telefónico definida por el usuario se encuentran en el dominio de<br />
enrutamiento trust-vr. Las interfaces para las zonas de acceso telefónico y Trust son ethernet2 (1.3.3.1/24) y<br />
ethernet1 (10.1.1.1/24) respectivamente. La zona Trust está en modo NAT.<br />
Los usuarios de acceso telefónico Adam, Betty y Carol utilizan clientes <strong>NetScreen</strong>-Remote sobre un sistema<br />
operativo Windows 2000 8 . La configuración del <strong>NetScreen</strong>-Remote para el usuario de acceso telefónico Adam<br />
también se incluye en lo que sigue. (La configuración del <strong>NetScreen</strong>-Remote para los otros dos usuarios de acceso<br />
telefónico es la misma que para Adam.)<br />
IKE-L2TP<br />
Grupo de usuarios de acceso telefónico: fs<br />
Betty<br />
Adam<br />
Carol<br />
Clientes<br />
<strong>NetScreen</strong>-Remote<br />
Zona de<br />
acceso<br />
telefónico<br />
Internet<br />
Túnel L2TP: sales_corp<br />
Túnel VPN: from_sales<br />
DNS 1: 1.1.1.2<br />
DNS 2: 1.1.1.3<br />
Interfaz de salida<br />
ethernet2, 1.3.3.1/24<br />
Conjunto de<br />
direcciones IP: global<br />
10.10.2.100 –<br />
10.10.2.180<br />
ethernet1,<br />
10.1.1.1/24<br />
Red<br />
corporativa<br />
Zona Trust<br />
8. Para configurar un túnel L2TP sobre IPSec para Windows 2000 (sin <strong>NetScreen</strong>-Remote), las negociaciones de la fase 1 deben ser en modo principal y el<br />
tipo de identificación IKE debe ser ASN1-DN.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 326
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
WebUI<br />
1. Zona definida por el usuario<br />
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:<br />
Zone Name: Dialup<br />
Virtual Router Name: trust-vr<br />
Zone Type: Layer 3 (seleccione)<br />
Block Intra-Zone Traffic: (seleccione)<br />
TCP/IP Reassembly for ALG: (anule la selección)<br />
Nota: La zona Trust está preconfigurada. No es necesario crearla.<br />
2. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Dialup<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.3.3.1/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 327
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
3. Usuarios IKE/L2TP<br />
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
User Name: Adam<br />
Status: Enable<br />
IKE User: (seleccione)<br />
Simple Identity: (seleccione) 9<br />
IKE Identity: ajackson@abc.com<br />
L2TP User: (seleccione)<br />
User Password: AJbioJ15<br />
Confirm Password: AJbioJ15<br />
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
User Name: Betty<br />
Status: Enable<br />
IKE User: (seleccione)<br />
Simple Identity: (seleccione)<br />
IKE Identity: bdavis@abc.com<br />
L2TP User: (seleccione)<br />
User Password: BviPsoJ1<br />
Confirm Password: BviPsoJ1<br />
9. La ID IKE debe ser la misma que la que envía el cliente <strong>NetScreen</strong>-Remote, que es la dirección de correo electrónico que aparece en el certificado que el<br />
cliente utiliza para la autenticación.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 328
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
4. Grupo de usuarios IKE/L2TP<br />
User Name: Carol<br />
Status: Enable<br />
IKE User: (seleccione)<br />
Simple Identity: (seleccione)<br />
IKE Identity: cburnet@abc.com<br />
L2TP User: (seleccione)<br />
User Password: Cs10kdD3<br />
Confirm Password: Cs10kdD3<br />
Objects > User Groups > Local > New: Escriba fs en el campo Group Name, haga lo siguiente, y luego haga<br />
clic OK :<br />
Seleccione Adam y utilice el botón
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
5. Conjunto de direcciones IP<br />
Objects > IP Pools > New: Introduzca los siguientes datos y haga clic en OK :<br />
6. Ajustes predeterminados de L2TP<br />
IP Pool Name: global<br />
Start IP: 10.10.2.100<br />
End IP: 10.10.2.180<br />
VPNs > L2TP > Default Settings: Introduzca los siguientes datos y haga clic en Apply :<br />
IP Pool Name: global<br />
PPP Authentication: CHAP<br />
DNS Primary Server IP: 1.1.1.2<br />
DNS Secondary Server IP: 1.1.1.3<br />
WINS Primary Server IP: 0.0.0.0<br />
WINS Secondary Server IP: 0.0.0.0<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 330
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
7. Túnel L2TP<br />
VPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: sales_corp<br />
Dialup Group: (seleccione) Local Dialup Group - fs<br />
Authentication Server: Local<br />
Outgoing Interface: ethernet2<br />
Peer IP: 0.0.0.0 10<br />
Host Name (optional): Si quiere restringir el túnel L2TP a un host específico,<br />
introduzca el nombre del equipo que actúa como LAC 11 .<br />
Secret (optional): Introduzca un secreto compartido entre el LAC y el LNS 12<br />
Keep Alive: 60 13<br />
10. Debido a que la dirección IP del interlocutor es dinámica, introduzca aquí 0.0.0.0 .<br />
Nota: El nombre del host y los ajustes del secreto puede que sean<br />
desconocidos. Se recomienda que sólo los usuarios avanzados utilicen<br />
estos ajustes.<br />
11. Para encontrar el nombre del equipo que ejecuta Windows 2000, haga lo siguiente: Haga clic en Inicio > Configuración > Panel de control > Sistema .<br />
Aparece el cuadro de diálogo de propiedades del sistema. Haga clic en la ficha de Identificación de red , y consulte la entrada Nombre completo del<br />
equipo .<br />
12. Para añadir un secreto al LAC para autenticar el túnel L2TP, se debe modificar el registro de Windows 2000 de la siguiente forma: Consulte la nota del<br />
ejemplo anterior.<br />
13. El valor Keep Alive es el número de segundos de inactividad antes de que el dispositivo <strong>NetScreen</strong> envíe una señal Hello L2TP al LAC.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 331
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
8. Túnel VPN<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: field<br />
Security Level: Custom<br />
Remote Gateway Type:<br />
Dialup User Group: (seleccione), Group: fs<br />
Outgoing Interface: ethernet2<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: User Defined: Custom<br />
Phase 1 Proposal: rsa-g2-3des-sha<br />
Mode (Initiator): Aggressive 14<br />
Preferred Certificate (optional):<br />
Peer CA: Verisign<br />
Peer Type: X509-SIG<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: from_sales<br />
Security Level: Compatible<br />
Remote Gateway: Predefined: field<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Security Level: Compatible<br />
Transport Mode: (seleccione)<br />
14. Windows 2000 (sin <strong>NetScreen</strong>-Remote) sólo admite negociaciones en modo principal.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 332
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
9. Directiva<br />
Policies > (From: Dialup, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Dial-Up VPN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Any<br />
Service: ANY<br />
Action: Tunnel<br />
Tunnel VPN: from_sales<br />
Modify matching bidirectional VPN policy: (anule la selección)<br />
L2TP: sales_corp<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 333
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
CLI<br />
1. Zona definida por el usuario<br />
set zone name dialup<br />
set zone dialup vrouter trust-vr<br />
set zone dialup block<br />
2. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet2 zone dialup<br />
set interface ethernet2 ip 1.3.3.1/24<br />
3. Usuarios L2TP/IKE<br />
set user adam type ike l2tp<br />
set user adam password AJbioJ15<br />
unset user adam type auth<br />
set user adam ike-id u-fqdn ajackson@abc.com<br />
set user betty type ike l2tp<br />
set user betty password BviPsoJ1<br />
unset user betty type auth<br />
set user betty ike-id u-fqdn bdavis@abc.com<br />
set user carol type ike l2tp<br />
set user carol password Cs10kdD3<br />
unset user carol type auth<br />
set user carol ike-id u-fqdn cburnet@abc.com<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 334
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
4. Grupo de usuarios IKE/L2TP<br />
set user-group fs location Local<br />
set user-group fs user adam<br />
set user-group fs user betty<br />
set user-group fs user carol<br />
5. Conjunto de direcciones IP<br />
set ippool global 10.10.2.100 10.10.2.180<br />
6. Ajustes predeterminados de L2TP<br />
set l2tp default ippool global<br />
set l2tp default ppp-auth chap<br />
set l2tp default dns1 1.1.1.2<br />
set l2tp default dns2 1.1.1.3<br />
7. Túnel L2TP<br />
set l2tp sales_corp outgoing-interface ethernet2<br />
set l2tp sales_corp auth server Local user-group fs<br />
8. Túnel VPN<br />
set ike gateway field dialup fs aggressive 15 outgoing-interface ethernet2<br />
proposal rsa-g2-3des-sha<br />
set ike gateway field cert peer-ca1 16<br />
set ike gateway field cert peer-cert-type x509-sig<br />
set vpn from_sales gateway field transport sec-level compatible<br />
9. Directiva<br />
set policy top from dialup to trust “Dial-Up VPN” any any tunnel vpn from_sales<br />
l2tp sales_corp<br />
save<br />
15. Windows 2000 (sin <strong>NetScreen</strong>-Remote) sólo admite negociaciones en modo principal.<br />
16. El número 1 es el número de ID de la CA. Para consultar los números ID de CAs, utilice el siguiente comando: get pki x509 list ca-cert .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 335
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
Editor de directivas de seguridad de <strong>NetScreen</strong>-Remote (Adam 17 )<br />
1. Haga clic en Options > Secure > Specified Connections .<br />
2. Haga clic en Add a new connection y escriba AJ junto al icono de nueva conexión que aparecerá en<br />
pantalla.<br />
3. Configure las opciones de conexión:<br />
Connection Security: Secure<br />
Remote Party ID Type: IP Address<br />
Dirección IP: 1.3.3.1<br />
Protocol: UDP<br />
Port: L2TP<br />
Connect using Secure Gateway Tunnel: (anule la selección)<br />
4. Haga clic en el signo MÁS situado a la izquierda del icono de AJ para ampliar la directiva de la conexión.<br />
5. Haga clic en My Identity y configure lo siguiente:<br />
Seleccione el certificado con la dirección de correo electrónico especificada<br />
como ID IKE del usuario en el dispositivo <strong>NetScreen</strong> en la lista desplegable<br />
Select Certificate.<br />
ID Type: Dirección de correo electrónico 18<br />
Port: L2TP<br />
6. Haga clic en el icono Security Policy y seleccione Aggressive Mode .<br />
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y, a continuación, en el<br />
símbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exchange (Phase 2) para ampliar<br />
más aún la directiva.<br />
17. Para configurar los túneles L2TP sobre IPSec para los clientes <strong>NetScreen</strong>-Remote de Betty y Carol, siga el procedimiento que aquí se describe para Adam.<br />
18. La dirección de correo electrónico del certificado aparecerá automáticamente en el campo del identificador.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 336
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione el siguiente método y algoritmos de<br />
autenticación:<br />
Authentication Method: Pre-Shared Key<br />
(o bien)<br />
Authentication Method: RSA Signatures<br />
Hash Alg: SHA-1<br />
Key Group: Diffie-Hellman Group 2<br />
9. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguientes protocolos IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Transport<br />
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: MD5<br />
Encapsulation: Transport<br />
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Transport<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 337
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
13. Haga clic en File > Save Changes .<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: MD5<br />
Encapsulation: Transport<br />
14. También es necesario configurar la conexión de red para Windows 2000 utilizando el asistente para<br />
conexión de red.<br />
Nota: Cuando se configura el asistente para conexión de red, se debe introducir un nombre de host<br />
destino o una dirección IP. Introduzca 1.3.3.1. Posteriormente, cuando inicie la conexión y reciba una<br />
petición de nombre de usuario y contraseña, introduzca adam, AJbioJ15. Para más información, consulte<br />
la documentación de Microsoft Windows 2000.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 338
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
Ejemplo: L2TP bidireccional sobre IPSec<br />
En este ejemplo, ethernet1 (10.1.1.1/24) es la interfaz de la zona Trust y se encuentra en modo NAT, mientras que<br />
ethernet3 (1.1.1.1/24) es la interfaz de la zona Untrust. Usted creará túneles L2TP sobre IPSec entre un usuario de<br />
acceso telefónico <strong>NetScreen</strong>-Remote y una LAN corporativa. El usuario remoto trabaja con una aplicación<br />
X-Windows, lo que requiere establecer directivas bidireccionales.<br />
Configurará las directivas entrantes y salientes para el túnel VPN de acceso telefónico AutoKey IKE denominado<br />
VPN_dial para el usuario IKE dialup-j con la ID de IKE jf@ns.com. y el túnel L2TP denominado tun1. El usuario IKE<br />
inicia una conexión IPSec al dispositivo <strong>NetScreen</strong> desde la zona Untrust para acceder a los servidores<br />
corporativos de la zona Trust. En este punto, solamente se permite la comunicación L2TP. Después de la<br />
negociación L2TP/PPP, se establece el túnel L2TP. Con las directivas bidireccionales configuradas, el tráfico puede<br />
iniciarse desde cualquier extremo del túnel.<br />
El usuario de acceso telefónico dialup-j utiliza un cliente <strong>NetScreen</strong>-Remote con el sistema operativo Windows<br />
2000 19 . La configuración de <strong>NetScreen</strong>-Remote para el usuario de acceso telefónico dialup-j aparece después de<br />
este ejemplo.<br />
Cliente de <strong>NetScreen</strong>-Remote<br />
ejecutando X-Windows Server<br />
Zona de acceso<br />
telefónico<br />
Internet<br />
Túnel L2TP sobre<br />
IPSec<br />
ethernet3<br />
1.1.1.1/24<br />
Enrutador externo<br />
1.1.1.250<br />
ethernet1<br />
10.1.1.1/24<br />
Zona Trust<br />
Servidor Unix<br />
19. Para configurar un túnel L2TP sobre IPSec para Windows 2000 (sin <strong>NetScreen</strong>-Remote), las negociaciones de la fase 1 deben ser en modo principal y el<br />
tipo de identificación IKE debe ser ASN1-DN.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 339<br />
LAN
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
WebUI<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
2. Dirección<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: trust_net<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 340
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
3. Usuario L2TP/IKE<br />
4. L2TP<br />
Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK :<br />
User Name: dialup-j<br />
Status: Enable<br />
IKE User: (seleccione)<br />
Simple Identity: (seleccione) 20<br />
IKE Identity: jf@ns.com<br />
Authentication User: (seleccione)<br />
L2TP User: (seleccione)<br />
User Password: abc123<br />
Confirm Password: abc123<br />
VPNs > L2TP > Tunnel > New: Introduzca los siguientes datos y haga clic en OK :<br />
Name: tun1<br />
Use Default Settings: (seleccione)<br />
Secret: netscreen<br />
Keepalive: 60<br />
20. La ID IKE debe ser la misma que la que envía el cliente <strong>NetScreen</strong>-Remote, que es la dirección de correo electrónico que aparece en el certificado que el<br />
cliente utiliza para la autenticación.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 341
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
5. VPN<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: dialup1<br />
Security Level: (seleccione); Standard<br />
Remote Gateway Type: Dialup User; (seleccione), dialup-j<br />
Preshared Key: n3TsCr33N<br />
Outgoing Interface: (seleccione) ethernet3<br />
> Advanced: Introduzca los siguientes datos y haga clic en Return para<br />
regresar a la página de configuración básica de la puerta de enlace<br />
AutoKey IKE:<br />
Mode (Initiator): Aggressive<br />
Enable NAT-Traversal: (seleccione)<br />
UDP Checksum: (seleccione)<br />
Keepalive Frequency: 5<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: VPN_dial<br />
Remote Gateway: Predefined: (seleccione), dialup1<br />
> Advanced: Introduzca los siguientes datos y haga clic en Return para<br />
regresar a la página de configuración básica de AutoKey IKE:<br />
Security Level: Standard (seleccione)<br />
Transport Mode (sólo para L2TP sobre IPSec): (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 342
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
6. Ruta<br />
Network > Routing > Routing Entries > New: Introduzca los siguientes datos y haga clic en OK :<br />
7. Directivas<br />
Network Address/Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Dial-Up VPN<br />
Destination Address:<br />
Address Book Entry: (seleccione), trust_net<br />
Service: ANY<br />
Action: Tunnel<br />
Tunnel VPN: VPN_dial<br />
Modify matching bidirectional VPN policy: (seleccione)<br />
L2TP: (seleccione) tun1<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), trust_net<br />
Destination Address:<br />
Address Book Entry: (seleccione), Dial-Up VPN<br />
Service: ANY<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 343
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
CLI<br />
1. Interfaces<br />
Action: Tunnel<br />
Tunnel VPN: VPN_dial<br />
Modify matching bidirectional VPN policy: (seleccione)<br />
L2TP: tun1<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
2. Dirección<br />
set address trust trust_net 10.1.1.0/24<br />
3. Usuario L2TP/IKE<br />
set user dialup-j ike-id u-fqdn jf@ns.com<br />
set user dialup-j type auth ike l2tp<br />
set user dialup-j password abc123<br />
4. L2TP<br />
set l2tp tun1 outgoing-interface ethernet3 secret "netscreen" keepalive 60<br />
5. VPN<br />
set ike gateway dialup1 dialup "dialup-j" aggressive outgoing-interface<br />
ethernet3 preshare n3TsCr33N sec-level standard<br />
set ike gateway dialup1 nat-traversal udp-checksum<br />
set ike gateway dialup1 nat-traversal keepalive-frequency 5<br />
set vpn VPN_dial gateway dialup1 no-replay transport idletime 0 sec-level<br />
standard<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 344
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
6. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
7. Directivas<br />
set policy from untrust to trust “Dial-Up VPN” “trust_net” any tunnel vpn<br />
VPN_dial tun1<br />
set policy from trust to untrust trust_net “Dial-Up VPN” any tunnel vpn<br />
VPN_dial l2tp tun1<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 345
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
Editor de directivas de seguridad de <strong>NetScreen</strong>-Remote (para el usuario dialup-j)<br />
1. Haga clic en Options > Secure > Specified Connections .<br />
2. Haga clic en Add a new connection y escriba dialup-j junto al icono de nueva conexión que aparecerá en<br />
pantalla.<br />
3. Configure las opciones de conexión:<br />
Connection Security: Secure<br />
Remote Party ID Type: IP Address<br />
IP Address: 1.1.1.1<br />
Protocol: UDP<br />
Port: L2TP<br />
Connect using Secure Gateway Tunnel: (anule la selección)<br />
4. Haga clic en el signo MÁS situado a la izquierda del icono de dialup-j para ampliar la directiva de la<br />
conexión.<br />
5. Haga clic en My Identity y configure lo siguiente:<br />
Seleccione el certificado con la dirección de correo electrónico especificada<br />
como ID IKE del usuario en el dispositivo <strong>NetScreen</strong> en la lista desplegable<br />
Select Certificate.<br />
ID Type: Dirección de correo electrónico 21<br />
Port: L2TP<br />
6. Haga clic en el icono Security Policy y seleccione Aggressive Mode .<br />
7. Haga clic en el símbolo MÁS situado a la izquierda del icono Security Policy y, a continuación, en el<br />
símbolo MÁS situado a la izquierda de Authentication (Phase 1) y de Key Exchange (Phase 2) para ampliar<br />
más aún la directiva.<br />
21. La dirección de correo electrónico del certificado aparecerá automáticamente en el campo del identificador.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 346
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
8. Haga clic en Authentication (Phase 1) > Proposal 1 : Seleccione el siguiente método y algoritmos de<br />
autenticación:<br />
Authentication Method: Pre-Shared Key<br />
(o bien)<br />
Authentication Method: RSA Signatures<br />
Hash Alg: SHA-1<br />
Key Group: Diffie-Hellman Group 2 22<br />
9. Haga clic en Key Exchange (Phase 2) > Proposal 1 : Seleccione los siguientes protocolos IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: SHA-1<br />
Encapsulation: Transport<br />
10. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: Triple DES<br />
Hash Alg: MD5<br />
Encapsulation: Transport<br />
11. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
22. Si la opción Perfect Forwarding Secrecy (PFS) está activada en el dispositivo <strong>NetScreen</strong> (grupo DF 1, 2 o 5), también debe estar activada para el cliente<br />
VPN en <strong>NetScreen</strong>-Remote.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 347
Capítulo 6 L2TP L2TP y L2TP sobre IPSec<br />
Hash Alg: SHA-1<br />
Encapsulation: Transport<br />
12. Haga clic en Key Exchange (Phase 2) > Create New Proposal : Seleccione los siguientes protocolos<br />
IPSec:<br />
13. Haga clic en File > Save Changes .<br />
Encapsulation Protocol (ESP): (seleccione)<br />
Encrypt Alg: DES<br />
Hash Alg: MD5<br />
Encapsulation: Transport<br />
También es necesario configurar la conexión de red para Windows 2000 utilizando el asistente para conexión de<br />
red.<br />
Nota: Cuando se configura el asistente para conexión de red, se debe introducir un nombre de host destino o una<br />
dirección IP. Introduzca 1.1.1.1. Posteriormente, cuando inicie la conexión y se le solicite el nombre de usuario y la<br />
contraseña, introduzca dialup-j, abc123. Para más información, consulte la documentación de Microsoft Windows<br />
2000.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 348
Capítulo 7<br />
Funciones de VPN avanzadas<br />
En este capítulo se tratan algunos usos más avanzados de la tecnología VPN:<br />
“NAT-Traversal” en la página 351<br />
– “Atravesar un dispositivo NAT” en la página 354<br />
– “Suma de comprobación de UDP” en la página 357<br />
– “Paquetes de mantenimiento de conexión” en la página 357<br />
– “Simetría iniciador/respondedor” en la página 358<br />
“Supervisión de VPNs” en la página 361<br />
– “Opciones de reencriptación y optimización” en la página 362<br />
– “Interfaz de origen y dirección de destino” en la página 363<br />
– “Consideraciones sobre directivas” en la página 365<br />
– “Configuración de la función de supervisión de VPN” en la página 365<br />
– “Objetos y capturas SNMP para la supervisión de VPN” en la página 380<br />
“Múltiples túneles por interfaz de túnel” en la página 381<br />
– “Asignación de rutas a túneles” en la página 382<br />
– “Direcciones de interlocutores remotos” en la página 383<br />
– “Entradas de tabla manuales y automáticas” en la página 385<br />
“Puertas de enlace VPN redundantes” en la página 441<br />
– “Grupos VPN” en la página 442<br />
– “Mecanismos de supervisión” en la página 443<br />
– “Comprobación de flag TCP SYN” en la página 447<br />
7<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 349
Capítulo 7 Funciones de VPN avanzadas<br />
“VPNs adosadas” en la página 460<br />
– “Ejemplo: VPNs adosadas” en la página 461<br />
“VPNs radiales” en la página 471<br />
– “Ejemplo: VPNs radiales” en la página 472<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 350
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal<br />
NAT-TRAVERSAL<br />
Los estándares de Internet NAT (Network Address Translation ) y NAPT (Network Address Port Translation)<br />
permiten que una red de área local (LAN) utilice un grupo de direcciones IP para el tráfico interno y un segundo<br />
grupo de direcciones para el tráfico externo. Los dispositivos NAT generan estas direcciones externas utilizando<br />
conjuntos predeterminados de direcciones IP.<br />
Cuando se configura un túnel IPSec, la presencia de un dispositivo NAT en la ruta de datos no afecta a las<br />
negociaciones IKE de fase 1 y fase 2, que siempre encapsulan paquetes IKE dentro de segmentos UDP (User<br />
Datagram Protocol). Sin embargo, si se aplica NAT a los paquetes IPSec una vez finalizadas las negociaciones de<br />
fase 2, el túnel fallará. Una de las muchas razones por las que NAT provoca el fallo de IPSec 1 es que en el<br />
protocolo ESP (Encapsulating Security Protocol), los dispositivos NAT no pueden distinguir la ubicación del<br />
encabezado de capa 4 para la traducción del puerto (porque está encriptado). En el protocolo de encabezado de<br />
autenticación (AH, o “Authentication Header”), los dispositivos NAT no pueden modificar el número de puerto, pero<br />
falla la comprobación de autenticación, que incluye el paquete IPSec completo.<br />
Para solucionar estos problemas, los dispositivos <strong>NetScreen</strong> y el cliente <strong>NetScreen</strong>-Remote (versión 6.0 o posterior 2 )<br />
pueden aplicar una función NAT-Traversal (NAT-T). NAT-T agrega una capa de encapsulación UDP a los paquetes<br />
IPSec si detecta al menos un dispositivo NAT en la ruta de datos durante los intercambios de fase 1, según lo<br />
establecido en las especificaciones IETF draft-ietf-ipsec-nat-t-ike-00.txt y draft-ietf-ipsec-udp-encaps-00.txt , así<br />
como en versiones más recientes de estas especificaciones.<br />
Los dispositivos NAT pueden crear otro problema si también están preparados para IKE/IPSec e intentan procesar<br />
paquetes con el número de puerto IKE 500 o con los números de protocolo 50 (para ESP) y 51 (para AH). Para<br />
evitar ese procesamiento intermedio de paquetes IKE, la versión 2 de las especificaciones IETF previamente<br />
mencionadas propone el desplazamiento (o “flotación”) de los números de puertos UDP 500 a 4500 para IKE. Para<br />
evitar el procesamiento intermedio de paquetes IPSec, ambas especificaciones 0 y 2 insertan un encabezado UDP<br />
entre el encabezado IP externo y el encabezado ESP o AH, cambiando así el valor 50 o 51 del campo “Protocol”<br />
1. Para obtener una lista de las incompatibilidades IPSec/NAT, consulte el documento draft-ietf-ipsec-nat-regts-00.txt de Bernard Aboba.<br />
2. <strong>NetScreen</strong>-Remote 6 y 7 es compatible con NAT-T según las especificaciones draft-ietf-ipsec-nat-t-ike-00.txt y draft-ietf-ipsec-udp-encaps-00.txt .<br />
<strong>NetScreen</strong>-Remote 8.2 es compatible con las especificaciones 02.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 351
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal<br />
(para ESP o AH, respectivamente) a 17 (para UDP). Además, el encabezado UDP insertado también utiliza el<br />
puerto 4500. La versión actual de ScreenOS es compatible con NAT-T de acuerdo con las especificaciones<br />
draft-ietf-ipsec-nat-t-ike-02.txt y draft-ietf-ipsec-udp-encaps-02.txt , así como con la versión 0 de estas<br />
especificaciones.<br />
Nota: <strong>NetScreen</strong> no admite NAT-T para los túneles de clave manual ni para el tráfico IPSec usando AH. <strong>NetScreen</strong><br />
sólo admite NAT-T para túneles AutoKey IKE con ESP.<br />
Sondeos de NAT<br />
Para comprobar si ambos extremos del túnel VPN admiten NAT-T, <strong>NetScreen</strong> envía dos hashes MD-5 en la carga<br />
de datos de ID del fabricante en los dos primeros intercambios de las negociaciones de fase 1, un hash para el<br />
título de la especificación 0 y otro para el título de la especificación 2:<br />
“4485152d 18b6bbcd 0be8a846 9579ddcc”, que es una transformación (“hash”) MD-5 de<br />
“draft-ietf-ipsec-nat-t-ike-00”<br />
“90cb8091 3ebb696e 086381b5 ec427b1f”, que es una transformación (“hash”) MD-5 de<br />
“draft-ietf-ipsec-nat-t-ike-02”<br />
Ambos interlocutores deben enviar y recibir al menos uno de estos valores en la ID de carga de datos del fabricante<br />
para que el sondeo NAT-T continúe. Si envían hashes correspondientes a ambas especificaciones, <strong>NetScreen</strong><br />
utiliza la implementación NAT-T correspondiente a la especificación 2.<br />
Si los dispositivos de cada punto terminal admiten NAT-T, se envían mutuamente cargas de datos NAT de<br />
descubrimiento (NAT-D) durante los intercambios tercero y cuarto de la fase 1 (modo principal) o durante los<br />
intercambios segundo y tercero (modo dinámico) 3 . Las cargas de datos de NAT-D contienen un hash negociado de<br />
la siguiente información:<br />
Hash del destino NAT-D:<br />
Cookie del iniciador (CKY-I)<br />
Cookie del respondedor (CKY-R)<br />
Dirección IP del interlocutor IKE remoto (de destino)<br />
Número del puerto de destino<br />
3. La carga de datos de descubrimiento NAT (“Nat-Discovery” o “NAT-D”) es un tipo de carga de datos IKE para NAT-T recientemente introducido. El número<br />
de tipo de carga de datos NAT-D es 0130. Para obtener una lista de otros tipos de carga de datos IKE, consulte “Paquetes IKE” en la página 16.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 352
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal<br />
Hash del origen NAT-D (uno o varios 4 ):<br />
Cookie del iniciador (CKY-I)<br />
Cookie del respondedor (CKY-R)<br />
Dirección IP del interlocutor IKE local (de origen)<br />
Número del puerto de origen<br />
Cuando cada interlocutor compara los hashes que recibe con los que envía, puede reconocer si entre ellos se ha<br />
producido una traducción de direcciones. La identificación de los paquetes modificados implica la de la ubicación<br />
del dispositivo NAT:<br />
Si coincide con entonces<br />
el hash de destino del<br />
interlocutor local<br />
al menos uno de los hashes de<br />
origen del interlocutor local<br />
al menos uno de los hashes de<br />
origen del interlocutor remoto<br />
el hash de destino del<br />
interlocutor remoto<br />
Si no coincide con entonces<br />
el hash de destino del<br />
interlocutor local<br />
al menos uno de los hashes de<br />
origen del interlocutor local<br />
al menos uno de los hashes de<br />
origen del interlocutor remoto<br />
el hash de destino del<br />
interlocutor remoto<br />
no se ha producido ninguna traducción de<br />
direcciones.<br />
no se ha producido ninguna traducción de<br />
direcciones.<br />
hay un dispositivo NAT delante del<br />
interlocutor remoto.<br />
hay un dispositivo NAT delante del<br />
interlocutor local.<br />
Conocer la ubicación del dispositivo NAT es importante porque los paquetes de mantenimiento de conexión IKE<br />
deben iniciarse desde el interlocutor situado detrás del dispositivo NAT. Consulte “Paquetes de mantenimiento de<br />
conexión” en la página 357.<br />
Si ambos interlocutores cumplen la especificación IETF 2, también desplazan (“flotan”) el número de puerto IKE de<br />
500 a 4500 tan pronto como detectan un dispositivo NAT entre ellos durante las negociaciones de la fase 1. En el<br />
modo principal, los números de puertos flotan a 4500 en los intercambios quinto y sexto de la fase 1, y<br />
posteriormente durante todos los intercambios de la fase 2. En modo dinámico, el número de puerto se desplaza al<br />
4500 en el tercer (y último) intercambio de la fase 1, y luego durante todos los intercambios de la fase 2. Los<br />
interlocutores también utilizan 4500 como número de puerto UDP para todo el tráfico IPSec subsiguiente.<br />
4. NAT-T admite múltiples hashes de origen NAT-D para dispositivos equipados con múltiples interfaces e implementaciones que no especifiquen una interfaz<br />
saliente.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 353
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal<br />
Atravesar un dispositivo NAT<br />
En la siguiente ilustración, un dispositivo NAT situado en el perímetro de la LAN de un hotel recibe un paquete de<br />
un cliente VPN de acceso telefónico con la dirección IP 2.1.1.5, asignada por el hotel. Para todo el tráfico saliente,<br />
el dispositivo NAT sustituye la dirección IP de origen en el encabezado externo por la nueva dirección 2.2.2.2.<br />
Durante las negociaciones de la fase 1, el cliente VPN y el dispositivo <strong>NetScreen</strong> detectan que los dos participantes<br />
VPN admiten NAT-T, que hay un dispositivo NAT en la ruta de datos y que se encuentra delante del cliente VPN.<br />
Hotel Empresa<br />
Cliente VPN de<br />
acceso telefónico<br />
Dispositivo NAT<br />
IP de origen 200.1.1.1 -> 210.2.2.2<br />
Internet<br />
Túnel VPN<br />
Dispositivo <strong>NetScreen</strong><br />
Si se encapsulan los paquetes IPSec dentro de paquetes UDP (cosa que harán tanto el cliente VPN como el<br />
dispositivo <strong>NetScreen</strong>) se resuelve el problema de fallo en la comprobación de autenticación. El dispositivo NAT los<br />
procesa como paquetes UDP, cambiando el puerto de origen en el encabezado UDP sin modificar el SPI en el<br />
encabezado AH o ESP. Los participantes VPN retiran la capa UDP y procesan los paquetes IPSec, que no tendrán<br />
problemas en la comprobación de autenticación, ya que los contenidos autenticados no habrán cambiado.<br />
Puede presentarse otro problema si el dispositivo NAT está preparado para IKE/IPSec. Un dispositivo NAT<br />
preparado para IKE/IPSec podría intentar procesar el tráfico IKE/IPSec en lugar de reenviarlo. Para impedir tal<br />
procesamiento intermedio, NAT-T (v2) cambia los números de puertos UDP de origen y de destino para IKE de 500<br />
a 4500. NAT-T también inserta un marcador no-ESP en el encabezado UDP justo antes de la carga de datos. Para<br />
el tráfico IPSec, NAT-T (v0 y v2) inserta un encabezado UDP entre el encabezado IP externo y el encabezado ESP.<br />
El paquete UDP también utiliza 4500 como número de ambos puertos, el de origen y el de destino.<br />
Según lo mencionado, NAT-T (v2) agrega un marcador no-ESP entre el encabezado y la carga de datos del<br />
segmento del UDP que encapsula el paquete ISAKMP. El marcador no ESP consta de 4 bytes a cero (0000) y se<br />
agrega al segmento UDP para distinguir un paquete ISAKMP encapsulado de un paquete encapsulado ESP, que<br />
no tiene tal marcador. Sin el marcador no ESP, el receptor no sabría si el paquete encapsulado era un paquete<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 354
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal<br />
ISAKMP o un paquete ESP, porque el encabezado UDP utiliza 4500 para ambos tipos. Utilizando este marcador se<br />
indica el tipo correcto de paquete encapsulado para que el receptor pueda desmultiplexarlo correctamente.<br />
Como puede comprobar en la ilustración siguiente, después de detectar un dispositivo NAT en la ruta de datos, los<br />
números de los puertos de origen y de destino en el encabezado UDP de un paquete IKE cambian de 500 a 4500.<br />
Asimismo, los puntos terminales del túnel VPN insertan un marcador no ESP entre el encabezado UDP y la carga de<br />
datos para distinguir el paquete ISAKMP encapsulado de un paquete ESP. El receptor puede utilizar este marcador<br />
para distinguir el paquete ISAKMP encapsulado de un paquete ESP y para desmultiplexarlo correctamente.<br />
Paquete IKE<br />
(Para las fases 1 y 2)<br />
Encabezado<br />
IP<br />
Segmento UDP<br />
Encabezado<br />
UDP<br />
Encabezado<br />
ISAKMP<br />
Puerto de origen ( 500 para IKE )<br />
Tamaño<br />
Segmento UDP después de detectar un dispositivo NAT<br />
Puerto de origen ( 4500 para IKE )<br />
Tamaño<br />
Carga de datos<br />
Nota: ISAKMP es el formato de paquetes utilizado por IKE.<br />
Carga de datos<br />
Marcador no ESP (0000)<br />
Carga de datos<br />
Puerto de destino ( 500 para IKE )<br />
Suma de comprobación<br />
Puerto de destino ( 4500 para IKE )<br />
Suma de comprobación<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 355
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal<br />
Como puede ver en la ilustración siguiente, después de detectar un dispositivo NAT en la ruta de datos, los puntos<br />
terminales del túnel VPN insertan un encabezado UDP adicional entre el encabezado IP externo y el encabezado<br />
ESP de un paquete IPSec. Dado que no hay ningún marcador no ESP, el receptor puede distinguir el paquete ESP<br />
encapsulado de un un paquete ISAKMP y desmultiplexar el paquete ESP correctamente.<br />
Paquete IPSec –<br />
Carga de seguridad encapsulada (ESP)<br />
Paquete IPSec<br />
Enviado por la puerta de<br />
enlace IKE<br />
Encabezado<br />
IP2<br />
Paquete IPSec ESP después de detectar un dispositivo NAT<br />
Encabezado<br />
IP2<br />
Encabezado<br />
ESP<br />
Paquete IPSec<br />
Enviado por la puerta de enlace IKE<br />
Encabezado<br />
UDP<br />
Encabezado<br />
IP1<br />
La puerta de enlace local agrega estos<br />
encabezados al paquete.<br />
Encabezado<br />
ESP<br />
La puerta de enlace local agrega<br />
estos encabezados al paquete.<br />
Encabezado UDP<br />
Puerto de origen ( 4500 para ESP )<br />
Tamaño<br />
Encabezado<br />
TCP<br />
Encabezado<br />
IP1<br />
Carga de datos<br />
Paquete original<br />
Enviado por el host<br />
Carga de datos<br />
Paquete original<br />
Enviado por el host iniciador<br />
Encabezado<br />
Carga de datos<br />
TCP<br />
Puerto de destino ( 4500 para ESP )<br />
Suma de comprobación<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 356
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal<br />
Suma de comprobación de UDP<br />
Todos los paquetes UDP contienen una suma de comprobación de UDP, un valor calculado que garantiza que los<br />
paquetes UDP no tienen errores de transmisión. Los dispositivos <strong>NetScreen</strong> no necesitan utilizar la suma de<br />
comprobación de UDP para NAT-T, de modo que la WebUI y la CLI presentan la suma de comprobación como<br />
ajuste opcional. Aún así, ciertos dispositivos NAT precisan de suma de comprobación, por lo que puede ser<br />
necesario habilitar o inhabilitar esta opción. De forma predeterminada, al habilitar NAT-T se incluye la suma de<br />
comprobación UDP.<br />
WebUI<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los parámetros necesarios para la nueva puerta<br />
de enlace del túnel tal y como se describe en el Capítulo 4, “VPNs punto a punto” en la página 103 o en el<br />
Capítulo 5, “VPNs de acceso telefónico” en la página 233, introduzca los siguientes datos y, finalmente,<br />
haga clic en OK :<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Enable NAT-Traversal: (seleccione)<br />
UDP Checksum: Enable<br />
CLI<br />
set ike gateway name nat-traversal udp-checksum<br />
unset ike gateway name nat-traversal udp-checksum<br />
Paquetes de mantenimiento de conexión<br />
Cuando un dispositivo NAT asigna una dirección IP a un host, el dispositivo NAT determina el intervalo de tiempo que<br />
la nueva dirección será válida si no hay tráfico. Por ejemplo, un dispositivo NAT podría invalidar cualquier dirección IP<br />
generada que no se utilice durante 20 segundos. Por eso, suele ser necesario que los participantes IPSec envíen<br />
periódicamente paquetes de mantenimiento de conexión (paquetes UDP vacíos) a través del dispositivo NAT, de<br />
forma que la asignación NAT no cambie hasta que las asociaciones de seguridad de fase 1 y fase 2 expiren.<br />
Nota: Los dispositivos NAT tienen distintos intervalos de tiempo de espera de sesión, dependiendo del fabricante y<br />
el modelo. Es importante determinar qué intervalo tiene el dispositivo NAT, para poder establecer un valor de<br />
frecuencia de mantenimiento de conexión por debajo de dicho intervalo.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 357
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal<br />
Simetría iniciador/respondedor<br />
Cuando dos dispositivos <strong>NetScreen</strong> establecen un túnel en ausencia de un dispositivo NAT, cada dispositivo puede<br />
funcionar como iniciador o respondedor. Sin embargo, si uno de los hosts se encuentra tras un dispositivo NAT,<br />
esta simetría iniciador/respondedor podría llegar a ser imposible. Esto sucede cuando el dispositivo NAT genera<br />
direcciones IP dinámicamente.<br />
Nota: Las zonas de seguridad ilustradas a continuación se<br />
muestran desde la perspectiva de <strong>NetScreen</strong>-B.<br />
Host A<br />
Zona Untrust Zona Trust<br />
<strong>NetScreen</strong>-A<br />
Internet<br />
Dispositivo<br />
NAT <strong>NetScreen</strong>-B<br />
Túnel<br />
1.2.1.1 1.1.1.250<br />
Conjunto de direcciones IP<br />
1.2.1.2 - 1.2.1.50<br />
Host B<br />
10.1.1.5<br />
El dispositivo NAT traduce la dirección IP de origen en<br />
paquetes que recibe del dispositivo <strong>NetScreen</strong> B, utilizando<br />
direcciones que toma de su conjunto de direcciones IP.<br />
En la ilustración anterior, <strong>NetScreen</strong>-B se encuentra en una subred situada tras un dispositivo NAT. Si el dispositivo<br />
NAT genera nuevas direcciones IP de origen para los paquetes que recibe desde <strong>NetScreen</strong>-B (tomándolas<br />
dinámicamente de un conjunto de direcciones IP), <strong>NetScreen</strong>-A no puede identificar inequívocamente a <strong>NetScreen</strong><br />
B. Por lo tanto, <strong>NetScreen</strong>-A no podrá iniciar con éxito un túnel con <strong>NetScreen</strong>-B. <strong>NetScreen</strong>-A debe actuar como<br />
respondedor, <strong>NetScreen</strong>-B como iniciador, y ambos deben realizar las negociaciones de fase 1 en modo dinámico.<br />
No obstante, si el dispositivo NAT genera la nueva dirección IP utilizando una dirección IP asignada (MIP) o<br />
cualquier otro método de direccionamiento “1:1”, <strong>NetScreen</strong> A podrá identificar de forma única a <strong>NetScreen</strong> B. En<br />
consecuencia, tanto <strong>NetScreen</strong>-A como <strong>NetScreen</strong>-B podrán actuar como iniciadores y ambos podrán utilizar el<br />
modo principal o dinámico en la fase 1.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 358
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal<br />
Nota: Si habilita NAT-T en un dispositivo <strong>NetScreen</strong> que actúa como respondedor y lo configura para que lleve a<br />
cabo las negociaciones IKE en modo principal, este dispositivo y todos sus interlocutores configurados en la misma<br />
interfaz de salida deberán usar las mismas propuestas de fase 1 y presentadas en el mismo orden. Los<br />
interlocutores podrán ser de los siguientes tipos:<br />
Interlocutor dinámico (interlocutores con direcciones IP asignadas dinámicamente)<br />
Usuarios VPN de acceso telefónico<br />
Interlocutores con direcciones IP estáticas tras un dispositivo NAT<br />
Como no es posible conocer la identidad de un interlocutor durante las negociaciones de fase 1 en modo principal<br />
hasta los dos últimos mensajes, las propuestas de fase 1 deberán ser iguales para que las negociaciones IKE se<br />
puedan llevar a cabo.<br />
Cuando se configura IKE en modo principal para uno de los tipos de interlocutor anteriormente mencionados en la<br />
misma interfaz de salida, el dispositivo <strong>NetScreen</strong> comprueba automáticamente que todas las propuestas de fase 1<br />
sean iguales y tengan el mismo orden. Si las propuestas son distintas, el dispositivo <strong>NetScreen</strong> generará un<br />
mensaje de error.<br />
Ejemplo: Habilitación de NAT-Traversal<br />
En el siguiente ejemplo, un dispositivo NAT ubicado en el perímetro de la red local de un hotel asigna una dirección<br />
al cliente VPN de acceso telefónico utilizado por Michael Smith, un comercial que está participando en una<br />
convención. Para que Michael Smith pueda acceder a la LAN corporativa por medio de un túnel VPN de acceso<br />
telefónico, se debe habilitar NAT-T para la puerta de enlace remota “msmith”, configurada en el dispositivo<br />
<strong>NetScreen</strong>, y para la puerta de enlace remota, configurada en el cliente VPN de acceso telefónico. También deberá<br />
habilitar el dispositivo <strong>NetScreen</strong> para que incluya una suma de comprobación de UDP en sus transmisiones, y<br />
establecer una frecuencia de mantenimiento de conexión de 8 segundos.<br />
Hotel Empresa<br />
Cliente VPN de acceso<br />
telefónico<br />
Dispositivo NAT<br />
Internet<br />
Túnel VPN<br />
Dispositivo <strong>NetScreen</strong><br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 359
Capítulo 7 Funciones de VPN avanzadas NAT-Traversal<br />
WebUI<br />
CLI<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los parámetros necesarios para la nueva puerta<br />
de enlace del túnel tal y como se describe en el Capítulo 4, “VPNs punto a punto” en la página 103 o en el<br />
Capítulo 5, “VPNs de acceso telefónico” en la página 233, introduzca los siguientes datos y, finalmente,<br />
haga clic en OK :<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Enable NAT-Traversal: (seleccione)<br />
UDP Checksum: Enable<br />
Keepalive Frequency: 8 segundos (0~300 Sec)<br />
Nota: Cuando se configura una VPN de acceso telefónico con CLI, el dispositivo <strong>NetScreen</strong> activa<br />
automáticamente NAT-Traversal.<br />
set ike gateway msmith nat-traversal<br />
set ike gateway msmith nat-traversal udp-checksum<br />
set ike gateway msmith nat-traversal keepalive-frequency 8<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 360
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
SUPERVISIÓN DE VPNS<br />
Cuando se habilita la supervisión de VPNs para un túnel específico, el dispositivo <strong>NetScreen</strong> envía peticiones de<br />
eco ICMP (o “pings”) a través del túnel en intervalos determinados (configurables en segundos) para supervisar la<br />
conectividad de la red a través del túnel 5 . Si la actividad de estas peticiones indica que el estado de supervisión de<br />
VPN ha cambiado, el dispositivo <strong>NetScreen</strong> activará una de las siguientes capturas del protocolo simple de gestión<br />
de redes (SNMP, o “Simple Network Management Protocol”):<br />
Up to Down: esta captura se produce cuando el estado de supervisión de VPN para el túnel está activo<br />
(up), pero un número consecutivo de peticiones de eco ICMP determinado no provoca respuesta y no hay<br />
otro tráfico VPN entrante 6 . Entonces el estado cambia a inactivo (down).<br />
Down to Up: cuando el estado de la supervisión de VPN es inactivo (down), pero la petición de eco ICMP<br />
obtiene una sola respuesta, el estado pasa a activo (up). La captura “down-to-up” sólo se produce si se ha<br />
inhabilitado la opción de reencriptación y la asociación de seguridad de fase 2 aún está activa cuando una<br />
petición de eco ICMP obtiene respuesta a través del túnel.<br />
Nota: Para obtener más información sobre los datos SNMP que proporciona la supervisión de VPN, consulte<br />
“Objetos y capturas SNMP para la supervisión de VPN” en la página 380.<br />
Usted aplica la supervisión de VPN por cada objeto VPN, no necesariamente por cada túnel VPN. Un objeto VPN<br />
es el que se define con el comando set vpn , o con sus equivalentes de WebUI. Una vez definido un objeto VPN,<br />
puede hacer referencia a él en unas o más directivas (creando VPNs basadas en directivas). Dado que ScreenOS<br />
deriva un túnel de VPN basada en directivas a partir de un objeto VPN más los demás parámetros de la directiva,<br />
un solo objeto VPN puede ser un elemento de numerosos túneles VPN. Esta distinción entre objeto VPN y túnel<br />
5. Para cambiar el intervalo de pings, puede utilizar el siguiente comando CLI: set vpnmonitor interval número . El intervalo predeterminado es de 10<br />
segundos.<br />
6. Para cambiar el límite de peticiones de eco ICMP consecutivas sin respuesta, puede utilizar el siguiente comando CLI: set vpnmonitor threshold number .<br />
El valor predeterminado es de 10 peticiones.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 361
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
VPN es importante porque <strong>Juniper</strong> <strong>Networks</strong> recomienda aplicar la supervisión de VPN a no más de 100 túneles<br />
IPSec VPN (si no habilita la optimización). Si habilita la optimización, no habrá límite al número de túneles VPN a<br />
los que pueda aplicar la supervisión de VPN. Para obtener información sobre la opción de optimización, consulte<br />
“Opciones de reencriptación y optimización” en la página 362.<br />
Nota: La optimización de la supervisión de VPN funciona objeto por objeto. Para activarla en todos los objetos de la<br />
VPN, en ninguno o sólo en algunos.<br />
Opciones de reencriptación y optimización<br />
Si se habilita la opción de reencriptación, el dispositivo <strong>NetScreen</strong> comienza a enviar peticiones de eco ICMP<br />
inmediatamente después de completar la configuración del túnel y seguirá enviándolas indefinidamente. Las<br />
peticiones de eco desencadenan un intento de iniciar negociaciones IKE para establecer un túnel VPN hasta que el<br />
estado de la supervisión de VPN para el túnel sea activo (up). A continuación, el dispositivo <strong>NetScreen</strong> utiliza las<br />
peticiones de eco con fines de supervisión de VPN. Si el estado de la supervisión de VPN para el túnel pasa de<br />
activo a inactivo, el dispositivo <strong>NetScreen</strong> desactivará su asociación de seguridad (SA) de fase 2 para ese<br />
interlocutor. El dispositivo <strong>NetScreen</strong> continuará enviando peticiones de eco a su interlocutor según los intervalos<br />
definidos, desencadenando intentos de reiniciar las negociaciones IKE de fase 2 (y las de fase 1, si fuera necesario)<br />
hasta que tenga éxito. En ese momento, el dispositivo <strong>NetScreen</strong> reactivará la asociación de seguridad de fase 2,<br />
generará una nueva clave y restablecerá el túnel. En el registro de eventos aparecerá un mensaje indicando que se<br />
ha realizado correctamente una operación de reencriptación 7 .<br />
La opción de reencriptación se puede utilizar para garantizar que un túnel AutoKey IKE siempre esté activo, quizá<br />
para supervisar dispositivos en la ubicación remota o para permitir que los protocolos de enrutamiento dinámico<br />
memoricen rutas en una ubicación remota y transmitir mensajes a través del túnel. Otra aplicación de la supervisión<br />
de VPN con la opción de reencriptación es completar automáticamente la tabla de asociación de túneles a saltos<br />
siguientes (tabla NHTB) y la tabla de rutas cuando se asocian múltiples túneles VPN a una sola interfaz de túnel.<br />
Para ver un ejemplo de este último uso, consulte “Múltiples túneles por interfaz de túnel” en la página 381.<br />
Si desactiva la opción de reencriptación, el dispositivo <strong>NetScreen</strong> sólo realizará la supervisión de VPN cuando el<br />
túnel esté activo con tráfico generado por el usuario.<br />
7. Si un dispositivo <strong>NetScreen</strong> es un cliente DHCP, una actualización de DHCP en una dirección distinta hará que IKE se reencripte. Sin embargo, una<br />
actualización de DHCP en la misma dirección no provocará la reencriptación de IKE.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 362
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
De forma predeterminada, la optimización de la supervisión de VPN está inhabilitada. Si la habilita ( set vpn name<br />
monitor optimized ), el comportamiento de la supervisión de VPN cambiará tal y como se indica a continuación:<br />
El dispositivo <strong>NetScreen</strong> considerará el tráfico entrante a través del túnel VPN equivalente a las respuestas<br />
de eco ICMP. Si se acepta tráfico entrante en sustitución de las respuestas de eco ICMP se pueden reducir<br />
las falsas alarmas que podrían producirse cuando hay mucho tráfico a través del túnel y las respuestas de<br />
eco no consiguen pasar.<br />
Si hay tráfico entrante y saliente a través del túnel VPN, el dispositivo <strong>NetScreen</strong> también suprimirá las<br />
peticiones de eco de supervisión de VPN. Esto puede contribuir a reducir el tráfico de red.<br />
Aunque la optimización de supervisión de VPN presenta algunas ventajas, observe que la supervisión deja de<br />
ofrecer estadísticas SNMP precisas, como el tiempo de retardo de red de VPN, cuando se activa la opción de<br />
optimización. Además, si se utiliza la supervisión de VPN para hacer un seguimiento de la disponibilidad de una<br />
dirección IP de destino en el extremo remoto de un túnel, la función de optimización puede hacer que los resultados<br />
sean erróneos.<br />
Interfaz de origen y dirección de destino<br />
De forma predeterminada, la función de supervisión de VPN utiliza la dirección IP de la interfaz de salida local como<br />
dirección de origen y la dirección IP de la puerta de enlace remota como dirección de destino. Si el interlocutor<br />
remoto es un cliente VPN de acceso telefónico (como <strong>NetScreen</strong>-Remote) con una dirección IP interna, el<br />
dispositivo <strong>NetScreen</strong> detectará automáticamente su dirección interna y la utilizará como destino. El cliente VPN<br />
puede ser un usuario XAuth con una dirección IP interna asignada, un usuario VPN o el miembro de un grupo VPN<br />
de acceso telefónico con una dirección IP interna. También puede especificar el uso de otras direcciones IP de<br />
origen y destino para la supervisión de VPN, sobre todo para permitir la supervisión de VPN cuando el otro extremo<br />
de un túnel VPN no es un dispositivo <strong>NetScreen</strong>.<br />
Como la supervisión de VPN funciona de forma independiente en las ubicaciones local y remota, la dirección de<br />
origen configurada en el dispositivo ubicado en un extremo del túnel no tiene por qué ser la dirección de destino<br />
configurada en el dispositivo ubicado en el otro extremo. De hecho, es posible habilitar la supervisión de VPN en<br />
ambos extremos del túnel o sólo en uno de ellos.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 363
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
<strong>NetScreen</strong>-A –> <strong>NetScreen</strong>-B<br />
<strong>NetScreen</strong>-A envía peticiones<br />
de eco desde su interfaz de<br />
salida a la puerta de enlace<br />
remota; es decir, desde la<br />
interfaz de zona Untrust en<br />
<strong>NetScreen</strong>-A a la interfaz de<br />
zona Untrust en <strong>NetScreen</strong>-B.<br />
(comportamiento predeterminado)<br />
<strong>NetScreen</strong>-A –> <strong>NetScreen</strong>-Remote<br />
<strong>NetScreen</strong>-A envía peticiones de<br />
eco desde la interfaz de zona<br />
Trust a <strong>NetScreen</strong>-Remote.<br />
<strong>NetScreen</strong>-Remote necesita una<br />
directiva que admita el tráfico<br />
ICMP entrante desde una<br />
dirección más allá de la puerta<br />
de enlace remota; es decir,<br />
desde más allá de la interfaz de<br />
zona Untrust de <strong>NetScreen</strong>-A.<br />
LAN<br />
Zona Trust<br />
<strong>NetScreen</strong>-A<br />
Dirección origen:<br />
interfaz de la zona Trust<br />
LAN<br />
<strong>NetScreen</strong>-A –> Terminador de VPN de otro fabricante<br />
<strong>NetScreen</strong>-A envía peticiones<br />
de eco desde la interfaz de zona<br />
Trust a un dispositivo ubicado<br />
más allá de la puerta de enlace<br />
remota. Esto podría ser<br />
necesario si el interlocutor<br />
remoto no responde a<br />
peticiones de eco pero admite<br />
directivas que permitan el tráfico<br />
entrante de estas peticiones de<br />
eco.<br />
<strong>NetScreen</strong>-A<br />
<strong>NetScreen</strong>-A<br />
Dirección origen:<br />
interfaz de salida<br />
Túnel VPN<br />
Túnel VPN<br />
Túnel VPN<br />
Dirección destino:<br />
puerta de enlace remota<br />
<strong>NetScreen</strong>-B<br />
Zona Untrust<br />
Zona Trust<br />
Zona Untrust<br />
Nota: <strong>NetScreen</strong>-A precisa de una directiva que permita el tráfico de peticiones de eco de la zona Trust<br />
a la zona Untrust.<br />
Dirección origen:<br />
interfaz de la zona Trust<br />
LAN<br />
Zona Trust Zona Untrust<br />
Dirección destino:<br />
<strong>NetScreen</strong>-Remote<br />
Dirección destino:<br />
servidor FTP<br />
Terminador de VPN<br />
de otro fabricante<br />
Nota: <strong>NetScreen</strong>-A precisa de una directiva que permita el tráfico de peticiones de eco de la zona Trust<br />
a la zona Untrust.<br />
Nota: Si al otro lado de un túnel se encuentra un cliente de VPN <strong>NetScreen</strong>-Remote que recibe su dirección a<br />
través de XAuth, el dispositivo <strong>NetScreen</strong> utilizará de forma predeterminada la dirección IP asignada a XAuth como<br />
destino para la supervisión de VPN. Para obtener más información sobre XAuth, consulte “Usuarios y grupos de<br />
usuarios XAuth” en la página 8 -83.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 364<br />
LAN
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
Consideraciones sobre directivas<br />
Debe crear una directiva en el dispositivo de envío para permitir que las peticiones de eco procedentes de la zona<br />
donde se encuentra la interfaz de origen pasen a través del túnel VPN a la zona que contiene la dirección de<br />
destino si:<br />
La interfaz de origen se encuentra en una zona distinta de la dirección de destino.<br />
La interfaz de origen se encuentra en la misma zona que la dirección de destino y está habilitado el bloqueo<br />
intrazonal.<br />
Asimismo, debe crear una directiva en el dispositivo receptor para permitir que las peticiones de eco procedentes<br />
de la zona donde se encuentra la dirección de origen pasen a través del túnel VPN a la zona que contiene la<br />
dirección de destino si:<br />
La dirección de destino se encuentra en una zona distinta de la dirección de origen.<br />
La dirección de destino se encuentra en la misma zona que la dirección de origen y está habilitado el<br />
bloqueo intrazonal.<br />
Nota: Si el dispositivo receptor es un producto de otro fabricante que no responde a las peticiones de eco ICMP,<br />
cambie el destino a un host interno en la LAN del interlocutor remoto que sí responda. El cortafuegos del<br />
interlocutor remoto siempre debe disponer de una directiva que permita el paso de las peticiones de eco ICMP.<br />
Configuración de la función de supervisión de VPN<br />
Para habilitar la supervisión de VPN, siga estos pasos:<br />
WebUI<br />
VPNs > AutoKey IKE > New: Configure la VPN, haga clic en Advanced , introduzca los siguientes datos,<br />
haga clic en Return para regresar a la página de configuración básica de VPN y, finalmente, haga clic en<br />
OK :<br />
VPN Monitor : seleccione la opción para habilitar la supervisión de VPN en<br />
este túnel VPN.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 365
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
(o bien)<br />
Source Interface: elija una interfaz en la lista desplegable. Si elige “default”,<br />
el dispositivo <strong>NetScreen</strong> utilizará la interfaz de salida.<br />
Destination IP: introduzca una dirección IP de destino. Si no introduce ningún<br />
dato, el dispositivo <strong>NetScreen</strong> utilizará la dirección IP de puerta de enlace<br />
remota.<br />
Rekey: seleccione esta opción si desea que el dispositivo <strong>NetScreen</strong> intente<br />
realizar las negociaciones IKE de fase 2 (y de fase 1 si fuera necesario) si<br />
el estado del túnel cambia de activo a inactivo. Cuando seleccione esta<br />
opción, el dispositivo <strong>NetScreen</strong> intentará realizar las negociaciones IKE<br />
para configurar el túnel y comenzar la supervisión de VPN inmediatamente<br />
después de terminar la configuración.<br />
Anule la selección de esta opción si no desea que el dispositivo <strong>NetScreen</strong><br />
intente realizar las negociaciones IKE cuando el estado del túnel cambie<br />
de activo a inactivo. Si la opción de reencriptación está inhabilitada, la<br />
supervisión de VPN comenzará cuando el tráfico generado por el usuario<br />
haya desencadenado el inicio de las negociaciones IKE y se detendrá<br />
cuando el estado del túnel pase de activo a inactivo.<br />
VPNs > Manual Key > New: Configure la VPN, haga clic en Advanced , introduzca los siguientes datos,<br />
haga clic en Return para regresar a la página de configuración básica de VPN y, finalmente, haga clic en<br />
OK :<br />
VPN Monitor : seleccione la opción para habilitar la supervisión de VPN en<br />
este túnel VPN.<br />
Source Interface: elija una interfaz en la lista desplegable. Si elige “default”,<br />
el dispositivo <strong>NetScreen</strong> utilizará la interfaz de salida.<br />
Destination IP: introduzca una dirección IP de destino. Si no introduce ningún<br />
dato, el dispositivo <strong>NetScreen</strong> utilizará la dirección IP de puerta de enlace<br />
remota.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 366
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
CLI<br />
set vpnmonitor frequency number 8<br />
set vpnmonitor threshold number 9<br />
set vpn name_str monitor [ source-interface interface 10 [ destination-ip<br />
ip_addr 11 ] ] [optimized] [ rekey 12 ]<br />
save<br />
8. La frecuencia de supervisión de VPN se mide en segundos. El intervalo predeterminado es de 10 segundos.<br />
9. El límite (threshold) de supervisión de VPN es el número de peticiones de eco ICMP seguidas sin respuesta que determina si la puerta de enlace remota<br />
es accesible a través del túnel o no. El límite predeterminado es de 10 peticiones de eco ICMP consecutivas con respuesta o 10 peticiones consecutivas<br />
sin respuesta.<br />
10. Si no elige una interfaz de origen, el dispositivo <strong>NetScreen</strong> utilizará la interfaz de salida como predeterminada.<br />
11. Si no elige una dirección IP de destino, el dispositivo <strong>NetScreen</strong> utilizará la dirección IP de la puerta de enlace remota.<br />
12. La opción de reencriptación no está disponible para los túneles VPN con clave manual.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 367
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
Ejemplo: Especificación de las direcciones de origen y destino para la supervisión<br />
de VPN<br />
En este ejemplo configuraremos un túnel VPN AutoKey IKE entre dos dispositivos <strong>NetScreen</strong> (<strong>NetScreen</strong>-A y<br />
<strong>NetScreen</strong>-B). En el dispositivo A, configure la supervisión de VPN desde su interfaz de zona Trust (ethernet1) a la<br />
interfaz de zona Trust (10.2.1.1/24) del dispositivo <strong>NetScreen</strong>-B. En <strong>NetScreen</strong>-B, configure la supervisión de VPN<br />
desde su interfaz de zona Trust interface (ethernet1) a un servidor de red local corporativa (10.1.1.5) ubicado tras<br />
<strong>NetScreen</strong>-A.<br />
<strong>NetScreen</strong>-A<br />
Zonas e interfaces<br />
<strong>NetScreen</strong>-B<br />
ethernet1<br />
ethernet1<br />
- Zona: Trust<br />
- Zona: Trust<br />
- Dirección IP: 10.1.1.1/24<br />
- Dirección IP: 10.2.1.1/24<br />
- Modo de interfaz: NAT<br />
- Modo de interfaz: NAT<br />
ethernet3<br />
- Zona: Untrust<br />
- Dirección IP: 1.1.1.1/24<br />
Parámetros de túnel AutoKey IKE basado en rutas<br />
Fase 1<br />
- Nombre de puerta de enlace: gw1<br />
- Dirección IP estática de puerta de enlace: 2.2.2.2<br />
- Nivel de seguridad: Compatible *<br />
- Clave previamente compartida: Ti82g4aX<br />
- Interfaz de salida: ethernet3<br />
- Modo: Principal<br />
Fase 2<br />
- Nombre de túnel VPN: vpn1<br />
- Nivel de seguridad: Compatible †<br />
- Supervisión de VPN: src = ethernet1; dst = 10.2.1.1<br />
- Asociado a interfaz: tunnel.1<br />
ethernet3<br />
- Zona: Untrust<br />
- Dirección IP: 2.2.2.2/24<br />
Fase 1<br />
- Nombre de puerta de enlace: gw1<br />
- Dirección IP estática de puerta de enlace: 1.1.1.1<br />
- Propuestas: Compatible<br />
- Clave previamente compartida: Ti82g4aX<br />
- Interfaz de salida: ethernet3<br />
- Modo: Principal<br />
Fase 2<br />
- Nombre de túnel VPN: vpn1<br />
- Nivel de seguridad: Compatible<br />
- Supervisión de VPN: src = ethernet1; dst = 10.1.1.5<br />
- Asociado a interfaz: tunnel.1<br />
* El nivel de seguridad Compatible en la fase 1 incluye las siguientes propuestas: pre-g2-3des-sha, pre-g2-3des-md5, pre-g2-des-sha y pre-g2-des-md5.<br />
†<br />
El nivel de seguridad Compatible en la fase 2 incluye las siguientes propuestas: nopfs-esp-3des-sha, nopfs-esp-3des-md5, nopfs-esp-des-sha<br />
y nopfs-esp-des-md5.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 368
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
<strong>NetScreen</strong>-A <strong>NetScreen</strong>-B<br />
Rutas<br />
A 0.0.0.0/0, utilizar ethernet3, puerta de enlace<br />
1.1.1.250<br />
A 10.2.1.0/24, utilizar tunnel.1, sin puerta de enlace<br />
(Ruta nula: para derivar el tráfico a 10.2.1.0/24 si<br />
tunnel.1 se desactiva) Para 10.2.1.0/24, utilizar interfaz<br />
nula, métrica: 10<br />
Como los dos dispositivos envían peticiones de eco ICMP desde una interfaz en su zona Trust a una dirección de<br />
su zona Untrust, los administradores en ambos extremos del túnel VPN deben definir directivas que permitan que<br />
las peticiones pasen de una zona a otra.<br />
WebUI (<strong>NetScreen</strong>-A)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Introduzca los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
A 0.0.0.0/0, utilizar ethernet3, puerta de enlace<br />
2.2.2.250<br />
A 10.1.1.0/24, utilizar tunnel.1, sin puerta de enlace<br />
(Ruta nula: para derivar el tráfico a 10.1.1.0/24 si<br />
tunnel.1 se desactiva) Para 10.1.1.0/24, utilizar interfaz<br />
nula, métrica: 10<br />
Nota: Como los dos terminadores VPN de este ejemplo son dispositivos <strong>NetScreen</strong>, es posible utilizar las<br />
direcciones predeterminadas de origen y destino para la supervisión VPN. El uso de otras opciones se incluye<br />
únicamente para ilustrar la configuración de un dispositivo <strong>NetScreen</strong> para que pueda utilizarlas.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 369
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
Network > Interfaces > Tunnel IF New: Introduzca los siguientes datos y haga clic en OK :<br />
2. Direcciones<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Trust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet1(trust-vr)<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Trust_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Remote_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.1.0/24<br />
Zone: Untrust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 370
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
3. VPN<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: vpn1<br />
Security Level: Compatible<br />
Remote Gateway:<br />
Create a Simple Gateway: (seleccione)<br />
Gateway Name: gw1<br />
Type:<br />
Static IP: (seleccione), Address/Hostname: 2.2.2.2<br />
Preshared Key: Ti82g4aX<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface, tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 10.1.1.0/24<br />
Remote IP / Netmask: 10.2.1.0/24<br />
Service: ANY<br />
VPN Monitor: (seleccione)<br />
Source Interface: ethernet1<br />
Destination IP: 10.2.1.1<br />
Rekey: (anule la selección)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 371
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
4. Rutas<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.2.1.0/24<br />
Gateway: (seleccione)<br />
Interface: Tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
5. Directivas<br />
Network Address / Netmask: 10.2.1.0/24<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Remote_LAN<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 372
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
WebUI (<strong>NetScreen</strong>-B)<br />
1. Interfaces<br />
Source Address:<br />
Address Book Entry: (seleccione), Remote_LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Service: Any<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.2.1.1/24<br />
Introduzca los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.2.2.2/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 373
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
Network > Interfaces > Tunnel IF New: Introduzca los siguientes datos y haga clic en OK :<br />
2. Direcciones<br />
3. VPN<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Trust (trust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet1(trust-vr)<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Trust_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.1.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Remote_LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Untrust<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: vpn1<br />
Security Level: Compatible<br />
Remote Gateway:<br />
Create a Simple Gateway: (seleccione)<br />
Gateway Name: gw1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 374
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
Type:<br />
Static IP: (seleccione), Address/Hostname: 1.1.1.1<br />
Preshared Key: Ti82g4aX<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface, tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 10.2.1.0/24<br />
Remote IP / Netmask: 10.1.1.0/24<br />
Service: ANY<br />
VPN Monitor: (seleccione)<br />
Source Interface: ethernet1<br />
Destination IP: 10.1.1.5<br />
Rekey: (anule la selección)<br />
4. Rutas<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.250<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 375
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK:<br />
Network Address/Netmask: 10.1.1.0/24<br />
Gateway: (seleccione)<br />
Interface: Tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK:<br />
Network Address / Netmask: 10.1.1.0/24<br />
Gateway: (seleccione)<br />
Interface: Null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
5. Directivas<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:<br />
Source Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Remote_LAN<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 376
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Remote_LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Trust_LAN<br />
Service: Any<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 377
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
CLI (<strong>NetScreen</strong>-A)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
set interface tunnel.1 zone trust<br />
set interface tunnel.1 ip unnumbered interface ethernet1<br />
2. Direcciones<br />
set address trust Trust_LAN 10.1.1.0/24<br />
set address untrust Remote_LAN 10.2.1.0/24<br />
3. VPN<br />
set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshare<br />
Ti82g4aX sec-level compatible<br />
set vpn vpn1 gateway gw1 sec-level compatible<br />
set vpn vpn1 bind interface tunnel.1<br />
set vpn vpn1 proxy-id local-ip 10.1.1.0/24 remote-ip 10.2.1.0/24 any<br />
set vpn vpn1 monitor source-interface ethernet1 destination-ip 10.2.1.1<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
set vrouter trust-vr route 10.2.1.0/24 interface tunnel.1<br />
set vrouter trust-vr route 10.2.1.0/24 interface null metric 10<br />
5. Directivas<br />
set policy top from trust to untrust Trust_LAN Remote_LAN any permit<br />
set policy top from untrust to trust Remote_LAN Trust_LAN any permit<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 378
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
CLI (<strong>NetScreen</strong>-B)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.2.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.2/24<br />
set interface tunnel.1 zone trust<br />
set interface tunnel.1 ip unnumbered interface ethernet1<br />
2. Direcciones<br />
set address trust Trust_LAN 10.2.1.0/24<br />
set address untrust Remote_LAN 10.1.1.0/24<br />
3. VPN<br />
set ike gateway gw1 address 1.1.1.1 main outgoing-interface ethernet3 preshare<br />
Ti82g4aX sec-level compatible<br />
set vpn vpn1 gateway gw1 sec-level compatible<br />
set vpn vpn1 bind interface tunnel.1<br />
set vpn vpn1 proxy-id local-ip 10.2.1.0/24 remote-ip 10.1.1.0/24 any<br />
set vpn vpn1 monitor source-interface ethernet1 destination-ip 10.1.1.5<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250<br />
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.1<br />
set vrouter trust-vr route 10.1.1.0/24 interface null metric 10<br />
5. Directivas<br />
set policy top from trust to untrust Trust_LAN Remote_LAN any permit<br />
set policy top from untrust to trust Remote_LAN Trust_LAN any permit<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 379
Capítulo 7 Funciones de VPN avanzadas Supervisión de VPNs<br />
Objetos y capturas SNMP para la supervisión de VPN<br />
ScreenOS permite determinar el estado y las condiciones de las VPN activas utilizando objetos y capturas SNMP<br />
(Simple Network Management Protocol) para la supervisión de VPN. La MIB de supervisión de VPN indica si cada<br />
petición de eco ICMP provoca una respuesta, un promedio actualizado de respuestas enviadas correctamente, la<br />
latencia de la respuesta y la latencia media de los últimos 30 intentos.<br />
Nota: Para permitir que la aplicación de gestión SNMP reconozca las MIBs de supervisión de VPN, es necesario<br />
importar en la aplicación los archivos de extensión MIB específicos de <strong>NetScreen</strong>. Puede encontrar los archivos de<br />
extensión MIB en el CD de documentación de <strong>NetScreen</strong> que recibió con su dispositivo <strong>NetScreen</strong>.<br />
Si se habilita la función de supervisión de VPN en un túnel VPN AutoKey IKE o con clave manual, el dispositivo<br />
<strong>NetScreen</strong> activará sus objetos SNMP de supervisión de VPN, que incluyen los siguientes datos:<br />
Número total de sesiones de VPN activas<br />
Hora en la que se inició cada sesión<br />
Elementos de asociación de seguridad (SA) de cada sesión:<br />
– Tipos de algoritmos de encriptación (DES o 3DES) y de autenticación (MD5 o SHA-1) ESP<br />
– Tipo de algoritmo de encabezado de autenticación (MD5 o SHA-1)<br />
– Protocolo de intercambio de claves (AutoKey IKE o clave manual)<br />
– Método de autenticación de fase 1 (clave previamente compartida o certificados)<br />
– Tipo de VPN (acceso telefónico o punto a punto)<br />
– Direcciones IP de interlocutor y puerta de enlace local<br />
– IDs de interlocutor y puerta de enlace local<br />
– Número SPI (índice de parámetro de seguridad, “Security Parameter Index”)<br />
Parámetros de estado de sesión<br />
– Estado de supervisión de VPN (activo o inactivo)<br />
– Estado de túnel (activo o inactivo)<br />
– Estado de fase 1 y 2 (inactivo o activo)<br />
– Periodo de vigencia de fase 1 y 2 (tiempo en segundos antes de la reencriptación; el periodo de<br />
vigencia de fase 2 también se registra en bytes restantes antes de la reencriptación)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 380
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
MÚLTIPLES TÚNELES POR INTERFAZ DE TÚNEL<br />
Es posible asociar múltiples túneles VPN IPSec a una sola interfaz de túnel. Para vincular un destino específico a<br />
uno de los túneles VPN asociados a la misma interfaz de túnel, el dispositivo <strong>NetScreen</strong> utiliza dos tablas: la tabla<br />
de rutas y la de asociación de túneles a saltos siguientes (NHTB). El dispositivo <strong>NetScreen</strong> asigna la dirección IP de<br />
puerta de enlace al siguiente salto, especificada en la entrada de la tabla de rutas, a un túnel VPN particular<br />
especificado en la tabla NHTB. Con esta técnica, una sola interfaz de túnel puede admitir varios túneles VPN.<br />
(Consulte “Asignación de rutas a túneles” en la página 382.)<br />
Túneles VPN basados en rutas<br />
para múltiples interlocutores<br />
remotos.<br />
Todos los túneles comparten<br />
la misma interfaz de túnel.<br />
Dispositivo <strong>NetScreen</strong> local<br />
El dispositivo <strong>NetScreen</strong> puede ordenar el tráfico VPN enviado a través de una sola interfaz de túnel<br />
a tantos túneles VPN como admita la tabla de rutas o la capacidad del túnel VPN (lo que sea menor).<br />
El número máximo de túneles VPN no está limitado por el número de interfaces de túnel que se puedan crear, sino<br />
por la capacidad de la tabla de rutas o el número máximo de túneles VPN dedicados admitido (lo que sea menor).<br />
Por ejemplo, si el dispositivo <strong>NetScreen</strong> admite 4.000 rutas y 1.000 túneles VPN dedicados, será posible crear<br />
1.000 túneles VPN y asociarlos a una sola interfaz de túnel. Si el dispositivo <strong>NetScreen</strong> admite 8.192 rutas y 10.000<br />
túneles VPN dedicados, será posible crear 8.000 túneles VPN y asociarlos a una sola interfaz de túnel 13 . Para ver la<br />
capacidad máxima de rutas y túneles de su dispositivo <strong>NetScreen</strong>, consulte la hoja de datos correspondiente del<br />
producto.<br />
13. Si la capacidad de la tabla de rutas es lo que va a establecer el límite, deberá restar al total de túneles VPN basados en rutas las rutas generadas<br />
automáticamente por las interfaces de zona de seguridad y otras rutas estáticas (como la ruta a la puerta de enlace predeterminada) que tendrá que definir.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 381
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Asignación de rutas a túneles<br />
Para ordenar el tráfico a través de túneles VPN asociados a la misma interfaz de túnel, el dispositivo <strong>NetScreen</strong><br />
asigna la dirección IP de la puerta de enlace al salto siguiente especificada en la ruta a un nombre de túnel VPN<br />
determinado. La asignación de entradas en la tabla de rutas a entradas en la tabla NHTB se muestra a<br />
continuación. En la siguiente ilustración, el dispositivo <strong>NetScreen</strong> local enruta el tráfico enviado de 10.2.1.5 a<br />
10.1.1.5 a través de la interfaz tunnel.1 y, a continuación, a través de vpn2.<br />
10.2.1.5<br />
10.2.0.0/16<br />
LAN de zona<br />
Trust<br />
Dispositivo <strong>NetScreen</strong> local<br />
con múltiples túneles<br />
asignados a la interfaz<br />
tunnel.1<br />
tunnel.1<br />
vpn1<br />
vpn2<br />
vpn3<br />
10.1.1.1<br />
10.1.3.1<br />
Interlocutores VPN remotos (con direcciones IP<br />
externas asignadas dinámicamente y direcciones<br />
IP de interfaz de túnel fijas) y sus LAN protegidas<br />
10.1.2.1<br />
10.1.0.0/24<br />
10.1.2.0/24<br />
10.1.1.0/24<br />
10.1.1.5<br />
Tabla de rutas Tabla de asociación de túneles a saltos siguientes<br />
ID IP-Prefix (Dst) Interface Gateway Next-Hop VPN Flag<br />
1 10.1.0.0/24 tunnel.1 10.1.1.1 10.1.1.1 vpn1 static<br />
2 10.1.1.0/24 tunnel.1 10.1.2.1 10.1.2.1 vpn2 static<br />
3 10.1.2.0/24 tunnel.1 10.1.3.1 10.1.3.1 vpn3 static<br />
Se puede utilizar un protocolo de enrutamiento<br />
dinámico como Border Gateway Protocol (BGP) para<br />
rellenar la tabla de rutas automáticamente, o bien<br />
introducir manualmente estas rutas. La dirección IP de<br />
la puerta de enlace es la dirección de la interfaz de túnel<br />
en la ubicación del interlocutor remoto.<br />
Durante las negociaciones de fase 2, los dos interlocutores<br />
IKE intercambian direcciones de interfaz de túnel e introducen<br />
automáticamente estas asociaciones de túnel a salto<br />
siguiente. De forma opcional también se pueden introducir<br />
manualmente. La dirección IP del siguiente salto será la<br />
dirección IP de interfaz de túnel del interlocutor remoto.<br />
En las entradas anteriores, la dirección IP de la puerta de enlace en la tabla de rutas, que también es la dirección IP<br />
de salto siguiente en la tabla NHTB, es la interfaz de túnel en la ubicación del interlocutor remoto. Esta dirección IP<br />
vincula la ruta (y, en consecuencia, la interfaz de túnel especificada en la ruta) a un túnel VPN determinado para el<br />
tráfico destinado al prefijo IP especificado.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 382
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
El dispositivo <strong>NetScreen</strong> utiliza la dirección IP de la interfaz de túnel del interlocutor remoto como puerta de enlace<br />
y dirección IP del salto siguiente. Puede introducir la ruta manualmente o hacer que un protocolo de enrutamiento<br />
dinámico introduzca automáticamente una ruta que haga referencia a la dirección IP de interfaz de túnel del<br />
interlocutor como puerta de enlace en la tabla de rutas. La misma dirección IP se tiene que introducir como salto<br />
siguiente, junto con el nombre de túnel VPN correspondiente, en la tabla NHTB. Una vez más, dispone de dos<br />
alternativas: puede introducirla manualmente o hacer que el dispositivo <strong>NetScreen</strong> la recoja del interlocutor remoto<br />
durante las negociaciones de fase 2 y la introduzca manualmente.<br />
El dispositivo <strong>NetScreen</strong> utiliza la dirección IP de puerta de enlace en la entrada de la tabla de rutas y la dirección IP<br />
de salto siguiente en la entrada de la tabla NHTB como elemento común para vincular la interfaz de túnel con el<br />
túnel VPN correspondiente. El dispositivo <strong>NetScreen</strong> puede así dirigir el tráfico destinado al prefijo IP especificado<br />
en la ruta con el túnel VPN adecuado especificado en la tabla NHTB.<br />
Direcciones de interlocutores remotos<br />
El esquema de direccionamiento interno de los interlocutores remotos a los que se accede por VPNs basadas en<br />
rutas debe ser único para todos ellos. Una forma de conseguirlo es realizar una traducción de direcciones de red<br />
(NAT) de las direcciones de origen y de las de destino por cada interlocutor remoto. Además, las direcciones IP de<br />
interfaz de túnel también deben ser únicas para todos los interlocutores remotos. Si pretende conectar un gran<br />
número de ubicaciones remotas, será absolutamente necesario elaborar un esquema de direcciones. A<br />
continuación se muestra un ejemplo de esquema de direcciones para un máximo de 1.000 túneles VPN:<br />
Dst en tabla de<br />
rutas local<br />
Interfaz de túnel local Puerta de enlace/salto<br />
siguiente<br />
(interfaz de túnel de<br />
interlocutor)<br />
10.0.3.0/24 tunnel.1 10.0.2.1/24 vpn1<br />
10.0.5.0/24 tunnel.1 10.0.4.1/24 vpn2<br />
10.0.7.0/24 tunnel.1 10.0.6.1/24 vpn3<br />
… … … …<br />
Túnel VPN<br />
10.0.251.0/24 tunnel.1 10.0.250.1/24 vpn125<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 383
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Dst en tabla de<br />
rutas local<br />
Interfaz de túnel local Puerta de enlace/salto<br />
siguiente<br />
(interfaz de túnel de<br />
interlocutor)<br />
10.1.3.0/24 tunnel.1 10.1.2.1/24 vpn126<br />
10.1.5.0/24 tunnel.1 10.1.4.1/24 vpn127<br />
10.1.7.0/24 tunnel.1 10.1.6.1/24 vpn128<br />
… … … …<br />
10.1.251.0/24 tunnel.1 10.1.250.1/24 vpn250<br />
10.2.3.0/24 tunnel.1 10.2.2.1/24 vpn251<br />
… … … …<br />
10.2.251.0/24 tunnel.1 10.2.250.1/24 vpn375<br />
… … … …<br />
10.7.3.0/24 tunnel.1 10.7.2.1/24 vpn876<br />
… … … …<br />
Túnel VPN<br />
10.7.251.0/24 tunnel.1 10.7.250.1/24 vpn1000<br />
La interfaz de túnel en el dispositivo <strong>NetScreen</strong> local es 10.0.0.1/24. En todos los hosts remotos, hay una interfaz de<br />
túnel con una dirección IP que aparece como la dirección IP de puerta de enlace/salto siguiente en la tabla de rutas<br />
local y en la tabla NHTB.<br />
Si desea ver un ejemplo que ilustra la asociación de múltiples túneles a una sola interfaz de túnel con traducción de<br />
direcciones, consulte “Ejemplo: Múltiples VPNs en una interfaz de túnel para subredes superpuestas” en la<br />
página 388.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 384
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
El dispositivo <strong>NetScreen</strong><br />
local y todos sus<br />
interlocutores ejecutan la<br />
traducción de direcciones de<br />
destino (NAT-dst) con<br />
desplazamiento de IP en el<br />
tráfico VPN entrante y<br />
traducción de direcciones de<br />
origen (NAT-src) desde la<br />
dirección IP de interfaz de<br />
túnel de salida con<br />
traducción de puertos en el<br />
tráfico VPN saliente. Para<br />
10.0.4.1/24<br />
NAT-dst 10.0.5.1 -><br />
direcciones IP<br />
internas<br />
IF 10.0.2.1/24<br />
NAT-dst 10.0.3.1 -><br />
direcciones IP<br />
internas<br />
vpn1<br />
vpn2<br />
vpn3<br />
10.0.6.1/24<br />
NAT-dst 10.0.7.1 -><br />
direcciones IP internas<br />
10.1.1.1/24<br />
NAT-dst 10.1.2.1 -><br />
direcciones IP<br />
vpn251<br />
internas<br />
obtener más información<br />
sobre NAT-src y NAT-dst,<br />
consulte el <strong>Volumen</strong> 7, Dispositivo <strong>NetScreen</strong><br />
“Traducción de direcciones”.<br />
local<br />
10.0.0.1/24<br />
vpn751<br />
10.6.2.1/24<br />
NAT-dst 10.6.3.1-><br />
direcciones IP<br />
internas<br />
NAT-dst 10.0.1.1 -><br />
direcciones IP internas<br />
vpn1000<br />
10.7.250.1/24<br />
NAT-dst 10.7.251.1 -><br />
direcciones IP internas<br />
Entradas de tabla manuales y automáticas<br />
Puede incluir entradas manualmente en las tablas NHTB y de rutas. También puede automatizar la carga de las<br />
tablas NHTB y de rutas. Si se va a trabajar con un número pequeño de túneles asociados a una sola interfaz de<br />
túnel, el método manual puede funcionar bien. Sin embargo, para un gran número de túneles, el método automático<br />
reduce la configuración y el mantenimiento administrativos, ya que las rutas se ajustan dinámicamente cuando los<br />
túneles o interfaces dejan de estar disponibles en la interfaz de túnel en la ubicación del concentrador.<br />
Entradas manuales en la tabla<br />
Un túnel VPN se puede asignar manualmente a la dirección IP de la interfaz de túnel de un interlocutor remoto en la<br />
tabla de asociación de túneles a saltos siguientes (NHTB). En primer lugar debe ponerse en contacto con el<br />
administrador remoto y conocer las direcciones IP utilizadas por la interfaz de túnel en ese extremo del túnel. A<br />
continuación podrá asociar esta dirección al nombre de túnel VPN en la tabla NHTB con el siguiente comando:<br />
set interface tunnel.1 nhtb peer’s_tunnel_interface_address vpn name_str<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 385
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Una vez hecho esto, podrá introducir una ruta estática en la tabla de rutas que utiliza la dirección IP de interfaz de<br />
túnel como puerta de enlace. Puede introducir la ruta por medio de la WebUI o con el siguiente comando CLI:<br />
set vrouter name -str route dst_addr interface tunnel.1 gateway peer’s_tunnel_interface_addr<br />
Entradas automáticas en la tabla<br />
Para que la tabla de rutas y la tabla NHTB se rellenen automáticamente, se deben cumplir las siguientes<br />
condiciones:<br />
Los interlocutores remotos de todos los túneles VPN asociados a una sola interfaz de túnel local deben ser<br />
dispositivos <strong>NetScreen</strong> con ScreenOS 5.0.0.<br />
Cada interlocutor remoto debe asociar su túnel a una interfaz de túnel, y esa interfaz debe tener una<br />
dirección IP única entre todas las direcciones de interfaz de túnel de los interlocutores.<br />
En ambos extremos del túnel VPN, habilite la supervisión de VPN con la opción de reencriptación (Rekey),<br />
o habilite la opción de nueva conexión de latidos de IKE (IKE Heartbeat Reconnect) para cada puerta de<br />
enlace remota 14 .<br />
Los interlocutores locales y remotos deben tener habilitada una instancia de un protocolo de enrutamiento<br />
dinámico 15 en sus interfaces de túnel de conexión.<br />
El uso de supervisión de VPN con la opción de reencriptación permite que los dispositivos <strong>NetScreen</strong> situados en<br />
ambos extremos de un túnel puedan establecer el túnel sin tener que esperar a que haya tráfico VPN originado por<br />
el usuario 16 . Una vez habilitada la supervisión de VPN con la opción de reencriptación a los dos lados de un túnel<br />
VPN, los dos dispositivos <strong>NetScreen</strong> llevarán a cabo las negociaciones IKE de fase 1 y 2 para establecer el túnel.<br />
(Para obtener más información, consulte “Supervisión de VPNs” en la página 361).<br />
14. Si se ejecuta un protocolo de enrutamiento dinámico en las interfaces de túnel, el tráfico generado por el protocolo puede desencadenar negociaciones IKE<br />
aunque no se habilite la supervisión de VPN con la opción de reencriptación o la opción de nueva conexión de latidos de IKE. En cualquier caso, <strong>Juniper</strong><br />
<strong>Networks</strong> recomienda no confiar en que el tráfico de enrutamiento dinámico desencadene las negociaciones IKE. En lugar de ello, utilice la supervisión de<br />
VPN con la opción de reencriptación o de nueva conexión de latidos de IKE.<br />
15. Para OSPF (“Open Shortest Path First” = “abrir primero la ruta más corta”), debe configurar la interfaz de túnel en el interlocutor local como interfaz “punto<br />
a multipunto” antes de activar el protocolo de enrutamiento en la interfaz.<br />
16. En el caso de interlocutores remotos con una dirección IP externa asignada dinámicamente o con un nombre de dominio completo (FQDN) asignado a una<br />
dirección IP dinámica, el interlocutor remoto primero debe iniciar las negociaciones IKE. Sin embargo, dado que la asociación de seguridad de fase 2 en el<br />
dispositivo <strong>NetScreen</strong> local guarda en caché la dirección IP asignada dinámicamente del interlocutor remoto, cada interlocutor puede reiniciar las<br />
negociaciones IKE para restablecer un túnel cuyo estado de supervisión de VPN haya cambiado de activo a inactivo.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 386
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Durante las negociaciones de fase 2, los dispositivos <strong>NetScreen</strong> intercambian entre sí direcciones IP de interfaz de<br />
túnel. Cada módulo IKE puede introducir automáticamente la dirección IP de interfaz de túnel y su nombre de túnel<br />
VPN correspondiente en la tabla NHTB.<br />
Para hacer que el dispositivo <strong>NetScreen</strong> pueda introducir rutas a destinos remotos automáticamente en esta tabla<br />
de rutas, debe habilitar una instancia de BGP en las interfaces de túnel locales y remotas. Los pasos básicos son<br />
los siguientes:<br />
1. Crear una instancia de enrutamiento BGP en el enrutador virtual que contiene la interfaz de túnel a la que<br />
se han asociado múltiples túneles VPN.<br />
2. Habilitar la instancia de enrutamiento en el enrutador virtual.<br />
3. Habilitar la instancia de enrutamiento en la interfaz de túnel que conduce a los interlocutores BGP.<br />
Los interlocutores remotos también llevan a cabo estos pasos.<br />
En el dispositivo local (o concentrador), también debe definir una ruta predeterminada y una ruta estática a cada<br />
dirección IP de interfaz de túnel de los interlocutores. Las rutas estáticas a las interfaces de túnel de los<br />
interlocutores son necesarias para que el dispositivo concentrador pueda acceder inicialmente a sus vecinos BGP a<br />
través del túnel VPN correcto.<br />
Después de establecer las comunicaciones, los vecinos BGP intercambian información de enrutamiento, de forma<br />
que pueden rellenar automáticamente sus tablas de rutas. Una vez que los dos interlocutores establecen un túnel<br />
VPN entre sí, pueden enviar y recibir información de enrutamiento desde y hacia el dispositivo local. Cuando la<br />
instancia de enrutamiento dinámico en el dispositivo <strong>NetScreen</strong> aprende una ruta a un interlocutor a través de un<br />
interfaz de túnel local, incluye la dirección IP de la interfaz de túnel del interlocutor remoto como puerta de enlace en<br />
la ruta.<br />
Para ver un ejemplo que ilustra la configuración de múltiples túneles asociados a una única interfaz de túnel, donde<br />
el dispositivo “concentrador” rellena sus tablas NHTB y de rutas automáticamente, consulte “Ejemplo: Entradas<br />
automáticas en la tabla de rutas y la tabla NHTB” en la página 420.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 387
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Ejemplo: Múltiples VPNs en una interfaz de túnel para subredes superpuestas<br />
En este ejemplo asociaremos tres túneles VPN AutoKey IKE basados en rutas (vpn1, vpn2 y vpn3) a una sola<br />
interfaz de túnel (tunnel.1). Los túneles van de <strong>NetScreen</strong> A a tres interlocutores remotos: peer1, peer2 y peer3. Las<br />
entradas de las tablas NHTB y de rutas para los tres interlocutores se agregarán manualmente a <strong>NetScreen</strong> A.<br />
La interfaz tunnel.1 de <strong>NetScreen</strong>-A se asocia a tres túneles VPN.<br />
Nota: La zona Trust de<br />
<strong>NetScreen</strong>-A no se muestra.<br />
Zona Trust<br />
ethernet1<br />
10.1.1.1/24<br />
<strong>NetScreen</strong>-A<br />
tunnel.1<br />
10.0.0.1/30<br />
Conjunto de DIP 5:<br />
10.0.0.2 - 10.0.0.2<br />
ethernet3<br />
1.1.1.1/24<br />
Enrutador<br />
externo<br />
1.1.1.250<br />
vpn1<br />
vpn2<br />
vpn3<br />
Zona Untrust<br />
peer1<br />
Las configuraciones de túnel VPN a ambos extremos de cada túnel utilizan los siguientes parámetros: AutoKey IKE,<br />
clave previa compartida (peer1: “netscreen1”, peer2: “netscreen2”, peer3: “netscreen3”) y el nivel de seguridad<br />
predefinidos como “Compatible” para las propuestas de fase 1 y fase 2. (Para ver los detalles sobre estas<br />
propuestas, consulte “Negociación de túnel” en la página 11).<br />
Todas las zonas de seguridad e interfaces en cada dispositivo se encuentran en el dominio de enrutamiento virtual<br />
trust-vr del dispositivo correspondiente.<br />
En este ejemplo se utiliza el mismo espacio de direcciones (10.1.1.0/24) en cada LAN para mostrar cómo se puede<br />
utilizar la traducción de direcciones de red de origen y destino (NAT-src y NAT-dst) para evitar problemas de<br />
direccionamiento entre los interlocutores IPSec. Para obtener más información sobre NAT-src y NAT-dst, consulte<br />
el <strong>Volumen</strong> 7, “Traducción de direcciones”.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 388<br />
peer3<br />
peer2<br />
LAN<br />
LAN<br />
vpn1<br />
Puerta de enlace IKE: peer1, 2.2.2.2<br />
Interfaz de túnel del interlocutor remoto:<br />
10.0.2.1<br />
LAN<br />
vpn2<br />
Puerta de enlace IKE: peer2,<br />
3.3.3.3<br />
Interfaz de túnel del<br />
interlocutor remoto: 10.0.4.1<br />
vpn3<br />
Puerta de enlace IKE: peer3, 4.4.4.4<br />
Interfaz de túnel del interlocutor remoto:<br />
10.0.6.1
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
WebUI (<strong>NetScreen</strong>-A)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Introduzca los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Fixed IP: (seleccione)<br />
IP Address / Netmask: 10.0.0.1/30<br />
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los siguientes datos y haga clic en OK :<br />
ID: 5<br />
IP Address Range: (seleccione), 10.0.0.2 ~ 10.0.0.2<br />
Port Translation: (seleccione)<br />
In the same subnet as the interface IP or its secondary IPs: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 389
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
2. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: corp<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: oda1<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.0.1.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
3. VPNs<br />
Address Name: peers<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.0.0.0/16<br />
Zone: Untrust<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: vpn1<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: peer1<br />
Type: Static IP: (seleccione), Address/Hostname: 2.2.2.2<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 390
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Preshared Key: netscreen1<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface, tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 0.0.0.0/0<br />
Remote IP / Netmask: 0.0.0.0/0<br />
Service: ANY<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: vpn2<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: peer2<br />
Type: Static IP: (seleccione), Address/Hostname: 3.3.3.3<br />
Preshared Key: netscreen2<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface, tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 0.0.0.0/0<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 391
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Remote IP / Netmask: 0.0.0.0/0<br />
Service: ANY<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: vpn3<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: peer3<br />
Type: Static IP: (seleccione), Address/Hostname: 4.4.4.4<br />
Preshared Key: netscreen3<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface, tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 0.0.0.0/0<br />
Remote IP / Netmask: 0.0.0.0/0<br />
Service: ANY<br />
4. Rutas<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 392
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.0.1.0/24<br />
Gateway: (seleccione)<br />
Interface: ethernet1<br />
Gateway IP Address: 0.0.0.0<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.0.3.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 10.0.2.1<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.0.2.2/32<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 10.0.2.1<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.0.5.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 10.0.4.1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 393
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.0.4.2/32<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 10.0.4.1<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.0.7.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 10.0.6.1<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.0.6.2/32<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 10.0.6.1<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.0.0.0/16<br />
Gateway: (seleccione)<br />
Interface: null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 394
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Network > Interfaces > Edit (para tunnel.1) > NHTB > New: Introduzca los siguientes datos y haga clic en<br />
Add :<br />
New Next Hop Entry:<br />
IP Address: 10.0.2.1<br />
VPN: vpn1<br />
Network > Interfaces > Edit (para tunnel.1) > NHTB: Introduzca los siguientes datos y haga clic en Add :<br />
New Next Hop Entry:<br />
IP Address: 10.0.4.1<br />
VPN: vpn2<br />
Network > Interfaces > Edit (para tunnel.1) > NHTB: Introduzca los siguientes datos y haga clic en Add :<br />
5. Directivas<br />
New Next Hop Entry:<br />
IP Address: 10.0.6.1<br />
VPN: vpn3<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book: (seleccione), corp<br />
Destination Address:<br />
Address Book: (seleccione), peers<br />
Service: Any<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de directivas:<br />
NAT:<br />
Source Translation: (seleccione)<br />
DIP On: 5 (10.0.0.2–10.0.0.2)/X-late<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 395
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
CLI (<strong>NetScreen</strong>-A)<br />
Source Address:<br />
Address Book Entry: (seleccione), peers<br />
Destination Address:<br />
Address Book Entry: (seleccione), oda1<br />
Service: Any<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip 10.0.0.1/30<br />
set interface tunnel.1 dip 5 10.0.0.2 10.0.0.2<br />
2. Direcciones<br />
set address trust corp 10.1.1.0/24<br />
set address trust oda1 10.0.1.0/24<br />
set address untrust peers 10.0.0.0/16<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de directivas:<br />
NAT:<br />
Destination Translation: (seleccione)<br />
Translate to IP Range: (seleccione), 10.1.1.0 - 10.1.1.254<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 396
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
3. VPNs<br />
set ike gateway peer1 address 2.2.2.2 outgoing-interface ethernet3 preshare<br />
netscreen1 sec-level compatible<br />
set vpn vpn1 gateway peer1 sec-level compatible<br />
set vpn vpn1 bind interface tunnel.1<br />
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any<br />
set ike gateway peer2 address 3.3.3.3 outgoing-interface ethernet3 preshare<br />
netscreen2 sec-level compatible<br />
set vpn vpn2 gateway peer2 sec-level compatible<br />
set vpn vpn2 bind interface tunnel.1<br />
set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any<br />
set ike gateway peer3 address 4.4.4.4 outgoing-interface ethernet3 preshare<br />
netscreen3 sec-level compatible<br />
set vpn vpn3 gateway peer3 sec-level compatible<br />
set vpn vpn3 bind interface tunnel.1<br />
set vpn vpn3 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
set vrouter trust-vr route 10.0.1.0/24 interface ethernet1<br />
set vrouter trust-vr route 10.0.3.0/24 interface tunnel.1 gateway 10.0.2.1<br />
set vrouter trust-vr route 10.0.2.2/32 interface tunnel.1 gateway 10.0.2.1<br />
set vrouter trust-vr route 10.0.5.0/24 interface tunnel.1 gateway 10.0.4.1<br />
set vrouter trust-vr route 10.0.4.2/32 interface tunnel.1 gateway 10.0.4.1<br />
set vrouter trust-vr route 10.0.7.0/24 interface tunnel.1 gateway 10.0.6.1<br />
set vrouter trust-vr route 10.0.6.2/32 interface tunnel.1 gateway 10.0.6.1<br />
set vrouter trust-vr route 10.0.0.0/16 interface null metric 10<br />
set interface tunnel.1 nhtb 10.0.2.1 vpn vpn1<br />
set interface tunnel.1 nhtb 10.0.4.1 vpn vpn2<br />
set interface tunnel.1 nhtb 10.0.6.1 vpn vpn3<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 397
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
5. Directivas<br />
set policy from trust to untrust corp peers any nat src dip-id 5 permit<br />
set policy from untrust to trust peers oda1 any nat dst ip 10.1.1.0 10.1.1.254<br />
permit<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 398
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Peer1<br />
La siguiente configuración es la que el administrador remoto del dispositivo <strong>NetScreen</strong> en la ubicación peer1 debe<br />
introducir para crear un túnel VPN a <strong>NetScreen</strong> en la empresa. El administrador remoto configura el dispositivo<br />
<strong>NetScreen</strong> para que realice NAT en el origen y en el destino (NAT-src y NAT-dst) porque las direcciones internas se<br />
encuentran en el mismo espacio de direcciones que las de la LAN corporativa: 10.1.1.0/24. Peer1 lleva a cabo<br />
NAT-src utilizando el conjunto de DIP 6 para traducir todas las direcciones de origen internas a 10.0.2.2 al enviar<br />
tráfico a través de VPN1 a <strong>NetScreen</strong>-A. Peer1 lleva a cabo NAT-dst en el tráfico VPN enviado desde <strong>NetScreen</strong>-A,<br />
traduciendo las direcciones de 10.0.3.0/24 a 10.1.1.0/24 con desplazamiento de direcciones.<br />
Zona Untrust<br />
vpn1 desde<br />
<strong>NetScreen</strong>-A<br />
WebUI (Peer1)<br />
1. Interfaces<br />
ethernet3<br />
2.2.2.2/24<br />
Enrutador<br />
externo<br />
2.2.2.250<br />
tunnel.10<br />
10.0.2.1/30<br />
Conjunto de DIP 6<br />
10.0.2.2 - 10.0.2.2<br />
Peer1<br />
Nota: Para obtener más información sobre NAT-src y NAT-dst, consulte el <strong>Volumen</strong> 7, “Traducción de direcciones”.<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Introduzca los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
ethernet1<br />
10.1.1.1/24<br />
Rango NAT-dst<br />
10.0.3.0 – 10.0.3.255<br />
Zona Trust<br />
LAN<br />
10.1.1.0/24<br />
NAT-dst de<br />
10.0.3.0 – 10.0.3.255<br />
a<br />
10.1.1.0 – 10.1.1.255<br />
con desplazamiento de<br />
direcciones<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 399
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.2.2.2/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
Tunnel Interface Name: tunnel.10<br />
Zone (VR): Untrust (trust-vr)<br />
Fixed IP: (seleccione)<br />
IP Address / Netmask: 10.0.2.1/30<br />
Network > Interfaces > Edit (para tunnel.10) > DIP > New: Introduzca los siguientes datos y haga clic en<br />
OK :<br />
ID: 6<br />
IP Address Range: (seleccione), 10.0.2.2 ~ 10.0.2.2<br />
Port Translation: (seleccione)<br />
In the same subnet as the interface IP or its secondary IPs: (seleccione)<br />
2. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: lan<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 400
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
3. VPN<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: oda2<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.0.3.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: to_corp<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.0.1.0/24<br />
Zone: Untrust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: fr_corp<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.0.0.2/32<br />
Zone: Untrust<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: vpn1<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: corp<br />
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1<br />
Preshared Key: netscreen1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 401
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface, tunnel.10<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 0.0.0.0/0<br />
Remote IP / Netmask: 0.0.0.0/0<br />
Service: ANY<br />
4. Rutas<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.250<br />
Metric: 1<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.0.3.0/24<br />
Gateway: (seleccione)<br />
Interface: ethernet1<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 402
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.0.0.0/8<br />
Gateway: (seleccione)<br />
Interface: tunnel.10<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
5. Directivas<br />
Network Address / Netmask: 10.0.0.0/8<br />
Gateway: (seleccione)<br />
Interface: null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 12<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), fr_corp<br />
Destination Address:<br />
Address Book Entry: (seleccione), oda2<br />
Service: Any<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 403
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de directivas:<br />
NAT:<br />
Destination Translation: (seleccione)<br />
Translate to IP Range: (seleccione), 10.1.1.0 - 10.1.1.254<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), lan<br />
Destination Address:<br />
Address Book Entry: (seleccione), to_corp<br />
Service: Any<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de directivas:<br />
NAT:<br />
Source Translation: (seleccione)<br />
DIP On: 6 (10.0.2.2–10.0.2.2)/X-late<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 404
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
CLI (Peer1)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.2/24<br />
set interface tunnel.10 zone untrust<br />
set interface tunnel.10 ip 10.0.2.1/30<br />
set interface tunnel.10 dip 6 10.0.2.2 10.0.2.2<br />
2. Direcciones<br />
set address trust lan 10.1.1.0/24<br />
set address trust oda2 10.0.3.0/24<br />
set address untrust to_corp 10.0.1.0/24<br />
set address untrust fr_corp 10.0.0.2/32<br />
3. VPN<br />
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare<br />
netscreen1 sec-level compatible<br />
set vpn vpn1 gateway corp sec-level compatible<br />
set vpn vpn1 bind interface tunnel.10<br />
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 metric 1<br />
set vrouter trust-vr route 10.0.3.0/24 interface ethernet1 metric 1<br />
set vrouter trust-vr route 10.0.0.0/8 interface tunnel.10 metric 10<br />
set vrouter trust-vr route 10.0.0.0/8 interface null metric 12<br />
5. Directivas<br />
set policy from trust to untrust lan to_corp any nat src dip-id 6 permit<br />
set policy from untrust to trust fr_corp oda2 any nat dst ip 10.1.1.0<br />
10.1.1.254 permit<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 405
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Peer2<br />
La siguiente configuración es la que el administrador remoto del dispositivo <strong>NetScreen</strong> en la ubicación peer2 debe<br />
introducir para crear un túnel VPN a <strong>NetScreen</strong> en la empresa. El administrador remoto configura el dispositivo<br />
<strong>NetScreen</strong> para que realice NAT en el origen y en el destino (NAT-src y NAT-dst) porque las direcciones internas se<br />
encuentran en el mismo espacio de direcciones que las de la LAN corporativa: 10.1.1.0/24. Peer2 lleva a cabo<br />
NAT-src utilizando el conjunto de DIP 7 para traducir todas las direcciones de origen internas a 10.0.4.2 al enviar<br />
tráfico a través de VPN2 a <strong>NetScreen</strong>-A. Peer2 lleva a cabo NAT-dst en el tráfico VPN enviado desde <strong>NetScreen</strong>-A,<br />
traduciendo las direcciones de 10.0.5.0/24 a 10.1.1.0/24 con desplazamiento de direcciones. ethernet3<br />
ethernet3<br />
3.3.3.3/24<br />
Enrutador externo<br />
3.3.3.250<br />
Zona Untrust<br />
vpn2 desde<br />
<strong>NetScreen</strong>-A<br />
WebUI (Peer2)<br />
tunnel.20<br />
10.0.4.1/30<br />
Conjunto de DIP 7<br />
10.0.4.2 - 10.0.4.2<br />
Peer2<br />
Nota: Para obtener más información sobre NAT-src y NAT-dst, consulte el <strong>Volumen</strong> 7, “Traducción de direcciones”.<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Introduzca los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
ethernet1<br />
10.1.1.1/24<br />
Rango NAT-dst<br />
10.0.5.0 – 10.0.5.255<br />
Zona Trust<br />
LAN<br />
10.1.1.0/24<br />
NAT-dst de<br />
10.0.5.0 – 10.0.5.255<br />
a<br />
10.1.1.0 – 10.1.1.255<br />
con desplazamiento de<br />
direcciones<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 406
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 3.3.3.3/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
Tunnel Interface Name: tunnel.20<br />
Zone (VR): Untrust (trust-vr)<br />
Fixed IP: (seleccione)<br />
IP Address / Netmask: 10.0.4.1/30<br />
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los siguientes datos y haga clic en OK :<br />
2. Direcciones<br />
ID: 7<br />
IP Address Range: (seleccione), 10.0.4.2 ~ 10.0.4.2<br />
Port Translation: (seleccione)<br />
In the same subnet as the interface IP or its secondary IPs: (seleccione)<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: lan<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 407
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
3. VPN<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: oda3<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.0.5.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: to_corp<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.0.1.0/24<br />
Zone: Untrust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: fr_corp<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.0.0.2/32<br />
Zone: Untrust<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: vpn2<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: corp<br />
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1<br />
Preshared Key: netscreen2<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 408
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface, tunnel.20<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 0.0.0.0/0<br />
Remote IP / Netmask: 0.0.0.0/0<br />
Service: ANY<br />
4. Rutas<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 3.3.3.250<br />
Metric: 1<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.0.5.0/24<br />
Gateway: (seleccione)<br />
Interface: ethernet1<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 409
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.0.1.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.20<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 10<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
5. Directivas<br />
Network Address / Netmask: 10.0.1.0/24<br />
Gateway: (seleccione)<br />
Interface: null<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 12<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), lan<br />
Destination Address:<br />
Address Book Entry: (seleccione), to_corp<br />
Service: Any<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 410
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de directivas:<br />
NAT:<br />
Source Translation: (seleccione)<br />
DIP On: 7 (10.0.4.2–10.0.4.2)/X-late<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), fr_corp<br />
Destination Address:<br />
Address Book Entry: (seleccione), oda3<br />
Service: Any<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de directivas:<br />
NAT:<br />
Destination Translation: (seleccione)<br />
Translate to IP Range: (seleccione), 10.1.1.0 - 10.1.1.254<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 411
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
CLI (Peer2)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 3.3.3.3/24<br />
set interface tunnel.20 zone untrust<br />
set interface tunnel.20 ip 10.0.4.1/30<br />
set interface tunnel.20 dip 7 10.0.4.2 10.0.4.2<br />
2. Direcciones<br />
set address trust lan 10.1.1.0/24<br />
set address trust oda3 10.0.5.0/24<br />
set address untrust to_corp 10.0.1.0/24<br />
set address untrust fr_corp 10.0.0.2/32<br />
3. VPN<br />
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare<br />
netscreen2 sec-level compatible<br />
set vpn vpn2 gateway corp sec-level compatible<br />
set vpn vpn2 bind interface tunnel.20<br />
set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250 metric 1<br />
set vrouter trust-vr route 10.0.5.0/24 interface ethernet1 metric 1<br />
set vrouter trust-vr route 10.0.0.0/8 interface tunnel.20 metric 10<br />
set vrouter trust-vr route 10.0.0.0/8 interface null metric 12<br />
5. Directivas<br />
set policy from trust to untrust lan to_corp any nat src dip-id 7 permit<br />
set policy from untrust to trust fr_corp oda3 any nat dst ip 10.1.1.0<br />
10.1.1.254 permit<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 412
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Peer3<br />
La siguiente configuración es la que el administrador remoto del dispositivo <strong>NetScreen</strong> en la ubicación peer3 debe<br />
introducir para crear un túnel VPN a <strong>NetScreen</strong> en la empresa. El administrador remoto configura el dispositivo<br />
<strong>NetScreen</strong> para que realice NAT en el origen y en el destino (NAT-src y NAT-dst) porque las direcciones internas se<br />
encuentran en el mismo espacio de direcciones que las de la LAN corporativa: 10.1.1.0/24. Peer3 lleva a cabo<br />
NAT-src utilizando el conjunto de DIP 8 para traducir todas las direcciones de origen internas a 10.0.6.2 al enviar<br />
tráfico a través de VPN3 a <strong>NetScreen</strong>-A. Peer3 lleva a cabo NAT-dst en el tráfico VPN enviado desde <strong>NetScreen</strong>-A,<br />
traduciendo las direcciones de 10.0.7.0/24 a 10.1.1.0/24 con desplazamiento de direcciones.<br />
ethernet3<br />
4.4.4.4/24<br />
Enrutador externo<br />
4.4.4.250<br />
Zona Untrust<br />
vpn3 desde<br />
<strong>NetScreen</strong>-A<br />
WebUI (Peer3)<br />
tunnel.30<br />
10.0.6.1/30<br />
Conjunto de DIP 8<br />
10.0.6.2 - 10.0.6.2<br />
Peer3<br />
Nota: Para obtener más información sobre NAT-dst, consulte el <strong>Volumen</strong> 7, “Traducción de direcciones”.<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Introduzca los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
ethernet1<br />
10.1.1.1/24<br />
Rango NAT-dst<br />
10.0.7.0 – 10.0.7.255<br />
Zona Trust<br />
LAN<br />
10.1.1.0/24<br />
NAT-dst de<br />
10.0.7.0 – 10.0.7.255<br />
a<br />
10.1.1.0 – 10.1.1.255<br />
con desplazamiento de<br />
direcciones<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 413
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 4.4.4.4/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK:<br />
Tunnel Interface Name: tunnel.30<br />
Zone (VR): Untrust (trust-vr)<br />
Fixed IP: (seleccione)<br />
IP Address / Netmask: 10.0.6.1/30<br />
Network > Interfaces > Edit (para tunnel.30) > DIP > New: Introduzca los siguientes datos y haga clic en<br />
OK:<br />
ID: 7<br />
IP Address Range: (seleccione), 10.0.6.2 ~ 10.0.6.2<br />
Port Translation: (seleccione)<br />
In the same subnet as the interface IP or its secondary IPs: (seleccione)<br />
2. Direcciones<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:<br />
Address Name: lan<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Trust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 414
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
3. VPN<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: oda4<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.0.7.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: to_corp<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.0.1.0/24<br />
Zone: Untrust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: fr_corp<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.0.0.2/32<br />
Zone: Untrust<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: vpn3<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: corp<br />
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1<br />
Preshared Key: netscreen3<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 415
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface, tunnel.30<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 0.0.0.0/0<br />
Remote IP / Netmask: 0.0.0.0/0<br />
Service: ANY<br />
4. Rutas<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 4.4.4.250<br />
Metric: 1<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.0.7.0/24<br />
Gateway: (seleccione)<br />
Interface: ethernet1<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 416
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.0.0.0/8<br />
Gateway: (seleccione)<br />
Interface: tunnel.30<br />
Gateway IP Address: 10.0.0.1<br />
Metric: 10<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
5. Directivas<br />
Network Address / Netmask: 10.0.0.0/8<br />
Gateway: (seleccione)<br />
Interface: null<br />
Gateway IP Address: 10.0.0.1<br />
Metric: 12<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), lan<br />
Destination Address:<br />
Address Book Entry: (seleccione), to_corp<br />
Service: Any<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 417
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de directivas:<br />
NAT:<br />
Source Translation: (seleccione)<br />
DIP On: 8 (10.0.6.2–10.0.6.2)/X-late<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), fr_corp<br />
Destination Address:<br />
Address Book Entry: (seleccione), oda4<br />
Service: Any<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de directivas:<br />
NAT:<br />
Destination Translation: (seleccione)<br />
Translate to IP Range: (seleccione), 10.1.1.0 - 10.1.1.254<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 418
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
CLI (Peer3)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 4.4.4.4/24<br />
set interface tunnel.30 zone untrust<br />
set interface tunnel.30 ip 10.0.6.1/30<br />
set interface tunnel.30 dip 8 10.0.6.2 10.0.6.2<br />
2. Direcciones<br />
set address trust lan 10.1.1.0/24<br />
set address trust oda4 10.0.7.0/24<br />
set address untrust to_corp 10.0.1.0/24<br />
set address untrust fr_corp 10.0.0.2/32<br />
3. VPN<br />
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare<br />
netscreen3 sec-level compatible<br />
set vpn vpn3 gateway corp sec-level compatible<br />
set vpn vpn3 bind interface tunnel.30<br />
set vpn vpn3 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any<br />
4. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250 metric 1<br />
set vrouter trust-vr route 10.0.7.0/24 interface ethernet1 metric 1<br />
set vrouter trust-vr route 10.0.0.0/8 interface tunnel.30 metric 10<br />
set vrouter trust-vr route 10.0.0.0/8 interface null metric 12<br />
5. Directivas<br />
set policy from trust to untrust lan to_corp any nat src dip-id 8 permit<br />
set policy from untrust to trust fr_corp oda4 any nat dst ip 10.1.1.0<br />
10.1.1.254 permit<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 419
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Ejemplo: Entradas automáticas en la tabla de rutas y la tabla NHTB<br />
En este ejemplo asociaremos dos túneles VPN AutoKey IKE basados en rutas (vpn1 y vpn2) a una sola interfaz de<br />
túnel (tunnel.1) en <strong>NetScreen</strong>-A, ubicado en la empresa. La red que cada interlocutor remoto protege tiene múltiples<br />
rutas tras la ruta conectada. Al utilizar BGP (Border Gateway Protocol), los interlocutores comunican sus rutas a<br />
<strong>NetScreen</strong>-A. Este ejemplo permite el tráfico VPN desde la ubicación corporativa tras <strong>NetScreen</strong>-A a los<br />
interlocutores.<br />
Nota: En este ejemplo también puede utilizar OSPF (“Open Shortest Path First” = “abrir primero la ruta más corta”)<br />
en lugar de BGP como protocolo de enrutamiento. Consulte “Anexo al ejemplo: OSPF para entradas automáticas<br />
en la tabla de rutas” en la página 438 para ver las configuraciones de OSPF.<br />
La interfaz tunnel.1 de <strong>NetScreen</strong>-A se<br />
asocia a dos túneles VPN.<br />
Zona Trust<br />
ethernet1<br />
10.1.1.1/24<br />
<strong>NetScreen</strong>-A<br />
tunnel.1<br />
10.0.0.1/30<br />
Nota: La zona Trust de<br />
<strong>NetScreen</strong>-A no se muestra.<br />
ethernet3<br />
1.1.1.1/24<br />
Enrutador<br />
externo<br />
1.1.1.250<br />
vpn1<br />
Puerta de enlace IKE: peer1, 2.2.2.2<br />
Interfaz de túnel del interlocutor remoto: 2.3.3.1<br />
vpn1<br />
vpn2<br />
Zona Untrust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 420<br />
peer1<br />
peer2<br />
vpn2<br />
Puerta de enlace IKE: peer2, 3.3.3.3<br />
Interfaz de túnel del interlocutor remoto: 3.4.4.1<br />
?<br />
?<br />
Las rutas tras cada interlocutor son<br />
desconocidas para <strong>NetScreen</strong>-A<br />
hasta que los interlocutores utilizan<br />
BGP para enviarlas.<br />
?<br />
?<br />
?<br />
?
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Las configuraciones de túnel VPN a ambos extremos de cada túnel utilizan los siguientes parámetros: AutoKey IKE,<br />
clave previa compartida (peer1: “netscreen1”, peer2: “netscreen2”) y el nivel de seguridad predefinido como<br />
“Compatible” para las propuestas de fase 1 y fase 2. (Para ver los detalles sobre estas propuestas, consulte<br />
“Negociación de túnel” en la página 11).<br />
Al configurar las dos siguientes funciones, puede habilitar <strong>NetScreen</strong> A para rellenar sus tablas de rutas y NHTB<br />
automáticamente 17 .<br />
Supervisión de VPN con la opción de reencriptación (o de nueva conexión de latidos de IKE) 18<br />
Enrutamiento dinámico BGP en tunnel.1<br />
Cuando se activa la supervisión de VPN con la opción de reencriptación para un túnel VPN AutoKey IKE,<br />
<strong>NetScreen</strong> A establece una conexión VPN con su interlocutor remoto en el momento en que usted y el<br />
administrador en la ubicación remota terminan de configurar el túnel. Los dispositivos no esperan a que aparezca<br />
tráfico VPN generado por el usuario para iniciar las negociaciones IKE. Durante las negociaciones de fase 2, el<br />
dispositivo <strong>NetScreen</strong> intercambia su dirección IP de interfaz de túnel, de forma que <strong>NetScreen</strong> A realiza<br />
automáticamente una asociación de la VPN al siguiente salto en su tabla NHTB.<br />
La opción de reencriptación garantiza que cuando finalice el periodo de validez de las claves de fase 1 y 2, los<br />
dispositivos negociarán automáticamente la generación de nuevas claves sin que ningún usuario tenga que<br />
intervenir. La supervisión de VPN con la opción de reencriptación habilitada ofrece básicamente una forma de<br />
conservar siempre activo un túnel VPN, aun cuando no haya tráfico generado por usuario. Esto es necesario para<br />
que las instancias de enrutamiento dinámico BGP, que usted y el administrador crean y habilitan en las interfaces<br />
de túnel a ambos lados de los túneles, puedan enviar información de enrutamiento a <strong>NetScreen</strong> y rellenen<br />
automáticamente su tabla de rutas con las rutas que necesita para dirigir el tráfico a través del túnel VPN antes de<br />
que esas rutas sean necesarias para el tráfico generado por el usuario. (Los administradores en las ubicaciones de<br />
los interlocutores tienen que introducir una única ruta estática al resto de la red privada virtual a través de la interfaz<br />
de túnel en cada ubicación).<br />
17. Si se ejecuta un protocolo de enrutamiento dinámico en las interfaces de túnel, el tráfico generado por el protocolo puede desencadenar negociaciones IKE<br />
aunque no se habilite la supervisión de VPN con la opción de reencriptación o la opción de nueva conexión de latidos de IKE. En cualquier caso, <strong>Juniper</strong><br />
<strong>Networks</strong> recomienda no confiar en que el tráfico de enrutamiento dinámico desencadene las negociaciones IKE. En lugar de ello, utilice la supervisión de<br />
VPN con la opción de reencriptación o de nueva conexión de latidos de IKE.<br />
18. Si las interfaces de túnel se ejecutan con BGP, el tráfico generado por BGP puede desencadenar negociaciones IKE aun cuando no se habilite la supervisión<br />
de VPN con la opción de reencriptación o la opción de nueva conexión de latidos de IKE. En cualquier caso, <strong>Juniper</strong> <strong>Networks</strong> recomienda no confiar en<br />
que el tráfico BGP desencadene las negociaciones IKE. En lugar de esto, utilice la supervisión de VPN con la opción de reencriptación o de nueva conexión<br />
de latidos de IKE.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 421
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Debe introducir una ruta predeterminada y rutas estáticas en <strong>NetScreen</strong>-A para acceder a sus vecinos BGP a<br />
través de los túneles VPN adecuados. Todas las zonas de seguridad e interfaces en cada dispositivo se encuentran<br />
en el dominio de enrutamiento virtual trust-vr del dispositivo correspondiente.<br />
WebUI (<strong>NetScreen</strong>-A)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/24<br />
Introduzca los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (trust-vr)<br />
Fixed IP: (seleccione)<br />
IP Address / Netmask: 10.0.0.1/30<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 422
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
2. VPNs<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:<br />
VPN Name: vpn1<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: peer1<br />
Type: Static IP: (seleccione), Address/Hostname: 2.2.2.2<br />
Preshared Key: netscreen1<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface, tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 0.0.0.0/0<br />
Remote IP / Netmask: 0.0.0.0/0<br />
Service: ANY<br />
VPN Monitor 19 : (seleccione)<br />
Rekey: (seleccione)<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:<br />
VPN Name: vpn2<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
19. Conserve los ajustes predeterminados en las opciones de interfaz de origen e IP de destino. Para obtener más información sobre estas opciones, consulte<br />
“Supervisión de VPNs” en la página 361.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 423
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Gateway Name: peer2<br />
Type: Static IP: (seleccione), Address/Hostname: 3.3.3.3<br />
Preshared Key: netscreen2<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface, tunnel.1<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 0.0.0.0/0<br />
Remote IP / Netmask: 0.0.0.0/0<br />
Service: ANY<br />
VPN Monitor 20 : (seleccione)<br />
Rekey: (seleccione)<br />
3. Ruta estática<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 2.3.3.1/32<br />
20. Conserve los ajustes predeterminados en las opciones de interfaz de origen e IP de destino. Para obtener más información sobre estas opciones, consulte<br />
“Supervisión de VPNs” en la página 361.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 424
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 2.3.3.1<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
4. Enrutamiento dinámico<br />
Network Address / Netmask: 3.4.4.1/32<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 3.4.4.1<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instance: Introduzca los siguientes<br />
datos y haga clic en OK :<br />
AS Number (obligatorio): 99<br />
BGP Enabled: (seleccione)<br />
Network > Interfaces > Edit (para tunnel.1) > BGP: Seleccione la casilla de verificación Protocol BGP y, a<br />
continuación, haga clic en OK .<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los<br />
siguientes datos y haga clic en Add :<br />
AS Number: 99<br />
Remote IP: 2.3.3.1<br />
Outgoing Interface: tunnel.1<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los<br />
siguientes datos y haga clic en Add :<br />
AS Number: 99<br />
Remote IP: 3.4.4.1<br />
Outgoing Interface: tunnel.1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 425
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
5. Directiva<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
CLI (<strong>NetScreen</strong>-A)<br />
1. Interfaces<br />
Source Address:<br />
Address Book: (seleccione), Any<br />
Destination Address:<br />
Address Book: (seleccione), Any<br />
Service: ANY<br />
Action: Permit<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip 10.0.0.1/30<br />
2. VPNs<br />
set ike gateway peer1 address 2.2.2.2 outgoing-interface ethernet3 preshare<br />
netscreen1 sec-level compatible<br />
set vpn vpn1 gateway peer1 sec-level compatible<br />
set vpn vpn1 bind interface tunnel.1<br />
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any<br />
set vpn vpn1 monitor rekey<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 426
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
set ike gateway peer2 address 3.3.3.3 outgoing-interface ethernet3 preshare<br />
netscreen2 sec-level compatible<br />
set vpn vpn2 gateway peer2 sec-level compatible<br />
set vpn vpn2 bind interface tunnel.1<br />
set vpn vpn2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any<br />
set vpn vpn2 monitor rekey<br />
3. Rutas estáticas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
set vrouter trust-vr route 2.3.3.1/32 interface tunnel.1 gateway 2.3.3.1<br />
set vrouter trust-vr route 2.4.4.1/32 interface tunnel.1 gateway 2.4.4.1<br />
4. Enrutamiento dinámico<br />
ns-> set vrouter trust-vr protocol bgp 99<br />
ns-> set vrouter trust-vr protocol bgp enable<br />
ns-> set interface tunnel.1 protocol bgp<br />
ns-> set vrouter trust-vr<br />
ns(trust-vr)-> set protocol bgp<br />
ns(trust-vr/bgp)-> set neighbor 2.3.3.1 remote-as 99 outgoing interface<br />
tunnel.1<br />
ns(trust-vr/bgp)-> set neighbor 2.3.3.1 enable<br />
ns(trust-vr/bgp)-> set neighbor 3.4.4.1 remote-as 99 outgoing interface<br />
tunnel.1<br />
ns(trust-vr/bgp)-> set neighbor 3.4.4.1 enable<br />
ns(trust-vr/bgp)-> exit<br />
ns(trust-vr)-> exit<br />
5. Directiva<br />
set policy from trust to untrust any any any permit<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 427
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Peer1<br />
La siguiente configuración es la que el administrador remoto del dispositivo <strong>NetScreen</strong> en la ubicación peer1 debe<br />
introducir para crear un túnel VPN a <strong>NetScreen</strong>-A en la empresa. El administrador remoto configura el dispositivo<br />
<strong>NetScreen</strong> para permitir el tráfico entrante desde el sitio corporativo. También configura el dispositivo <strong>NetScreen</strong><br />
para comunicar rutas internas a su vecino BGP a través de vpn1.<br />
WebUI (Peer1)<br />
Zona Untrust<br />
vpn1 desde<br />
<strong>NetScreen</strong>-A<br />
ethernet3<br />
2.2.2.2/24<br />
Enrutador<br />
externo<br />
2.2.2.250<br />
tunnel.10<br />
2.3.3.1/30<br />
Peer1<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.3.4.1/24<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
ethernet1<br />
2.3.4.1/24<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.2.2.2/24<br />
2.3.4.0/24<br />
Zona Trust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 428<br />
2.3.<br />
2.3.
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
2. Dirección<br />
3. VPN<br />
Tunnel Interface Name: tunnel.10<br />
Zone (VR): Untrust (trust-vr)<br />
Fixed IP: (seleccione)<br />
IP Address / Netmask: 2.3.3.1/30<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: corp<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Untrust<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: vpn1<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: corp<br />
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1<br />
Preshared Key: netscreen1<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface, tunnel.10<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 429
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 0.0.0.0/0<br />
Remote IP / Netmask: 0.0.0.0/0<br />
Service: ANY<br />
4. Rutas estáticas<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.250<br />
Metric: 1<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
5. Enrutamiento dinámico<br />
Network Address / Netmask: 10.1.1.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.10<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 1<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instance: Introduzca los siguientes<br />
datos y haga clic en OK :<br />
AS Number (obligatorio): 99<br />
BGP Enabled: (seleccione)<br />
Network > Interfaces > Edit (para tunnel.10) > BGP: Seleccione la casilla de verificación Protocol BGP y, a<br />
continuación, haga clic en OK .<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 430
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los<br />
siguientes datos y haga clic en Add :<br />
AS Number: 99<br />
Remote IP: 10.0.0.1<br />
Outgoing Interface: tunnel.10<br />
6. Directiva<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
CLI (Peer1)<br />
Source Address:<br />
Address Book Entry: (seleccione), corp<br />
Destination Address:<br />
Address Book Entry: (seleccione), Any<br />
Service: ANY<br />
Action: Permit<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 2.3.4.1/24<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.2/24<br />
set interface tunnel.10 zone untrust<br />
set interface tunnel.10 ip 2.3.3.1/30<br />
2. Dirección<br />
set address untrust corp 10.1.1.0/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 431
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
3. VPN<br />
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare<br />
netscreen1 sec-level compatible<br />
set vpn vpn1 gateway corp sec-level compatible<br />
set vpn vpn1 bind interface tunnel.10<br />
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any<br />
4. Rutas estáticas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250 metric 1<br />
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.10 metric 1<br />
5. Enrutamiento dinámico<br />
ns-> set vrouter trust-vr protocol bgp 99<br />
ns-> set vrouter trust-vr protocol bgp enable<br />
ns-> set interface tunnel.10 protocol bgp<br />
ns-> set vrouter trust-vr<br />
ns(trust-vr)-> set protocol bgp<br />
ns(trust-vr/bgp)-> set neighbor 10.0.0.1 remote-as 99 outgoing interface<br />
tunnel.10<br />
ns(trust-vr/bgp)-> set neighbor 10.0.0.1 enable<br />
ns(trust-vr/bgp)-> exit<br />
ns(trust-vr)-> exit<br />
6. Directiva<br />
set policy from untrust to trust corp any any permit<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 432
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Peer2<br />
La siguiente configuración es la que el administrador remoto del dispositivo <strong>NetScreen</strong> en la ubicación peer2 debe<br />
introducir para crear un túnel VPN a <strong>NetScreen</strong> en la empresa. El administrador remoto configura el dispositivo<br />
<strong>NetScreen</strong> para permitir el tráfico entrante desde el sitio corporativo. También configura el dispositivo <strong>NetScreen</strong><br />
para comunicar rutas internas a su vecino BGP a través de vpn2.<br />
vpn2 desde<br />
<strong>NetScreen</strong>-A<br />
WebUI (Peer2)<br />
Zona Untrust<br />
ethernet3<br />
3.3.3.3/24<br />
Enrutador externo<br />
3.3.3.250<br />
tunnel.20<br />
3.4.4.1/30<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Trust<br />
Peer2<br />
ethernet1<br />
3.4.5.1/24<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.3.4.1/24<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 3.3.3.3/24<br />
3 .4.5.0/24<br />
Zona Trust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 433<br />
3.4.<br />
3.4.
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
2. Dirección<br />
3. VPN<br />
Tunnel Interface Name: tunnel.20<br />
Zone (VR): Untrust (trust-vr)<br />
Fixed IP: (seleccione)<br />
IP Address / Netmask: 3.4.4.1/30<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: corp<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.1.0/24<br />
Zone: Untrust<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: vpn2<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: corp<br />
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1<br />
Preshared Key: netscreen2<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 434
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Bind to: Tunnel Interface, tunnel.20<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 0.0.0.0/0<br />
Remote IP / Netmask: 0.0.0.0/0<br />
Service: ANY<br />
4. Rutas estáticas<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 3.3.3.250<br />
Metric: 1<br />
Network > Routing > Routing Entries > (trust-vr) New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.1.1.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.20<br />
Gateway IP Address: 0.0.0.0<br />
Metric: 1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 435
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
5. Enrutamiento dinámico<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP Instance: Introduzca los siguientes<br />
datos y haga clic en OK :<br />
AS Number (obligatorio): 99<br />
BGP Enabled: (seleccione)<br />
Network > Interfaces > Edit (para tunnel.20) > BGP: Seleccione la casilla de verificación Protocol BGP y, a<br />
continuación, haga clic en OK .<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP Instance > Neighbors: Introduzca los<br />
siguientes datos y haga clic en Add :<br />
AS Number: 99<br />
Remote IP: 10.0.0.1<br />
Outgoing Interface: tunnel.20<br />
6. Directiva<br />
Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK :<br />
CLI (Peer2)<br />
Source Address:<br />
Address Book Entry: (seleccione), corp<br />
Destination Address:<br />
Address Book Entry: (seleccione), Any<br />
Service: ANY<br />
Action: Permit<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 3.4.5.1/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 436
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 3.3.3.3/24<br />
set interface tunnel.20 zone untrust<br />
set interface tunnel.20 ip 3.4.4.1/30<br />
2. Dirección<br />
set address untrust corp 10.1.1.0/24<br />
3. VPN<br />
set ike gateway corp address 1.1.1.1 outgoing-interface ethernet3 preshare<br />
netscreen2 sec-level compatible<br />
set vpn vpn1 gateway corp sec-level compatible<br />
set vpn vpn1 bind interface tunnel.20<br />
set vpn vpn1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any<br />
4. Rutas estáticas<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250 metric 1<br />
set vrouter trust-vr route 10.1.1.0/24 interface tunnel.20 metric 1<br />
5. Enrutamiento dinámico<br />
ns-> set vrouter trust-vr protocol bgp 99<br />
ns-> set vrouter trust-vr protocol bgp enable<br />
ns-> set interface tunnel.20 protocol bgp<br />
ns-> set vrouter trust-vr<br />
ns(trust-vr)-> set protocol bgp<br />
ns(trust-vr/bgp)-> set neighbor 10.0.0.1 remote-as 99 outgoing interface<br />
tunnel.20<br />
ns(trust-vr/bgp)-> set neighbor 10.0.0.1 enable<br />
ns(trust-vr/bgp)-> exit<br />
ns(trust-vr)-> exit<br />
6. Directiva<br />
set policy from untrust to trust corp any any permit<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 437
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Anexo al ejemplo: OSPF para entradas automáticas en la tabla de rutas<br />
También puede configurar OSPF en lugar del enrutamiento dinámico BGP para que los interlocutores comuniquen<br />
sus rutas a <strong>NetScreen</strong>-A. Para permitir que tunnel.1 en <strong>NetScreen</strong>-A pueda formar adyacencias OSPF con sus<br />
interlocutores, debe configurar la interfaz de túnel como interfaz "punto a multipunto". La configuración de<br />
enrutamiento dinámico OSPF para cada dispositivo se muestra a continuación.<br />
WebUI (<strong>NetScreen</strong>-A)<br />
Enrutamiento dinámico (OSPF)<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF Instance: Seleccione OSPF<br />
Enabled y haga clic en Apply .<br />
Area > Configure (para el área 0.0.0.0): Haga clic en Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes datos y haga clic en Apply :<br />
CLI (<strong>NetScreen</strong>-A)<br />
Enrutamiento dinámico (OSPF)<br />
Bind to Area: (seleccione), Seleccione 0.0.0.0 en la lista desplegable<br />
Protocol OSPF: Enable<br />
Link Type: Point-to-Multipoint (seleccione)<br />
ns-> set vrouter trust-vr protocol ospf<br />
ns-> set vrouter trust-vr protocol ospf enable<br />
ns-> set interface tunnel.1 protocol ospf area 0<br />
ns-> set interface tunnel.1 protocol ospf link-type p2mp<br />
ns-> set interface tunnel.1 protocol ospf enable<br />
ns-> save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 438
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
WebUI (Peer1)<br />
Enrutamiento dinámico (OSPF)<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF Instance: Seleccione OSPF<br />
Enabled y haga clic en Apply .<br />
Area > Configure (para el área 0.0.0.0): Haga clic en Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes datos y haga clic en Apply :<br />
CLI (Peer1)<br />
Enrutamiento dinámico (OSPF)<br />
Bind to Area: (seleccione), Seleccione 0.0.0.0 en la lista desplegable<br />
Protocol OSPF: Enable<br />
ns-> set vrouter trust-vr protocol ospf<br />
ns-> set vrouter trust-vr protocol ospf enable<br />
ns-> set interface tunnel.1 protocol ospf area 0<br />
ns-> set interface tunnel.1 protocol ospf enable<br />
ns-> save<br />
WebUI (Peer2)<br />
Enrutamiento dinámico (OSPF)<br />
Network > Routing > Virtual Routers > Edit (para trust-vr) > Create OSPF Instance: Seleccione OSPF<br />
Enabled y haga clic en Apply .<br />
Area > Configure (para el área 0.0.0.0): Haga clic en
Capítulo 7 Funciones de VPN avanzadas Múltiples túneles por interfaz de túnel<br />
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes datos y haga clic en Apply :<br />
CLI (Peer2)<br />
Enrutamiento dinámico (OSPF)<br />
Bind to Area: (seleccione), Seleccione 0.0.0.0 en la lista desplegable<br />
Protocol OSPF: Enable<br />
ns-> set vrouter trust-vr protocol ospf<br />
ns-> set vrouter trust-vr protocol ospf enable<br />
ns-> set interface tunnel.1 protocol ospf area 0<br />
ns-> set interface tunnel.1 protocol ospf enable<br />
ns-> save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 440
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
PUERTAS DE ENLACE VPN REDUNDANTES<br />
La función de puertas de enlace redundantes <strong>NetScreen</strong> ofrece una solución para la conectividad VPN continua<br />
durante y después de una conmutación por error punto a punto. Es posible crear un grupo VPN para proporcionar<br />
un grupo de hasta cuatro puertas de enlace redundantes a la que se pueden conectar túneles VPN AutoKey IKE<br />
IPSec 21 de interlocutor dinámico punto a punto o punto a punto basados en directivas. Cuando el dispositivo<br />
<strong>NetScreen</strong> recibe por primera vez tráfico que coincide con una directiva relativa a un grupo VPN, realiza las<br />
negociaciones IKE de fase 1 y fase 2 con todos los miembros de ese grupo. El dispositivo <strong>NetScreen</strong> envía datos a<br />
través del túnel VPN a la puerta de enlace con la mayor prioridad (o “peso”) del grupo. Para todas las demás<br />
puertas de enlace del grupo, el dispositivo <strong>NetScreen</strong> actualiza las asociaciones de seguridad de fase 1 y 2 y<br />
mantiene activos los túneles enviando a través de ellos paquetes de mantenimiento de conexión IKE. Si el túnel<br />
VPN activo falla, puede producir una conmutación por error al túnel y la puerta de enlace con el segundo nivel de<br />
prioridad del grupo.<br />
Nota: En este esquema se asume que los sitios situados detrás de las puertas de enlace redundantes están<br />
conectados de tal forma que los datos se replican entre los hosts de todos los sitios. Además, cada sitio (al ser<br />
dedicado para alta disponibilidad) tiene un conjunto redundante de dispositivos <strong>NetScreen</strong> que funcionan en modo<br />
de alta disponibilidad. Así, el límite de conmutación por fallo de VPN que se ajuste debe ser mayor que el límite de<br />
conmutación por error del dispositivo o se podrían producir conmutaciones por error innecesarias.<br />
= Datos<br />
= Latidos de IKE<br />
Grupo VPN, ID 1 Grupo VPN, ID 1<br />
(Después de una conmutación por error de VPN)<br />
21. Los grupos VPN no admiten L2TP, L2TP-sobre-IPSec, acceso telefónico, clave manual ni tipos de túneles VPN basados en rutas. En una configuración de<br />
interlocutores dinámicos punto a punto, el dispositivo <strong>NetScreen</strong> que supervisa el grupo VPN debe tener la dirección IP Untrust asignada dinámicamente,<br />
mientas que las direcciones IP de los miembros del grupo VPN deben ser estáticas.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 441
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
Grupos VPN<br />
Un grupo VPN es un conjunto de configuraciones de túnel VPN para hasta cuatro puertas de enlace remotas de<br />
destino. Los parámetros de asociación de seguridad (SA) de fase 1 y fase 2 para cada túnel de un grupo pueden<br />
ser distintos o idénticos (excepto en el caso de la dirección IP de la puerta de enlace remota, que, lógicamente,<br />
debe ser diferente). El grupo VPN tiene un número de ID inequívoco, y a cada miembro del grupo se le asigna un<br />
peso inequívoco para indicar su lugar en el rango de preferencia para convertirse en el túnel activo. Un valor de 1<br />
constituye el rango inferior o de menor preferencia.<br />
Nota: En esta ilustración, el<br />
sombreado simboliza el peso de<br />
cada túnel. Cuanto más oscuro<br />
sea el sombreado de un túnel,<br />
mayor será su prioridad.<br />
El dispositivo <strong>NetScreen</strong> que se comunica con los miembros del grupo VPN y los propios miembros tienen una<br />
relación supervisor/destino. El dispositivo de supervisión supervisa continuamente la conectividad y el correcto<br />
estado de cada dispositivo de destino. El supervisor utiliza las siguientes herramientas para ello:<br />
Latidos de IKE<br />
Intentos de recuperación de IKE<br />
Supervisor<br />
Grupo VPN 1 Peso<br />
4<br />
D<br />
Ambas herramientas se describen en la sección siguiente, “Mecanismos de supervisión” en la página 443.<br />
Nota: La relación supervisor/destino no tiene por qué ser de un solo sentido. El dispositivo de supervisión también<br />
puede ser un miembro de un grupo VPN y, por tanto, ser a su vez el destino de otro dispositivo de supervisión.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 442<br />
e<br />
s<br />
t<br />
i<br />
n<br />
o<br />
3<br />
2<br />
1
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
Mecanismos de supervisión<br />
<strong>NetScreen</strong> utiliza dos mecanismos para supervisar los miembros de un grupo VPN con el fin de determinar su<br />
capacidad para terminar tráfico VPN:<br />
Latidos de IKE<br />
Intentos de recuperación de IKE<br />
Utilizando estas dos herramientas junto con la opción de conmutación por error de aplicación TCP (consulte<br />
“Comprobación de flag TCP SYN” en la página 447), los dispositivos <strong>NetScreen</strong> pueden detectar si es necesario<br />
realizar una conmutación por error de la VPN y desviar el tráfico al nuevo túnel sin tener que interrumpir el servicio<br />
de VPN.<br />
Latidos de IKE<br />
Los latidos de IKE son mensajes de saludo que los interlocutores IKE se envían mutuamente bajo la protección de<br />
una asociación de seguridad (SA) de fase 1 establecida para confirmar la conectividad y el correcto estado del otro.<br />
Por ejemplo, si device_m (el “supervisor”) no recibe un determinado número de latidos (el valor predeterminado es<br />
5) de device_t (el “destino”), device_m llega a la conclusión de que device_t está inactivo. Device_m elimina de su<br />
memoria caché las asociaciones de seguridad (SAs) de fase 1 y fase 2 correspondientes y comienza el<br />
procedimiento de recuperación IKE. (Consulte “Procedimiento de recuperación IKE” en la página 444).<br />
Device_t también elimina sus SAs.<br />
Nota: La función de latidos de IKE debe estar habilitada en los dispositivos ubicados a ambos extremos de un túnel<br />
VPN en un grupo VPN. Si está habilitada en device_m pero no en device_t, device_m suprime la transmisión de<br />
latidos de IKE y genera el siguiente mensaje en el registro de eventos: “Heartbeats have been disabled because<br />
the peer is not sending them” (los latidos se han desactivado porque el interlocutor no los está enviando).<br />
Los latidos de IKE deben fluir en ambos<br />
sentidos a través del túnel VPN.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 443
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
Para definir el intervalo de latidos de IKE y el umbral para un túnel VPN específico (el valor predeterminado es 5),<br />
realice los siguientes pasos:<br />
WebUI<br />
CLI<br />
VPNs > AutoKey Advanced > Gateway > Edit (para la puerta de enlace cuyo umbral de latidos de IKE<br />
desee modificar) > Advanced: Introduzca los valores nuevos en los campos “Heartbeat Hello” y “Heartbeat<br />
Threshold” y haga clic en OK.<br />
set ike gateway name_str heartbeat hello number<br />
set ike gateway name_str heartbeat threshold number<br />
Procedimiento de recuperación IKE<br />
Después de que el dispositivo <strong>NetScreen</strong> de supervisión haya determinado que un dispositivo de destino está<br />
inactivo, el supervisor deja de enviar latidos de IKE y elimina las SA para dicho interlocutor de su caché de SA. Tras<br />
un intervalo definido, el supervisor intenta iniciar negociaciones de fase 1 con el interlocutor fallido. Si el primer<br />
intento no tiene éxito, el supervisor continúa intentando establecer negociaciones de fase 1 a intervalos regulares<br />
hasta que obtiene resultados satisfactorios.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 444
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
Para definir el intervalo de recuperación IKE para un túnel VPN específico (el ajuste mínimo es 60 segundos),<br />
realice uno de los siguientes pasos:<br />
WebUI<br />
CLI<br />
Intervalo:<br />
5 minutos<br />
(300 segundos) . ..<br />
Supervisor<br />
Intentos de<br />
negociación de fase 1<br />
IKE cada 5 minutos Destino<br />
.<br />
VPNs > AutoKey Advanced > Gateway > Edit (para la puerta de enlace cuyo intervalo de reconexión de IKE<br />
desee modificar) > Advanced: Introduzca el valor en segundos en el campo Heartbeat Reconnect y haga<br />
clic en OK.<br />
set ike gateway name_str heartbeat reconnect number<br />
.<br />
.<br />
Intento fallido<br />
Intento fallido<br />
Intento con éxito<br />
Cuando el miembro con el mayor peso de un grupo VPN realiza una conmutación por error del túnel a otro miembro<br />
del grupo y, a continuación, conecta de nuevo con el dispositivo de supervisión, se realiza automáticamente una<br />
conmutación por recuperación del túnel al primer miembro. El sistema de ponderación hace que la puerta de enlace<br />
que tiene la mayor valoración del grupo se encargue siempre de gestionar los datos VPN si es posible.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 445<br />
.<br />
.
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
En la siguiente ilustración se muestra el proceso al que se somete un miembro de un grupo VPN cuando la<br />
ausencia de latidos de una puerta de enlace de destino sobrepasa el umbral de fallo.<br />
1.<br />
2.<br />
3.<br />
4.<br />
5.<br />
Supervisor Destino<br />
Latidos IKE en ambos sentidos<br />
El destino deja de enviar latidos IKE.<br />
El supervisor realiza una conmutación por error de la VPN (si el destino estaba<br />
gestionando datos VPN), elimina las SA de fase 1 y fase 2 e intenta establecer<br />
de nuevo el túnel VPN con los intervalos especificados.<br />
El destino responde a la iniciación de fase 1 con latidos IKE habilitados.<br />
Las negociaciones de fase 1 y fase 2 IKE tienen éxito, el túnel se<br />
salvaguarda y se realiza una conmutación por recuperación de la<br />
VPN (si su peso da preferencia a otros miembros del grupo VPN).<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 446
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
Comprobación de flag TCP SYN<br />
Para que se produzca una conmutación por error VPN gradual, el manejo de las sesiones TCP debe estar<br />
direccionado. Si, después de una conmutación por error, la nueva puerta de enlace activa recibe un paquete<br />
durante una sesión TCP existente, la nueva puerta de enlace lo gestiona como si fuera el primer paquete de una<br />
sesión TCP nueva y comprueba si el flag SYN está activado en el encabezado del paquete. Como este paquete en<br />
realidad forma parte de una sesión existente, no tiene el flag SYN activado. En consecuencia, la nueva puerta de<br />
enlace rechaza el paquete. Con la comprobación de flag TCP SYN habilitada, todas las aplicaciones TCP se tienen<br />
que reconectar después de que se produzca la conmutación por error.<br />
Para resolver este problema, puede inhabilitar la comprobación de flag SYN para las sesiones TCP en túneles VPN<br />
del siguiente modo:<br />
WebUI<br />
CLI<br />
No es posible inhabilitar la comprobación de flag SYN mediante la WebUI.<br />
unset flow tcp-syn-check-in-tunnel<br />
Nota: De forma predeterminada, la comprobación de flag SYN está habilitada.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 447
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
Ejemplo: Puertas de enlace VPN redundantes<br />
En este ejemplo, un sitio corporativo tiene un túnel VPN que conecta con un centro de datos y un segundo túnel que<br />
conecta con un centro de datos de respaldo. Todos los datos se replican a través de una conexión de línea punto a<br />
punto entre los dos centros de datos. Los centros de datos están separados físicamente para proporcionar un<br />
servicio continuo, incluso en caso de fallo catastrófico, como un corte de corriente de 24 horas o una catástrofe<br />
natural.<br />
El nombre y la ubicación del dispositivo, las interfaces físicas y sus direcciones IP para las zonas Trust y Untrust, y<br />
la ID de grupo VPN y el peso de cada dispositivo <strong>NetScreen</strong> son los siguientes:<br />
Ubicación<br />
del dispositivo<br />
Nombre del<br />
dispositivo<br />
Interfaz física y<br />
dirección IP<br />
(zona Trust)<br />
Interfaz física,<br />
dirección IP, puerta de enlace<br />
predeterminada<br />
(zona Untrust)<br />
ID de grupo<br />
VPN y peso<br />
Empresa Monitor1 ethernet1, 10.10.1.1/24 ethernet3, 1.1.1.1/24, (GW) 1.1.1.2 – –<br />
Centro de datos (primario) Target1 ethernet1, 10.1.1.1/16 ethernet3, 2.2.2.1/24, (GW) 2.2.2.2 ID = 1, Peso = 2<br />
Centro de datos (de<br />
respaldo)<br />
Target2 ethernet1, 10.1.1.1/16 ethernet3, 3.3.3.1/24, (GW) 3.3.3.2 ID = 1, Peso = 1<br />
Nota: El espacio de direcciones interno en ambos centros de datos debe ser idéntico.<br />
Todas las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr. Todos los túneles AutoKey IKE<br />
punto a punto utilizan el nivel de seguridad predefinido como “Compatible” para propuestas de fase 1 y fase 2. Las<br />
claves previamente compartidas autentican a los participantes.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 448
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
Nota: Las zonas de seguridad y los enrutadores<br />
externos no se muestran en esta ilustración.<br />
10.10.1.0/24<br />
Sitio corporativo<br />
WebUI (Monitor1)<br />
1. Interfaces<br />
Trust, eth1<br />
10.10.1.1/24<br />
Monitor1<br />
Untrust, eth3<br />
1.1.1.1/24<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.10.1.1/24<br />
Introduzca los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Untrust, eth3<br />
2.2.2.1/24<br />
Untrust, eth3<br />
3.3.3.1/24<br />
Target1<br />
Internet<br />
Target2<br />
Trust, eth1<br />
10.1.1.1/16<br />
Trust, eth1<br />
10.1.1.1/16<br />
10.1.0.0/16<br />
10.1.0.0/16<br />
Sitio primario del<br />
centro de datos<br />
Línea punto a<br />
punto para la<br />
réplica de datos<br />
del sitio primario<br />
al sitio de<br />
respaldo<br />
Sitio de copia<br />
de seguridad<br />
del centro de<br />
datos<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 449
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
2. Direcciones<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: in_trust<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.10.1.0/24<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
3. VPNs<br />
Address Name: data_ctr<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.0.0/16<br />
Zone: Untrust<br />
VPNs > AutoKey Advanced > VPN Group: Introduzca 1 en el campo VPN Group ID y haga clic en Add .<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: target1<br />
Security Level: Compatible<br />
Remote Gateway Type: Static IP Address: (seleccione), IP Address: 2.2.2.1<br />
Preshared Key: SLi1yoo129<br />
Outgoing Interface: ethernet3<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 450
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Compatible<br />
Mode (Initiator): Main (ID Protection)<br />
Heartbeat:<br />
Hello: 3 Seconds<br />
Reconnect: 60 seconds<br />
Threshold: 5<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: to_target1<br />
Security Level: Compatible<br />
Remote Gateway: Predefined: (seleccione), target1<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
VPN Group: VPN Group -1<br />
Weight: 2<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: target2<br />
Security Level: Compatible<br />
Remote Gateway Type: Static IP Address: (seleccione), IP Address: 3.3.3.1<br />
Preshared Key: CMFwb7oN23<br />
Outgoing Interface: ethernet3<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 451
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Compatible<br />
Mode (Initiator): Main (ID Protection)<br />
Heartbeat:<br />
Hello: 3 Seconds<br />
Reconnect: 60 seconds<br />
Threshold: 5<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: to_target2<br />
Security Level: Compatible<br />
Remote Gateway: Predefined: (seleccione), target2<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
VPN Group: VPN Group -1<br />
Weight: 1<br />
4. Ruta<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.2(untrust)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 452
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
5. Directivas<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), in_trust<br />
Destination Address:<br />
Address Book Entry: (seleccione), data_ctr<br />
Service: ANY<br />
Action: Tunnel<br />
VPN: VPN Group -1<br />
Modify matching bidirectional VPN policy: (seleccione)<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 453
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
WebUI (Target1)<br />
1. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.1.1.1/16<br />
Introduzca los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
2. Direcciones<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.2.2.1/24<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: in_trust<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.1.0.0/16<br />
Zone: Trust<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: corp<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.10.1.0/24<br />
Zone: Untrust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 454
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
3. VPN<br />
VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK :<br />
Gateway Name: monitor1<br />
Security Level: Compatible<br />
Remote Gateway Type:<br />
Static IP Address: (seleccione), IP Address/Hostname: 1.1.1.1<br />
Preshared Key: SLi1yoo129<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de puerta de<br />
enlace:<br />
Security Level: Compatible<br />
Mode (Initiator): Main (ID Protection)<br />
Heartbeat:<br />
Hello: 3 Seconds<br />
Reconnect: 0 seconds<br />
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
Nombre: to_monitor1<br />
Security Level: Compatible<br />
Remote Gateway: Predefined: (seleccione), monitor1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 455
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
4. Ruta<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
5. Directivas<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.2<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
WebUI (Target2)<br />
Source Address:<br />
Address Book Entry: (seleccione), in_trust<br />
Destination Address:<br />
Address Book Entry: (seleccione), corp<br />
Service: ANY<br />
Action: Tunnel<br />
Tunnel VPN: monitor1<br />
Modify matching bidirectional VPN policy: (seleccione)<br />
Position at Top: (seleccione)<br />
Nota: Siga los pasos de configuración de Target1 para configurar Target2, pero defina la dirección IP de la<br />
interfaz de zona Untrust como 3.3.3.1/24, la dirección IP de puerta de enlace predeterminada como 3.3.3.2<br />
y utilice CMFwb7oN23 para generar la clave previamente compartida.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 456
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
CLI (Monitor1)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.10.1.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
2. Direcciones<br />
set address trust in_trust 10.10.1.0/24<br />
set address untrust data_ctr 10.1.0.0/16<br />
3. VPNs<br />
set ike gateway target1 address 2.2.2.1 main outgoing-interface ethernet3<br />
preshare SLi1yoo129 sec-level compatible<br />
set ike gateway target1 heartbeat hello 3<br />
set ike gateway target1 heartbeat reconnect 60<br />
set ike gateway target1 heartbeat threshold 5<br />
set vpn to_target1 gateway target1 sec-level compatible<br />
set ike gateway target2 address 3.3.3.1 main outgoing-interface ethernet3<br />
preshare CMFwb7oN23 sec-level compatible<br />
set ike gateway target2 heartbeat hello 3<br />
set ike gateway target2 heartbeat reconnect 60<br />
set ike gateway target2 heartbeat threshold 5<br />
set vpn to_target2 gateway target2 sec-level compatible<br />
set vpn-group id 1 vpn to_target1 weight 2<br />
set vpn-group id 1 vpn to_target2 weight 1<br />
unset flow tcp-syn-check-in-tunnel<br />
4. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.2<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 457
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
5. Directivas<br />
set policy top from trust to untrust in_trust data_ctr any tunnel “vpn-group 1”<br />
set policy top from untrust to trust data_ctr in_trust any tunnel “vpn-group 1”<br />
save<br />
CLI (Target1)<br />
1. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.1.1.1/16<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.1/24<br />
2. Direcciones<br />
set address trust in_trust 10.1.0.0/16<br />
set address untrust corp 10.10.1.0/24<br />
3. VPN<br />
set ike gateway monitor1 address 1.1.1.1 main outgoing-interface ethernet3<br />
preshare SLi1yoo129 sec-level compatible<br />
set ike gateway monitor1 heartbeat hello 3<br />
set ike gateway monitor1 heartbeat threshold 5<br />
set vpn to_monitor1 gateway monitor1 sec-level compatible<br />
4. Ruta<br />
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.2<br />
5. Directivas<br />
set policy top from trust to untrust in_trust corp any tunnel vpn to_monitor<br />
set policy top from untrust to trust corp in_trust any tunnel vpn to_monitor<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 458
Capítulo 7 Funciones de VPN avanzadas Puertas de enlace VPN redundantes<br />
CLI (Target2)<br />
Nota: Siga los pasos de configuración de Target1 para configurar Target2, pero defina la dirección IP de la<br />
interfaz de zona Untrust como 3.3.3.1/24, la dirección IP de puerta de enlace predeterminada como 3.3.3.2<br />
y utilice CMFwb7oN23 para generar la clave previamente compartida.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 459
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas<br />
VPNS ADOSADAS<br />
Puede aplicar directivas interzonales en el lado del concentrador para el tráfico que circule de un túnel VPN a otro<br />
ubicando los puntos radiales en zonas diferentes 22 . Como se encuentran en zonas distintas, el dispositivo<br />
<strong>NetScreen</strong> del concentrador debe realizar una consulta de directivas antes de enrutar el tráfico de un túnel a otro.<br />
Así, es posible controlar el tráfico que circule a través de los túneles VPN entre los puntos radiales. Esta<br />
configuración se denomina “VPN adosada”.<br />
VPNs adosadas<br />
Zona<br />
Zona<br />
Radio A Radio B<br />
X1<br />
X2<br />
VPN1 VPN2<br />
Consulta<br />
de<br />
directivas<br />
Concentrador (hub)<br />
22. De forma opcional, puede habilitar un bloqueo intrazonal y definir una directiva intrazonal para controlar el tráfico entre las dos interfaces de túnel dentro de<br />
la misma zona.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 460
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas<br />
Ventajas de las VPNs adosadas:<br />
Puede conservar el número de VPNs que necesite crear. Por ejemplo, el punto de perímetro A puede enlazar<br />
con el concentrador y los puntos de perímetro B, C, D, etc., pero A sólo tiene que configurar un túnel VPN.<br />
Especialmente para usuarios de <strong>NetScreen</strong>-5XP, que pueden utilizar un máximo de diez túneles VPN de<br />
forma simultánea, aplicar el método radial aumenta de manera significativa las opciones y funciones de VPN.<br />
El administrador del dispositivo concentrador puede controlar completamente el tráfico VPN entre los<br />
puntos de perímetro. Por ejemplo:<br />
– Puede permitir sólo la circulación de tráfico HTTP desde A hasta B, pero permitir la circulación de<br />
cualquier tipo de tráfico desde B hasta A.<br />
– Puede permitir el acceso a C del tráfico procedente de A, pero denegar el acceso a A del tráfico<br />
procedente de C.<br />
– Puede permitir a un host concreto de A el acceso a toda la red D y, al mismo tiempo, permitir sólo a un<br />
host concreto de D acceder a otro host distinto en A.<br />
El administrador del dispositivo concentrador puede controlar completamente el tráfico saliente de todas las<br />
redes del perímetro. En cada punto de perímetro debe existir primero una directiva que dirija todo el tráfico<br />
de salida a través de las VPN radiales hasta el concentrador; por ejemplo: set policy top from trust to<br />
untrust any any any tunnel vpn name_str (donde name_str define el túnel VPN específico que conecta<br />
cada punto de perímetro con el concentrador). En el concentrador, el administrador puede controlar el<br />
acceso a Internet, permitiendo determinado tipo de tráfico (por ejemplo, sólo HTTP), realizando bloqueos<br />
de URL o sitios web no deseables, etc.<br />
Se pueden utilizar concentradores regionales y túneles interconectados en una configuración radial,<br />
permitiendo que los puntos de radio de una región accedan a los puntos de radio de otra.<br />
Ejemplo: VPNs adosadas<br />
El ejemplo siguiente es parecido al “Ejemplo: VPNs radiales” en la página 472, excepto en un detalle: el dispositivo<br />
<strong>NetScreen</strong> del lado del concentrador en Nueva York realiza una comprobación de directivas en el tráfico que enruta<br />
entre los dos túneles con destino a las sucursales de Tokio y París. Colocando cada sitio remoto en una zona<br />
distinta, el tráfico VPN se controla en el concentrador.<br />
La dirección LAN de Tokio se encuentra en la zona definida por el usuario X1, y la dirección LAN de París se<br />
encuentra en la zona definida por el usuario X2. Ambas zonas se encuentran en el dominio de enrutamiento Trust-VR.<br />
Nota: Para crear zonas definidas por el usuario, primero hay que adquirir y cargar una clave de software de zona<br />
en el dispositivo <strong>NetScreen</strong>.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 461
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas<br />
El túnel VPN1 se asocia a la interfaz tunnel.1, y el túnel VPN2 se asocia a la interfaz tunnel.2. Aunque no se<br />
asignan direcciones IP a las interfaces de zona X1 y X2, se asignan direcciones a ambas interfaces de túnel. Las<br />
rutas para estas interfaces aparecen automáticamente en la tabla de enrutamiento Trust-VR. Colocando la<br />
dirección IP de una interfaz de túnel en la misma subred que la de destino, el tráfico destinado a dicha subred se<br />
enruta a la interfaz de túnel.<br />
La interfaz de salida es ethernet3, que está asociada a la zona Untrust. Como puede ver en la siguiente ilustración,<br />
ambos túneles terminan en la zona Untrust; sin embargo, los puntos finales para el tráfico que utiliza estos túneles<br />
se encuentran en las zonas X1 y X2. Los túneles utilizan AutoKey IKE con claves previamente compartidas. Hay<br />
que seleccionar el nivel de seguridad predefinido como “Compatible” para ambas propuestas de fase 1 y fase 2. La<br />
zona Untrust se asocia a untrust-vr. Como los túneles están basados en rutas (es decir, el túnel correcto se<br />
determina por el enrutamiento, no por un nombre de túnel especificado en una directiva), las IDs de proxy se<br />
incluyen en la configuración de cada túnel.<br />
Nota: A continuación se proporciona sólo la configuración del dispositivo <strong>NetScreen</strong> situado en el lado del concentrador.<br />
Dominio de<br />
enrutamiento<br />
Trust-VR VPN1<br />
Zona Trust<br />
Interfaz de salida<br />
de Nueva York<br />
Zona Untrust<br />
eth3, IP 123.1.1.1/24<br />
Sede central en<br />
Nueva York<br />
(concentrador)<br />
Consulta<br />
de<br />
directivas<br />
Interfaz:<br />
tunnel.1<br />
10.10.1.2/24<br />
eth1, 10.1.1.1/24 Interfaz:<br />
tunnel.2<br />
10.20.1.2/24<br />
Puerta de enlace<br />
predeterminada<br />
IP 123.1.1.2<br />
Zona X1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 462<br />
VPN1<br />
VPN2<br />
Zona X2<br />
Tokio (radio)<br />
110.1.1.1<br />
París (radio)<br />
220.2.2.2<br />
Dominio de<br />
enrutamiento<br />
Untrust-VR<br />
LAN de Tokio<br />
10.10.1.0/24<br />
LAN de París<br />
10.20.1.0/24
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas<br />
WebUI<br />
1. Zonas de seguridad y enrutadores virtuales<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
IP Address/Netmask: 0.0.0.0/0<br />
Manage IP: 0.0.0.0<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Null<br />
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga clic en OK :<br />
Virtual Router Name: untrust-vr<br />
Block Intra-Zone Traffic: (seleccione)<br />
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: X1<br />
Virtual Router Name: trust-vr<br />
Block Intra-Zone Traffic: (seleccione)<br />
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: X2<br />
Virtual Router Name: trust-vr<br />
Block Intra-Zone Traffic: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 463
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas<br />
2. Interfaces<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 123.1.1.1/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): X1 (trust-vr)<br />
Fixed IP: (seleccione)<br />
IP Address / Netmask: 10.10.1.2/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
Tunnel Interface Name: tunnel.2<br />
Zone (VR): X2 (trust-vr)<br />
Fixed IP: (seleccione)<br />
IP Address / Netmask: 10.20.1.2/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 464
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas<br />
3. VPN para la oficina de Tokio<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: VPN1<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: Tokyo<br />
Type: Static IP: (seleccione), Address/Hostname: 110.1.1.1<br />
Preshared Key: netscreen1<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Proxy-ID: (seleccione) 23<br />
Local IP / Netmask: 10.20.1.0/24<br />
Remote IP / Netmask: 10.10.1.0/24<br />
Service: ANY<br />
23. Para configurar el túnel VPN en el dispositivo <strong>NetScreen</strong> que protege las oficinas de Tokio y París, ejecute uno de estos procedimientos:<br />
(VPN basada en rutas) Seleccione la casilla de verificación Enable Proxy-ID y escriba 10.10.1.0/24 (Tokio) y 10.20.1.0/24 (París) para IP Local/Netmask,<br />
y 10.20.1.0/24 (Tokio) y 10.10.1.0/24 (París) para IP remota/Netmask .<br />
(VPN basada en directivas) Realice una entrada en la libreta de direcciones de la zona Trust para 10.10.1.0/24 (Tokio) y 10.20.1.0/24 (París), y otra en la<br />
libreta de direcciones de la zona Untrust para 10.20.1.0/24 (Tokio) y 10.10.1.0/24 (París). Utilícelas como direcciones de origen y destino en la directiva<br />
relativa al túnel VPN al sitio del concentrador (hub).<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 465
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas<br />
4. VPN para la oficina de París<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: VPN2<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: París<br />
Type: Static IP: (seleccione), Address/Hostname: 220.2.2.2<br />
Preshared Key: netscreen2<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 10.10.1.0/24<br />
Remote IP / Netmask: 10.20.1.0/24<br />
Service: ANY<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 466
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas<br />
5. Rutas<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Next Hop Virtual Router Name: (seleccione), untrust-vr<br />
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
6. Direcciones<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 123.1.1.2<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Tokyo LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.10.1.0/24<br />
Zone: X1<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Paris LAN<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.20.1.0/24<br />
Zone: X2<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 467
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas<br />
7. Directivas<br />
Policy > (From: X1, To: X2) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Tokyo LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Paris LAN<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
Policy > (From: X2, To: X1) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Paris LAN<br />
Destination Address:<br />
Address Book Entry: (seleccione), Tokyo LAN<br />
Service: ANY<br />
Action: Permit<br />
Position at Top: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 468
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas<br />
CLI<br />
1. Zonas de seguridad y enrutadores virtuales<br />
unset interface ethernet3 ip<br />
unset interface ethernet3 zone<br />
set zone untrust vrouter untrust-vr<br />
set zone untrust block<br />
set zone name x1<br />
set zone x1 vrouter trust-vr<br />
set zone x1 block<br />
set zone name x2<br />
set zone x2 vrouter trust-vr<br />
set zone x2 block<br />
2. Interfaces<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 123.1.1.1/24<br />
set interface tunnel.1 zone x1<br />
set interface tunnel.1 ip 10.10.1.2/24<br />
set interface tunnel.2 zone x2<br />
set interface tunnel.2 ip 10.20.1.2/24<br />
3. VPN para la oficina de Tokio<br />
set ike gateway Tokyo address 110.1.1.1 outgoing-interface ethernet3 preshare<br />
netscreen1 sec-level compatible<br />
set vpn VPN1 gateway Tokyo sec-level compatible<br />
set vpn VPN1 bind interface tunnel.1<br />
set vpn VPN1 proxy-id local-ip 10.20.1.0/24 remote-ip 10.10.1.0/24 any 24<br />
24. Para configurar el túnel VPN en el dispositivo <strong>NetScreen</strong> que protege las oficinas de Tokio y París, ejecute uno de estos procedimientos:<br />
(VPN basada en rutas) Introduzca los siguientes comandos: set vpn VPN1 proxy-id local-ip 10.20.1.0/24 remote-ip 10.10.1.0/24 (Tokyo) and set vpn<br />
VPN1 proxy-id local-ip 10.10.1.0/24 remote-ip 10.20.1.0/24 (Paris) .<br />
(VPN basada en directivas) Realice una entrada en la libreta de direcciones de la zona Trust para 10.10.1.0/24 (Tokio) y 10.20.1.0/24 (París), y otra en la<br />
libreta de direcciones de la zona Untrust para 10.20.1.0/24 (Tokio) y 10.10.1.0/24 (París). Utilícelas como direcciones de origen y destino en las directivas<br />
relativas al túnel VPN al sitio del concentrador (hub).<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 469
Capítulo 7 Funciones de VPN avanzadas VPNs adosadas<br />
4. VPN para la oficina de París<br />
set ike gateway Paris address 220.2.2.2 outgoing-interface ethernet3 preshare<br />
netscreen2 sec-level compatible<br />
set vpn VPN2 gateway Paris sec-level compatible<br />
set vpn VPN2 bind interface tunnel.2<br />
set vpn VPN2 proxy-id local-ip 10.10.1.0/24 remote-ip 10.20.1.0/24 any<br />
5. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr<br />
set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 123.1.1.2<br />
6. Direcciones<br />
set address x1 “Tokyo LAN” 10.10.1.0/24<br />
set address x2 “Paris LAN” 10.20.1.0/24<br />
7. Directivas<br />
set policy top from x1 to x2 “Tokyo LAN” “Paris LAN” any permit 25<br />
set policy top from x2 to x1 “Paris LAN” “Tokyo LAN” any permit<br />
save<br />
25. Puede hacer caso omiso al siguiente mensaje, que aparece porque las interfaces de túnel están en modo NAT: “Warning: Some interfaces in the<br />
zone are in NAT mode. Traffic might not pass through them!”<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 470
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
VPNS RADIALES<br />
Si crea dos túneles VPN que terminen en un dispositivo <strong>NetScreen</strong>, puede configurar un par de rutas para que el<br />
dispositivo <strong>NetScreen</strong> dirija el tráfico que salga de un túnel hacia el otro. Si ambos túneles están incluidos en la<br />
misma zona, no es necesario crear una directiva para permitir que el tráfico pase de un túnel a otro. Sólo es<br />
necesario definir las rutas. Esta configuración se denomina “VPN radial”.<br />
Zona Untrust<br />
Sitios remotos<br />
El dispositivo <strong>NetScreen</strong> enruta el<br />
tráfico de un túnel a otro.<br />
Túneles VPN<br />
radiales<br />
También es posible configurar VPNs múltiples en una zona y enrutar el tráfico entre dos túneles cualesquiera.<br />
Zona Untrust<br />
El dispositivo <strong>NetScreen</strong> enruta el<br />
tráfico entre túneles.<br />
Túneles VPN radiales múltiples<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 471
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
Ejemplo: VPNs radiales<br />
En este ejemplo, dos sucursales de Tokio y París se comunican entre sí a través de un par de túneles VPN (VPN1<br />
y VPN2). Cada túnel tiene su punto de origen en el sitio remoto y termina en la sede central de Nueva York. El<br />
dispositivo <strong>NetScreen</strong> de la sede central enruta el tráfico que sale de un túnel hacia el otro.<br />
Inhabilitando el bloqueo intrazonal, el dispositivo <strong>NetScreen</strong> de la sede central sólo tiene que hacer una consulta<br />
de rutas (no una consulta de directivas) para dirigir el tráfico de un túnel a otro porque ambos puntos finales<br />
remotos se encuentran en la misma zona (zona Untrust) 26 .<br />
Los túneles se asocian a las interfaces de túnel (tunnel.1 y tunnel.2), que están sin numerar. Los túneles utilizan<br />
AutoKey IKE con claves previamente compartidas. Hay que seleccionar el nivel de seguridad predefinido como<br />
“Compatible” para ambas propuestas de fase 1 y fase 2. La zona Untrust se asocia a untrust-vr. La interfaz de zona<br />
Untrust es ethernet3.<br />
Nota: La siguiente configuración es aplicable a VPN basadas en rutas. Si configura VPN radiales basadas en<br />
directivas, debe utilizar las zonas Trust y Untrust en las directivas; no puede utilizar zonas de seguridad definidas<br />
por el usuario.<br />
Nueva York: sede central<br />
(concentrador)<br />
Zona Untrust<br />
Interfaz de<br />
salida<br />
eth3<br />
IP 1.1.1.1<br />
Interfaz:<br />
tunnel.1<br />
Interfaz:<br />
tunnel.2<br />
Puerta de<br />
enlace<br />
predeterminada<br />
IP 1.1.1.250<br />
Internet<br />
VPN1<br />
26. De forma opcional, puede mantener el bloqueo intrazonal habilitado y definir una directiva intrazonal que permita el tráfico entre las dos interfaces de túnel.<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 472<br />
VPN2<br />
Tokio 2.2.2.2<br />
(radio)<br />
París 3.3.3.3<br />
(radio)<br />
Dominio de enrutamiento<br />
untrust-vr<br />
LAN de Tokio<br />
10.2.2.0/24<br />
LAN de París<br />
10.3.3.0/24
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
WebUI (Nueva York)<br />
1. Zonas de seguridad y enrutadores virtuales<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
IP Address/Netmask: 0.0.0.0/0<br />
Manage IP: 0.0.0.0<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Null<br />
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga clic en OK :<br />
2. Interfaces<br />
Virtual Router Name: untrust-vr<br />
Block Intra-Zone Traffic: (anule la selección)<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 1.1.1.1/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (untrust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (untrust-vr)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 473
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
3. VPN para la oficina de Tokio<br />
Tunnel Interface Name: tunnel.2<br />
Zone (VR): Untrust (untrust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (untrust-vr)<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: VPN1<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: Tokyo<br />
Type: Static IP: (seleccione), Address/Hostname: 2.2.2.2<br />
Preshared Key: netscreen1<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 0.0.0.0/0<br />
Remote IP / Netmask: 0.0.0.0/0<br />
Service: ANY<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 474
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
4. VPN para la oficina de París<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: VPN2<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: Paris<br />
Type: Static IP: (seleccione), Address/Hostname: 3.3.3.3<br />
Preshared Key: netscreen2<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 0.0.0.0/0<br />
Remote IP / Netmask: 0.0.0.0/0<br />
Service: ANY<br />
5. Rutas<br />
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.2.2.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 475
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.3.3.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.2<br />
Gateway IP Address: 0.0.0.0<br />
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 1.1.1.250<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 476
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
WebUI (Tokio)<br />
1. Zonas de seguridad y enrutadores virtuales<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
IP Address/Netmask: 0.0.0.0/0<br />
Manage IP: 0.0.0.0<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Null<br />
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga clic en OK :<br />
2. Interfaces<br />
Virtual Router Name: untrust-vr<br />
Block Intra-Zone Traffic: (seleccione)<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.2.2.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 2.2.2.2/24<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 477
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
3. Dirección<br />
4. VPN<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (untrust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (untrust-vr)<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Paris<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.3.3.0/24<br />
Zone: Untrust<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: VPN1<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: New York<br />
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1<br />
Preshared Key: netscreen1<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 478
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 0.0.0.0/0<br />
Remote IP / Netmask: 0.0.0.0/0<br />
Service: ANY<br />
5. Rutas<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Next Hop Virtual Router Name: (seleccione); untrust-vr<br />
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 2.2.2.250<br />
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 10.3.3.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 479
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
6. Directivas<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
WebUI (París)<br />
Source Address:<br />
Address Book Entry: (seleccione), Any<br />
Destination Address:<br />
Address Book Entry: (seleccione), Paris<br />
Service: ANY<br />
Action: Permit<br />
1. Zonas de seguridad y enrutadores virtuales<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
IP Address/Netmask: 0.0.0.0/0<br />
Manage IP: 0.0.0.0<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Null<br />
Network > Zones > Edit (para Untrust): Introduzca los siguientes datos y haga clic en OK :<br />
Virtual Router Name: untrust-vr<br />
Block Intra-Zone Traffic: (seleccione)<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 480
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
2. Interfaces<br />
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en Apply :<br />
Zone Name: Trust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 10.3.3.1/24<br />
Seleccione los siguientes datos y haga clic en OK :<br />
Interface Mode: NAT<br />
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK :<br />
Zone Name: Untrust<br />
Static IP: (seleccione esta opción si es posible)<br />
IP Address/Netmask: 3.3.3.3/24<br />
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK :<br />
3. Dirección<br />
Tunnel Interface Name: tunnel.1<br />
Zone (VR): Untrust (untrust-vr)<br />
Unnumbered: (seleccione)<br />
Interface: ethernet3 (untrust-vr)<br />
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :<br />
Address Name: Tokyo<br />
IP Address/Domain Name:<br />
IP/Netmask: (seleccione), 10.2.2.0/24<br />
Zone: Untrust<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 481
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
4. VPN<br />
VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK :<br />
VPN Name: VPN2<br />
Security Level: Compatible<br />
Remote Gateway: Create a Simple Gateway: (seleccione)<br />
Gateway Name: New York<br />
Type: Static IP: (seleccione), Address/Hostname: 1.1.1.1<br />
Preshared Key: netscreen2<br />
Security Level: Compatible<br />
Outgoing Interface: ethernet3<br />
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en<br />
Return para regresar a la página de configuración básica de AutoKey IKE:<br />
Proxy-ID: (seleccione)<br />
Local IP / Netmask: 0.0.0.0/0<br />
Remote IP / Netmask: 0.0.0.0/0<br />
Service: ANY<br />
5. Rutas<br />
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Next Hop Virtual Router Name: (seleccione); untrust-vr<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 482
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
Network Address / Netmask: 0.0.0.0/0<br />
Gateway: (seleccione)<br />
Interface: ethernet3<br />
Gateway IP Address: 3.3.3.250<br />
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK :<br />
6. Directivas<br />
Network Address / Netmask: 10.2.2.0/24<br />
Gateway: (seleccione)<br />
Interface: tunnel.1<br />
Gateway IP Address: 0.0.0.0<br />
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :<br />
Source Address:<br />
Address Book Entry: (seleccione), Any<br />
Destination Address:<br />
Address Book Entry: (seleccione), Tokyo<br />
Service: ANY<br />
Action: Permit<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 483
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
CLI (Nueva York)<br />
1. Zonas de seguridad y enrutadores virtuales<br />
unset interface ethernet3 ip<br />
unset interface ethernet3 zone<br />
set zone untrust vrouter untrust-vr<br />
unset zone untrust block<br />
2. Interfaces<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 1.1.1.1/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
set interface tunnel.2 zone untrust<br />
set interface tunnel.2 ip unnumbered interface ethernet3<br />
3. VPN para la oficina de Tokio<br />
set ike gateway Tokyo address 2.2.2.2 outgoing-interface ethernet3 preshare<br />
netscreen1 sec-level compatible<br />
set vpn VPN1 gateway Tokyo sec-level compatible<br />
set vpn VPN1 bind interface tunnel.1<br />
set vpn VPN1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any<br />
4. VPN para la oficina de París<br />
set ike gateway Paris address 3.3.3.3 outgoing-interface ethernet3 preshare<br />
netscreen2 sec-level compatible<br />
set vpn VPN2 gateway Paris sec-level compatible<br />
set vpn VPN2 bind interface tunnel.2<br />
set vpn VPN2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any<br />
5. Rutas<br />
set vrouter untrust-vr route 10.2.2.0/24 interface tunnel.1<br />
set vrouter untrust-vr route 10.3.3.0/24 interface tunnel.2<br />
set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 484
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
CLI (Tokio)<br />
1. Zonas de seguridad y enrutadores virtuales<br />
unset interface ethernet3 ip<br />
unset interface ethernet3 zone<br />
set zone untrust vrouter untrust-vr<br />
2. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.2.2.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 2.2.2.2/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
3. Dirección<br />
set address untrust Paris 10.3.3.0/24<br />
4. VPN<br />
set ike gateway “New York” address 1.1.1.1 outgoing-interface ethernet3<br />
preshare netscreen1 sec-level compatible<br />
set vpn VPN1 gateway “New York” sec-level compatible<br />
set vpn VPN1 bind interface tunnel.1<br />
set vpn VPN1 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any<br />
5. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr<br />
set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.250<br />
set vrouter untrust-vr route 10.3.3.0/24 interface tunnel.1<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 485
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
6. Directivas<br />
set policy from trust to untrust any Paris any permit<br />
set policy from untrust to trust Paris any any permit<br />
save<br />
CLI (París)<br />
1. Zonas de seguridad y enrutadores virtuales<br />
unset interface ethernet3 ip<br />
unset interface ethernet3 zone<br />
set zone untrust vrouter untrust-vr<br />
2. Interfaces<br />
set interface ethernet1 zone trust<br />
set interface ethernet1 ip 10.3.3.1/24<br />
set interface ethernet1 nat<br />
set interface ethernet3 zone untrust<br />
set interface ethernet3 ip 3.3.3.3/24<br />
set interface tunnel.1 zone untrust<br />
set interface tunnel.1 ip unnumbered interface ethernet3<br />
3. Dirección<br />
set address untrust Tokyo 10.2.2.0/24<br />
4. VPN<br />
set ike gateway “New York” address 1.1.1.1 outgoing-interface ethernet3<br />
preshare netscreen2 sec-level compatible<br />
set vpn VPN2 gateway “New York” sec-level compatible<br />
set vpn VPN2 bind interface tunnel.1<br />
set vpn VPN2 proxy-id local-ip 0.0.0.0/0 remote-ip 0.0.0.0/0 any<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 486
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
5. Rutas<br />
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr<br />
set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 3.3.3.250<br />
set vrouter untrust-vr route 10.2.2.0/24 interface tunnel.1<br />
6. Directivas<br />
set policy from trust to untrust any Tokyo any permit<br />
set policy from untrust to trust Tokyo any any permit<br />
save<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 487
Capítulo 7 Funciones de VPN avanzadas VPNs radiales<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> <strong>conceptos</strong> y <strong>ejemplos</strong> – <strong>Volumen</strong> 5: VPNs 488
Índice<br />
Índice<br />
Símbolos<br />
3DES 8<br />
A<br />
AES (Advanced Encryption Standard) 8<br />
AH 3, 7<br />
archivos MIB, importación 380<br />
asociación de seguridad<br />
véase SAs<br />
ataques<br />
repetición 15<br />
autenticación<br />
algoritmos 7, 66, 71, 75, 79<br />
C<br />
carga de seguridad encapsulada<br />
véase ESP<br />
certificado local 30<br />
certificados 10<br />
CA 26, 30<br />
carga 34<br />
local 30<br />
petición 31<br />
por correo electrónico 30<br />
revocación 29, 44<br />
certificados de CA 26, 30<br />
Challenge Handshake Authentication Protocol<br />
véase CHAP<br />
CHAP 311, 314<br />
clave manual 166, 177<br />
administración 9<br />
clave previamente compartida 9, 235<br />
CLI<br />
convenciones vi<br />
código de autenticación de mensajes basado en<br />
hash<br />
véase HMAC<br />
comprobación contra reprocesamiento de<br />
paquetes 68, 76<br />
confidencialidad directa perfecta<br />
véase PFS<br />
conjuntos de caracteres compatibles con<br />
ScreenOS x<br />
conjuntos de DIP<br />
interfaces extendidas 203<br />
NAT para VPNs 203<br />
container 280<br />
convenciones<br />
CLI vi<br />
ilustración ix<br />
nombres x<br />
WebUI vii<br />
CRL (lista de revocación de certificados) 28, 44<br />
carga 28<br />
D<br />
DES 8<br />
Diffie-Hellman, grupos 13, 65, 69, 74, 77<br />
direcciones IP<br />
extendidas 203<br />
directivas<br />
VPNs bidireccionales 178<br />
DN (nombre completo) 275<br />
DNS<br />
ajustes de L2TP 314<br />
E<br />
encabezado de autenticación<br />
véase AH<br />
encriptación<br />
algoritmos 8, 66, 70, 74, 79<br />
ESP 3, 7, 8<br />
encriptación y autenticación 70, 78<br />
sólo autenticación 70<br />
sólo encriptación 70<br />
F<br />
Fase 1 11<br />
propuestas 11<br />
propuestas, predefinidas 12<br />
Fase 2 13<br />
propuestas 13, 14<br />
propuestas, predefinidas 14<br />
firma digital 24<br />
flujo de paquetes<br />
VPN basada en directivas 88–89<br />
VPN basada en rutas 82–87<br />
VPN de entrada 85–87<br />
VPN de salida 83–85<br />
H<br />
HMAC 7<br />
I<br />
identificación IKE de grupo<br />
certificados 276–287<br />
clave previamente compartida 288–296<br />
IDs de proxy 14<br />
coincidencia 81, 90<br />
VPNs y NAT 203–204<br />
IKE 9, 111, 126, 235<br />
ID IKE, Windows 200 328, 341<br />
ID local, ASN1-DN 278<br />
ID remota, ASN1-DN 278<br />
identificación IKE 66–68, 75–76<br />
identificación IKE de grupo, container 280<br />
identificación IKE de grupo, wildcard 279<br />
IDs de proxy 14<br />
latidos 443<br />
mensajes de saludo 443<br />
propuestas de fase 1, predefinidas 12<br />
propuestas de fase 2, predefinidas 14<br />
puertas de enlace redundantes 441–459<br />
recomendaciones de ID IKE 92<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> Concepts & Examples – Volume 5: VPNs IX-I
Índice<br />
usuario de identificación IKE compartida<br />
297–306<br />
usuario de identificación IKE de grupo<br />
275–296<br />
ilustración<br />
convenciones ix<br />
infraestructura de claves públicas<br />
véase PKI<br />
intercambio de claves de Internet<br />
véase IKE<br />
intercambio Diffie-Hellman 13<br />
interfaces<br />
extendidas 203<br />
null 109<br />
interfaz nula 109<br />
IPSec 3<br />
AH 2, 69, 78<br />
ESP 2, 69, 78<br />
firma digital 24<br />
modo de transporte 4, 311, 317, 326<br />
modo de túnel 5<br />
negociación de túnel 11<br />
SAs 2, 10, 11, 14<br />
SPI 2<br />
túnel 2<br />
K<br />
keepalive<br />
frecuencia, NAT-T 357<br />
L2TP 322<br />
L<br />
L2TP 307–348<br />
autenticado del túnel Windows 2000 322<br />
bidireccional 311<br />
concentrador de accesos: véase LAC<br />
configuración obligatoria 308<br />
configuración voluntaria 308<br />
desencapsulado 313<br />
encapsulado 312<br />
Keep Alive 322<br />
L2TP en solitario sobre Windows 2000 311<br />
modo de funcionamiento 311<br />
parámetros predeterminados 315<br />
señal hello 322<br />
servidor de red: véase LNS<br />
servidor RADIUS 314<br />
servidor SecurID 314<br />
soporte de ScreenOS 311<br />
túnel 317<br />
Windows 2000 331<br />
L2TP sobre IPSec 4, 317, 326<br />
bidireccional 311<br />
túnel 317<br />
LAC 308<br />
<strong>NetScreen</strong>-Remote 5.0 308<br />
Windows 2000 308<br />
Layer 2 Tunneling Protocol<br />
véase L2TP<br />
LNS 308<br />
M<br />
MD5 7<br />
Message Digest versión 5<br />
véase MD5<br />
MIP<br />
VPNs 203<br />
modo de transporte 4, 311, 317, 326<br />
modo de túnel 5<br />
modo dinámico 12<br />
modo principal 12<br />
módulo 13<br />
N<br />
NAT<br />
IPSec y NAT 351<br />
servidores NAT 351<br />
NAT-dst<br />
VPNs 203<br />
NAT-src<br />
VPNs 206<br />
NAT-T 351–360<br />
frecuencia de mantenimiento de conexión 357<br />
habilitar 359<br />
iniciador y respondedor 358<br />
obstáculos para VPNs 354<br />
paquete IKE 354<br />
paquete IPSec 356<br />
sondeos de NAT 352–353<br />
NAT-Traversal<br />
véase NAT-T<br />
<strong>NetScreen</strong>-Remote<br />
interlocutor dinámico 244, 256<br />
opción NAT-T 351<br />
VPN AutoKey IKE 235<br />
nombres<br />
convenciones x<br />
Norma de encriptación de datos<br />
véase DES<br />
O<br />
OCSP (Online Certificate Status Protocol) 44<br />
client 44<br />
servidor de respuesta 44<br />
opción de reencriptación, supervisión de VPN 362<br />
opciones criptográficas 62–79<br />
acceso telefónico 72–79<br />
algoritmos de autenticación 66, 71, 75, 79<br />
algoritmos de encriptación 66, 70, 74, 79<br />
comprobación contra reprocesamiento de<br />
paquetes 68, 76<br />
Diffie-Hellman, grupos 65, 69, 74, 77<br />
ESP 70, 78<br />
identificación IKE 66–68, 75–76<br />
longitudes de bits de los certificados 65, 73<br />
métodos de administración de claves 64<br />
modo de transporte 78<br />
modo de túnel 78<br />
modos de fase 1 64, 73<br />
PFS 68, 77<br />
protocolos IPSec 69, 78<br />
punto a punto 63–71<br />
recomendaciones VPN de acceso<br />
telefónico 79<br />
recomendaciones VPN punto a punto 71<br />
tipos de autenticación 64, 73<br />
P<br />
PAP 311, 314<br />
par de claves pública/privada 27<br />
Password Authentication Protocol<br />
véase PAP<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> Concepts & Examples – Volume 5: VPNs IX-II
Índice<br />
PFS 15, 68, 77<br />
PKI 26<br />
PPP 309<br />
propuestas<br />
Fase 1 11, 90<br />
Fase 2 14, 90<br />
protección contra reprocesamiento de paquetes 15<br />
protocolo punto a punto<br />
véase PPP<br />
protocolos<br />
CHAP 311<br />
PAP 311<br />
PPP 309<br />
puertas de enlace redundantes 441–459<br />
comprobación de flag TCP SYN 447<br />
procedimiento de recuperación 444<br />
R<br />
RADIUS<br />
L2TP 314<br />
RFC<br />
(MD5)<br />
1321 7<br />
2403 7<br />
(SHA-1)<br />
2404 7<br />
2104 7<br />
2407 3<br />
2408 3<br />
ruta nula 109<br />
S<br />
SAs 10, 11, 14<br />
comprobación en flujo de paquetes 84<br />
SCEP (Simple Certificate Enrollment Protocol) 38<br />
Secure Hash Algorithm-1<br />
véase SHA-1<br />
SecurID<br />
L2TP 314<br />
Seguridad IP<br />
véase IPSec<br />
SHA-1 7<br />
SNMP<br />
archivos MIB, importación 380<br />
supervisión de VPN 380<br />
supervisión de VPN 361–379<br />
cambios de estado 361, 366<br />
dirección de destino 363–367<br />
dirección de destino, XAuth 364<br />
directivas 365<br />
diseño de rutas 93<br />
interfaz de salida 363–367<br />
opción de reencriptación 362, 386<br />
peticiones de eco ICMP 380<br />
SNMP 380<br />
T<br />
tabla NHTB 381–387<br />
asignación de rutas a túneles 382<br />
entradas automáticas 386<br />
entradas manuales 385<br />
esquema de direccionamiento 383<br />
TCP<br />
comprobación de flag SYN 447<br />
Triple DES<br />
véase 3DES<br />
U<br />
UDP<br />
encapsulación NAT-T 351<br />
suma de comprobación 357<br />
usuario de identificación IKE de grupo 275–296<br />
certificados 276<br />
clave previamente compartida 288<br />
usuarios<br />
identificación IKE compartida 297–306<br />
identificación IKE de grupo 275–296<br />
V<br />
Verisign 44<br />
VPN AutoKey IKE 9<br />
administración 9<br />
VPN basada en directivas 80<br />
VPN basadas en rutas 80–81<br />
VPNs<br />
alias FQDN 187<br />
AutoKey IKE 9<br />
basadas en rutas o basadas en directivas 80<br />
consejos de configuración 90–92<br />
Diffie-Hellman, grupos 13<br />
Fase 1 11<br />
Fase 2 13<br />
flujo de paquetes 82–89<br />
FQDN para puerta de enlace 186–202<br />
grupos redundantes, procedimiento de<br />
recuperación 444<br />
grupos VPN 441<br />
IDs de proxy, coincidencia 90<br />
intercambio Diffie-Hellman 13<br />
MIP 203<br />
modo dinámico 12<br />
modo principal 12<br />
múltiples túneles por interfaz de túnel 381–437<br />
NAT para direcciones superpuestas 203–220<br />
NAT-dst 203<br />
NAT-src 206<br />
opciones criptográficas 62–79<br />
protección contra reprocesamiento de<br />
paquetes 15<br />
puertas de enlace redundantes 441–459<br />
SAs 10<br />
supervisión y reencriptación de VPN 362<br />
túnel siempre activo 362<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> Concepts & Examples – Volume 5: VPNs IX-III<br />
W<br />
WebUI<br />
convenciones vii<br />
wildcard 279<br />
WINS<br />
ajustes de L2TP 314<br />
X<br />
XAuth<br />
supervisión de VPN 364
Índice<br />
<strong>Juniper</strong> <strong>Networks</strong> <strong>NetScreen</strong> Concepts & Examples – Volume 5: VPNs IX-IV