Download - Fundamentos Ce v2 Sp

7/25/2019 Fundamentos Ce v2 Sp

1/280

Juniper Networks, Inc.

1194 North Mathilda Avenue

Sunnyvale, CA 94089

USA

408-745-2000

www.juniper.net

Nmero de pieza: 093-1660-000-SP, Revisin B

Concepts & ExamplesScreenOS Reference Guide

Volumen 2:

Fundamentos

Versin 5.3.0, Rev. B


2/280

ii

Copyright Notice

Copyright 2005 Juniper Networks, Inc. All rights reserved.

Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All othertrademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective

owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or forany obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publicationwithout notice.

FCC Statement

The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class Adigital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when theequipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed andused in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residentialarea is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.

The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequencyenergy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception.This equipment has been tested and found to comply with the limits for a Class B digi tal device in accordance with the specifications in part 15 of the FCCrules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is noguarantee that interference will not occur in a particular installation.

If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the useris encouraged to try to correct the interference by one or more of the following measures:

Reorient or relocate the receiving antenna.

Increase the separation between the equipment and receiver.

Consult the dealer or an experienced radio/TV technician for help.

Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.

Caution:Changes or modifications to this product could void the user's warranty and authority to operate this device.

Disclaimer

THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPEDWITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITEDWARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.

Writers: Anita Davey, Carrie Nowocin, Jozef Wroblewski

Editor: Lisa Eldridge


3/280

Contenido ii

Contenido

Acerca de este volumen ix

Convenciones del documento ..........................................................................xConvenciones de la interfaz de lnea de comandos (CLI) ...........................xConvenciones para las ilustraciones .........................................................xiConvenciones de nomenclatura y conjuntos de caracteres......................xiiConvenciones de la interfaz grfica (WebUI) .......................................... xiii

Documentacin de Juniper Networks............................................................ xiv

Captulo 1 Arquitectura de ScreenOS 1

Zonas de seguridad..........................................................................................2Interfaces de zonas de seguridad .....................................................................3

Interfaces fsicas........................................................................................3Subinterfaces.............................................................................................4

Enrutadores virtuales .......................................................................................4Directivas.........................................................................................................5Redes privadas virtuales...................................................................................7Sistemas virtuales ..........................................................................................10Secuencia de flujo de paquetes ......................................................................11

Ejemplo: (Parte 1) Empresa con seis zonas..............................................14

Ejemplo: (Parte 2) Interfaces para seis zonas...........................................16Ejemplo: (Parte 3) Dos dominios de enrutamiento ..................................18Ejemplo: (Parte 4) Directivas ...................................................................20

Captulo 2 Zonas 25

Visualizar las zonas preconfiguradas ..............................................................26Zonas de seguridad........................................................................................28

Zona Global .............................................................................................28Opciones SCREEN ...................................................................................28

Enlazar una interfaz de tnel a una zona de tnel..........................................28Configuracin de zonas de seguridad y zonas de tnel ..................................30

Crear una zona........................................................................................30Modificar una zona..................................................................................31Eliminar una zona ...................................................................................32

Zonas de funcin ...........................................................................................32Zona Null.................................................................................................32Zona MGT................................................................................................32Zona HA ..................................................................................................33Zona de registro propio ...........................................................................33Zona VLAN ..............................................................................................33

Modos de puerto............................................................................................33Modo Trust-Untrust..................................................................................34Modo Home-Work ...................................................................................35Modo Dual Untrust ..................................................................................36


4/280

iv Contenido

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreenOS: conceptos y ejemplos)

Modo combinado ....................................................................................37Modo Trust/Untrust/DMZ (extendido) ......................................................38Modo DMZ/Dual Untrust..........................................................................38Modo Dual DMZ ......................................................................................39

Establecer los modos de puertos....................................................................40Ejemplo: Modo de puerto Home-Work..............................................40

Zonas en los modos Home-Work y Combined Port .................................41Ejemplo: Zonas Home-Work .............................................................42

Captulo 3 Interfaces 45

Tipos de interfaces.........................................................................................45Interfaces de la zona de seguridad...........................................................45

Interfaces fsicas ...............................................................................45Subinterfaces ....................................................................................46Interfaces agregadas .........................................................................46Interfaces redundantes......................................................................46

Interfaces de seguridad virtuales.......................................................47Interfaces de zonas de funcin ................................................................47Interfaces de administracin.............................................................47Interfaces de alta disponibilidad........................................................47

Interfaces de tnel...................................................................................48Eliminar interfaces de tnel ..............................................................51

Visualizacin de interfaces.............................................................................52Configuracin de interfaces de la zona de seguridad......................................53

Asociacin de una interfaz a una zona de seguridad................................54Separar una interfaz de una zona de seguridad .......................................54Direccionar una interfaz de la zona de seguridad L3 ...............................54

Direcciones IP pblicas .....................................................................55Direcciones IP privadas.....................................................................56Direccionar una interfaz....................................................................56

Modificar los ajustes de la interfaz...........................................................56Crear una subinterfaz en el sistema raz..................................................57Eliminar una subinterfaz .........................................................................58

Crear una direccin IP secundaria..................................................................59Interfaces de bucle invertido (loopback).........................................................60

Crear una interfaz de bucle invertido.......................................................60Ajustar la interfaz de bucle invertido para Administracin.......................61Ajustar BGP en una interfaz de bucle invertido........................................61Ajustar VSI en una interfaz de bucle invertido .........................................62Ajustar la interfaz de bucle invertido como interfaz de origen .................62

Cambios de estado de la interfaz ...................................................................62Supervisin de la conexin fsica.............................................................64Dar seguimiento a direcciones IP ............................................................65

Supervisin de interfaces.........................................................................70Supervisin de dos interfaces............................................................71Supervisar un bucle de interfaz .........................................................72

Supervisin de zonas de seguridad..........................................................75Interfaces inactivas y flujo de trfico .......................................................75

Fallo en la interfaz de salida..............................................................76Fallo en la interfaz de entrada...........................................................78


5/280

Contenido

Contenido v

Captulo 4 Modos de las interfaces 81

Modo transparente.........................................................................................82Ajustes de zona .......................................................................................83

Zona VLAN........................................................................................83Zonas de capa 2 predefinidas............................................................83

Reenvo de trfico ...................................................................................83Opciones unicast desconocidas............................................................84

Mtodo de inundacin ......................................................................85Mtodo ARP/Trace-Route ..................................................................86Configuracin de la interfaz VLAN1 para administracin ..................89Configuracin del modo transparente...............................................91

Modo NAT......................................................................................................94Trfico NAT entrante y saliente ...............................................................96Ajustes de interfaz ...................................................................................97Configuracin del modo NAT...................................................................97

Modo de ruta ...............................................................................................100

Ajustes de interfaz .................................................................................101Configuracin del modo de ruta ............................................................101

Captulo 5 Bloques para la construccin de directivas 105

Direcciones..................................................................................................106Entradas de direcciones.........................................................................106

Modificar una direccin...................................................................107Eliminar una direccin....................................................................107

Grupos de direcciones ...........................................................................108Editar una entrada de grupo de direcciones ....................................110Eliminar un miembro y un grupo....................................................110

Servicios ......................................................................................................111Servicios predefinidos............................................................................111

Protocolo de mensajes de control de Internet .................................112Servicios de llamadas de procedimiento remoto de Microsoft.........117Protocolo de enrutamiento dinmico ..............................................119Vdeo de secuencia .........................................................................119Servicios de llamadas de procedimiento remoto de Sun .................120Servicios de tnel y seguridad.........................................................121Servicios relacionados con IP ..........................................................121Servicios de administracin: ...........................................................122Servicios de correo..........................................................................123Servicios miscelneos .....................................................................124

Servicios personalizados........................................................................125Agregar un servicio personalizado...................................................126Modificar un servicio personalizado ................................................126

Eliminar un servicio personalizado..................................................127Establecer el tiempo de espera de un servicio .......................................127Bsqueda y configuracin de tiempo de espera de servicio.............127Ejemplo...........................................................................................130

Definir un Servicio de protocolo de mensaje de control de Internetpersonalizado..................................................................................130

Puerta de enlace "Remote Shell" en la capa de aplicacin ....................131Sun Remote Procedure Call Application Layer Gateway.........................131

Situacin tpica de llamadas RPC ....................................................131Personalizar los Servicios Sun RPC..................................................132


6/280

vi Contenido


Personalizar Microsoft Remote Procedure CallApplication Layer Gateway..............................................................133

La Puerta de enlace de la capa de aplicacin del Protocolode secuencia en tiempo real............................................................134Mtodos de peticin RTSP...............................................................135Cdigos de estado de RTSP.............................................................137Configurar un servidor de medios en un dominio pblico...............140

Grupos de servicios................................................................................142Modificar un grupo de servicios ......................................................143Eliminar un grupo de servicios........................................................144

Grupo de IP dinmico ..................................................................................144Traduccin de direcciones de puertos....................................................145Crear un rango DIP con PAT..................................................................146Modificar un conjunto de DIP ................................................................147Direcciones DIP sticky........................................................................147Usar DIP en otra subred ........................................................................148Utilizar un DIP en una Interfaz Loopback ..............................................153

Crear un grupo de DIP...........................................................................157Configurar una programacin recurrente .....................................................160

Captulo 6 Directivas 163

Elementos bsicos .......................................................................................164Tres tipos de directivas ................................................................................165

Directivas entre zonas ...........................................................................165Directivas dentro de zonas ....................................................................165Directivas globales.................................................................................166

Listas de conjuntos de directivas..................................................................167Definicin de directivas................................................................................168

Directivas y reglas .................................................................................168Anatoma de una directiva.....................................................................169

ID....................................................................................................170Zonas..............................................................................................170Direcciones .....................................................................................170Servicios .........................................................................................170Nombre...........................................................................................172Encapsulamiento VPN.....................................................................172Encapsulamiento L2TP....................................................................173Deep Inspection..............................................................................173Colocacin al principio de la lista de directivas ...............................173Traduccin de direcciones de origen...............................................174Traduccin de direcciones de destino .............................................174Autenticacin de usuarios ...............................................................174Copia de seguridad de la sesin HA ................................................176

Filtrado de Web ..............................................................................176Registro...........................................................................................176Recuento.........................................................................................177Umbral de alarma de trfico ...........................................................177Tareas programadas........................................................................177Anlisis antivirus.............................................................................177Asignacin de trfico.......................................................................178

Directivas aplicadas .....................................................................................179Visualizacin de directivas.....................................................................179


7/280

Contenido

Contenido vi

Creacin de directivas ...........................................................................179Crear servicio de correo de directivas entre zonas ..........................179Crear un conjunto de directivas entre zonas ...................................182Crear directivas dentro de zonas.....................................................187Crear una directiva global ...............................................................188

Entrada al contexto de una directiva .....................................................189Varios elementos por componente de directiva.....................................190Ajustar la negacin de direcciones.........................................................191Modificacin y desactivacin de directivas ............................................194Verificacin de directivas.......................................................................194Reordenar directivas..............................................................................195Eliminar una directiva ...........................................................................196

Captulo 7 Asignacin de trfico 197

Administracin del ancho de banda a nivel de directivas.............................197Ajuste de la asignacin de trfico .................................................................198

Establecimiento de las prioridades del servicio ............................................202Ajuste de las colas de prioridades.................................................................203Directivas de ingreso....................................................................................206Asignacin de trfico en interfaces virtuales ................................................207

Asignacin del trfico a nivel de interfaz ...............................................207Asignacin del trfico a nivel de directiva..............................................209Flujo de paquetes ..................................................................................210Ejemplo: VPN basada en rutas con directivas de ingreso....................... 210Ejemplo: VPN basada en directivas con directivas de ingreso................214

Asignacin de trfico utilizando una interfaz Loopback................................217Asignacin y marcado DSCP........................................................................217

Captulo 8 Parmetros del sistema 221

Compatibilidad con DNS (sistema de nombres de dominio) ........................221Consulta DNS ........................................................................................222Tabla de estado de DNS.........................................................................223

Ajuste del servidor DNS y programacin de actualizaciones............224Establecer un intervalo de actualizacin de DNS.............................224

Sistema de nombres de dominio dinmico............................................224Configuracin del DDNS para un servidor DynDNS.........................225Configuracin del DDNS para un servidor DDO ..............................226

Divisin de direcciones DNS del proxy ..................................................227Protocolo de configuracin dinmica de hosts .............................................229

Configurar un servidor DHCP ................................................................230Personalizar opciones de servidor DHCP.........................................234Colocacin del servidor DHCP en un clster de NSRP ..................... 236

Deteccin del servidor DHCP..........................................................236Activacin de deteccin del servidor DHCP.....................................236Desactivacin de deteccin del servidor DHCP ...............................237

Asignacin de un dispositivo de seguridad como agentede retransmisin de DHCP..............................................................237

Utilizar un dispositivo de seguridad como un cliente DHCP...................241Transmisin de ajustes TCP/IP...............................................................243

Protocolo punto a punto sobre Ethernet.......................................................245Configurar PPPoE ..................................................................................246Configurar PPPoE en las interfaces principal y de respaldo de la

zona Untrust ...................................................................................249


8/280

viii Contenido


Configuracin de mltiples sesiones PPPoE a travsde una sola interfaz.........................................................................250

PPPoE y alta disponibilidad ...................................................................252Claves de licencia.........................................................................................253Registro y activacin de los servicios de suscripcin .................................... 254

Servicio de prueba.................................................................................254Actualizacin de claves de suscripcin...................................................255Agregar un antivirus, filtrado web, anti-Spam

(contra bombardeo de publicidad) y ID(Deep Inspection) a un dispositivo nuevo o existente......................255

Reloj del sistema..........................................................................................256Fecha y hora..........................................................................................256Huso horario..........................................................................................256Protocolo de hora de la red....................................................................257

Configuracin de mltiples servidores NTP.....................................257Configurar un servidor de respaldo del protocolo de hora

de la red ...................................................................................257

Desfase temporal mximo..............................................................258Protocolos NTP y NSRP...................................................................259Ajuste de un valor de desfase horario mximo

en un servidor NTP...................................................................259Asegurar los servidores NTP............................................................260

ndice ........................................................................................................................IX-I


9/280

ix

Acerca de este volumen

Volumen 2: Fundamentosdescribe la arquitectura de ScreenOS y sus elementos,incluyendo ejemplos de configuracin de algunos de ellos. Este volumen contienelos siguientes captulos:

Captulo 1, En Arquitectura de ScreenOS,se describen los elementos

fundamentales de la arquitectura de ScreenOS y se incluye con un ejemplo decuatro partes con el que se ilustra una configuracin empresarial que incorporala mayor parte de dichos elementos. En ste y en todos los captulos siguientes,cada concepto va acompaado de ejemplos ilustrativos.

Captulo 2,EnZonas,se explican las zonas de seguridad, las zonas de tnel ylas zonas de funcin.

Captulo 3,Interfaces,describe las diferentes interfaces fsicas, lgicas yvirtuales de los dispositivos de seguridad.

Captulo 4, En Modos de las interfaces,se explican los conceptosrelacionados con los modos de funcionamiento de interfaz transparente, NAT(Network Address Translation) y de rutas.

Captulo 5,En Bloques para la construccin de directivas,se explican loselementos utilizados para crear directivas y redes privadas virtuales (VirtualPrivate Network o VPN): direcciones (incluyendo direcciones VIP), servicios yconjuntos de DIP. Tambin se incluyen diversos ejemplos de configuracincompatibles con el protocolo H.323.

Captulo 6, En Directivas,se examinan los componentes y las funciones delas directivas y se ofrecen instrucciones para su creacin y aplicacin.

Captulo 7, Asignacin de trfico,En se explica cmo gestionar el ancho debanda en los niveles de interfaz y directivas y cmo priorizar servicios.

Captulo 8, En Parmetros del sistema,se describen los conceptosrelacionados con el direccionamiento de sistemas de nombres de dominio(Domain Name System o DNS), el uso del protocolo dinmico deconfiguracin de host (Dynamic Host Configuration Protocol o DHCP) paraasignar o retransmitir ajustes TCP/IP, la carga y descarga de configuraciones delsistema y software y el ajuste del reloj del sistema.


10/280


x Convenciones del documento

Convenciones del documento

Este documento utiliza distintos tipos de convenciones, que se explican en lassiguientes secciones:

Convenciones de la interfaz de lnea de comandos (CLI) en esta pgina

Convenciones para las ilustraciones en la pgina xi

Convenciones de nomenclatura y conjuntos de caracteres en la pgina xii

Convenciones de la interfaz grfica (WebUI) en la pgina xiii

Convenciones de la interfaz de lnea de comandos (CLI)

Las siguientes convenciones se utilizan para presentar la sintaxis de los comandosde CLI en ejemplos y en texto.

En ejemplos:

Los elementos entre corchetes [ ] son opcionales.

Los elementos entre llaves { } son obligatorios.

Si existen dos o ms opciones alternativas, aparecern separadas entre s porbarras verticales ( | ). Por ejemplo:

set interface { ethernet1 | ethernet2 | ethernet3 } manage

significa establecer las opciones de administracin de la interfaz ethernet1,ethernet2 oethernet3.

Las variables aparecen en cursiva:

set admin usernombre1 contraseaxyz

En texto:

Los comandos aparecen en negrita.

Las variables aparecen en cursiva.

NOTA: Para escribir palabras clave, basta con introducir los primeros caracteres quepermitan al sistema reconocer de forma inequvoca la palabra que se estintroduciendo. Por ejemplo, es suficiente introducir set adm u kath j12fmt54 para que el sistema reconozca el comando set admin user kathleen j12fmt54 .Aunque este mtodo se puede utilizar para introducir comandos, en la presentedocumentacin todos ellos se representan con sus palabras completas.


11/280

Convenciones del documento x


Convenciones para las ilustraciones

Las siguientes figuras conforman el conjunto bsico de imgenes utilizado en lasilustraciones de este manual.

Figura 1: Imgenes en las ilustraciones del manual

Sistema autnomo

Interfaz de la zona de seguridad

Blanca = Interfaz de zona protegida(ejemplo = zona Trust)

Negro = interfaz de zona externa(ejemplo = zona Untrust)

Dispositivo de seguridad general

Dominio de enrutamiento virtual

Telfono IP

Concentrador (hub)

Conmutador

Enrutador

Servidor

Tnel VPN

Dispositivo de red genrico

(ejemplos: servidor NAT,concentrador de acceso)

Equipo porttil

Equipo de escritorio

Rango de direcciones IPdinmicas (DIP)

Internet

Red de rea local (LAN) conuna nica subred (ejemplo:10.1.1.0/24)

Zona de seguridad

Interfaz de tnel


12/280


xii Convenciones del documento

Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos(como direcciones, usuarios administradores, servidores de autenticacin, puertas

de enlace IKE, sistemas virtuales, tneles de VPN y zonas) definidos en lasconfiguraciones de ScreenOS:

Si una cadena de nombre tiene uno o ms espacios, la cadena completa deberestar entre comillas dobles ( ); por ejemplo:

set address trust local LAN 10.1.1.0/24

Cualquier espacio al comienzo o al final de una cadena entrecomillada seelimina; por ejemplo, local LAN se transformar en local LAN.

Los espacios consecutivos mltiples se tratan como uno solo.

En las cadenas de nombres se distingue entre maysculas y minsculas; por el

contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente.Por ejemplo, local LAN es distinto de local lan.

ScreenOS admite los siguientes conjuntos de caracteres:

Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres demltiples bytes (MBCS). Algunos ejemplos de SBCS son los juegos de caracteresASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos comoconjuntos de caracteres de doble byte (DBCS), se encuentran el chino, elcoreano y el japons.

Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcinde las comillas dobles ( ), que tienen un significado especial como

delimitadores de cadenas de nombres que contengan espacios.

NOTA: Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tantoSBCS como MBCS, segn el conjunto de caracteres que admita el explorador.


13/280

Convenciones del documento xii


Convenciones de la interfaz grfica (WebUI)

Una comilla angular ( > ) muestra la secuencia de navegacin a travs de WebUI, ala que puede llegar mediante un clic en las opciones de men y vnculos. La

siguiente figura indica la siguiente ruta al cuadro de dilogo de configuracin dedireccionesObjects > Addresses > List > New:

Figura 2: Navegacin de WebUI

Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro dedilogo apropiado, donde podr definir objetos y establecer parmetros de ajuste.El conjunto de instrucciones de cada tarea se divide en ruta de navegacin yestablecimientos de configuracin:

La siguiente figura muestra la ruta al cuadro de dilogo de configuracin dedirecciones con los siguientes ajustes de configuracin de muestra:

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clicen OK :

Nombre de direccin: addr_1IP Address/Domain Name:

IP/Netmask: (seleccione), 10.2.2.5/32Zona: Untrust

Figura 3: Ruta de navegacin y ajustes de configuracin


14/280


xiv Documentacin de Juniper Networks

Documentacin de Juniper Networks

Para obtener documentacin tcnica sobre cualquier producto de Juniper Networks,visite www.juniper.net/techpubs/ .

Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculoCase Manager en la pgina web http://www.juniper.net/support/o llame altelfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llamadesde fuera de los EE.UU.).

Si encuentra algn error u omisin en este documento, pngase en contacto connosotros a travs de la siguiente direccin de correo electrnico:

[email protected]
http://www.juniper.net/techpubs/http://www.juniper.net/support/mailto:[email protected]:[email protected]://www.juniper.net/support/http://www.juniper.net/techpubs/


15/280

1

Captulo 1

Arquitectura de ScreenOS

La arquitectura del sistema ScreenOS de Juniper Networks ofrece una granflexibilidad a la hora de disear la estructura de seguridad de una red. En losdispositivos de seguridad de Juniper Networks con ms de dos interfaces es posiblecrear numerosas zonas de seguridad y configurar directivas para regular el trfico

dentro de una zona (trfico intrazonal) y entre zonas distintas (trfico interzonal).Puede enlazar una o varias interfaces a cada zona y habilitar en cada zona unconjunto distinto de opciones de administracin y de vigilancia de ataques a lapared de fuego. Bsicamente, ScreenOS permite crear el nmero de zonas que cadaentorno de red necesita, asignar el nmero de interfaces que cada zona necesita ydisear cada interfaz segn las necesidades especficas.

En este captulo se presenta ScreenOS, describiendo los siguientes componentesprincipales:

Zonas de seguridad en la pgina 2

Interfaces de zonas de seguridad en la pgina 3

Enrutadores virtuales en la pgina 4

Directivas en la pgina 5

Redes privadas virtuales en la pgina 7

Sistemas virtuales en la pgina 10

Adems, para ayudarle a comprender mejor el mecanismo que utiliza ScreenOSpara procesar el trfico, en la seccin Secuencia de flujo de paquetes en lapgina 11ver la secuencia de flujo de un paquete entrante.

El captulo concluye con un ejemplo en cuatro partes que ilustra la configuracin

bsica de un dispositivo de seguridad utilizando ScreenOS:

Ejemplo: (Parte 1) Empresa con seis zonas en la pgina 14

Ejemplo: (Parte 2) Interfaces para seis zonas en la pgina 16

Ejemplo: (Parte 3) Dos dominios de enrutamiento en la pgina 18

Ejemplo: (Parte 4) Directivas en la pgina 20


16/280

Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)

2 Zonas de seguridad

Zonas de seguridad

Una zona de seguridad es un conjunto de uno o varios segmentos de red, lo querequiere regular el trfico entrante y saliente por medio de directivas (consulteDirectivas en la pgina 5). Las zonas de seguridad son entidades lgicas quetienen asociadas una o varias interfaces. Si dispone de distintos tipos dedispositivos de seguridad de Juniper Networks, podr definir mltiples zonas deseguridad, dependiendo su nmero exacto de las necesidades de su red. Adems delas zonas definidas por el usuario, tambin puede utilizar las zonas predefinidas:Trust, Untrust y DMZ (para el funcionamiento de la capa 3), o V1-Trust, V1-Untrust yV1-DMZ (para el funcionamiento de la capa 2). Si lo desea, puede seguir utilizandoslo las zonas predefinidas. Tambin puede ignorar las zonas predefinidas y utilizarexclusivamente las zonas definidas por el usuario. Tambin es posible utilizar losdos tipos de zonas (predefinidas y definidas por el usuario) simultneamente. Estaflexibilidad en la configuracin de las zonas permite disear la red que mejorresponda a sus necesidades especficas. Consulte Figura 4.

Figura 4: Zonas de seguridad predefinidas

NOTA: La nica zona de seguridad que no necesita ningn segmento de red es la zonaglobal. (Para obtener ms informacin, consulte Zona Global en la pgina 28). Aefectos prcticos, se considera que una zona sin interfaces asociadas y sinentradas de libreta de direcciones no contiene segmentos de red.

Si actualiza una antigua versin de ScreenOS, todas las configuraciones de laszonas correspondientes permanecern intactas.

No es posible eliminar las zonas de seguridad predefinidas. Por el contrario, s sepueden eliminar las zonas definidas por el usuario. Cuando se elimina una zonade seguridad, se eliminan automticamente todas las direcciones configuradaspara esa zona.

Una red configurada con cinco zonasde seguridad, tres zonaspredeterminadas (Trust, Untrust, DMZ)y dos zonas definidas por el usuario.(Finance, Eng).

El trfico pasa de una zona deseguridad a otra nicamente silo permite una directiva.

Trust

Eng

Finance

Untrust

Dispositivode seguridad

DMZ

Motor de ladirectiva


17/280

Interfaces de zonas de seguridad 3

Captulo 1: Arquitectura de ScreenOS

Interfaces de zonas de seguridad

Cada interfaz de una zona de seguridad es como una puerta que el trfico TCP/IPdebe cruzar para pasar de una zona a otra.

Mediante las directivas que usted defina, podr permitir que el trfico entre zonasfluya en un solo sentido o en ambos. Al definir las rutas, estar especificando lasinterfaces que el trfico tendr que utilizar para pasar de una zona a otra. Como esposible asociar mltiples interfaces a una zona, las rutas diseadas tienen una granimportancia a la hora de dirigir el trfico a las interfaces deseadas.

Para permitir que el trfico pase de una zona a otra, debe asociar una interfaz a lazona y, en el caso de una interfaz en modo de ruta o en modo NAT (consulteModos de las interfaces en la pgina 81), asignar una direccin IP a la interfaz.Dos tipos de interfaz comnmente utilizados son las interfaces fsicas y, endispositivos que admitan sistemas virtuales, las subinterfaces (es decir, larealizacin de una interfaz fsica en la capa 2). Para obtener ms informacin,consulte Interfaces en la pgina 45.

Interfaces fsicas

Una interfaz fsica se refiere a los componentes fsicamente presentes en eldispositivo de seguridad. Las convenciones de nomenclatura de interfaces difierende un dispositivo a otro. En el dispositivo NetScreen-500, por ejemplo, una interfazfsica se identifica por la posicin de un mdulo de interfaz y un puerto Ethernet enese mdulo. Por ejemplo, la interfaz ethernet1/2designa el mdulo de interfazsituado en el primer bastidor(ethernet1/2) y en el segundo puerto(ethernet1/2).Consulte Figura 5.

Figura 5: Asignaciones de las interfaces fsicas

NOTA: Para intercambiar trfico entre dos interfaces asociadas a una misma zona no serequiere ninguna directiva, ya que ambas tendrn el mismo nivel de seguridad.ScreenOS necesita directivas para controlar el trfico entre zonas, no dentro deellas.

1/1 1/2 3/1 3/2

2/1 2/2 4/1 4/2

NOTA: Para conocer la convencin de nomenclatura de un dispositivo de seguridaddeterminado, consulte el manual de usuario de dicho dispositivo.


18/280


4 Enrutadores virtuales

Subinterfaces

En los dispositivos que admiten redes LAN virtuales (VLAN), una interfaz fsica sepuede dividir lgicamente en varias subinterfaces virtuales, que ocupan el ancho de

banda que precisan en cada momento de la interfaz fsica de la que proceden. Unasubinterfaz es un elemento abstracto con funciones idnticas a las de una interfazfsica, de la que se diferencia por el etiquetado VLAN 802.1Q. El dispositivo deseguridad dirige el trfico desde o hacia una zona con subinterfaz a travs de sudireccin IP y su etiqueta VLAN. Por razones prcticas, los administradoresnormalmente utilizan el mismo nmero para la etiqueta VLAN y para la subinterfaz.Por ejemplo, la interfaz ethernet1/2 con la etiqueta VLAN 3 se llamar ethernet1/2.3.As se identifica el mdulo de interfaz que se encuentra en el primer bastidor, elsegundo puerto del mdulo y la subinterfaz nmero 3(ethernet1/2.3).

Observe que aunque una subinterfaz comparte parte de su identidad con unainterfaz fsica, la zona a la que se asocia es independiente de la zona a la que seasocia la interfaz fsica. Puede asociar la subinterfaz ethernet1/2.3a una zonadistinta de la utilizada para la interfaz fsica ethernet1/2o a la que desee asociarethernet1/2.2. Asimismo, no hay restricciones en cuanto a la asignacin dedirecciones IP. El trmino subinterfazno implica que su direccin se encuentre enuna subred dentro del espacio de direcciones de la interfaz fsica. Consulte Figura 6.

Figura 6: Asignaciones de subinterfaces

Enrutadores virtuales

Un enrutador virtual (VR) funciona como un enrutador. Dispone de sus propiasinterfaces y de sus propias tablas de enrutamiento unicast y multicast. EnScreenOS, un dispositivo de seguridad admite dos enrutadores virtualespredefinidos. Esto permite al dispositivo de seguridad mantener dos tablas deenrutamiento unicast y multicast independientes y ocultar la informacin deenrutamiento de un enrutador al otro. Por ejemplo, untrust-vr se suele utilizar parala comunicacin con interlocutores sin confianza, por lo que no contieneinformacin de enrutamiento para las zonas protegidas. La informacin deenrutamiento de las zonas protegidas se actualiza por medio de trust-vr. Por lotanto, no es posible recopilar informacin interna de la red mediante la extraccinencubierta de rutas de untrust-vr. Consulte Figura 7 en la pgina 5.

NOTA: 802.1Q es una norma IEEE que define los mecanismos para implementar redesLAN virtuales enlazadas y los formatos de trama Ethernet utilizados para indicar la

pertenencia a una VLAN mediante etiquetas VLAN.

1/1 1/2 3/1 3/2

2/1 2/2 4/1 4/2

1/1.1

1/1.2

1/2.1

1/2.2

3/1.13/1.2

3/1.3

3/2.13/2.2

3/2.3

2/1.12/1.2

2/2.12/2.2

4/1.14/1.2

4/2.14/2.2


19/280

Directivas 5


Figura 7: Zonas de seguridad del enrutador virtual

Cuando hay dos enrutadores virtuales en un dispositivo de seguridad, el trfico nose reenva automticamente entre las zonas que se encuentran en distintos VR,incluso aunque existan directivas que permitan el trfico. Si desea intercambiartrfico de datos entre enrutadores virtuales, tendr que exportar las rutas entre losVR o configurar una ruta esttica en un VR que defina el otro VR como siguientesalto ("next-hop"). Para ms informacin sobre el uso de enrutadores virtuales,

consulte Volumen 7: Enrutamiento.

Directivas

Los dispositivos de seguridad de Juniper Networks aseguran la red inspeccionando,y luego permitiendo o denegando, todo intento de conexin que necesite pasar deuna zona de seguridad a otra.

De forma predeterminada, un dispositivo de seguridad denegar todo el trfico dedatos en todos los sentidos. La creacin de directivas permite controlar el flujo detrfico entre zonas definiendo qu tipo de trfico puede pasar de los orgenes a losdestinos especificados y cundo. En el nivel ms permisivo, es posible permitir que

todo tipo de trfico pase de cualquier origen en una zona a cualquier destino en elresto de zonas sin ninguna restriccin en el tiempo. En el nivel ms restrictivo, sepuede crear una directiva que slo permita un tipo de trfico entre un hostdeterminado en una zona y otro en otra zona durante un periodo programado.Consulte Figura 8 en la pgina 6.

Dominio de enrutamiento trust-vr

Finance

Trust

Eng DMZ

Untrust

Dominio de enrutamiento untrust-vr

Nota:El icono del castillorepresenta una interfaz en unazona de seguridad.

Reenvo de rutas

NOTA: Ciertos dispositivos de seguridad se suministran con una directiva predeterminadaque permite cualquier trfico saliente de la zona Trust a la zona Untrust, perorechaza todo el trfico procedente de la zona Untrust y dirigido a la zona Trust.
http://../07_route/rt_title.pdfhttp://../07_route/rt_title.pdf


20/280


6 Directivas

Figura 8: Directiva predeterminada

Cada vez que un paquete intenta pasar de una zona a otra, o entre dos interfacesenlazadas a la misma zona, el dispositivo de seguridad comprueba si en su lista dedirectivas existe alguna que permita ese tipo de trfico (consulte Listas deconjuntos de directivas en la pgina 167). Para que el trfico pueda pasar de unazona de seguridad a otra (p. ej., de la zona A a la zona B), es necesario configuraruna directiva que permita que la zona A enve trfico a la zona B. Para que el trfico

pueda pasar en sentido inverso, se debe configurar otra directiva que permita eltrfico de la zona B a la zona A. Para que cualquier tipo de trfico pase de una zonaa otra, debe haber una directiva que lo permita. Asimismo, cuando est habilitadoel bloqueo intrazonal (bloqueo del interior de una zona), deber existir una directivaque permita que el trfico pase de una interfaz a otra dentro de esa misma zona.Consulte Figura 9 en la pgina 7.

Acceso a Internet permisivo: cualquier servicio desdecualquier punto de la zona Trust hacia cualquier punto

de la zona Untrust en cualquier momento

ZonaUntrust

ZonaUntrust

ZonaTrust

Acceso a Internet restrictivo: Servicio SMTP desde un servidor decorreo en la zona Trust a un servidor de correo en la zona Untrust

de 5:00 a.m. a 7:00 p.m.

ZonaTrust


21/280

Redes privadas virtuales 7


Figura 9: Arquitectura de las directivas

Si configura el enrutamiento multicast en un dispositivo de seguridad, puede quetenga que configurar directivas multicast. De forma predeterminada, los

dispositivos de seguridad no permiten trfico de control multicast entre zonas. Portrfico de control multicast se entienden los mensajes transmitidos por protocolosmulticast, tales como el multicast independiente del protocolo (ProtocolIndependent Multicast o PIM). Las directivas multicast solamente controlan el flujodel trfico de control multicast. Para permitir el trfico de datos (tanto unicast comomulticast) entre zonas, debe configurar directivas de la pared de fuego. (Paraobtener ms informacin sobre directivas multicast, consulte Directivas multicasten la pgina 7-143).

Redes privadas virtuales

ScreenOS dispone de varias opciones para la configuracin de redes privadasvirtuales (VPN). Los dos tipos ms importantes son:

VPN basada en rutas: mediante una consulta de rutas se determina qu trficoencapsular el dispositivo de seguridad. Las directivas permiten o deniegan eltrfico hacia el destino especificado en la ruta. Si la directiva permite el trfico yla ruta hace referencia a una interfaz de tnel asociada a un tnel VPN, eldispositivo de seguridad tambin encapsular dicho trfico. Esta configuracingestiona por separado la aplicacin de directivas de la aplicacin de tnelesVPN. Una vez configurados, estos tneles estarn disponibles como recursospara asegurar el trfico que circula entre una zona de seguridad y otra.

Dominio de enrutamiento trust-vr

Finance

Trust

Eng DMZ

Untrust


Nota: El icono del castillo

representa una interfaz en una

zona de seguridad.

Reenvo de rutas

Motor dedirectivas

NOTA: Para obtener ms informacin sobre las directivas, consulte Directivas en lapgina 163.
http://../07_route/rt_mcast.pdfhttp://../07_route/rt_mcast.pdfhttp://../07_route/rt_mcast.pdfhttp://../07_route/rt_mcast.pdfhttp://../07_route/rt_mcast.pdfhttp://../07_route/rt_mcast.pdf


22/280


8 Redes privadas virtuales

VPN basada en directivas: mediante una consulta de directivas se determinaqu trfico encapsular el dispositivo de seguridad cuando la directiva hagareferencia a un tnel VPN determinado y se especifique tunnel como accin.

Una VPN basada en rutas es la opcin adecuada para configuraciones VPN punto apunto, ya que es posible aplicar mltiples directivas al trfico que pasa a travs deun nico tnel VPN. La VPN basada en directivas resulta adecuada paraconfiguraciones VPN de acceso telefnico, ya que el cliente de acceso telefnicoprobablemente no dispone de una direccin IP interna hacia la que establecer unaruta. Consulte Figura 10.

En las siguientes instrucciones se muestran los principales pasos a seguir paraconfigurar una VPN basada en rutas:

1. Cuando configure el tnel VPN (p. ej., vpn-to-SF, donde SF es el destino oentidad final), especifique una interfaz fsica o una subinterfaz en el dispositivolocal como interfaz de salida. (El interlocutor remoto deber utilizar la direccin

IP de esta interfaz para configurar su puerta de enlace remota.)

2. Cree una interfaz de tnel (por ejemplo, tunnel.1) y asciela a una zona deseguridad.

3. Asocie la interfaz de tnel tunnel.1al tnel VPN vpn-to-SF.

4. Para dirigir el trfico a travs de este tnel, configure una ruta indicando que el

trfico hacia SFdebe utilizar tunnel.1.

Figura 10: Trfico VPN

Llegados a este punto, el tnel est listo para el trfico dirigido a SF. Ahora puedecrear entradas en la libreta de direcciones, como Trust LAN (10.1.1.0/24) y SF

LAN (10.2.2.0/24), y configurar directivas para permitir o bloquear distintos tiposde trfico desde un origen especificado, como Trust LAN, y hacia un destinoespecificado, como SF LAN. Consulte Figura 11 en la pgina 9.

NOTA: No es necesario asociar la interfaz de tnel a la misma zona a la que estdestinado el trfico de VPN. El trfico hacia cualquier zona puede acceder a unainterfaz de tnel siempre que haya alguna ruta que apunte a esa interfaz.

Zona de origen

Paquete enviadotunnel.1

Tnel VPN

vpn a SF

Zona de destino

Paquete entrando

Motor dedirectivas

Tabla deenrutamiento

Interfazde tnel


23/280

Redes privadas virtuales 9


Figura 11: Trfico VPN de la zona de seguridad Untrust


Zona Trusteth3/210.1.1.1/24

El dispositivo de seguridad local enruta el trfico desde la zona Trust a SF LAN, que se

encuentra en la zona Untrust, a travs de la interfaz tunnel.1. Como la interfaz tunnel.1 estasociada al tnel VPN vpn-to-SF, el dispositivo encripta el trfico y lo enva a travs de ese tnel

al interlocutor remoto.

Para llegar a utilice

1.1.1.0/24 eth1/2

10.2.2.0/24 tunnel.1

0.0.0.0/0 1.1.1.250

Dominio de enrutamiento

Para llegar a utilice

10.1.1.0/24 eth3/2

0.0.0.0/0 untrust-vr

Dispositivo local Puerta de enlacepredeterminada:

1.1.1.250

Tunnel.1de la

interfaz

SF LAN10.2.2.0/24

Tnel VPNvpn a SF

Zona UntrustInterfaz de salidaeth1/2, 1.1.1.1/24

NOTA: Para obtener informacin detallada sobre las VPN, consulte Volume 5:Redes privadas virtuales.
http://../05_vpn/vp_title.pdfhttp://../05_vpn/vp_title.pdfhttp://../05_vpn/vp_title.pdfhttp://../05_vpn/vp_title.pdf


24/280


10 Sistemas virtuales

Sistemas virtuales

Algunos dispositivos de seguridad de Juniper Networks admiten sistemas virtuales(vsys). Un sistema virtual es una subdivisin del sistema principal que para elusuario aparece como una entidad independiente. Los sistemas virtuales seencuentran separados del sistema raz y entre s dentro de un mismo dispositivo deseguridad. La aplicacin de ScreenOS a los sistemas virtuales implica lacoordinacin de tres componentes principales: zonas, interfaces y rutas virtuales.La Figura 12 en la pgina 10presenta una vista conceptual de cmo ScreenOSintegra estos componentes en los niveles raz y de sistema virtual.

Figura 12: Arquitectura de sistemas virtuales

Nota: El icono del castillo representa una

interfaz de una zona de seguridad.

DMZ

Mail

Untrust

Trust-vsys2

Trust-vsys1

Eng

Finance

Trust

Trust-vsys3

Subinterfazdedicada para

vsys2

sistema raz

vsys1

vsys2

vsys3

vsys1-vr

vsys2-vr

vsys3-vr

trust-vr

interfaz fsicadedicada para vsys3

untrust-vr

Interfaz compartidapor vsys1 y raz

NOTA: Para obtener ms informacin sobre sistemas virtuales y la aplicacin de zonas,interfaces y enrutadores virtuales en el contexto de sistemas virtuales, consulte elVolumen 10: Sistemas virtuales.
http://../10_vsys/vs_title.pdfhttp://../10_vsys/vs_title.pdf


25/280

Secuencia de flujo de paquetes 11


Secuencia de flujo de paquetes

En ScreenOS, la secuencia de flujo de un paquete entrante ocurre segn se muestraen la Figura 13.

Figura 13: Flujo de paquetes a travs de las zonas de seguridad

1. El mdulo de interfaz identifica la interfaz entrante y, en consecuencia la zonade origen a la que est asociada.

La determinacin de la zona de origen se basa en los criterios siguientes:

Si el paquete no est encapsulado, la zona de origen es la zona deseguridad a la que la interfaz o subinterfaz entrante est asociada.

Si el paquete est encapsulado y la interfaz de tnel est asociada a untnel VPN, la zona de origen es la zona de seguridad en la que estconfigurada la interfaz de tnel.

Si el paquete est encapsulado y la interfaz de tnel se encuentra en unazona de tnel, la zona de origen es la zona portadora (zona de seguridadqueportael tnel) correspondiente a esa zona de tnel.

Paqueteentrante

InterfazInterfaz

Si hay trfico de red,zona de origen = zonade seguridad a la queest asociada lainterfaz o subinterfaz.

OrigenZona

Crearsesin

Realizaroperacin

Si el paquete no coincidecon una sesin existente,lleve a cabo los pasos 4 a 9.

Si lo hace, vayadirectamente al paso 9.

Zonas deseguridad

TunnelZona

10.10.10.0/24 eth1/1

0.0.0.0/0 untrust-vrsrc dst service action

Lista de directivasTabla de reenvos

Interfaz de destino y

Zona de destino

Si zona de destino = zona de seguridad,utilizar esa zona para la consulta dedirectivas.

Si zona de destino = zona del tnel, utilizarsu zona portadora para la consulta dedirectivas.

Tabla de sesiones

d 977 vsys id 0, flag 000040/00,

pid -1, did 0, time 180

13 (01) 10.10.10.1/1168 ->

211.68.1.2/80, 6,002be0c0066b,

subif 0, tun 0Permit = reenviar paquete

Deny = descartar paqueteReject = descartar el paquete y enviar

TCP RST al origen

Tunnel = Utilizar el tnel especificadopara la encriptacin de VPN

Si hay trfico VPN a lainterfaz de tnelasociada al tnel VPN,zona de origen = zonade seguridad dondeest configurado eltnel

Si hay trfico VPN a lainterfaz de tnel en unazona de tnel, zona deorigen = zona portadora

NAT-Dst yluego/o NAT-Src

DirectivaBsqueda

RutaBsqueda

MIP/VIPIP de host

SesinBsqueda

SCREENFiltro


26/280


12 Secuencia de flujo de paquetes

2. Si las opciones de SCREEN estn habilitadas para la zona de origen, eldispositivo de seguridad activa el mdulo SCREEN en este momento. Lacomprobacin de SCREEN puede producir uno de los tres resultados siguientes:

Si un mecanismo SCREEN detecta un comportamiento anmalo y estconfigurado para bloquear el paquete correspondiente, el dispositivo deseguridad descarta el paquete y genera una entrada en el registro deeventos.

Si un mecanismo SCREEN detecta un comportamiento anmalo y estconfigurado para registrar el evento pero no bloquear el paquete, eldispositivo de seguridad registra el evento en la lista de contadores SCREENpara la interfaz de entrada y procede al paso siguiente.

Si el mecanismo SCREEN no detecta ningn comportamiento anmalo, eldispositivo de seguridad procede al paso siguiente.

3. El mdulo de sesiones realiza una consulta de sesin para comprobar si elpaquete coincide con una sesin existente.

Si el paquete no coincide con ninguna sesin existente, el dispositivo deseguridad ejecuta First Packet Processing, un procedimiento que implica lospasos 4 a 9 que se presentan a continuacin.

Si el paquete coincide con una sesin existente, el dispositivo de seguridadejecuta Fast Processing, utilizando la informacin disponible en la entrada desesiones existente para procesar el paquete. El procesamiento rpido (FastProcessing) omite los pasos 4 a 8 porque la informacin que generan ya seobtuvo durante el procesamiento del primer paquete de la sesin.

4. Si se utiliza una direccin IP asignada (MIP) o direccin IP virtual (VIP), elmdulo de asignacin de direcciones resuelve la direccin MIP o VIP de modoque la tabla de enrutamiento pueda buscar la direccin real del host.

5. La operacin de consulta de la tabla de rutas averigua qu interfaz conduce a ladireccin de destino. Al hacerlo, el mdulo de interfaz identifica la zona dedestino a la que est asociada esa interfaz.

La determinacin de la zona de destino se basa en los siguientes criterios:

Si la zona de destino es una zona de seguridad, esa zona se utiliza para laconsulta de directivas.

Si la zona de destino es una zona de tnel, se utiliza la zona portadora

correspondiente para la consulta de directivas.

Si la zona de destino es igual a la zona de origen y el bloqueo intrazonalest inhabilitado para esa zona, el dispositivo de seguridad omite los pasos6 y 7 y crea una sesin (paso 8). Si el bloqueo intrazonal est activado, eldispositivo de seguridad descarta el paquete.


27/280



6. El motor de directivas busca en las listas de conjuntos de directivas unadirectiva entre las direcciones de las zonas de origen y de destino identificadas.

La accin configurada en la directiva determina lo que debe hacer la pared defuego de ScreenOS con el paquete:

Si la accin es permit, el dispositivo de seguridad decide remitir el paquetea su destino.

Si la accin es deny, el dispositivo de seguridad determina descartar elpaquete.

Si la accin es reject, el dispositivo de seguridad decide descartar elpaquete y, si el protocolo es TCP, enviar una seal de restablecimiento(RST) a la direccin IP de origen.

Si la accin es tunnel, el dispositivo de seguridad decide remitir el paquete

al mdulo VPN, que encapsula el paquete y lo transmite utilizando losajustes especificados del tnel VPN.

7. Si en la directiva est especificado que se traduzcan las direcciones de destino(NAT-dst), el mdulo NAT traduce la direccin de destino original delencabezado del paquete IP a otra direccin.

Si est especificada la traduccin de direcciones de origen (NAT basada eninterfaz o NAT-src basada en directivas), el mdulo NAT traduce la direccin deorigen del encabezado del paquete IP antes de reenviarlo a su destino o almdulo VPN.

(Si en la misma directiva estn especificados tanto NAT-dst como NAT-src, eldispositivo de seguridad realiza primero NAT-dst y luego NAT-src).

8. El mdulo de sesiones crea una nueva entrada en la tabla de sesiones quecontiene los resultados de los pasos 1 a 7.

Para procesar los paquetes subsiguientes de la misma sesin, el dispositivo deseguridad utiliza la informacin mantenida en la entrada de la sesin.

9. El dispositivo de seguridad realiza la operacin especificada en la sesin.

Algunas operaciones tpicas son la traduccin de direcciones de origen, laseleccin y encriptacin del tnel VPN, la desencriptacin y el reenvo depaquetes.


28/280



Ejemplo: (Parte 1) Empresa con seis zonas

sta es la primera de las cuatro partes de un ejemplo cuya finalidad es aclararalgunos de los conceptos expuestos en las secciones anteriores. Si desea

informacin sobre esta segunda parte, en la que las interfaces de cada zona estnya establecidas, consulte Ejemplo: (Parte 2) Interfaces para seis zonas en lapgina 16. Aqu se configuran las seis zonas siguientes de una empresa:

Finance

Trust

Eng

Mail

Untrust

DMZ

Las zonas Trust, Untrust y DMZ estn preconfiguradas. Usted definir las zonasFinance, Eng y Mail. De forma predeterminada, las zonas definidas por el usuariose ubican en el dominio de enrutamiento trust-vr. Por lo tanto, no es necesarioespecificar un enrutador virtual para las zonas Finance y Eng. Sin embargo, ademsde configurar la zona Mail, tambin deber especificar que se encuentre en eldominio de enrutamiento untrust-vr. Tambin se deben transferir los enlaces de losenrutadores virtuales de las zonas DMZ y Untrust de trust-vr a untrust-vr . ConsulteFigura 14 en la pgina 14.

Figura 14: Enlaces de enrutador de zona a virtual

NOTA: Para obtener ms informacin sobre enrutadores virtuales y sus dominios de

enrutamiento, consulte el Volumen 7: Enrutamiento.

Dominio de enrutamiento trust-vr Dominio de enrutamiento untrust-vr

Mail

Untrust

DMZ

Finance

Trust

Eng
http://../07_route/rt_title.pdfhttp://../07_route/rt_title.pdf


29/280



WebUI

Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:

Zone Name: FinanceVirtual Router Name: trust-vrZone Type: Layer 3: (seleccione)


Zone Name: EngVirtual Router Name: trust-vrZone Type: Layer 3: (seleccione)


Zone Name: MailVirtual Router Name: untrust-vrZone Type: Layer 3: (seleccione)

Network > Zones > Edit (para Untrust): Seleccione untrust-vren la listadesplegable Virtual Router Name, despus haga clic en OK.

Network > Zones > Edit (para DMZ): Seleccione untrust-vren la listadesplegable Virtual Router Name, despus haga clic en OK.

CLI

set zone name financeset zone name engset zone name mailset zone mail vrouter untrust-vrset zone untrust vrouter untrust-vr

set zone dmz vrouter untrust-vrsave


30/280



Ejemplo: (Parte 2) Interfaces para seis zonas

sta es la segunda parte de un ejemplo fragmentado. Si desea ver la primeraparte, en la que se configuran las zonas, consulte Ejemplo: (Parte 1) Empresa

con seis zonas en la pgina 14. Si desea ver la siguiente parte, en la que seconfiguran enrutadores virtuales, consulte Ejemplo: (Parte 3) Dos dominios deenrutamiento en la pgina 18. Esta parte del ejemplo demuestra cmo asociarinterfaces a las zonas y configurarlas con una direccin IP y diversas opcionesde administracin. Consulte Figura 15.

Figura 15: Enlaces de interfaz a zona

WebUI

1. Interfaz ethernet3/2

Network > Interfaces > Edit (para ethernet3/2): Introduzca los siguientesdatos y haga clic en OK:

Zone Name: TrustStatic IP: (seleccione esta opcin si es posible)IP Address/Netmask: 10.1.1.1/24Manageable: (seleccione)Management Services: WebUI, Telnet, SNMP, SSH (seleccione)Other Services: Ping (seleccione)

2. Interfaz ethernet3/2.1Network > Interfaces > Sub-IF New: Introduzca los siguientes datos y haga clicen OK:

Interface Name: ethernet3/2.1Zone Name: FinanceStatic IP: (seleccione esta opcin si es posible)IP Address/Netmask: 10.1.2.1/24VLAN Tag: 1Other Services: Ping (seleccione)

1/1 1/2 3/1 3/2

2/1 2/2 4/1 4/2

Mail

Finance10.1.2.1/24

Etiqueta VLAN 1eth3/2.1

Trust10.1.1.1/24

eth3/2

Eng10.1.3.1/24

eth3/1

Untrust1.1.1.1/24

eth1/2

DMZ1.2.2.1/24

eth2/2

1.3.3.1/24eth1/1

1.4.4.1/24Etiqueta VLAN 2

eth1/1.2


31/280





Zone Name: EngStatic IP: (seleccione esta opcin si es posible)IP Address/Netmask: 10.1.3.1/24Other Services: Ping (seleccione)



Zone Name: MailStatic IP: (seleccione esta opcin si es posible)IP Address/Netmask: 1.3.3.1/24

5. Interfaz ethernet1/1.2

Network > Interfaces > Sub-IF New: Introduzca los siguientes datos y haga clicen OK:

Interface Name: ethernet1/1.2Zone Name: MailStatic IP: (seleccione esta opcin si es posible)IP Address/Netmask: 1.4.4.1/24VLAN Tag: 2



Zone Name: UntrustStatic IP: (seleccione esta opcin si es posible)IP Address/Netmask: 1.1.1.1/24Manageable: (seleccione)Management Services: SNMP (seleccione)



Zone Name: DMZStatic IP: (seleccione)IP Address/Netmask: 1.2.2.1/24

CLI


set interface ethernet3/2 zone trustset interface ethernet3/2 ip 10.1.1.1/24set interface ethernet3/2 manage pingset interface ethernet3/2 manage webuiset interface ethernet3/2 manage telnetset interface ethernet3/2 manage snmpset interface ethernet3/2 manage ssh


32/280




set interface ethernet3/2.1 tag 1 zone financeset interface ethernet3/2.1 ip 10.1.2.1/24set interface ethernet3/2.1 manage ping


set interface ethernet3/1 zone engset interface ethernet3/1 ip 10.1.3.1/24set interface ethernet3/1 manage ping


set interface ethernet1/1 zone mailset interface ethernet1/1 ip 1.3.3.1/24


set interface ethernet1/1.2 tag 2 zone mailset interface ethernet1/1.2 ip 1.4.4.1 /24


set interface ethernet1/2 zone untrustset interface ethernet1/2 ip 1.1.1.1/24set interface ethernet1/2 manage snmp


set interface ethernet2/2 zone dmzset interface ethernet2/2 ip 1.2.2.1/24save

Ejemplo: (Parte 3) Dos dominios de enrutamiento

sta es la tercera parte de un ejemplo fragmentado. Si desea ver la parte anterior,en la que se definen las interfaces para las diferentes zonas de seguridad, consulte

Ejemplo: (Parte 2) Interfaces para seis zonas en la pgina 16. Si desea ver la partesiguiente, en la que se establecen las directivas, consulte el Ejemplo: (Parte 4)Directivas en la pgina 20. En este ejemplo solamente se configura una ruta parala puerta de enlace predeterminada a Internet. Las otras rutas son creadasautomticamente por el dispositivo de seguridad al generar las direcciones IP de lasinterfaces. Consulte Figura 16 en la pgina 19.


33/280



Figura 16: Dominios de enrutamiento

WebUI

Network > Routing > Routing Entries > trust-vr New: Introduzca lossiguientes datos y haga clic en OK:

Network Address / Netmask: 0.0.0.0/0

Next Hop Virtual Router Name: (seleccione); untrust-vrNetwork > Routing > Routing Entries > untrust-vr New: Introduzca lossiguientes datos y haga clic en OK:

Network Address / Netmask: 0.0.0.0/0Gateway: (seleccione)

Interface: ethernet1/2Gateway IP Address: 1.1.1.254

CLI

set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vrset vrouter untrust-vr route 0.0.0.0/0 interface eth1/2 gateway 1.1.1.254save

El dispositivo de seguridad crea automticamente las rutas que se muestran enTabla 1y Tabla 2 en la pgina 20 (con excepcin de lo que se indica).

Mail

1.4.4.1/24Etiqueta VLAN 2

eth1/1.2, ruta

1.3.3.1/24eth1/1, ruta

Untrust1.1.1.1/24

eth1/2, ruta

DMZ1.2.2.1/24

eth2/2, ruta

Eng10.1.3.1/24eth3/1, NAT

Trust10.1.1.1/24eth3/2, NAT

Finance10.1.2.1/24

Etiqueta VLAN 1eth3/2.1, NAT

Reenvo de rutas

untrust-vrdominio de enrutamiento

trust-vrdominio de enrutamiento


34/280



Tabla 1: Tabla de rutas para trust-vr

Tabla 2: Tabla de rutas para untrust-vr

Ejemplo: (Parte 4) Directivas

sta es la ltima parte de un ejemplo fragmentado. La parte anterior es Ejemplo:

(Parte 3) Dos dominios de enrutamiento en la pgina 18. En esta parte del ejemplose muestra cmo configurar nuevas directivas. Consulte Figura 17.

Figura 17: Directivas

Para llegar a: Utilizar interfaz: Utilizar puerta de enlace/Vrouter: Creado por:

0.0.0.0/0 n/a untrust-vr Configurado por elusuario

10.1.3.0/24 eth3/1 0.0.0.0 Dispositivo deseguridad


10.1.2.0/24 eth3/2.1 0.0.0.0 Dispositivo deseguridad

Para llegar a: Utilizar interfaz: Utilizar puerta de enlace/Vrouter: Creado por:



1.4.4.0/24 eth1/1.2 0.0.0.0 Dispositivo deseguridad


0.0.0.0/0 eth1/2 1.1.1.254 Configurado por elusuario

Finance

trust-vrdominio de

Trust

Eng

Mail

Untrust

DMZ

Motor dedirectivas

trust-vrdominio de

Reenvo de rutas


35/280



Para que este ejemplo funcione, antes de comenzar a configurar nuevas directivases necesario crear nuevos grupos de servicios.

WebUI

1. Grupos de servicios

Objects > Services > Groups > New: Introduzca los siguientes datos y hagaclic en OK:

Group Name: Mail-Pop3

Seleccione Maily utilice el botn


36/280



Directivas > (From: Eng, To: Mail) New: Introduzca los siguientes datos y hagaclic en OK:

Source Address:Address Book Entry: (seleccione), Any

Destination Address:Address Book Entry: (seleccione), Any

Service: Mail-Pop3Action: Permit

Directivas > (From: Untrust, To: Mail) New: Introduzca los siguientes datos yhaga clic en OK:



Service: Mail

Action: Permit

Directivas > (From: Finance, To: Untrust) New: Introduzca los siguientes datosy haga clic en OK:



Service: HTTP-FTPGetAction: Permit

Directivas > (From: Finance, To: DMZ) New: Introduzca los siguientes datos yhaga clic en OK:




Directivas > (From: Trust, To: Untrust) New: Introduzca los siguientes datos yhaga clic en OK:




Directivas > (From: Trust, To: DMZ) New: Introduzca los siguientes datos yhaga clic en OK:





37/280



Directivas > (From: Eng, To: DMZ) New: Introduzca los siguientes datos y hagaclic en OK:




Directivas > (From: Eng, To: DMZ) New: Introduzca los siguientes datos y hagaclic en OK:



Service: FTP-Put

Action: Permit

Directivas > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos yhaga clic en OK:




CLI

1. Grupos de serviciosset group service mail-pop3 add mailset group service mail-pop3 add pop3set group service http-ftpget add httpset group service http-ftpget add ftp-get

2. Directivas

set policy from finance to mail any any mail-pop3 permitset policy from trust to mail any any mail-pop3 permitset policy from eng to mail any any mail-pop3 permitset policy from untrust to mail any any mail permitset policy from finance to untrust any any http-ftpget permitset policy from finance to dmz any any http-ftpget permitset policy from trust to untrust any any http-ftpget permit

set policy from trust to dmz any any http-ftpget permitset policy from eng to untrust any any http-ftpget permitset policy from eng to dmz any any http-ftpget permitset policy from eng to dmz any any ftp-put permitset policy from untrust to dmz any any http-ftpget permitsave


38/280




39/280

25

Captulo 2

Zonas

Una zona puede ser un segmento del espacio de red al que se aplican medidas deseguridad (zona de seguridad), un segmento lgico que tiene asociada una interfazde tnel VPN (zona de tnel), o una entidad fsica o lgica que realiza una funcinespecfica (zona de funcin).

Este captulo examina cada uno de los tipos de zonas, poniendo un especial nfasisen la zona de seguridad, y describe los modos de puerto. El captulo incluye lassiguientes secciones:

Visualizar las zonas preconfiguradas en la pgina 26

Zonas de seguridad en la pgina 28

Zona Global en la pgina 28

Opciones SCREEN en la pgina 28

Enlazar una interfaz de tnel a una zona de tnel en la pgina 28

Configuracin de zonas de seguridad y zonas de tnel en la pgina 30

Crear una zona en la pgina 30

Modificar una zona en la pgina 31

Eliminar una zona en la pgina 32

Zonas de funcin en la pgina 32

Zona Null en la pgina 32

Zona MGT en la pgina 32

Zona HA en la pgina 33

Zona de registro propio en la pgina 33

Zona VLAN en la pgina 33


40/280


26 Visualizar las zonas preconfiguradas

Modos de puerto en la pgina 33

Modo Trust-Untrust en la pgina 34

Modo Home-Work en la pgina 35

Modo Dual Untrust en la pgina 36

Modo combinado en la pgina 37

Modo Trust/Untrust/DMZ (extendido) en la pgina 38

Modo DMZ/Dual Untrust en la pgina 38

Modo Dual DMZ en la pgina 39

Establecer los modos de puertos en la pgina 40

Zonas en los modos Home-Work y Combined Port en la pgina 41

Visualizar las zonas preconfiguradas

La primera vez que se inicia un dispositivo de seguridad pueden verse una serie dezonas preconfiguradas. Para visualizar estas zonas utilizando la WebUI, haga clic enNetwork > Zonesen la columna de men de la izquierda. Consulte Figura 18.

Para visualizar estas zonas utilizando la CLI, utilice el comandoget zone. ConsulteFigura 19 en la pgina 27.

Figura 18: PginaNetwork > Zones en la WebUI


41/280

Visualizar las zonas preconfiguradas 27

Captulo 2: Zonas

La Figura 19muestra el resultado del comandoget zone.

Figura 19: Resultado del comando get zone

Las zonas preconfiguradas que se muestran en la Figura 18y Figura 19se puedenagrupar en tres tipos diferentes:

Zonas de seguridad: Untrust, Trust, DMZ, Global, V1-Untrust, V1-Trust, V1-DMZ

Zona de tnel: Untrust-Tun

Zonas de funcin: Null, Self, MGT, HA, VLAN

Los sistemas raz y virtual comparten estas zonas.

Estas zonas (ID 0 y 10) no tienen nipueden tener una interfaz.

De forma predeterminada, las interfaces de tnel VPN estn asociadas a la zonaUntrust-Tun, cuya zona portadora es la zona Untrust. (Durante la actualizacin, los tnelesexistentes se asocian a la zona Untrust-Tun).Los nmeros de zona 7 a 9 y 15 estn reservados para

uso futuro.

Estas zonas (ID 1-3 y 11-14) proporcionan

compatibilidad con versiones anteriores al actualizar

de una versin anterior a ScreenOS 3.1.0. Las 3

superiores para dispositivos en modo NAT o Route,

las 3 inferiores para dispositivos en modotransparente.

ns500> get zone

Total of 13 zones in vsys root

ID Name) Type) Attr) VR) Default-IF) VSYS)

0) Null) Null) Shared) untrust-vr) null) Root)

1) Untrust) Sec(L3)) Shared) trust-vr) ethernet1/2) Root)

2) Trust) Sec(L3)) ) trust-vr) ethernet3/2)Root)

3) DMZ) Sec(L3)) ) trust-vr) ethernet2/2)Root)

4) Self) Func) ) trust-vr) self) Root)

5) MGT) Func) ) trust-vr) mgt) Root)

6) HA) Func) ) trust-vr) ha) Root)

10) Global) Sec(L3)) ) trust-vr) null) Root)11) V1-Untrust) Sec(L2))) trust-vr) v1-untrust) Root)

12) V1-Trust) Sec(L2)) ) trust-vr) v1-trust) Root)

13) V1-DMZ) Sec(L2)) ) trust-vr) v1-dmz) Root)

14) VLAN) Func) ) trust-vr vlan) Root)

16) Untrust-Tun) Tun)) trust-vr) null) Root)

-----------------------------------------------------------------------


42/280


28 Zonas de seguridad

Zonas de seguridad

En un solo dispositivo de seguridad se pueden configurar varias zonas de seguridad,dividiendo la red en segmentos a los que se pueden aplicar diversas opciones deseguridad para satisfacer las necesidades de cada segmento. Deben definirse comomnimo dos zonas de seguridad, bsicamente para proteger un rea de la red de laotra. En algunas plataformas de seguridad se pueden definir muchas zonas deseguridad, lo que refina an ms la granularidad del diseo de seguridad de la red,evitando la necesidad de distribuir mltiples dispositivos de seguridad paraconseguir el mismo fin.

Zona Global

Puede identificar una zona de seguridad porque tiene una libreta de direcciones yse puede hacer referencia a ella en directivas. La zona Global satisface estoscriterios. Sin embargo, le falta un elemento del que s disponen las dems zonas deseguridad: una interfaz. La zona Global sirve como rea de almacenamiento de

direcciones IP asignadas (MIP) y direcciones IP virtuales (VIP). La direccinpredefinida Any de la zona Global puede aplicarse a todas las MIP, VIP y a otrasdirecciones definidas por el usuario establecidas en la zona Global. Dado que eltrfico dirigido a estas direcciones se asigna a otras direcciones, la zona Global norequiere una interfaz para que el trfico fluya a travs de ella.

La zona Global tambin contiene direcciones para su utilizacin en directivasglobales. Para obtener ms informacin acerca de directivas globales, consulteDirectivas globales en la pgina 166).

Opciones SCREEN

Una pared de fuego de Juniper Networks asegura una red inspeccionando, y luegopermitiendo o denegando, todo intento de conexin que necesite pasar de unazona de seguridad a otra. Por cada zona de seguridad y zona MGT, puede habilitarun conjunto de opciones SCREEN predefinidas que detecten y bloqueen losdiversos tipos de trfico que el dispositivo de seguridad identifica comopotencialmente dainos.

Para obtener ms informacin sobre las opciones SCREEN disponibles, consulte elVolume 4: Attack Detection and Defense Mechanisms.

Enlazar una interfaz de tnel a una zona de tnel

Una zona del tnel es un segmento lgico que contiene al menos una interfaz detnel. Las zonas de tnel estn conceptualmente relacionadas con zonas deseguridad en una relacin padre-hijo. Las zonas de seguridad que actan como elpadre, que tambin pueden imaginarse como zonas portadoras, proporcionanproteccin de pared de fuego al trfico encapsulado. La zona del tnel proporciona

NOTA: Cualquier directiva que utilice la zona Global como su destino no puede admitirNAT ni asignacin de trfico.
http://../04_fw/fw_title.pdfhttp://../04_fw/fw_title.pdf


43/280

Enlazar una interfaz de tnel a una zona de tnel 29

Captulo 2: Zonas

el encapsulado y desencapsulado de paquetes, y tambin puede proporcionarservicios NAT basados en directivas, ya que admiten interfaces de tnel condirecciones IP y mscaras de red que pueden contener direcciones IP asignadas(MIP) y dinmicas (DIP).

El dispositivo de seguridad utiliza la informacin de enrutamiento de la zonaportadora para dirigir el trfico al punto final del tnel. La zona del tnelpredeterminada es Untrust-Tun, asociada a la zona Untrust. Puede crear otras zonasde tnel y asociarlas a otras zonas de seguridad, con un mximo de una zona detnel por zona portadora y por sistema virtual.

De forma predeterminada, una zona de tnel se encuentra