Manual Basico Juniper SRX

Bolivian Office: Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486 Cochabamba-Bolivia

Information Security Department

Manual ISB:

Configuraciones Bsicas Firewall Juniper SRX

Octubre, 2012



1. INTRODUCCION A JUNOS

Junos es un sistema operativo de red fiable y de alto rendimiento con funciones de enrutamiento, conmutacin y seguridad que reduce el tiempo de despliegue de nuevos servicios y disminuye los costes de funcionamiento de redes hasta un 41%.

Junos es un sistema diseado para replantear completamente el modo en que funcionan las redes.

Un sistema operativo: Reduce el tiempo y el esfuerzo de planificacin, despliegue y funcionamiento de la infraestructura de red.

Una serie de actualizaciones: Ofrece un suministro regular de nuevas funciones con un ritmo continuado y de eficacia comprobada.

Una arquitectura de software modular: Ofrece un software de alta disponibilidad y escalable capaz de adaptarse a necesidades cambiantes.

Junos tiene la propiedad de ser carrier class, es decir todos los dispositivos Juniper, de cualquier serie y cualquier modelo utiliza Junos.

Adems maneja los procesos de manera paralela e independiente.



Para la fcil administracin del archivo de configuracin, Junos maneja 3 opciones bsicas:

Commit: Aplica los cambios realizados al archivo de configuracin que esta corriendo en el

firewall.

Compare: Muestra las diferencias entre el archivo de configuracin con los cambios

realizados y el archivo de configuracin que esta corriendo en el firewall.

Rollback: Regresa al archivo de configuracin previo al ultimo commit.



2. COMPLEMENTOS

3. PARA CONECTARSE AL DISPOSITIVO

Consola Consola Remota WebUI (Interfaz Web) Telnet, SSH



4. INTERFACES

4.1. VISTA

Una interfaz o puerto es la compuerta para la entrada o salida de informacin del firewall.

Dependiendo del modelo, se puede tener interfaces Fast Ethernet o Gigabit Ethernet.

Cada interfaz fsica puede tener varias interfaces lgicas, las configuraciones de red se

hacen en la interfaz lgica.

1.- Opcin en men para administrar interfaces.

2.- Interfaz fsica.

3.- Interfaz lgica.

4.- Opcin para editar la interfaz.



4.2. EDIT INTERFAZ LOGICA

1.- La zona de seguridad en la que se encuentra la interfaz.

2.- Para asignar una IP a la interfaz se debe marcar solo esta opcin.

3.- En esta parte se edita los datos de la interfaz: IP, Mascara.



5. RUTEO ESTATICO

El ruteo esttico, es la opcin ms bsica de ruteo del equipo. Generalmente se usa

para el acceso a internet y para llegar a redes que no conocemos. Tambin es comn

usar ruteo para conexiones de fibra ptica, VPN, etc.

5.1. VISTA

1.- Opcin de ruteo esttico en el men

2.- Ruta creada: 0.0.0.0/0 es a donde queremos llegar, por medio del siguiente salto:

200.129.89.2

3.- Opciones para aadir, editar y eliminar rutas.

Nota: La direccin de red 0.0.0.0/0 significa, cualquier IP. En este caso, este ruteo se utiliza

para salir a internet. Es decir, a cualquier IP (0.0.0.0/0) por medio de la IP 200.129.89.2

(Gateway de nuestro proveedor de internet).



5.2. ADD/EDIT RUTEO

1.- Red/host a donde queremos llegar

2.- Siguiente salto

3.- Se puede seleccionar como siguiente salto una IP

4.- Se puede seleccionar como siguiente salto una interfaz del firewall



6. ZONAS DE SEGURIDAD

Las zonas de seguridad son una de las principales caractersticas del firewall Juniper.

Sirven para segmentar nuestra red de acuerdo a sus caractersticas, para as tener un

mayor nivel de control y proteccin en el permetro interno.

Por defecto se tienen la zona UNTRUST (De no confianza) en la que se coloca la

conexin a internet, y una zona TRUST (De confianza) en la que se encuentran

nuestros usuarios.

Podemos crear y asignar las zonas que necesitemos, de acuerdo a la organizacin de

la red.

6.1. VISTA

1.- Opcin de zonas en el men.

2.- Zonas creadas, con los datos mas importantes, sobretodo las interfaces que estn en la

zona y los protocolos y servicios que tiene permiso para acceder a esa zonas.

3.- Opciones de aadir, editar y eliminar zona.



6.2. ADD/EDIT ZONAS

Al crear o editar una zona, la opciones ms bsicas a configurar son:

Nombre de la zona, donde podemos elegir que se llamara.

Tipo de zona, security para hacer zonas de seguridad.

Interfaces, se elige las interfaces que estarn en la zona.



En la opcin Host inbound traffic se puede elegir los protocolos y servicios que tendrn

permiso para ingresar a la zona. Se elige por zona (host inbound traffic - zone) y por

interfaz (host inbound traffic - interface).

1.- Se puede elegir todos los puertos/servicios con la opcin all.

2.- Se puede elegir solamente algn(os) servicio(s)/protocolo(s).



7. POLITICAS

7.1. ADDRESS BOOK

A la hora de hacer polticas, es muy buena prctica tener todas las IPs identificadas

con un nombre y agruparlas en grupos que tengan permisos de acceso homogneos.

Para esto es que existen los address books, que son IPs asignadas a un nombre.

7.1.1. VISTA

1.- Opcin de address book en el men

2.- Pestaa de addresses

3.- Opciones de aadir, editar, eliminar addresses

4.- Address creada con sus datos



7.1.2. ADD/EDIT ADDRESS

1.- Zona a la que pertenecer el address

2.- Nombre que le daremos al address

3.- Se puede elegir entre una IP o un nombre de dominio

4.- Se elige el address set al que se desea asignar el address

5.- Opcin para crear un address set directamente

Nota: Un address puede ser tanto una maquina de nuestra red como una direccin en

internet o cualquier otro lado, ya sea IP o dominio.



7.2. ADRESS SET

Los address sets son grupos de address que se usaran en la poltica, para no tener

que seleccionar host por host.

7.2.1. VISTA

1.- Opcin de address book en el men

2.- Pestaa para ver los address sets

3.- Opciones de aadir, editar, eliminar address sets

4.- Address sets existentes, con sus datos (zona, nombre, address incluidas)



7.2.2. ADD/EDIT ADDRESS SET

1.- Zona y nombre del address set

2.- Address que se pueden incluir en la zona (izquierda) y address incluidas en

la zona (derecha)



7.3. POLITICAS

Las polticas tienen el principal objetivo de permitir o denegar trfico entre

zonas. Como criterio se puede elegir toda la zona, un grupo de hosts (address

set) o solamente un host (address).

Tambin se puede elegir las aplicaciones sobre las cuales actuara la poltica.

7.3.1. VISTA

1.- Opcin de polticas en el men

2.- Opciones de aadir, editar, eliminar, clonar, desactivar y mover la poltica

3.- Filtro para visualizacin de polticas (De zona x a zona y)

4.- Poltica creada

Nota.- En la configuracin por defecto del firewall, ya hay una poltica que

permite cualquier tipo de trfico de la zona trust a la zona untrust



7.3.2. ADD/EDIT POLITICA

1.- Nombre de la poltica

2.- Zona de origen

3.- Zona de destino

4.- Accin, puede ser permitir o denegar

5.- Address o address sets que se incluirn en la poltica en la zona de origen

6.- Address o address sets que se incluirn en la poltica en la zona de destino

7.- Aplicaciones con las que trabajara la poltica

8.- En este cuadro se pueden buscar las aplicaciones



7.3.3. LOGS DE LAS POLITICAS

Los logs son un registro de toda la actividad en la que participo la poltica. En

estos se puede ver las IPs de origen y destino, el puerto, la hora, etc.

Se debe activar la opcin de registrar los logs en la pestaa Logging/count de

cada poltica para tener esta informacin.

1.- Opcin para habilitar el registro de los logs

2.- Opciones para que registre al iniciar y cerrar cada sesin



7.3.4. LOGICA DE LAS POLITICAS

Cuando se tienen varias polticas de la misma zona de origen a la misma zona

de destino, estas deben estar en cierto orden de prioridad. La poltica que este

mas arriba tendr prioridad mas alta que la de abajo, esto se explica a

continuacin:

En la imagen de arriba se ve que existen dos polticas de la zona trust a la zona

untrust. La de abajo permite el acceso a cualquier direccin en untrust (internet)

desde la zona trust. La de arriba deniega el permiso a la pgina de los tiempos a

cualquier host de la zona trust. Por lo tanto, a pesar de que la poltica de abajo

permite acceso a cualquier pgina, la de arriba al tener mayor prioridad, deniega el

acceso a la pgina mencionada.

La misma lgica se puede aplicar de manera inversa, es decir bloquear todo y solo

permitir lo deseado.

De esta manera uno puede acomodar las polticas de acuerdo a las necesidades que

se presenten.



8. VPN (Virtual Private Network)

Una VPN es, como indica su nombre, una red privada virtual, que permite conectar 2

puntos por medio de internet u otra red, de manera segura, gracias al uso de

mtodos de autenticacin y encriptacin de datos.

La VPN que veremos a continuacin, es una VPN por tnel punto a punto. Para

configurarla se pasa por 2 fases: la primera que se encarga del mtodo de

autenticacin y la segunda de la encriptacin de los datos.

Cada fase cuenta con 3 etapas.

8.1. VISTA

1.- Opcin en el men para hacer VPN por tnel.

2.- Pestaa de Proposal: Primera etapa de la fase 1

3.- Pestaa de IKE Policy: Segunda etapa de la fase 1

4.- Pestaa de Gateway: Tercera etapa de la fase 1

5.- Opciones de aadir, editar, eliminar



8.2. PRIMERA FASE (IKE)

8.2.1. PROPOSAL

El proposal de la primera fase, es donde se configura el mtodo que se usara para la

autenticacin (llaves pre compartidas, firmas rsa, etc), y los algoritmos que se usaran

para encriptar los datos de esta fase.



8.2.2. IKE POLICY

1.- Nombre de la poltica IKE

2.- Modo: main

3.- Marcamos user defined y escogemos el proposal que creamos anteriormente

1.- Seleccionamos la pestaa de IKE Policy options

2.- Escogemos la opcin de llaves pre compartidas y escribimos cual ser nuestra

llave, podemos escoger entre Ascii o hexadecimal



8.2.3. GATEWAY

1.- Nombre del Gateway

2.- Poltica (poltica IKE creada anteriormente)

3.- Interfaz por la que saldr la VPN (Internet)

4.- Seleccionar esta opcin para hacer VPN por tnel

5.- IP publica del otro lado del tnel



8.3. SEGUNDA FASE (IPSEC)

8.3.1. PROPOSAL

El proposal de la segunda fase, es donde se configuran los algoritmos que se usaran

para encriptar los datos una vez hecha la autenticacin.



8.3.2. IPSEC POLICY

1.- Nombre de la poltica

2.- Elegir user defined y el proposal que creamos en la fase anterior



8.3.3. AUTOKEY VPN

En este ultimo paso, se crea la VPN con todas las configuraciones

anteriores.

1.- Nombre de la VPN

2.- Gateway por el que saldr la VPN (el que creamos en la fase 1)

3.- Poltica IPSec

4.- Interfaz tnel de la VPN. La interfaz tnel, es una interfaz lgica que se define para

asignarle una VPN. Al igual que las dems interfaces, el tnel tiene que estar en una

zona y se deben hacer polticas para permitir los accesos.

5.- Establecer tneles: Inmediatamente

Nota.- Para levantar la VPN, debemos hacer un ruteo hacia la red que queremos llegar

y configurar como siguiente salto la interfaz tnel.



8.3.3.1. ADD/ EDIT INTERFACE (AUTOKEY VPN)

1.- Unidad lgica de la interfaz (Cada VPN debe salir por una unidad lgica o tnel

distinto)

2.- Zona de la interfaz tnel

3.- Unumbered: La configuracin se hace por defecto



8.4. MONITOREO

Lo primero que se debe hacer para monitorear la VPN, es habilitar la opcin

en la parte de Autokey VPN:

Luego en la parte de monitor, en el men de VPN se aprecian las dos fases, es aqu

donde podemos darnos cuenta si la VPN esta arriba. En la fase 1 se ven los datos de la

VPN y su estado (Up o Down).

1.- Opcin en el men superior para monitorear

2.- Opcin en el men izquierdo para la fase 1 de VPN

3.- Datos de las VPNs configuradas (destino remoto, estado, etc.)



En la segunda fase, se puede ver las conexiones de entrada y salida de los tneles, es

decir por cada VPN se tienen 2 elementos en esta lista.

1.- Opcin en el men para ver esta fase

2.- Lista de conexiones entrantes y salientes de cada VPN



9. NAT

El NAT (Network Addres Translation) es un mecanismo que consiste en convertir las

IPs de una red a otra, para poder compartir datos entre las 2 redes no compatibles.

Existen varios tipos de NAT, ahora solo veremos el source NAT, que es el ms

utilizado.

9.1. SOURCE NAT

El source NAT consiste en convertir las IPs de una red, en una IP de otra red. Por

ejemplo esta configuracin se usa para lograr el acceso a internet, convirtiendo todas

las IPs de la red interna, en la IP publica que tenemos asignada.

1.- Opcin de Source NAT en el men

2.- Opcin para hacer el source NAT simple

3.- Lista de Rule Sets del NAT

4.- Lista de reglas del Rule Set seleccionado

5.- Opciones de aadir, editar, eliminar un Rule Set

6.- Opciones de aadir, editar, eliminar una regla

Nota.- Un Rule Set, es un conjunto de reglas que se aplican para el mismo origen y

destino.

Documents

Manual Basico Juniper SRX