Conceptos y ejemplos Manual de referencia de ScreenOS
Volumen 1:
Vista general
Copyright © 2007 Juniper Networks, Inc. All rights reserved.
Juniper Networks and the Juniper Networks logo are registered
trademarks of Juniper Networks, Inc. in the United States and other
countries. All other trademarks, service marks, registered
trademarks, or registered service marks in this document are the
property of Juniper Networks or their respective owners. All
specifications are subject to change without notice. Juniper
Networks assumes no responsibility for any inaccuracies in this
document or for any obligation to update information in this
document. Juniper Networks reserves the right to change, modify,
transfer, or otherwise revise this publication without
notice.
FCC Statement
The following information is for FCC compliance of Class A devices:
This equipment has been tested and found to comply with the limits
for a Class A digital device, pursuant to part 15 of the FCC rules.
These limits are designed to provide reasonable protection against
harmful interference when the equipment is operated in a commercial
environment. The equipment generates, uses, and can radiate
radio-frequency energy and, if not installed and used in accordance
with the instruction manual, may cause harmful interference to
radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users
will be required to correct the interference at their own
expense.
The following information is for FCC compliance of Class B devices:
The equipment described in this manual generates and may radiate
radio-frequency energy. If it is not installed in accordance with
Juniper Networks’ installation instructions, it may cause
interference with radio and television reception. This equipment
has been tested and found to comply with the limits for a Class B
digi tal device in accordance with the specifications in part 15 of
the FCC rules. These specifications are designed to provide
reasonable protection against such interference in a residential
installation. However, there is no guarantee that interference will
not occur in a particular installation.
If this equipment does cause harmful interference to radio or
television reception, which can be determined by turning the
equipment off and on, the user is encouraged to try to correct the
interference by one or more of the following measures:
Reorient or relocate the receiving antenna.
Increase the separation between the equipment and receiver.
Consult the dealer or an experienced radio/TV technician for
help.
Connect the equipment to an outlet on a circuit different from that
to which the receiver is connected.
Caution: Changes or modifications to this product could void
the user's warranty and authority to operate this device.
Disclaimer
Volumen 1: Vista general
Acerca del Manual de referencia de ScreenOS: conceptos y ejemplos
xlvii
Organización de los
volúmenes....................................................................
xlix Convenciones del documento
.........................................................................
lv
Asistencia y documentación
técnica...............................................................
lix
Convenciones del documento
..........................................................................x
Convenciones de la interfaz de usuario
web..............................................x Convenciones de
interfaz de línea de comandos
.......................................x Convenciones de
nomenclatura y conjuntos de caracteres....................... xi
Convenciones para las ilustraciones
........................................................xii
Asistencia y documentación
técnica..............................................................
xiii
Zonas de
seguridad..........................................................................................2
Interfaces de zonas de seguridad
.....................................................................3
Capítulo 2 Zonas 25
Creación de una
zona..............................................................................30
Modificación de una
zona........................................................................31
Eliminación de una zona
.........................................................................32
Asociación de una interfaz a una zona de
seguridad................................43 Desasociación de una
interfaz de una zona de seguridad ........................ 44
Direccionamiento de una interfaz de la zona de seguridad
L3.................45
Direcciones IP públicas
.....................................................................45
Direcciones IP
privadas.....................................................................46
Direccionamiento de una interfaz
.....................................................46
Creación de una dirección IP
secundaria........................................................49
Interfaces del sistema de respaldo
.................................................................50
Interfaces de bucle invertido (o
“loopback”)...................................................57
Creación de una interfaz de bucle
invertido.............................................58
Configuración de la interfaz de bucle invertido para la
administración....58 Configuración de BGP en una interfaz de bucle
invertido ........................58 Configuración de VSI en una
interfaz de bucle invertido..........................59
Configuración de la interfaz de bucle invertido como interfaz
de
origen
...............................................................................................59
Cambios de estado de la interfaz
...................................................................60
Capítulo 4 Modos de las interfaces 79
Modo
transparente.........................................................................................79
Ajustes de zona
.......................................................................................80
Direcciones..................................................................................................103
Entradas de
direcciones.........................................................................104
Servicios
......................................................................................................109
Servicios
predefinidos............................................................................109
Servicios varios
...............................................................................122
Servicios
personalizados........................................................................122
Establecimiento del tiempo de espera de un servicio
............................124 Configuración y consulta del tiempo
de espera de un servicio ........125 Contingencias
.................................................................................126
Ejemplo...........................................................................................127
Definición de un servicio personalizado de protocolo de mensajes de
control de Internet
..........................................................................127
ALG de Shell
remoto..............................................................................128
Capa de aplicación de llamada al procedimiento remoto de
Sun........... 129
Personalización del procedimiento remoto de Microsoft Call ALG
.........130 Puerta de enlace de la capa de aplicación del
protocolo de secuencias
en tiempo
real.................................................................................132
Métodos de petición
RTSP...............................................................133
Códigos de estado de
RTSP.............................................................135
Configuración de un servidor de medios en un dominio privado
....136 Configuración de un servidor de medios en un dominio
público.....138
Introducción del contexto de una
directiva............................................187 Varios
elementos por componente de
directiva.....................................188 Ajuste de la
negación de direcciones
.....................................................189
Modificación y desactivación de directivas
............................................191 Verificación de
directivas.......................................................................192
Reordenamiento de
directivas...............................................................193
Eliminación de una directiva
.................................................................194
Administración del ancho de banda a nivel de
directivas.............................195 Establecimiento de la
asignación de
tráfico..................................................196
Establecimiento de las prioridades del servicio
............................................200 Establecer colas de
prioridades
....................................................................201
Directivas de entrada
...................................................................................205
Asignación de tráfico en interfaces virtuales
................................................206
Asignación de tráfico a nivel de interfaz
................................................206 Asignación de
tráfico a nivel de
directiva...............................................208 Flujo
de paquetes
..................................................................................208
Ejemplo: VPN basada en rutas con directiva de
entrada........................ 209 Ejemplo: VPN basada en
directivas con directiva de entrada.................212
Asignación de tráfico utilizando la interfaz de bucle
invertido......................216 Asignación y marcado de DSCP
...................................................................216
Capítulo 8 Parámetros del sistema 219
Compatibilidad con DNS (sistema de nombres de dominio)
........................219 Consulta DNS
........................................................................................220
Tabla de estado de
DNS.........................................................................221
Establecimiento de un intervalo de actualización de DNS
...............222 Sistema de nombres de dominio dinámicos
..........................................223
Establecimiento de DDNS para un servidor DynDNS
......................223
Establecimiento de DDNS para un servidor
DDO............................224 División de direcciones DNS del
proxy ..................................................225
Protocolo de configuración dinámica de
host...............................................227
Configuración de un servidor DHCP
......................................................229
Personalización de las opciones de servidor DHCP
.........................232 Colocación del servidor DHCP en un
clúster de NSRP ..................... 234 Detección del servidor
DHCP..........................................................234
Habilitación de detección del servidor DHCP
..................................234 Desactivación de la detección
del servidor DHCP............................235
Asignar un dispositivo de seguridad como agente de retransmisión de
DHCP..............................................................................................235
Redireccionamiento de todos los paquetes
DHCP...........................239 Configuración de la IP del
siguiente servidor...................................240
Utilización de un dispositivo de seguridad como cliente
DHCP..............241 Propagación de ajustes
TCP/IP...............................................................242
Configuración de DHCP en sistemas virtuales
.......................................245
Establecimiento de la retransmisión de un mensaje DHCP en sistemas
virtuales.................................................................................................245
Protocolo punto a punto sobre
Ethernet.......................................................246
Configuración de
PPPoE........................................................................246
Configuración de PPPoE en las interfaces principal y de respaldo de
la
Fecha y
hora..........................................................................................257
Horario de verano
.................................................................................257
Huso
horario..........................................................................................257
Protocolo de hora de la
red....................................................................258
Convenciones del documento
........................................................................
vii Convenciones de la interfaz de usuario
web............................................ vii Convenciones de
interfaz de línea de comandos ....................................
viii Convenciones de nomenclatura y conjuntos de
caracteres..................... viii Convenciones para las
ilustraciones
..........................................................x
Asistencia y documentación
técnica................................................................xi
Copia de los archivos de ayuda a una unidad
local..............................3 Desvío de WebUI a la nueva
ubicación de la ayuda.............................3
Protocolo de transferencia de hipertextos
.................................................4 Identificación
de
sesión.............................................................................4
Secure Sockets
Layer.................................................................................5
Puerto de
módem....................................................................................22
Administración a través de NetScreen-Security
Manager................................23
Inicio de la conectividad entre el agente de NSM y el sistema
MGT......... 24 Habilitar, inhabilitar y desactivar el agente de
NSM.................................25 Ajustar la dirección IP del
servidor principal del sistema de
administración (Management
System)..............................................26 Ajustar la
generación de informes de alarmas y de
estadísticas...............26 Sincronización de la configuración
..........................................................28
Ejemplo: Visualizar al estado de la
configuración..............................28 Ejemplo: Consultar el
hash de configuración.....................................28
Consultar la marca de hora de
configuración...........................................29 Control
del tráfico
administrativo...................................................................29
Interfaces MGT y
VLAN1..........................................................................30
Ejemplo: Administración a través de la interfaz
MGT........................30 Ejemplo: Administración a través de
la interfaz VLAN1.....................31
Ajuste de las direcciones IP de administración para múltiples
interfaces
..........................................................................................33
Niveles de administración
..............................................................................35
Administrador
raíz...................................................................................35
Administrador de
lectura/escritura...........................................................36
Administrador de sólo
lectura..................................................................36
Administrador de sistema
virtual.............................................................36
Administrador de sólo lectura del sistema virtual
....................................37
de acceso
telefónico..........................................................................38
Ejemplo: Borrar una sesión de
administrador..........................................39
Ejemplo: Restringir la administración a una subred
..........................45 Restringir el administrador raíz a
acceder desde la consola ..............45
Túneles de VPN para tráfico
administrativo.............................................46
Administración a través de un túnel VPN de clave manual
basado
rechazada
.........................................................................................56
Creación de un mensaje de bienvenida de inicio de
sesión............................57
Almacenamiento de la información del
registro.............................................59 Registro de
eventos........................................................................................61
Ejemplo: Descargar el registro de eventos completo
.........................64 Ejemplo: Descargar los eventos críticos
del registro de eventos ........ 64
Descarga del registro de tráfico
...............................................................68
Eliminación del campo del motivo de
cierre............................................68
Descargar el registro
propio.....................................................................72
Descargar el registro de recuperación de posición
.........................................72 Alarmas de
tráfico..........................................................................................73
Syslog
............................................................................................................76
Ejemplo: Habilitar múltiples servidores
Syslog.........................................77 Activación de
WebTrends para eventos de
notificación...........................77
Visualizar contadores de pantalla
...................................................................98
Acerca de este volumen ix
Convenciones del documento
..........................................................................x
Convenciones de la interfaz de usuario
web..............................................x Convenciones de
interfaz de línea de comandos
...................................... xi Convenciones de
nomenclatura y conjuntos de caracteres....................... xi
Convenciones para las ilustraciones
....................................................... xiii
Asistencia y documentación
técnica..............................................................
xiv
Etapas de un
ataque.........................................................................................2
Mecanismos de detección y
defensa................................................................2
Supervisión de
vulnerabilidades.......................................................................5
Capítulo 2 Bloqueo de reconocimiento 7
Barrido de direcciones IP
.................................................................................8
Barrida de puertos
...........................................................................................9
Reconocimiento de red mediante opciones IP
...............................................10
Sondeos del sistema
operativo.......................................................................12
indicadores SYN y FIN activados
.............................................................13
Indicador FIN sin indicador
ACK..............................................................14
Encabezado TCP sin indicadores
activados..............................................15
Ejemplo: Protección contra simulación de IP en la capa
3.................22 Ejemplo: Protección contra simulación de IP en
la capa 2.................24
Opciones IP de ruta de origen
.................................................................26
Capítulo 3 Defensas contra los ataques de denegación de servicio
29
Ataques DoS contra el
cortafuegos.................................................................30
Inundaciones de la tabla de
sesiones.......................................................30
Inundaciones de SYN-ACK-ACK a través de un servidor proxy
................35 Ataques DoS contra la
red..............................................................................37
Inundaciones SYN
...................................................................................37
Ejemplo: Protección contra inundaciones SYN
..................................43
Reensamblaje de
fragmentos.........................................................................58
Protección contra URL
maliciosas............................................................58
Puerta de enlace en la capa de
aplicación................................................59
Análisis AV externo
.................................................................................62
Modos de
análisis..............................................................................63
Servidores de análisis ICAP de equilibrio de carga
............................64
Ajustes globales del analizador de AV
......................................................84 Asignación
de recursos de AV
...........................................................84
Comportamiento en modo de fallo:
..................................................85 Tamaño máximo
del contenido y número máximo de mensajes
(sólo AV
interno).........................................................................85
HTTP Keep-Alive
...............................................................................86
Goteo HTTP (únicamente AV interno)
...............................................87
Filtrado anti
spam..........................................................................................95
Listas blancas y listas negras
...................................................................96
Configuración básica
...............................................................................97
Filtrado de Web
...........................................................................................100
Uso de la CLI para iniciar los modos de filtrado de
Web........................100 Filtrado de Web integrado
.....................................................................101
Servidores de SurfControl
...............................................................102
Caché de filtrado de
Web................................................................103
Configuración del filtrado de Web
integrado...................................103 Ejemplo: Filtrado
de Web
integrado................................................109
Capítulo 5 Deep Inspection 119
Vista general
................................................................................................120
Servidor de la base de datos de objetos de ataque
.......................................124
Paquetes de firmas
predefinidas............................................................124
Actualización de paquetes de
firmas......................................................125
Actualización
manual......................................................................130
Objetos de ataque y
grupos..........................................................................132
Desactivación de objetos de
ataque.......................................................142
Acciones de
ataque......................................................................................143
Objetos de ataques de fuerza
bruta.................................................152 Destinos
de ataques de fuerza bruta
...............................................152 Tiempo de espera
de ataques de fuerza bruta.................................153
Ejemplo
1........................................................................................153
Ejemplo
2........................................................................................154
Ejemplo
3........................................................................................154
Asignación de servicios personalizados a aplicaciones
................................. 156 Ejemplo: Asignación de una
aplicación a un servicio
personalizado
...........................................................................157
Ejemplo: Asignación de aplicación a servicio para ataques
HTTP....159
Expresiones regulares
.....................................................................161
Ejemplo: Objetos de ataque de firma completa que define un
usuario
.....................................................................................163
Objetos de ataque de la firma de la secuencia de
TCP...........................165
Ejemplo: Objeto de ataque de firma de secuencia que define el
usuario
.....................................................................................166
Parámetros configurables de anomalías en protocolos
..........................167 Ejemplo: Modificación de parámetros
.............................................167
Negación......................................................................................................168
Ejemplo: Negación de objeto de ataque
..........................................168
Ejemplo: Bloqueo de applets de Java y archivos “.exe”
................... 174
Capítulo 6 Detección y prevención de intrusiones 175
Dispositivos de seguridad con capacidad para
IDP.......................................176 Flujo de tráfico en
un dispositivo con capacidad de
IDP...............................176 Configuración de la detección
y prevención de intrusiones..........................177
Tareas de configuración
previa..............................................................178
Ejemplo 1: Configuración básica de IDP
................................................178 Ejemplo 2:
Configuración de IDP para cambio en caso de fallo activo,
Uso de las bases de normas de
IDP..............................................................187
Administración de las bases de normas de IDP según
roles...................188 Configuración de objetos para normas de
IDP.......................................188 Uso de las plantillas
de directivas de seguridad
.....................................189
Habilitación de IDP en las normas de cortafuegos
.......................................189 Habilitación de
IDP................................................................................190
Especificación del modo en línea o tap en línea
....................................190
Configuración de las normas de IDP
............................................................191
Adición de la base de normas de IDP
....................................................192 Tráfico
coincidente................................................................................193
Zonas de origen y de destino
..........................................................194
Objetos de dirección de origen y de
destino....................................194 Ejemplo:
Establecimiento de origen y de destino
............................194 Ejemplo: Establecimiento de
múltiples orígenes y destinos.............195 Servicios
.........................................................................................195
Ejemplo: Establecimiento de los servicios predeterminados
...........196 Ejemplo: Establecimiento de servicios
específicos...........................196 Ejemplo: Establecimiento
de servicios no estándar .........................196 Normas
definitivas..........................................................................198
Ejemplo: Establecimiento de normas
definitivas.............................198
Definición de
acciones...........................................................................199
Establecimiento de objetos de
ataque....................................................200
Establecimiento de la acción de IP
........................................................202
Selección de una acción de IP
.........................................................203
Selección de una opción de bloqueo
...............................................203 Establecimiento
de las opciones de registro ....................................203
Establecimiento de las opciones de tiempo de
espera.....................203
Establecimiento de la notificación
.........................................................204
Establecimiento de los registros
......................................................204
Establecimiento de una
alerta.........................................................204
Paquetes de
registro........................................................................204
Zonas de origen y de destino
..........................................................207
Objetos de dirección de origen y de
destino....................................208 Ejemplo: Exclusión
de un par origen/destino
..................................208
Establecimiento de los objetos de ataque
..............................................208 Ejemplo:
Exclusión de objetos de ataque específicos
......................208
Establecimiento de objetivos
.................................................................209
Introducción de
comentarios.................................................................209
Manual de referencia de ScreenOS: Conceptos y ejemplos
Creación de una norma de exclusión desde el visualizador de
registros
..........................................................................................209
Configuración de las normas de puerta de atrás
..........................................210 Adición de la base de
normas de puerta de atrás...................................211
Definición de una
coincidencia..............................................................212
Zonas de origen y de destino
..........................................................212
Objetos de dirección de origen y de
destino....................................212 Servicios
.........................................................................................213
Objetos de ataque de
firma.............................................................216
Objetos de ataque de anomalías de
protocolo.................................216 Objetos de ataque
compuestos
.......................................................216
Visualización de grupos y objetos de ataque de IDP
predefinidos..........217 Visualización de ataques
predefinidos.............................................217
Visualización de grupos predefinidos
..............................................218
Creación de objetos de ataque IDP
personalizados................................219 Creación de un
objeto de ataque de firma.......................................220
Creación de un Ataque de anomalía de protocolo
...........................226 Creación de un ataque compuesto
..................................................227 Edición de un
objeto de ataque personalizado ................................230
Eliminación de un objeto de ataque personalizado
.........................230
Creación de objetos de ataque IDP
personalizados................................230 Configuración de
grupos
estáticos...................................................230
Configuración de grupos dinámicos
................................................232 Ejemplo:
Creación de un grupo
dinámico........................................233 Actualización
de grupos dinámicos
.................................................234 Edición de un
grupo de ataques personalizado ...............................235
Eliminación de un grupo de ataques
personalizado.........................235
Configuración del dispositivo como un dispositivo IDP
independiente.........235 Habilitación de
IDP................................................................................235
Ejemplo: Configuración de una norma de cortafuegos para IDP
independiente
..........................................................................236
Configuración de la administración basada en funciones
......................237 Ejemplo: Configuración de un
administrador sólo de IDP ...............237
Administración de
IDP.................................................................................238
Acerca de las actualizaciones de la base de datos de ataques
................ 238 Descarga de las actualizaciones de la base de
datos de ataques ............239
Uso de los objetos de ataque
actualizados.......................................239
Actualización del motor
IDP............................................................239
Visualización de los registros IDP
..........................................................241
Capítulo 7 Atributos de los paquetes sospechosos 243
Fragmentos ICMP
........................................................................................243
Paquetes ICMP
grandes................................................................................244
Opciones IP incorrectas
...............................................................................245
Protocolos
desconocidos..............................................................................246
Fragmentos de paquetes
IP..........................................................................247
Fragmentos SYN
..........................................................................................248
Apéndice A Contextos para las firmas definidas por el usuario
A-I
Índice
........................................................................................................................IX-I
Convenciones del documento
.......................................................................
viii Convenciones de la interfaz de usuario
web........................................... viii Convenciones de
interfaz de línea de comandos ....................................
viii Convenciones de nomenclatura y conjuntos de
caracteres....................... ix Convenciones para las
ilustraciones
..........................................................x
Asistencia y documentación
técnica................................................................xi
Introducción a las redes privadas
virtuales.......................................................2
Conceptos de
IPSec..........................................................................................3
Introducción a la criptografía de claves públicas
............................................20 Firma de un
certificado
...........................................................................20
Verificación de una firma digital
..............................................................20
Infraestructura de claves públicas
..................................................................22
Certificados y
CRL..........................................................................................24
Configuración de ajustes de
CRL..............................................................29
Obtención automática de un certificado
local..........................................31 Renovación
automática de
certificado.....................................................34
Generación de pares de
claves.................................................................35
certificados
.......................................................................................36
Visualización de los atributos de comprobación de estado
......................37 Especificación de una URL del servidor de
respuesta del protocolo de
estado de certificado en
línea............................................................37
Eliminación de atributos de comprobación de
estado..............................37
Opciones
criptográficas..................................................................................50
Opciones criptográficas punto a punto
....................................................50 Opciones VPN
de acceso
telefónico.........................................................57
rutas
........................................................................................................74
Ruta
Null..................................................................................................74
Línea de acceso telefónico o arrendada
...................................................76 Conmutación
por error de la VPN hacia la línea arrendada o la ruta
Capítulo 4 Redes privadas virtuales de punto a punto
81
Configuraciones VPN punto a
punto...............................................................82
VPN punto a punto basada en rutas, AutoKey
IKE...................................88 VPN punto a punto basada
en directivas, AutoKeyIKE.............................97 VPN punto
a punto basada en rutas, interlocutor
dinámico...................103 VPN punto a punto basada en
directivas, interlocutor dinámico............112 VPN punto a punto
basada en rutas, clave manual................................120
VPN punto a punto basada en directivas, clave
manual.........................127
Puertas de enlace IKE dinámicas con FQDN
................................................132 Alias
......................................................................................................133
Ajuste del interlocutor AutoKey IKE con
FQDN......................................134
Acceso telefónico
.........................................................................................164
VPN de acceso telefónico basada en directivas, AutoKey IKE
................165
Contenido xix
VPN de acceso telefónico basada en rutas, interlocutor dinámico
.........170 VPN de acceso telefónico basada en directivas,
interlocutor
dinámico.........................................................................................177
Directivas bidireccionales para usuarios de VPN de acceso
telefónico ...184
compartidas....................................................................................198
Identificación IKE
compartida......................................................................204
Capítulo 6 Protocolo de encapsulamiento de la capa 2
211
Introducción al
L2TP....................................................................................211
Encapsulado y desencapsulado de paquetes
................................................214
NAT-Traversal
..............................................................................................240
Sondeos de NAT
....................................................................................241
Atravesar un dispositivo
NAT.................................................................243
Suma de comprobación de
UDP............................................................245
Paquetes de mantenimiento de
conexión..............................................246 Simetría
iniciador/respondedor
.............................................................246
Habilitación de NAT-Traversal
...............................................................248
Uso de identificaciones de IKE con
NAT-Traversal.................................249
superpuestas
............................................................................269
Asociación de entradas automáticas en la tabla de rutas y en
la
tabla
NHTB...............................................................................288
Uso de OSPF para entradas automáticas en la tabla de rutas
.......... 300
Detección de interlocutor
muerto....................................................304
Procedimiento de recuperación
IKE................................................306
Vista general
................................................................................................331
Cómo funciona
............................................................................................332
Acerca de este volumen vii
Convenciones del documento
........................................................................
vii Convenciones de la interfaz de usuario
web........................................... viii Convenciones de
interfaz de línea de comandos ....................................
viii Convenciones de nomenclatura y conjuntos de
caracteres....................... ix Convenciones para las
ilustraciones
..........................................................x
Asistencia y documentación
técnica................................................................xi
Capítulo 1 Puerta de enlace en la capa de aplicación H.323
1
Vista general
....................................................................................................1
Ejemplos
..........................................................................................................2
Ejemplo: Equipo selector en la zona Trust
.................................................2 Ejemplo: Equipo
selector en la zona
Untrust..............................................3 Ejemplo:
Llamadas salientes con NAT
.......................................................5 Ejemplo:
Llamadas entrantes con NAT
......................................................8 Ejemplo:
Equipo selector en la zona Untrust con NAT
.............................10
Capítulo 2 Puerta de enlace de la capa de aplicación del protocolo
de inicio de sesión 13
Vista general
..................................................................................................13
Métodos de petición del protocolo
SIP.....................................................14 Clases
de respuestas
SIP..........................................................................16
Puerta de enlace en la capa de aplicación
SIP..........................................17 Sesiones con
protocolo de descripción de sesiones
.................................18 Creación de ojos de
aguja........................................................................20
Tiempo de espera por inactividad de la sesión
........................................21 Protección contra
ataques SIP
.................................................................22
Ejemplo: SIP Protect Deny
................................................................22
Contenido xxi
Ejemplo: Tiempos de espera por inactividad de señalización o de
medios
.......................................................................................23
Ejemplo: Protección contra inundaciones UDP
.................................23 Ejemplo: Máximo de conexiones
SIP ................................................24
SIP con traducción de direcciones de red
(NAT).............................................24 Llamadas
salientes...................................................................................25
Llamadas entrantes
.................................................................................25
Llamadas reenviadas
...............................................................................26
Terminación de la llamada
......................................................................26
Mensajes de llamada Re-INVITE
..............................................................26
Temporizadores de sesiones de
llamadas................................................26
Cancelación de la llamada
.......................................................................27
Bifurcación
..............................................................................................27
Mensajes SIP
...........................................................................................27
Encabezados SIP
.....................................................................................28
Cuerpo
SIP...............................................................................................29
Supuesto de NAT con el protocolo SIP
.....................................................30
Administración del ancho de banda para servicios de
VoIP.....................65
Capítulo 3 Puerta de enlace en la capa de aplicación de protocolo
de control de la puerta de medios 67
Vista general
..................................................................................................67
Seguridad de
MGCP........................................................................................68
Protocolo
MGCP.............................................................................................68
en el
ISP............................................................................................74
Servicio alojado en ISP
............................................................................77
Capítulo 4 Puerta de enlace en la capa de aplicación del protocolo
Skinny de control de clientes 83
Vista general
..................................................................................................83
Seguridad del
SCCP........................................................................................84
Protocolo SCCP
..............................................................................................85
Cliente del SCCP
...............................................................................85
Gestor de
llamadas............................................................................85
Clúster
..............................................................................................85
Ejemplos
........................................................................................................89
Ejemplo: Gestor de llamadas/servidor TFTP en la zona Trust
............90 Ejemplo: Gestor de llamadas/servidor TFTP en la zona
Untrust.........92 Ejemplo: Zona triple, gestor de
llamadas/servidor TFTP en DMZ.......94 Ejemplo: Intrazonal, gestor
de llamadas/servidor TFTP en la zona
Trust...........................................................................................98
Ejemplo: Intrazonal, gestor de llamadas/servidor TFTP en la
zona
Convenciones del documento
........................................................................
xii Convenciones de la interfaz de usuario
web............................................xii Convenciones de
interfaz de línea de comandos .....................................
xii Convenciones de nomenclatura y conjuntos de
caracteres..................... xiii Convenciones para las
ilustraciones
....................................................... xiv
Asistencia y documentación
técnica...............................................................
xv
Vista general
....................................................................................................1
Cómo funciona el enrutamiento estático
...................................................2 Cuándo
configurar rutas
estáticas..............................................................3
Configuración de rutas estáticas
................................................................4
Impedir las consultas de rutas en otras tablas de
enrutamiento...............10 Impedir que el tráfico de túnel se
envíe a través de interfaces que no
sean de túnel
....................................................................................10
Evitar bucles creados por las rutas
resumidas..........................................11
Creación y modificación de enrutadores
virtuales..........................................22 Modificación
de enrutadores virtuales
.....................................................22 Asignación
de una ID de enrutador
virtual...............................................23 Reenvío de
tráfico entre enrutadores
virtuales.........................................24 Configuración
de dos enrutadores virtuales
.............................................24 Creación y
eliminación de enrutadores virtuales
.....................................26
Creación de un enrutador virtual
personalizado................................26 Eliminación de un
enrutador virtual personalizado ...........................27
Enrutadores virtuales y sistemas virtuales
...............................................27 Creación de un
enrutador virtual en un Vsys.....................................28
Compartir rutas entre enrutadores
virtuales......................................29
Limitación del número máximo de entradas de la tabla de
enrutamiento
....................................................................................30
Ejemplos y funciones del enrutamiento
.........................................................30
Selección de
rutas....................................................................................31
Configuración del enrutamiento multidireccional de igual coste
..............36 Redistribución de
rutas............................................................................38
Configuración de un mapa de rutas
..................................................39 Filtrado de
rutas................................................................................41
Configuración de una lista de
acceso.................................................41
Redistribución de rutas en
OSPF.......................................................42
Capítulo 3 Abrir primero la ruta más corta 47
Vista general
..................................................................................................48
Áreas.......................................................................................................48
Clasificación de
enrutadores....................................................................49
Protocolo de
saludo.................................................................................50
Tipos de
redes.........................................................................................50
Creación y eliminación de una instancia de enrutamiento
OSPF.............53 Creación de una instancia de
OSPF...................................................53
Eliminación de una instancia de
OSPF..............................................53
Creación y eliminación de un área
OSPF.................................................54 Creación de
un área
OSPF.................................................................54
Eliminación de un área
OSPF............................................................55
Asignación de interfaces a un área
OSPF.................................................55 Asignación
de interfaces a áreas
.......................................................55
Configuración de un rango de
áreas..................................................56
Habilitación de OSPF en
interfaces..........................................................56
Habilitación de OSPF en interfaces
...................................................56 Inhabilitar
OSPF en una interfaz
.......................................................57
Configuración de una lista de vecinos de OSPF
.......................................68 Rechazo de rutas
predeterminadas..........................................................69
Protección contra
inundaciones...............................................................69
Creación de un circuito de demanda OSPF en una interfaz de túnel
..............71 Interfaz de túnel punto a
multipunto..............................................................71
Establecer el tipo de conexión OSPF
.......................................................72
Inhabilitación de la restricción Route-Deny
.............................................72 Creación de una red
punto a multipunto
.................................................73
Capítulo 4 Protocolo de información de enrutamiento 79
Vista general
..................................................................................................80
Configuración básica de
RIP...........................................................................81
Habilitación y deshabilitación de RIP en
interfaces..................................83 Habilitar RIP en una
interfaz
.............................................................83
Inhabilitación de RIP en una interfaz
................................................83
Redistribución de
rutas............................................................................84
Visualización de la información de RIP
..........................................................85
Parámetros globales de
RIP............................................................................89
Notificación de la ruta predeterminada
..........................................................90
Configuración de los parámetros de interfaz de
RIP.......................................90 Configuración de
seguridad............................................................................92
Establecimiento de rutas alternas
............................................................99
Circuitos de demanda en interfaces de túnel
.........................................101 Configuración de un
vecino estático
......................................................102
Configuración de una interfaz de túnel punto a
multipunto..........................102
Capítulo 5 Protocolo de puertas de enlace de límite
109
Vista general
................................................................................................110
Tipos de mensajes
BGP..........................................................................110
Atributos de
ruta....................................................................................111
BGP externo e interno
...........................................................................112
Configuración de grupos de interlocutores e interlocutores
BGP............115 Configuración de un interlocutor BGP
.............................................117 Configuración de
un grupo de interlocutores IBGP ..........................117
Comprobación de la configuración
BGP.................................................119
Configuración de
seguridad..........................................................................120
Autenticación de vecinos BGP
...............................................................120
Rechazo de rutas
predeterminadas........................................................121
Notificación de ruta
condicional......................................................125
Establecimiento del peso de la
ruta.................................................126
Establecimiento datributos de
ruta..................................................126
Capítulo 6 Enrutamiento basado en directivas 139
Vista general del enrutamiento basado en
directivas....................................140 Listas de acceso
extendidas...................................................................140
Grupos de coincidencias
........................................................................141
Grupos de
acciones................................................................................141
Configuración de una lista de acceso
extendida.....................................143 Configuración de
un grupo de coincidencias
.........................................145 Configuración de un
grupo de acciones
.................................................145 Configuración
de una directiva de
PBR..................................................146 Enlace de
una directiva de enrutamiento basado en
directivas..............146
Enlace de una directiva de enrutamiento basado en directivas a una
interfaz
..............................................................................146
Enlace de una directiva de enrutamiento basado en directivas a una
zona...................................................................................147
Enlace de una directiva de enrutamiento basado en directivas a un
enrutador
virtual.......................................................................147
Visualización de la salida de enrutamiento basado en
directivas..................147 Visualización de una lista de
acceso extendida......................................147
Visualización de un grupo de
coincidencias...........................................148
Visualización de un grupo de
acciones...................................................148
Visualización de la configuración de una directiva de
enrutamiento
basado en directivas
.......................................................................149
Visualización de la configuración completa de enrutamiento basado
en
directivas
........................................................................................150
Ejemplo de PBR avanzado
...........................................................................150
Vista general
................................................................................................157
Direcciones multicast
............................................................................158
Reenvío por rutas inversas
....................................................................158
Capítulo 8 Protocolo de administración de grupos de Internet
165
Vista general
................................................................................................166
Hosts
.....................................................................................................166
Enrutadores
multicast............................................................................167
Configuración de una lista de accesos para grupos aceptados
...............168 Configuración de
IGMP..........................................................................169
Verificación de una configuración de IGMP
...........................................171 Parámetros
operativos de
IGMP.............................................................172
Proxy de
IGMP.............................................................................................173
Informes de miembros en sentido ascendente hacia el origen
..............174 Datos multicast en sentido descendente a los
receptores ......................175 Configuración del proxy de
IGMP ..........................................................176
Configuración de un proxy de IGMP en una
interfaz..............................176 Directivas multicast para
configuraciones de IGMP y proxy de IGMP ....178
Creación de una directiva de grupo multicast para IGMP
................178 Creación de una configuración de proxy de
IGMP...........................178
Configuración de un proxy de remitente de
IGMP.................................185
Capítulo 9 Multicast independiente de protocolo 191
Vista general
................................................................................................192
PIM-SM..................................................................................................193
Habilitación e inhabilitación de PIM-SM en
interfaces............................200 Habilitación de PIM-SM en
una interfaz...........................................200
Desactivación de PIM-SM en una
interfaz........................................200
Directivas de grupo multicast
................................................................200
Mensajes
Static-RP-BSR...................................................................201
Mensajes
Join-Prune........................................................................201
Definición de una directiva de grupo multicast para
PIM-SM...........201
Consideraciones sobre seguridad
.................................................................211
Restricción de grupos multicast
.............................................................211
Restricción de orígenes multicast
..........................................................212
Restricción de puntos de
encuentro.......................................................213
Parámetros de la interfaz
PIM-SM................................................................214
Definición de una directiva
vecina.........................................................214
Definición de un límite bootstrap
..........................................................215
Configuración de un punto de encuentro del proxy
.....................................215 PIM-SM e IGMPv3
........................................................................................225
Capítulo 10 Protocolo de descubrimiento de enrutador de ICMP
227
Vista general
................................................................................................227
Configuración del protocolo de descubrimiento de enrutador de
ICMP........228
desde WebUI
..................................................................................228
Configuración del protocolo de descubrimiento del enrutador de
ICMP
Deshabilitación de
IRDP...............................................................................231
Visualización de los ajustes de
IRDP.............................................................231
Convenciones del documento
.........................................................................
vi Convenciones de la interfaz de usuario
web............................................. vi Convenciones de
interfaz de línea de comandos
...................................... vi Convenciones de
nomenclatura y conjuntos de caracteres...................... vii
Convenciones para las ilustraciones
....................................................... viii
Asistencia y documentación
técnica................................................................ix
Introducción a la traducción de direcciones
.....................................................1 Traducción
de direcciones de red de origen
..............................................1 Traducción de
direcciones de red de
destino.............................................3
NAT-Dst basada en
directivas..............................................................4
Dirección IP
asignada..........................................................................6
IP virtual
.............................................................................................6
Contenido xxix
Ejemplo: NAT-Dst desde un rango de direcciones IP a una sola
dirección
IP.......................................................................................10
Ejemplo: NAT-Dst entre rangos de direcciones
IP....................................10 Naturaleza direccional de
NAT-Src y NAT-Dst
................................................11
Capítulo 2 Traducción de direcciones de red de origen
13
Introducción a NAT-Src
..................................................................................13
NAT-Src desde un conjunto DIP con PAT habilitada
.......................................15
Ejemplo: NAT-Src con PAT inhabilitada
...................................................18 NAT-Src desde
un conjunto de DIP con desplazamiento de
direcciones.........20
Ejemplo: NAT-Src con desplazamiento de
direcciones.............................21 NAT-Src desde la
dirección IP de la interfaz de salida
....................................24
Ejemplo: NAT-Src sin DIP
........................................................................24
Capítulo 3 Traducción de direcciones de red de destino
27
Introducción a
NAT-Dst..................................................................................28
Flujo de paquetes para
NAT-Dst...............................................................29
Enrutamiento para
NAT-Dst.....................................................................32
pero separadas por un
enrutador................................................34
Ejemplo: Direcciones separadas por una
interfaz..............................34
NAT-Dst: Asignación de “1:1”
........................................................................35
Ejemplo: Traducción de destinos
“1:1”....................................................36
Traducción de una dirección a múltiples
direcciones...............................38
Ejemplo: Traducción de destinos
“n:1”....................................................41
NAT-Dst:Asignación de “n:n”
.........................................................................44
Ejemplo: NAT-dst con asignación de
puertos...........................................47 NAT-Src y
NAT-Dst en la misma directiva
......................................................50
Ejemplo: NAT-Src y NAT-Dst
combinadas................................................50
Direcciones IP
asignadas................................................................................63
MIP y la zona
Global................................................................................65
MIP-Same-as-Untrust
...............................................................................71
Ejemplo: MIP en la interfaz
Untrust...................................................72
Agrupamiento de
MIP..............................................................................80
Ejemplo: Agrupamiento de MIP con directivas de celdas múltiples
...80
Ejemplo: Eliminación de una configuración VIP
................................85 Ejemplo: VIP con servicios
personalizados y de múltiples puertos ....85
Índice
........................................................................................................................IX-I
Convenciones del documento
.......................................................................
viii Convenciones de la interfaz de usuario
web........................................... viii Convenciones de
interfaz de línea de comandos ....................................
viii Convenciones de nomenclatura y conjuntos de
caracteres....................... ix Convenciones para las
ilustraciones
..........................................................x
Asistencia y documentación
técnica................................................................xi
Mensaje de bienvenida de inicio de
sesión.....................................................11
Ejemplo: Crear un mensaje de bienvenida de inicio de
sesión.................11
Capítulo 2 Servidores de autenticación 13
Tipos de servidores de autenticación
.............................................................13
Base de datos
local.........................................................................................15
Ejemplo: Tiempo de espera de la base de datos local
..............................16 Servidores de autenticación
externos.............................................................17
Propiedades del objeto “servidor de
autenticación”.................................18 Tipos de
servidores de autenticación
.............................................................19
Servicio de autenticación remota de usuarios de acceso
telefónico..........19 Propiedades del objeto servidor de
autenticación RADIUS ................20 Características y tipos de
usuarios admitidos ....................................21 Archivo
de diccionario de
RADIUS....................................................22 RADIUS
Access Challenge
.................................................................23
Mejoras de RADIUS compatibles para los usuarios Auth y
XAuth......25
SecurID....................................................................................................28
Propiedades del objeto servidor de autenticación SecurID
................29 Características y tipos de usuarios admitidos
....................................30
Sistema plus de control de acceso de control de acceso de terminal
Plus
(TACACS+).......................................................................................32
Propiedades del objeto del servidor
TACACS+.................................33
Pioridad de la autenticación de administrador
...............................................33
Definición de los servidores de autenticación
predeterminados.....................40 Ejemplo: Cambiar los
servidores de autenticación predeterminados ....... 41
Capítulo 3 Autenticación de infranet 43
Solución de control de acceso
unificado.........................................................43
Funcionamiento del cortafuegos con el controlador de
infranet.....................45 Configuración de la autenticación
de infranet
................................................46
Capítulo 4 Usuarios de autenticación 47
Referencias a usuarios autenticados en
directivas..........................................48
Autenticación en tiempo de ejecución
.....................................................48
Autenticación de comprobación previa a la directiva
(WebAuth).............49
locales)..............................................................................................53
Ejemplo: Autenticación en tiempo de ejecución (usuario
externo)...........54 Ejemplo: Autenticación en tiempo de ejecución
(grupo de usuarios
Capítulo 5 Usuarios IKE, XAuth y L2TP 69
Usuarios y grupos de usuarios IKE
.................................................................69
Ejemplo: Definir usuarios
IKE..................................................................70
Ejemplo: Creación de un grupo de usuarios IKE
......................................71 Referencias a usuarios IKE
en puertas de enlace .....................................72
Usuarios y grupos de usuarios XAuth
.............................................................72
Registro de eventos para el modo IKE
.....................................................74 Usuarios
XAuth en negociaciones IKE
.....................................................74
Ejemplo: Autenticación XAuth (usuario
local)....................................76 Ejemplo: Autenticación
de XAuth (grupo de usuarios local)...............78 Ejemplo:
Autenticación XAuth (usuario externo)
...............................79 Ejemplo: Autenticación XAuth
(grupo de usuarios externo)...............81 Ejemplo: Autenticación
y asignación de direcciones
XAuth (Local User Group)
...........................................................84
Cliente XAuth
..........................................................................................88
Ejemplo: Servidores de autenticación L2TP locales y externos
................90
Capítulo 6 Autenticación extensible para interfaces inalámbricas y
Ethernet 93
Vista general
..................................................................................................94
Tipos de EAP admitidos
.................................................................................94
Habilitación e inhabilitación de la autenticación
802.1X................................ 95
Interfaces Ethernet
..................................................................................95
Interfaces
inalámbricas............................................................................95
Configuración de las opciones del servidor de
autenticación........................100 Especificar un servidor de
autenticación................................................100
Interfaces
Ethernet..........................................................................100
Interfaces
inalámbricas...................................................................100
Ejemplos de
configuración...........................................................................104
Configuración del dispositivo de seguridad con un cliente
conectado
inalámbrica.....................................................................................107
Índice
........................................................................................................................IX-I
Convenciones del documento
..........................................................................
v Convenciones de la interfaz de usuario
web..............................................v Convenciones de
interfaz de línea de comandos
...................................... vi Convenciones de
nomenclatura y conjuntos de caracteres.......................vi
Convenciones para las ilustraciones
....................................................... viii
Asistencia y documentación
técnica................................................................ix
Vista general
....................................................................................................2
Objetos Vsys
....................................................................................................4
Acceso como administrador
Vsys.....................................................................8
Perfiles del sistema virtual
...............................................................................9
Anulación de una alarma de límite de sesiones alcanzado
................14 Eliminación de un perfil de
vsys..............................................................15
Visualización de las configuraciones de vsys
...........................................15
Visualización de
anulaciones.............................................................15
Visualización de un perfil
..................................................................16
Visualización de estadísticas de
sesión..............................................17
compartido a modo razonable
..........................................................24
Configuración de un método para volver al modo compartido
................27 Establecimiento de un peso fijo de la CPU de
vsys raíz............................28
Vsys y redes privadas virtuales
......................................................................29
Visualización de asociaciones de seguridad
.............................................29 Visualización de
las cookies de
IKE..........................................................30
Programador de
directivas.............................................................................31
Creación de un programador de directivas
..............................................31 Vinculación de un
programa de directivas a una directiva....................... 32
Visualización de programas de directivas
................................................32 Eliminación de
un programa de
directivas...............................................32
Capítulo 2 Clasificación del tráfico 33
Vista general
..................................................................................................33
Clasificación del
tráfico............................................................................33
Clasificación del tráfico de
tránsito..........................................................34
Interfaces compartidas y
dedicadas.........................................................39
Capítulo 3 Clasificación del tráfico según VLAN 43
Vista general
..................................................................................................43
Redes
VLAN.............................................................................................44
VLAN con Vsys
........................................................................................45
Configuración de sistemas virtuales de capa 2
............................................... 46 Ejemplo 1:
Configuración de un solo
puerto......................................47 Ejemplo 2:
Configuración de dos agregados de 4 puertos con zonas
Untrust
separadas.......................................................................51
Ejemplo 3: Configurar dos agregados de 4 puertos que
comparten
Comunicación entre sistemas virtuales
..........................................................66
Reetiquetado de VLAN
...................................................................................70
Vista general
..................................................................................................73
Designación de un rango IP al sistema raíz
....................................................74
Configuración de la clasificación del tráfico según IP
.....................................75
Convenciones del documento
..........................................................................
v Convenciones de la interfaz de usuario
web............................................. vi Convenciones de
interfaz de línea de comandos
...................................... vi Convenciones de
nomenclatura y conjuntos de caracteres...................... vii
Convenciones para las ilustraciones
....................................................... viii
Asistencia y documentación
técnica................................................................ix
Vista general de la alta disponibilidad
..............................................................1
Introducción al protocolo NSRP
.......................................................................2
Clústeres NSRP
..............................................................................................10
Nombres de clúster
.................................................................................11
Sincronización del archivo
................................................................19
Sincronización de la
configuración....................................................19
Sincronización de ruta
......................................................................20
Sincronización de objetos en tiempo de ejecución
............................21 Sincronización del reloj del sistema
..................................................21
Capítulo 2 Redundancia de interfaces y conmutación por error
43
Interfaces y zonas
redundantes......................................................................43
Ajustes del tiempo de
espera...................................................................44
Interfaces
agregadas................................................................................45
Supervisión de objetos de NSRP para activar la conmutación por
error .........52 Módulo de seguridad
...............................................................................54
Interfaz
física...........................................................................................54
Objetos de
zona.......................................................................................54
Objetos IP sometidos a
seguimiento........................................................55
Seguimiento de IP para conmutación por error del
dispositivo................57
Cambio en caso de fallo del grupo del dispositivo de seguridad
virtual .......... 58 Cambio en caso de fallo del sistema
virtual....................................................58
Cambio en caso de fallo del
dispositivo..........................................................59
Ejemplos de
configuración.............................................................................60
Configuración de seguimiento IP para el cambio en caso de fallo del
dispositivo.........................................................................................60
Configuración de un túnel VPN
redundante.............................................63
Configuración de interfaces de seguridad virtuales
.................................. 67 Configuración de túneles
activos dobles ..................................................71
Configuración del cambio en caso de fallo de la interfaz con
el
seguimiento de IP
.............................................................................75
Configuración de los pesos de cambio en caso de fallo del túnel
.............78 Configuración de la conmutación por error del
sistema virtual................84
Índice
........................................................................................................................IX-I
Acerca de este volumen ix
Convenciones del documento
.........................................................................
ix Convenciones de la interfaz de usuario
web..............................................x Convenciones de
interfaz de línea de comandos
.......................................x Convenciones de
nomenclatura y conjuntos de caracteres....................... xi
Convenciones para las ilustraciones
........................................................xii
Asistencia y documentación
técnica..............................................................
xiii
Introducción de
WAN.......................................................................................1
Serie..........................................................................................................2
T1..............................................................................................................3
E1..............................................................................................................3
T3..............................................................................................................4
E3..............................................................................................................5
RDSI
..........................................................................................................5
Tipo de
conmutador..........................................................................26
SPID..................................................................................................26
Negociación TEI
................................................................................26
Opciones de encapsulado
PPP.................................................................35
Perfil de acceso
PPP..........................................................................36
Método de autenticación
PPP............................................................37
Contraseña........................................................................................37
Encapsulado de conexión
múltiple.................................................................43
Vista
general............................................................................................43
Configuración básica del grupo de conexión
múltiple..............................44
Ejemplos de configuración de la interfaz
WAN...............................................50 Configuración
de una interfaz serie
.........................................................51
Configuración de una interfaz
T1.............................................................52
Configuración de una interfaz
E1.............................................................53
Configuración de una interfaz
T3.............................................................53
Configuración de una interfaz
E3.............................................................54
Configuración de un dispositivo para conectividad de RDSI
....................54 Paso 1: Selección del tipo de conmutador
RDSI.......................................55 Paso 2: Configuración
de un perfil
PPP....................................................55 Paso 3:
Configuración de la interfaz RDSI BRI
.........................................55
Acceso telefónico a un solo
destino...................................................56 Acceso
telefónico utilizando la interfaz de
marcador.........................56 Uso del modo de línea
arrendada......................................................60
Paso 4: Enrutamiento de tráfico al destino
..............................................61 Ejemplos de
configuración de
encapsulado....................................................62
Configuración del encapsulado
PPP.........................................................63
Configuración del encapsulado
MLPPP....................................................64
Configuración del encapsulado de retransmisión de
tramas....................65 Configuración del encapsulado
MLFR......................................................66
Configuración del encapsulado HDLC de
Cisco........................................67
Vista general de la línea de abonado digital
...................................................69 Modo de
transferencia
asíncrona.............................................................70
Calidad de servicio
ATM....................................................................71
Protocolo punto a punto