Manual Basico Juniper SRX

Information Security Department
Manual ISB:
Configuraciones Bsicas Firewall Juniper SRX
Octubre, 2012
Bolivian Office:
Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486
Cochabamba-Bolivia
1. INTRODUCCION A JUNOS
Junos es un sistema operativo de red fiable y de alto rendimiento con funciones de

enrutamiento, conmutacin y seguridad que reduce el tiempo de despliegue de nuevos
servicios y disminuye los costes de funcionamiento de redes hasta un 41%.
Junos es un sistema diseado para replantear completamente el modo en que funcionan
las redes.
Un sistema operativo: Reduce el tiempo y el esfuerzo de planificacin, despliegue y

funcionamiento de la infraestructura de red.
Una serie de actualizaciones: Ofrece un suministro regular de nuevas funciones
con un ritmo continuado y de eficacia comprobada.
Una arquitectura de software modular: Ofrece un software de alta disponibilidad y
escalable capaz de adaptarse a necesidades cambiantes.
Junos tiene la propiedad de ser carrier class, es decir todos los dispositivos Juniper, de
cualquier serie y cualquier modelo utiliza Junos.
Adems maneja los procesos de manera paralela e independiente.
Bolivian Office:
Cochabamba-Bolivia
COMPARE
ROLLBACK
COMMIT
Para la fcil administracin del archivo de configuracin, Junos maneja 3 opciones bsicas:
Commit: Aplica los cambios realizados al archivo de configuracin que esta corriendo en el
firewall.
Compare: Muestra las diferencias entre el archivo de configuracin con los cambios
realizados y el archivo de configuracin que esta corriendo en el firewall.
Rollback: Regresa al archivo de configuracin previo al ultimo commit.
Bolivian Office:
Cochabamba-Bolivia
2. COMPLEMENTOS
3. PARA CONECTARSE AL DISPOSITIVO
Consola
Consola Remota
WebUI (Interfaz Web)
Telnet, SSH
WEBUI (Interfaz Web)

El equipo esta operable cuando el
botn de status esta verde.
Para conectarse debe estar en la
misma red que la interfaz del
firewall.
Su Gateway debe apuntar al firewall
En el navegador ingresar la direccin
ip de la interfaz por la que nos
conectaremos.
Bolivian Office:
Cochabamba-Bolivia
4. INTERFACES
4.1. VISTA
Una interfaz o puerto es la compuerta para la entrada o salida de informacin del firewall.
Dependiendo del modelo, se puede tener interfaces Fast Ethernet o Gigabit Ethernet.
Cada interfaz fsica puede tener varias interfaces lgicas, las configuraciones de red se
hacen en la interfaz lgica.
1.- Opcin en men para administrar interfaces.

2.- Interfaz fsica.
3.- Interfaz lgica.
4.- Opcin para editar la interfaz.
Bolivian Office:
Cochabamba-Bolivia
4.2. EDIT INTERFAZ LOGICA
1.- La zona de seguridad en la que se encuentra la interfaz.

2.- Para asignar una IP a la interfaz se debe marcar solo esta opcin.
3.- En esta parte se edita los datos de la interfaz: IP, Mascara.
Bolivian Office:
Cochabamba-Bolivia
5. RUTEO ESTATICO
El ruteo esttico, es la opcin ms bsica de ruteo del equipo. Generalmente se usa
para el acceso a internet y para llegar a redes que no conocemos. Tambin es comn
usar ruteo para conexiones de fibra ptica, VPN, etc.
5.1. VISTA
1.- Opcin de ruteo esttico en el men

2.- Ruta creada: 0.0.0.0/0 es a donde queremos llegar, por medio del siguiente salto:
200.129.89.2
3.- Opciones para aadir, editar y eliminar rutas.
Nota: La direccin de red 0.0.0.0/0 significa, cualquier IP. En este caso, este ruteo se utiliza
para salir a internet. Es decir, a cualquier IP (0.0.0.0/0) por medio de la IP 200.129.89.2
(Gateway de nuestro proveedor de internet).
Bolivian Office:
Cochabamba-Bolivia
5.2. ADD/EDIT RUTEO
Add
1.- Red/host a donde queremos llegar

2.- Siguiente salto
3.- Se puede seleccionar como siguiente salto una IP
4.- Se puede seleccionar como siguiente salto una interfaz del firewall
Bolivian Office:
Cochabamba-Bolivia
6. ZONAS DE SEGURIDAD
Las zonas de seguridad son una de las principales caractersticas del firewall Juniper.
Sirven para segmentar nuestra red de acuerdo a sus caractersticas, para as tener un
mayor nivel de control y proteccin en el permetro interno.
Por defecto se tienen la zona UNTRUST (De no confianza) en la que se coloca la
conexin a internet, y una zona TRUST (De confianza) en la que se encuentran
nuestros usuarios.
Podemos crear y asignar las zonas que necesitemos, de acuerdo a la organizacin de
la red.
6.1. VISTA
1.- Opcin de zonas en el men.

2.- Zonas creadas, con los datos mas importantes, sobretodo las interfaces que estn en la
zona y los protocolos y servicios que tiene permiso para acceder a esa zonas.
3.- Opciones de aadir, editar y eliminar zona.
Bolivian Office:
Cochabamba-Bolivia
6.2. ADD/EDIT ZONAS
Al crear o editar una zona, la opciones ms bsicas a configurar son:
Nombre de la zona, donde podemos elegir que se llamara.
Tipo de zona, security para hacer zonas de seguridad.
Interfaces, se elige las interfaces que estarn en la zona.
Bolivian Office:
Cochabamba-Bolivia
En la opcin Host inbound traffic se puede elegir los protocolos y servicios que tendrn
permiso para ingresar a la zona. Se elige por zona (host inbound traffic - zone) y por
interfaz (host inbound traffic - interface).
1.- Se puede elegir todos los puertos/servicios con la opcin all.

2.- Se puede elegir solamente algn(os) servicio(s)/protocolo(s).
Bolivian Office:
Cochabamba-Bolivia
7. POLITICAS
7.1. ADDRESS BOOK
A la hora de hacer polticas, es muy buena prctica tener todas las IPs identificadas
con un nombre y agruparlas en grupos que tengan permisos de acceso homogneos.
Para esto es que existen los address books, que son IPs asignadas a un nombre.
7.1.1. VISTA
1.- Opcin de address book en el men

2.- Pestaa de addresses
3.- Opciones de aadir, editar, eliminar addresses
4.- Address creada con sus datos
Bolivian Office:
Cochabamba-Bolivia
7.1.2. ADD/EDIT ADDRESS
1.- Zona a la que pertenecer el address

2.- Nombre que le daremos al address
3.- Se puede elegir entre una IP o un nombre de dominio
4.- Se elige el address set al que se desea asignar el address
5.- Opcin para crear un address set directamente
Nota: Un address puede ser tanto una maquina de nuestra red como una direccin en
internet o cualquier otro lado, ya sea IP o dominio.
Bolivian Office:
Cochabamba-Bolivia
7.2. ADRESS SET

Los address sets son grupos de address que se usaran en la poltica, para no tener
que seleccionar host por host.
7.2.1.
VISTA
1.- Opcin de address book en el men

2.- Pestaa para ver los address sets
3.- Opciones de aadir, editar, eliminar address sets
4.- Address sets existentes, con sus datos (zona, nombre, address incluidas)
Bolivian Office:
Cochabamba-Bolivia
7.2.2.
ADD/EDIT ADDRESS SET
1.- Zona y nombre del address set

2.- Address que se pueden incluir en la zona (izquierda) y address incluidas en
la zona (derecha)
Bolivian Office:
Cochabamba-Bolivia
7.3. POLITICAS
Las polticas tienen el principal objetivo de permitir o denegar trfico entre
zonas. Como criterio se puede elegir toda la zona, un grupo de hosts (address
set) o solamente un host (address).
Tambin se puede elegir las aplicaciones sobre las cuales actuara la poltica.
7.3.1.
VISTA
1.- Opcin de polticas en el men

2.- Opciones de aadir, editar, eliminar, clonar, desactivar y mover la poltica
3.- Filtro para visualizacin de polticas (De zona x a zona y)
4.- Poltica creada
Nota.- En la configuracin por defecto del firewall, ya hay una poltica que
permite cualquier tipo de trfico de la zona trust a la zona untrust
Bolivian Office:
Cochabamba-Bolivia
7.3.2.
ADD/EDIT POLITICA
1.- Nombre de la poltica

2.- Zona de origen
3.- Zona de destino
4.- Accin, puede ser permitir o denegar
5.- Address o address sets que se incluirn en la poltica en la zona de origen
6.- Address o address sets que se incluirn en la poltica en la zona de destino
7.- Aplicaciones con las que trabajara la poltica
8.- En este cuadro se pueden buscar las aplicaciones
Bolivian Office:
Cochabamba-Bolivia
7.3.3.
LOGS DE LAS POLITICAS
Los logs son un registro de toda la actividad en la que participo la poltica. En

estos se puede ver las IPs de origen y destino, el puerto, la hora, etc.
Se debe activar la opcin de registrar los logs en la pestaa Logging/count de
cada poltica para tener esta informacin.
1.- Opcin para habilitar el registro de los logs

2.- Opciones para que registre al iniciar y cerrar cada sesin
Bolivian Office:
Cochabamba-Bolivia
7.3.4.
LOGICA DE LAS POLITICAS

Cuando se tienen varias polticas de la misma zona de origen a la misma zona
de destino, estas deben estar en cierto orden de prioridad. La poltica que este
mas arriba tendr prioridad mas alta que la de abajo, esto se explica a
continuacin:
En la imagen de arriba se ve que existen dos polticas de la zona trust a la zona

untrust. La de abajo permite el acceso a cualquier direccin en untrust (internet)
desde la zona trust. La de arriba deniega el permiso a la pgina de los tiempos a
cualquier host de la zona trust. Por lo tanto, a pesar de que la poltica de abajo
permite acceso a cualquier pgina, la de arriba al tener mayor prioridad, deniega el
acceso a la pgina mencionada.
La misma lgica se puede aplicar de manera inversa, es decir bloquear todo y solo
permitir lo deseado.
De esta manera uno puede acomodar las polticas de acuerdo a las necesidades que
se presenten.
Bolivian Office:
Cochabamba-Bolivia
8. VPN (Virtual Private Network)

Una VPN es, como indica su nombre, una red privada virtual, que permite conectar 2
puntos por medio de internet u otra red, de manera segura, gracias al uso de
mtodos de autenticacin y encriptacin de datos.
La VPN que veremos a continuacin, es una VPN por tnel punto a punto. Para
configurarla se pasa por 2 fases: la primera que se encarga del mtodo de
autenticacin y la segunda de la encriptacin de los datos.
Cada fase cuenta con 3 etapas.
8.1. VISTA
1.- Opcin en el men para hacer VPN por tnel.

2.- Pestaa de Proposal: Primera etapa de la fase 1
3.- Pestaa de IKE Policy: Segunda etapa de la fase 1
4.- Pestaa de Gateway: Tercera etapa de la fase 1
5.- Opciones de aadir, editar, eliminar
Bolivian Office:
Cochabamba-Bolivia
8.2. PRIMERA FASE (IKE)
8.2.1.
PROPOSAL
El proposal de la primera fase, es donde se configura el mtodo que se usara para la

autenticacin (llaves pre compartidas, firmas rsa, etc), y los algoritmos que se usaran
para encriptar los datos de esta fase.
Bolivian Office:
Cochabamba-Bolivia
8.2.2.
IKE POLICY
1.- Nombre de la poltica IKE

2.- Modo: main
3.- Marcamos user defined y escogemos el proposal que creamos anteriormente
1.- Seleccionamos la pestaa de IKE Policy options

2.- Escogemos la opcin de llaves pre compartidas y escribimos cual ser nuestra
llave, podemos escoger entre Ascii o hexadecimal
Bolivian Office:
Cochabamba-Bolivia
8.2.3. GATEWAY
1.- Nombre del Gateway

2.- Poltica (poltica IKE creada anteriormente)
3.- Interfaz por la que saldr la VPN (Internet)
4.- Seleccionar esta opcin para hacer VPN por tnel
5.- IP publica del otro lado del tnel
Bolivian Office:
Cochabamba-Bolivia
8.3. SEGUNDA FASE (IPSEC)

8.3.1.
PROPOSAL
El proposal de la segunda fase, es donde se configuran los algoritmos que se usaran

para encriptar los datos una vez hecha la autenticacin.
Bolivian Office:
Cochabamba-Bolivia
8.3.2.
IPSEC POLICY
1.- Nombre de la poltica

2.- Elegir user defined y el proposal que creamos en la fase anterior
Bolivian Office:
Cochabamba-Bolivia
8.3.3.
AUTOKEY VPN
En este ultimo paso, se crea la VPN con todas las configuraciones
anteriores.
1.- Nombre de la VPN

2.- Gateway por el que saldr la VPN (el que creamos en la fase 1)
3.- Poltica IPSec
4.- Interfaz tnel de la VPN. La interfaz tnel, es una interfaz lgica que se define para
asignarle una VPN. Al igual que las dems interfaces, el tnel tiene que estar en una
zona y se deben hacer polticas para permitir los accesos.
5.- Establecer tneles: Inmediatamente
Nota.- Para levantar la VPN, debemos hacer un ruteo hacia la red que queremos llegar
y configurar como siguiente salto la interfaz tnel.
Bolivian Office:
Cochabamba-Bolivia
8.3.3.1. ADD/EDIT INTERFACE (AUTOKEY VPN)
1.- Unidad lgica de la interfaz (Cada VPN debe salir por una unidad lgica o tnel
distinto)
2.- Zona de la interfaz tnel
3.- Unumbered: La configuracin se hace por defecto
Bolivian Office:
Cochabamba-Bolivia
8.4. MONITOREO
Lo primero que se debe hacer para monitorear la VPN, es habilitar la opcin
en la parte de Autokey VPN:
Luego en la parte de monitor, en el men de VPN se aprecian las dos fases, es aqu
donde podemos darnos cuenta si la VPN esta arriba. En la fase 1 se ven los datos de la
VPN y su estado (Up o Down).
1.- Opcin en el men superior para monitorear

2.- Opcin en el men izquierdo para la fase 1 de VPN
3.- Datos de las VPNs configuradas (destino remoto, estado, etc.)
Bolivian Office:
Cochabamba-Bolivia
En la segunda fase, se puede ver las conexiones de entrada y salida de los tneles, es
decir por cada VPN se tienen 2 elementos en esta lista.
1.- Opcin en el men para ver esta fase

2.- Lista de conexiones entrantes y salientes de cada VPN
Bolivian Office:
Cochabamba-Bolivia
9. NAT
El NAT (Network Addres Translation) es un mecanismo que consiste en convertir las
IPs de una red a otra, para poder compartir datos entre las 2 redes no compatibles.
Existen varios tipos de NAT, ahora solo veremos el source NAT, que es el ms
utilizado.
9.1. SOURCE NAT

El source NAT consiste en convertir las IPs de una red, en una IP de otra red. Por
ejemplo esta configuracin se usa para lograr el acceso a internet, convirtiendo todas
las IPs de la red interna, en la IP publica que tenemos asignada.
1.- Opcin de Source NAT en el men

2.- Opcin para hacer el source NAT simple
3.- Lista de Rule Sets del NAT
4.- Lista de reglas del Rule Set seleccionado
5.- Opciones de aadir, editar, eliminar un Rule Set
6.- Opciones de aadir, editar, eliminar una regla
Nota.- Un Rule Set, es un conjunto de reglas que se aplican para el mismo origen y
destino.
Bolivian Office:
Cochabamba-Bolivia
9.1.1. ADD/EDIT RULE SET
1.- Nombre del Rule Set

2.- Origen, puede ser una zona, interfaz o routing instance. Generalmente elegimos zona.
3.- Destino, puede ser una zona, interfaz o routing instance. Generalmente elegimos zona.
4.- Reglas que tiene el rule set
5.- Opciones de aadir, editar, eliminar las reglas
Bolivian Office:
Cochabamba-Bolivia
9.1.2. ADD/EDIT REGLA
1.- Nombre de la regla

2.- Direcciones de origen
3.- Direcciones de destino
4.- Puertos
5.- Accin que se realizara; para el caso se utiliza la segunda
Bolivian Office:
Cochabamba-Bolivia
10. MANEJO DEL ARCHIVO DE CONFIGURACION ACTUAL

Es recomendable tener siempre una copia del archivo de configuracin del equipo,
en caso de que pase algo. Aqu veremos como descargar y cargar un archivo de
configuracin en el firewall.
10.1. Cargar un archivo de configuracin
1.- Opcin de mantenimiento en el men superior

2.- Opcin de cargar archivo en el men izquierdo
3.- Opcin para buscar el archivo de configuracin en nuestra maquina
4.- Botn para subir el archivo y hacer commit, colocndolo como actual
Bolivian Office:
Cochabamba-Bolivia
10.2. Descargar un archivo de configuracin
1.- Opcin de historial de archivos de configuracin en el men de la izquierda

2.- Lista de los ltimos archivos de configuracin
3.- Seleccionar download en el archivo que se desee descargar.
Nota.- El archivo de configuracin actual es el primero de la lista
Bolivian Office:
Cochabamba-Bolivia

Manual Basico Juniper SRX

Cargado por

Copyright:

Formatos disponibles

Manual Basico Juniper SRX

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual Basico Juniper SRX

Cargado por

Copyright:

Formatos disponibles

Information Security Department

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

Junos es un sistema operativo de red fiable y de alto rendimiento con funciones de

Un sistema operativo: Reduce el tiempo y el esfuerzo de planificacin, despliegue y

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

3. PARA CONECTARSE AL DISPOSITIVO

WEBUI (Interfaz Web)

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

1.- Opcin en men para administrar interfaces.

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

4.2. EDIT INTERFAZ LOGICA

1.- La zona de seguridad en la que se encuentra la interfaz.

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

1.- Opcin de ruteo esttico en el men

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

5.2. ADD/EDIT RUTEO

1.- Red/host a donde queremos llegar

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

1.- Opcin de zonas en el men.

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

6.2. ADD/EDIT ZONAS

Al crear o editar una zona, la opciones ms bsicas a configurar son:

Nombre de la zona, donde podemos elegir que se llamara.

Tipo de zona, security para hacer zonas de seguridad.

Interfaces, se elige las interfaces que estarn en la zona.

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

1.- Se puede elegir todos los puertos/servicios con la opcin all.

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

1.- Opcin de address book en el men

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

7.1.2. ADD/EDIT ADDRESS

1.- Zona a la que pertenecer el address

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

7.2. ADRESS SET

1.- Opcin de address book en el men

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

ADD/EDIT ADDRESS SET

1.- Zona y nombre del address set

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

1.- Opcin de polticas en el men

Calle Batalln Colorados No 2332 Edif. Murano, Dpto 1D Telf/Fax: 4681486

Information Security Department

1.- Nombre de la poltica