Curso Avanzado de Gestión y Administración de

Firewalls Juniper
 Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007

Tabla de Contenidos

1 Conexión en modo línea de comandos _______________________________ 3

2 Zonas __________________________________________________________ 4
3 Interfaces ______________________________________________________ 5
3.1 Subinterfaces ___________________________________________________________ 5
3.2 IP Secundaria ___________________________________________________________ 5
3.3 MIP ( IP mapeada ) ______________________________________________________ 6
3.4 DIP ( IP Dinámica ) ______________________________________________________ 7
3.5 VIP ( Virtual IP ) ________________________________________________________ 8
3.6 DHCP _________________________________________________________________ 9
4 Filtrado Web___________________________________________________ 11
5 Objetos _______________________________________________________ 12
5.1 Usuarios ______________________________________________________________ 12
5.2 Schedules _____________________________________________________________ 12
6 Políticas _______________________________________________________ 14

Página 2 de 14
 Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007

1 Conexión en modo línea de comandos

Si la conexión se realiza por telnet o ssh sólo tendremos que poner login y password para obtener la
conexión.

Si nos queremos conectar mediante el puerto de consola hay que configurar los siguientes
parámetros en hyperterminal.

Una vez conectados nos aparece el prompt del sistema :

Página 3 de 14
 Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007

2 Zonas

Anteriormente habíamos visto que hay 3 tipos de zonas :

- Zonas de Seguridad : Untrust, Trust, DMZ, Global, V1-Untrust, V1-Trust, V1-DMZ

- Zona de Tunel : Untrust-tun
- Zonas de Función : Null, Self, MGT, HA, VLAN

- Zona Global : No tiene asociado ningún interface, en esta zona se crean los MIPs ( Mapped
IPs ) y VIPs ( Virtual IPs ).

- Zona Null : Sirve para almacenar los interfaces que no están asociados a ninguna zona.

- Zona MGT: Podemos asociar un interface sólo para gestión asociándolo a esta zona.

- Zona HA : Para configuraciones en alta disponibilidad, los firewalls se replican la

configuración a través de esta zona.

- Zona Self : Cuando nos conectamos al firewall por http, telnet, ssh … nos estamos conectando
a esta zona.

- Zona VLAN : Tiene asociado el interface VLAN1, que se utiliza para gestionar el firewall
cuando está funcionando en modo transparente.

Ejercicio:

- Crear una zona en modo línea de comandos :

set zone name nombre_de_zona

set zone nombre_de__zona vrouter trust-vr

- Modificar la zona creada

- Eliminar la zona creada

Página 4 de 14
 Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007

3 Interfaces

3.1 Subinterfaces

Se puede dividir un interface físico en varios subinterfaces virtuales. Cada subinterfaces toma el
ancho de banda necesario del interface físico al que está conectada. Los nombre de las
subinterfaces son ethernet1.1, trust.1 …

A diferencia de una interface normal, existe el campo “VLAN Tag”, donde tenemos que indicar el
número de VLAN del switch al que va conectado este interface.

Ejercicio :

- Crear 2 subinterfaces y asignarlas a zonas distintas.

- Comprobar el estado de los interfaces mediante consola
- Cambiar las zonas a las que están asociadas las subinterfaces mediante consola.
- Cambiar las opciones de gestión mediante consola
- Cambiar la IP de una subinterface mediante consola

3.2 IP Secundaria

En ocasiones necesitamos que una interface tenga varias direccines IP. Esta característica no se
puede aplicar a las interfaces que están asociadas a la zona Untrust.

- No se pueden solapar la nueva red y las redes existentes.

- Siempre tiene las mismas opciones de gestión que la IP primaria
- No se puede configurar un gateway para una IP secundaria.
- Cuando se crea una IP secundaria, el firewall crea automáticamente la entrada en la tabla de
rutas.
Vamos a Network > Interfaces > Edit de un interface > Secondary IP

Página 5 de 14
 Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007

Ejercicio :

- Crear varias IP secundarias y comprobar que se modifica la tabla de rutas

- Comprobar que no nos deja crear subredes que se solapen con las ya existentes
- Crear una IP secundaria mediante línea de comandos.

3.3 MIP ( IP mapeada )

Una MIP es una traslación 1 a 1 del tráfico destinado a una IP hacia otra dirección. Se pueden crear
MIP para interfaces de tipo tunel y para interfaces en la zona Untrust.

Las MIP permiten que el tráfico entrante llegue a direcciones privadas de una zona cuyo interface
está en modo NAT

Los parámetros a configurar son los siguientes :

- MIP / máscara : Es la IP pública que recibe el tráfico.

- Host IP : Es la IP privada del equipo al que se redirige el tráfico.
- VRouter : Virtual router al que pertenece la IP

Página 6 de 14
 Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007

Ejercicios :

- Crear una MIP que redireccione el tráfico a un servidor web

- Crear una MIP en modo consola y hacer la comprobación via http

3.4 DIP ( IP Dinámica )

Una DIP es un rango de direcciones IP del que el firewall puede elegir dinámicamente al hacer
NAT de la dirección origen.

Se pueden crear DIPs para interfaces físicos y subinterfaces.

Las siguientes direcciones hay que excluirlas de un DIP :

- Dirección de gestión del WebUI.

- La IP del interface y la IP de gateway
- Cualquier MIP y VIP definidas

Se configuran los siguientes parámetros :

- ID : Número que identifica el DIP

- IP Address Range : La primera y última dirección del rango de direcciones
- Port Translation

Página 7 de 14
 Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007

Ejercicios :

- Crear un DIP que utilice una dirección de la zona Trust

- Crear un DIP en modo consola y hacer la comprobación via http

3.5 VIP ( Virtual IP )

Las VIP mapean el tráfico recibido en un puerto de una dirección IP a otra dirección IP utilizando
el mismo puerto u otro distinto.

Al crear una VIP en un interface de la zona Untrust se crea una entrada en la zona Global, que
contiene todas las VIPs de todos los interfaces, independientemente de la zona a la que pertenece
el interface.

Podemos crear la VIP con misma IP del interface del firwall o en otra dirección diferente.

Una vez elegida la IP tenemos que añadir servicios a esta VIP, se pueden definir un máximo de 64
servicios por VIP.

Los parámetros a configurar son los siguientes :

- Virtual Port : Puerto al que se establece la conexión

- Map To Service : Elegimos el servicio que vamos a mapear ( puerto destino )
- Map to IP : Dirección IP del equipo que presta el servicio.
- Server Auto Detection : Comprueba que el equipo destino este activo.

Página 8 de 14
 Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007

Ejercicios :

- Crear un VIP que redirija el tráfico de una dirección de la zona Untrust en el puerto 8080 al
puerto 80 de un equipo de la zona Trust
- Crear mediante consola un VIP que redirija el tráfico de una dirección de la zona Untrust en el
puerto 2222 al puerto 22 de un equipo de la zona Trust

3.6 DHCP

Podemos configurar el firewall para que actúe como servidor de dhcp.

Vamos a Network > DHCP > Trust > Edit

- Configuramos si es cliente, relay, servidor o deshabilitamos la opción.

- Configuramos el lease de la dirección IP, Gateway, máscara de red y DNS.

Página 9 de 14
 Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007

El siguiente paso es configurar las direcciones que queremos ofrecer. Vamos a “Addresses” y
creamos un nuevo rango, que puede ser dinámico o reservado para una determinada MAC.

Ejercicio :

- Crear un rango de direcciones por DHCP para la zona Trust.

- Crear una reserva de dirección IP por la dirección MAC.

Página 10 de 14
 Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007

4 Filtrado Web

Previene el acceso a contenidos web no apropiados, se basa en categorías predefinidas a las que se
pueden añadir de forma personalizada.

Hay 3 métodos :

- Integrado ( SurfControl ) : El firewall intercepta cada petición http, y determina la categoría a la

que pertence comprobando la base de datos local o enviando la petición al servidor de SurfControl.
Una vez categorizada la petición permite o deniega el acceso dependiendo del perfil.

- Redirigido ( SurfControl ) : Se envían las peticiones http al servidor de SurfControl. Una vez
categorizada la petición permite o deniega el acceso dependiendo del perfil.

- Redirigido ( Websense ) : Se envían las petciciones http al servidor de WebSense permitiendo o

bloqueando el acceso basándose en URLs, nombres de dominio y direcciones IP.

Elegimos la opción “Integrada de SurfControl” y elegimos el servidor correspondiente a Europa.

Marcamos la opción “If connectivity to the Server is lost”, para que permita las conexiones.

Podemos observar las categorías predefinidas

Ejercicios :

- Crear categorías y añadirles web

- Crear perfiles y añadirles categorías.

Página 11 de 14
 Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007

5 Objetos

5.1 Usuarios

Podemos definir usuarios locales sobre la máquina para permitir / denegar el acceso a políticas.

Ejercicio :

- Crear Usuarios y grupos de usuarios

5.2 Schedules

Los objetos programados se utilizan para limitar el uso de políticas y controlar las horas de uso de
ciertas aplicaciones. Se pueden configurar como repeticiones o de sólo una ejecución.

Página 12 de 14
 Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007

Configuramos los siguientes parámetros :

- Nombre
- Modo : Repetitivo o sólo una ejecución.
- Horas de ejecución

Ejercicios :

- Crear varios Schedules con diferentes configuraciones horarias que se ejecuten de forma
repetitiva
- Crear varios Schedules con diferentes configuraciones horarias que se ejecuten una sola vez

Página 13 de 14
 Grupo Raxon Gestión y Administración Avanzada de Firewalls Juniper Junio 2007

6 Políticas

Ejercicios :

- Crear una política en la que utilizamos el MIP definido anteriormente.

- Crear una política en la que utilizamos el DIP definido anteriormente
- Crear una política en la que utilizamos el VIP definido anteriormente
- Crear una política en la que utilizamos Web Filtering con el perfil por defecto
- Crear una política en la que utilizamos Web Filtering con el perfil definido anteriormente.
- Añadir nuevas direcciones webs a las categorías definidas anteriormente
- Crear una política con NAT en la dirección origen
- Crear una política con NAT en la dirección destino
- Crear una política que requiera la autenticación de un usuario definido en la máquina.
- Crear una política que utilice los objetos Schedule definidos anteriormente

Página 14 de 14