Formalmente hablamos de Juniper Secure Access y Junos Pulse Server.
Bueno sin más rollo, os dejo el resumen de los diez términos clave para configurar y entender estas maravillas:
-Recursos. Los recursos son aquellas aplicaciones, ficheros o sistemas a los cuales se va a dar permiso de acceso. La definición de estos recursos deben ir acompañados de una política de seguridad de acceso a ellos. Y posteriormente para ser utilizado se debe asociar a un rol como mínimo.
Resource-Policy(Utilizar mejor la autopolicy). Es las reglas de seguridad que se aplican a los roles para poder acceder a los recuros. Las mismas pueden ser modificadas en tiempo real por comprobaciones del host-checker.
-Role-Mapping. Es una serie de reglas consecutivas, de más específico a más genérico, que asignan finalmente unos roles. Estas reglas se pueden hacer por:
-Nombre de usuario
-Nombre de grupo del directorio activo
-Nombre de atributos de LDAP/certificados de usuario.
-Dia y/o hora de conexión.
-Ubicación.
El resultado es la asignación de los roles a los Realms o perfiles de conexión.Comprueba todos los roles, siempre y cuando no se especifique lo contrario.
-REALM. Conjunto de usurios o escenario de autenticación, que es lo que más se parece a un perfil de conexión que engloba desde sign-in page, a la forma de autenticación, los roles, los recursos, las reglas de host-checker o la personalización de la web.
Dentro se configura:
-Las Authentication Policies.
-Host checker
-Evaluar las condiciones.
-Requerirlo y aplicarlo.
-Sing-in Pages (Puntos de entrada). Agrupados en Sing-in Policies de los cuales por defecto existen dos:
-Path de administración "http://x.x.x.x/admin"
-Path de entrada de los usuarios "http://x.x.x.x"
Pero pueden ser tan variados como queramos, permitiendo una asociación de realm por puntos de entradas. Eso implica separación por idioma, recursos publicados, países, o servidor de validación.
Un usuario solo puede entrar a un solo REALM.
-Tipos de tunelización disponibles.
-Client-less(Webification). Portal Web donde se publican las aplicaciones disponibles para ese realm. Acceso vía navegador.
-Network Connect. Modo tunel SSL emulando un cliente IPSEC clásico.
-JSAM-.Port forwarding por puerto. Queremos solo las conexiones a Citrix, de forma que localmente se escucha al localhost:3389, se encapsula y se envía. Javascript multiplataforma.
-WSAM. Port forwarding muy fléxible. Se puede interceptar puertos pero sobretodo útil a nivel de aplicación. Por ejemplo, se puede monitorizar el proceso iexplorer.exe, y todos los puertos que abra, se encapsulan y se envía. Es un active-X, limitado a Windows.
-Aplicaciones cliente-servidor integradas. Se puede inyectar texto en la aplicación cliente para emular un single-Sign-ON. Muy potente.
-End-point-Security(Host checker). Javascript para la pre/post-comprobaciones del cliente. Puedes comprobar el idioma del cliente, el navegador, si tiene un fichero abierto, los parches del sistema actualizados. Se suele utilizar para seleccionar el REALM adecuado para el usuario.
El log, con un simple click, vas haciendo queries. Muy práctico y potente.
6 comentarios:
Buen Post! Y sin duda, un buen dispositivo!
Que tal Aventail de Sonicwall?? Saludos.
Miguel Angel, aventail es la única competencia que tienen los SA y MAGs. Un día hice un par de cambios en uno, pero no lo conozco lo suficiente. Muy recomendable también por la opinión de la gente que lo tiene instalado.
rov, tengo la siguiente pregunta, es posible utilizar EAP messages con Junos Pulse Agent para realizar la evaluacion del host ? la duda surge debido a que en el proceso de autenticacion con 802.1x la evaluacion de los host ocurre antes de que estos obtengan IP.
TNC released an “IF-T Binding to Tunneled EAP Methods“ specification
allowing for assessments of endpoints before having TCP/IP access.
agradezco cualquier informacion que me pueda brindar
Oscar, veo que he visto tu comentario tarde. No obstante, la respuesta es afirmativa. Lo puedes hacer gracias al host checker pero también existen reglas de condiciones para asignación del REALM. Puedes basar la decisión en función de cualquier parámetro de un certificado cliente, por ejemplo.
Si tienes más dudas, ya sabes.
Sería excente si algún día hicieras algún tutorial explicando como configurar un Juniper SA para que autentique y valide los usuarios por DNIE o certificado de la FNTM.
Publicar un comentario