Primeros pasos y configuración del Firewall Juniper SRX300 con Junos OS 20.2R1

¡Bienvenido al emocionante mundo de la seguridad de red! Si acabas de adquirir un firewall Juniper SRX300 y estás listo para potenciar la protección de tu infraestructura, este artículo es tu hoja de ruta. Nos embarcaremos juntos en el viaje de su configuración inicial, explorando cada detalle para que tu experiencia sea fluida y exitosa. Usaremos la versión Junos OS 20.2R1, una base sólida para una seguridad robusta.

La serie SRX de Juniper Networks es conocida por su rendimiento, su avanzado conjunto de características de seguridad y la flexibilidad de Junos OS. El SRX300, en particular, es una elección excelente para oficinas remotas, pequeñas y medianas empresas, o incluso entornos de borde en organizaciones más grandes, ofreciendo un equilibrio perfecto entre capacidad y asequibilidad. ¡Prepárate para transformar tu postura de seguridad!

📦 Desembalaje y Primeras Conexiones Físicas

El primer paso, como en cualquier nueva aventura tecnológica, es desembalar tu nuevo equipo. Asegúrate de tener todos los componentes: el dispositivo SRX300, el cable de alimentación, el cable de consola (RJ-45 a DB-9 o USB) y los soportes de montaje (si vas a instalarlo en un rack). Aquí te dejo los pasos iniciales:

1. Ubicación Ideal: Coloca el SRX300 en un lugar fresco, seco y seguro, preferiblemente dentro de un rack o sobre una superficie estable, lejos de vibraciones y fuentes de calor.
2. Conexión de Alimentación: Conecta el cable de alimentación al puerto correspondiente en la parte trasera del SRX y luego a una toma de corriente. El dispositivo debería encenderse automáticamente, o tendrás un botón de encendido si tu modelo lo requiere. Observa los indicadores LED para confirmar que el equipo está recibiendo energía y arrancando.
3. Cable de Consola: Este es tu punto de entrada directo al cerebro del SRX. Conecta un extremo del cable de consola al puerto „Console” del SRX300 y el otro extremo a un puerto serie de tu ordenador (o a un adaptador USB a serie).
4. Conexiones de Red: Identifica los puertos de red. Típicamente, el SRX300 tendrá múltiples puertos Gigabit Ethernet. Planea cuál será tu interfaz de „confianza” (LAN interna) y tu interfaz „no confianza” (WAN/Internet). Por ejemplo, ge-0/0/0 para WAN y ge-0/0/1 para LAN.

💻 Acceso Inicial a la Interfaz de Línea de Comandos (CLI)

Ahora que el hardware está listo, es hora de meternos de lleno en la configuración. Necesitarás un software de emulación de terminal como PuTTY (Windows) o Screen (Linux/macOS) para acceder a la CLI. Configura tu sesión serial con los siguientes parámetros:

• Velocidad (Speed/Baud Rate): 9600
• Bits de Datos (Data Bits): 8
• Paridad (Parity): Ninguna (None)
• Bits de Parada (Stop Bits): 1
• Control de Flujo (Flow Control): Ninguno (None)

Una vez conectado, verás el mensaje de inicio y, eventualmente, un prompt de login. Las credenciales predeterminadas suelen ser root sin contraseña. Simplemente presiona Enter cuando se te pida la contraseña. ¡Felicidades, estás dentro! Tu pantalla debería mostrar algo como root@%.

Lo primero es entrar en el modo de configuración: edit. Esto te llevará al prompt [edit] root#, donde podrás empezar a moldear la seguridad de tu red.

🔐 Configuración Básica del Sistema: Los Fundamentos de Junos OS

Antes de sumergirnos en las reglas de firewall, establezcamos la base de tu sistema. La coherencia y la buena gestión del tiempo son cruciales.

1. Establecer Contraseña para el Usuario Root

¡Este es el paso más importante! Sin una contraseña, cualquiera con acceso físico podría tomar el control. No lo olvides. 💪

set system root-authentication plain-text-password

Se te pedirá que introduzcas y confirmes una contraseña segura. Elige una que sea compleja y memorable.

2. Configurar el Nombre del Dispositivo (Hostname)

Asigna un nombre descriptivo a tu SRX para facilitar su identificación en la red.

set system host-name SRX300-Principal

3. Sincronización de Hora (NTP)

Una hora precisa es fundamental para los registros (logs), la depuración y ciertas funciones de seguridad como los certificados. Utiliza servidores NTP (Network Time Protocol) fiables.

set system ntp server 0.pool.ntp.org prefer
set system ntp server 1.pool.ntp.org
set system time-zone Europe/Madrid

Ajusta la zona horaria según tu ubicación.

4. Servidores DNS

Para que tu SRX pueda resolver nombres de dominio (por ejemplo, al actualizar software o contactar servidores NTP por nombre), necesitará servidores DNS.

set system name-server 8.8.8.8
set system name-server 8.8.4.4

Puedes usar los de Google u otros de tu proveedor.

5. Configuración de Acceso Remoto (SSH)

Para gestionar tu SRX de forma segura sin tener que usar siempre el cable de consola, configura el acceso SSH. Es mucho más seguro que Telnet (que deberías evitar).

set system services ssh

También puedes crear usuarios adicionales con privilegios limitados para la administración diaria.

📖 Configuración de Interfaces de Red

Las interfaces son los ojos y oídos de tu firewall. Necesitamos asignarles direcciones IP y descripciones claras.

edit interfaces

Por ejemplo, para la interfaz WAN (Internet):

set interfaces ge-0/0/0 unit 0 description "Enlace WAN a Internet"
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.10/24

Aquí, 192.0.2.10 sería tu dirección IP pública (o la que te asigne tu ISP) y /24 la máscara de subred.

Para la interfaz LAN (red interna):

set interfaces ge-0/0/1 unit 0 description "Red Local Interna"
set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.1/24

Asegúrate de que estas IPs no colisionen con otras en tu red.

🔐 Zonas de Seguridad: El Corazón de Junos OS

Una de las características más potentes de Juniper es su arquitectura basada en zonas. Las zonas de seguridad agrupan interfaces con el mismo nivel de confianza o propósito, simplificando la aplicación de políticas.

edit security zones

Creemos nuestras zonas esenciales:

• Untrust (No confiable): Donde conectamos Internet.
• Trust (Confiable): Para nuestra red interna segura.

set security zones security-zone untrust description "Zona de Internet (WAN)"
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ping
set security zones security-zone trust description "Zona de Red Interna (LAN)"
set security zones security-zone trust interfaces ge-0/0/1.0 host-inbound-traffic system-services ssh https http ping

La opción host-inbound-traffic permite que el propio firewall responda a ciertos servicios desde esa zona (por ejemplo, un ping o una conexión SSH de gestión desde la LAN). Es vital configurarlo con cautela, especialmente en la zona untrust.

📢 Políticas de Seguridad (Firewall Policies): Quién Habla con Quién

Aquí es donde definimos el flujo de tráfico entre las zonas. Una política de seguridad se compone de una zona de origen, una zona de destino, y reglas que especifican qué tráfico está permitido o denegado.

edit security policies

1. Permitir Salida a Internet desde la Red Interna (Trust a Untrust)

set security policies from-zone trust to-zone untrust policy allow-trust-to-untrust match source-address any
set security policies from-zone trust to-zone untrust policy allow-trust-to-untrust match destination-address any
set security policies from-zone trust to-zone untrust policy allow-trust-to-untrust match application any
set security policies from-zone trust to-zone untrust policy allow-trust-to-untrust then permit

Esta es una política básica que permite todo el tráfico saliente desde tu red interna (trust) hacia Internet (untrust). Para entornos productivos, es crucial refinar application any y permitir solo lo estrictamente necesario. ¡Recuerda el principio del menor privilegio!

2. Bloquear Todo el Tráfico Entrante de Internet (Untrust a Trust)

Por defecto, Junos deniega el tráfico entre zonas si no hay una política que lo permita. Sin embargo, una política explícita de denegación es una buena práctica y aclara tu intención.

set security policies from-zone untrust to-zone trust policy deny-untrust-to-trust match source-address any
set security policies from-zone untrust to-zone trust policy deny-untrust-to-trust match destination-address any
set security policies from-zone untrust to-zone trust policy deny-untrust-to-trust match application any
set security policies from-zone untrust to-zone trust policy deny-untrust-to-trust then deny

Opinión basada en datos reales: Si bien Juniper es un sistema poderoso, la curva de aprendizaje de Junos OS puede ser un poco más pronunciada para quienes provienen de otras plataformas. Sin embargo, su lógica de configuración basada en zonas y políticas es increíblemente potente y, una vez dominada, ofrece una claridad y granularidad que pocos sistemas igualan. La inversión en aprender Junos vale la pena por la robustez y la escalabilidad que aporta a la seguridad de la red. No te desanimes por los comandos iniciales; pronto los dominarás. ¡Es como aprender un nuevo idioma que te abrirá muchas puertas en ciberseguridad!

📎 Configuración NAT (Network Address Translation)

Para que tus dispositivos internos con direcciones IP privadas puedan acceder a Internet, necesitarán una traducción de direcciones. El Source NAT (SNAT) es lo que usaremos aquí, traduciendo tus IPs privadas a la IP pública de tu interfaz WAN.

edit security nat source

1. Crear un Pool de NAT (generalmente una única IP)

set security nat source pool nat-pool-wan address 192.0.2.10/32

Aquí, 192.0.2.10 es la misma IP pública que asignamos a la interfaz ge-0/0/0. El /32 indica una sola dirección IP.

2. Crear la Rule-Set y la Regla de NAT

set security nat source rule-set trust-to-untrust-nat from zone trust
set security nat source rule-set trust-to-untrust-nat to zone untrust
set security nat source rule-set trust-to-untrust-nat rule interface-nat match source-address 0.0.0.0/0
set security nat source rule-set trust-to-untrust-nat rule interface-nat then source-nat pool nat-pool-wan

Esta configuración indica que cualquier tráfico que provenga de la zona trust y se dirija a la zona untrust, tendrá su dirección de origen traducida a la IP definida en nat-pool-wan.

📒 Guardar y Activar la Configuración (Commit)

Hasta ahora, todos los comandos que hemos introducido están en una configuración „candidata”. Para que se activen, debes confirmarlos. Antes de eso, es una buena práctica verificar si hay errores.

commit check

Si no hay errores, verás „configuration check succeeded”. Si hay errores, el sistema te indicará dónde están.

Una vez verificado, aplica la configuración:

commit and-quit

El and-quit te saca automáticamente del modo de configuración. Ahora tu firewall está aplicando las nuevas reglas.

La configuración de seguridad es un proceso iterativo. Empieza con lo básico, verifica que funciona, y luego añade capas de protección y refinamiento. Nunca implementes cambios drásticos en producción sin un plan de reversión claro y una ventana de mantenimiento.

🔍 Gestión y Monitoreo Básico

Una vez que el SRX esté en marcha, querrás ver qué está pasando. Aquí algunos comandos útiles:

• show security flow session: Muestra las sesiones de tráfico activas que pasan por el firewall.
• show log messages: Revisa los logs del sistema para buscar errores o eventos importantes.
• monitor traffic interface ge-0/0/0 detail: Monitorea el tráfico en una interfaz específica en tiempo real.
• show configuration | display set: Muestra toda tu configuración en formato de comandos set, muy útil para scripts de backup.
• save configuration to /var/home/root/backup_config.conf: Guarda tu configuración activa en un archivo para futuras restauraciones.

🔎 Próximos Pasos y Mejores Prácticas

Esto es solo el principio. Un firewall Juniper SRX300 es capaz de mucho más:

• Actualizaciones: Mantén tu Junos OS actualizado. La versión 20.2R1 es un buen punto de partida, pero nuevas versiones incluyen mejoras de seguridad y características.
• VPN: Configura VPNs (IPsec, SSL) para acceso remoto seguro.
• Servicios UTM (Unified Threat Management): Considera activar funciones como Antivirus, Anti-spam, Filtrado Web, IPS (Sistema de Prevención de Intrusiones) y filtrado de contenido para una protección de capa de aplicación más profunda.
• Zonas Adicionales: Crea zonas DMZ para servidores públicos o zonas específicas para invitados.
• High Availability (HA): Para entornos críticos, configura dos SRX300 en un clúster para redundancia.
• Documentación: Documenta cada cambio, cada política y cada configuración. Tu futuro yo (o tu equipo) te lo agradecerá.

👏 Conclusión

Configurar un firewall Juniper SRX300 con Junos OS 20.2R1 puede parecer una tarea desalentadora al principio, pero siguiendo estos pasos básicos, habrás sentado una base sólida para la seguridad de tu red. Has aprendido a realizar las conexiones físicas, acceder a la CLI, configurar el sistema, definir interfaces y zonas, establecer políticas de seguridad esenciales y configurar NAT.

Recuerda que la seguridad es un proceso continuo. Mantente curioso, explora la vasta documentación de Juniper y no dudes en experimentar en entornos controlados. Con Junos OS, tienes en tus manos una herramienta extremadamente poderosa. ¡Ahora ve y protege tu red con confianza!