Control de acceso VPN GlobalProtect con OCSP
Resolution
Resumen
La configuración GlobalProtect tiene la capacidad de autenticar a los usuarios basándose en el nombre de usuario/contraseña, o en los certificados. Al utilizar certificados para conectarse, es un beneficio valioso utilizar un servidor OCSP para comprobar el estado de revocación del certificado, de modo que se deniegue el acceso a los usuarios si se revoca el certificado. Esta configuración es beneficiosa cuando se utiliza para consultores, ya que se les permite el acceso a algunos proyectos por un período de tiempo y que el acceso se revoca.
Detalles
Los dispositivos de Palo Alto Networks tienen la opción de generar certificados para estos tipos de usuarios, y si el respondedor OCSP está configurado en el dispositivo, permite la posibilidad de revocar el acceso, si es necesario. Debido a este escenario, se necesita un respondedor OCSP en el cortafuegos de Palo Alto Networks.
Para configurar el OCSP ir a, dispositivo > administración de certificados > OCSP responder y haga clic en Agregar.
Introduzca un nombre para el respondedor OCSP y utilice la dirección IP del cortafuegos como nombre de host.
Tan pronto como el respondedor OCSP está configurado y comprometido, ahora es posible generar certificados en el firewall que utilizan el respondedor OCSP para comprobar el estado de revocación. Para crear certificados vaya al dispositivo > administración de certificado > certificados y haga clic en generar. Al crear nuevos certificados, asegúrese de utilizar el respondedor OCSP que se archiva. Esto permite que las conexiones que se autentican inicien desde el usuario y contiene los certificados que se comprueban con el servidor OCSP.
Para crear un perfil de certificado para los usuarios de VPN, que verificará el estado de revocación con el OCSP, vaya al dispositivo > gestión de certificados > Perfil de certificado.
Especifique los parámetros para el nombre de usuario (en este caso es el asunto), la CA que firma los certificados y la URL OCSP.
Nota: Asegúrese de habilitar el uso de OCSP, CRL también se puede activar, pero tenga en cuenta que el OCSP tendrá precedencia, porque es más fiable que la CRL.
En la configuración del portal GlobalProtect, la autenticación del usuario debe realizarse basándose en el perfil del certificado de cliente.
Para configurar ir a la red > GlobalProtect > Portals, haga clic en agregar y seleccione Configuración de Porta:
Para realizar los mismos pasos para el Gateway GlobalProtect, vaya a la red > GlobalProtect, haga clic en agregar y seleccione la ficha General como se muestra a continuación:
Los usuarios pueden iniciar sesión mediante certificados, que se validan con el OCSP. Si el acceso para el usuario ya no es necesario, revocar el certificado.
Para revocar el certificado, vaya al dispositivo > administración del certificado > certificados y seleccione el certificado, haga clic en el botón revocar.
Después de la revocatoria, el estado del certificado cambiará de verde "válido" a rojo "revocado" como se muestra en el ejemplo siguiente:
Desde la CLI, compruebe el estado de revocación del certificado emitido para el OCSP específico (o para todos) mediante el siguiente comando:
> debug sslmgr View OCSP All
La hora actual es: Jue Apr 3 21:49:46 2014
Cuenta número de serie (hex) estado siguiente actualización revocación tiempo razónemisor nombre hashOCSP responder URL
---- ------------------ -------- ------------------------ ------------------------ ----------- -----------------------
[1] 10 revocado abr 04 21:41:39 2014 GMT Apr 03 21:44:54 2014 GMT 7ccb1b43 http://10.193.17.2/CA/OCSP
[2] 0D válido Apr 03 22:41:39 2014 GM df89db2d http://10.193.17.2/CA/OCSP
Cuando un usuario intenta iniciar una sesión con un certificado revocado, el cortafuegos verificará con el OCSP y denegará el acceso.
Esto puede ser verificado por el sslmgr. log, vea los ejemplos a continuación:
2014-04-03 23:47:41.537 + 0200 Debug: sslmgr_check_status (sslmgr_main. c:655): [0] Start Checking OCSP, Status for Certificate Chain, NUM: 3; bloque desconocido: no; de DP: sí
2014-04-03 23:47:41.537 + 0200 [OCSP] URL http://10.193.17.2/CA/OCSP SERIALNO: 0d
2014-04-03 23:47:41.538 + 0200 [OCSP] URL http://10.193.17.2/CA/OCSP serialNo: 10
2014-04-03 23:47:41.538 + 0200 Debug: pan_ocsp_fetch_ocsp (pan_crl. c:1996): [0] OCSP Checking... profundidad 2, URI: (NULL)
2014-04-03 23:47:41.538 + 0200 Debug: pan_ocsp_fetch_ocsp (pan_crl. c:2000): [0] no AIA URL, omitir la comprobación de OCSP para la profundidad 2.
2014-04-03 23:47:41.538 + 0200 Debug: pan_ocsp_fetch_ocsp (pan_crl. c:1996): [0] OCSP Checking... profundidad 1, URI: http://10.193.17.2/CA/OCSP
2014-04-03 23:47:41.538 + 0200 Debug: pan_ocsp_fetch_ocsp (pan_crl. c:2045): [0] OCSP el resultado del cheque es ' válido ' para el nivel 1 por caché
2014-04-03 23:47:41.538 + 0200 Debug: pan_ocsp_fetch_ocsp (pan_crl. c:1996): [0] OCSP Checking... profundidad 0, URI: http://10.193.17.2/CA/OCSP
2014-04-03 23:47:41.538 + 0200 Debug: pan_ocsp_fetch_ocsp (pan_crl. c:2045): [0] OCSP el resultado del cheque es ' revocado ' para el nivel 0 por caché
2014-04-03 23:47:41.538 + 0200 Debug: sslmgr_check_status (sslmgr_main. c:709): [0] OCSP el resultado del cheque es ' revocado ', profundidad 0
2014-04-03 23:47:41.539 + 0200 Debug: sslmgr_check_status (sslmgr_main. c:915): [0] status final: revocado; razón:; profundidad: 0; POR OCSP
2014-04-03 23:47:41.539 + 0200 enviar cookie: 5 sesión: 0 estado: 4 a DP
Propietario: ialeksov