Gefangenes Portal mit transparentem oder Umleitungs Modus im vWire-Einsatz
Resolution
Dieses Dokument ist ein "How to"-Leitfaden bei der Konfiguration von Captive-Portal in einem vWire-Einsatz. Es wird eine Dokumentation über die Implementierung des transparenten oder Umleitungs Modus mit der Authentifizierung des Client-Zertifikats liefern.
Transparenter Modus:
Transparent — die Firewall fängt den Browser-Traffic per der Captive-Portal-Regel ab und verkörpert die ursprüngliche Destination-URL, indem Sie einen HTTP 401 ausgibt, um die Authentifizierung anzurufen. Da die Firewall jedoch nicht über das eigentliche Zertifikat für die Ziel-URL verfügt, wird der Browser Nutzern, die versuchen, auf eine sichere Website zuzugreifen, einen Zertifikats Fehler anzeigen. Daher sollten Sie diesen Modus nur dann verwenden, wenn dies unbedingt notwendig ist, wie zum Beispiel in Layer 2 oder Virtual Wire Deployment.
Das Captive Portal Server-Zertifikat generieren. In diesem Fall benutze ich die Trusted Root CA, die auch zur Unterschrift des Intermediate/Client-Zertifikats verwendet wird. Auf Wunsch können Sie auf jeden Fall ein separates Server-Zertifikat erstellen.
Erstellen Sie das Authentifizierungs Profil zu nutzen. In diesem Fall wird LDAP verwendet, um unbekannte Benutzer zu authentifizieren.
Aktivieren Sie das Captive Portal mit transparentem Modus. Wie bereits erwähnt, verwenden wir das zuvor erstellte LDAP-Authentifizierungs Profil und das Captive-Portal-Server-Zertifikat.
Konfigurieren Sie Ihre Captive-Portal-RichtLinien: (Beachten Sie, dass CP auf SSL-fähigen Websites ausgelöst wird, SSL-Entschlüsselung muss aktiviert werden)
Nach der Übergabe Ihrer Änderungen öffnen Sie einen Web-Browser auf dem System (die Quelle IP muss ein unbekannter Benutzer sein, sonst erhalten Sie kein gefangenes Portal Prompt) hinter der vWire Trust Zone (Beachten Sie, stellen Sie sicher, dass diese Zone für die Benutzeridentifikation aktiviert ist). Meine Host-IP ist 192.168.125.111 und es ist derzeit auf der IP-User-Mapping der PA unbekannt.
admin @ Lab-26-PA5050 > Benutzer-IP-User-Mapping alle
admin @ Lab-26-PA5050 >
Wie bereits erwähnt, werden alle Browser bei der Verwendung des transparenten Modus eine Warnung ausgeben, die anzeigt, dass die Ziel-URL nicht mit dem gemeinsamen Namen des Zertifikats übereinstimmt.
Nachdem Sie die Ausnahme für den gemeinsamen Namen Mismatch akzeptiert haben, erhalten Sie das Webformular "Captive Portal", in dem Sie um die Berechtigungen bitten, um den Benutzer zu authentifizieren.
Nach dem Ausfüllen des Webformulars und der Eingabe der korrekten Berechtigungen werden die Nutzer auf die ursprünglich angeforderte URL/Website weitergeleitet.
Der Sitzungstisch und die IP-Kartierung werden wie folgt erscheinen:
admin @ Lab-26-PA5050 > Benutzer-IP-User-Mapping alle
IP Vsys von User IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.111 vsys1 CP rkalugdan 888 3462
Gesamt: 1 Benutzer
admin @ Lab-26-PA5050 > Show Session ID 33570653
Session 33570653
C2S Flow:
Quelle: 192.168.125.111 [vtrust]
DST: 209.95.138.162
Proto: 6
Sport: 39066 dport: 80
Zustand: aktiver Typ: Flow
src User: rkalugdan<==================================== via Captive Portal via="" captive=""></==================================== via Captive Portal>
DST-Benutzer: unbekannt
S2C Flow:
Quelle: 209.95.138.162 [vuntrust]
DST: 192.168.125.111
Proto: 6
Sport: 80 dport: 39066
Zustand: aktiver Typ: Flow
SRC-Benutzer: unbekannt
DST User: rkalugdan
DP: 1
Index (local):: 16221
Startzeit: Di Jan 27 08:27:52 2015
Timeout: 3600 sec
Zeit zum Leben: 3593 sec
Gesamtzahl der Byte (C2S): 1381
Gesamtzahl der Byte (S2C): 1006
layer7 Packet count (C2S): 13
layer7 Packet count (S2C): 12
Vsys: vsys1
Anwendung: Web-Browsing
Regel: vWire
Session, die am Ende protokolliert werden soll: true
Session in Session Ager: true
Session aktualisiert von HA Peer: false
layer7 processing: ermöglicht
URL-Filterung aktiviert: true
URL-Kategorie: Inhalt-Lieferung-Netze
Session via SYN-Cookies: false
Sitzung auf Host beendet: falsch
Session Traversen Tunnel: falsch
Captive Portal Session: falsch
Eindringen-Schnittstelle: Ethernet1/6
Egress-Schnittstelle: Ethernet1/4
Session QoS rule: N/A (Klasse 4)
Ende-Grund: Unbekannte
Redirect-Modus:
Redirect — die Firewall fängt unbekannte HTTP oder HTTPS-Sessions ab und leitet Sie mit einer HTTP 302-Umleitung auf eine Layer 3-Schnittstelle auf der Firewall weiter, um die Authentifizierung durchzuführen. Dies ist der bevorzugte Modus, weil er eine bessere Endbenutzer-Erfahrung bietet (keine Zertifikats Fehler). AllerDings erfordert es eine zusätzliche Layer 3-Konfiguration. Ein weiterer Vorteil des Redirect-Modus ist, dass er die Verwendung von Session-Cookies vorsieht, die es dem Benutzer ermöglichen, weiterhin auf authentifizierte Seiten zu surfen, ohne dass jedes Mal, wenn die zeitouts auslaufen, eine erneute Kartierung erforderlich ist. Dies ist besonders nützlich für Benutzer, die von einer IP-Adresse zur anderen Wandern (zum Beispiel vom Corporate LAN zum WLAN-Netzwerk), weil Sie sich bei der Änderung der IP-Adresse nicht erneut authentifizieren müssen, solange die Sitzung geöffnet bleibt. Darüber hinaus müssen Sie, wenn Sie die NTLM-Authentifizierung verwenden wollen, den Redirect-Modus verwenden, da der Browser nur Berechtigungen für vertrauenswürdige Websites bereitstellt.
(Um das Captive-Portal im Redirect-Modus zu nutzen, müssen Sie Antwortseiten auf dem Interface-Management-Profil aktivieren, das der Layer 3-Schnittstelle zugeordnet ist, auf die Sie das aktive Portal umleiten.)
In diesem Beispiel habe ich eine VertrauensWürdige Root-CA generiert, eine zwischen-CA, die dann das Client-Zertifikat für die Authentifizierung des Client-Zertifikats unterschreibt. Für die Trusted CA, die als Captive Portal Server-Zertifikat verwendet wird, werde ich ' cpcaroot.pantac2008.com ' als CN verwenden und der Client CERT wird seinen CN als ' Renato ' haben. Wir werden ' Renato ' verwenden, um zu helfen, die Benutzer zu identifizieren, die über das Client CERT-Profil in Gefangenschaft sind.
Die "CA_Root", "Intermediate"-Zertifikate werden im PEM-Format von der PA exportiert und in den Host-Client importiert. Dies kann in einer Produktionsumgebung über GPO nahtlos erfolgen. In diesem Szenario habe ich Sie in die Trusted Root bzw. Intermediate CA Stores importiert.
Das vom Intermediate CERT unterschriebene kundenzertifikat muss in PKCS12-Format exportiert werden, da es sowohl die privaten als auch die öffentlichen Schlüssel benötigt, um diese Arbeit zu leisten. Sie wird dann entsprechend in Ihr persönliches Zertifikats Geschäft importiert.
Die gleichen Captive-Portal-RichtLinien gelten wie unten gezeigt.
Erstellen Sie das Zertifikats Profil, um die Authentifizierung des Kunden Zertifikats zu nutzen. Fügen Sie sowohl die Trusted Root CA als auch die Intermediate CA in die Option CA-Zertifikate ein. Benutzername-Feld wird "Betreff" säumig zum gemeinsamen Namen. Sie können diese Option ändern, um Ihre Benutzer zu identifizieren. Wie bereits erwähnt, werden wir den CN ' Renato ' verwenden, um zu helfen, den Gefangenen Portal Benutzer zu identifizieren, indem wir das Thema im BenutzerNamen wählen.
Aktivieren Sie das Captive-Portal und wählen Sie den "Redirect"-Modus. Dies wird andere Felder ermöglichen, die Ihre Aufmerksamkeit erfordern. Ich benutze die gleiche VertrauensWürdige Root-CA wie das Server-Zertifikat. Der verwendete CN war ' cpcaroot.pantac2008.com. Dies wird der Umleitungs Rechner sein, der konfiguriert ist, und wir weisen dann auf das zuvor erstellte Client CERT-Profil hin.
In diesem Beispiel werde ich sicherstellen müssen, dass mein Host-Rechner weiß, wie man ' cpcaroot.pantac2008.com ' erreicht, also muss ich die Host-Datei entsprechend konfigurieren. Dies sollte in einer Produktionsumgebung kein Problem sein, wenn DNS in der Lage ist, die als Ihr Redirect-Host definierte FQDN zu lösen, die auch mit dem CN für Ihr Server-Zertifikat übereinstimmen sollte.
Windows Host Dateiausgabe:
# Copyright (c) 1993-2009 Microsoft Corp.
#
# Dies ist eine Beispiel-HOSTS-Datei, die von Microsoft TCP/IP für Windows verwendet wird.
#
# Diese Datei enthält die Mappings von IP-Adressen zu Hostnamen. Jede
# Entry sollte auf einer individuellen Linie aufbewahrt werden. Die IP-Adresse sollte
# in der ersten Spalte platziert werden, gefolgt vom entsprechenden Hostnamen.
# Die IP-Adresse und der Hostname sollten durch mindestens ein
Raum.
#
# Zusätzlich können Kommentare (wie diese) auf einzelne eingefügt werden
# Zeilen oder dem Maschinennamen folgen, der durch ein ' # '-Symbol gekennzeichnet ist.
#
# Zum Beispiel:
#
#
192.168.125.2 cpcaroot.pantac2008.com
Im vWire-Einsatz müssen wir bei der Nutzung des Redirect-Modus eine L3-Schnittstelle auf dem PA-Gerät brennen, um diese funktionstüchtig zu machen. Die Schnittstelle ist der L3-Trust-Zone zugeordnet und hat ein Mgmt-Profil, das zumindest mit Response-Seiten aktiviert ist. Beachten Sie, dass die verwendete IP-Adresse 192.168.125.2 ist, auf die mein System umgeleitet wird, sobald das Captive-Portal durch die Verwendung des CN ' cpcaroot.pantac2008.com ' im Captive-Portal-Server-Zertifikat ausgelöst wird.
Denken Sie auch daran, dass der umgeleitete Host in der gleichen Sendungen-Domain wie der Client sein muss, so dass er auf ARP-Anfragen entsprechend reagiert. Wenn das Captive-Portal Umleitung-Schnittstelle außerhalb der der Client-Broadcast-Domain ist und der Traffic muss den v-Wire zu durchqueren, müssen Sie eine Ausnahme-Richtlinie erstellen, um den Traffic bestimmt zu dieser Schnittstelle eine Gefangene Portal Intervention zu ermöglichen
Hier ist der Screenshot des Hosts, der versucht, eine Steckdose für www.Google.com zu öffnen. Der Browser unterwirft dann den Client CERT dem PA-Gerät, da wir in diesem Szenario die Authentifizierung des Client-Zertifikats anstelle von LDAP verwenden. Ich Umleitung den Browser anschließend auf www.Jimmyr.com und ich werde jetzt die Webseite vorgestellt und CP hat mich als ' Renato ' pro mein Client-Zertifikat identifiziert.
Früher als unbekannt für 192.168.125.223 gesehen:
admin @ Lab-26-PA5050 > Benutzer-IP-User-Mapping alle
IP Vsys von User IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.223 vsys1 unbekannte 2 5
Gesamt: 1 Benutzer
Nach Abschluss der Authentifizierung des Kunden Zertifikats spiegelt die PA nun Folgendes wider:
admin @ Lab-26-PA5050 > Log-System Richtung gleich hinten anzeigen
2015/01/27 09:05:58 info General General 0 User Admin eingeloggt in Via CLI von 192.168.125.223
2015/01/27 09:05:58 info General auth-su 0 Benutzer ' admin' authentifiziert. Von: 192.168.125.223.
2015/01/27 09:05:40 Info General General 0 Captive Portal Authentifizierung erfolgreich für Benutzer: Renato auf 192.168.125.223, vsys1
2015/01/27 09:05:40 Info General General 0 Captive Portal kundenzertifikat Authentifizierung erfolgreich von:: FFFF: 192.168.125.223.
admin @ Lab-26-PA5050 > Benutzer-IP-User-Mapping alle
IP Vsys von User IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.223 vsys1 CP Renato 899 3518
192.168.125.111 vsys1 CP rkalugdan 261 1037
Gesamt: 2 Benutzer
admin @ Lab-26-PA5050 > Show Session ID 33571113
Session 33571113
C2S Flow:
Quelle: 192.168.125.223 [vtrust]
DST: 216.58.216.2
Proto: 6
Sport: 51049 dport: 80
Zustand: aktiver Typ: Flow
src User: Renato<======================================================></======================================================>
DST-Benutzer: unbekannt
S2C Flow:
Quelle: 216.58.216.2 [vuntrust]
DST: 192.168.125.223
Proto: 6
Sport: 80 dport: 51049
Zustand: aktiver Typ: Flow
SRC-Benutzer: unbekannt
DST User: Renato
DP: 1
Index (local):: 16681
Startzeit: Di Jan 27 09:05:41 2015
Timeout: 3600 sec
Zeit zum Leben: 3580 sec
Gesamtzahl der Byte (C2S): 3637
Gesamtzahl der Byte (S2C): 9854
layer7 Paket Zählung (C2S): 10
layer7 Packet count (S2C): 14
Vsys: vsys1
Anwendung: Web-Browsing
Regel: vWire
Session, die am Ende protokolliert werden soll: true
Session in Session Ager: true
Session aktualisiert von HA Peer: false
layer7 processing: ermöglicht
URL-Filterung aktiviert: true
URL Kategorie: Web-Werbung
Session via SYN-Cookies: false
Sitzung auf Host beendet: falsch
Session Traversen Tunnel: falsch
Captive Portal Session: falsch
Eindringen-Schnittstelle: Ethernet1/6
Egress-Schnittstelle: Ethernet1/4
Session QoS rule: N/A (Klasse 4)
Ende-Grund: Unbekannte
Hier ist ein Beispiel für die Authentifizierung des Client-Zertifikats mit einem Ubuntu-Client mit Firefox als Browser. Ich habe das Root-CA und das Intermediate-Zertifikat im Trusted Store für Firefox installiert, während das Client-Zertifikat mit dem Store "Your Zertifikate" verbunden ist.
Hier ist Firefox, das das Client-Zertifikat auf den Versuch des Nutzers, zugreifen www.Jimmyr.com
Schließlich wird die ursprünglich angeforderte Website dem Nutzer vorgestellt.
PA CLI-Ausgabe für die syslog und IP-User-Mapping unten:
admin @ Lab-26-PA5050 > Anzeige des Nutzers IP-User-Mapping aller
IP Vsys von User IdleTimeout (s)
MaxTimeout (s)
--------------------------------------------------------------------------
-------------
192.168.125.111 vsys1 CP Renato 893
3561
Total: 1 Benutzer
DMin @ Lab-26-PA5050 > zeigen Sie Log-System Richtung gleiche rückwärts
Zeit schwere SUBTYP-Objekt EventID ID Description
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
2015/01/27 13:24:07 Info General General 0 akzeptierte Tastatur-Interactive/PAM für admin fr
OM 192.168.125.111 Port 50672 SSH2
2015/01/27 13:23:45 Info General General 0 user admin in Via CLI von 192.168.125.1 11 eingeloggt
2015/01/27 13:23:44 Info General auth-su 0 Benutzer ' admin' authentifiziert. Von: 192.168.125
. 111.
2015/01/27 13:23:11 Info General General 0 Captive Portal Authentifizierung gelungen für die Verwendung
r: Renato auf 192.168.125.111, vsys1
2015/01/27 13:23:11 Info General General 0 Captive Portal Client-Zertifikat authenticatio
n erfolgreich von:: FFFF : 192.168.125.111.
Das folgende ist ein Beispiel von einem MacOS-Client, der den Chrome-Browser verwendet. Wir haben die gleichen certs mit den Keychain-Zugriffs Zertifikaten bzw. meinem Zertifikats Ordner kopiert.
Wie Sie noch einmal sehen können, bittet PA um eine Authentifizierung des Kunden Zertifikats und Chrome stellt das kundenzertifikat wie erwartet vor.
admin @ Lab-26-PA5050 > Benutzer-IP-User-Mapping alle
IP Vsys von User IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
- 192.168.125.113 vsys1 unbekannte 3 6
Gesamt: 1 Benutzer
admin @ Lab-26-PA5050 > Benutzer-IP-User-Mapping alle
IP Vsys von User IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
- 192.168.125.113 vsys1 CP Renato 899 3585
Gesamt: 1 Benutzer
Zeit schwere Subtyp Objekt EventID ID Beschreibung
===============================================================================
2015/01/27 13:00:40 Info General General 0 WildFire Update Job erfolgreich für User Auto Update Agent
2015/01/27 13:00:39 Info General 0 Wildfire Paket von Version <unknown version="">auf 51969-58674 von Auto Update Agent</unknown> aktualisiert
2015/01/27 13:00:37 Info General General 0 installiertes Lauffeuer-Paket: panup-all-Wildfire-51969-58674. tgz
2015/01/27 13:00:35 Info General 0 WildFire Version 51969-58674 Download by Auto Update Agent
2015/01/27 13:00:34 Info General allgemeine 0-Verbindung zum Update-Server: erfolgreich abgeschlossen, initiiert von 10.46.32.26
2015/01/27 13:00:23 Info General General 0 Connection to Update Server: Updates.paloaltonetworks.com erfolgreich abgeschlossen, initiiert von 10.46.32.26
2015/01/27 13:00:21 Info General General 0 Connection to Update Server: Updates.paloaltonetworks.com erfolgreich abgeschlossen, initiiert von 10.46.32.26
2015/01/27 13:00:20 Info General General 0 Captive Portal Authentifizierung erfolgreich für Benutzer: Renato auf 192.168.125.113, vsys1
2015/01/27 13:00:20 Info General General 0 Captive Portal kundenzertifikat Authentifizierung erfolgreich von:: FFFF: 192.168.125.113.