Portal cautivo que utiliza el modo transparente o redireccionado en la implementación Vwire

Este documento es una guía de ' cómo ' en la configuración de portal cautivo en una implementación de Vwire. Proporcionará documentación sobre la implementación de modo transparente o de redireccionamiento con autenticación de certificado de cliente.

 

Modo transparente:

 

Transparente: el cortafuegos intercepta el tráfico del explorador por la regla del portal cautivo e imita la dirección URL de destino original, emitiendo un http 401 para invocar la autenticación. Sin embargo, dado que el cortafuegos no tiene el certificado real para la dirección URL de destino, el explorador mostrará un error de certificado a los usuarios que intenten acceder a un sitio seguro. Por lo tanto, sólo debe utilizar este modo cuando sea absolutamente necesario, como en la implementación de la capa 2 o virtual WIRE.

 

Genere el certificado de servidor de portal cautivo. En este caso, estoy utilizando la CA root de confianza que también se utiliza para firmar el certificado intermedio/cliente. Sin duda, puede crear un certificado de servidor independiente si lo desea.

 

 

 

Cree el perfil de autenticación que se utilizará. En este caso, LDAP se utiliza para autenticar usuarios desconocidos.

 

 

 

Habilitar el portal cautivo mediante el modo transparente. Como se indicó, estamos utilizando el perfil de autenticación LDAP previamente creado y el certificado de servidor de portal cautivo.

 

 

 

Configure sus políticas de portal cautivo: (nota, para desencadenar CP en sitios web con SSL habilitado, el descifrado SSL tendrá que estar activado)

 

 

Después de cometer los cambios, abra un navegador web en el sistema (la IP de origen debe ser un usuario desconocido de lo contrario no obtendrá un mensaje de portal cautivo) detrás de la zona de confianza Vwire (nota, asegúrese de que esta zona está habilitada para la identificación del usuario). Mi IP de host es 192.168.125.111 y actualmente se desconoce en la asignación IP-usuario de PA.

 

admin @ Lab-26-pa5050 > Mostrar usuario IP-usuario-asignación de todos

 

admin @ Lab-26-pa5050 >

 

 

Como se mencionó anteriormente, cuando se utiliza el modo transparente, todos los navegadores emiten una advertencia que indica que la URL de destino no coincide con el nombre común que se encuentra en el certificado.

 

 

 

Después de aceptar la excepción para la coincidencia de nombre común, se le presentará el formulario web del portal cautivo solicitando las credenciales para autenticar al usuario.

 

 

Al completar el formulario web e introducir las credenciales correctas, los usuarios serán redireccionados al URL/sitio Web solicitado original.

 

 

La tabla de sesiones y la asignación de IP aparecerán de la siguiente manera:

 

admin @ Lab-26-pa5050 > Mostrar usuario IP-usuario-asignación de todos

 

 

IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)

--------------- ------ ------- -------------------------------- -------------- -------------

192.168.125.111 vsys1 CP rkalugdan 888 3462

Total: 1 usuarios

 

 

 

admin @ Lab-26-pa5050 > Mostrar Session ID 33570653

 

 

Sesión 33570653

 

 

        flujo de C2S:

                Fuente: 192.168.125.111 [vtrust]

                DST: 209.95.138.162

                Proto: 6

                deporte: 39066 dport: 80

                Estado: tipo activo: flujo

                usuario src: rkalugdan<==================================== via Captive Portal via="" captive=""></==================================== via Captive Portal>

                usuario de DST: desconocido

 

 

        flujo s2c:

                Fuente: 209.95.138.162 [vuntrust]

                DST: 192.168.125.111

                Proto: 6

                deporte: 80 dport: 39066

                Estado: tipo activo: flujo

                usuario fuente: desconocido

                usuario de DST: rkalugdan

 

 

        DP: 1

        index (local):: 16221

        hora de Inicio: Tue Ene 27 08:27:52 2015

        timeout: 3600 sec

        tiempo de vida: 3593 seg.

        cuenta total del octeto (C2S): 1381

        conteo total de bytes (s2c): 1006

        cuenta del paquete de layer7 (C2S): 13

        conteo de paquetes layer7 (s2c): 12

        vsys: vsys1

        uso: Web-hojeando

        regla: vwire

        sesión que se registrará al final: true

        sesión en el período de sesiones: true

        sesión actualizada por HA peer: false

        procesamiento layer7: habilitado

        Filtrado de URL habilitado: true

        URL Category: Content-Delivery-redes

        sesión mediante SYN-cookies: false

        sesión terminada en host: false

        sesión atraviesa túnel: false

        sesión de portal cautivo: false

        interfaz de ingreso: ethernet1/6

        interfaz de la salida: ethernet1/4

        regla de QoS de sesión: N/A (clase 4)

        fin-razón: desconocido

 

 

 

 

Modo de redireccionamiento:

 

 

Redirect: el cortafuegos intercepta las sesiones http o https desconocidas y las redirige a una interfaz de capa 3 en el cortafuegos mediante una redirección http 302 para realizar la autenticación. Este es el modo preferido porque proporciona una mejor experiencia del usuario final (sin errores de certificado). Sin embargo, requiere configuración adicional de capa 3. Otro beneficio del modo de redireccionamiento es que proporciona el uso de cookies de sesión, que permiten al usuario continuar navegando a sitios autenticados sin necesidad de volver a mapear cada vez que expiran los tiempos de espera. Esto es especialmente útil para los usuarios que vagan de una dirección IP a otra (por ejemplo, desde la LAN corporativa a la red inalámbrica) porque no tendrán que volver a autenticarse al cambiar la dirección IP siempre y cuando la sesión permanezca abierta. Además, si planea utilizar la autenticación NTLM, debe utilizar el modo de redireccionamiento porque el explorador sólo proporcionará credenciales a sitios de confianza.

 

(Para utilizar el portal cautivo en el modo redireccionamiento, debe habilitar las páginas de respuesta en el perfil de administración de la interfaz asignada a la interfaz de capa 3 a la que está redirigiendo el portal activo.)

 

 

En este ejemplo, he generado una CA raíz de confianza, una CA intermedia que luego firma el certificado de cliente para su uso en la autenticación de certificado de cliente. Para la CA de confianza, que se usará como certificado del servidor de portal cautivo, usaré ' cpcaroot.pantac2008.com ' como el CN y el CERT del cliente tendrá su CN como ' Renato. ' Vamos a utilizar ' Renato ' para ayudar a identificar los usuarios que se encuentran en cautividad portal a través del perfil del cliente cert.

 

 

 

Los certificados ' CA_Root ', ' intermedio ' se exportan en formato PEM desde el PA e importan al cliente anfitrión. Esto se puede hacer de forma más transparente en un entorno de producción mediante GPO.  En este escenario, los he importado a las tiendas root de confianza y CA intermedia respectivamente.

 

 

 

 

 

 

El certificado de cliente firmado por el CERT intermedio necesitará ser exportado en formato PKCS12 ya que requerirá tanto las claves privadas como públicas para hacer este trabajo. A continuación, se importará en su almacén de certificados personal en consecuencia.

 

 

 

 

 

 

Las mismas políticas de portal cautivo se aplican como se muestra a continuación.

 

 

 

Cree el perfil de certificado para utilizar la autenticación de certificado de cliente. Inserte tanto la CA raíz de confianza como la CA intermedia dentro de la opción certificados de CA. El campo de nombre de usuario será ' sujeto ' por defecto a Common-Name. Puede modificar esta opción para ayudar a identificar a sus usuarios. Como se mencionó, utilizaremos el CN ' Renato ' para ayudar a identificar al usuario del portal cautivo eligiendo asunto en el campo username.

 

 

 

Habilite el portal cautivo y elija el modo ' Redirect '. Esto permitirá que otros campos que requieren su atención. Estoy utilizando la misma CA raíz de confianza que el certificado de servidor. El CN utilizado fue ' cpcaroot.pantac2008.com. Este será el host de redireccionamiento configurado y luego apuntaremos al perfil del cliente CERT previamente creado.

 

 

 

En este ejemplo, voy a tener que asegurarse de que mi máquina host sabe cómo llegar a ' cpcaroot.pantac2008.com ', así que tengo que configurar el archivo de host en consecuencia. Esto no debería ser un problema en un entorno de producción si DNS es capaz de resolver el FQDN definido como su host Redirect que también debe coincidir con el CN para su certificado de servidor.

 

 

Salida de archivo de host de Windows:

 

# Copyright (c) 1993-2009 Microsoft Corp.

#

# Se trata de un archivo hosts de ejemplo utilizado por Microsoft TCP/IP para Windows.

#

# Este archivo contiene las asignaciones de direcciones IP a nombres de host. Cada

la entrada debe mantenerse en una línea individual. La dirección IP debe

# se colocará en la primera columna seguida del nombre de host correspondiente.

# La dirección IP y el nombre de host deben estar separados por al menos un

espacio.

#

# Además, los comentarios (como estos) pueden insertarse en

# líneas o siguiendo el nombre del equipo denotado por un símbolo ' # '.

#

# Por ejemplo:

#

#

192.168.125.2 cpcaroot.pantac2008.com

 

 

En el despliegue de Vwire mientras se utiliza el modo de redireccionamiento, necesitaremos quemar una interfaz L3 en el dispositivo PA para conseguir esto funcional. La interfaz está asignada a la zona L3-Trust y tiene un perfil de administración habilitado con, como mínimo, las páginas de respuesta. Aviso la dirección IP utilizada es 192.168.125.2, que es lo que mi sistema será redirigido a una vez que se desencadena el portal cautivo dado el uso del CN ' cpcaroot.pantac2008.com ' en el certificado de servidor de portal cautivo.

 

Además, tenga en cuenta que el host Redirigido tendrá que estar en el mismo dominio de difusiones que el cliente para que responda a las solicitudes ARP en consecuencia. Si la interfaz de redireccionamiento de portal cautivo está fuera del dominio de difusión de los clientes y el tráfico necesita atravesar el v-WIRE necesitará crear una política de excepciones para permitir que el tráfico destine a esta interfaz una intervención de portal cautivo

 

 

 

Aquí está la captura de pantalla del host intentando abrir un socket a www.Google.com. A continuación, el explorador envía el CERT del cliente al dispositivo PA, ya que estamos utilizando la autenticación de certificado de cliente en lugar de LDAP en este escenario. Posteriormente redirijo el navegador a www.JimmyR.com y ahora estoy presentando la página web y CP me ha identificado como ' Renato ' por mi certificado de cliente.

 

 

 

 

 

Visto previamente como desconocido para 192.168.125.223:

 

admin @ Lab-26-pa5050 > Mostrar usuario IP-usuario-asignación de todos

 

 

IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)

--------------- ------ ------- -------------------------------- -------------- -------------

192.168.125.223 vsys1 desconocido 2 5

Total: 1 usuarios

 

 

Al completar la autenticación del certificado de cliente, el PA ahora refleja lo siguiente:

 

 

admin @ Lab-26-pa5050 > Mostrar la dirección del sistema de registro hacia atrás igual

2015/01/27 09:05:58 info general General 0 User Admin logueado en Via CLI desde 192.168.125.223

2015/01/27 09:05:58 info general auth-su 0 User ' admin autenticado.   From: 192.168.125.223.

2015/01/27 09:05:40 info general 0 autenticación de portal cautivo con éxito para el usuario: Renato en 192.168.125.223, vsys1

2015/01/27 09:05:40 información general General 0 autenticación de certificado de cliente de portal cautivo éxito de:: ffff: 192.168.125.223.

 

 

 

 

admin @ Lab-26-pa5050 > Mostrar usuario IP-usuario-asignación de todos

 

 

IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)

--------------- ------ ------- -------------------------------- -------------- -------------

192.168.125.223 vsys1 CP Renato 899 3518

192.168.125.111 vsys1 CP rkalugdan 261 1037

Total: 2 usuarios

 

 

 

 

 

 

admin @ Lab-26-pa5050 > Mostrar Session ID 33571113

 

 

Sesión 33571113

 

 

flujo de C2S:

Fuente: 192.168.125.223 [vtrust]

DST: 216.58.216.2

Proto: 6

deporte: 51049 dport: 80

Estado: tipo activo: flujo

usuario src: Renato<======================================================></======================================================>

usuario de DST: desconocido

 

 

flujo s2c:

Fuente: 216.58.216.2 [vuntrust]

DST: 192.168.125.223

Proto: 6

deporte: 80 dport: 51049

Estado: tipo activo: flujo

usuario fuente: desconocido

usuario de DST: Renato

 

 

DP: 1

index (local):: 16681

hora de Inicio: Tue Ene 27 09:05:41 2015

timeout: 3600 sec

tiempo de vida: 3580 seg.

cuenta total del octeto (C2S): 3637

conteo total de bytes (s2c): 9854

cuenta del paquete de layer7 (C2S): 10

conteo de paquetes layer7 (s2c): 14

vsys: vsys1

uso: Web-hojeando

regla: vwire

sesión que se registrará al final: true

sesión en el período de sesiones: true

sesión actualizada por HA peer: false

procesamiento layer7: habilitado

Filtrado de URL habilitado: true

URL Category: Web-anuncios

sesión mediante SYN-cookies: false

sesión terminada en host: false

sesión atraviesa túnel: false

sesión de portal cautivo: false

interfaz de ingreso: ethernet1/6

interfaz de la salida: ethernet1/4

regla de QoS de sesión: N/A (clase 4)

fin-razón: desconocido

 

 

 

A continuación se muestra un ejemplo de autenticación de certificado de cliente utilizando un cliente Ubuntu con Firefox como navegador. He instalado la CA raíz y el certificado intermedio en el almacén de confianza para Firefox, mientras que el certificado de cliente está asociado a la tienda ' sus certificados '.

 

 

 

 

Aquí está Firefox presentando el certificado de cliente en el intento del usuario de acceder a www.JimmyR.com

 

 

 

 

 

Finalmente, el sitio Web solicitado original se presenta al usuario

 

 

 

PA CLI salida FO el syslog y IP-usuario-mapping abajo:

 

admin @ Lab-26-pa5050 > Mostrar usuario IP-usuario-mapping todo

IP Vsys de usuario IdleTimeout (s)
MaxTimeout (s)
--------------------------------------------------------------------------
-------------
192.168.125.111 vsys1 CP Renato 893
3561
total: 1 users


dmin @ Lab-26-pa5050 > mostrar el sistema de registro dirección igual
tiempo atrás severidad subtipo objeto EventID ID Descripción =
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
2015/01/27 13:24:07 info general General 0 teclado aceptado-interactivo/PAM para admin FR
OM 192.168.125.111 Port 50672 SSH2
2015/01/27 13:23:45 info general General 0 User Admin logueado en Via CLI desde 192.168.125.1
11
2015/01/27 13:23:44 info general auth-su 0 User ' admin autenticado.    De: 192.168.125
. 111.
2015/01/27 13:23:11 info general 0 autenticación de portal cautivo éxito para
el uso r: Renato en 192.168.125.111, vsys1
2015/01/27 13:23:11 info general 0 certificado de cliente de portal cautivo authenticatio
n exitoso de:: ffff : 192.168.125.111.

 

A continuación se muestra un ejemplo de un cliente MacOS que utiliza el navegador Chrome. Hemos copiado los mismos certs utilizando los certificados de acceso de llavero y mi carpeta de certificados respectivamente.

 

 

 

 

 

Como puede ver una vez más, PA está solicitando autenticación de certificado de cliente y Chrome está presentando dicho certificado de cliente como se esperaba.

 

 

 

 

 

 

admin @ Lab-26-pa5050 > Mostrar usuario IP-usuario-asignación de todos

 

IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)

--------------- ------ ------- -------------------------------- -------------- -------------

1. 192.168.125.113 vsys1 desconocido 3 6

Total: 1 usuarios

 

admin @ Lab-26-pa5050 > Mostrar usuario IP-usuario-asignación de todos

 

IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)

--------------- ------ ------- -------------------------------- -------------- -------------

1. 192.168.125.113 vsys1 CP Renato 899 3585

Total: 1 usuarios

 

 

Tiempo severidad subtipo objeto EventID ID Descripción

===============================================================================

2015/01/27 13:00:40 info general General 0 trabajo de la actualización del WildFire tenido éxito para el agente auto de la actualización del usuario

2015/01/27 13:00:39 info general General 0 paquete Wildfire actualizado de la versión <unknown version="">a 51969-58674 por el agente de actualización automática</unknown>

2015/01/27 13:00:37 info general General 0 paquete Wildfire instalado: panup-All-Wildfire-51969-58674. tgz

2015/01/27 13:00:35 info general General 0 Wildfire versión 51969-58674 descargado por el agente de actualización automática

2015/01/27 13:00:34 info general General 0 conexión al servidor de actualización: completado satisfactoriamente, iniciado por 10.46.32.26

2015/01/27 13:00:23 info general General 0 conexión al servidor de actualización: updates.paloaltonetworks.com completado satisfactoriamente, iniciado por 10.46.32.26

2015/01/27 13:00:21 info general General 0 conexión al servidor de actualización: updates.paloaltonetworks.com completado satisfactoriamente, iniciado por 10.46.32.26

2015/01/27 13:00:20 info general 0 autenticación de portal cautivo con éxito para el usuario: Renato en 192.168.125.113, vsys1

2015/01/27 13:00:20 información general General 0 autenticación de certificado de cliente de portal cautivo éxito de:: ffff: 192.168.125.113.