Portal cautivo que utiliza el modo transparente o redireccionado en la implementación Vwire
Resolution
Este documento es una guía de ' cómo ' en la configuración de portal cautivo en una implementación de Vwire. Proporcionará documentación sobre la implementación de modo transparente o de redireccionamiento con autenticación de certificado de cliente.
Modo transparente:
Transparente: el cortafuegos intercepta el tráfico del explorador por la regla del portal cautivo e imita la dirección URL de destino original, emitiendo un http 401 para invocar la autenticación. Sin embargo, dado que el cortafuegos no tiene el certificado real para la dirección URL de destino, el explorador mostrará un error de certificado a los usuarios que intenten acceder a un sitio seguro. Por lo tanto, sólo debe utilizar este modo cuando sea absolutamente necesario, como en la implementación de la capa 2 o virtual WIRE.
Genere el certificado de servidor de portal cautivo. En este caso, estoy utilizando la CA root de confianza que también se utiliza para firmar el certificado intermedio/cliente. Sin duda, puede crear un certificado de servidor independiente si lo desea.
Cree el perfil de autenticación que se utilizará. En este caso, LDAP se utiliza para autenticar usuarios desconocidos.
Habilitar el portal cautivo mediante el modo transparente. Como se indicó, estamos utilizando el perfil de autenticación LDAP previamente creado y el certificado de servidor de portal cautivo.
Configure sus políticas de portal cautivo: (nota, para desencadenar CP en sitios web con SSL habilitado, el descifrado SSL tendrá que estar activado)
Después de cometer los cambios, abra un navegador web en el sistema (la IP de origen debe ser un usuario desconocido de lo contrario no obtendrá un mensaje de portal cautivo) detrás de la zona de confianza Vwire (nota, asegúrese de que esta zona está habilitada para la identificación del usuario). Mi IP de host es 192.168.125.111 y actualmente se desconoce en la asignación IP-usuario de PA.
admin @ Lab-26-pa5050 > Mostrar usuario IP-usuario-asignación de todos
admin @ Lab-26-pa5050 >
Como se mencionó anteriormente, cuando se utiliza el modo transparente, todos los navegadores emiten una advertencia que indica que la URL de destino no coincide con el nombre común que se encuentra en el certificado.
Después de aceptar la excepción para la coincidencia de nombre común, se le presentará el formulario web del portal cautivo solicitando las credenciales para autenticar al usuario.
Al completar el formulario web e introducir las credenciales correctas, los usuarios serán redireccionados al URL/sitio Web solicitado original.
La tabla de sesiones y la asignación de IP aparecerán de la siguiente manera:
admin @ Lab-26-pa5050 > Mostrar usuario IP-usuario-asignación de todos
IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.111 vsys1 CP rkalugdan 888 3462
Total: 1 usuarios
admin @ Lab-26-pa5050 > Mostrar Session ID 33570653
Sesión 33570653
flujo de C2S:
Fuente: 192.168.125.111 [vtrust]
DST: 209.95.138.162
Proto: 6
deporte: 39066 dport: 80
Estado: tipo activo: flujo
usuario src: rkalugdan<==================================== via Captive Portal via="" captive=""></==================================== via Captive Portal>
usuario de DST: desconocido
flujo s2c:
Fuente: 209.95.138.162 [vuntrust]
DST: 192.168.125.111
Proto: 6
deporte: 80 dport: 39066
Estado: tipo activo: flujo
usuario fuente: desconocido
usuario de DST: rkalugdan
DP: 1
index (local):: 16221
hora de Inicio: Tue Ene 27 08:27:52 2015
timeout: 3600 sec
tiempo de vida: 3593 seg.
cuenta total del octeto (C2S): 1381
conteo total de bytes (s2c): 1006
cuenta del paquete de layer7 (C2S): 13
conteo de paquetes layer7 (s2c): 12
vsys: vsys1
uso: Web-hojeando
regla: vwire
sesión que se registrará al final: true
sesión en el período de sesiones: true
sesión actualizada por HA peer: false
procesamiento layer7: habilitado
Filtrado de URL habilitado: true
URL Category: Content-Delivery-redes
sesión mediante SYN-cookies: false
sesión terminada en host: false
sesión atraviesa túnel: false
sesión de portal cautivo: false
interfaz de ingreso: ethernet1/6
interfaz de la salida: ethernet1/4
regla de QoS de sesión: N/A (clase 4)
fin-razón: desconocido
Modo de redireccionamiento:
Redirect: el cortafuegos intercepta las sesiones http o https desconocidas y las redirige a una interfaz de capa 3 en el cortafuegos mediante una redirección http 302 para realizar la autenticación. Este es el modo preferido porque proporciona una mejor experiencia del usuario final (sin errores de certificado). Sin embargo, requiere configuración adicional de capa 3. Otro beneficio del modo de redireccionamiento es que proporciona el uso de cookies de sesión, que permiten al usuario continuar navegando a sitios autenticados sin necesidad de volver a mapear cada vez que expiran los tiempos de espera. Esto es especialmente útil para los usuarios que vagan de una dirección IP a otra (por ejemplo, desde la LAN corporativa a la red inalámbrica) porque no tendrán que volver a autenticarse al cambiar la dirección IP siempre y cuando la sesión permanezca abierta. Además, si planea utilizar la autenticación NTLM, debe utilizar el modo de redireccionamiento porque el explorador sólo proporcionará credenciales a sitios de confianza.
(Para utilizar el portal cautivo en el modo redireccionamiento, debe habilitar las páginas de respuesta en el perfil de administración de la interfaz asignada a la interfaz de capa 3 a la que está redirigiendo el portal activo.)
En este ejemplo, he generado una CA raíz de confianza, una CA intermedia que luego firma el certificado de cliente para su uso en la autenticación de certificado de cliente. Para la CA de confianza, que se usará como certificado del servidor de portal cautivo, usaré ' cpcaroot.pantac2008.com ' como el CN y el CERT del cliente tendrá su CN como ' Renato. ' Vamos a utilizar ' Renato ' para ayudar a identificar los usuarios que se encuentran en cautividad portal a través del perfil del cliente cert.
Los certificados ' CA_Root ', ' intermedio ' se exportan en formato PEM desde el PA e importan al cliente anfitrión. Esto se puede hacer de forma más transparente en un entorno de producción mediante GPO. En este escenario, los he importado a las tiendas root de confianza y CA intermedia respectivamente.
El certificado de cliente firmado por el CERT intermedio necesitará ser exportado en formato PKCS12 ya que requerirá tanto las claves privadas como públicas para hacer este trabajo. A continuación, se importará en su almacén de certificados personal en consecuencia.
Las mismas políticas de portal cautivo se aplican como se muestra a continuación.
Cree el perfil de certificado para utilizar la autenticación de certificado de cliente. Inserte tanto la CA raíz de confianza como la CA intermedia dentro de la opción certificados de CA. El campo de nombre de usuario será ' sujeto ' por defecto a Common-Name. Puede modificar esta opción para ayudar a identificar a sus usuarios. Como se mencionó, utilizaremos el CN ' Renato ' para ayudar a identificar al usuario del portal cautivo eligiendo asunto en el campo username.
Habilite el portal cautivo y elija el modo ' Redirect '. Esto permitirá que otros campos que requieren su atención. Estoy utilizando la misma CA raíz de confianza que el certificado de servidor. El CN utilizado fue ' cpcaroot.pantac2008.com. Este será el host de redireccionamiento configurado y luego apuntaremos al perfil del cliente CERT previamente creado.
En este ejemplo, voy a tener que asegurarse de que mi máquina host sabe cómo llegar a ' cpcaroot.pantac2008.com ', así que tengo que configurar el archivo de host en consecuencia. Esto no debería ser un problema en un entorno de producción si DNS es capaz de resolver el FQDN definido como su host Redirect que también debe coincidir con el CN para su certificado de servidor.
Salida de archivo de host de Windows:
# Copyright (c) 1993-2009 Microsoft Corp.
#
# Se trata de un archivo hosts de ejemplo utilizado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de direcciones IP a nombres de host. Cada
la entrada debe mantenerse en una línea individual. La dirección IP debe
# se colocará en la primera columna seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben estar separados por al menos un
espacio.
#
# Además, los comentarios (como estos) pueden insertarse en
# líneas o siguiendo el nombre del equipo denotado por un símbolo ' # '.
#
# Por ejemplo:
#
#
192.168.125.2 cpcaroot.pantac2008.com
En el despliegue de Vwire mientras se utiliza el modo de redireccionamiento, necesitaremos quemar una interfaz L3 en el dispositivo PA para conseguir esto funcional. La interfaz está asignada a la zona L3-Trust y tiene un perfil de administración habilitado con, como mínimo, las páginas de respuesta. Aviso la dirección IP utilizada es 192.168.125.2, que es lo que mi sistema será redirigido a una vez que se desencadena el portal cautivo dado el uso del CN ' cpcaroot.pantac2008.com ' en el certificado de servidor de portal cautivo.
Además, tenga en cuenta que el host Redirigido tendrá que estar en el mismo dominio de difusiones que el cliente para que responda a las solicitudes ARP en consecuencia. Si la interfaz de redireccionamiento de portal cautivo está fuera del dominio de difusión de los clientes y el tráfico necesita atravesar el v-WIRE necesitará crear una política de excepciones para permitir que el tráfico destine a esta interfaz una intervención de portal cautivo
Aquí está la captura de pantalla del host intentando abrir un socket a www.Google.com. A continuación, el explorador envía el CERT del cliente al dispositivo PA, ya que estamos utilizando la autenticación de certificado de cliente en lugar de LDAP en este escenario. Posteriormente redirijo el navegador a www.JimmyR.com y ahora estoy presentando la página web y CP me ha identificado como ' Renato ' por mi certificado de cliente.
Visto previamente como desconocido para 192.168.125.223:
admin @ Lab-26-pa5050 > Mostrar usuario IP-usuario-asignación de todos
IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.223 vsys1 desconocido 2 5
Total: 1 usuarios
Al completar la autenticación del certificado de cliente, el PA ahora refleja lo siguiente:
admin @ Lab-26-pa5050 > Mostrar la dirección del sistema de registro hacia atrás igual
2015/01/27 09:05:58 info general General 0 User Admin logueado en Via CLI desde 192.168.125.223
2015/01/27 09:05:58 info general auth-su 0 User ' admin autenticado. From: 192.168.125.223.
2015/01/27 09:05:40 info general 0 autenticación de portal cautivo con éxito para el usuario: Renato en 192.168.125.223, vsys1
2015/01/27 09:05:40 información general General 0 autenticación de certificado de cliente de portal cautivo éxito de:: ffff: 192.168.125.223.
admin @ Lab-26-pa5050 > Mostrar usuario IP-usuario-asignación de todos
IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.223 vsys1 CP Renato 899 3518
192.168.125.111 vsys1 CP rkalugdan 261 1037
Total: 2 usuarios
admin @ Lab-26-pa5050 > Mostrar Session ID 33571113
Sesión 33571113
flujo de C2S:
Fuente: 192.168.125.223 [vtrust]
DST: 216.58.216.2
Proto: 6
deporte: 51049 dport: 80
Estado: tipo activo: flujo
usuario src: Renato<======================================================></======================================================>
usuario de DST: desconocido
flujo s2c:
Fuente: 216.58.216.2 [vuntrust]
DST: 192.168.125.223
Proto: 6
deporte: 80 dport: 51049
Estado: tipo activo: flujo
usuario fuente: desconocido
usuario de DST: Renato
DP: 1
index (local):: 16681
hora de Inicio: Tue Ene 27 09:05:41 2015
timeout: 3600 sec
tiempo de vida: 3580 seg.
cuenta total del octeto (C2S): 3637
conteo total de bytes (s2c): 9854
cuenta del paquete de layer7 (C2S): 10
conteo de paquetes layer7 (s2c): 14
vsys: vsys1
uso: Web-hojeando
regla: vwire
sesión que se registrará al final: true
sesión en el período de sesiones: true
sesión actualizada por HA peer: false
procesamiento layer7: habilitado
Filtrado de URL habilitado: true
URL Category: Web-anuncios
sesión mediante SYN-cookies: false
sesión terminada en host: false
sesión atraviesa túnel: false
sesión de portal cautivo: false
interfaz de ingreso: ethernet1/6
interfaz de la salida: ethernet1/4
regla de QoS de sesión: N/A (clase 4)
fin-razón: desconocido
A continuación se muestra un ejemplo de autenticación de certificado de cliente utilizando un cliente Ubuntu con Firefox como navegador. He instalado la CA raíz y el certificado intermedio en el almacén de confianza para Firefox, mientras que el certificado de cliente está asociado a la tienda ' sus certificados '.
Aquí está Firefox presentando el certificado de cliente en el intento del usuario de acceder a www.JimmyR.com
Finalmente, el sitio Web solicitado original se presenta al usuario
PA CLI salida FO el syslog y IP-usuario-mapping abajo:
admin @ Lab-26-pa5050 > Mostrar usuario IP-usuario-mapping todo
IP Vsys de usuario IdleTimeout (s)
MaxTimeout (s)
--------------------------------------------------------------------------
-------------
192.168.125.111 vsys1 CP Renato 893
3561
total: 1 users
dmin @ Lab-26-pa5050 > mostrar el sistema de registro dirección igual
tiempo atrás severidad subtipo objeto EventID ID Descripción =
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
2015/01/27 13:24:07 info general General 0 teclado aceptado-interactivo/PAM para admin FR
OM 192.168.125.111 Port 50672 SSH2
2015/01/27 13:23:45 info general General 0 User Admin logueado en Via CLI desde 192.168.125.1
11
2015/01/27 13:23:44 info general auth-su 0 User ' admin autenticado. De: 192.168.125
. 111.
2015/01/27 13:23:11 info general 0 autenticación de portal cautivo éxito para
el uso r: Renato en 192.168.125.111, vsys1
2015/01/27 13:23:11 info general 0 certificado de cliente de portal cautivo authenticatio
n exitoso de:: ffff : 192.168.125.111.
A continuación se muestra un ejemplo de un cliente MacOS que utiliza el navegador Chrome. Hemos copiado los mismos certs utilizando los certificados de acceso de llavero y mi carpeta de certificados respectivamente.
Como puede ver una vez más, PA está solicitando autenticación de certificado de cliente y Chrome está presentando dicho certificado de cliente como se esperaba.
admin @ Lab-26-pa5050 > Mostrar usuario IP-usuario-asignación de todos
IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
- 192.168.125.113 vsys1 desconocido 3 6
Total: 1 usuarios
admin @ Lab-26-pa5050 > Mostrar usuario IP-usuario-asignación de todos
IP Vsys del usuario IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
- 192.168.125.113 vsys1 CP Renato 899 3585
Total: 1 usuarios
Tiempo severidad subtipo objeto EventID ID Descripción
===============================================================================
2015/01/27 13:00:40 info general General 0 trabajo de la actualización del WildFire tenido éxito para el agente auto de la actualización del usuario
2015/01/27 13:00:39 info general General 0 paquete Wildfire actualizado de la versión <unknown version="">a 51969-58674 por el agente de actualización automática</unknown>
2015/01/27 13:00:37 info general General 0 paquete Wildfire instalado: panup-All-Wildfire-51969-58674. tgz
2015/01/27 13:00:35 info general General 0 Wildfire versión 51969-58674 descargado por el agente de actualización automática
2015/01/27 13:00:34 info general General 0 conexión al servidor de actualización: completado satisfactoriamente, iniciado por 10.46.32.26
2015/01/27 13:00:23 info general General 0 conexión al servidor de actualización: updates.paloaltonetworks.com completado satisfactoriamente, iniciado por 10.46.32.26
2015/01/27 13:00:21 info general General 0 conexión al servidor de actualización: updates.paloaltonetworks.com completado satisfactoriamente, iniciado por 10.46.32.26
2015/01/27 13:00:20 info general 0 autenticación de portal cautivo con éxito para el usuario: Renato en 192.168.125.113, vsys1
2015/01/27 13:00:20 información general General 0 autenticación de certificado de cliente de portal cautivo éxito de:: ffff: 192.168.125.113.