Portail captif utilisant le mode transparent ou Redirect dans le déploiement Vwire
Resolution
Ce document est un guide «How to» dans la configuration du portail captif dans un déploiement Vwire. Il fournira de la documentation sur l'implémentation du mode transparent ou Redirect avec l'authentification du certificat client.
Mode transparent:
Transparent: le pare-feu intercepte le trafic du navigateur par la règle du portail captif et emprunte l'URL de destination d'origine, en émettant un http 401 pour appeler l'authentification. Toutefois, étant donné que le pare-feu ne possède pas le certificat réel pour l'URL de destination, le navigateur affiche une erreur de certificat pour les utilisateurs qui tentent d'accéder à un site sécurisé. Par conséquent, vous ne devez utiliser ce mode que lorsque cela est absolument nécessaire, par exemple dans le déploiement de couche 2 ou Virtual Wire.
Générer le certificat de serveur de portail captif. Dans ce cas, j'utilise l'AUTORITÉ de certification racine approuvée également utilisée pour signer le certificat intermédiaire/client. Vous pouvez certainement créer un certificat de serveur distinct si vous le souhaitez.
Créez le profil d'Authentification à utiliser. Dans ce cas, LDAP est utilisé pour authentifier les utilisateurs inconnus.
Activer le portail captif en mode transparent. Comme indiqué, nous utilisons le profil d'Authentification LDAP précédemment créé et le certificat de serveur portail captif.
Configurez vos stratégies de portail captifs: (Remarque, pour déclencher le CP sur les sites Web activés par SSL, le décryptage SSL devra être activé)
Après avoir commis vos modifications, ouvrez un navigateur Web sur le système (l'adresse IP source doit être un utilisateur inconnu sinon vous n'obtiendrez pas une invite de portail captif) derrière la zone de confiance Vwire (Notez, assurez-vous que cette zone est activée pour l'identification de l'utilisateur). Mon IP de l'hôte est 192.168.125.111 et il est actuellement inconnu sur le PA IP-User-Mapping.
admin @ Lab-26-PA5050 > afficher l'utilisateur IP-utilisateur-Mapping tous
admin @ Lab-26-PA5050 >
Comme mentionné précédemment, lorsque vous utilisez le mode transparent, tous les navigateurs émettent un avertissement indiquant que l'URL de destination ne correspond pas au nom commun trouvé dans le certificat.
Après avoir accepté l'exception pour la discordance de nom commun, vous serez présenté avec le portail captif Web formulaire demandant les informations d'identification pour authentifier l'utilisateur.
Après avoir rempli le formulaire Web et entré les informations d'identification correctes, les utilisateurs seront redirigés vers l'URL/site Web original demandé.
La table de session et le mappage IP apparaîtront comme suit:
admin @ Lab-26-PA5050 > afficher l'utilisateur IP-utilisateur-Mapping tous
IP VSys de l'utilisateur IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.111 vsys1 CP rkalugdan 888 3462
Total : 1 utilisateurs
admin @ Lab-26-PA5050 > Show session ID 33570653
Session 33570653
C2S Flow:
Source: 192.168.125.111 [vTrust]
DST: 209.95.138.162
proto : 6
sport: 39066 dport: 80
État: type actif: Flow
SRC utilisateur: rkalugdan<==================================== via Captive Portal via="" captive=""></==================================== via Captive Portal>
l’utilisateur DST : inconnu
S2C Flow:
Source: 209.95.138.162 [vuntrust]
DST: 192.168.125.111
proto : 6
sport: 80 dport: 39066
État: type actif: Flow
utilisateur de SRC : inconnu
DST utilisateur: rkalugdan
DP: 1
index (local):: 16221
heure de début: Mar Jan 27 08:27:52 2015
délai d'attente: 3600 sec
temps de vivre: 3593 sec
nombre total d'octets (C2S): 1381
nombre total d'octets (S2C): 1006
nombre de paquets layer7 (C2S): 13
nombre de paquets layer7 (S2C): 12
VSys: vsys1
application: navigation sur le Web
règle: vwire
session à consigner à la fin: true
session en session Agere: true
session mise à jour par ha Peer: false
traitement layer7: activé
Filtrage d'URL activé: true
Catégorie d'URL: contenu-livraison-réseaux
session via syn-cookies: false
session terminée sur l'hôte: false
session traverse tunnel: false
session portail captif: false
interface d'infiltration: ethernet1/6
interface de sortie: ethernet1/4
règle de QoS de session: N/A (classe 4)
end-Reason: inconnu
Mode redirection:
Redirection (Redirect): le pare-feu intercepte les sessions http ou https inconnues et les redirige vers une interface de couche 3 sur le pare-feu à l'Aide d'une redirection http 302 afin d'effectuer l'authentification. C'est le mode préféré car il offre une meilleure expérience utilisateur final (pas d'erreurs de certificat). Toutefois, il nécessite une configuration de couche 3 supplémentaire. Un autre avantage du mode de redirection est qu'il prévoit L'utilisation de cookies de session, qui permettent à l'utilisateur de continuer à naviguer vers des sites authentifiés sans devoir remapper chaque fois que les expirations de délai expirent. Ceci est particulièrement utile pour les utilisateurs qui errent d'une adresse IP à une autre (par exemple, du LAN d'entreprise au réseau sans fil) parce qu'ils n'auront pas besoin de se ré-authentifier sur les changements d'adresse IP tant que la session reste ouverte. De plus, si vous prévoyez d'utiliser l'authentification NTLM, vous devez utiliser le mode redirection, car le navigateur ne fournira des informations d'identification Qu'aux sites approuvés.
(Pour utiliser le portail captif en mode redirection, vous devez activer les pages de réponse sur le profil de gestion d'interface assigné à l'interface de couche 3 à laquelle vous redirigez le portail actif.)
Dans cet exemple, J'ai généré une autorité de certification racine approuvée, une autorité de certification intermédiaire qui signe ensuite le certificat client pour une utilisation dans l'authentification de certificat client. Pour l'AUTORITÉ de certification approuvée, qui sera utilisée comme certificat de serveur de portail captif, je vais utiliser'cpcaroot.pantac2008.com'comme le CN et le CERT client aura son CN en tant que «Renato». Nous allons utiliser "Renato" pour aider à identifier les utilisateurs étant captif portail par le biais du profil client CERT.
Les certificats'CA_Root', 'intermediate'sont exportés au format PEM à partir de l'ap et importés dans le client hôte. Cela peut être fait de manière plus transparente dans un environnement de production via GPO. Dans ce scénario, je les ai importés dans les magasins de racine de confiance et de ca intermédiaire respectivement.
Le certificat client signé par le CERT intermédiaire devra être exporté au format PKCS12, car il nécessitera à la fois les clés privées et publiques pour effectuer ce travail. Il sera ensuite importé dans votre magasin de certificats personnels en conséquence.
Les mêmes politiques de portail captif s'appliquent comme indiqué ci-dessous.
Créez le profil de certificat à utiliser pour l'Authentification de certificat client. Insérez à la fois l'AUTORITÉ de certification racine approuvée et l'AUTORITÉ de certification intermédiaire dans l'option certificats d'AUTORITÉ de certification. Le champ username sera «subject» en défaut de nom commun. Vous pouvez modifier cette option pour aider à identifier vos utilisateurs. Comme mentionné, nous allons utiliser le CN «Renato» pour aider à identifier l'utilisateur captif portail en choisissant sujet dans le champ username.
Activez le portail captif et choisissez le mode'redirection'. Cela permettra d'autres champs qui nécessitent votre attention. J'utilise la même autorité de certification racine de confiance que le certificat de serveur. Le CN utilisé était «cpcaroot.pantac2008.com. Il s'agit de l'hôte de redirection configuré et nous pointons ensuite vers le profil CERT client précédemment créé.
Dans cet exemple, je vais devoir m'assurer que mon ordinateur hôte sait comment atteindre'cpcaroot.pantac2008.com'donc je dois configurer le fichier hôte en conséquence. Cela ne doit pas être un problème dans un environnement de production si DNS est en mesure de résoudre le nom de domaine complet défini comme votre hôte de redirection qui doit également correspondre à la CN pour votre certificat de serveur.
Sortie du fichier hôte Windows:
# Copyright (c) 1993-2009 Microsoft Corp.
#
# Il s'agit d'un exemple de fichier hosts utilisé par Microsoft TCP/IP pour Windows.
#
# Ce fichier contient les mappages des adresses IP aux noms d'hôtes. Chaque
# l'Entrée doit être conservée sur une ligne individuelle. L'adresse IP doit
# être placé dans la première colonne suivie du nom d'hôte correspondant.
# L'adresse IP et le nom de l'hôte doivent être séparés par au moins un
espace.
#
# En outre, les commentaires (tels que ceux-ci) peuvent être insérés sur les différents
# lignes ou suivant le nom de l'ordinateur dénoté par un symbole' # '.
#
# Par exemple:
#
#
192.168.125.2 cpcaroot.pantac2008.com
Dans le déploiement Vwire tout en utilisant le mode de redirection, nous aurons besoin de graver une interface L3 sur le périphérique PA pour obtenir cette fonctionnalité. L'interface est affectée à la zone de confiance L3 et a un profil Mgmt activé avec au minimum, les pages de réponse. Notez que l'adresse IP utilisée est 192.168.125.2, qui est ce que mon système sera redirigé vers une fois le portail captif est déclenché étant donné l'utilisation du CN'cpcaroot.pantac2008.com'dans le certificat de serveur de portail captif.
En outre, gardez à l'esprit que l'hôte Redirigé devra être dans le même domaine de diffusion que le client afin qu'il réponde aux demandes ARP en conséquence. Si l'interface de redirection de portail captif est en dehors du domaine de diffusion des clients et le trafic doit traverser le v-Wire, vous devrez créer une stratégie d'exception pour permettre au trafic destine à cette interface une intervention portail captif
Voici la capture d'écran de l'hôte tente d'ouvrir un socket à www.google.com . Le navigateur soumet ensuite le CERT client au périphérique PA, car nous utilisons l'authentification de certificat client au lieu de LDAP dans ce scénario. J'ai ensuite rediriger le navigateur vers www.jimmyr.com et je suis maintenant présenté la page Web et CP m'a identifié comme «Renato» par mon certificat de client.
Précédemment vu comme inconnu pour 192.168.125.223:
admin @ Lab-26-PA5050 > afficher l'utilisateur IP-utilisateur-Mapping tous
IP VSys de l'utilisateur IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.223 vsys1 inconnu inconnu 2 5
Total : 1 utilisateurs
Une fois l'authentification du certificat client terminée, l'AP reflète maintenant les éléments suivants:
admin @ Lab-26-PA5050 > Show log direction du système égale en arrière
2015/01/27 09:05:58 info général 0 utilisateur admin connecté via CLI à partir de 192.168.125.223
2015/01/27 09:05:58 info General auth-su 0 User'admin authentifié. De: 192.168.125.223.
2015/01/27 09:05:40 info général 0 authentification portail captif réussi pour l'utilisateur: Renato sur 192.168.125.223, vsys1
2015/01/27 09:05:40 info général 0 portail captif certificat du client authentification réussie à partir de:: FFFF: 192.168.125.223.
admin @ Lab-26-PA5050 > afficher l'utilisateur IP-utilisateur-Mapping tous
IP VSys de l'utilisateur IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
192.168.125.223 vsys1 CP Renato 899 3518
192.168.125.111 vsys1 CP rkalugdan 261 1037
Total: 2 utilisateurs
admin @ Lab-26-PA5050 > Show session ID 33571113
Session 33571113
C2S Flow:
Source: 192.168.125.223 [vTrust]
DST: 216.58.216.2
proto : 6
sport: 51049 dport: 80
État: type actif: Flow
SRC utilisateur: Renato<======================================================></======================================================>
l’utilisateur DST : inconnu
S2C Flow:
Source: 216.58.216.2 [vuntrust]
DST: 192.168.125.223
proto : 6
sport: 80 dport: 51049
État: type actif: Flow
utilisateur de SRC : inconnu
DST utilisateur: Renato
DP: 1
index (local):: 16681
heure de début: Mar Jan 27 09:05:41 2015
délai d'attente: 3600 sec
temps de vivre: 3580 sec
nombre total d'octets (C2S): 3637
nombre total d'octets (S2C): 9854
nombre de paquets layer7 (C2S): 10
nombre de paquets layer7 (S2C): 14
VSys: vsys1
application: navigation sur le Web
règle: vwire
session à consigner à la fin: true
session en session Agere: true
session mise à jour par ha Peer: false
traitement layer7: activé
Filtrage d'URL activé: true
Catégorie d'URL: Web-annonces
session via syn-cookies: false
session terminée sur l'hôte: false
session traverse tunnel: false
session portail captif: false
interface d'infiltration: ethernet1/6
interface de sortie: ethernet1/4
règle de QoS de session: N/A (classe 4)
end-Reason: inconnu
Voici un exemple d'Authentification de certificat de client utilisant un client d'Ubuntu avec Firefox comme navigateur. J'ai installé l'AUTORITÉ de certification racine et le certificat intermédiaire dans le magasin de confiance pour Firefox alors que le certificat client est associé au magasin «vos certificats».
Voici Firefox présentant le certificat de client sur la tentative de l'utilisateur d'accéder à www.jimmyr.com
Enfin, le site Web original demandé est présenté à l'utilisateur
PA CLI output FO le syslog et IP-User-Mapping ci-dessous:
admin @ Lab-26-PA5050 > afficher l'utilisateur IP-utilisateur-Mapping tous les
VSys IP de l'utilisateur IdleTimeout (s)
MaxTimeout (s)
--------------------------------------------------------------------------
-------------
192.168.125.111 vsys1 CP Renato 893
3561
total: 1 Users
DMin @ Lab-26-PA5050 > afficher le journal direction du système de la gravité du temps de sous-
type objet EventID ID description
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
2015/01/27 13:24:07 info General General 0 accepted keyboard-interactive/PAM pour admin fr
OM 192.168.125.111 port 50672 SSH2
2015/01/27 13:23:45 info général 0 utilisateur admin connecté via CLI à partir de 192.168.125.1
11
2015/01/27 13:23:44 info General auth-su 0 User'admin authentifié. À partir de: 192.168.125
. 111.
2015/01/27 13:23:11 info général 0 authentification du portail captif réussie pour l'utilisation
r: Renato on 192.168.125.111, vsys1
2015/01/27 13:23:11 info général général 0 portail captif certificat du client authenticatio
n succès de:: FFFF : 192.168.125.111.
Voici un exemple d'un client MacOS utilisant le navigateur Chrome. Nous avons copié le même certs à l'Aide des certificats D'Accès de trousseau et de mon dossier de certificats respectivement.
Comme vous pouvez le voir une fois de plus, PA demande l'authentification du certificat client et chrome présente ledit certificat client comme prévu.
admin @ Lab-26-PA5050 > afficher l'utilisateur IP-utilisateur-Mapping tous
IP VSys de l'Utilisateur IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
- 192.168.125.113 vsys1 inconnu inconnu 3 6
Total : 1 utilisateurs
admin @ Lab-26-PA5050 > afficher l'utilisateur IP-utilisateur-Mapping tous
IP VSys de l'Utilisateur IdleTimeout (s) MaxTimeout (s)
--------------- ------ ------- -------------------------------- -------------- -------------
- 192.168.125.113 vsys1 CP Renato 899 3585
Total : 1 utilisateurs
Time Severity, sous-type Object EventID ID Description
===============================================================================
2015/01/27 13:00:40 info général 0 WildFire mise à jour du travail réussi pour l'agent de mise à jour automatique de l'utilisateur
2015/01/27 13:00:39 info général 0 Wildfire package mis à niveau de la version <unknown version="">à 51969-58674 par l'agent de mise à jour automatique</unknown>
2015/01/27 13:00:37 info général 0 Installation du paquet Wildfire: panup-All-Wildfire-51969-58674. tgz
2015/01/27 13:00:35 info général 0 WildFire version 51969-58674 téléchargé par l'agent de mise à jour automatique
2015/01/27 13:00:34 info général 0 connexion au serveur de mise à jour: terminé avec succès, initié par 10.46.32.26
2015/01/27 13:00:23 info général 0 connexion au serveur de mise à jour: updates.paloaltonetworks.com terminé avec succès, initié par 10.46.32.26
2015/01/27 13:00:21 info général 0 connexion au serveur de mise à jour: updates.paloaltonetworks.com terminé avec succès, initié par 10.46.32.26
2015/01/27 13:00:20 info général 0 authentification portail captif réussi pour l'utilisateur: Renato sur 192.168.125.113, vsys1
2015/01/27 13:00:20 info général 0 portail captif certificat du client authentification réussie à partir de:: FFFF: 192.168.125.113.