Configuración del portal cautivo en V-WIRE (con autenticación RADIUS)

Configuración del portal cautivo en V-WIRE (con autenticación RADIUS)

58240
Created On 09/25/18 17:46 PM - Last Modified 08/23/22 20:40 PM


Resolution


Resumen

El portal cautivo se utiliza para crear asignaciones de usuario a IP en el cortafuegos de Palo Alto Networks. El portal se activa basándose en las directivas de portal cautivo sólo para tráfico HTTP y/o https y sólo se activa para las direcciones IP sin la asignación de usuario a IP existente. Para la autenticación de usuarios, se puede utilizar una base de datos local, RADIUS, Kerberos o servidor LDAP. Una vez identificados, las directivas basadas en el usuario se pueden aplicar al tráfico del usuario. Aunque el portal cautivo se utiliza más comúnmente en un entorno enrutado de capa 3, este documento describe los pasos para configurar una topología de cable V con portal cautivo en modo de redireccionamiento que se autentica en un servidor RADIUS.

 

image002.png

 

Requisitos previos

Como se ilustra anteriormente, la topología de la red para esta configuración requiere dos interfaces físicas configuradas para el cable V entrante y saliente. Una tercera interfaz física debe configurarse con una IP y asignarse a una zona fuera del cable V. Esta interfaz L3 se usará para la redirección del portal cautivo. El cortafuegos interceptará todas las sesiones de usuario desconocidas que utilicen http o https con un mensaje de redirección http 302. La redirección se configura con un nombre de host especificado que se resolverá a la dirección IP asignada a la interfaz L3. Es necesario habilitar el descifrado para que el cortafuegos envíe un mensaje de redirección para el tráfico HTTPS. El portal cautivo debe presentar un certificado y debe ser confiado por los usuarios finales (la CA que emite el certificado debe estar presente en el almacén root de confianza en el equipo cliente). Los usuarios no recibirán ninguna advertencia de certificado para la redirección https. Además, el Firewall establecerá una cookie en el navegador del cliente, por lo tanto, el usuario final no necesita volver a escribir el nombre de usuario/contraseña mientras cookie es válida (el temporizador de caducidad se puede establecer en la configuración del portal cautivo).

 

Debe realizarse una entrada DNS para la dirección IP configurada en la interfaz L3. El nombre de host DNS se usará como nombre común al crear el certificado de autenticación de portal cautivo y se puede utilizar en la configuración del redireccionamiento del portal cautivo. UN servidor RADIUS con cuentas de usuario ya definidas debe estar ejecutándose en la red y configurado para funcionar en los puertos 1812 o 1645.

 

La información sobre la configuración de RADIUS se puede encontrar aquí: Cómo configurar RADIUS en Windows 2008 Server

 

La autenticación RADIUS se envía desde la interfaz de administración del cortafuegos al servidor RADIUS. Si este tráfico RADIUS pasa a través de los puertos de datos del cortafuegos (plano de datos), se debe crear una regla de seguridad (si no existe ya) que permite este tráfico.

Si no hay ninguna directiva existente que niegue el tráfico intra-zona, no se requerirá una directiva de seguridad que permita el tráfico de la interfaz L3 utilizada por el portal cautivo.

 

Parte 1: configurar portal cautivo, autenticación y políticas

 

Configurar el perfil de servidor RADIUS

  • Vaya a la "ficha del dispositivo > perfiles de servidor > radio" y cree el perfil de servidor RADIUS. Rellena el nombre del perfil, el nombre del servidor, la dirección IP, el puerto (1812 o 1645) y el secreto.

RADIUS_server_prof. jpg

 

Configurar el perfil de autenticación

  • Vaya al "ficha dispositivo > autenticación de perfil" y añada un nuevo perfil
  • Rellene un nombre de perfil y agregue los usuarios que deben poder autenticarse contra el servidor RADIUS en la lista permitir
  • Seleccione radio de autenticación en el menú desplegable (las opciones son none, DB local, RADIUS, LDAP o Kerberos)
  • Elija el perfil de servidor que se acaba de crear para el servidor RADIUS.

Authentication_CP. jpg

 

Generar un certificado autofirmado o importar un certificado existente al cortafuegos

  • Ir a la "ficha del dispositivo > administración de certificados > certificaciones"
  • Opción 1: generar un certificado auto-firmado; Utilice el FQDN, que se asignará en DNS a la interfaz L3 que aloja el portal cautivo, como nombre común del certificado; Otros campos no son obligatorios.

          gen_cert2. jpg

  • Opción 2: la RSC generada (solicitud de firma de certificados) será exportada y firmada por la autoridad externa y luego importada de nuevo al firewall (use el mismo nombre común que para la opción 1)
  • Opción 3: importar tanto el certificado como la clave privada, que fueron generados por la entidad emisora de certificados externa.

 

Configurar portal cautivo

  • Ir a la "ficha del dispositivo > identificación del usuario > configuración del portal cautivo"
  • Editar la configuración del portal cautivo
  • Marque la casilla para habilitar el portal cautivo
  • Seleccione el certificado de portal cautivo previamente creado o importado para el certificado de servidor
  • Seleccione el perfil de autenticación configurado previamente
  • Activar modo de redireccionamiento
  • Para el host de redireccionamiento, escriba el FQDN que se traducirá a la dirección IP de la interfaz L3; El nombre de host debe coincidir con el nombre común utilizado en el certificado del portal cautivo
  • Temporizador inactivo: la cantidad de tiempo necesario para borrar la sesión del portal cautivo (mapping) si el usuario autenticado está inactivo
  • Caducidad: el tiempo máximo en que la sesión del portal cautivo puede estar activa para un solo usuario; después de esto, la asignación se eliminará y el usuario tendrá que volver a autenticar
  • Pausa de cookie de sesión es válida la cookie de sesión de tiempo; Si el navegador del usuario presenta la cookie en el portal cautivo no es necesario volver a introducir las credenciales
  • Las opciones de itinerancia permiten que se utilice la misma cookie cuando el cliente está vagando (cambiando la dirección IP)

 

Nota: en el modo transparente, el cortafuegos está suplantando el sitio web http/https de destino y enviando el mensaje http 401 para invocar la autenticación. Dado que el cortafuegos no tiene un certificado para el destino real, el usuario siempre recibirá una advertencia de certificado. Generalmente se recomienda usar el modo Redirect.

CP_config. jpg

 

Configure el perfil de administración de la interfaz y asígnele la interfaz:

  • Ir a la "pestaña de red > perfiles de red > interfaz MGMT"
  • El perfil de administración asignado a la interfaz L3 necesita tener las "páginas de respuesta" habilitadas:

mgt_prof. jpg

  • Vaya a la pestaña de red > interfaces y seleccione la interfaz L3 adecuada para aplicar el perfil de administración de la interfaz:

inter_profile. jpg

 

Configurar directivas de portal cautivo:

Vaya a la base de la regla "ficha políticas > portal cautivo". En este ejemplo, los usuarios de autenticaciones proceden de la zona de confianza (Asegúrese de que la zona de confianza tiene activada la casilla de verificación ID de usuario) e ir a la zona Untrust (Internet). Para la prueba inicial, limite esta regla a una sola IP o a un grupo de usuarios. Los usuarios (IPS) que no coincidan con la Directiva CP no pueden desencadenar la redirección del CP. No configure el redireccionamiento para el servicio HTTPS si el descifrado no está habilitado. La acción configurada es "Web-Form", lo que significa que el usuario será redirigido a la página del portal cautivo si no hay ninguna asignación para su dirección IP:

CP_rule. jpg

 

Configurar y ajustar las reglas de seguridad basándose en el escenario concreto

  • Vaya a la base de reglas "ficha Directivas > seguridad"
  • Asegúrese de que las directivas de seguridad permiten el tráfico de portal cautivo; debemos asegurarnos de que los usuarios redireccionados puedan llegar a la interfaz L3 que sirve en la página del portal; la redirección http se utiliza con el puerto 80, mientras que la redirección https está utilizando los puertos 6080/6081/6082/6083.
  • Asegúrese de que el tráfico DNS está permitido para los usuarios (para redireccionar al trabajo, el usuario debe primero intentar acceder al sitio web externo)
  • A menudo, no es necesario crear ninguna política de seguridad adicional si el tráfico intra-zona está habilitado. Los usuarios de la zona Trust podrán llegar al portal cautivo en la zona de confianza

 

Parte 2: prueba el portal cautivo

  • Confirme que la regla de política cautiva se activará para un usuario en particular mediante el comando CLI de "prueba CP-Policy-Match"; también, compruebe si no hay una asignación de usuario a IP para la dirección IP del usuario

> prueba CP-Policy-coincidencia <source_ip>de origen desde la confianza hasta el <destination_ip></destination_ip> destino de desconfianza</source_ip>

> Mostrar IP de usuario de asignación de IP de usuario<ip_address></ip_address>

> Mostrar usuario IP-usuario-mapping-MP IP<ip_address></ip_address>

  • Al cargar sitios web externos http/https, debe redirigirse a la página del portal cautivo para su autenticación. La página de portal cautivo puede personalizarse (ficha dispositivo > páginas de respuesta).
  • Una vez introducidas las credenciales apropiadas (controladas por el servidor RADIUS), se cargará la página inicialmente solicitada. El firewall creará una asignación de usuario a IP (el origen de la asignación se marcará como CP) :

Portal. jpg

    > Mostrar usuario IP-usuario-mapping-MP todo

    IP Vsys del tiempo de espera del usuario (seg)

    --------------- ------ ------- -------------------------------- ----------------

    172.16.21.93 vsys1 CP paloaltonetworks\user1 895< user mapped by Captive Portal user="" mapped="" by="" captive=""></ user mapped by Captive Portal>

    172.16.32.1 vsys1 GP pre-Logon 2588475

    192.168.21.94 vsys1 AD paloaltonetworks\user2 6

    Total: 3 usuarios

    *: Sondeo WMI tenido éxito

 

  • Si el usuario tiene la asignación en el cortafuegos, se puede borrar para fines de prueba y también puede borrar la sesión del portal cautivo para un usuario con los siguientes comandos CLI:

    > borrar IP de caché de usuario<ip_address></ip_address>

    > borrar usuario-cache-MP IP<ip_address></ip_address>

    > depurar dispositivo-restablecer servidor cautivo-portal IP-dirección

 

Enlaces útiles para solucionar problemas:

 

Propietario: nmarkovic
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJZCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language