キャプティブポータル HTTPS セッションで動作していません。

キャプティブポータル HTTPS セッションで動作していません。

68963
Created On 09/25/18 19:49 PM - Last Modified 09/28/23 12:55 PM


Symptom


兆候

キャプティブ ポータル (CP) ユーザーがユーザー名と任意のアクティビティの前にパスワードを入力します。ただし、非脱落型ポータル ユーザーは、https web サイトに行き、彼らはない自分の資格情報を入力する非脱落型ポータル ページを見ています。その結果、パロ ・ アルトのネットワーク ファイアウォールは (HTTPS セッションは、非脱落型のポータル ページを無視している) ため、ユーザーが誰を識別しません。

診断

  • 既知のユーザーには、暗号化解除ポリシーを使用しないでください。彼らは、自分の資格情報を入力した後に知られます。
  • 不明なワイヤレスユーザーに対して復号化ポリシーを使用して、HTTPS セッション/web サイトを開くときにキャプティブポータルページを取得することを確認します。まで、これらのユーザーは、資格情報を入力しない限り、非脱落型ポータルは、SSL 復号化のためトリガーされますので彼ら不明なユーザーとなります。
  • 不明なユーザーに対する復号化ポリシー、ユーザー常に得る非脱落型ポータル ページに行こうとするとウェブサイトの独立したを確認します。 

Resolution


前提条件

 

  • SSL の解読の知識
  • キャプティブポータル (CP) の知識

非稼働のシナリオ

  1. ワイヤレスゾーンから不明なユーザーが https://www.google.com を訪問しようとします。
  2. SSL セッションは、非脱落型のポータル ページをトリガー可能性があります。
  3. ファイアウォールが非脱落型ポータル ページを受け取りませんユーザーを識別することができます。

 

処理シナリオ

ユーザーが任意の URL (https) を訪問するたびに、非脱落型ポータル ページを挿入する場所に SSL の復号化が必要です。

ここをクリックして、SSL 復号化を構成するのには

ここをクリックして、非脱落型ポータルを構成するのには

 

スクリーン ショット、以下の説明を参照してください。

 

 1. PNG

 

処理シナリオ

  • 復号化ポリシー 1 はワイヤレスに復号化を言うユーザーを知られています。
  • 復号化ポリシー 2 は、復号化無線ゾーンからのすべてのトラフィックを言います。

 

  1. ワイヤレスゾーンから不明なユーザーが https://www.google.com を訪問しようとします。
  2. 復号化ポリシー 2 トリガー CP のページを提供しています。
  3. 不明なユーザーは再び他の https サイトにアクセスしようとすると、CP のページが再度復号化政策のために求められる 
  4. ユーザーが資格情報を入力し、グループの一部である非脱落型ポータル グループ (CP ユーザーを認証するための広告を使用して)。
  5. ファイアウォールは認識して今のユーザーと復号化政策 1、トリガー既知のユーザーからさらにトラフィックが暗号化は解除されません - ユーザーは証明書の警告] ページ表示されません。
  6. セキュリティ ポリシーも必要です、場所のグループとゾーンに基づいて個別に。上と下にあるゾーンに固有のポリシーにグループ固有のポリシーを作成します。

 

警告メッセージの説明

不明なユーザーは無線ゾーンから来ることし、復号化されている場合に警告メッセージが表示されますので、自己署名証明書をインストールするには方法はありません。

 

CP のサード パーティ証明書を使用する場合、ユーザー認証後は、decryp のルールが適用されますと証明書の警告を求めるがないこと。

 

ありがとう。

 

Tarang Srivastav
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClevCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language