Control de conexiones satelitales LSVPN con OCSP

Control de conexiones satelitales LSVPN con OCSP

19721
Created On 09/26/18 13:47 PM - Last Modified 04/20/20 23:38 PM


Resolution


Resumen

La implementación de LSVPN permite a los administradores conectar rápidamente los sitios VPN al sitio principal. La implementación se basa en el uso de certificados para autenticar los satélites al portal, lo que permite a los administradores controlar a quién se le permitirá el acceso a la red VPN, y a quién se le puede negar si se necesita una acción de emergencia.

Detalles

Para lograr el control total, es necesario que haya una autoridad de certificación (CA) en el cortafuegos de Palo Alto Networks, y OCSP respondedor para los certificados que generaremos con esa CA. El proceso es muy similar a controlar GlobalProtect conexiones VPN de acceso remoto y principios similares son válidos y pasos similares deben ser seguidos.

Nota: para más información, consulte el siguiente enlace: control de acceso VPN GlobalProtect con OCSP

  1. Crear una CA en el cortafuegos
  2. Crear un respondedor OCSP local
  3. Crear un perfil de certificado que se usará para comprobar el estado de las certificaciones con el OCSP dado
  4. Crear un certificado firmado por la entidad emisora de certificados y incluir el respondedor OCSP que se comprobará para el estado de revocación de estos títulos
  5. Verificar si los certificados se generan con la información correcta cuando un satélite se conecta a GlobalProtect (esto debería incluir el emisor correcto)
  6. Compruebe que los satélites pueden conectarse a la red VPN
  7. Si es necesario, revocar el certificado de satélite para eliminar inmediatamente el satélite de los dispositivos que pueden conectarse a la red VPN

Pasos

Después de que la CA y el respondedor OSCP estén en su lugar en el cortafuegos, cree un perfil de certificado.

Nota: haga referencia al siguiente vínculo para obtener más información sobre: Cómo configurar un respondedor OCSP

  1. Para crear un perfil de certificado para los satélites LSVPN, que verificará el estado de revocación con el OCSP creado, vaya al dispositivo > gestión de certificados > Perfil de certificado.Screen Shot 2014-06-16 en 12.34.04 AM. png
  2. Ir al dispositivo > administración de certificados > certificados y haga clic en generar para crear el certificado que se utilizará para firmar los certificados de satélite.
    Mientras crea el certificado, asegúrese de utilizar el respondedor OCSP creado previamente. Si se trata de un certificado intermediado, asegúrese de seleccionar la entidad emisora de certificados root que se confía en el satélite. Si la raíz no es de confianza en el satélite, o se trata de un certificado raíz que se está creando ahora, asegúrese de exportar el certificado de este cortafuegos e importarlo en el Firewall de satélite.
    Screen Shot 2014-06-28 en 1.49.21 PM. png
  3. En este momento, la configuración del LSVPN necesita ser completada. Por favor, haga referencia a la guía de implementación de VPN de gran escala (LSPV) para completar la configuración.
    Mientras configura la configuración, asegúrese de utilizar los certificados y perfiles de certificado apropiados creados previamente.
    Incluya la CA raíz de confianza y el respondedor OCSP en la configuración del satélite en el portal GlobalProtect, de modo que los certificados se comprueban para el estado de revocación.
    Utilice el certificado de servidor y el perfil de certificado para el Gateway GlobalProtect, como se muestra a continuación:
    Screen Shot 2014-06-16 en 12.37.02 AM. png
  4. Una vez completada la configuración de LSVPN completa, compruebe si las conexiones se establecen desde los satélites a GlobalProtect.
    Compruebe la conexión debajo de la lengüeta de la red > GlobalProtect > Portals > bajo info > haga clic en la información del satélite:
    Screen Shot 2014-06-16 en 12.38.48 AM. png
  5. Ir a la red > GlobalProtect > gateways > bajo info > haga clic en la información del satélite para acceder a los detalles acerca de la conexión a la puerta de enlace necesaria:
    Screen Shot 2014-06-16 en 12.39.16 AM. png
    el certificado que se utiliza para este proceso se crea realmente para el satélite, de la CA que ha sido especificada en los pasos anteriores. De forma predeterminada, la validez de estos certificados es de 7 días.

    Como se muestra a continuación, vea el certificado emitido bajo dispositivo > administración de certificados > certificados: al
    Screen Shot 2014-06-16 en 12.32.33 AM. png
    abrir el certificado, hay una opción para revocar el certificado.
    Screen Shot 2014-06-16 en 12.40.26 AM. png
    Una vez que se hace clic en el botón revocar, el certificado ya no es válido y no debe ser aceptado por el portal para establecer conexiones a la red VPN:
    Screen Shot 2014-06-16 en 12.40.39 AM. png
    el estado cambia inmediatamente a revocado: a
    Screen Shot 2014-06-16 en 12.40.53 AM. png
    partir de este momento, las conexiones de ese satélite se se eliminará, debido a la autenticación con un certificado no válido. Esto se puede ver en los registros del sistema, como se muestra a continuación:Screen Shot 2014-06-16 en 1.03.35 AM. png

En el sslmgr. log del portal, vea que se realiza una comprobación de certificado y que se revoca el certificado utilizado. Ejecute el siguiente comando operativo para lograrlo:

> less MP-log sslmgr. log

Jun 16 00:51:58 pan_store_portal_cfg_assigned (pan_store_satellite_info. c:1854): encontrar asignado serialNo 0006C107270

Jun 16 00:51:58 pan_store_satellite_info_response_print (pan_store_satellite_info. c:106): {Satellite info Success; vsys ID (1); vsys Name (vsys1); nombre del portal (GP-portal);

serialNo (0006C107270); hostname (idea-PA-01); config (LSVPN_Satelites); PIN (estático); derivado de (); último IP visto (10.193.16.27); }

Jun 16 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info. c:964): se revoca el certificado (539DAE57002715), no limpiar

Jun 16 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info. c:973): fecha de caducidad del certificado (Jun 22 22:51:01 2014 GMT)

Jun 16 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info. c:979): fecha actual (Jun 15 22:51:58 2014 GMT)

Jun 16 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info. c:981): EXPDATE (140622225101Z) curdate (140615225158Z)

Jun 16 00:51:58 pan_store_certificate_info_find_expired_cert (pan_store_certificate_info. c:984): EXP Date (3183271629) curwarmingdate (3176271686)

Jun 16 00:51:58 pan_store_is_cert_expired (pan_store_certificate_info. c:70): fecha de caducidad del certificado (Jun 22 22:51:01 2014 GMT) (140622225101Z)

Jun 16 00:51:58 pan_store_is_cert_expired (pan_store_certificate_info. c:77): fecha actual más días de calentamiento (Jun 18 22:51:58 2014 GMT) (140618225158Z)

Jun 16 00:51:58 sslmgr_sysd_store_cert_gen (sslmgr_sysd. c:469): el certificado sigue siendo válido

Jun 16 00:51:58 pan_store_satellite_info_request_print (pan_store_satellite_info. c:75): {satélite info Find; vsys ID (1); vsys Name (vsys1); Portal Name (GP-portal); seria

LNO (0006C107270); hostname (); config (); PIN (); derivado de (); última vista IP (); }

Jun 16 00:51:58 pan_store_portal_cfg_assigned (pan_store_satellite_info. c:1854): encontrar asignado serialNo 0006C107270

Jun 16 00:51:58 pan_store_satellite_info_response_print (pan_store_satellite_info. c:106): {Satellite info Success; vsys ID (1); vsys Name (vsys1); nombre del portal (GP-portal);

serialNo (0006C107270); hostname (idea-PA-01); config (LSVPN_Satelites); PIN (estático); derivado de (); último IP visto (10.193.16.27); }

Jun 16 00:52:14 [OCSP] URL (NULL) serialNo: 539E235500032C

Jun 16 00:52:14 enviar cookie: 4 sesión: 0 estado: 2 a DP

Después de la revocación, una conexión no puede ser establecida más:

> Mostrar global-Protect-Gateway actual-satélite

GlobalProtect Gateway: GP-GW-1 (0 satélites)

Nombre del túnel: GP-GW-1-S

GlobalProtect Gateway: GP-GW-1-backup (0 satélites)

Nombre del túnel: GP-GW-1-backup-S

> Mostrar global-Protect-Gateway previo-satélite

GlobalProtect Gateway: GP-GW-1 (0 satélites)

Nombre del túnel: GP-GW-1-S

GlobalProtect Gateway: GP-GW-1-backup (0 satélites)

Nombre del túnel: GP-GW-1-backup-S

        Satélite: 0006C107270

        Nombre de host satelital: idea-PA-01

        IP privada: 10.200.2.1

        IP pública: 10.193.16.27

        IPS de túnel satelital:

        Tiempo de login: Jun. 15 23:51:33

        Tiempo de cierre de sesión: Jun. 16 00:51:34

        Razón: el curso de la vida del túnel expiró

        Rutas publicadas por satélite: 172.18.1.0/24

        Rutas denegadas por satélite:

        Rutas duplicadas satelitales:

        Monitor de túnel activado: sí

        Intervalo del monitor del túnel: 3 segundos

        Acción del monitor del túnel: fail-over

        Umbral del monitor del túnel: 5 intentos

        Fuente del monitor del túnel: 10.193.21.98

        Destino del monitor de túnel: 10.200.2.1

        Estado del monitor de túnel: no hay datos disponibles

El satélite puede ser eliminado permanentemente de la configuración satelital del portal GlobalProtect. Esto significa que el portal no tiene que intentar validar el certificado.

Para configurar, vaya a la red > GlobalProtect > Portals > configuración del satélite, seleccione el satélite y elimínelo de la lista:

Screen Shot 2014-06-28 en 2.54.42 PM. png

Propietario: ialeksov
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClosCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language