Was ist X- Auth-Unterstützung in PAN Firewalls und wie kann man sie beheben?

• Was ist X- Auth?
• Wie kann ich X- auth beheben?

• Palo Alto Networks Firewalls PAN-OS mit 8.1 und höher
• Dies setzt voraus, dass der Kunde bereits über ein Portal und ein Gateway verfügt und den Globalprotect X- Auth-Support auf dem Gateway aktiviert hat. Diese Konfiguration befindet sich unter Network >> Gateways >> Agent >> Tunneleinstellungen >> X- Auth Support aktivieren
• Es wird auch davon ausgegangen, dass der Kunde die Clientanwendung eines Drittanbieters ordnungsgemäß konfiguriert VPN hat.

• Xauth (Extended Authentication within IKE ) ist das, was Palo Alto Networks verwendet, um Software von Drittanbietern mithilfe des Gateways zu VPN Globalprotect unterstützen.
• Es ermöglicht dem VPN Drittanbieterclient, sich über das Globalprotect auth-Profil als Teil der Aushandlung zu authentifizieren. IKE   
• IKE V.1 muss auf Kunden von Drittanbietern verwendet werden.
• Unterstützte IPSec-Clients: VPN Clientsupport von Drittanbietern
• Das Palo Alto Netzwerk firewall verwendet die OpenSSL-Kryptobibliothek - Referenz: App GlobalProtect Cryptographic Functions
• Der Kunde legt die Kryptokonfiguration in der Drittanbieteranwendung fest, und solange die firewall diese Parameter unterstützt (und die korrekt PSK ist), sollten Phase 1 und 2 erfolgreich IKE ausgehandelt werden.
• Globalprotect IPSec-Kryptoprofile werden nicht für die X- auth-Clients verwendet.
• Das Endgerät richtet einfach einen Tunnel zwischen dem Gerät selbst und der Globalprotect Gateway-Schnittstelle ein.  
• Die Fehlerbehebung des Tunnels erfolgt ähnlich wie bei jedem IPSec-Tunnel. Eine Liste der verfügbaren Ressourcen finden Sie im folgenden Dokument.

• Unten ist die Beschreibung dessen, was X- Auth von der Website aus IETF tut:

  [ ] ermöglicht es einem Gerät, eine sichere Sitzung mithilfe IKE einer
bidirektionalen Authentifizierungsmethode mithilfe von vorinstallierten Schlüsseln oder
digitalen Zertifikaten einzurichten. [ ] bietet jedoch IKE keine Methode zur Nutzung von
Legacy-Authentifizierungsmethoden, die heute weit verbreitet
sind.

In diesem Dokument wird eine Methode zum Verwenden vorhandener unidirektionaler
Authentifizierungsmechanismen wie RADIUS , SecurID und innerhalb des Protokolls von OTP
IPSec ISAKMP beschrieben. Der Zweck dieses Entwurfs besteht nicht darin,
die unter [ ] beschriebenen bestehenden Authentifizierungsmechanismen zu ersetzen oder zu
IKE verbessern, sondern sie mithilfe von
Legacy-Authentifizierungsmechanismen zu erweitern.

Dieses Protokoll ist so konzipiert, dass eine erweiterte Authentifizierung
mit jeder Betriebsart für Phase 1 (d. h.
Hauptmodus oder Aggressiver Modus) sowie mit jeder von [ ] unterstützten Authentifizierungsmethode durchgeführt werden
IKE kann. Dieses Protokoll kann auch leicht erweitert werden, um
neue Modi oder Authentifizierungsmethoden zu unterstützen. Dieses Protokoll
erfordert jedoch, dass die Phase 1-Authentifizierungsmethode vollständig
sicher ist.