¿Qué es X- el soporte de autenticación en PAN firewalls y cómo solucionarlo?

• ¿Qué es X- Auth?
• ¿Cómo solucionar problemas de X- autenticación?

• Firewalls de Palo Alto Networks con PAN-OS un 8,1 y más
• Esto supone que el cliente ya tiene configurado un portal y una Globalprotect puerta de enlace y ha habilitado el soporte técnico de autenticación en la puerta de X- enlace. Esta configuración se encuentra en network >> Gateways >> Agent >> Tunnel Settings >> Habilitar X- soporte de autenticación
• También asume que el cliente ha configurado correctamente la aplicación cliente de 3 ª VPN parte.

• Xauth (Autenticación extendida IKE dentro) es lo que Palo Alto Networks utiliza para admitir software de terceros VPN utilizando la puerta de Globalprotect enlace.
• Permite que el cliente de terceros VPN autentique a través del perfil de Globalprotect autenticación como parte de la IKE negociación.   
• IKE V.1 debe utilizarse en los clientes de 3 ª parte.
• Clientes IPSec compatibles: Soporte al cliente de VPN terceros
• La Red Palo Alto firewall utiliza la biblioteca criptográfica OpenSSL - Referencia: GlobalProtect Funciones criptográficas de aplicaciones
• El cliente establece la configuración de criptografía en la aplicación de terceros, y siempre y cuando el firewall soporte de esos parámetros (y el es PSK correcto) fase IKE 1 y 2 debe negociar con éxito.
• Globalprotect Los perfiles criptográficos IPsec no se usan para los X- clientes de autenticación.
• El dispositivo final simplemente configura un túnel entre el propio dispositivo y la Globalprotect interfaz de puerta de enlace.  
• La solución de problemas del túnel se hace de la misma manera que cualquier túnel IPSec sería problema. Consulte el siguiente documento para obtener una lista de los recursos disponibles.

• A continuación se muestra la descripción de lo que X- Auth hace desde IETF el sitio web:

  [ IKE ] permite a un dispositivo configurar una sesión segura mediante un método de autenticación
bidireccional mediante claves previamente compartidas o
certificados digitales. Sin embargo , IKE [ ] no proporciona un método para aprovechar los métodos de autenticación
heredados que se implementan ampliamente
hoy en día.

Este documento describe un método para utilizar los mecanismos de autenticación unidireccional existentes
tales como RADIUS , SecurID, y OTP dentro del protocolo
IPsec. ISAKMP El propósito de este borrador no es reemplazar o mejorar los mecanismos de
autenticación existentes descritos
en [ IKE ], sino más bien permitir que se extiendan utilizando
mecanismos de autenticación heredados.

Este protocolo está diseñado de tal manera que la autenticación extendida
se puede lograr utilizando cualquier modo de operación para la fase 1 (es decir,
modo principal o modo agresivo), así como cualquier método de autenticación
soportado por [ IKE ]. Este protocolo también se puede ampliar fácilmente para
admitir nuevos modos o métodos de autenticación. Sin embargo, este protocolo
requiere que el método de autenticación de fase 1 sea completamente
seguro.