X-Qu’est-ce que le support Auth dans les PAN pare-feu et comment le dépanner ?
Question
- Qu’est-ce X- qu’Auth?
- Comment dépanner X- auth?
Environment
- Pare-feu Palo Alto Networks fonctionnant PAN-OS 8.1 et au-dessus
- Cela suppose que le client dispose déjà Globalprotect d’un portail et d’une passerelle, et a activé X- le support Auth sur la Passerelle. Cette configuration est située à Network >> Gateways >> Agent >> Tunnel Settings >> Enable X- Auth Support
- Il suppose également que le client a configuré l’application client tiers VPN correctement.
Answer
X-Qu’est-ce qu’Auth et comment cela fonctionne-t-il avec le firewall ?
- Xauth (Authentification étendue à IKE l’intérieur) est ce que Palo Alto Networks utiliser pour prendre en charge les logiciels VPN tiers en utilisant la Globalprotect passerelle.
- Il permet au client tiers de VPN s’authentifier à Globalprotect travers le profil auth dans le cadre de la IKE négociation.
- IKE V.1 doit être utilisé sur les clients tiers.
- Clients IPSec pris en charge : Support VPN client tiers
- Le Réseau Palo Alto firewall utilise la cryptothèque OpenSSL - Référence : Fonctions GlobalProtect cryptographiques des applications
- Le client définit la configuration crypto dans l’application tierce, et tant que firewall les supports de ces paramètres (et le est PSK correct) phase IKE 1 et 2 devraient négocier avec succès.
- Globalprotect Les profils crypto iPsec ne sont pas utilisés pour les X- clients auth.
- L’appareil final met simplement en place un tunnel entre l’appareil lui-même et Globalprotect l’interface Gateway.
- Le dépannage du tunnel se fait de la même manière que n’importe quel tunnel IPSec serait gênant. Veuillez consulter le document ci-dessous pour obtenir une liste des ressources disponibles.
- Voici la description de ce X- qu’Auth fait à partir du IETF site Web:
[ IKE ] permet à un appareil de configurer une session sécurisée en utilisant une méthode
d’authentification bidirectionnelle à l’aide de clés pré-partagées ou
de certificats numériques. Cependant [ IKE ] ne fournit pas une méthode pour tirer parti des méthodes
d’authentification héritées qui sont largement déployées
aujourd’hui.
Ce document décrit une méthode d’utilisation des mécanismes
d’authentification unidirectionnels RADIUS existants tels que , SecurID, et dans le protocole de OTP
l’IPsec. ISAKMP Le but de ce projet n’est pas de
remplacer ou d’améliorer les mécanismes d’authentification existants décrits dans [], mais plutôt de leur permettre
IKE d’être étendus à l’aide de mécanismes
d’authentification hérités.
Ce protocole est conçu de telle sorte que l’authentification étendue
peut être réalisée en utilisant n’importe quel mode de fonctionnement pour la phase 1 (c’est-à-dire le mode principal ou le mode agressif) ainsi que toute méthode
d’authentification
prise en charge par [ IKE ]. Ce protocole peut également être facilement étendu pour prendre en charge de
nouveaux modes ou méthodes d’authentification. Ce protocole exige toutefois
que la méthode d’authentification de phase 1 soit entièrement
sécurisée.