X-ファイアウォールでの Auth サポート PAN とトラブルシューティング方法
29016
Created On 09/17/20 15:03 PM - Last Modified 03/28/23 02:32 AM
Question
- 認証とは何 X- ですか?
- 認証のトラブルシューティング方法 X-
Environment
- 8.1 以上を実行しているパロ アルト ネットワーク ファイアウォール PAN-OS
- これは、お客様が Globalprotect 既にポータルとゲートウェイを設定しており、 X- ゲートウェイで認証サポートが有効になっていると仮定します。 この構成は、ネットワーク >> ゲートウェイ>>エージェント>>トンネル設定>>認証サポートを有効に X- するにあります
- また、顧客がサードパーティ製のクライアント アプリケーションを適切に構成していることを前提としています VPN 。
Answer
Auth X- とは何か、どのように機能 firewall するのか ?
- Xauth (内の拡張認証 IKE ) は、パロアルトネットワークスがゲートウェイを VPN 使用してサードパーティ製ソフトウェアをサポートするために使用するものです Globalprotect 。
- これにより、サードパーティクライアントは VPN Globalprotect ネゴシエーションの一部として認証プロファイルを通じて認証を IKE 行うことができます。
- IKE Vサード パーティのクライアントでは、.1 を使用する必要があります。
- サポートされる IPSec クライアント:サードパーティ クライアント VPN のサポート
- パロアルトネットワークは firewall 、OpenSSL暗号ライブラリを使用しています -リファレンス: GlobalProtect アプリの暗号化関数
- 顧客は、サードパーティのアプリケーションで暗号設定を設定し、 firewall それらのパラメータをサポートしている限り(そして PSK 、正しい) IKE フェーズ1と2は正常に交渉する必要があります。
- Globalprotect IPsec 暗号化プロファイルは X- 、認証クライアントには使用されません。
- エンド デバイスは、デバイス自体とゲートウェイ インターフェイス間のトンネルを設定 Globalprotect するだけです。
- トンネルのトラブルシューティングは、IPSec トンネルがトラブルショットになるのとほぼ同じ方法で行われます。 利用可能なリソースの一覧については、以下のドキュメントを参照してください。
- 以下は、 X- ウェブサイトからAuthが何をするかの説明です IETF :
IKE[ ] を使用すると、
デバイスは、事前共有キーまたはデジタル証明書を使用して双方向の認証方法を使用して、セキュリティで保護されたセッション
をセットアップできます。 しかし[ IKE ] は
、現在広く展開されているレガシ認証方式を活用する方法を提供していません
。
このドキュメントでは、SecurID などの既存の一方向
認証メカニズムを使用 RADIUS する方法、および OTP
IPsec のプロトコル内での方法について説明 ISAKMP します。 この草案の目的は
、[ ] で説明されている既存の認証メカニズムを置き換えたり拡張したりすること
IKE ではなく、レガシー認証メカニズムを使用して拡張できるようにすること
です。
このプロトコルは、
フェーズ 1 の任意の動作モード (
メイン モードまたはアグレッシブ モード) と
[ ] でサポートされている任意の認証方法を使用して拡張認証を実行できるように設計されています IKE 。 このプロトコルは、
新しいモードや認証方法をサポートするために簡単に拡張することもできます。 ただし、このプロトコルでは
、フェーズ 1 の認証方法を完全に
セキュリティで保護する必要があります。