Kullanıcı Doğrulama özelliğini etkinleştirmek için ilk olarak NGFW üzerinde Edit işlemi sağlanır.
Add-Ons>User Authentication Bölümünde, HTTPS seçeneği etkinleştirilir.
HTTP etkinleştirilebilir ancak kimlik bilgileri bu kanal üzerinden gönderileceğinden, yalnızca güvenli bir bağlantı kullanılması tercih edilir (HTTP bağlantıları güvenli değildir, kullanıcı adı ve parolalar Cleartext olarak aktarılır, Hassas bilgilerin kaybını önlemek için şifreli HTTPS bağlantıları kullanılması önerilir)
HTTP etkinleştirilebilir ancak kimlik bilgileri bu kanal üzerinden gönderileceğinden, yalnızca güvenli bir bağlantı kullanılması tercih edilir (HTTP bağlantıları güvenli değildir, kullanıcı adı ve parolalar Cleartext olarak aktarılır, Hassas bilgilerin kaybını önlemek için şifreli HTTPS bağlantıları kullanılması önerilir)
Authentication sayfası sertifika yapılandırılması
HTTPS etkinleştirdiğimiz için kimlik doğrulama durumunda bir HTTPS sayfası gösterilecektir. Dolayısıyla Bu sayfa ile ilişkilendirilecek bir sertifika seçilmelidir.
(Bu sertifika harici bir Sertifika Yetkilisi tarafından imzalanabilir veya dahili olarak imzalanabilir) sonrasında sertifika anlamlı bir isim ve CRT formatı ile Export edilmelidir.
HTTPS etkinleştirdiğimiz için kimlik doğrulama durumunda bir HTTPS sayfası gösterilecektir. Dolayısıyla Bu sayfa ile ilişkilendirilecek bir sertifika seçilmelidir.
(Bu sertifika harici bir Sertifika Yetkilisi tarafından imzalanabilir veya dahili olarak imzalanabilir) sonrasında sertifika anlamlı bir isim ve CRT formatı ile Export edilmelidir.
Browser-Based User Authentication HTTPS konfigürasyonunda “Common Name
(CN)” doğru tanımlanmalıdır, Çünkü kimlik doğrulama tetiklendiğinde “Common Name
(CN)” olarak adlandırılan URL ile eşleşmelidir, bu bölümde sertifika Generate
edilir.
NGFW'nin Kullanıcı Doğrulama bölümünde, doğrulama isteğini dinleyecek arayüzü (veya arayüzleri) seçilmeli.
Test için bir Client üzerinde, Untrusted CA ile ilgili tarayıcı uyarısından kaçınmak için, Daha önce dışa
aktarılan CA Client Cihazına Trusted Root CA olarak aktarılmalıdır.
Önceden kaydedilmiş dosyayı Test edilecek Client üzerine taşıyarak, “Install Certificate” edilir, “Store Location” bölümünde, “Local Machine” seçeneği seçilerek, “Place all certificates in the following store” seçeneği ile “Browse” üzerinden “Trusted Root Certification Authorities” seçilir.
Önceden kaydedilmiş dosyayı Test edilecek Client üzerine taşıyarak, “Install Certificate” edilir, “Store Location” bölümünde, “Local Machine” seçeneği seçilerek, “Place all certificates in the following store” seçeneği ile “Browse” üzerinden “Trusted Root Certification Authorities” seçilir.
Sertifika Common Name ile ilgili DNS girişi oluşturmak için, Common Name sertifikasının, kimlik doğrulama sayfasını gösteren NGFW IP adresi ile çözülmesi için tanımlama yapılmalıdır.
Resim’deki örnekde Microsoft DNS kullanılmıştır.
DNS Yönetim (dnsmgmt.msc) Portalında “ Forward Lookup Zones” bölümünde ilgili Etki Alanı seçilir.
Create a “New
Host (A or AAAA)” tanımında, Name alanına sertifikaya daha önce Common Name
bölümündeki aynı Name verilip, Authentication isteklerini (Listening
interfaces) dinleyen NGFW arayüzünün IP adresi tanımlanır.
Sonrasında işlevsellikleri
test etmek için kullanılan Client, CN'yi kimlik doğrulama için NGFW Arayüzünün IP Adresi ile çözebilmelidir.
User Response Page Oluşturulması
Configuration>NGFW>Other Elements>Engine Properties>User Responses
bölümünde
“New User Response” oluşturulur. User Response Page oluşturulurken “Connection Terminated by Inspection Rule” bölümünde “URL Redirection” seçilerek, URL alanına DNS’in daha önce oluşturulan sertifikada kullanılan CN’ye çözümlediği URL tanımlanır.( Manual and Automatic redirection) seçimi yapılır.
“New User Response” oluşturulur. User Response Page oluşturulurken “Connection Terminated by Inspection Rule” bölümünde “URL Redirection” seçilerek, URL alanına DNS’in daha önce oluşturulan sertifikada kullanılan CN’ye çözümlediği URL tanımlanır.( Manual and Automatic redirection) seçimi yapılır.
Firewall Policy Oluşturulması
Öncelikle, Kimliği doğrulanmış kullanıcıların trafiğine izin vermek için bir kural oluşturulur.
Öncelikle, Kimliği doğrulanmış kullanıcıların trafiğine izin vermek için bir kural oluşturulur.
Kimliği doğrulanmamış kullanıcıların Redirection temelini oluşturmasına ve işlemini Trigger
edebilecekleri bağlantılara izin veren kural oluşturulur.
Bu Bölümde Domain User dışında, Internal User tanımı da yapılabilir.
Bu Bölümde Domain User dışında, Internal User tanımı da yapılabilir.
Inspection Policy Yapılandırması
Birincisi Authentication gerektirmeden güvenlik duvarına bağlanmaya izin
verir.
İkincisi Kimliği doğrulanmış kullanıcılarla bağlantıya izin verir.
Üçüncüsü Kimliği doğrulanmamış olan kullanıcılarla bağlantıyı sonlandırır ve Response Page logon formuna yönlendirir.
İkincisi Kimliği doğrulanmış kullanıcılarla bağlantıya izin verir.
Üçüncüsü Kimliği doğrulanmamış olan kullanıcılarla bağlantıyı sonlandırır ve Response Page logon formuna yönlendirir.
Bu Bölümde Source alanında Domain User dışında, Internal User tanımı da yapılabilir.
Kimliği Doğrulanmamış Client, Test için bir web sitesine erişmeyi denediğinde NGFW
Authentication sayfasına yönlendirilecektir.
Kimlik
doğrulama sayfası için kullanılan sertifikaya baktığımızda, yapılandırma işlemi
sırasında seçilen sertifikanın Dahili CA tarafından imzalandığını görebiliriz.
Güvenlik duvarı
politikasında etkin olan kullanıcının kimlik bilgileriyle giriş yapılabilir.
Login sonrası NGFW Kimlik Doğrulama Detayları aşağıdaki şekilde
gösterilecektir.
Belli bir süre sonra
istenen orijinal sayfa yeni bir sekmede açılır.
SMC
aracılığıyla, Loglar User Monitoring bölümünde Identification Type/User
Authentication şeklinde görüntülenir.
Loglarda,
kimlik doğrulama işleminin başlangıcı gibi kimlik doğrulama aşamasına ilişkin
birkaç mesaj görülecektir.
Kimlik
doğrulama işleminin başarılı olması ile ilgili Log
Browser Based
Authentication ile ilgili log
Yorumlar
Yorum Gönder