Passive + Active Authentication (Captive portal) on firepower- rules don`t work (активная авторизация не работает)

Неотвеченый вопрос
ноя 17th, 2016
User Badges:

Прошу помочь с настройкой авторизации на firepower...

На данный момент, корректно не работает passive + active авторизация одновременно...


Подскажите пожалуйста как же все таки должна работать связка пассивная + активная авторизация.

Если включена пассивная авторизация, то правила на firepower отлично отрабатывают.

Вот пример работы: 1.png, 2.png

rules passive authentication

passive authentication

Если мы при работающей пассивной авторизации включаем еще и активную, то имеем следующую картину:

По http запросам нас перенаправляют на страницу авторизации, так же происходит с https, если расшифровывать ssl

А вот все остальные порты, просто открыты. Такое чувство, что либо перестает перенаправляться трафик на FP, либо правила просто игнорируются.

Если мы авторизуемся по активной авторизации, то правила совершенно точно игнорируются и работает действие Default Action в правилах (И то, только для http, https).

Вот пример работы: 3.png, 4.png

rules active authentication

active authentication

Буду рад любым идеям по решению задачи корректной работы пассивной авторизации и captive portal…

Версия FP и FMC 6.1 330 (ASA Version 9.6(1)5) asa 5525-x

Заранее спасибо…


П.С.: Обращался за помощью к Руслану Иванову (ruivanov), после вебинара Firepower 6.1. Было предложено снять галку «Identify as Special Indentities/Guest if authentication cannot identify user» и после этого тишина, а жаль..., от специалиста cisco ожидал нечто большее чем это...

 

Прикрепленные файлы: 
I have this problem too.
0 голоса
Loading.
Ruslan Ivanov ср, 11/23/2016 - 00:57
User Badges:
  • Cisco Employee,

Предоставленной информации недостаточно, чтобы понять что именно не работает.


Что именно вы хотите сделать - можете описать, как должна выглядеть последовательность аутентификации с точки зрения политик?

Какой сертификат используется для активной аутентификации? Как он был сгенерирован?

Какие записи появляются в Analysis > Users > User Activity  когда делается пассивная аутентификация, и когда активная?

По какому документу делалась настройка?


Рекомендую посмотреть вот этот документ - http://www.cisco.com/c/en/us/support/docs/security/asa-firepower-service...

и с его помощью проверить все настройки.


Evgeniy Ivanjv ср, 11/23/2016 - 10:57
User Badges:

Руслан, настройка делалась по приведенному Вами документу. После того, как столкнулись с проблемой - посмотрели достаточно много информации, в т.ч. видео лабы...

По последовательности аутентификации и политикам:

Всем пользователям доступны доверенные сайты (trust), dns, icmp

Пользователям в группе AD BLOCKSNET не доступны социальные сети

Пользователям в группе AD MIN и MAX не доступны Peer-to-peer

Пользователям в группе AD MIN открыты порты 80 и 443

Пользователям в группе AD MAX открыты все порты

Пользователям в группе AD FULL доступны любые ресурсы в т.ч. p2p

Всем остальным пользователям запрещено все, кроме trust сайтов.

Пользователи проходят пассивную авторизацию (user agent), если пассивная авторизация не проходит, то предлагается активная авторизация.

В логах Analysis > Users > User Activity появляется информация о прошедшей авторизации. В случаи пассивной авторизации - Passive Authentication с ip адресом клиента, в случаи активной авторизации - Active Authentication с ip адресом клиента и Passive Authentication с ip адресом firepower.

Если мы не проходим авторизацию (не пассивную, не активную) то в логах отображается пользователь Unknow и информация о блокировке, хотя на самом деле трафик проходит. Отлично проверяется с помощью telnet на нужный порт. Если в браузере при заходе на сайт по 80 порту срабатывает редирект на captive portal, то telnet загружает сайт. В браузере 443 порт не доступен, telnet так же отображает информацию.

Если мы выключаем активную авторизацию и оставляем только пассивную, то правила отлично работают. Без авторизации нам доступно то что должно быть и все остальное не доступно. С авторизацией (пассивной) нам доступно все в соответствии с группой в AD и правилами на FMC.

Я на самом деле не понимаю, почему firepower себя так ведет. На ASA, я настраивал активную авторизацию AD, RADIUS и т.д. - все отлично работало.

Пробовали создавать правила, запрещать все для всех, но включив активную авторизацию, - получали тот же эффект. После авторизации, в логах FMC правильный пользователь, правильное действие, но трафик не блокируется.

Единственное, где можно запретить трафик - это в правилах ASA, но после авторизации правила ASA ни куда не деваются и получается, что ASA with firepower работает таким образом, что использовать ЭТО в промышленной эксплуатации нельзя. Можно было бы конечно отказаться от активной авторизации совсем, но тогда клиенты которые авторизуются через RADIUS не будут иметь возможность выходить в интернет.

П.С. Сертификат используется, выданный корневым центром сертификации AD.

Руслан есть ли какой либо вариант заставить все это работать? Нужна ли еще какая либо информация? Заранее спасибо :-)

Действия

Информация о дискуссии