Palo Alto Networks PA-5060 - Exclusive Networks

More documents

Recommendations

Info

PA – 5060 – Documentación para la preventaPágina 38 de 100Integración de usuarios no pertenecientes al dominio: Captive Portal con NTLMEn el caso de que existan usuarios que no pertenecen al dominio (como por ejemplousuarios externos trabajando temporalmente), es aún posible identificarlos comousuarios y no únicamente por su dirección IP. Para ello los cortafuegos de PAN ofrecenla posibilidad de utilizar un portal cautivo, Captive Portal, que se encarga de realizaresta tarea.El portal cautivo puede utilizar con dos modos de trabajo diferentes: Autenticación basada en NTLM Autenticación basada en página web con formulariosEn general es preferible utilizar la autenticación por NTLM, más elegante, puesto que elusuario no es presentado con ninguna página web, sino que se le solicita laautenticación directamente según se conecta a cualquier sitio.Para la autenticación basada en NTLM, se utilizan las cabeceras de autenticaciónHTTP. Es importante señalar que es necesario que el cliente utilice un navegadorcompatible con este método de trabajo, como Internet Explorer o Firefox. La siguientefigura, Figura 18, muestra el esquema general del flujo de una autenticación con NTLM:Figura 18.- Flujo general de la autenticación vía NTLMPAN-OS utiliza las cabeceras HTTP mostradas en la Figura 18, junto con unaredirección HTTP (código 302, redirección temporal) para autenticar a los usuarios.La siguiente figura, Figura 19, muestra el proceso de validación. Tal y como se observahay tres fases distintas, que se corresponden con tres conexiones TCP diferentes: lapetición original del cliente interceptada; la autenticación NTLM entre cliente y
PA – 5060 – Documentación para la preventaPágina 39 de 100cortafuegos y la petición original reenviada una vez que la autenticación ha sidosatisfactoria.Figura 19.- Conexiones que tienen lugar en una autenticación NTLMNTLM es un mecanismo de autenticación basado en desafío-respuesta, donde el clientedebe obtener información nueva del servidor de autenticación, cuando formula sucontraseña en la respuesta. Puesto que el Directorio Activo es el único servidor capazde validar la respuesta NTLM del usuario, el servidor web integrado en el cortafuegosactúa únicamente como conductor, enviando los desafíos y respuestas a través de losagentes (Pan Agent), que interactúan con el directorio.La siguiente figura, Figura 20, muestra el detalle del proceso de autenticación NTLMentre el usuario y el directorio. Nótese que el tráfico circula por cuatro equipos en total,porque la autenticación final la ha de hacer el controlador de dominio, y la comunicacióndel cortafuegos con él es a través del agente (Pan Agent, visto anteriormente).
Page 1: Palo Alto Networks PA-5060Documenta
Page 4: PA - 5060 - Documentación para la
Page 7 and 8: PA - 5060 - Documentación para la
Page 88 and 89:
PA - 5060 - Documentación para la
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100:
show all

Palo Alto Networks PA-5060 - Exclusive Networks

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?