Juniper SRX Firewall Üzerinde Pass-Through ve Web Authentication İşlemleri

Juniper SRX Firewall lar üzerinde kullanıcılar bir networke, hosta veya komple internete erişmek istediklerinde karşılarına authentication bilgileri isteyen bir ekran çıkarabilir veya bir web portal üzerinden kullanıcı veya grubun önce authentication işlemini gerçekleştirip sonra internet erişimlerine izin verme senaryolarını gerçekleştirebiliriz.

***

Juniper SRX Firewall Üzerinde Pass-Through Authentication İşlemleri:

topoloji

Yukarıdaki gibi basit bir topolojimiz olsun. Trust Zone da 10.10.21.10 IP adresi üzerinden internete erişen EMRE isimli kullanıcı üzerinde pass-through authentication işlemini gerçekleştireceğiz ve kullanıcı www.emrebastug.net sayfasına erişmek istediğinde karşısına bir authentication ekranı çıkacak ve kullanıcı adı-şifre bilgisi isteyecek. Ben kullanıcı adı ve şifre için local database kullanıyorum ama ihtiyaca göre ldap, radius vs. kullanılabilir. Ayrıca spesifik bir site adı yerine any seçilebilir.

Web arayüzünden Configure/Authentication pathi üzerinden access profil oluşturuyorum. Kullanıcı adı ve şifre belirleme işlemlerini bu adımda yapıyoruz. Kullanıcı www.emrebastug.net sayfasına erişmek istediğinde karşısına çıkacak pop-up ekranına burada tanımlanan kullanıcı adı ve şifre bilgilerini girecek.

SRX_firewall_authentication_0

Firewall Authentication bölümü içerisinden Profil ve karşılama ekranı ayarlarını tanımlıyorum.

SRX_firewall_authentication_1

Untrust (Internet) Zone unun içerisine www.emrebastug.net hostunu tanımlıyoruz. (Policy oluştururken kullanılacak)

SRX_firewall_authentication_2

trust tan internet içerisindeki emrebastug.net web sitesine junos-http uygulaması herhangi bir kullanıcı… şeklinde policy mi oluşturuyorum.

SRX_firewall_authentication_3

yukarıdaki ekranı takiben Permit Action tabı altında Firewall Authentication ayarlarını yapıyorum ve commit ediyorum.

SRX_firewall_authentication_4

sitede oturum açmak istediğimde aşağıdaki gibi kimlik doğrulaması istiyor.

SRX_firewall_authentication_5

hangi kullanıcılarla oturum denemesi yapılmış, şuan hangi kullanıcı oturumları aktif buradan izleyebiliyoruz. Clear table diyerek oturumu sonlandırabiliriz.

SRX_firewall_authentication_6

SRX_firewall_authentication_log

Yukarıdaki konfigürasyonun komut seti:

Erişim Profili Tanımlama:
set access profile FW_AUTH authentication-order password
set access profile FW_AUTH client EMRE firewall-user password “$9$IRWEclVb2oZjKM”
set access firewall-authentication pass-through default-profile FW_AUTH
set access firewall-authentication pass-through http banner login “LUTFEN OTURUM ACINIZ”
set access firewall-authentication pass-through http banner success “OTURUM BASARILI”
set access firewall-authentication pass-through http banner fail “OTURUM BASARISIZ”

Policy Konfigürasyonu:
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST match destination-address EMREBASTUG.NET
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST match application junos-http
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then permit firewall-authentication web-authentication client-match EMRE
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then log session-init
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then log session-close
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then count

Juniper SRX Firewall Üzerinde Web Authentication İşlemleri:
Web Authentication da ise kullanıcının karşısına özelleştirilmiş bir web sayfası çıkacak. Burada oturum bilgileri alındıktan sonra artık gitmek istediği yere (policy lere göre) gidiyor olacak. Karşısına çıkacak web portal için trusttaki interface e (bende vlan.1) bir IP veriyoruz.

set interfaces vlan unit 1 family inet address 10.10.21.21/24 web-authentication http
ve commit ediyoruz. İşlem sonrası trust tarafında iki adet IP adresimiz olmuş oldu.

SRX_firewall_authentication_interface

Yine aynı şekilde Config/Authentication kısmından bir lokal kullanıcı oluşturuyoruz.

SRX_firewall_authentication_0

Web Authentication sayfamızı özelleştirebiliriz. Logo vs. yükleyebiliriz.

SRX_firewall_authentication_8

Bu işlemleri gerçekleştirdikten sonra trusttan internete oluşturduğumuz politikada Permit Action kısmında aşağıdaki işlemi gerçekleştiriyoruz.

SRX_firewall_authentication_7

Özelleştirdiğimiz web portal 🙂 (karikatür bana aittir. copyright) Oturum bilgisi olarak lokal database de oluşturduğumuz credential ı giriyoruz.

SRX_firewall_authentication_9

Oturum işlemi gerçekleştirildi. Artık Policy de Internet Zone unda belirtilen destination adres(ler) ine erişebiliriz.

SRX_firewall_authentication_10

Yukarıdaki İşlemleri CLI üzerinden Yapmak İstersek:

set interfaces vlan unit 1 family inet address 10.10.21.21/24 web-authentication http

set access profile FW_AUTH authentication-order password
set access profile FW_AUTH client EMRE firewall-user password “$9$IRWEclVb2oZjKM”
set access firewall-authentication web-authentication default-profile FW_AUTH
set access firewall-authentication web-authentication banner success “OTURUM BASARILI”

set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST match source-address any
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST match destination-address EMREBASTUG.NET
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST match application junos-http
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then permit firewall-authentication web-authentication client-match EMRE
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then log session-init
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then log session-close
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then count

 

Emre BAŞTUĞ

About Emre BAŞTUĞ

Emre BAŞTUĞ