Juniper SRX Firewall lar üzerinde kullanıcılar bir networke, hosta veya komple internete erişmek istediklerinde karşılarına authentication bilgileri isteyen bir ekran çıkarabilir veya bir web portal üzerinden kullanıcı veya grubun önce authentication işlemini gerçekleştirip sonra internet erişimlerine izin verme senaryolarını gerçekleştirebiliriz.
***
Juniper SRX Firewall Üzerinde Pass-Through Authentication İşlemleri:
Yukarıdaki gibi basit bir topolojimiz olsun. Trust Zone da 10.10.21.10 IP adresi üzerinden internete erişen EMRE isimli kullanıcı üzerinde pass-through authentication işlemini gerçekleştireceğiz ve kullanıcı www.emrebastug.net sayfasına erişmek istediğinde karşısına bir authentication ekranı çıkacak ve kullanıcı adı-şifre bilgisi isteyecek. Ben kullanıcı adı ve şifre için local database kullanıyorum ama ihtiyaca göre ldap, radius vs. kullanılabilir. Ayrıca spesifik bir site adı yerine any seçilebilir.
Web arayüzünden Configure/Authentication pathi üzerinden access profil oluşturuyorum. Kullanıcı adı ve şifre belirleme işlemlerini bu adımda yapıyoruz. Kullanıcı www.emrebastug.net sayfasına erişmek istediğinde karşısına çıkacak pop-up ekranına burada tanımlanan kullanıcı adı ve şifre bilgilerini girecek.
Firewall Authentication bölümü içerisinden Profil ve karşılama ekranı ayarlarını tanımlıyorum.
Untrust (Internet) Zone unun içerisine www.emrebastug.net hostunu tanımlıyoruz. (Policy oluştururken kullanılacak)
trust tan internet içerisindeki emrebastug.net web sitesine junos-http uygulaması herhangi bir kullanıcı… şeklinde policy mi oluşturuyorum.
yukarıdaki ekranı takiben Permit Action tabı altında Firewall Authentication ayarlarını yapıyorum ve commit ediyorum.
sitede oturum açmak istediğimde aşağıdaki gibi kimlik doğrulaması istiyor.
hangi kullanıcılarla oturum denemesi yapılmış, şuan hangi kullanıcı oturumları aktif buradan izleyebiliyoruz. Clear table diyerek oturumu sonlandırabiliriz.
Yukarıdaki konfigürasyonun komut seti:
Erişim Profili Tanımlama:
set access profile FW_AUTH authentication-order password
set access profile FW_AUTH client EMRE firewall-user password “$9$IRWEclVb2oZjKM”
set access firewall-authentication pass-through default-profile FW_AUTH
set access firewall-authentication pass-through http banner login “LUTFEN OTURUM ACINIZ”
set access firewall-authentication pass-through http banner success “OTURUM BASARILI”
set access firewall-authentication pass-through http banner fail “OTURUM BASARISIZ”
Policy Konfigürasyonu:
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST match destination-address EMREBASTUG.NET
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST match application junos-http
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then permit firewall-authentication web-authentication client-match EMRE
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then log session-init
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then log session-close
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then count
Juniper SRX Firewall Üzerinde Web Authentication İşlemleri:
Web Authentication da ise kullanıcının karşısına özelleştirilmiş bir web sayfası çıkacak. Burada oturum bilgileri alındıktan sonra artık gitmek istediği yere (policy lere göre) gidiyor olacak. Karşısına çıkacak web portal için trusttaki interface e (bende vlan.1) bir IP veriyoruz.
set interfaces vlan unit 1 family inet address 10.10.21.21/24 web-authentication http
ve commit ediyoruz. İşlem sonrası trust tarafında iki adet IP adresimiz olmuş oldu.
Yine aynı şekilde Config/Authentication kısmından bir lokal kullanıcı oluşturuyoruz.
Web Authentication sayfamızı özelleştirebiliriz. Logo vs. yükleyebiliriz.
Bu işlemleri gerçekleştirdikten sonra trusttan internete oluşturduğumuz politikada Permit Action kısmında aşağıdaki işlemi gerçekleştiriyoruz.
Özelleştirdiğimiz web portal 🙂 (karikatür bana aittir. copyright) Oturum bilgisi olarak lokal database de oluşturduğumuz credential ı giriyoruz.
Oturum işlemi gerçekleştirildi. Artık Policy de Internet Zone unda belirtilen destination adres(ler) ine erişebiliriz.
Yukarıdaki İşlemleri CLI üzerinden Yapmak İstersek:
set interfaces vlan unit 1 family inet address 10.10.21.21/24 web-authentication http
set access profile FW_AUTH authentication-order password
set access profile FW_AUTH client EMRE firewall-user password “$9$IRWEclVb2oZjKM”
set access firewall-authentication web-authentication default-profile FW_AUTH
set access firewall-authentication web-authentication banner success “OTURUM BASARILI”
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST match source-address any
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST match destination-address EMREBASTUG.NET
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST match application junos-http
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then permit firewall-authentication web-authentication client-match EMRE
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then log session-init
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then log session-close
set security policies from-zone trust to-zone Internet policy PASSTHROUGHTEST then count