HTTPSセッションでキャプティブ ポータルが動作しない

Printer Friendly Page

Symptoms

キャプティブ ポータル(CP)  ユーザーは始めに必ずユーザー名とパスワードを入力することになります。しかし、キャプティブ ポータル ユーザーがHTTPS ウェブ サイトを訪問するとき、ユーザー名とパスワードを入力するページに遷移しません。結果として、パロアルトネットワークスのファイアーウォールはそのユーザーが誰であるかを認識しません。(これは、HTTPSセッションがキャプティブ ポータルのページをバイパスするためです。)

Diagnosis

  • 既知のユーザーにはno decrypt policyを使います。ユーザー名とパスワードを入力した後は既知のユーザーということになります。
  • 無線を利用した未知のユーザーにはdecrypt policyを使って、HTTPSセッション/ウェブサイトを開いた際にキャプティブ ポータルのページが表示されるようにします。ユーザー名とパスワードを入力するまでは未知のユーザーであるため、SSL復号化により、キャプティブ ポータルがトリガーされます。
  • 未知のユーザーに対する復号化ポリシーによって、ユーザーが訪問しようとしているウェブサイトとは別にキャプティブ ポータルのページが提供されます。 

Solution

前提条件

 

  • SSL復号化の知識
  • キャプティブ ポータル(CP)の知識

動作しないときのシナリオ

  1. 無線用のゾーンから未知のユーザーがhttps://www.google.comを訪問しようとします。
  2. SSLセッションであるため、キャプティブ ポータルがトリガーされません。
  3. ファイアーウォールはユーザーを識別できず、キャプティブ ポータルのページも表示されません。

 

動作するときのシナリオ

ユーザーがHTTPSでどこかのURLを訪問するときに必ずキャプティブ ポータルのページが表示されるように、SSL復号化の設定が必要です。

SSL復号化の設定はここをクリック

キャプティブ ポータルの設定はここをクリック

 

以下のスクリーン ショットと記述を参考にしてください:

 

 1.PNG

 

動作するときのシナリオ

  • 復号化ポリシー 1は無線経由の既知ユーザーに対するno decryptポリシーです。
  • 復号化ポリシー 2は無線のゾーンから来たすべてのトラフィックに対して復号化するポリシーです。

 

  1. 未知のユーザーが無線のゾーンからhttps://www.google.comにアクセスしようとします。
  2. 復号化ポリシー 2がトリガーされ、CPのページが表示されます。
  3. 未知のユーザーが別のHTTPSサイトにアクセスしようとしても、復号化ポリシーによって同じようにCPのページが表示されます。
  4. ユーザーがユーザー名とパスワードを入力します。このユーザーはcaptive-portal-grpに属しています(ADでCPユーザーを認証します)。
  5. この後はファイアーウォールはユーザーを認識でき、復号化ポリシー 1がトリガーされます。これにより既知のユーザーのこれ以降のトラフィックについては復号化されず、認証の警告ページは表示されません。
  6. グループとゾーンを設定したセキュリティー ポリシーもそれぞれ必要です。グループを指定したポリシーは一番上に設定し、ゾーンを指定したポリシーはその下にくるようにしてください。

 

警告メッセージの説明

未知のユーザーは無線のゾーンからアクセスしてきますが、彼らにファイアーウォールの自己署名証明書をインストールする手段はないので、復号化の際に警告メッセージが表示されることになります。

 

もしサード パーティーの証明書をCP用に利用できるのであれば、ユーザー認証の後no decryptのルールが適用され、証明書の警告が表示されないようになります。

 

ありがとう。

 

Tarang Srivastav

 

※この記事は以下の記事の日本語訳です。

Captive Portal Not Working with HTTPS sessions

https://live.paloaltonetworks.com/t5/Management-Articles/Captive-Portal-Not-Working-with-HTTPS-Sessi...