ユーザー認証方法を構成する
パススルー認証と Web 認証は、ユーザーを認証するための 2 つの認証方法です。
パススルー認証について
パススルー ユーザー認証は、アクティブ認証の形式です。ユーザーは、パススルー認証が呼び出されたときに、ユーザー名とパスワードの入力を求められます。ユーザーの ID が検証されると、ユーザーはファイアウォールを通過して、要求されたリソースにアクセスできます。
ユーザーが認証を必要とするポリシーを持つ HTTP、HTTPS、FTP、または Telnet 接続要求を開始しようとすると、デバイスは要求を代行受信し、ユーザーにユーザー名とパスワードの入力を求めます。設定に応じて、デバイスはユーザ名とパスワードをローカルデータベースまたは外部認証サーバに保存されているものと照合して検証します。
外部認証サーバーを使用する場合、ユーザーの資格情報が収集された後、ファイアウォールユーザー認証によって処理されます。以下の外部認証サーバーがサポートされています。
RADIUS認証と許可(ジュニパーのSteel-Belted Radiusサーバーと互換性あり)
認証に加えて、ユーザーのアクセス権 (ユーザーがネットワーク上で実行できる操作) に関する承認情報を取得する場合は、外部 RADIUS サーバーを使用できます。
LDAP認証のみ(LDAPバージョン3をサポート、Windows ADと互換性あり)
SecurID認証のみ(RSA SecurID外部認証サーバーを使用)
ファイアウォール ユーザーとは、ファイアウォール経由の接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があるネットワーク ユーザーです。複数のユーザー・アカウントをまとめてユーザー・グループを形成し、ローカル・データベース、RADIUS、LDAP、またはSecurIDサーバーに保存できます。ポリシーで認証ユーザーグループと外部認証サーバーを参照すると、ポリシーに一致するトラフィックが認証チェックをトリガーします。
ファミリー inet を使用して、IPv4 アドレスを割り当てます。ファミリーinet6を使用してIPv6アドレスを割り当てます。インターフェイスは、IPv4 アドレスと IPv6 アドレスの両方で設定できます。簡潔にするために、これらの例では IPv4 アドレスのみを使用しています。
図 1 の手順は次のとおりです。
クライアント ユーザーは、FTP、HTTP、HTTPS、または Telnet パケットを 198.51.100.9 に送信します。
デバイスはパケットを傍受し、そのポリシーがローカルデータベースまたは外部認証サーバーからの認証を必要とすることを認識し、パケットをバッファリングします。
デバイスは、FTP、HTTP、HTTPS、または Telnet を介してログイン情報を入力するようユーザーに求めます。
ユーザーはユーザー名とパスワードで返信します。
デバイスは、ローカルデータベースで認証ユーザーアカウントを確認するか、ポリシーで指定された外部認証サーバーにログイン情報を送信します。
有効な一致が見つかると(または外部認証サーバーからそのような一致の通知を受け取ると)、デバイスはログインが成功したことをユーザーに通知します。
HTTP、HTTPS、または Telnet トラフィックの場合、デバイスはパケットをバッファーから宛先 IP アドレス 198.51.100.9/24 に転送します。ただし、FTP トラフィックの場合、認証が成功するとデバイスはセッションを閉じ、ユーザーは IP アドレス 198.51.100.9/24 の FTP サーバーに再接続する必要があります。
セキュリティ上の理由から、HTTP パススルー認証用に構成するセキュリティ ポリシーでは、直接パススルー認証ではなく Web リダイレクトを使用することをお勧めします。Web ブラウザーは、ターゲット Web サーバーへの後続の要求の資格情報を自動的に含めることによってセキュリティを提供できます。
デバイスは、特定の送信元 IP アドレスでユーザーを認証した後、パススルーによる認証を要求するポリシーで指定されているように、同じアドレスにいる他のユーザーからのトラフィックを許可します。これは、ユーザーがNATデバイスの背後からトラフィック発信し、元の送信元アドレスをすべて単一の変換済みアドレスに変更する場合に発生することがあります。
パススルーユーザー認証方式は、利便性よりもセキュリティの優先度が高い場合に推奨されます。この認証方法は、それをトリガーしたポリシーに一致するセッションと子セッションにのみ適用されます。この方法は、注意して使用する場合、インターネットに接続するリンクに適用できます。
例:パススルー認証の設定
この例では、ファイアウォール ユーザーを認証するためのパススルー認証を構成する方法を示します。ファイアウォール ユーザーとは、ファイアウォール経由の接続を開始するときにユーザー名とパスワードを入力する必要があるネットワーク ユーザーです。
パススルー認証により、SRXシリーズの管理者は、FTP、Telnet、HTTP、またはHTTPSを使用して別のゾーンのリソースにアクセスしようとするユーザーを制限できます。アクションがパススルー認証であるセキュリティポリシーにトラフィックが一致する場合、ユーザーはログイン情報を提供する必要があります。
HTTPS の場合、セキュリティを確保するために、HTTPS の既定の証明書キー サイズは 2048 ビットです。証明書のサイズを指定しない場合は、既定のサイズが想定されます。
要件
開始する前に、ファイアウォールユーザーを定義します。ファイアウォールユーザー認証の概要をご覧ください。
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRX シリーズ ファイアウォール
ファイアウォールユーザーのシステム
パケット宛先システム
概要
パススルー認証プロセスは、ファイアウォール ユーザーと呼ばれるクライアントが、FTP、Telnet、または HTTP セッションを開始して別のゾーンのリソースにアクセスしようとしたときにトリガーされます。SRXシリーズファイアウォールは、FTP、TELNET、HTTP、HTTPSサーバーのプロキシとして機能するため、ファイアウォールユーザーを認証してから、ファイアウォールの背後にある実際のFTP、Telnet、またはHTTPサーバーへのアクセスをユーザーに許可することができます。
ファイアウォールユーザーによって送信された接続要求から生成されたトラフィックが双方向でセキュリティポリシールールと一致し、そのルールがその条項の then アクションとしてパススルーファイアウォール認証を指定している場合、SRXシリーズファイアウォールはファイアウォールユーザーにJunos OSプロキシサーバーへの認証を要求します。
認証に成功した場合、同じ送信元IPアドレスからの後続のトラフィックは、トラフィックがセキュリティポリシータプルに一致する場合、SRXシリーズファイアウォールの通過が自動的に許可されます。
図 2 に、この例で使用するトポロジを示します。
トポロジーは外部サーバーの使用を示していますが、構成ではカバーされていません。この例の範囲外です。
構成
手順
CLIクイック構成
この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから を入力してください commit 。
set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.35/24 set interfaces ge-5/0/0 unit 0 family inet address 192.0.2.1/24 set access profile FWAUTH client FWClient1 firewall-user password password set access firewall-authentication pass-through default-profile FWAUTH set access firewall-authentication pass-through telnet banner success "WELCOME TO JUNIPER TELNET SESSION" set security zones security-zone UT-ZONE host-inbound-traffic system-services all set security zones security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols all set security zones security-zone T-ZONE host-inbound-traffic system-services all set security zones security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols all set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address any set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address any set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match application junos-telnet set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication pass-through client-match FWClient1
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
パススルー認証を構成するには:
2つのインターフェイスを設定し、IPアドレスを割り当てます。
メモ:この例では、インターフェイスに 2 つのアドレスを割り当てるのはオプションです。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.35/24 user@host# set interfaces ge-5/0/0 unit 0 family inet address 192.0.2.1/24
FWClient1 ユーザーの FWAUTH アクセス プロファイルを作成し、ユーザーのパスワードを指定して、Telnet セッションの成功バナーを定義します。
[edit access] user@host# set access profile FWAUTH client FWClient1 firewall-user password pwd user@host# set firewall-authentication pass-through default-profile FWAUTH user@host# set firewall-authentication pass-through telnet banner success "WELCOME TO JUNIPER TELNET SESSION"
セキュリティ ゾーンを構成します。
メモ:この例では、セキュリティゾーンに2つ目のインターフェイスを設定するのはオプションです。
[edit security zones] user@host# set security-zone UT-ZONE host-inbound-traffic system-services all user@host# set security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols all user@host# set security-zone T-ZONE host-inbound-traffic system-services all user@host# set security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols all
セキュリティ ポリシー P1 をセキュリティ ゾーンに割り当てます。
[edit security policies] user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match application junos-telnet user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication pass-through client-match FWClient1
Telnet を使用して、FWClient1 ファイアウォール ユーザーをホスト 2 に対して認証します。
user@FWClient1# run telnet 192.0.2.1/24 Trying 192.0.2.1/24... Connected to 192.0.2.1/24 Escape character is '^]'. Firewall User Authentication Username: FWClient1 Password:$ABC123 WELCOME TO JUNIPER TELNET SESSION Host1 (ttyp0) login: user Password: $ABC123 --- JUNOS 10.1R1.1 built 2009-10-12 13:30:18 UTC %
結果
設定モードから、次のコマンドを入力して設定を確認します。
show interfaces
show access
show security zones
show security policies
出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
簡潔にするために、出力にはこの例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。
user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 203.0.113.35; } } } ge-5/0/0 { unit 0 { family inet { address 192.0.2.1/24; } } } ...
user@host# show access profile FWAUTH { authentication-order password; client FWClient1 { firewall-user { password "$ABC123"; ## SECRET-DATA } } } firewall-authentication { pass-through { default-profile FWAUTH; telnet { banner { success "WELCOME TO JUNIPER TELNET SESSION"; } } } }
user@host# show security zones security-zone UT-ZONE { host-inbound-traffic { system-services { all; } } interfaces { ge-0/0/1.0 { host-inbound-traffic { protocols { all; } } } } security-zone T-ZONE { host-inbound-traffic { system-services { all; } } interfaces { ge-5/0/0.0 { host-inbound-traffic { protocols { all; } } } } }
user@host# show security policies ... from-zone UT-ZONE to-zone T-ZONE { policy P1 { match { source-address any; destination-address any; application junos-telnet; } then { permit { firewall-authentication { pass-through { client-match FWClient1; } } } } } }
デバイスの設定が完了したら、設定モードからコミットを入力します。
検証
設定が正常に機能していることを確認するには、このタスクを実行します。
ファイアウォールユーザー認証の検証と、認証テーブル内のユーザーとIPアドレスの監視
目的
ファイアウォール認証のユーザー履歴を表示し、認証に成功したファイアウォールユーザーの数とログインに失敗したファイアウォールユーザーの数を確認します。
アクション
動作モードから、次のコマンド show
を入力します。
user@host> show security firewall-authentication history History of firewall authentication data: Authentications: 2 Id Source Ip Date Time Duration Status User 1 203.0.113.12 2010-10-12 21:24:02 0:00:24 Failed FWClient1 2 203.0.113.12 2010-10-12 21:24:48 0:00:22 Success FWClient1
user@host> show security firewall-authentication history identifier 1 Username: FWClient1 Source IP: 203.0.113.12 Authentication state: Success Authentication method: Pass-through using Telnet Access start date: 2010-10-12 Access start time: 21:24:02 Duration of user access: 0:00:24 Source zone: UT-ZONE Destination zone: T-ZONE Access profile: FWAUTH Bytes sent by this user: 0 Bytes received by this user: 2660
user@host> show security firewall-authentication users Firewall authentication data: Total users in table: 1 Id Source Ip Src zone Dst zone Profile Age Status User 4 203.0.113.12 UT-ZONE T-ZONE FWAUTH 1 Success FWClient1
user@host> show security firewall-authentication users identifier 3 Username: FWClient1 Source IP: 203.0.113.12 Authentication state: Success Authentication method: Pass-through using Telnet Age: 3 Access time remaining: 9 Source zone: UT-ZONE Destination zone: T-ZONE Access profile: FWAUTH Interface Name: ge-0/0/1.0 Bytes sent by this user: 0 Bytes received by this user: 1521
例:パススルー認証をトリガーするための HTTPS トラフィックの設定
この例では、パススルー認証をトリガーするように HTTPS トラフィックを構成する方法を示します。HTTPSはHTTPよりも安全であるため、人気が高まり、広く使用されています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRX シリーズ ファイアウォール
Linux とオープン SSL を実行する 2 台の PC。1台のPCはクライアントとして機能し、もう1台のPCはHTTPSサーバーとして機能します。2台のPCは、キーファイルの作成とトラフィックの送信に使用されます。
SRX5400、SRX5600、および SRX5800 デバイス向けの Junos OS リリース 12.1X44-D10 以降、vSRX 仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、および SRX1500 サービス ゲートウェイ向けの Junos OS リリース 15.1X49-D40 以降。
Junos OSリリース12.1X44-D10およびJunos OSリリース17.3R1以降、HTTPSベースの認証がSRX5400、SRX5600、およびSRX5800デバイスに導入されています。
Junos OSリリース15.1X49-D40およびJunos OSリリース17.3R1以降、HTTPSベースの認証がvSRX仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、およびSRX1500サービスゲートウェイに導入されています。
始める前に:
SRXシリーズファイアウォールは、パススルー認証をトリガーするためにHTTPSトラフィックをデコードする必要があります。次に、SSL ターミネーション プロキシは、秘密キー ファイルと証明書ファイルを作成してインストールします。次の一覧では、秘密キー ファイルと証明キー ファイルを作成してインストールする手順について説明します。
公式の .crt ファイルと .key ファイルがある場合は、SRXシリーズファイアウォールに直接ファイルをアップロードしてインストールできます。 .crt ファイルと .key ファイルがない場合は、手順に従ってファイルを作成してインストールします。ステップ 1 とステップ 2 で指定した手順は、Linux と OpenSSL がインストールされている PC で実行する必要があります。ステップ 3 およびステップ 4 で指定した命令は、動作モードで実行する必要があります。
秘密キー ファイルと証明ファイルを作成してインストールするには:
PC で .key ファイルを作成します。
openssl genrsa -out /tmp/server.key 1024
PC で、 .crt ファイルを作成します。
openssl req -new -x509 -days 365 -key /tmp/server.key -out /tmp/device.crt -subj "/C=CN/ST=BJ/L=BJ/O=JNPR/OU=CNRD/CN=203.0.113.11/emailAddress=device@mycompany.com"
-
.keyファイルと.crtファイルをSRXシリーズファイアウォールにアップロードし、動作モードから次のコマンドを使用してデバイスにファイルをインストールします。
user@host> request security pki local-certificate load filename /var/tmp/device.crt key /var/tmp/device.key certificate-id device
概要
ファイアウォール認証により、2つのデバイス間で確立された安全な接続が開始されます。ネットワーク ユーザーは、ファイアウォールを越えた接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があります。ファイアウォール認証では、パススルー認証用の HTTPS トラフィックがサポートされています。HTTPSは、ユーザーとSRXシリーズファイアウォール間のHTTPファイアウォール認証トラフィックを保護できます。
HTTPSはHTTPの安全なバージョンであり、ユーザーとユーザーが接続されているデバイス間でデータが送信されるプロトコルです。ユーザーと接続されたデバイス間のすべての通信は暗号化されます。HTTPSは、オンラインバンキングやオンラインショッピングの注文フォームなどの機密性の高いオンライントランザクションを保護するためによく使用されます。
この例では、HTTPS の方が HTTP よりも安全であるため、HTTPS トラフィックを使用してパススルー認証をトリガーします。HTTPS トラフィックでパススルー認証をトリガーするには、まず SSL 終端プロファイルを設定する必要があります。
図 3 に、HTTPS トラフィックを使用したパススルー認証の例を示します。この例では、untrust ゾーンのホストまたはユーザーが trust ゾーンのリソースにアクセスしようとします。SRXシリーズファイアウォールは、HTTPSを使用してユーザー名とパスワードの情報を収集します。ホストまたはユーザーからの後続のトラフィックは、この認証の結果に基づいて許可または拒否されます。
構成
CLIクイック構成
この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから を入力してください commit 。
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.12/24 set interfaces ge-1/0/0 unit 0 family inet address 203.0.113.1/24 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through access-profile local_pf set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through ssl-termination-profile ssl_pf set security policies from-zone trust to-zone untrust policy p1 then log session-init set security policies from-zone trust to-zone untrust policy p1 then log session-close set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-1/0/0.0 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-1/0/0.0 host-inbound-traffic protocols all set access profile local_pf client user1 firewall-user password <password> set access firewall-authentication pass-through default-profile local_pf set services ssl termination profile ssl_pf server-certificate device
手順
手順
パススルー認証をトリガーするように HTTPS トラフィックを構成するには:
インターフェイスを設定し、IPアドレスを割り当てます。
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.0.2.12/24 user@host# set ge-1/0/0 unit 0 family inet address 203.0.113.1/24
セキュリティ ポリシーを構成して、ゾーンの信頼からゾーンの信頼へのファイアウォール認証トラフィックを許可します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through access-profile local_pf user@host# set from-zone trust to-zone untrust policy p1 then permit firewall-authentication pass-through ssl-termination-profile ssl_pf
パケットが基準に一致した場合に実行するポリシーアクションを指定します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any user@host# set from-zone trust to-zone untrust policy p1 match destination-address any user@host# set from-zone trust to-zone untrust policy p1 match application any user@host# set from-zone trust to-zone untrust policy p1 then log session-init user@host# set from-zone trust to-zone untrust policy p1 then log session-close
セキュリティ ゾーンを設定し、インターフェイスを割り当てます。
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols all user@host# set security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services all
ゾーンのアプリケーションサービスを設定します。
[edit security zones] user@host# set security-zone trust host-inbound-traffic system-services all protocols all user@host# set security-zone untrust host-inbound-traffic system-services all protocols all
アクセスプロファイルを作成し、クライアントをファイアウォールユーザーとして設定し、パスワードを設定します。
[edit access] user@host# set profile local_pf client user1 firewall-user password <password>
ファイアウォールの種類と、認証設定が定義されている既定のプロファイル名を構成します。
[edit access] user@host# set firewall-authentication pass-through default-profile local_pf
SSL ターミネーションプロファイルを設定し、ローカル証明書識別子名を入力します。
[edit services] user@host# set ssl termination profile ssl_pf server-certificate device
結果
設定モードから、 、 、 show security zones
show security policies
、 、および show services ssl termination
コマ ンドを入力してshow interfaces
、show access
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
user@host# show interfaces ... interfaces ge-0/0/0 { unit 0 { family inet { address 192.0.2.12; } } } ge-1/0/0 { unit 0 { family inet { address 203.0.113.1/24; } } }
user@host# show security policies ... policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit { firewall-authentication { pass-through { access-profile local_pf; ssl-termination-profile ssl_pf; } } } log { session-init; session-close; } } } } }
user@host# show security zones ... zones { security-zone trust { interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } security-zone untrust { interfaces { ge-1/0/0.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } }
user@host# show access ... access { profile local_pf { client user1 { firewall-user { password password; } } } firewall-authentication { pass-through { default-profile local_pf; } }
user@host# show services ssl termination ... services { ssl { termination { profile ssl_pf { server-certificate device; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定の確認
目的
構成が正しいことを確認します。
アクション
動作モードから、識別子1にコマンドを入力します show security firewall-authentication users
。
user@host> show security firewall-authentication users identifier 1 Username: user1 Source IP: 203.0.113.1/24 Authentication state: Success Authentication method: Pass-through using HTTPS Age: 0 Access time remaining: 10 Lsys: root-logical-system Source zone: trust Destination zone: untrust Access profile: local_pf Interface Name: ge-0/0/0.0 Bytes sent by this user: 946 Bytes received by this user: 0
意味
コマンドは show security firewall-authentication users
、指定された識別子のファイアウォール認証ユーザー情報を表示します。出力の [認証方法] フィールドに [HTTPS を使用したパススルー] が表示され、[認証状態] フィールドに [成功] と表示される場合、構成は正しいです。
Web 認証について
Web 認証は、パススルー ユーザー認証に代わる方法です。クライアント ブラウザから接続するリソースを指すのではなく、Web 認証が有効になっているデバイス上の IP アドレスをブラウザでポイントします。これにより、デバイス上の Web 認証機能をホストしている IP アドレスへの HTTP セッションが開始されます。次に、デバイスはユーザー名とパスワードの入力を求め、結果をデバイスにキャッシュします。その後、トラフィックで Web 認証ポリシーが検出されると、 図 4 に示すように、以前の Web 認証結果に基づいてアクセスを許可または拒否されます。
ファミリー inet を使用して、IPv4 アドレスを割り当てます。ファミリーinet6を使用してIPv6アドレスを割り当てます。インターフェイスは、IPv4 アドレスと IPv6 アドレスの両方で設定できます。簡潔にするために、これらの例では IPv4 アドレスのみを使用しています。
以下の Web 認証ガイドラインに従います。
デフォルトの Web 認証サーバーをローカル データベースのままにするか、ロールの外部認証サーバーを選択できます。デフォルトの Web 認証プロファイルは、ユーザがローカルデータベースまたは外部認証サーバのどちらを使用して認証するかを決定します。アクセスプロファイルは、ユーザーのユーザー名とパスワードを保存したり、そのような情報が保存されている外部認証サーバーを指し示したりします。
Web 認証アドレスは、ホストに使用するインターフェイスと同じサブネット内にある必要があります。たとえば、IP アドレスが 203.0.113.1/24 の ethernet3 経由で認証ユーザーに Web 認証を使用して接続する場合、203.0.113.0/24 サブネット内の IP アドレスを Web 認証に割り当てることができます。
Web 認証アドレスは、任意の物理インターフェイスまたは仮想セキュリティ インターフェイス(VSI)の IP アドレスと同じサブネットに配置できます。(さまざまなタイプのインターフェイスについては、 セキュリティゾーンの概要を参照してください)。
Web 認証アドレスは、複数のインターフェイスに設定できます。
デバイスは、特定の送信元 IP アドレスでユーザーを認証した後、その後、ウェブ認証による認証を要求するポリシーで指定されているように、同じアドレスにいる他のユーザーからのトラフィックを許可します。これは、ユーザーがNATデバイスの背後からトラフィック発信し、元の送信元アドレスをすべて単一の変換済みアドレスに変更する場合に発生することがあります。
Web 認証を有効にすると、IP アドレスへのすべての HTTP トラフィックに、管理者ログイン ページではなく Web 認証ログイン ページが表示されます。このオプションを無効にすると、管理者ログインページが表示されます(有効
[system services web-management HTTP]
になっていると仮定します。Web 認証にアドレスを使用する場合は、プライマリ IP アドレスまたは優先 IP アドレスを別に設定することをお勧めします。
Web 認証方式は、クライアントデバイスがセキュリティゲートウェイのすぐ隣接しており、クライアントデバイスがマルチユーザーホストではないことが保証されている状況で推奨されます。この認証方法は、ワイヤレス リンクと DMZ、または会議室のリンクに最適です。
例:Web 認証の設定
この例では、Web 認証を有効にし、トラフィックが Web 認証が有効になっているポリシーに遭遇したときにユーザーにアクセスを許可するポリシーを設定する方法を示します。
要件
始める前に:
ファイアウォールユーザーを定義します。 ファイアウォールユーザー認証の概要をご覧ください。
インターフェイスのアドレス階層の下にWeb認証HTTPフラグを追加して、Web認証を有効にします。
概要
Web 認証を有効にするには、HTTP セッションをホストするデバイスの IP アドレスを指定する必要があります。これらの設定は、保護されたリソースにアクセスするファイアウォールユーザーが、Webサーバーへの直接アクセスまたはWeb認証による認証を希望する場合に使用されます。次の手順は、トラフィックが Web 認証が有効になっているポリシー(Policy-W)に遭遇したときに FWClient1 ユーザへのアクセスを許可するポリシーを設定する方法を示しています。( 図 5 を参照)。この例では、FWClient1 は Web 認証ログイン ページですでに認証されています。
FWClient1ファイアウォールユーザーは、認証を受けるために次のことを行います。
ブラウザーを Web 認証 IP(198.51.100.63/24)にポイントして、最初に認証を取得します
policy-W ポリシーで指定されたリソースにアクセスするためのトラフィックを開始します
これらの手順の説明に従ってデバイスを設定し、ユーザーが正常に認証されると、 図 6 に示す画面が表示されます。
構成
手順
CLIクイック構成
この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから を入力してください commit 。
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.23/24
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.63/24 web-authentication http
set interfaces fe-5/0/0 unit 0 family inet address 203.0.113.15/24
set access profile WEBAUTH client FWClient1 firewall-user password pwd
set access firewall-authentication web-authentication default-profile WEBAUTH
set access firewall-authentication web-authentication banner success "WEB AUTH LOGIN SUCCESS"
set security zones security-zone UT-ZONE host-inbound-traffic system-services all
set security zones security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols all
set security zones security-zone T-ZONE host-inbound-traffic system-services all
set security zones security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols all
set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address any
set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address any
set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 match application any
set security policies from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication web-authentication client-match FWClient1
set system services web-management http interface ge-0/0/1.0
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
Web 認証を構成するには:
2つのインターフェイスを設定し、IPアドレスを割り当てます。
メモ:この例では、インターフェイスに 2 つのアドレスを割り当てるのはオプションです。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.23/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.63/24 web-authentication http user@host# set interfaces fe-5/0/0 unit 0 family inet address 203.0.113.15/24
FWClient1 ユーザーの WEBAUTH アクセス プロファイルを作成し、ユーザーのパスワードを指定して、成功バナーを定義します。
[edit access] user@host# set profile WEBAUTH client FWClient1 firewall-user password pwd user@host# set firewall-authentication web-authentication default-profile WEBAUTH user@host# set firewall-authentication web-authentication banner success "WEB AUTH LOGIN SUCCESS"
セキュリティ ゾーンを構成します。
メモ:この例では、セキュリティゾーンに2つ目のインターフェイスを設定するのはオプションです。
[edit security zones] user@host# set security-zone UT-ZONE host-inbound-traffic system-services all user@host# set security-zone UT-ZONE interfaces ge-0/0/1.0 host-inbound-traffic protocols all user@host# set security-zone T-ZONE host-inbound-traffic system-services all user@host# set security-zone T-ZONE interfaces ge-5/0/0.0 host-inbound-traffic protocols all
セキュリティ ポリシー P1 をセキュリティ ゾーンに割り当てます。
[edit security policies] user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match source-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match destination-address any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 match application any user@host# set from-zone UT-ZONE to-zone T-ZONE policy P1 then permit firewall-authentication web-authentication client-match FWClient1
デバイスでHTTPプロセス(デーモン)をアクティブにします。
[edit] user@host# set system services web-management http interface ge-0/0/1.0
結果
設定モードから、次のコマンドを入力して設定を確認します。
show interfaces
show access
show security zones
show security policies
show system services
出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
簡潔にするために、この show
出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。
user@host# show interfaces ... } ge-0/0/1{ unit 0 { family inet { address 198.51.100.23/24 { address 198.51.100.63/24 { web-authentication http; } } } } fe-5/0/0 { unit 0 { family inet { address 198.51.100.14/24; } } } ... user@host# show access profile WEBAUTH { client FWClient1 { firewall-user { password "$ABC123"; ## SECRET-DATA } } } firewall-authentication { web-authentication { default-profile WEBAUTH; banner { success "WEB AUTH LOGIN SUCCESS"; } } } user@host# show security zones ... } security-zone UT-ZONE { host-inbound-traffic { system-services { all; } } interfaces { ge-0/0/1.0 { host-inbound-traffic { protocols { all; } } } } } security-zone T-ZONE { host-inbound-traffic { system-services { all; } } interfaces { ge-5/0/0.0 { host-inbound-traffic { protocols { all; } } } } } user@host# show security policies ... from-zone UT-ZONE to-zone T-ZONE { policy P1 { match { source-address any; destination-address any; application any; } then { permit { firewall-authentication { web-authentication { client-match FWClient1; } } } } } } user@host# show system services ... ftp; ssh; telnet; web-management { http { interface g-0/0/1.0; } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認するには、このタスクを実行します。
ファイアウォールユーザー認証の検証と、認証テーブル内のユーザーとIPアドレスの監視
目的
ファイアウォール認証のユーザー履歴を表示し、認証に成功したファイアウォールユーザーとログインに失敗したファイアウォールユーザーの数を確認します。
アクション
動作モードから、次のコマンド show
を入力します。
user@host> show security firewall-authentication history user@host> show security firewall-authentication history identifier 1 user@host> show security firewall-authentication users user@host> show security firewall-authentication users identifier 3
user@host> show security firewall-authentication history
History of firewall authentication data:
Authentications: 1
Id Source Ip Date Time Duration Status User
5 198.51.100.75 2010-04-24 01:08:57 0:10:30 Success FWClient1
user@host> show security firewall-authentication history identifier 1
Username: FWClient1
Source IP: 198.51.100.752
Authentication state: Success
Authentication method: Web-authentication
Access start date: 2010-10-12
Access start time: 21:24:02
Duration of user access: 0:00:24
Source zone: N/A
Destination zone: N/A
Access profile: WEBAUTH
Bytes sent by this user: 0
Bytes received by this user: 2660
user@host> show security firewall-authentication users
Firewall authentication data:
Total users in table: 1
Id Source Ip Src zone Dst zone Profile Age Status User
4 198.51.100.75 N/A N/A WEBAUTH 1 Success FWClient1
user@host> show security firewall-authentication users identifier 3
Username: FWClient1
Source IP: 198.51.100.75
Authentication state: Success
Authentication method: Web-authentication
Age: 3
Access time remaining: 9
Source zone: N/A
Destination zone: N/A
Access profile: WEBAUTH
Interface Name: ge-0/0/1.0
Bytes sent by this user: 0
Bytes received by this user: 1521
例:Web 認証をトリガーするための HTTPS トラフィックの設定
この例では、Web 認証をトリガーするように HTTPS トラフィックを設定する方法を示しています。HTTPSはHTTPよりも安全であるため、Web認証に広く使用されています。
要件
始める前に:
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRX シリーズ ファイアウォール
Linux と Open SSL がインストールされている 2 台の PC。1台のPCはクライアントとして機能し、もう1台のPCはHTTPSサーバーとして機能します。2台のPCは、キーファイルの作成とトラフィックの送信に使用されます。
SRX5400、SRX5600、および SRX5800 デバイス向けの Junos OS リリース 12.1X44-D10 以降、vSRX 仮想ファイアウォール、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550M、および SRX1500 サービス ゲートウェイ向けの Junos OS リリース 15.1X49-D40 以降。
SRXシリーズファイアウォールは、Web認証をトリガーするためにHTTPSトラフィックをデコードする必要があります。次の一覧では、秘密キー ファイルと証明キー ファイルを作成してインストールする手順について説明します。
公式.crt
のファイルと.key
ファイルがある場合は、SRXシリーズファイアウォールにファイルを直接アップロードしてインストールできます。ファイルと.key
ファイルがない場合は.crt
、手順に従ってファイルを作成してインストールします。ステップ 1 とステップ 2 で指定した手順は、Linux と OpenSSL がインストールされている PC で実行する必要があります。ステップ 3 およびステップ 4 で指定した命令は、動作モードで実行する必要があります。
PC からファイルを作成します
.key
。openssl genrsa -out /tmp/server.key 1024
PC からファイルを作成します
.crt
。openssl req -new -x509 -days 365 -key /tmp/server.key -out /tmp/device.crt -subj "/C=CN/ST=BJ/L=BJ/O=JNPR/OU=CNRD/CN=203.0.113.22/emailAddress=device@mycomany.com"
-
SRXシリーズファイアウォールから、 および
.crt
ファイルをアップロードし、.key
次のコマンドを使用してデバイスにファイルをインストールします。user@host> request security pki local-certificate load filename /var/tmp/device.crt key /var/tmp/device.key certificate-id device
概要
ファイアウォール認証により、2つのデバイス間で確立された安全な接続が開始されます。ネットワーク ユーザーは、ファイアウォールを越えた接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があります。ファイアウォール認証では、パススルー認証用の HTTPS トラフィックがサポートされています。HTTPSは、ユーザーとSRXシリーズファイアウォール間のHTTPファイアウォール認証トラフィックを保護できます。
HTTPSはHTTPの安全なバージョンであり、ユーザーとユーザーが接続されているデバイス間でデータが送信されるプロトコルです。ユーザーと接続されたデバイス間のすべての通信は暗号化されます。HTTPSは、オンラインバンキングやオンラインショッピングの注文フォームなどの機密性の高いオンライントランザクションを保護するためによく使用されます。
この例では、HTTPSの方がHTTPよりも安全であるため、HTTPSトラフィックを使用してWeb認証をトリガーしています。
ユーザーは、HTTPS を使用して、Web 認証が有効になっているデバイス上の IP アドレスにアクセスします。このシナリオでは、ユーザーは保護されたリソースの IP アドレスにアクセスするのに HTTPS を使用しません。ユーザーはユーザー名とパスワードの入力を求められますが、これはデバイスによって検証されます。ユーザーまたはホストから保護されたリソースへの後続のトラフィックは、この Web 認証の結果に基づいて許可または拒否されます。
図 7 に、HTTPS トラフィックを使用した Web 認証の例を示します。
構成
CLIクイック構成
この例を素早く設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードから を入力してください commit 。
set system services web-management https pki-local-certificate device set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.18/24 set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.115/24 web-authentication https set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.5/24 set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit set access profile local_pf client user1 firewall-user password user1 set access firewall-authentication web-authentication default-profile local_pf set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication web-authentication
手順
手順
ウェブ認証をトリガーするようHTTPSトラフィックを設定するには、次の手順に従います。
HTTPS トラフィックに対する Web 管理サポートを有効にします。
[edit system services] user@host# set web-management https pki-local-certificate device
インターフェイスを設定し、IPアドレスを割り当てます。ge-0/0/0インターフェイスでWeb認証を有効にします。
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 203.0.113.18/24 set ge-0/0/0 unit 0 family inet address 203.0.113.115/24 web-authentication https user@host# set ge-0/0/1 unit 0 family inet address 192.0.2.5/24
セキュリティ ポリシーを構成して、ゾーンの信頼からゾーンの信頼へのファイアウォール認証トラフィックを許可します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 match source-address any destination-address any application any user@host# set security policies from-zone trust to-zone untrust policy p1 then permit
アクセスプロファイルを作成し、クライアントをファイアウォールユーザーとして設定し、パスワードを設定します。
[edit access] user@host# set profile local_pf client user1 firewall-user password user1
ファイアウォール認証設定の種類を構成します。
[edit access] user@host# set firewall-authentication web-authentication default-profile local_pf
パケットが基準に一致した場合に実行するポリシーアクションを指定します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy p1 then permit firewall-authentication web-authentication
結果
設定モードから、 、 、 show interfaces
show security policies
、および show access
のコマンドを入力してshow system services
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
user@host# show system services web-management { https { pki-local-certificate device; } }
user@host# show interfaces ge-0/0/0 { unit 0 { family inet { address 203.0.113.115/24 { web-authentication https; } } } ge-0/0/1 { unit 0 { family inet { address 192.0.2.5/24; } } }
user@host# show security policies from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit { firewall-authentication { web-authentication; } } } } }
user@host# show access profile local_pf { client user1 { firewall-user { password "user1"; } } } firewall-authentication { web-authentication { default-profile local_pf; }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定の確認
目的
構成が正しいことを確認します。
アクション
動作モードから コマンド show security firewall-authentication users identifier identifier
を入力します。
サンプル出力
user@host> show security firewall-authentication users identifier 1 Username: user1 Source IP: 203.1.113.102 Authentication state: Success Authentication method: Web-authentication Age: 0 Access time remaining: 10 Lsys: root-logical-system Source zone: N/A Destination zone: N/A Access profile: local_pf Bytes sent by this user: 0 Bytes received by this user: 0
意味
コマンドは show security firewall-authentication users identifier identifier
、ユーザーの識別子 ID を使用して、ファイアウォール認証ユーザー情報を表示します。出力で authentication method パラメーターに Web 認証が表示され、認証状態パラメーターに [成功] と表示されている場合、構成は正しいです。