Palo Alto Captive Portal Konfigürasyonu

Bu yazıda palo alto firewall üzerinde captive portal nasıl devreye alındığı anlatılacaktır.

Captive Portal için ilk olarak sertifika üretmemiz gerekmektedir. Bunun için Device > Certificate Management>Certificates yolunu izleyerek Generate butonu ile yeni bir sertfika oluşturuyoruz.

Sertifika oluşturduktan sonra SSL/TLS Service Profile oluşturmalıyız. Bu profil daha sonrasında captive portal ayarlarında kullanılacaktır. Profil oluştururken daha önce oluşturduğumuz Captive-Cert seçiyoruz.

Bir sonraki adımda ise Authentication Profile oluşturuyoruz. Device > Authentication Profile altında Add diyerek bir profil hazırlıyoruz. Bu profil Local Database , Radius ya da LDAP türünde olabilir.

Captive Portalda kullanılacak interface için bir management profile olması gerekiyor. Bu profilde Response Pages işaretli olmalıdır.

Oluşturulan management profile ise captive portalın çalışmasını istediğimiz interface ayarlarına ekliyoruz.

Yapılan işlemlerin hepsi captive portala hazırlık içindir. Bu adımda ise captive portal servisini aktif hale getireceğiz. Buradaki ayarlara baktığımızda daha önce oluşturduğumuz SSL Profile, Authentication Profile seçiyoruz. Dikkat edilmesi gereken bir diğer nokta da Session Cookie ayarıdır. Bu yapılandırmada 7 gün girilmiş. Örneğin kullanıcı chrome da oturum açtığı takdirde 7 gün boyunca aynı kullanıcıya chrome uygulamasında tekrardan captive portal sayfasını getirmez. Eğer Roaming işaretlenirse kullanıcı gün içinde IP adresi değişikliği yaşarsa örneğin kablolu ağdan kablosuza ya da tam tersi durumda olabilir. Roaming kullanıcıyı taşıyacaktır.

Son adım olarak ise Policy menüsü altında Authentication da Authentication Policy Rule yazmaktır.

Source olarak captive Portal ekranı çıkarmak istediğimiz zone seçiyoruz. Source olarak bir network belirtirsek, belirttiğimiz zone ve belirttiğimiz network için geçerli olacaktır. Burada dikkat edilmesi gereken bir diğer nokta ise Negate’dir. Eğer network ya da IP Adresi girdikten sonra Negate yaparsanız belirtilen adrese ya da networke captive portal ekranı gelmeyecektir.

Negate kullanılan senaryolarda mevcuttur.Eğer captive portal sormak istemediğiniz kullanıcılar varsa buraya onların IP blogunu ekleyebilir ve Negate işaretleyebilirsiniz.

Destination da Internet seçiyoruz.

Service/URL bölümünde ise mevcutta sadece http servisi ekli olarak gelir. Burayı any olarak bırakabilir ya da https servisini de ekleyebilirsiniz.

Son olarak ise Action sekmesinde default-web-form seçip OK butonuna basarak kurulumu tamamlamış oluyoruz.