Forum Français

 View Only
Expand all | Collapse all

[Clearpass] Gestion du HTTPS et configuration Certificat du portail Guest

This thread has been viewed 13 times
  • 1.  [Clearpass] Gestion du HTTPS et configuration Certificat du portail Guest

    Posted Jan 31, 2018 09:34 AM

    Bonjour,

     

    Je suis nouveau dans l'univers wifi d'Aruba. Je souhaiterais avoir plus d'informations sur un problème que je rencontre avec Clearpass.

    L’architecture est la suivante :

    • L’infrastructure est composée de 8 sites disposant de bornes IAP configurées pour joindre une VM Clearpass commune.
    • Cette VM Clearpass est hébergée sur le site de Paris et est accédée par les IAP sur la base de son adresse IP publique (via NAT sur firewall externe).

    Voici le comportement lorsque j’ouvre le navigateur d’une machine se connectant au wifi guest.

     

    1. Je suis redirigé vers l’adresse suivante : https://PublicClearpassIP/companyname.php?cmd=login&mac=94:65:2d:a4:57:12&essid=COMPANYNAME_Guest&ip=192.168.70.31&apname=AP6-7&apmac=20%3Aa6%3Acd%3Ac0%3Aa0%3Aca&vcname=instant-C0%3A9F%3AAA&switchip=securelogin.arubanetworks.com&url=http%3A%2F%2Fconnectivitycheck.gstatic.com%2Fgenerate_204

    J’ai un message « Page non sécurisée, souhaitez-vous continuer ? ».

     

    2. Je clique sur Continuer et je suis redirigé vers cette adresse là : https://PublicClearpassIP/guest/companyname.php?cmd=login&mac=94:65:2d:a4:57:12&essid=COMPANYNAME_Guest&ip=192.168.70.31&apname=AP6-7&apmac=20%3Aa6%3Acd%3Ac0%3Aa0%3Aca&vcname=instant-C0%3A9F%3AAA&switchip=securelogin.arubanetworks.com&url=http%3A%2F%2Fconnectivitycheck.gstatic.com%2Fgenerate_204&_browser=1    

     

    Pour l’instant, il me semble évident qu’il faut faire l’acquisition d’un certificat signé par une autorité de certification publique si je veux que le portail ne présente plus d’erreur lorsque je remplis le formulaire. Cependant, au cours de mes recherches sur le sujet, je suis tombé sur cet article http://community.arubanetworks.com/t5/Technology-Blog/Captive-Portal-why-do-I-get-those-certificate-warnings/ba-p/268921

     

    Ces conclusions m’étonnent et je voudrais donc vous poser plusieurs questions :

    • Une fois le guest authentifié, le portail Clearpass fait-il de l’interception HTTPS et joue-t-il un MITM (via une AC intermédiaire ou autre) ?
    • Est-il possible de désactiver ce comportement pour qu’il soit l’équivalent d’un proxy sans interception https?
    • Pour que le certificat soit valable, il faut également que le portail redirige vers le nom de domaine et non l’IP directement. Comment configurer ce comportement dans Clearpass ?
    • Quelle est la différence entre le certificat visible dans « Clearpass policy Manager>Administration>Certificates>Server Certificate » et celui dans « Clearpass Guest>Onboard>Autorité de certificat » ?

    Merci d’avance pour vos réponses.

     

    Jérémy



  • 2.  RE: [Clearpass] Gestion du HTTPS et configuration Certificat du portail Guest
    Best Answer

    Posted Feb 07, 2018 12:05 PM

    Bonjour Jéremy 

     

    Dans un premier temps on va oublier l'article auquel tu fais réference, qui traite de l'impossibilité d'être redirigé vers le portail captif,  lorsque qu'un utilisateur se connecte au réseau guest, et essaye de se connecter (avant authentification) en HTTPS à de gros sites style google ou Facebook

     

    On va déjà faire un rappel (pas forcémént complet) sur le fonctionnement d'un portail captif en interception/redirection :

    1. l'utilisateur s'associe au réseau guest, le contrôleur met cet user dans un rôle de pré-authentification
    2. l'utilisateur envoie une requète HTTP. Cette dernière est interceptée par le contrôleur, qui renvoie par un HTTP redirect l'URL du portail captif au client.     
    3. la page de connexion du portail captif apparait dans le navigateur du client. le client s'authentifie, clearpass valide les credentials du client, puis demande au client d'envoyer un HTTP post au contrôleur avec ses credentals.
    4. Le contrôleur envoie une requete radius à Clearpass pour identifier  le client. Si cette authentiifcation est OK, clearpass renvoie au contrôleur le rôle adéquat pour le client, qui dès lors, peut surfer.    

    Si tu as besoin de plus d'info sur cette séquence, voici un lien intéressant : http://community.arubanetworks.com/t5/07-19-13-Expert-Day/How-does-captive-portal-authentication-really-work-with/td-p/87208 

     

    Désolé d'avoir été aussi long, mais je pense que ce rappel est important. Maintenant, je réponds à tes questions. 


    wrote:

     

     

    • Une fois le guest authentifié, le portail Clearpass fait-il de l’interception HTTPS et joue-t-il un MITM (via une AC intermédiaire ou autre) ?

    Techniquement c'est le controlleur (traditionnel ou le controlleur virtuel Instant) qui intercepte la requette HTTPS/HTTP et redirige vers l'URL de clearpass.  A aucun moment, ni le controlleur ni Clearpass fait du Man-in-the-middle  proxy comme le ferait un firewall nextgen

    • Est-il possible de désactiver ce comportement pour qu’il soit l’équivalent d’un proxy sans interception https?

    Tu peux configurer le portail captif en HTTP si tu veux, mais ce n'est pas recommandé, d'autant plus que tes flux d'authentifcation guest passent à travers un réseau internet


     

    • Pour que le certificat soit valable, il faut également que le portail redirige vers le nom de domaine et non l’IP directement. Comment configurer ce comportement dans Clearpass ?

    Cela ne se configure pas dans clearpass mais au niveau du controlleur. Lors de la configuration sur le contolleur, au lieu de définir une adresse, il faut definir un nom de domaine :  

    • Quelle est la différence entre le certificat visible dans « Clearpass policy Manager>Administration>Certificates>Server Certificate » et celui dans « Clearpass Guest>Onboard>Autorité de certificat » ?

    Le certiifcat qui t'interesse est le premier ( et plus précisement le certificat pour l'HTTP). Le second est lié à l'autorité de certification du module Onboard, utilisé pour déployer des certificats sur des postes clients dans un cadre BYOD

     

     

    A+

     

     



  • 3.  RE: [Clearpass] Gestion du HTTPS et configuration Certificat du portail Guest

    Posted Feb 08, 2018 06:22 AM

    Bonjour Loic,

     

    Le rappel ne faisait pas de mal, cela m'a permis d'aller même un peu plus loin ;).

     

    Merci pour tes réponses, c'est très clair!

     

    Jérémy