Forescout [LAB 9] Cấu hình cổng Captive Portal Forescout

AnhTuIS

AnhTuIS

Intern

Cấu hình cổng Captive Portal Forescout​


Trong môi trường mạng có nhiều thiết bị không hỗ trợ 802.1X như thiết bị BYOD, khách mời, hoặc thiết bị không xác định, Captive Portal là một phương án kiểm soát truy cập hiệu quả và dễ triển khai. Forescout hỗ trợ cơ chế Captive Portal cho phép người dùng xác thực qua trình duyệt web trước khi được cấp quyền truy cập vào mạng.

Tính năng này đặc biệt phù hợp với:
  • Doanh nghiệp có nhiều người dùng di động, thiết bị không domain join
  • Khu vực Wi-Fi công cộng hoặc mạng khách
  • Môi trường cần kiểm soát truy cập tạm thời, không yêu cầu cài đặt agent
Trong bài lab này, bạn sẽ thực hành:
  • Bật tính năng Captive Portal trong Forescout
  • Cấu hình trang xác thực, cơ chế xử lý và quyền truy cập sau đăng nhập
  • Tích hợp với AD để xác thực
  • Kiểm tra khả năng redirect và phân quyền truy cập theo người dùng

Mục Lục:

I. Khái niệm Captive Portal​

- Captive Portal là một trang web xuất hiện khi bạn kết nối vào WiFi công cộng, yêu cầu bạn đăng nhập, đồng ý điều khoản hoặc nhập thông tin trước khi được truy cập Internet. Nó giúp quản lý người dùng, tăng bảo mật và thường dùng tại quán cà phê, khách sạn, sân bay...

- Mục đích sử dụng Captive Portal
  • Kiểm soát và quản lý người dùng truy cập mạng.
  • Thu thập thông tin khách hàng phục vụ cho marketing hoặc cải thiện dịch vụ.
  • Hiển thị quảng cáo, thông báo hoặc các chương trình khuyến mãi trước khi cho phép truy cập Internet.
  • Đảm bảo người dùng đồng ý với điều khoản sử dụng mạng, giảm thiểu rủi ro pháp lý cho nhà cung cấp dịch vụ.
  • Giới hạn băng thông, thời gian truy cập hoặc số lượng thiết bị truy cập mạng.
1750736616424.png


II. Cấu hình cổng Captive Portal Forescout​

- Mình sẽ Cấu hình Captive Portal cho vlan Guest

- Vào Policy -> Add -> Chọn Template Centralized Web Authentication
1750577373485.png

- Bước tiếp theo là Đặt tên cũng như chọn Segment. Tới bước Main Rule chúng ta cấu hình Condition và Action như sau
- Condition mình chọn IP/FQDN và Port của Swtich mình muốn mở giao diện Web Portal (Các bạn có thể chọn 802.1X SSID mặc định hoặc IP của Swtich
- Action có 2 cách chọn
  • Cách 1: Redirect tới 1 Captive Portal có sẵn. Các bạn có thể chọn Action HTTP Redirection to URL​
1750578529199.png

  • Cách 2: Bạn dùng web portal của Forescout bằng Action HTTP Login giao diện như sau​
1750578666193.png

  • Các tuỳ chọn:​
    • Enable HTTP login for approved guests → Cho phép hiển thị trang login HTTP với các khách mời đã được phê duyệt.
    • Keep open a 'Login Session' window after guest login → Giữ lại cửa sổ login để khách thấy trạng thái.
    • Allow each guest to be logged in concurrently on multiple devices → Cho phép cùng một tài khoản guest đăng nhập trên nhiều thiết bị một lúc.
    • Provide a system-generated password to self-registering guests → Hệ thống tự tạo mật khẩu khi guest tự đăng ký.
    • Enable guests to edit their profiles → Cho phép khách chỉnh sửa thông tin cá nhân sau khi đăng ký.
    • Enable guests to request replacement passwords → Khách có thể yêu cầu lại mật khẩu nếu quên.
    • Show Login page link where guests can register for full network access as Logged In Guests → Hiển thị liên kết đăng ký cho khách chưa có tài khoản.
    • Set the Guest Registration page as the landing page for unregistered guests → Khi chưa đăng ký, khách sẽ bị chuyển hướng tới trang đăng ký đầu tiên.
    • Limit guest accounts to a specified duration (1 hour) → Tài khoản guest sẽ chỉ có hiệu lực trong 1 giờ sau khi đăng ký.
    • Network access requests are automatically approved → Forescout duyệt yêu cầu guest tự động, không cần sponsor.
    • Guests must be approved by the sponsor they provide… → Hoặc có thể yêu cầu duyệt bởi sponsor cụ thể (nếu không bật auto approve ở trên).
  • Ngoài ra chúng ta còn có thể custom lại giao diện của Forescout bằng Tab Login Page và Register Page và nhiều Option ở các Tab khác​

1750578898604.png
1750578930989.png

- Bước cuối cùng ở Sub-rule điều chỉnh cho Guest sau khi Accept vào VLAN Guest.

1750579447126.png


  • Chọn Signed in as Guest -> Edit giao diện hiện ra như sau​

1750579421949.png

  • Chọn vào Radius Authorize nhập ID VLAN Guest và nhấn OK​
1750579549930.png
- Nhấn Finish để áp dụng Policy
1750579612311.png

III. Cấu hình ở Switch

...

IV. Kết luận​

- Cấu hình Captive Portal trên Forescout giúp kiểm soát hiệu quả các thiết bị không hỗ trợ 802.1X hoặc không cài agent, đặc biệt phù hợp cho môi trường có người dùng khách, BYOD hoặc thiết bị không định danh.
- Với cơ chế xác thực qua trình duyệt, hệ thống có thể nhận diện người dùng, áp dụng chính sách phân quyền và ghi log truy cập mà không cần thay đổi hạ tầng nhiều.
- Lab này giúp bạn nắm được cách cấu hình Captive Portal, và kiểm soát truy cập dựa trên trạng thái xác thực. Đây là một phần quan trọng trong việc hoàn thiện giải pháp NAC toàn diện trên Forescout.
 
Sửa lần cuối:
Bài viết liên quan
[LAB 8] Cấu hình VLAN cách ly cho thiết bị không tuân thủ trong Forescout bởi AnhTuIS,
[LAB 7] Cấu hình xác thực cơ bản (802.1X) trên Forescout bởi AnhTuIS,
[Lab 6] Hướng dẫn phân vùng Segment và tạo thư mục Policy bởi AnhTuIS,
[Lab 5] Hướng dẫn Active License Forescout bởi AnhTuIS,
[Lab 4] Cấu hình sao lưu và khôi phục dữ liệu Forescout bởi AnhTuIS,
[Lab 3] Cấu hình tích hợp với Active Directory (AD), LDAP, VLAN và RADIUS trên Forescout bởi AnhTuIS,
Được quan tâm
[LAB 8] Cấu hình VLAN cách ly cho thiết bị không tuân thủ trong Forescout bởi AnhTuIS,
Bài viết mới
[LAB 8] Cấu hình VLAN cách ly cho thiết bị không tuân thủ trong Forescout bởi AnhTuIS,
[LAB 7] Cấu hình xác thực cơ bản (802.1X) trên Forescout bởi AnhTuIS,
[Lab 6] Hướng dẫn phân vùng Segment và tạo thư mục Policy bởi AnhTuIS,
[Lab 5] Hướng dẫn Active License Forescout bởi AnhTuIS,
[Lab 4] Cấu hình sao lưu và khôi phục dữ liệu Forescout bởi AnhTuIS,
[Lab 3] Cấu hình tích hợp với Active Directory (AD), LDAP, VLAN và RADIUS trên Forescout bởi AnhTuIS,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top