identity FW

[vrankom]

hej,
szukam rozwiazania/produktu ktore bedzie potrafilo budowac reguly FW na podstawie konta komputera z domeny. mam ASA CX, zainstalowane CDA ale tu tylko jest mozliwosc sprawdzania konta uzytkownika. Mam tez ACS, ISE gdyby to mialo cos pomoc, ale nie widze obecnie zastosowania w tym przypadku.

Cel jaki chce osiagnac to zabronic pewnej grupie komputerow dostepu do konkretnego adresu IP. Komputery moga byc z domeny lub nie, wiec regula ma przepuszac ruch jesli spelnie warunek - czlonkostwo konta komputera w grupie z AD.

anyone?

/V.

[mihu]

hej,
szukam rozwiazania/produktu ktore bedzie potrafilo budowac reguly FW na podstawie konta komputera z domeny. mam ASA CX, zainstalowane CDA ale tu tylko jest mozliwosc sprawdzania konta uzytkownika. Mam tez ACS, ISE gdyby to mialo cos pomoc, ale nie widze obecnie zastosowania w tym przypadku.

Cel jaki chce osiagnac to zabronic pewnej grupie komputerow dostepu do konkretnego adresu IP. Komputery moga byc z domeny lub nie, wiec regula ma przepuszac ruch jesli spelnie warunek - czlonkostwo konta komputera w grupie z AD.

anyone?

/V.

jesli chcesz to zrobic per-PC nie per-user to ISE, zalezy jak komputery maja dostep do sieci - jesli LAN/WLAN to powinno spoko pojsc przez ISE, jesli przez VPN, to niestety ASA jeszcze nie wspiera CoA (bedzie od 9.2, ale to juz tylko na ASA-X i ASA5505 AFAIK) i musisz dodac iPEP ISE

ewentualnie IDFW na "czystej" ASA-ise z AD-Agent. Ostatnio to robilem ale per user nie per PC

[PatrykW]

Microsoft Forefront Threat Management Gateway (TMG) ?

[domin]

F5 APM potrafi ogarnąć przynależność do grupy AD

[vrankom]

Microsoft Forefront Threat Management Gateway (TMG) ?

hym TMG jest EoS wiec odpada, sprawdzalem Web Application Proxy na Win2012R2 ale to nie to

[PatrykW]

Microsoft Forefront Threat Management Gateway (TMG) ?

hym TMG jest EoS wiec odpada, sprawdzalem Web Application Proxy na Win2012R2 ale to nie to

Jeszcze jest McAfee Web Gateway, nie pamietam juz, ale chyba idzie pogodzić userow z AD

[vrankom]

Microsoft Forefront Threat Management Gateway (TMG) ?

hym TMG jest EoS wiec odpada, sprawdzalem Web Application Proxy na Win2012R2 ale to nie to

Jeszcze jest McAfee Web Gateway, nie pamietam juz, ale chyba idzie pogodzić userow z AD

sek w tym ze nie chce uzywac userLogin bo to mam na ASA-X tylko machineLogin ;p

[mihu]

sek w tym ze nie chce uzywac userLogin bo to mam na ASA-X tylko machineLogin ;p

ISE da rade, pewnie ACS tez. Robilem cos podobnego na ISE dla WLAN - inna polityka dla urzadzen w domenie inna dla nie

[vrankom]

sek w tym ze nie chce uzywac userLogin bo to mam na ASA-X tylko machineLogin ;p

ISE da rade, pewnie ACS tez. Robilem cos podobnego na ISE dla WLAN - inna polityka dla urzadzen w domenie inna dla nie

tak ale tu pojawia sie problem, co mi po WLAN kiedy moge sie wpiac do LANu

moja siec wyglada tak:
PL - domena A, reszta swiata domena B lub brak

teraz mamy sytuacje, biore swoj PC ktory ma miec dostep do tego nieszczesnego serwera, jade np. do USA podpinam sie do sieci korpo, nie moge sie zidentyfikowac w zaden sposob, wiec jak mam pozwolic mojemu PC dostac sie do serwera a calej reszcie to wyciac?

inna sytuacja:
ktos np. z azji przyjezdza do PL, wpina sie w siec korpo, jego PC nie powinien sie dostac do serwera

kolejna sytuacja:
biore swoj PC, jest w moim AD ale nie jest w grupie Allow, nie powinienem sie dostac do serwera.

WLAN u mnie ok, 802.1X u mnie ok, ale pozostaje cala reszta swiata gdzie nie mam wladzy, a moje PCty musza miec dostep z tamtej sieci do tego serwera

jedynym sensownym rozwiazaniem bylo wstawienie ASA-CX przed serwrem i filtrowanie niechcianych PCtow jednak CDA czy AD Agent nie potrafia zbierac info o kontachKomputerow

/V.

[mihu]

moja siec wyglada tak:
PL - domena A, reszta swiata domena B lub brak

1. teraz mamy sytuacje, biore swoj PC ktory ma miec dostep do tego nieszczesnego serwera, jade np. do USA podpinam sie do sieci korpo, nie moge sie zidentyfikowac w zaden sposob, wiec jak mam pozwolic mojemu PC dostac sie do serwera a calej reszcie to wyciac?

2. inna sytuacja:
ktos np. z azji przyjezdza do PL, wpina sie w siec korpo, jego PC nie powinien sie dostac do serwera

3. kolejna sytuacja:
biore swoj PC, jest w moim AD ale nie jest w grupie Allow, nie powinienem sie dostac do serwera.

WLAN u mnie ok, 802.1X u mnie ok, ale pozostaje cala reszta swiata gdzie nie mam wladzy, a moje PCty musza miec dostep z tamtej sieci do tego serwera

jedynym sensownym rozwiazaniem bylo wstawienie ASA-CX przed serwrem i filtrowanie niechcianych PCtow jednak CDA czy AD Agent nie potrafia zbierac info o kontachKomputerow

/V.

ok, nie wiem czy do konca rozumiem:
- w Twojej sieci : 801.x na WLAN i na switchach, ISE należy do AD , powinno zalatwic 2 i 3, ale jesli mówisz ze "nie jest w grupie Allow" zakladam ze mowisz o userze, więc AuthZ na maszyne+usera

re:1 - masz FW miedzy sobą a resztą corpo? zakladam że ten nieszczęsny server jest u Ciebie

jedna z opcji której możesz się przyjrzeć to RVPN + inline ISE (jeśli dobrze pamiętam tylko fizyczne pudło jest supportowane jako iPEP)
+ opcojnalnie NAC w ISE

jesli potrzebujesz dostep z domeny A i B to musi byc miedzy nimi trust, bo jak na razie ISE 1.2 obsluguje tylko jedna domenę (ma byc ponoc lepiej w 1.3). No i jak zwykle jest bug w AD, który objawia sie przy zbyt dużej ilości kont w AD (ma byc poprawiony w 1.3).

[weis]

A nie bedzie prosciej w takim srodowisku wdrozyc vpn pozwalajacy na dostep do tego nieszczesnego serwera z sieci wewnetrznej? Rozwiazanie moze malo eleganckie ale raczej skuteczne.

[mihu]

A nie bedzie prosciej w takim srodowisku wdrozyc vpn pozwalajacy na dostep do tego nieszczesnego serwera z sieci wewnetrznej? Rozwiazanie moze malo eleganckie ale raczej skuteczne.

o tym wspominalem w czesci:

jedna z opcji której możesz się przyjrzeć to RVPN + inline ISE (jeśli dobrze pamiętam tylko fizyczne pudło jest supportowane jako iPEP)
+ opcojnalnie NAC w ISE

i tego vpn-a ustawic na brzegu site-u/corpo, a wewnątrz lokacji 802.1x na (W)LAN

[vrankom]

nie moge, asa-x jest w multimode context co wyklucza rvpn, druga jest w innym segmencie i nie moge jej uzywac do tego

jednak problem rozwiazalem ;) uzylem zaawansowanych funkcji windows firewall na serwerze i gpo na klientach

aha TMG oraz Web Application Proxy tego nie potrafia.


/V.

[Szutor]

To może coś z podwórka Juniperowego - Junos Pulse Access Control. Można ładnie budować role w oparciu o atrybuty AD, regexy itp. a potem wypychać dynamiczne polisy na SRXy. Niedogodność rozwiązania to trzeba by postawić dodatkowe pudła...

[mihu]

To może coś z podwórka Juniperowego - Junos Pulse Access Control. Można ładnie budować role w oparciu o atrybuty AD, regexy itp. a potem wypychać dynamiczne polisy na SRXy. Niedogodność rozwiązania to trzeba by postawić dodatkowe pudła...

Taaa... sam jestem fanem Jupka, problem z nim taki ze JPulse na SRX jest okrojony - nie działają na nim urządzenia mobilne co jest delikatnie w..pieniające i potrzebujesz to tego IVE, SA vel MAGa jak go teraz zowią.

Poza tym vrankom pewnie starał się użyć sprzęt który już ma, a ma go sporo.

Co do kolejnego pudla, to SRX jest juz chyba wsperany na VM (Firefly), ale nie wiem czy ma 100 % funkcjonalności.