identity FW
identity FW
hej,
szukam rozwiazania/produktu ktore bedzie potrafilo budowac reguly FW na podstawie konta komputera z domeny. mam ASA CX, zainstalowane CDA ale tu tylko jest mozliwosc sprawdzania konta uzytkownika. Mam tez ACS, ISE gdyby to mialo cos pomoc, ale nie widze obecnie zastosowania w tym przypadku.
Cel jaki chce osiagnac to zabronic pewnej grupie komputerow dostepu do konkretnego adresu IP. Komputery moga byc z domeny lub nie, wiec regula ma przepuszac ruch jesli spelnie warunek - czlonkostwo konta komputera w grupie z AD.
anyone?
/V.
szukam rozwiazania/produktu ktore bedzie potrafilo budowac reguly FW na podstawie konta komputera z domeny. mam ASA CX, zainstalowane CDA ale tu tylko jest mozliwosc sprawdzania konta uzytkownika. Mam tez ACS, ISE gdyby to mialo cos pomoc, ale nie widze obecnie zastosowania w tym przypadku.
Cel jaki chce osiagnac to zabronic pewnej grupie komputerow dostepu do konkretnego adresu IP. Komputery moga byc z domeny lub nie, wiec regula ma przepuszac ruch jesli spelnie warunek - czlonkostwo konta komputera w grupie z AD.
anyone?
/V.
Re: identity FW
vrankom pisze:hej,
szukam rozwiazania/produktu ktore bedzie potrafilo budowac reguly FW na podstawie konta komputera z domeny. mam ASA CX, zainstalowane CDA ale tu tylko jest mozliwosc sprawdzania konta uzytkownika. Mam tez ACS, ISE gdyby to mialo cos pomoc, ale nie widze obecnie zastosowania w tym przypadku.
Cel jaki chce osiagnac to zabronic pewnej grupie komputerow dostepu do konkretnego adresu IP. Komputery moga byc z domeny lub nie, wiec regula ma przepuszac ruch jesli spelnie warunek - czlonkostwo konta komputera w grupie z AD.
anyone?
/V.
jesli chcesz to zrobic per-PC nie per-user to ISE, zalezy jak komputery maja dostep do sieci - jesli LAN/WLAN to powinno spoko pojsc przez ISE, jesli przez VPN, to niestety ASA jeszcze nie wspiera CoA (bedzie od 9.2, ale to juz tylko na ASA-X i ASA5505 AFAIK) i musisz dodac iPEP ISE
ewentualnie IDFW na "czystej" ASA-ise z AD-Agent. Ostatnio to robilem ale per user nie per PC
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
- PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Microsoft Forefront Threat Management Gateway (TMG) ?
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
- PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Jeszcze jest McAfee Web Gateway, nie pamietam juz, ale chyba idzie pogodzić userow z ADvrankom pisze:hym TMG jest EoS wiec odpada, sprawdzalem Web Application Proxy na Win2012R2 ale to nie toRuFiK pisze:Microsoft Forefront Threat Management Gateway (TMG) ?
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
sek w tym ze nie chce uzywac userLogin bo to mam na ASA-X tylko machineLogin ;pRuFiK pisze:Jeszcze jest McAfee Web Gateway, nie pamietam juz, ale chyba idzie pogodzić userow z ADvrankom pisze:hym TMG jest EoS wiec odpada, sprawdzalem Web Application Proxy na Win2012R2 ale to nie toRuFiK pisze:Microsoft Forefront Threat Management Gateway (TMG) ?
ISE da rade, pewnie ACS tez. Robilem cos podobnego na ISE dla WLAN - inna polityka dla urzadzen w domenie inna dla nieRuFiK pisze: sek w tym ze nie chce uzywac userLogin bo to mam na ASA-X tylko machineLogin ;p
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
tak ale tu pojawia sie problem, co mi po WLAN kiedy moge sie wpiac do LANumihu pisze:ISE da rade, pewnie ACS tez. Robilem cos podobnego na ISE dla WLAN - inna polityka dla urzadzen w domenie inna dla nieRuFiK pisze: sek w tym ze nie chce uzywac userLogin bo to mam na ASA-X tylko machineLogin ;p
moja siec wyglada tak:
PL - domena A, reszta swiata domena B lub brak
teraz mamy sytuacje, biore swoj PC ktory ma miec dostep do tego nieszczesnego serwera, jade np. do USA podpinam sie do sieci korpo, nie moge sie zidentyfikowac w zaden sposob, wiec jak mam pozwolic mojemu PC dostac sie do serwera a calej reszcie to wyciac?
inna sytuacja:
ktos np. z azji przyjezdza do PL, wpina sie w siec korpo, jego PC nie powinien sie dostac do serwera
kolejna sytuacja:
biore swoj PC, jest w moim AD ale nie jest w grupie Allow, nie powinienem sie dostac do serwera.
WLAN u mnie ok, 802.1X u mnie ok, ale pozostaje cala reszta swiata gdzie nie mam wladzy, a moje PCty musza miec dostep z tamtej sieci do tego serwera
jedynym sensownym rozwiazaniem bylo wstawienie ASA-CX przed serwrem i filtrowanie niechcianych PCtow jednak CDA czy AD Agent nie potrafia zbierac info o kontachKomputerow
/V.
ok, nie wiem czy do konca rozumiem:vrankom pisze: moja siec wyglada tak:
PL - domena A, reszta swiata domena B lub brak
1. teraz mamy sytuacje, biore swoj PC ktory ma miec dostep do tego nieszczesnego serwera, jade np. do USA podpinam sie do sieci korpo, nie moge sie zidentyfikowac w zaden sposob, wiec jak mam pozwolic mojemu PC dostac sie do serwera a calej reszcie to wyciac?
2. inna sytuacja:
ktos np. z azji przyjezdza do PL, wpina sie w siec korpo, jego PC nie powinien sie dostac do serwera
3. kolejna sytuacja:
biore swoj PC, jest w moim AD ale nie jest w grupie Allow, nie powinienem sie dostac do serwera.
WLAN u mnie ok, 802.1X u mnie ok, ale pozostaje cala reszta swiata gdzie nie mam wladzy, a moje PCty musza miec dostep z tamtej sieci do tego serwera
jedynym sensownym rozwiazaniem bylo wstawienie ASA-CX przed serwrem i filtrowanie niechcianych PCtow jednak CDA czy AD Agent nie potrafia zbierac info o kontachKomputerow
/V.
- w Twojej sieci : 801.x na WLAN i na switchach, ISE należy do AD , powinno zalatwic 2 i 3, ale jesli mówisz ze "nie jest w grupie Allow" zakladam ze mowisz o userze, więc AuthZ na maszyne+usera
re:1 - masz FW miedzy sobą a resztą corpo? zakladam że ten nieszczęsny server jest u Ciebie
jedna z opcji której możesz się przyjrzeć to RVPN + inline ISE (jeśli dobrze pamiętam tylko fizyczne pudło jest supportowane jako iPEP)
+ opcojnalnie NAC w ISE
jesli potrzebujesz dostep z domeny A i B to musi byc miedzy nimi trust, bo jak na razie ISE 1.2 obsluguje tylko jedna domenę (ma byc ponoc lepiej w 1.3). No i jak zwykle jest bug w AD, który objawia sie przy zbyt dużej ilości kont w AD (ma byc poprawiony w 1.3).
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
o tym wspominalem w czesci:weis pisze:A nie bedzie prosciej w takim srodowisku wdrozyc vpn pozwalajacy na dostep do tego nieszczesnego serwera z sieci wewnetrznej? Rozwiazanie moze malo eleganckie ale raczej skuteczne.
mihu pisze:jedna z opcji której możesz się przyjrzeć to RVPN + inline ISE (jeśli dobrze pamiętam tylko fizyczne pudło jest supportowane jako iPEP)
+ opcojnalnie NAC w ISE
i tego vpn-a ustawic na brzegu site-u/corpo, a wewnątrz lokacji 802.1x na (W)LAN
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Taaa... sam jestem fanem Jupka, problem z nim taki ze JPulse na SRX jest okrojony - nie działają na nim urządzenia mobilne co jest delikatnie w..pieniające i potrzebujesz to tego IVE, SA vel MAGa jak go teraz zowią.Szutor pisze:To może coś z podwórka Juniperowego - Junos Pulse Access Control. Można ładnie budować role w oparciu o atrybuty AD, regexy itp. a potem wypychać dynamiczne polisy na SRXy. Niedogodność rozwiązania to trzeba by postawić dodatkowe pudła...
Poza tym vrankom pewnie starał się użyć sprzęt który już ma, a ma go sporo.
Co do kolejnego pudla, to SRX jest juz chyba wsperany na VM (Firefly), ale nie wiem czy ma 100 % funkcjonalności.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"