autoryzacja przed dostępem do sieci zewnętrznej

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
Awatar użytkownika
raul
wannabe
wannabe
Posty: 122
Rejestracja: 05 cze 2008, 11:29
Lokalizacja: Poland

autoryzacja przed dostępem do sieci zewnętrznej

#1

#1 Post autor: raul »

Witam!!

Posiadam Pixa 515e i problem polega na tym. W sieci wewnętrznej mam zablokowany cały ruch wychodzący do sieci zewnątrznej natomiast jest kilku userów którzy są uprzywilejowani (pan. Kowalski) i mają mieć dostęp do globalnej sieci Internet. Nie było by problemu gdy ci użytkownicy posiadali stałe adresy IP wtedy odpowiednia access-list'a i po sprawie natomiast DHCP rozgłasza adresy dla wszystkich userów w sieci i nie wiem jak mam skonfigurować pix'a żeby wiedział że to właśnie Kowalski chcę wywołać stronę www i można go wtedy przepuścić, a nie ktoś inny.

Czy miał ktoś z Was podobną sytuację jak ją rozwiązać?

pozdr.

Awatar użytkownika
gryglas
wannabe
wannabe
Posty: 1790
Rejestracja: 09 maja 2006, 07:56
Lokalizacja: Warsaw, PL

Re: autoryzacja przed dostępem do sieci zewnętrznej

#2

#2 Post autor: gryglas »

raul pisze:Witam!!

Posiadam Pixa 515e i problem polega na tym. W sieci wewnętrznej mam zablokowany cały ruch wychodzący do sieci zewnątrznej natomiast jest kilku userów którzy są uprzywilejowani (pan. Kowalski) i mają mieć dostęp do globalnej sieci Internet. Nie było by problemu gdy ci użytkownicy posiadali stałe adresy IP wtedy odpowiednia access-list'a i po sprawie natomiast DHCP rozgłasza adresy dla wszystkich userów w sieci i nie wiem jak mam skonfigurować pix'a żeby wiedział że to właśnie Kowalski chcę wywołać stronę www i można go wtedy przepuścić, a nie ktoś inny.

Czy miał ktoś z Was podobną sytuację jak ją rozwiązać?

pozdr.
A nie możesz przypisać statycznych adresów IP na podstawie mac addresu w DHCP ?
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.

Awatar użytkownika
drozdov
CCIE
CCIE
Posty: 511
Rejestracja: 13 sie 2005, 23:34
Lokalizacja: Zurych

#3

#3 Post autor: drozdov »

1) może rozważyć przydział adresów ip po mac adresach a potem ACL - rozwiązanie nie do końca fajne bo można się podszyć
2) Jeżeli masz AD to instalujesz IAS ( Radius Microsoftowy ) tworzysz grupę do której dodajesz userów którzy mają mieć dostęp do Internetu a następnie uruchamiasz auth proxy na usługę HTTP na PIX - IMO ładniejsze rozwiązanie
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu :)

Awatar użytkownika
raul
wannabe
wannabe
Posty: 122
Rejestracja: 05 cze 2008, 11:29
Lokalizacja: Poland

#4

#4 Post autor: raul »

rozważałem to, ale zastanawiam się czy mozna to jakoś inaczej rozwiązać przy pomocy PIX'a

Jest coś takiego jak lokalna baza na pixie gdzie mozna zdefiniować usera i przypisać mu port np. 80 na który ma wychodzić w świat wtedy jest sprawdzany podczas próby połączenia ze stroną www ale za każdym razem po uruchomieniu przegladarki www i wpisaniu adresu musi podać login i hasło żeby jeszcze login i hasło było sprawdzane na podstawie zalogowania na lokalną maszynę to by rozwiazało sprawę, ale sprawdzałem to mimo że user zaloguje się do domeny windows lub lokalnie pix żąda loginu i hasła.
RaUl

"Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności"

-- Albert Einstein --

Awatar użytkownika
weis
wannabe
wannabe
Posty: 1450
Rejestracja: 28 cze 2007, 11:15

#5

#5 Post autor: weis »

Bez Radiusa nie da rady tego uzyskać na PIXie, bez każdorazowej potrzeby podawania loginu i hasła.
Fire, aim, ready!

Awatar użytkownika
gryglas
wannabe
wannabe
Posty: 1790
Rejestracja: 09 maja 2006, 07:56
Lokalizacja: Warsaw, PL

#6

#6 Post autor: gryglas »

raul pisze:rozważałem to, ale zastanawiam się czy mozna to jakoś inaczej rozwiązać przy pomocy PIX'a

Jest coś takiego jak lokalna baza na pixie gdzie mozna zdefiniować usera i przypisać mu port np. 80 na który ma wychodzić w świat wtedy jest sprawdzany podczas próby połączenia ze stroną www ale za każdym razem po uruchomieniu przegladarki www i wpisaniu adresu musi podać login i hasło żeby jeszcze login i hasło było sprawdzane na podstawie zalogowania na lokalną maszynę to by rozwiazało sprawę, ale sprawdzałem to mimo że user zaloguje się do domeny windows lub lokalnie pix żąda loginu i hasła.
Nie wiem na ile jest to możliwe , ale może to rozwiąże twój problem:

Kod: Zaznacz cały

One-Time Authentication 
A user at a given IP address only needs to authenticate one time for all rules and types, until theauthentication session expires. (See the timeout uauth command in the Cisco Security ApplianceCommand Reference for timeout values.) For example, if you configure the security appliance toauthenticate Telnet and FTP, and a user first successfully authenticates for Telnet, then as long as theauthentication session exists, the user does not also have to authenticate for FTP.
Wiec jeżeli była by możliwość ustawienia timeout auth np na 8h to było by OK.

UPDATE :idea:

Wydaje mi się , ze to będzie coś takiego :

Kod: Zaznacz cały

      time-range HTTP_work
        absolute start 08:00 04 November 2008
        periodic Monday 08:00 to Friday 18:00
      access-list Outside_authentication line 1 extended permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 eq http  time-range HTTP_work
      aaa authentication match Outside_authentication Outside LOCAL
ale niestety nie mam gdzie przetestować :?
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.

Awatar użytkownika
raul
wannabe
wannabe
Posty: 122
Rejestracja: 05 cze 2008, 11:29
Lokalizacja: Poland

#7

#7 Post autor: raul »

po wrócę jeszcze do tematu

Jednak chyba uruchomię IAS tak jak kolega Drozdov podpowiedział tylko o jedno się chciałem dopytać user uprzywilejowany loguje się do domeny podaje login i hasło czy musi ponownie podawać login i hasło podczas próby połączenia internetowego?
Dodam że IAS jest zintegrowana z AD (Active Directory).

pozdr
RaUl

"Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności"

-- Albert Einstein --

grzes1981
CCIE
CCIE
Posty: 23
Rejestracja: 16 lut 2007, 23:32

#8

#8 Post autor: grzes1981 »

Mysle ze mozna sprobowac Cut-through Proxy + virtual telnet z lokalnym serwerem AAA
ale nie pamietam czy to dzialalo na pixie

Kod: Zaznacz cały


ASA Version 7.2(3)
!
hostname TESTAA
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.2 255.255.255.0
!
interface Ethernet0/2
 nameif dmz50
 security-level 50
 ip address 10.3.3.3 255.255.255.0
!
access-list ANY extended permit ip any any
access-list INIT_CUT extended permit icmp any any
access-list INIT_CUT extended permit tcp any host 10.1.1.100
access-list INIT_CUT extended permit tcp any host 10.3.3.100
!
access-group ANY in interface outside
access-group ANY in interface inside
access-group ANY in interface dmz50
!

aaa authentication match INIT_CUT inside LOCAL
!
virtual telnet 10.3.3.100
!
username test password test



UWAGA zeby zadzialalo ruch do wirtualnego adresu musi przejsc przez ase. stad wlasnie interfejs dmz. przynajmniej na asie i ios 7.2 tak dziala[/b]

ODPOWIEDZ