Strona 1 z 1

autoryzacja przed dostępem do sieci zewnętrznej

: 04 lis 2008, 14:34
autor: raul
Witam!!

Posiadam Pixa 515e i problem polega na tym. W sieci wewnętrznej mam zablokowany cały ruch wychodzący do sieci zewnątrznej natomiast jest kilku userów którzy są uprzywilejowani (pan. Kowalski) i mają mieć dostęp do globalnej sieci Internet. Nie było by problemu gdy ci użytkownicy posiadali stałe adresy IP wtedy odpowiednia access-list'a i po sprawie natomiast DHCP rozgłasza adresy dla wszystkich userów w sieci i nie wiem jak mam skonfigurować pix'a żeby wiedział że to właśnie Kowalski chcę wywołać stronę www i można go wtedy przepuścić, a nie ktoś inny.

Czy miał ktoś z Was podobną sytuację jak ją rozwiązać?

pozdr.

Re: autoryzacja przed dostępem do sieci zewnętrznej

: 04 lis 2008, 14:45
autor: gryglas
raul pisze:Witam!!

Posiadam Pixa 515e i problem polega na tym. W sieci wewnętrznej mam zablokowany cały ruch wychodzący do sieci zewnątrznej natomiast jest kilku userów którzy są uprzywilejowani (pan. Kowalski) i mają mieć dostęp do globalnej sieci Internet. Nie było by problemu gdy ci użytkownicy posiadali stałe adresy IP wtedy odpowiednia access-list'a i po sprawie natomiast DHCP rozgłasza adresy dla wszystkich userów w sieci i nie wiem jak mam skonfigurować pix'a żeby wiedział że to właśnie Kowalski chcę wywołać stronę www i można go wtedy przepuścić, a nie ktoś inny.

Czy miał ktoś z Was podobną sytuację jak ją rozwiązać?

pozdr.
A nie możesz przypisać statycznych adresów IP na podstawie mac addresu w DHCP ?

: 04 lis 2008, 14:50
autor: drozdov
1) może rozważyć przydział adresów ip po mac adresach a potem ACL - rozwiązanie nie do końca fajne bo można się podszyć
2) Jeżeli masz AD to instalujesz IAS ( Radius Microsoftowy ) tworzysz grupę do której dodajesz userów którzy mają mieć dostęp do Internetu a następnie uruchamiasz auth proxy na usługę HTTP na PIX - IMO ładniejsze rozwiązanie

: 04 lis 2008, 14:53
autor: raul
rozważałem to, ale zastanawiam się czy mozna to jakoś inaczej rozwiązać przy pomocy PIX'a

Jest coś takiego jak lokalna baza na pixie gdzie mozna zdefiniować usera i przypisać mu port np. 80 na który ma wychodzić w świat wtedy jest sprawdzany podczas próby połączenia ze stroną www ale za każdym razem po uruchomieniu przegladarki www i wpisaniu adresu musi podać login i hasło żeby jeszcze login i hasło było sprawdzane na podstawie zalogowania na lokalną maszynę to by rozwiazało sprawę, ale sprawdzałem to mimo że user zaloguje się do domeny windows lub lokalnie pix żąda loginu i hasła.

: 04 lis 2008, 15:12
autor: weis
Bez Radiusa nie da rady tego uzyskać na PIXie, bez każdorazowej potrzeby podawania loginu i hasła.

: 04 lis 2008, 15:14
autor: gryglas
raul pisze:rozważałem to, ale zastanawiam się czy mozna to jakoś inaczej rozwiązać przy pomocy PIX'a

Jest coś takiego jak lokalna baza na pixie gdzie mozna zdefiniować usera i przypisać mu port np. 80 na który ma wychodzić w świat wtedy jest sprawdzany podczas próby połączenia ze stroną www ale za każdym razem po uruchomieniu przegladarki www i wpisaniu adresu musi podać login i hasło żeby jeszcze login i hasło było sprawdzane na podstawie zalogowania na lokalną maszynę to by rozwiazało sprawę, ale sprawdzałem to mimo że user zaloguje się do domeny windows lub lokalnie pix żąda loginu i hasła.
Nie wiem na ile jest to możliwe , ale może to rozwiąże twój problem:

Kod: Zaznacz cały

One-Time Authentication 
A user at a given IP address only needs to authenticate one time for all rules and types, until theauthentication session expires. (See the timeout uauth command in the Cisco Security ApplianceCommand Reference for timeout values.) For example, if you configure the security appliance toauthenticate Telnet and FTP, and a user first successfully authenticates for Telnet, then as long as theauthentication session exists, the user does not also have to authenticate for FTP.
Wiec jeżeli była by możliwość ustawienia timeout auth np na 8h to było by OK.

UPDATE :idea:

Wydaje mi się , ze to będzie coś takiego :

Kod: Zaznacz cały

      time-range HTTP_work
        absolute start 08:00 04 November 2008
        periodic Monday 08:00 to Friday 18:00
      access-list Outside_authentication line 1 extended permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 eq http  time-range HTTP_work
      aaa authentication match Outside_authentication Outside LOCAL
ale niestety nie mam gdzie przetestować :?

: 05 lis 2008, 12:40
autor: raul
po wrócę jeszcze do tematu

Jednak chyba uruchomię IAS tak jak kolega Drozdov podpowiedział tylko o jedno się chciałem dopytać user uprzywilejowany loguje się do domeny podaje login i hasło czy musi ponownie podawać login i hasło podczas próby połączenia internetowego?
Dodam że IAS jest zintegrowana z AD (Active Directory).

pozdr

: 09 lis 2008, 22:38
autor: grzes1981
Mysle ze mozna sprobowac Cut-through Proxy + virtual telnet z lokalnym serwerem AAA
ale nie pamietam czy to dzialalo na pixie

Kod: Zaznacz cały


ASA Version 7.2(3)
!
hostname TESTAA
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.2 255.255.255.0
!
interface Ethernet0/2
 nameif dmz50
 security-level 50
 ip address 10.3.3.3 255.255.255.0
!
access-list ANY extended permit ip any any
access-list INIT_CUT extended permit icmp any any
access-list INIT_CUT extended permit tcp any host 10.1.1.100
access-list INIT_CUT extended permit tcp any host 10.3.3.100
!
access-group ANY in interface outside
access-group ANY in interface inside
access-group ANY in interface dmz50
!

aaa authentication match INIT_CUT inside LOCAL
!
virtual telnet 10.3.3.100
!
username test password test



UWAGA zeby zadzialalo ruch do wirtualnego adresu musi przejsc przez ase. stad wlasnie interfejs dmz. przynajmniej na asie i ios 7.2 tak dziala[/b]