autoryzacja przed dostępem do sieci zewnętrznej
autoryzacja przed dostępem do sieci zewnętrznej
Witam!!
Posiadam Pixa 515e i problem polega na tym. W sieci wewnętrznej mam zablokowany cały ruch wychodzący do sieci zewnątrznej natomiast jest kilku userów którzy są uprzywilejowani (pan. Kowalski) i mają mieć dostęp do globalnej sieci Internet. Nie było by problemu gdy ci użytkownicy posiadali stałe adresy IP wtedy odpowiednia access-list'a i po sprawie natomiast DHCP rozgłasza adresy dla wszystkich userów w sieci i nie wiem jak mam skonfigurować pix'a żeby wiedział że to właśnie Kowalski chcę wywołać stronę www i można go wtedy przepuścić, a nie ktoś inny.
Czy miał ktoś z Was podobną sytuację jak ją rozwiązać?
pozdr.
Posiadam Pixa 515e i problem polega na tym. W sieci wewnętrznej mam zablokowany cały ruch wychodzący do sieci zewnątrznej natomiast jest kilku userów którzy są uprzywilejowani (pan. Kowalski) i mają mieć dostęp do globalnej sieci Internet. Nie było by problemu gdy ci użytkownicy posiadali stałe adresy IP wtedy odpowiednia access-list'a i po sprawie natomiast DHCP rozgłasza adresy dla wszystkich userów w sieci i nie wiem jak mam skonfigurować pix'a żeby wiedział że to właśnie Kowalski chcę wywołać stronę www i można go wtedy przepuścić, a nie ktoś inny.
Czy miał ktoś z Was podobną sytuację jak ją rozwiązać?
pozdr.
Re: autoryzacja przed dostępem do sieci zewnętrznej
A nie możesz przypisać statycznych adresów IP na podstawie mac addresu w DHCP ?raul pisze:Witam!!
Posiadam Pixa 515e i problem polega na tym. W sieci wewnętrznej mam zablokowany cały ruch wychodzący do sieci zewnątrznej natomiast jest kilku userów którzy są uprzywilejowani (pan. Kowalski) i mają mieć dostęp do globalnej sieci Internet. Nie było by problemu gdy ci użytkownicy posiadali stałe adresy IP wtedy odpowiednia access-list'a i po sprawie natomiast DHCP rozgłasza adresy dla wszystkich userów w sieci i nie wiem jak mam skonfigurować pix'a żeby wiedział że to właśnie Kowalski chcę wywołać stronę www i można go wtedy przepuścić, a nie ktoś inny.
Czy miał ktoś z Was podobną sytuację jak ją rozwiązać?
pozdr.
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.
1) może rozważyć przydział adresów ip po mac adresach a potem ACL - rozwiązanie nie do końca fajne bo można się podszyć
2) Jeżeli masz AD to instalujesz IAS ( Radius Microsoftowy ) tworzysz grupę do której dodajesz userów którzy mają mieć dostęp do Internetu a następnie uruchamiasz auth proxy na usługę HTTP na PIX - IMO ładniejsze rozwiązanie
2) Jeżeli masz AD to instalujesz IAS ( Radius Microsoftowy ) tworzysz grupę do której dodajesz userów którzy mają mieć dostęp do Internetu a następnie uruchamiasz auth proxy na usługę HTTP na PIX - IMO ładniejsze rozwiązanie
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu
rozważałem to, ale zastanawiam się czy mozna to jakoś inaczej rozwiązać przy pomocy PIX'a
Jest coś takiego jak lokalna baza na pixie gdzie mozna zdefiniować usera i przypisać mu port np. 80 na który ma wychodzić w świat wtedy jest sprawdzany podczas próby połączenia ze stroną www ale za każdym razem po uruchomieniu przegladarki www i wpisaniu adresu musi podać login i hasło żeby jeszcze login i hasło było sprawdzane na podstawie zalogowania na lokalną maszynę to by rozwiazało sprawę, ale sprawdzałem to mimo że user zaloguje się do domeny windows lub lokalnie pix żąda loginu i hasła.
Jest coś takiego jak lokalna baza na pixie gdzie mozna zdefiniować usera i przypisać mu port np. 80 na który ma wychodzić w świat wtedy jest sprawdzany podczas próby połączenia ze stroną www ale za każdym razem po uruchomieniu przegladarki www i wpisaniu adresu musi podać login i hasło żeby jeszcze login i hasło było sprawdzane na podstawie zalogowania na lokalną maszynę to by rozwiazało sprawę, ale sprawdzałem to mimo że user zaloguje się do domeny windows lub lokalnie pix żąda loginu i hasła.
RaUl
"Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności"
-- Albert Einstein --
"Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności"
-- Albert Einstein --
Nie wiem na ile jest to możliwe , ale może to rozwiąże twój problem:raul pisze:rozważałem to, ale zastanawiam się czy mozna to jakoś inaczej rozwiązać przy pomocy PIX'a
Jest coś takiego jak lokalna baza na pixie gdzie mozna zdefiniować usera i przypisać mu port np. 80 na który ma wychodzić w świat wtedy jest sprawdzany podczas próby połączenia ze stroną www ale za każdym razem po uruchomieniu przegladarki www i wpisaniu adresu musi podać login i hasło żeby jeszcze login i hasło było sprawdzane na podstawie zalogowania na lokalną maszynę to by rozwiazało sprawę, ale sprawdzałem to mimo że user zaloguje się do domeny windows lub lokalnie pix żąda loginu i hasła.
Kod: Zaznacz cały
One-Time Authentication
A user at a given IP address only needs to authenticate one time for all rules and types, until theauthentication session expires. (See the timeout uauth command in the Cisco Security ApplianceCommand Reference for timeout values.) For example, if you configure the security appliance toauthenticate Telnet and FTP, and a user first successfully authenticates for Telnet, then as long as theauthentication session exists, the user does not also have to authenticate for FTP.
UPDATE
Wydaje mi się , ze to będzie coś takiego :
Kod: Zaznacz cały
time-range HTTP_work
absolute start 08:00 04 November 2008
periodic Monday 08:00 to Friday 18:00
access-list Outside_authentication line 1 extended permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 eq http time-range HTTP_work
aaa authentication match Outside_authentication Outside LOCAL
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.
po wrócę jeszcze do tematu
Jednak chyba uruchomię IAS tak jak kolega Drozdov podpowiedział tylko o jedno się chciałem dopytać user uprzywilejowany loguje się do domeny podaje login i hasło czy musi ponownie podawać login i hasło podczas próby połączenia internetowego?
Dodam że IAS jest zintegrowana z AD (Active Directory).
pozdr
Jednak chyba uruchomię IAS tak jak kolega Drozdov podpowiedział tylko o jedno się chciałem dopytać user uprzywilejowany loguje się do domeny podaje login i hasło czy musi ponownie podawać login i hasło podczas próby połączenia internetowego?
Dodam że IAS jest zintegrowana z AD (Active Directory).
pozdr
RaUl
"Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności"
-- Albert Einstein --
"Tylko dwie rzeczy są nieskończone: wszechświat i ludzka głupota, chociaż co do pierwszego nie mam pewności"
-- Albert Einstein --
Mysle ze mozna sprobowac Cut-through Proxy + virtual telnet z lokalnym serwerem AAA
ale nie pamietam czy to dzialalo na pixie
UWAGA zeby zadzialalo ruch do wirtualnego adresu musi przejsc przez ase. stad wlasnie interfejs dmz. przynajmniej na asie i ios 7.2 tak dziala[/b]
ale nie pamietam czy to dzialalo na pixie
Kod: Zaznacz cały
ASA Version 7.2(3)
!
hostname TESTAA
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 10.1.1.1 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.2.2.2 255.255.255.0
!
interface Ethernet0/2
nameif dmz50
security-level 50
ip address 10.3.3.3 255.255.255.0
!
access-list ANY extended permit ip any any
access-list INIT_CUT extended permit icmp any any
access-list INIT_CUT extended permit tcp any host 10.1.1.100
access-list INIT_CUT extended permit tcp any host 10.3.3.100
!
access-group ANY in interface outside
access-group ANY in interface inside
access-group ANY in interface dmz50
!
aaa authentication match INIT_CUT inside LOCAL
!
virtual telnet 10.3.3.100
!
username test password test