AnyConnect i dynamioczny access do określonych zasobów

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 628
Rejestracja: 27 wrz 2006, 10:02

AnyConnect i dynamioczny access do określonych zasobów

#1

#1 Post autor: Bolo » 07 lis 2019, 16:19

Dzień dobry,
Stoje przed wdrożeniem AnyConnecta. Konfiguracja i przydzielanie dostępów nie jest skomplikowane jednak pojawia się jeden dość znaczący problem.
Czy ktoś z koleżanek i kolegów może mi powiedzieć czy jest coś co może rozwiązać następujący problem z przydzieleniem dostępów do określonego zasobu.
Chioałbym to zrobić (tak samo jak np Puls Secure) - grupa lub user z AD przydzielam dostęp do okreslonego IP w sieci za VPN i już. Teraz na ASA przydzielam to w taki sposób że use w grupie IT dostaje adresację powiedzmy: 10.10.10.0/24 i ta adresacja ma odpowiednie aclki na poszczególnych urządzeniach.
Czy mamy cos co moze to przydzielać dynamicznie jak np dyamiczne access listy przypisane do usera authentykujacego sie poprzez SSL?

Dziękuję

RiFF
member
member
Posty: 27
Rejestracja: 29 paź 2015, 11:58

Re: AnyConnect i dynamioczny access do określonych zasobów

#2

#2 Post autor: RiFF » 07 lis 2019, 17:05

Jest kilka sposobów , możesz to zrobić np. tak - https://www.youtube.com/watch?v=dsuCU-65vNc , albo mapować ręcznie Group Policies z grupami w AD za pomocą LDAP Attribute Maps . Te przykłady działają na ASA bez FTD , nie wiem jak to wygląda na FTD bo nie miałem czasu się zagłębić w to środowisko :/

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 628
Rejestracja: 27 wrz 2006, 10:02

Re: AnyConnect i dynamioczny access do określonych zasobów

#3

#3 Post autor: Bolo » 07 lis 2019, 17:57

No ale DAP to host checker. Czy można podciągnąć pod to IP?

RiFF
member
member
Posty: 27
Rejestracja: 29 paź 2015, 11:58

Re: AnyConnect i dynamioczny access do określonych zasobów

#4

#4 Post autor: RiFF » 07 lis 2019, 18:13

Tworzysz Group Policy do niej przypisujesz pule adresow oraz ACL potem w DAP powiązujesz to z grupą w AD i już (nie dotykasz sprawdzania hosta) . Ew tak jak pisałem wcześniej mapujesz nazwę Group Policy z grupa w AD za pomocą LDAP Attribute Maps . Oczywiście oprócz wybranej metody musisz mieć skonfigurowany profil LDAPa (w AAA serwer groups) a w Anyconnect Connection Profiles w Authorization ten profil wybrany .

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 628
Rejestracja: 27 wrz 2006, 10:02

Re: AnyConnect i dynamioczny access do określonych zasobów

#5

#5 Post autor: Bolo » 07 lis 2019, 18:18

Mam ISE . Dobra to tak będę kombinować. Dam znac czy sukces czy nie

RiFF
member
member
Posty: 27
Rejestracja: 29 paź 2015, 11:58

Re: AnyConnect i dynamioczny access do określonych zasobów

#6

#6 Post autor: RiFF » 08 lis 2019, 10:04

Powinno działać, robiłem kiedyś profil który matchowal grupę z AD z group policy ASA przez ISE (na potrzeby posture remedation) . Zresztą to Radius , wiec wstrzyknie to co mu każesz tylko atrybuty musza się zgadzać ;) (tu jest jakiś przykład na szybko - https://www.petenetlive.com/KB/Article/0001155)

ODPOWIEDZ