The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Пример настройки сквозной аутентификации трафика на Cisco PI..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Другое оборудование)
Изначальное сообщение [ Отслеживать ]

"Пример настройки сквозной аутентификации трафика на Cisco PI..."  +/
Сообщение от Shutov email(ok) on 16-Сен-08, 12:06 
Допустим у вас есть ASA 5510 которая подключена к интернет и к локальной сети. На нее провайдером маршрутизируется сеть 100.100.100.0/24.
В локальной сети есть сервер под управлением Windows на который вам необходимо иметь доступ из интернета по протоколу RDP (TCP/3389).

По причине безопасности не хотелось бы выставлять наружу эту службу. Ограничивать же доступ с конкретных ip адресов тоже неприемлимо, т.к. у клиента может быть динамический ip адрес.
Выход из этой ситуеции есть. На ASA 5510 необходимо настроить аутентификацию пользователя по имени и паролю. В случае успешной аутентификации пользователь получит полный доступ со своего ip адреса к службе RDP, до того момента пока сам не сделает LOGOUT либо доступ снова будет закрыт по таймауту.

Реализовать это можно при помощи аутентификации через  virtual telnet server и virtual http (https) server. Аутентификацию через telnet и http рассматривать не будем, т.к. имена и пароли по этим протоколам передаются нешифрованными.

Рассмотрим как настроить virtual https server.

Сервер к которому необходимо иметь доступ по RDP из сети интернет имеет "белый" интернет адрес 100.100.100.100, соответственно он находится за Cisco ASA, т.е. в локальной сети.
Для virtual https сервера будем использовать адрес 100.100.100.1.

Настройка на Cisco ASA:

//добавляем пользователя в локальную базу
username cisco password cisco privilege 0

//Включаем virtual http сервер на адресе маршрутизируемом на ASA/PIX
virtual http 100.100.100.1

//Запись трансляции необходимая, для правильной работы virtual http сервера.
static (inside,outside) 100.100.100.1 100.100.100.1 netmask 255.255.255.255

//Переключаем в режим https
aaa authentication secure-http-client
aaa authentication listener https outside port https

//Разрешаем доступ к virtual https из интернет
access-list outside_access_in extended permit tcp any host 100.100.100.1 eq https

//Разрешаем доступ к нашему сервису RDP
access-list outside_access_in extended permit tcp any host 100.100.100.100 eq 3389

//Прописываем правила аутентификации сервиса RDP и virtual https
access-list AUTH extended permit tcp any host 100.100.100.100 eq 3389
access-list AUTH extended permit tcp any host 100.100.100.1 eq https

//Включаем аутентификацию из локальной базы пользователей
aaa authentication match AUTH outside LOCAL

//Устанавливаем 10 неправильных попыток входа
aaa local authentication attempts max-fail 10

//Определяем таймаут простоя аутентификации, по умолчанию 5 минут
timeout uauth 0:20:0

Теперь, чтобы зайти из сети интернет на сервер по по протоколу RDP, пользователь сначала в браузере наберет строку https://100.100.100.1 , после чего появится приглашение аутентификации. Введет имя и пароль пользователя и вслучае успешной аутентификации сможет через клиент RDP зайти на удаленный рабочий стол по адресу 100.100.100.100.

После того как доступ больше не нужен, пользователь снова должен пройти аутентификацию через https://100.100.100.1 и доступ будет закрыт. Либо просто ничего не делать и доступ будет закрыт по таймауту.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Пример настройки сквозной аутентификации трафика на Cisco PI..."  +/
Сообщение от All is not what it seems on 19-Сен-08, 00:00 
а можно подобное сделать на пограничном роутере 2800 с NAT(PAT)?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Пример настройки сквозной аутентификации трафика на Cisco PI..."  +/
Сообщение от CrAzOiD (ok) on 19-Сен-08, 01:09 
>а можно подобное сделать на пограничном роутере 2800 с NAT(PAT)?

dynamic ACL

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Пример настройки сквозной аутентификации трафика на Cisco PI..."  +/
Сообщение от незнайка on 19-Сен-08, 13:39 
>>а можно подобное сделать на пограничном роутере 2800 с NAT(PAT)?
>
>dynamic ACL

а можно поподробнее о реализации данного сервиса на роутере?
доки, либо кратенький пример.
Спасибо


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Пример настройки сквозной аутентификации трафика на Cisco PI..."  +/
Сообщение от CrAzOiD (ok) on 19-Сен-08, 13:44 
>>>а можно подобное сделать на пограничном роутере 2800 с NAT(PAT)?
>>
>>dynamic ACL
>
>а можно поподробнее о реализации данного сервиса на роутере?
>доки, либо кратенький пример.
>Спасибо

http://www.cisco.com/en/US/docs/ios/12_2/security/configurat...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Пример настройки сквозной аутентификации трафика на Cisco PI..."  +/
Сообщение от Shutov (ok) on 20-Июн-13, 11:24 
Для версий ASA OS от 8.3 и выше:

1) NAT не обязательно
2) Добавить команду same-security-traffic permit intra-interface

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру