Ich habe einen Pix 515e mit Pixos 6.3 und 64 MB RAM, 3 Ethernet-Schnittstellen, von denen nur 2 verwendet werden. Ich verwende ihn als Internet-Gateway für ca. 100 Geräte, täglicher Spitzenwert von ca. 6 Mbit/s (Megabit pro Sekunde) eingehend, ca. 10–20 % dieses Wertes ausgehend. Dafür funktioniert er hervorragend, keine Probleme. Wir verwenden keine VPN-Funktionen. Obwohl der PIX dies nicht kennt/sich nicht darum kümmert, sind die meisten Clients drahtlos.
Wir haben Compliance-/Richtlinienprobleme und möchten daher Benutzer zwingen, sich vor der Nutzung des Internets zu authentifizieren und detaillierte Protokolle hinzufügen. Ich habe empfohlen, PIX durch ein anderes Produkt zu ersetzen. Mein Vorschlag (Windows + unbenannte Portalsoftware) ist kläglich gescheitert, daher verwenden wir wieder PIX, das immer perfekt funktioniert hat. Ich habe also einen Teil meines Budgets dafür ausgegeben, aber ich muss mir eine Lösung einfallen lassen, idealerweise mit dem, was ich habe.
Meines Wissens nach kann PIX tatsächlich Benutzer authentifizieren und den Zugriff prüfen. Ich brauche wirklich keine detaillierten URL-Protokolle. Was ich wirklich brauche, sind genaues Datum und Uhrzeit, Benutzername, Mac-Adresse, lokale IP-Adresse, lokaler Port (übersetzt + unübersetzt), Remote-IP, Remote-Port und Oktettanzahl.
Ich glaube, ich habe das Logging im Griff, daher sind meine Fragen
1) Kann dieser PIX eine Authentifizierung verlangen, bevor er den Internetzugang zulässt? Ich meine ALLE Internetzugriffe (Spiele, Telnet, ...), nicht nur HTTP. Gibt es irgendwelche Hinweise, wie das funktioniert? Hinweis: Ich habe keine Kontrolle über die Geräte meiner Benutzer, ich kann ihnen den Zugriff verweigern (mit Begründung), aber ich kann keine Software auf ihren Computern installieren.
2) Derzeit kann jedes internetfähige Gerät (PC, Mac, iPhone, Android) auf das Internet zugreifen. Ich möchte sicherstellen, dass sie weiterhin funktionieren. Sind die Änderungen also allgemein genug, um mit diesen vorhandenen Geräten zu funktionieren?
3) Werden diese Bilder überlastet (CPU/Speicher), wenn ich fortfahre? Ich habe in Spitzenzeiten über 800 Pakete pro Sekunde gesehen.
4) Wenn dies eine schlechte Idee ist, machen Sie bitte Vorschläge
Beachten Sie, dass ich die Richtlinie nicht wirklich diskutieren möchte. Wenn die Benutzer die Richtlinie, der sie zugestimmt haben, nicht einhalten wollen, ist mir das wirklich egal, aber sie müssen für solche Aktivitäten ihren eigenen 3G-Dienst nutzen/kaufen und das (W)LAN meiden.
Antwort1
Zunächst würde ich empfehlen, Ihren RAM aufzurüsten und das Gerät auf PIXOSv8 zu aktualisieren. Dies ist die aktuellste Software, die für Ihr Gerät verfügbar ist, und ermöglicht viele zusätzliche Funktionen, die Sie möglicherweise nützlich finden, schließt aber vor allem viele Sicherheitslücken, die im Laufe der Jahre geschlossen wurden. Das Gute an diesem Upgrade ist, dass das 515e eigentlich nur eine PC-Platine mit SDRAM der Desktop-Klasse ist. Es ist auf maximal 128 MB (2 x 64 MB) ausgelegt und benötigt kurze Sticks. Abhängig von Ihrem Supportvertrag funktioniert praktisch jeder PC133-RAM.
Was Sie suchen, heißt „Cut Through Proxy“ und wird in PIXOS v6.3 und höher unterstützt. Wenn das PIX konfiguriert ist, fordert es bei jedem Verbindungsaufbau zur Eingabe von Benutzername und Passwort auf. SieheHierfür weitere Details. Es werden jedoch nur die folgenden Dienste unterstützt:
- Telnet
- ftp
- http
- https
Wenn Sie diesen Weg gehen, würde ich nicht erwarten, dass Ihr Gerät überlastet wird. Selbst in der aktuellen Konfiguration betreiben SieAlsounter Spezifikation.
Antwort2
Die einzige mir bekannte Authentifizierung in PIX OS bezieht sich auf die Authentifizierung von Benutzern für VPN- oder Verwaltungssitzungen.
Abgesehen davon besteht die einzige Möglichkeit, die Dinge zu tun, die Sie in Punkt 1 beschreiben („Ich meine ALLE Internetzugriffe (Spiele, Telnet, ...), nicht nur HTTP.“) darin, einen Shim im TCP/IP-Stack auf allen Client-Geräten zu verwenden (ähnlich wie der „Firewall-Client“, den Microsoft ISA Server verwendet), da benutzerspezifische Authentifizierungsinformationen nicht in IP-Datagrammen, TCP-Segmenten usw. übertragen werden. Das mit Ihren eingebetteten Clients („iPhone, Android“) zum Laufen zu bringen, wird ziemlich schwierig. Wenn Sie jedoch eine benutzerspezifische Authentifizierung für alle Protokollnutzungen wünschen, ist dies wirklich der einzige Weg.
Sie können Hacks verwenden, die Produkte wie Websense oder die Barracuda-Filtergeräte verwenden, um Windows-Domänencontroller zu überwachen und eine interne „Statustabelle“ der Benutzersitzungen zu führen, die mit den IP-Adressen der Clientgeräte verknüpft sind. Terminalserver-Computer werden damit allerdings große Probleme haben. Alle Geräte, die keine Windows-Domänenauthentifizierung durchführen, sind für derartige Hackerangriffe ebenfalls „unsichtbar“ (in Bezug auf den Benutzer, der mit der IP-Adresse des Clientgeräts verknüpft ist).
Der PIXdürfenGenerieren Sie NAT-Übersetzungsstatistiken ähnlich denen, die Sie über SYSLOG suchen, aber es gibt keine Authentifizierung pro Benutzer. Sie müssen auch etwas codieren, um die Protokolldaten zu analysieren, oder ein Analyseprodukt eines Drittanbieters erwerben.