Wir haben vor Kurzem ein Upgrade von einer Watchguard X5500e Peak Firewall-Appliance auf eine Cisco 5500 ASA mit CSC-Modul durchgeführt. Die ASA läuft mit der Software 8.2 und die CSC mit der Software 6.3.1172. Nach ein paar Wochen voller Haare raufen und Zähneknirschen haben wir endlich alles stabilisiert und jetzt müssen wir versuchen, ein paar Dinge einzurichten, die auf der Prioritätenliste niedriger lagen.
Mit Watchguard konnten wir mit dem Browser eine interne Webseite aufrufen und uns gegenüber der Firewall authentifizieren, um die Filter zu umgehen. Nützlich, wenn ein Klassenzimmer hier Zugriff auf Streaming-Medien benötigt oder eine Führungskraft von uns verlangt, ein Video herunterzuladen. Ich versuche, etwas Ähnliches einzurichten, aber ich habe ziemlich wenig Erfahrung mit Cisco-Geräten wie diesem ASA, daher bin ich mir nicht sicher, ob es als VPN-Verbindung oder als eine Art ACL behandelt wird. Idealerweise würden wir mehr als eine einrichten, um die Gefährdung zu begrenzen, anstatt eine, die bei Verwendung völlig offen ist.
Ich habe eine Suche durchgeführt, konnte in den anderen hier gestellten Fragen jedoch nichts Ähnliches finden und auch beim Googeln hatte ich kein Glück.
Antwort1
Sie suchen nach AAA (Authentication, Authorization and Accounting) von der Cisco-Support-Site:
"AAA ermöglicht der Sicherheitsanwendung, festzustellen, wer der Benutzer ist (Authentifizierung), was der Benutzer tun kann (Autorisierung) und was der Benutzer getan hat (Accounting). AAA bietet eine zusätzliche Schutz- und Kontrollebene für den Benutzerzugriff als die alleinige Verwendung von ACLs. Sie können beispielsweise eine ACL erstellen, die allen externen Benutzern den Zugriff auf Telnet auf einem Server im DMZ-Netzwerk ermöglicht. Wenn Sie nur einigen Benutzern den Zugriff auf den Server ermöglichen möchten und Sie die IP-Adressen dieser Benutzer nicht immer kennen, können Sie AAA aktivieren, um nur authentifizierten und/oder autorisierten Benutzern den Zugriff auf die Sicherheitsanwendung zu ermöglichen. (Der Telnet-Server erzwingt ebenfalls die Authentifizierung; die Sicherheitsanwendung verhindert, dass nicht autorisierte Benutzer versuchen, auf den Server zuzugreifen.) Sie können die Authentifizierung allein oder mit Autorisierung und Accounting verwenden. Für die Autorisierung muss ein Benutzer immer zuerst authentifiziert werden. Sie können Accounting allein oder mit Authentifizierung und Autorisierung verwenden. Dieser Abschnitt umfasst die folgenden Themen:
•Informationen zur Authentifizierung
•Informationen zur Autorisierung
•Informationen zum Accounting
http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/aaa.html
Aber soweit ich weiß, müssen Sie einen „Cisco Secure Access Control Server“ einrichten. Ich denke, Sie wären besser dran, wenn Sie eine Webfilterlösung (WebSense und dergleichen) verwenden würden. Sie könnten auch einen Squid-Server einrichten, der in LDAP integriert ist und die ACL basierend auf dem authentifizierten Benutzer einstellt.