Tengo una pix 515e con pixos 6.3 con 64 MB de RAM, 3 interfaces ethernet, solo 2 en uso. Lo estoy usando como puerta de enlace a Internet para aproximadamente 100 dispositivos, con un pico diario de aproximadamente 6 Mbps (megabits por segundo) de entrada, aproximadamente entre el 10 % y el 20 % de ese valor de salida. Funciona muy bien para esto, no hay problemas. No utilizamos ninguna función de VPN. Aunque el PIX no sabe ni se preocupa por esto, la mayoría de los clientes son inalámbricos.
Tenemos problemas de cumplimiento/políticas, por lo que queremos obligar a los usuarios a autenticarse antes de usar Internet y complementar con registros detallados. Recomendé reemplazar el PIX con otro producto; Mi sugerencia (Windows + software de portal sin nombre) fracasó estrepitosamente, por lo que volvemos a utilizar el PIX, que siempre ha funcionado perfectamente. He quemado parte de mi presupuesto en esto, pero necesito encontrar una solución, idealmente usando lo que tengo.
Según tengo entendido, el PIX puede, de hecho, autenticar usuarios y auditar el acceso. Realmente no necesito registros de URL detallados, realmente lo que necesito es fecha y hora precisas, nombre de usuario, dirección mac, dirección IP local, puerto local (traducido + sin traducir), IP remota, puerto remoto y recuento de octetos.
Creo que tengo control sobre el registro, por lo que mis preguntas son
1) ¿Esta PIX puede requerir autenticación antes de permitir el acceso a Internet? Me refiero a TODO el acceso a Internet (juegos, telnet,...), no sólo HTTP. ¿Alguna orientación para hacer que esto funcione? Nota: No tengo control sobre los dispositivos de mis usuarios, puedo negarles el acceso (con causa), pero no puedo instalar software en sus computadoras.
2) En este momento, cualquier dispositivo con acceso a Internet (PC, Mac, iPhone, Android) puede acceder a Internet. Quiero asegurarme de que sigan funcionando. ¿Son los cambios lo suficientemente genéricos para funcionar con estos dispositivos existentes?
3) ¿Esta imagen se sobrecargará (CPU/memoria) si continúo? He visto más de 800 paquetes por segundo en las horas pico.
4) si es una mala idea, ofrezca sugerencias
Tenga en cuenta que realmente no quiero discutir la política. Si los usuarios quieren salirse de la política que acordaron, realmente no me importa, pero necesitan usar/comprar su propio servicio 3G para dicha actividad y mantenerse alejados de la (W)LAN.
Respuesta1
Primero, recomendaría actualizar su RAM y actualizar el dispositivo a PIXOSv8. Este será el software más reciente disponible para su dispositivo y habilitará muchas funciones adicionales que pueden resultarle útiles, pero lo más importante es que solucionará muchos agujeros de seguridad que se han solucionado a lo largo de los años. Lo bueno de esta actualización es que el 515e es, en realidad, solo una placa de PC con SDRAM de escritorio. Tiene un máximo de 128 MB (2x64 MB) y admite memorias cortas. Dependiendo de su contrato de soporte, prácticamente cualquier RAM PC133 funcionará.
Lo que estás buscando se llama 'Cut Through Proxy', que es compatible con PIXOS v6.3 y posteriores. Cuando se configura, el PIX solicita nombre de usuario/contraseña cada vez que se establece una conexión. Veraquípara obtener más detalles Sin embargo, solo se admiten los siguientes servicios:
- Telnet
- ftp
- http
- https
Si sigue este camino, no esperaría que su dispositivo se sobrecargue. Incluso en la configuración actual, está operandoBuenobajo especificaciones.
Respuesta2
La única autenticación que conozco en PIX OS se relaciona con la autenticación de usuarios para VPN o sesiones administrativas.
Aparte de eso, la única forma de hacer las cosas que usted describe en el punto 1 ("Me refiero a TODO el acceso a Internet (juegos, telnet, ...), no solo HTTP") implicará una corrección en la pila TCP/IP. en todos los dispositivos cliente (muy parecido al "Cliente Firewall" que utiliza Microsoft ISA Server), ya que la información de autenticación por usuario no se transporta en datagramas IP, segmentos TCP, etc. Cómo hacer que eso funcione con sus clientes integrados (" iphone, android") va a ser bastante difícil. Sin embargo, si desea la autenticación por usuario de todo el uso de protocolos, esa es realmente la única ruta.
Puede utilizar trucos que utilizan productos como Websense o los dispositivos de filtrado Barracuda para monitorear los controladores de dominio de Windows y mantener una "tabla de estado" interna de las sesiones de usuario asociadas con las direcciones IP del dispositivo cliente. Sin embargo, las computadoras con Terminal Server serán un infierno con esto. Cualquier dispositivo que no realice la autenticación de dominio de Windows también será "invisible" (en términos del usuario asociado con la dirección IP del dispositivo cliente) para dicho tipo de piratería.
La fotopodergenere estadísticas de traducción por NAT similares a las que está buscando a través de SYSLOG, pero no habrá ninguna autenticación por usuario. También tendrá que codificar algo para analizar los datos de registro o comprar un producto de análisis de terceros.