Recientemente actualizamos desde un dispositivo de firewall Watchguard X5500e Peak a un Cisco 5500 ASA con el módulo CSC. El ASA está ejecutando el software 8.2 y el CSC está en el software 6.3.1172. Finalmente hemos estabilizado todo después de algunas semanas de tirarnos de los pelos y rechinar de dientes y ahora toca intentar configurar algunos elementos que estaban más abajo en la lista de prioridades.
Con watchguard pudimos ir con el navegador a una página web interna y autenticarnos contra el firewall para permitirnos eludir los filtros. Útil cuando un salón de clases aquí necesita acceso a medios de transmisión o un ejecutivo necesita que descarguemos un video. Estoy intentando configurar algo similar, pero no tengo mucha experiencia con dispositivos Cisco como este ASA, por lo que no estoy seguro de si se trata como una conexión VPN o algún tipo de ACL. Lo ideal sería configurar más de uno para limitar la exposición en lugar de uno que esté completamente abierto cuando se use.
Hice una búsqueda y no pude encontrar nada relacionado con las otras preguntas formuladas aquí y tampoco tuve suerte de buscarlo en Google.
Respuesta1
Lo que busca es AAA (Autenticación, Autorización y Contabilidad), en el sitio de soporte de Cisco:
"AAA permite que el dispositivo de seguridad determine quién es el usuario (autenticación), qué puede hacer el usuario (autorización) y qué hizo el usuario (contabilidad). AAA proporciona un nivel adicional de protección y control para el acceso de los usuarios que el uso exclusivo de ACL. Por ejemplo, puede crear una ACL que permita a todos los usuarios externos acceder a Telnet en un servidor de la red DMZ. Si desea que solo algunos usuarios accedan al servidor y es posible que no siempre conozca las direcciones IP de estos usuarios, puede habilitar AAA. para permitir que sólo los usuarios autenticados y/o autorizados pasen a través del dispositivo de seguridad (el servidor Telnet también aplica la autenticación; el dispositivo de seguridad evita que usuarios no autorizados intenten acceder al servidor). Puede utilizar la autenticación sola o con autorización y contabilidad. La autorización siempre requiere que un usuario se autentique primero. Puede usar la contabilidad sola o con autenticación y autorización. Esta sección incluye los siguientes temas:
•Acerca de la autenticación
•Acerca de la autorización
•Acerca de la contabilidad.
http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/aaa.html
Pero hasta donde yo sé, necesitará configurar un "Servidor de control de acceso seguro de Cisco". Creo que sería mejor si utilizara una solución de filtrado web (websense y similares). También puede configurar un servidor Squid, integrado con ldap y configurar ACL según el usuario autenticado.