Eu tenho um pix 515e rodando pixos 6.3 com 64 MB de RAM, 3 interfaces Ethernet, apenas 2 em uso. Estou usando-o como um gateway de Internet para cerca de 100 dispositivos, pico diário de cerca de 6 Mbps (megabits por segundo) de entrada, cerca de 10% a 20% desse valor de saída. Funciona muito bem para isso, sem problemas. Não usamos nenhum recurso VPN. Embora o PIX não saiba/se importe com isso a maioria dos clientes são wireless.
Estamos tendo problemas de conformidade/política, por isso queremos forçar os usuários a se autenticarem antes de usar a Internet e complementar com registros detalhados. Recomendei substituir o PIX por outro produto; minha sugestão (windows + software de portal sem nome) falhou miseravelmente então voltamos a usar o PIX que sempre funcionou perfeitamente. Gastei parte do meu orçamento com isso, mas preciso encontrar uma solução, de preferência usando o que tenho.
Meu entendimento é que o PIX pode de fato autenticar usuários e auditar acessos. Eu realmente não preciso de registros de URL detalhados, o que preciso é de data e hora precisas, nome de usuário, endereço MAC, endereço IP local, porta local (traduzida + não traduzida), IP remoto, porta remota e contagem de octetos
Acredito que tenho controle sobre o registro, então minhas perguntas são
1) esse PIX pode exigir autenticação antes de permitir acesso à internet? Quero dizer TODO o acesso à Internet (jogos, telnet, ...), não apenas HTTP. Alguma orientação sobre como fazer isso funcionar? Observação: não tenho controle sobre os dispositivos dos meus usuários, posso negar-lhes acesso (com justa causa), mas não posso instalar software em seus computadores.
2) No momento, qualquer dispositivo habilitado para Internet (PC, Mac, iPhone, Android) pode acessar a Internet. Quero ter certeza de que eles continuarão funcionando. As alterações são genéricas o suficiente para funcionar com esses dispositivos existentes?
3) esse pix ficará sobrecarregado (CPU/memória) se eu continuar? Já vi mais de 800 pacotes por segundo em horários de pico.
4) se for uma má ideia, dê sugestões
Observe que eu realmente não quero discutir a política. Se os usuários quiserem sair da política com a qual concordaram, eu realmente não me importo, mas eles precisam usar/comprar seu próprio serviço 3G para tal atividade e ficar fora da (W)LAN.
Responder1
Primeiro, eu recomendaria atualizar sua RAM e atualizar o dispositivo para PIXOSv8. Este será o software mais recente disponível para o seu dispositivo e permitirá muitos recursos extras que você pode achar úteis, mas o mais importante é que resolverá muitas falhas de segurança que foram corrigidas ao longo dos anos. O bom dessa atualização é que o 515e é, na verdade, apenas uma placa de PC com SDRAM de classe desktop. Ele atinge no máximo 128 MB (2x64 MB) e aceita sticks curtos. Dependendo do seu contrato de suporte, praticamente qualquer RAM PC133 funcionará.
O que você está procurando é chamado de 'Cut Through Proxy', que é compatível com PIXOS v6.3 e posterior. Quando configurado o PIX solicita nome de usuário/senha sempre que uma conexão é estabelecida. Veraquipara obter mais detalhes No entanto, apenas os seguintes serviços são suportados:
- telnet
- FTP
- http
- https
Se você seguir esse caminho, não esperaria que seu dispositivo ficasse sobrecarregado. Mesmo na configuração atual, você está operandobemsob especificação.
Responder2
A única autenticação que conheço no PIX OS está relacionada à autenticação de usuários para VPN ou sessões administrativas.
Além disso, a única maneira de fazer as coisas que você descreve no item 1 ("Quero dizer, TODO o acesso à Internet (jogos, telnet, ...), não apenas HTTP.") envolverá um calço na pilha TCP/IP em todos os dispositivos clientes (muito parecido com o "Cliente Firewall" que o Microsoft ISA Server usa), uma vez que as informações de autenticação por usuário não são transportadas em datagramas IP, segmentos TCP, etc. iphone, android") será bem difícil. Se você deseja autenticação por usuário de todo o uso do protocolo, esse é realmente o único caminho.
Você pode usar hacks que produtos como Websense ou dispositivos de filtragem Barracuda usam para monitorar controladores de domínio do Windows e manter uma "tabela de estado" interna de sessões de usuário associadas a endereços IP de dispositivos clientes. No entanto, os computadores Terminal Server vão fazer um inferno com isso. Quaisquer dispositivos que não realizem autenticação de domínio do Windows também serão “invisíveis” (em termos do usuário associado ao endereço IP do dispositivo cliente) para esse tipo de hacker.
O PIXpodegere estatísticas de tradução por NAT semelhantes ao que você está procurando via SYSLOG, mas não haverá autenticação por usuário. Você também terá que codificar algo para analisar os dados de log ou adquirir um produto de análise de terceiros.