Recentemente, atualizamos de um dispositivo de firewall Watchguard X5500e Peak para um Cisco 5500 ASA com o módulo CSC. O ASA está executando o software 8.2 e o CSC está no software 6.3.1172. Finalmente estabilizamos tudo depois de algumas semanas arrancando cabelos e rangendo os dentes e agora é hora de tentar configurar alguns itens que estavam mais abaixo na lista de prioridades.
Com o watchguard, conseguimos acessar uma página da Web interna com o navegador e autenticar no firewall para nos permitir contornar os filtros. Útil quando uma sala de aula aqui precisa de acesso a streaming de mídia ou um executivo precisa que baixemos um vídeo. Estou tentando configurar algo semelhante, mas sou bastante inexperiente com dispositivos Cisco como este ASA, então não tenho certeza se é tratado como uma conexão VPN ou algum tipo de ACL. Idealmente, gostaríamos de configurar mais de um para limitar a exposição, em vez de um que fique totalmente aberto quando usado.
Fiz uma pesquisa e não consegui encontrar nada relacionado a algo nas outras perguntas feitas aqui e também não tive sorte em pesquisar no Google.
Responder1
O que você está procurando é AAA (Autenticação, Autorização e Contabilidade), no site de suporte da Cisco:
"AAA permite que o dispositivo de segurança determine quem é o usuário (autenticação), o que o usuário pode fazer (autorização) e o que o usuário fez (contabilidade). AAA fornece um nível extra de proteção e controle para o acesso do usuário do que usar apenas ACLs Por exemplo, você pode criar uma ACL permitindo que todos os usuários externos acessem o Telnet em um servidor na rede DMZ. Se desejar que apenas alguns usuários acessem o servidor e nem sempre saiba os endereços IP desses usuários, você poderá ativar o AAA. para permitir que apenas usuários autenticados e/ou autorizados passem pelo dispositivo de segurança (o servidor Telnet também impõe autenticação; o dispositivo de segurança impede que usuários não autorizados tentem acessar o servidor.) Você pode usar a autenticação sozinha ou com autorização e contabilidade. A autorização sempre exige que um usuário seja autenticado primeiro. Você pode usar a contabilidade sozinho ou com autenticação e autorização. Esta seção inclui os seguintes tópicos:
•Sobre autenticação . •Sobre
autorização .
http://www.cisco.com/en/US/docs/security/asa/asa70/configuration/guide/aaa.html
Mas, pelo que eu sei, você precisará configurar um "Cisco Secure Access Control Server". Acho que seria melhor se você usasse uma solução de filtragem da web (websense e similares). você também pode configurar um servidor squid, integrado ao ldap e configurar ACL com base no usuário autenticado.