У меня pix 515e с pixos 6.3 с 64 МБ ОЗУ, 3 интерфейса Ethernet, используются только 2. Я использую его как интернет-шлюз для ~100 устройств, ежедневный пик около 6 Мбит/с (мегабит в секунду) входящего трафика, около 10%-20% от этого значения исходящего. Он отлично подходит для этого, никаких проблем. Мы не используем никаких функций VPN. Хотя PIX не знает/не заботится об этом, большинство клиентов беспроводные.
У нас проблемы с соответствием/политикой, поэтому мы хотим заставить пользователей проходить аутентификацию перед использованием Интернета и дополнить подробными журналами. Я рекомендовал заменить PIX другим продуктом; мое предложение (Windows + неназванное программное обеспечение портала) с треском провалилось, поэтому мы вернулись к использованию PIX, который всегда работал отлично. Так что я потратил часть своего бюджета на это, но мне нужно придумать решение, в идеале используя то, что у меня есть.
Насколько я понимаю, PIX может на самом деле аутентифицировать пользователей и проверять доступ. Мне на самом деле не нужны подробные журналы URL, мне на самом деле нужны точная дата+время, имя пользователя, mac-адрес, локальный IP-адрес, локальный порт (переведенный + непереведенный), удаленный IP, удаленный порт и количество октетов
Я думаю, что я имею дело с ведением журнала, поэтому мои вопросы:
1) может ли этот PIX требовать аутентификацию перед разрешением доступа в интернет? Я имею в виду ВЕСЬ доступ в интернет (игры, telnet, ...), а не только HTTP. Есть ли какие-либо рекомендации по тому, как это работает? Примечание: у меня нет контроля над устройствами моих пользователей, я могу отказать им в доступе (с указанием причины), но я не могу устанавливать программное обеспечение на их компьютеры.
2) Прямо сейчас любое устройство с доступом в Интернет (ПК, Mac, iPhone, Android) может получить доступ к Интернету. Я хочу убедиться, что они продолжают работать, поэтому изменения достаточно общие, чтобы работать с этими существующими устройствами?
3) будет ли эта пикс перегружена (ЦП/память), если я продолжу? Я видел 800+ пакетов в секунду в пиковые часы.
4) если это плохая идея, пожалуйста, предложите свои варианты
Примечание: я на самом деле не хочу обсуждать политику. Если пользователи хотят выйти за рамки политики, на которую они согласились, мне все равно, но им нужно использовать/купить собственную услугу 3G для такой деятельности и держаться подальше от (W)LAN.
решение1
Во-первых, я бы рекомендовал обновить оперативную память и обновить устройство до PIXOSv8. Это будет самое последнее программное обеспечение, доступное для вашего устройства, и оно включит множество дополнительных функций, которые могут оказаться полезными, но, что более важно, устранит множество уязвимостей безопасности, которые были исправлены за эти годы. Хорошая вещь в этом обновлении заключается в том, что 515e на самом деле просто плата ПК с SDRAM класса настольных ПК. Она имеет максимальный объем 128 МБ (2x64 МБ) и использует короткие планки. В зависимости от вашего контракта на поддержку, подойдет практически любая оперативная память PC133.
То, что вы ищете, называется «Cut Through Proxy», он поддерживается в PIXOS v6.3 и более поздних версиях. При настройке PIX запрашивает имя пользователя/пароль при каждом установлении соединения. Смотретьздесьдля получения более подробной информации Однако поддерживаются только следующие сервисы:
- телнет
- фтп
- http
- https
Если вы пойдете по этому пути, я бы не ожидал, что ваше устройство будет перегружено. Даже в текущей конфигурации вы работаетехорошопо спец.
решение2
Единственная известная мне аутентификация в PIX OS касается аутентификации пользователей для VPN или административных сеансов.
Помимо этого, единственный способ сделать то, что вы описываете в пункте 1 («Я имею в виду ВЕСЬ доступ в Интернет (игры, telnet, ...), а не только HTTP.») — это использовать прокладку в стеке TCP/IP на всех клиентских устройствах (во многом похоже на «клиент брандмауэра», который использует Microsoft ISA Server), поскольку информация об аутентификации для каждого пользователя не передается в IP-датаграммах, сегментах TCP и т. д. Заставить это работать с вашими встроенными клиентами («iphone, android») будет довольно сложно. Однако если вам нужна аутентификация для каждого пользователя для всех используемых протоколов, это действительно единственный путь.
Вы можете использовать хаки, которые используют такие продукты, как Websense или фильтрующие устройства Barracuda, для мониторинга контроллеров домена Windows и сохранения внутренней «таблицы состояний» сеансов пользователей, связанных с IP-адресами клиентских устройств. Однако компьютеры серверов терминалов будут играть с этим черт знает как. Любые устройства, которые не выполняют аутентификацию домена Windows, также будут «невидимыми» (с точки зрения пользователя, связанного с IP-адресом клиентского устройства) для такого хакерства.
ПИКСможетсгенерировать per-NAT-translation статистику, похожую на ту, что вы ищете через SYSLOG, но не будет никакой аутентификации для каждого пользователя. Вам также придется что-то кодировать для анализа данных журнала или приобрести сторонний продукт для анализа.