Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Một vấn đề về Dynamic Access List(Lock&Key)

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Một vấn đề về Dynamic Access List(Lock&Key)

    Mình có 1 Scenario như sau:
    Công ty mình dùng 1 con cisco ADSL router 837 đi ra ngoài internet bằng Internet Lease line của VDC.
    Lan------>Router837---->Internet
    Vì có nhiều bác vào những trang Web lung tung(...XXX...)
    Nhu cầu mới của Xếp mình là :
    -Chỉ cho các user dùng Mail
    -Cho phép mở các port để download các bản update mới của Norton Anti Virus 2005
    -Cho phép mở các port để download các bản vá lổi update của Windows
    Ngoài 3 cái trên thì cấm tất cả các port còn lại(không cho vào internet,không cho chat...)

    Chỉ những user nào có Password mới có thể được cho phép vào Internet(www,ftp,chat...).

    Ban đầu để giải quyết vấn đề này,mình dùng Dynamic Access List(Lock&Key) cấu hình trên cisco router
    Nhưng sau đó phát hiện có nhiều giới hạn trong việc dùng feature này.

    Mong được các anh chỉ giúp
    Tags: None
  • #2
    Hi,

    Bạn chuyển sang dùng Firewall đi. Hoặc thử chức năng Authentication Proxy thử xem. Nhưng bạn phải có IOS từ 12.0(5)T trở lên mới được, nếu muốn sử dụng được cho cả telnet và ftp thì phải là 12.3(1) trở lên mới được.

    Bạn nói Dynamic Lock & Key có nhiều hạn chế là gì vậy?

    Thanks

    HAT

    Comment

    • #3
      Hat có thể nói rõ là nếu dùng Firewall thì nên dùng con nào được không?
      Pix hay là Netscreen
      Liệu các con firewall này có thể authenticate từng user để cho phép truy cập vào Internet

      Còn cái hạn chế khi dùng Lock&key cho vấn đề trên là:
      Mặc định sẽ chỉ cho dùng Mail và Update Antivirus và Windows
      -Khi Dùng Lock&Key,1 user muốn vào internet thì telnet vào Router.
      -Nếu xác thực thành công,thì lúc này Router sẽ cấp 1 access list entry tạm thời.
      Ví dụ : access-list 150 dynamic abc timeout 15 petmit ip any any
      -lúc này ,toàn bộ các user sẽ truy cập vào internet trong vòng 15'.
      -Mục đích của mình là chỉ cho phép 1 user nào login thành công thì truy cập được internet,các user còn lại vẩn bị cấm.That all

      Xin được chỉ giáo thêm

      Comment

      • #4
        2

        Mình không rành lắm về firewall cứng. Nên giải pháp mình đề nghị bạn là dùng firewall mềm. Sức mạnh của mỗi loại thì mình nghĩ với yêu cầu của bạn hầu như các firewall đều làm được, vấn đề còn lại là do bạn config thôi. Hoặc nếu không muốn tốn tiền thì dùng squid + iptables cũng được.

        Về Lock & Key:
        Sau khi 1 user login thành công thì các user khác có thể truy cập được là tại vì bạn để access list của bạn là: ip any any. Bạn cần giới hạn đúng = địa chỉ của user đó thôi (set ip tĩnh cho user đó đi).

        Tuy nhiên, lock & key chỉ có tác dụng tốt nếu nhân viên trong công ty bạn không rành về IT lắm vì:
        - Telnet sẽ dễ dàng bị capture password
        - IP có thể sẽ bị giả thành IP đã được access-list permit

        HAT

        Comment

        • #5
          cảm ơn sự gợi ý của Hat

          Nếu dùng Pix hay Netscreen thì mắc.Nên mình sẽ dùng ISA 2004 để giải quyết vấn đề này.

          Còn về cái Lock&key thì nếu như Hat nói.Nếu mình chỉ để đúng 1 user thôi,ví dụ , access-list 150 dynamic abc permit ip host 10.1.1.10 any.

          Lúc này khi các user khác telnet ,xác thực thành công.thì router sẽ generate chỉ 1 dòng AL trên (cho phép user 10.1.1.10 vào internet)
          Vậy thì không hợp lý.
          Mục đích của mình là user nào xác thực thành công thì chỉ mổi user đó được phép vào internet thôi.

          Regards ^ ^

          Comment

          Previous template Next
          Working...
          X