Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Accesslist trên ASA

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Accesslist trên ASA

    Hi mọi người!
    Công ty mình có 1 con ASA 5505 hiện đang làm FW, nay sếp mình bắt phải quản lý truy cập của các user, cụ thể chỉ có 1 số máy tính có thể truy cập đc tất cả còn số còn lại chỉ có thể truy cập vào 1 số trang web nhất định ( https) mà thôi, mình cũng có biết sơ qua về access list, nói chung là không rành lắm. Bạn nào đã làm rồi cho mình tham khảo với.
    Cảm ơn mọi người đã đọc!

    internet---Router----ASA---Lan: sơ đồ của mình đó. chỉ có 2 int outside và inside thôi.
    Last edited by vantho; 19-11-2007, 08:41 PM.

  • #2
    Hi "Vẫn Thở" :D -------- Chứng tỏ là chưa chít, hi hi --------

    Thực ra ASA làm fw thì tốt nhưng để filter theo applicaton thì ko tối ưu. Sao bạn không xử dụng proxy để xác thực với user nhỉ?
    Cisco:CSCO11227422
    MCSA, MCSE Security
    CCNA, CCDA, CCSP, CCAI, CCNP, CCIE wr.
    CCxx Progessive
    --------------------
    Farmer - Cultivator <<<< it's me :105:

    Comment


    • #3
      bạn vantho thử xem tính năng authentication proxy của pix asa xem có đáp ứng nhu cầu của bạn không.
      Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

      Email : dangquangminh@vnpro.org
      https://www.facebook.com/groups/vietprofessional/

      Comment


      • #4
        - Hi Anh Minh, cảm ơn anh đã trả lời, con ASA của em là 5505 ver 7.2,có gì nhờ anh support thêm nhé.

        - Hi ducqn201083, bạn có thể nói rõ thêm giúp mình đc không, tại đây là lần đầu tiên mình đụng thứ này nên nhiều cái còn lơ ngơ lắm.
        Last edited by vantho; 20-11-2007, 02:08 PM.

        Comment


        • #5
          Hi VanTHo,
          Yêu cầu của bạn không quá khó khăn với ASA. Nếu bạn kết hợp với một Server AAA nào bên ngoài thì càng tốt (ví dụ: ACS của Cisco).
          Để nhận thực từng người dùng trong ASA có phương pháp "Cut-Through Proxy", thông thường phương pháp này chỉ dành cho các ứng dụng như: FTP, Telnet, HTTP và HTTPS.
          Nhưng vấn đề ở đây là nếu những ứng dụng khác ngoài 4 ứng dụng trên thì sao? Bạn khỏi lo, ASA vẫn hổ trợ cho bạn, bạn có thể dùng 1 trong 2 cách sau để nhận thực user:
          1) Bạn dùng dịch vụ Virtual Telnet, để xác thực trước khi cho phép lưu lượng pass qua.
          2) Bạn có thể dùng trực tiếp ứng dụng HTTP tại cổng giao tiếp của ASA với link dưới để xác thực:
          http://interface_ip:1080/netaccess/connstatus.html

          *) lưu ý: có thể nhận thực local, nhưng tốt nhất là AAA bên ngoài, lúc này bạn sẽ tạo nhiều loại user với những chính sách (dùng ACL) cho phép truy cập gì phía Inside. Khi nhận thực thành công, AAA sẽ đẩy ACL xuống ASA áp dụng cho chiều giao tiếp từ User đến ASA.

          Hiện tại các thiết bị mạng Cisco như Router, ASA, PIX đều được hổ trợ bởi các IOS thông minh có thể INSPECTION sâu vào tứng packet, từng flow traffic.
          Và ASA dĩ nhiên mặc định INSPECTION hầu hết các traffic, tuy nhiên nó chỉ INSPECTION để lấy thông tin đưa vào bản trạng thái mà không có một action nào với flow traffic xấu.
          Để làm điều này, ASA hỗ trợ bạn phương pháp "Cisco Modular Policy Framework" và "Advanced Protocol Handling", có thể giúp bạn phân loại lưu lượng và INSPECTION sâu vào trong từng luồng lưu lượng để có những hành động thích hợp với những vi phạm.

          Cuối cùng, để bạn có thể xử lý lưu lượng vào ra ASA bạn phải làm nhiều trên nó, hiểu sâu về giao thức, cơ chế AAA, cơ chế Inspection để có những kế hoạch cấu hình thích hợp.
          Bạn cũng có thể dùng Ethereal để có thể bắt gói, luồng traffic để dễ dàng có những chính sách hợp lý và sâu hơn về traffic.
          Một số góp ý.

          Comment


          • #6
            Originally posted by pvtuyen View Post
            Hi VanTHo,
            Yêu cầu của bạn không quá khó khăn với ASA. Nếu bạn kết hợp với một Server AAA nào bên ngoài thì càng tốt (ví dụ: ACS của Cisco).
            Để nhận thực từng người dùng trong ASA có phương pháp "Cut-Through Proxy", thông thường phương pháp này chỉ dành cho các ứng dụng như: FTP, Telnet, HTTP và HTTPS.
            Nhưng vấn đề ở đây là nếu những ứng dụng khác ngoài 4 ứng dụng trên thì sao? Bạn khỏi lo, ASA vẫn hổ trợ cho bạn, bạn có thể dùng 1 trong 2 cách sau để nhận thực user:
            1) Bạn dùng dịch vụ Virtual Telnet, để xác thực trước khi cho phép lưu lượng pass qua.
            2) Bạn có thể dùng trực tiếp ứng dụng HTTP tại cổng giao tiếp của ASA với link dưới để xác thực:
            http://interface_ip:1080/netaccess/connstatus.html

            *) lưu ý: có thể nhận thực local, nhưng tốt nhất là AAA bên ngoài, lúc này bạn sẽ tạo nhiều loại user với những chính sách (dùng ACL) cho phép truy cập gì phía Inside. Khi nhận thực thành công, AAA sẽ đẩy ACL xuống ASA áp dụng cho chiều giao tiếp từ User đến ASA.

            Hiện tại các thiết bị mạng Cisco như Router, ASA, PIX đều được hổ trợ bởi các IOS thông minh có thể INSPECTION sâu vào tứng packet, từng flow traffic.
            Và ASA dĩ nhiên mặc định INSPECTION hầu hết các traffic, tuy nhiên nó chỉ INSPECTION để lấy thông tin đưa vào bản trạng thái mà không có một action nào với flow traffic xấu.
            Để làm điều này, ASA hỗ trợ bạn phương pháp "Cisco Modular Policy Framework" và "Advanced Protocol Handling", có thể giúp bạn phân loại lưu lượng và INSPECTION sâu vào trong từng luồng lưu lượng để có những hành động thích hợp với những vi phạm.

            Cuối cùng, để bạn có thể xử lý lưu lượng vào ra ASA bạn phải làm nhiều trên nó, hiểu sâu về giao thức, cơ chế AAA, cơ chế Inspection để có những kế hoạch cấu hình thích hợp.
            Bạn cũng có thể dùng Ethereal để có thể bắt gói, luồng traffic để dễ dàng có những chính sách hợp lý và sâu hơn về traffic.
            Một số góp ý.
            Hi pvtuyen!

            Thks đã trả lời, mình sẽ cố làm thử rồi post lên cho bạn review lại giúp mình nhé, mình cũng đọc bài viết của bạn trong topic khác, mình đang làm theo đây. Cảm ơn nhiều.
            Last edited by vantho; 21-11-2007, 09:58 AM.

            Comment


            • #7
              àh, pvtuyen cho mình hỏi thêm,bạn có tài liệu nào nói rõ hơn về phần Virtual Telnet đc không, mình chưa hiểu chỗ này. Rgrds,

              Comment

              Working...
              X