Segurança : Dispositivos de segurança Cisco PIX 500 Series

Configurando o PIX Firewall para enviar nomes de usuário autenticados a um servidor websense

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

O PIX Firewall pode ser configurado para comunicar-se com um servidor websense para restringir o tráfego de HTTP de partida (FTP e HTTPS em 6.3). A responsabilidade essencial do servidor websense é criar e reforçar um grupo de políticas para permitir ou negar o acesso às URL específicas. As políticas de Websense podem ser atribuídas no nível de usuário. Isto tem recursos para o administrador de Websense a capacidade para atribuir privilégios de acesso específicos aos usuários individuais. O PIX Firewall tem a capacidade de enviar nomes de usuário autenticados ao servidor websense. Isto é usado para avaliar a política para o usuário específico. O mecanismo por que o PIX Firewall envia nomes de usuário autenticados a Websense confia no PIX já que autentica o usuário com corte-através da característica do proxy. A funcionalidade PIX de passar nomes de usuário autenticados a Websense está somente disponível quando o PIX é configurado para usar o protocolo da versão do TCP 4 com Websense.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versões de software 6.2.2 do firewall PIX segura Cisco

  • Gerenciador de Websense, versão 4.4.0

  • Versão 3.0 do Cisco Secure ACS for Windows

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Instalação de Websense

Este documento supõe que o administrador de Websense configurou já corretamente o servidor websense. Igualmente supõe-se aqui que cada usuário que o PIX está indo autenticar está adicionado como um objeto de diretório no gerenciador de Websense, e que este usuário está configurado para ser alertado para a autenticação de diretório. Consulte sua documentação Websense ou a visita o local de Websenseleavingcisco.com para detalhes em como configurar o servidor websense.

Instalação do Cisco Secure ACS

Este documento supõe que o administrador do Cisco Secure ACS configurou o servidor ACS para perguntar o mesmo banco de dados ativo Directory/NT que Websense usa. Para obter informações sobre de como realizar esta tarefa para o Cisco Secure ACS for Windows, refira o trabalho com bases de dados de usuário.

Este documento igualmente supõe que o server do Cisco Secure ACS tem adicionado já o PIX como um cliente. Para detalhes em como realizar esta tarefa, refira a seção de configuração do cliente de AAA da fundação e de controlar a configuração de rede.

Instalação do PIX Firewall

Estes comandos são incorporados em um PIX que já tenha a conectividade de Internet


!--- Specify AAA server protocols.

aaa-server TACACS protocol tacacs+

!--- This specifies that the authentication server 
!--- with the IP address 192.168.253.111 resides on the inside 
!--- interface.  It is in the default TACACS+ server group.

aaa-server TACACS (inside) host 192.168.253.111 letmein timeout 10

!--- Enable TACACS+ user authentication to the above AAA server.  
!--- Users are prompted for authentication credentials.

aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 TACACS

!--- Designates server 192.168.253.111 that runs Websense. It is used 
!--- in tandem with the filter url command.

url-server (inside) vendor websense host 192.168.253.111 protocol tcp version 4

!--- Enable URL filtering on port 80 (the port that receives Internet traffic).

filter url 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow

A adição destes comandos produz esta configuração:

PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
nameif ethernet3 intf3 security15
nameif ethernet4 intf4 security20
nameif ethernet5 intf5 security25
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname TestPIX
domain-name ciscopix.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
pager lines 24
logging on
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 10.0.0.1 255.255.255.0
ip address inside 192.168.253.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address intf4 127.0.0.1 255.255.255.255
ip address intf5 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address intf4 0.0.0.0
failover ip address intf5 0.0.0.0
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.253.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 10.0.0.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
aaa-server TACACS protocol tacacs+
aaa-server TACACS (inside) host 192.168.253.111 letmein timeout 10
url-server (inside) vendor websense host 192.168.253.111 timeout 5 protocol
TCP version 4
aaa authentication telnet console TACACS
aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
TACACS
filter url http 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
ssh timeout 5
terminal width 80
Cryptochecksum:d18e45ed25d122af34a5e4f3a183cdff
: end

O que o usuário vê

De um cliente na rede interna, um navegador é aberto. Uma vez que o navegador tenta alcançar uma website com o PIX, o usuário está alertado incorporar um nome de usuário e senha. O PIX envia então o nome de usuário e senha ao Cisco Secure ACS for Windows para autenticar a sessão de HTTP de partida. Uma vez que o acesso é concedido pelo server do Cisco Secure ACS, o PIX envia o nome de usuário autenticado ao servidor websense. O servidor websense olha então acima a política associada com o usuário. Concede ou nega o acesso enviando uma resposta ao PIX. Se esta resposta é projetada conceder o acesso de usuário, a transação HTTP entre o cliente e servidor termina. Se a resposta é negar o acesso de usuário, o PIX deixa cair a resposta HTTP do servidor de Web. O navegador indica um mensagem " restrição de acesso ".

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 41060