Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Corte-através de e exemplo direto da configuração de autenticação ASA

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar a autenticação rápida e direta no ASA.

Nota: Contribuído por Blayne Dreier, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada na ferramenta de segurança adaptável de Cisco (ASA).

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Corte-através

Corte-através da autenticação foi configurado previamente com o comando include da autenticação aaa. Agora, o comando match da autenticação aaa é usado. Trafique que exige a autenticação é permitido em uma lista de acessos que seja provida pelo comando match da autenticação aaa, que faz com que o host seja autenticado antes que o tráfego especificado esteja permitido com o ASA.

Está aqui um exemplo de configuração para a autenticação do tráfego de web:

username cisco password cisco privilege 15

access-list authmatch permit tcp any any eq 80

aaa authentication match authmatch inside LOCAL

Note que esta solução trabalha porque o HTTP é um protocolo em que o ASA pode injetar a autenticação. O ASA intercepta o tráfego de HTTP e autentica-o através da autenticação de HTTP. Porque a autenticação é injetada inline, uma caixa de diálogo da autenticação de HTTP aparece no navegador da Web segundo as indicações desta imagem:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-01.gif

Autenticação direta

A autenticação direta foi configurada previamente com a autenticação aaa inclui e comandos virtuais do <protocol>. Agora, o fósforo da autenticação aaa e os comandos do ouvinte da autenticação aaa são usados.

Para os protocolos que não apoiam a autenticação nativamente (isto é, os protocolos que não podem ter um desafio de autenticação inline), a autenticação direta ASA pode ser configurada. À revelia, o ASA não escuta pedidos de autenticação. Um ouvinte pode ser configurado em uma porta particular e em uma relação com o comando do ouvinte da autenticação aaa.

Está aqui um exemplo de configuração que permita o tráfego TCP/3389 com o ASA um host foi autenticado uma vez que:

username cisco password cisco privilege 15

access-list authmatch permit tcp any any eq 3389

access-list authmatch permit tcp any host 10.245.112.1 eq 5555

aaa authentication match authmatch inside LOCAL

aaa authentication listener http inside port 5555

Note o número de porta que é usado pelo ouvinte (TCP/5555). A saída do comando socket da tabela asp da mostra mostra que o ASA escuta agora pedidos de conexão a esta porta no endereço IP de Um ou Mais Servidores Cisco ICM NT atribuído (para dentro) à relação especificada.

ciscoasa(config)# show asp table socket

Protocol  Socket    Local Address               Foreign Address         State

TCP       000574cf  10.245.112.1:5555           0.0.0.0:*               LISTEN

ciscoasa(config)#

Depois que o ASA é configurado como mostrado acima, uma tentativa de conexão com o ASA a um host exterior na porta TCP 3389 conduzirá a uma recusa da conexão. O usuário deve primeiramente autenticar para que o tráfego TCP/3389 seja reservado.

A autenticação direta exige o usuário consultar diretamente ao ASA. Se você consulta ao <asa_ip de http:// >: o <port>, um erro 404 é retornado porque nenhum página da web existe na raiz do servidor de Web do ASA.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-02.gif

Em lugar de, você deve consultar diretamente ao <asa_ip de http:// >: <listener_port >/netaccess/connstatus.html. Uma página de login reside nesta URL onde você pode fornecer credenciais de autenticação.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-03.gif

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-04.gif

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-05.gif

Nesta configuração, o tráfego direto da autenticação é parte da lista de acesso do authmatch. Sem esta entrada de controle de acesso, você pôde receber um mensagem inesperada, tal como a autenticação de usuário, autenticação de usuário não está exigido, quando você consulta ao <asa_ip de http:// >: <listener_port >/netaccess/connstatus.html.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-06.gif

Depois que você autentica com sucesso, você pode conectar com o ASA a um server exterior em TCP/3389.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 113363