Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Configuration du pare-feu PIX pour envoyer les noms d'utilisateurs authentifiés à un serveur Websense

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Le Pare-feu PIX peut être configuré pour communiquer avec un serveur de Websense pour limiter le trafic http sortant (FTP et HTTPS dans 6.3). La responsabilité essentielle du serveur de Websense est de créer et imposer un ensemble de stratégies pour permettre ou refuser l'accès à la particularité URLs. Des stratégies de Websense peuvent être assignées au niveau utilisateur. Ceci a les moyens l'administrateur de Websense la capacité d'assigner des privilèges d'accès spécifiques aux utilisateurs individuels. Le Pare-feu PIX a la capacité pour envoyer des noms d'utilisateur authentifié au serveur de Websense. Ceci est utilisé pour évaluer la stratégie pour l'utilisateur spécifique. Le mécanisme par lequel le Pare-feu PIX envoie des noms d'utilisateur authentifié à Websense compte sur le PIX ayant déjà authentifié l'utilisateur par la caractéristique de proxy de cut-through. La fonctionnalité PIX de passer des noms d'utilisateur authentifié à Websense est seulement disponible quand le PIX est configuré utiliser le protocole de version 4 de TCP avec Websense.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Versions de logiciel 6.2.2 de pare-feu Cisco Secure PIX

  • Gestionnaire de Websense, version 4.4.0

  • Cisco Secure ACS pour la version 3.0 de Windows

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Installation de Websense

Ce document suppose que l'administrateur de Websense a déjà correctement configuré le serveur de Websense. On le suppose également ici que chaque utilisateur que le PIX va authentifier est ajouté comme objet de répertoire dans le gestionnaire de Websense, et que cet utilisateur est configuré pour être incité pour l'authentification de répertoire. Consultez votre documentation de Websense ou la visite le site de Websenseleavingcisco.com pour des détails sur la façon dont configurer le serveur de Websense.

Installation de Cisco Secure ACS

Ce document suppose que l'administrateur de Cisco Secure ACS a configuré le serveur ACS pour questionner la même base de données active Directory/NT que Websense utilise. Pour les informations sur la façon dont accomplir cette tâche pour le Cisco Secure ACS pour Windows, référez-vous à fonctionner avec des bases de données utilisateur.

Ce document suppose également que le serveur de Cisco Secure ACS a déjà ajouté le PIX en tant que client. Pour des détails sur la façon dont accomplir cette tâche, référez-vous à la section de configuration de client d'AAA d'établissement et configuration réseau de gérer.

Installation de Pare-feu PIX

Ces commandes sont sélectionnées sur un PIX qui a déjà la connexion Internet


!--- Specify AAA server protocols.

aaa-server TACACS protocol tacacs+

!--- This specifies that the authentication server 
!--- with the IP address 192.168.253.111 resides on the inside 
!--- interface.  It is in the default TACACS+ server group.

aaa-server TACACS (inside) host 192.168.253.111 letmein timeout 10

!--- Enable TACACS+ user authentication to the above AAA server.  
!--- Users are prompted for authentication credentials.

aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 TACACS

!--- Designates server 192.168.253.111 that runs Websense. It is used 
!--- in tandem with the filter url command.

url-server (inside) vendor websense host 192.168.253.111 protocol tcp version 4

!--- Enable URL filtering on port 80 (the port that receives Internet traffic).

filter url 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow

L'ajout de ces commandes produit cette configuration :

PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
nameif ethernet3 intf3 security15
nameif ethernet4 intf4 security20
nameif ethernet5 intf5 security25
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname TestPIX
domain-name ciscopix.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
pager lines 24
logging on
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 10.0.0.1 255.255.255.0
ip address inside 192.168.253.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address intf4 127.0.0.1 255.255.255.255
ip address intf5 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address intf4 0.0.0.0
failover ip address intf5 0.0.0.0
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.253.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 10.0.0.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
aaa-server TACACS protocol tacacs+
aaa-server TACACS (inside) host 192.168.253.111 letmein timeout 10
url-server (inside) vendor websense host 192.168.253.111 timeout 5 protocol
TCP version 4
aaa authentication telnet console TACACS
aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
TACACS
filter url http 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
ssh timeout 5
terminal width 80
Cryptochecksum:d18e45ed25d122af34a5e4f3a183cdff
: end

Ce que l'utilisateur voit

D'un client sur le réseau interne, un navigateur est ouvert. Une fois que les essais de navigateur pour accéder à un site Internet par le PIX, l'utilisateur est incités pour écrire un nom d'utilisateur et mot de passe. Le PIX envoie alors le nom d'utilisateur et mot de passe au Cisco Secure ACS pour que Windows authentifie la session de HTTP sortante. Une fois le serveur accorde l'accès de Cisco Secure ACS, le PIX envoie le nom d'utilisateur authentifié au serveur de Websense. Les consultations de serveur de Websense puis que la stratégie a associées avec l'utilisateur. Il accorde ou refuse l'accès en envoyant une réponse au PIX. Si cette réponse est conçue pour accorder l'accès client, la transaction de HTTP entre le client et serveur se termine. Si la réponse est de refuser l'accès client, le PIX relâche la réponse de HTTP du serveur Web. Le navigateur affiche un message « de restriction d'accès ».

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 41060