Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

Cut-through et exemple direct de configuration d'authentification ASA

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment configurer le cut-through et diriger l'authentification ASA.

Remarque: Contribué par Blayne Dreier, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur l'appliance de sécurité adaptable Cisco (ASA).

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Cut-through

L'authentification de cut-through a été précédemment configurée avec l'authentification d'AAA incluent la commande. Maintenant, la commande match d'authentification d'AAA est utilisée. Trafiquez qui exige l'authentification est autorisé dans une liste d'accès qui est mise en référence par la commande match d'authentification d'AAA, qui cause l'hôte d'être authentifié avant que le trafic indiqué soit permis par l'ASA.

Voici un exemple de configuration pour l'authentification du trafic web :

username cisco password cisco privilege 15

access-list authmatch permit tcp any any eq 80

aaa authentication match authmatch inside LOCAL

Notez que cette solution fonctionne parce que le HTTP est un protocole dans lequel l'ASA peut injecter l'authentification. L'ASA intercepte le trafic http et l'authentifie par l'intermédiaire de l'authentification HTTP. Puisque l'authentification est en ligne injecté, une boîte de dialogue d'authentification HTTP apparaît dans le navigateur Web suivant les indications de cette image :

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-01.gif

Authentification directe

L'authentification directe a été précédemment configurée avec l'authentification d'AAA incluent et <protocol > commandes virtuels. Maintenant, la correspondance d'authentification d'AAA et les ordres d'auditeur d'authentification d'AAA sont utilisés.

Pour les protocoles qui ne prennent en charge pas l'authentification à la façon des indigènes (c'est-à-dire, les protocoles qui ne peuvent pas avoir un en ligne de défi d'authentification), l'authentification directe ASA peut être configurée. Par défaut, l'ASA n'écoute pas des demandes d'authentification. Un auditeur peut être configuré sur un port particulier et une interface avec l'ordre d'auditeur d'authentification d'AAA.

Voici un exemple de configuration qui permet le trafic TCP/3389 par l'ASA une fois qu'un hôte a été authentifié :

username cisco password cisco privilege 15

access-list authmatch permit tcp any any eq 3389

access-list authmatch permit tcp any host 10.245.112.1 eq 5555

aaa authentication match authmatch inside LOCAL

aaa authentication listener http inside port 5555

Notez le numéro de port qui est utilisé par l'auditeur (TCP/5555). La sortie de commande de socket de table d'asp d'exposition prouve que l'ASA écoute maintenant des demandes de connexion à ce port à l'adresse IP assignée (à l'intérieur) à l'interface spécifiée.

ciscoasa(config)# show asp table socket

Protocol  Socket    Local Address               Foreign Address         State

TCP       000574cf  10.245.112.1:5555           0.0.0.0:*               LISTEN

ciscoasa(config)#

Après que l'ASA soit configurée comme affiché ci-dessus, une tentative de connexion par l'ASA à un hôte d'extérieur sur le port TCP 3389 aura comme conséquence un refus de connexion. L'utilisateur doit d'abord authentifier pour qu'on laisse le trafic TCP/3389.

L'authentification directe exige de l'utilisateur de parcourir directement à l'ASA. Si vous parcourez au <asa_ip de http:// > : le <port >, une erreur 404 est retourné parce qu'aucune page Web n'existe à la racine du web server de l'ASA.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-02.gif

Au lieu de cela, vous devez parcourir directement au <asa_ip de http:// > : <listener_port >/netaccess/connstatus.html. Une page de connexion réside à cet URL où vous pouvez fournir des qualifications d'authentification.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-03.gif

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-04.gif

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-05.gif

Dans cette configuration, le trafic direct d'authentification fait partie de la liste d'accès d'authmatch. Sans cette entrée de contrôle d'accès, vous pourriez recevoir un message inattendu, tel que l'authentification de l'utilisateur, authentification de l'utilisateur n'est pas prié, quand vous parcourez au <asa_ip de http:// > : <listener_port >/netaccess/connstatus.html.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-06.gif

Après que vous authentifiiez avec succès, vous pouvez se connecter par l'ASA à un serveur extérieur sur TCP/3389.


Informations connexes


Document ID: 113363