Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Configurar el firewall PIX para enviar los nombres de usuario autenticados a un servidor Websense

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (30 Septiembre 2014) | Comentarios


Contenido


Introducción

El firewall PIX se puede configurar para comunicar con un servidor Websense para restringir el tráfico HTTP saliente (FTP y HTTPS en 6.3). La responsabilidad esencial del servidor Websense es crear y aplicar un conjunto de las directivas para permitir o para negar el acceso a los URL específicos. Las políticas de Websense se pueden asignar en el nivel del usuario. Esto permite al Administrador de Websense la capacidad de asignar los privilegios de acceso específicos a los usuarios individuales. El firewall PIX tiene la capacidad para enviar los nombres de usuario autenticados al servidor Websense. Esto se utiliza para evaluar la directiva para el usuario específico. El mecanismo por el cual el firewall PIX envía los nombres de usuario autenticados al Websense confía en el PIX que autentica ya al usuario con corte-por la característica del proxy. La funcionalidad PIX de pasar los nombres de usuario autenticados al Websense está solamente disponible cuando el PIX se configura para utilizar el protocolo de la versión de TCP 4 con el Websense.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versiones de software 6.2.2 del Cisco Secure PIX Firewall

  • Administrador de Websense, versión 4.4.0

  • Versión 3.0 del Cisco Secure ACS for Windows

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Configuración del Websense

Este documento asume que el Administrador de Websense ha configurado ya correctamente el servidor Websense. También se asume aquí que agregan a cada usuario que el PIX va a autenticar como Objeto del directorio en el Administrador de Websense, y que configuran a este usuario para ser indicado para la autenticación de directorio. Consulte su documentación de Websense o la visita el sitio del Websenseleavingcisco.com para los detalles en cómo configurar el servidor Websense.

Configuración del Cisco Secure ACS

Este documento asume que el administrador del Cisco Secure ACS ha configurado el servidor ACS para preguntar la misma base de datos activa Directory/NT que el Websense utiliza. Para la información sobre cómo lograr esta tarea para el Cisco Secure ACS for Windows, refiera a trabajo con las bases de datos de usuarios.

Este documento también asume que el servidor del Cisco Secure ACS ha agregado ya el PIX como cliente. Para los detalles en cómo lograr esta tarea, refiera a la sección de configuración del cliente AAA de configurar y manejo de la configuración de red.

Configuración del firewall PIX

Estos comandos se ingresan en un PIX que tenga ya conectividad a Internet


!--- Specify AAA server protocols.

aaa-server TACACS protocol tacacs+

!--- This specifies that the authentication server 
!--- with the IP address 192.168.253.111 resides on the inside 
!--- interface.  It is in the default TACACS+ server group.

aaa-server TACACS (inside) host 192.168.253.111 letmein timeout 10

!--- Enable TACACS+ user authentication to the above AAA server.  
!--- Users are prompted for authentication credentials.

aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 TACACS

!--- Designates server 192.168.253.111 that runs Websense. It is used 
!--- in tandem with the filter url command.

url-server (inside) vendor websense host 192.168.253.111 protocol tcp version 4

!--- Enable URL filtering on port 80 (the port that receives Internet traffic).

filter url 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow

La adición de estos comandos produce esta configuración:

PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
nameif ethernet3 intf3 security15
nameif ethernet4 intf4 security20
nameif ethernet5 intf5 security25
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname TestPIX
domain-name ciscopix.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
pager lines 24
logging on
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 10.0.0.1 255.255.255.0
ip address inside 192.168.253.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address intf4 127.0.0.1 255.255.255.255
ip address intf5 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address intf4 0.0.0.0
failover ip address intf5 0.0.0.0
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.253.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 10.0.0.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
aaa-server TACACS protocol tacacs+
aaa-server TACACS (inside) host 192.168.253.111 letmein timeout 10
url-server (inside) vendor websense host 192.168.253.111 timeout 5 protocol
TCP version 4
aaa authentication telnet console TACACS
aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
TACACS
filter url http 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
ssh timeout 5
terminal width 80
Cryptochecksum:d18e45ed25d122af34a5e4f3a183cdff
: end

Lo que el usuario ve

De un cliente en la red interna, abren a un navegador. Una vez que el hojeador intenta acceder un sitio de Internet con el PIX, se indica al usuario que ingrese un nombre de usuario y contraseña. El PIX entonces envía el nombre de usuario y contraseña al Cisco Secure ACS for Windows para autenticar el saliente HTTP session. El acceso es concedido una vez por el servidor del Cisco Secure ACS, el PIX envía el nombre de usuario autenticado al servidor Websense. El servidor Websense entonces mira para arriba la directiva asociada al usuario. Concede o niega el acceso enviando una respuesta al PIX. Si esta respuesta se diseña para conceder el acceso del usuario, la transacción HTTP entre el cliente y servidor completa. Si la respuesta es negar el acceso del usuario, el PIX cae el HTTP de respuesta del servidor Web. El navegador visualiza un mensaje "Restricción de acceso".

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 41060