Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Corte-por y ejemplo directo de la configuración de autenticación ASA

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe cómo configurar la autenticación ASA directa y cut-through.

Nota: Contribuido por Blayne Dreier, ingeniero de Cisco TAC.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en el dispositivo de seguridad adaptante de Cisco (ASA).

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Corte-por

Corte-por la autenticación fue configurado previamente con el comando include de la autenticación aaa. Ahora, utilizan al comando match de la autenticación aaa. Trafique que requiere la autenticación se permite en una lista de acceso que sea referida por el comando match de la autenticación aaa, que hace el host ser autenticado antes de que el tráfico especificado se permita con el ASA.

Aquí está un ejemplo de configuración para la autenticación del tráfico de la Web:

username cisco password cisco privilege 15

access-list authmatch permit tcp any any eq 80

aaa authentication match authmatch inside LOCAL

Observe que esta solución trabaja porque el HTTP es un protocolo en el cual el ASA puede inyectar la autenticación. El ASA intercepta el tráfico HTTP y lo autentica vía la autenticación HTTP. Porque la autenticación se inyecta en línea, un cuadro de diálogo de la autenticación HTTP aparece en el buscador Web tal y como se muestra en de esta imagen:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-01.gif

Autenticación directa

La autenticación directa fue configurada previamente con la autenticación aaa incluye y los comandos virtuales del <protocol>. Ahora, se utilizan la coincidencia de la autenticación aaa y los comandos del módulo de escucha de la autenticación aaa.

Para los protocolos que no soportan la autenticación nativo (es decir, los protocolos que no pueden tener un desafío de autenticación en línea), la autenticación directa ASA puede ser configurada. Por abandono, el ASA no está atentos los pedidos de autenticación. Un módulo de escucha puede ser configurado en un puerto determinado y una interfaz con el comando del módulo de escucha de la autenticación aaa.

Aquí está un ejemplo de configuración que permite el tráfico TCP/3389 con el ASA que un host se ha autenticado una vez:

username cisco password cisco privilege 15

access-list authmatch permit tcp any any eq 3389

access-list authmatch permit tcp any host 10.245.112.1 eq 5555

aaa authentication match authmatch inside LOCAL

aaa authentication listener http inside port 5555

Observe el número del puerto que es utilizado por el módulo de escucha (TCP/5555). La salida del comando socket de la tabla de la demostración ASP muestra que el ASA ahora está atentos los pedidos de conexión a este puerto en la dirección IP asignada (dentro) a la interfaz especificada.

ciscoasa(config)# show asp table socket

Protocol  Socket    Local Address               Foreign Address         State

TCP       000574cf  10.245.112.1:5555           0.0.0.0:*               LISTEN

ciscoasa(config)#

Después de que el ASA se configure como se muestra arriba, un intento de conexión con el ASA a un host exterior en el puerto TCP 3389 dará lugar a una negación de la conexión. El usuario debe primero autenticar para que el tráfico TCP/3389 sea permitido.

La autenticación directa requiere al usuario hojear directamente al ASA. Si usted hojea al <asa_ip de http:// >: se vuelve el <port>, un error 404 porque ninguna página web existe en la raíz del servidor Web ASA.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-02.gif

En lugar, usted debe hojear directamente al <asa_ip de http:// >: <listener_port >/netaccess/connstatus.html. Una página de registro reside en este URL donde usted puede proporcionar los credenciales de autenticación.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-03.gif

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-04.gif

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-05.gif

En esta configuración, el tráfico directo de la autenticación es parte de la lista de acceso del authmatch. Sin esta entrada de control de acceso, usted puede ser que reciba un mensaje inesperado, tal como autenticación de usuario, autenticación de usuario no se requiere, cuando usted hojea al <asa_ip de http:// >: <listener_port >/netaccess/connstatus.html.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-06.gif

Después de que usted autentique con éxito, usted puede conectarse con el ASA a un servidor exterior en TCP/3389.


Información Relacionada


Document ID: 113363