Безопасность : Устройства защиты Cisco PIX серии 500

Настройка брандмауэра PIX для отправки имен пользователей, прошедших аутентификацию, серверу Websense

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Межсетевой экран PIX может быть настроен для передачи с Сервером Websense для ограничения исходящего трафика HTTP (FTP и HTTPS в 6.3). Основная ответственность Сервера Websense должна создать и принудить ряд политики, чтобы позволить или запретить доступ к определенным URL. Политика Websense может быть назначена в пользовательском уровне. Это предоставляет администратору Websense способность назначить определенные привилегии доступа на отдельных пользователей. Межсетевой экран PIX имеет возможность передать проверенные имена пользователя к Серверу Websense. Это используется для оценки политики для определенного пользователя. Механизм, которым межсетевой экран PIX передает проверенные имена пользователя к Websense, полагается на PIX, уже аутентифицировавший пользователя через сквозную функцию прокси. Когда PIX настроен для использования протокола версии TCP 4 с Websense, функции PIX мимолетных проверенных имен пользователя к Websense только доступны.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Версии программного обеспечения межсетевого экрана Cisco Secure PIX 6.2.2

  • Диспетчер Websense, версия 4.4.0

  • Cisco Secure ACS для Версии Windows 3.0

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. Cisco Technical Tips Conventions.

Настройка Websense

Этот документ предполагает, что администратор Websense уже должным образом настроил Сервер Websense. Также предполагается здесь, что каждый пользователь, к которому переходит PIX, аутентифицируется, добавлен как Объект каталога в диспетчере Websense, и что этот пользователь настроен, чтобы быть предложенным для аутентификации каталога. Консультируйтесь со своей документацией Websense или посещением узел Websense leavingcisco.com для подробных данных о том, как настроить Сервер Websense.

Настройка Cisco Secure ACS

Этот документ предполагает, что Администратор Cisco Secure ACS настроил сервер ACS для запроса того же Активного Каталога/NT DATABASE тот Websense использование. Для получения информации о том, как выполнить эту задачу для Cisco Secure ACS для Windows, обратитесь к Работе с Базами данных пользователей.

Этот документ также предполагает, что сервер Cisco Secure ACS уже добавил PIX как клиента. Для получения дополнительной информации о том, как выполнить эту задачу, обратитесь к Разделу конфигурации Клиента AAA Устанавливания и Управления Конфигурацией сети.

Настройка межсетевого экрана PIX

Эти команды введены в PIX, который уже имеет интернет-соединение


!--- Specify AAA server protocols.

aaa-server TACACS protocol tacacs+

!--- This specifies that the authentication server 
!--- with the IP address 192.168.253.111 resides on the inside 
!--- interface.  It is in the default TACACS+ server group.

aaa-server TACACS (inside) host 192.168.253.111 letmein timeout 10

!--- Enable TACACS+ user authentication to the above AAA server.  
!--- Users are prompted for authentication credentials.

aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 TACACS

!--- Designates server 192.168.253.111 that runs Websense. It is used 
!--- in tandem with the filter url command.

url-server (inside) vendor websense host 192.168.253.111 protocol tcp version 4

!--- Enable URL filtering on port 80 (the port that receives Internet traffic).

filter url 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow

Добавление этих команд производит эту конфигурацию:

PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
nameif ethernet3 intf3 security15
nameif ethernet4 intf4 security20
nameif ethernet5 intf5 security25
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname TestPIX
domain-name ciscopix.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
pager lines 24
logging on
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 10.0.0.1 255.255.255.0
ip address inside 192.168.253.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address intf4 127.0.0.1 255.255.255.255
ip address intf5 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address intf4 0.0.0.0
failover ip address intf5 0.0.0.0
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.253.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 10.0.0.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
aaa-server TACACS protocol tacacs+
aaa-server TACACS (inside) host 192.168.253.111 letmein timeout 10
url-server (inside) vendor websense host 192.168.253.111 timeout 5 protocol
TCP version 4
aaa authentication telnet console TACACS
aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
TACACS
filter url http 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
ssh timeout 5
terminal width 80
Cryptochecksum:d18e45ed25d122af34a5e4f3a183cdff
: end

Что видно пользователю

От клиента на внутренней сети открыт браузер. Как только браузер пытается обратиться к сайту через PIX, пользователю предлагают ввести имя пользователя и пароль. PIX тогда передает имя пользователя и пароль к Cisco Secure ACS для Windows для аутентификации исходящего сеанса HTTP. Как только доступ предоставлен сервером Cisco Secure ACS, PIX передает проверенное имя пользователя к Серверу Websense. Сервер Websense тогда ищет политику, привязанную к пользователю. Это или предоставляет или запрещает доступ путем передачи ответа на PIX. Если этот ответ разработан для предоставления пользовательского доступа, транзакция HTTP между клиентом и сервером завершает. Если ответ должен запретить пользовательский доступ, PIX отбрасывает Ответ HTTP от Web-сервера. Браузер отображает сообщение "ограничения доступа".


Дополнительные сведения


Document ID: 41060