Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Сквозной и прямой пример конфигурации аутентификации ASA

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как настроить сквозную и прямую аутентификацию ASA.

Примечание: Внесенный Блэйном Дреиром, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на устройстве адаптивной защиты Cisco (ASA).

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Сквозной

Сквозная аутентификация была ранее настроена с командой aaa authentication include. Теперь, команда aaa authentication match используется. Трафик, который требует аутентификации, разрешен в списке доступа, на который ссылается команда aaa authentication match, которая заставляет хост аутентифицироваться, прежде чем указанный поток данных будет позволен через ASA.

Вот пример конфигурации для аутентификации веба - трафика:

username cisco password cisco privilege 15

access-list authmatch permit tcp any any eq 80

aaa authentication match authmatch inside LOCAL

Обратите внимание на то, что это решение работает, потому что HTTP является протоколом, в котором ASA может ввести аутентификацию. ASA перехватывает трафик HTTP и аутентифицирует его через проверку подлинности HTTP. Поскольку аутентификация введена встроенная, диалоговое окно проверки подлинности HTTP появляется в web-браузере как показано в этом образе:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-01.gif

Прямая аутентификация

Прямая аутентификация была ранее настроена с aaa authentication, включают и действительные команды <protocol>. Теперь, команды соответствие aaa authentication и aaa authentication listener используются.

Для протоколов, которые не поддерживают аутентификацию исходно (т.е. протоколы, которые не могут иметь встроенного аутентификационного препятствия), может быть настроена прямая аутентификация ASA. По умолчанию ASA не прислушивается к запросам аутентификации. Слушатель может быть настроен на определенном порте и интерфейсе с командой aaa authentication listener.

Вот пример конфигурации, который позволяет трафик TCP/3389 через ASA, как только аутентифицировался хост:

username cisco password cisco privilege 15

access-list authmatch permit tcp any any eq 3389

access-list authmatch permit tcp any host 10.245.112.1 eq 5555

aaa authentication match authmatch inside LOCAL

aaa authentication listener http inside port 5555

Обратите внимание на номер порта, который используется слушателем (TCP/5555). Выходные данные команды show asp table socket показывают, что ASA теперь прислушивается к запросам подключения к этому порту в IP-адресе, назначенном на указанный (внутренний) интерфейс.

ciscoasa(config)# show asp table socket

Protocol  Socket    Local Address               Foreign Address         State

TCP       000574cf  10.245.112.1:5555           0.0.0.0:*               LISTEN

ciscoasa(config)#

После того, как ASA настроен как показано выше, попытка подключения через ASA к внешнему хосту на порте TCP 3389 приведет к отказу соединения. Пользователь должен сначала аутентифицироваться для трафика TCP/3389, который будет позволен.

Прямая аутентификация требует, чтобы пользователь перешел непосредственно к ASA. Если вы переходите к http://<asa_ip>: <port>, 404 ошибки возвращены, потому что никакая веб-страница не существует в root Web-сервера ASA.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-02.gif

Вместо этого необходимо перейти непосредственно к http://<asa_ip>: <listener_port>/netaccess/connstatus.html. Страница входа находится в этом URL, где можно предоставить учетные данные для аутентификации.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-03.gif

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-04.gif

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-05.gif

В этой конфигурации прямой трафик аутентификации является частью authmatch access-list. Без этой записи контроля доступа вы могли бы получить непредвиденное сообщение, такое как Проверка подлинности пользователя, Проверка подлинности пользователя не требуется, когда вы переходите к http://<asa_ip>: <listener_port>/netaccess/connstatus.html.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-06.gif

После аутентификации успешно можно соединиться через ASA с внешним сервером на TCP/3389.


Дополнительные сведения


Document ID: 113363