User-Based Firewall (здесь и далее UBF) был разработан для обеспечения гибкого механизма, обеспечивающего политики доступа для пользователей основываясь на его личности, а не IP-адресе. Классификация пользователей может проводиться на основе различных данных: тип устройства, которое запрашивает доступ в сеть, его расположение и роль. После того, как личность пользователя установлена, все политики фаирволла применяются для конкретного пользователя, а не для его IP-адреса.
Настройка UBF может осуществлять двумя глобальными способами. Первый метод, тэги и шаблоны, использует локально определенные политики на устройстве. Второй же метод задействует для этого внешний сервер (ACS, ISE) и передает с него настройки на устройство доступа (NAD, Network Access Device).
Рассмотрим настройку UBF сразу на примере.
Первым шагом включаем aaa и определяем параметры аутентификации и авторизации.
aaa new-model aaa authentication login default local aaa authorization auth-proxy default localДалее создаем лист аттрибутов и привязываем его к пользователю в локальной базе.
aaa attribute-list ATTR_ENG attribute-type supplicant-group «ENGINEER» username engineer secret cisco username engineer aaa attribute-list ATTR_ENGВключаем authentication proxy для интересующего нас трафика (в данном случае http) на интерфейсе Fa0/0
ip admission name ADMIS_HTTP proxy http interface Fa0/0 ip admission ADMIS_HTTPНа данном этапе, если некий пользователь инициирует http-сессию через интерфейс Fa0/0, то трафик будет перехвачен маршрутизатором и пользователю будет предложено ввести свои логин и пароль. При вводе engineer/cisco пользователь получает саппликант-группу “ENGINEER” и плюс ко всему прочему фаирволл запоминает IP-адрес, с которого была инициирована сессия. Далее группу “ENGINEER” можно использовать при написании политик ZFW.
ip access-list extended ACL_AUTHEN-ENG permit tcp any host 10.10.1.1 eq 80 class-map type inspect CLASS_AUTHEN-ENG match access-group name ACL_AUTHEN-ENG match user-group ENGINEER policy-map type inspect POLICY_AUTHEN-ENG class type inspect CLASS_AUTHEN-ENG inspect
Метки: firewall
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы
Добрый день!
А не подскажете теоретически какое количество username/secret можно держать на маршрутизаторе до того момента, когда базу лучше держать на внешнем ААА-сервере?
>>пользователю будет предложено ввести свои логин и пароль
Т.е. маршрутизатор генерирует http-запрос? Или как?
Буду премного благодарен за пояснения!
К каким типам трафика применим UBF?