отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

CISCO AnyConnect доступ

Добрый день.
Опыта в настройках и конфигурировании CISCO не много, поэтому прошу извинить за сумбур.
На предприятии настроенна Cisco ASA 5525. Конфигурацию ее провожу через ASDM.
Некоторые пользователи получают доступ в корпоративную локальную сеть через Cisco AnyConnect, но сейчас стоит задача разрешить доступ к Cisco AnyConnect со статических IP адрессов.
Вопрос в ACL как я понимаю, но даже если я на интерфейсе outside делаю правило запрета всех пакетов со всех адресов, пользователи все равно осуществляют подключения через Cisco AnyConnect и работают с локальной сетью. Выходит работает динамическое правило доступа? Вобщем-то я не нашел как ограничить подключения с определеных статик адресов по средством Cisco AnyConnect.
Нужна помощь, спасибо.

4 ОТВЕТ.
Cisco Employee

Можно попробоваь конструкцию

Можно попробоваь конструкцию

access-group ... in interface ... control-plane

В ACL перечислить сначала permit'ами те адреса, с которых доступ разрешен, а в конце написать явный deny ip any any, т.к. implicit deny у такого ACL нет. Конструкция применяется редко и может не работать.

А вообще, эта задача решается с помощью авторизации по пользователям, а не по IP-адресам. Разрешение или запрещение доступа должно делаться в зависимости от username, а не от IP, который PC имеет в текущий момент времени.

New Member

Авторизация по пользователям

Авторизация по пользователям это не особо безопасно. Ну вот слил обиженный сотрудник логин и пас или украли данные авторизации, что тогда?? А так поверх авторизации по пользователям натягивать политику айпи. Или есть другие варианты выхода из ситуации?

У меня на интерфейсе уже висит access-list out_data_access_in extended deny ip any any и все равно соединения проходят.

Конструкцию access-group ... in interface ... control-plane не встречал, но попробую - отпишую

Спасибо за помощь, уже тучу форумов отбил. Предлагали вариант решения через Radius Server, но это не то, что я хотел.

Cisco Employee

Попробуйте. Это довольно

Попробуйте. Это довольно коварная фича, поскольку внутри системы данный control-plane ACL интегрируется с теми правилами доступа, которые заданы с помощью команд http, telnet, ssh и т.д, но не очень документировано, как конкретно это происходит.

Иными словами, для ограничения HTTPS (я думаю, что у вас AnyConnect работает по HTTPS/443, а не IKEv2/ESP) надо в ACL указывать eq 443, а в конце - deny tcp any any eq 443. Т.е. если порт 443 не указать, то есть некоторая опасность зарубить, например, ssh на внешний интерфейс роутера. Еще интереснее, как control-plane ACL интегрируется с правилом доступа, заданным в к-де http. Кто имеет приоритет? Это надо пробовать в конкретной версии и проверять результат так:

show asp table classify interface outside

Обычный ACL не влияет на трафик, терминирующий на самой ASA'е.

Другие варианты - это более сложные системы аутентификации, например, системы одноразовых паролей.

New Member

В приличных домах:1)

В приличных домах:
1) Пользователи при увольнении блокируются

2) Настроены политики паролей, которые подразумевают регулярную из смену пользователями.

3) Используется двухфакторная аутентификация (пароль + смс или пароль + сертификат).

Городить ACL для таких целей - это велосипед 80-го левела ;)

160
Просмотры
0
Полезный материал
4
Ответы