ASA Cut Through Proxy (integrado com AD)

  • Cisco, Configuração, Security
  • 20/07/2015

Cut Through Proxy é uma funcionalidade do Cisco ASA, que vem desde o tempo do PIX e permite que o ASA peça usuário e senha antes de liberar acesso a um determinado serviço (o ASA passa a atuar como um proxy de autenticação, e daí o nome).

Podemos configurar o Cut Through Proxy para qualquer protocolo, mas a autenticação precisar ser realizada via ftp, http, https ou telnet.

Essa funcionalidade faz sentido quando temos uma aplicação que não é capaz de pedir autenticação, e queremos restringir o acesso.

Neste exemplo, para deixar a solução mais atraente, veremos como configurar o Cut Through Proxy com autenticação integrada ao AD (LDAP).

uauth

Outras opções seriam usar usuários locais (criados no próprio ASA), integrar com um servidor Radius ou TACACS.

Configurando Cut Through Proxy integrado com AD

1) Primeiro configure a integração com o AD.

aaa-server LDAP protocol ldap
aaa-server LDAP (inside) host 10.123.45.20
ldap-base-dn dc=lab,dc=brainwork,dc=com,dc=br
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *****
ldap-login-dn cn=asa,cn=users,dc=lab,dc=brainwork,dc=com,dc=br
server-type microsoft

2) Crie uma ACL especificando qual tráfego deve passar pela autenticação.

access-list WEB-AUTHEN extended permit tcp any host 184.168.47.225 eq www

3) Faça a amarração da autenticação, access-list e informe a interface por onde o LDAP será acessado.

aaa authentication match WEB-AUTHEN inside LDAP

4) Habilite o servidor web do ASA, e libere o acesso.

http server enable
http 0.0.0.0 0.0.0.0 inside

5) Opcionalmente configure as mensagens que o usuário receberá.

auth-prompt prompt Por favor insira seu Usuario e Senha.
auth-prompt accept Acesso Permitido
auth-prompt reject Acesso Negado

Com esta configuração, ao tentar acessar o endereço/porta especificado na ACL (brainwork.com.br, neste exemplo), a autenticação é solicitada.

uauth2

IMPORTANTE:

Note que a autenticação é está sendo feita via HTTP, que é um protocolo não criptografado. Logo, as credenciais podem ser capturadas na rede. Uma opção é usar HTTPS para a autenticação ao invés de HTTP. Para isso use o comando aaa authentication secure-http-client.

Mais informações nos links abaixo.

Cisco ASA Series Firewall CLI Configuration Guide

Cut-Through and Direct ASA Authentication Configuration Example

ASA Cut Through (Authentication) Proxy

Até a próxima.

Post anterior
Próximo post

About Us

Luckily friends do ashamed to do suppose. Tried meant mr smile so. Exquisite behaviour as to middleton perfectly. Chicken no wishing waiting am. Say concerns dwelling graceful.

Services

Most Recent Posts

  • All Post
  • Branding
  • Certificação
  • Cisco
  • Cloud
  • Configuração
  • Configuração Básica
  • Development
  • Geral
  • Informação
  • Leadership
  • Linux
  • Management
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless

Company Info

She wholly fat who window extent either formal. Removing welcomed.

Download Info

Your Business Potential with Our Proven Strategies

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Join Us
Lorem ipsum dolor sit amet, consectetur adipiscing elit.
Facebook-f Twitter Youtube Instagram

Company

About Us

Contact Us

Products

Services

Blog

Features

Analytics

Engagement

Builder

Publisher

Help

Privacy Policy

Terms

Conditions

Product

Lorem ipsum dolor sit amet, consectetur adipiscing elit.
You have been successfully Subscribed! Ops! Something went wrong, please try again.
© 2023 Created with Royal Elementor Addons