Допустим у вас есть ASA 5510 которая подключена к интернет и к локальной сети. На нее провайдером маршрутизируется сеть 100.100.100.0/24.
В локальной сети есть сервер под управлением Windows на который вам необходимо иметь доступ из интернета по протоколу RDP (TCP/3389).По причине безопасности не хотелось бы выставлять наружу эту службу. Ограничивать же доступ с конкретных ip адресов тоже неприемлимо, т.к. у клиента может быть динамический ip адрес.
Выход из этой ситуеции есть. На ASA 5510 необходимо настроить аутентификацию пользователя по имени и паролю. В случае успешной аутентификации пользователь получит полный доступ со своего ip адреса к службе RDP, до того момента пока сам не сделает LOGOUT либо доступ снова будет закрыт по таймауту.Реализовать это можно при помощи аутентификации через virtual telnet server и virtual http (https) server. Аутентификацию через telnet и http рассматривать не будем, т.к. имена и пароли по этим протоколам передаются нешифрованными.
Рассмотрим как настроить virtual https server.
Сервер к которому необходимо иметь доступ по RDP из сети интернет имеет "белый" интернет адрес 100.100.100.100, соответственно он находится за Cisco ASA, т.е. в локальной сети.
Для virtual https сервера будем использовать адрес 100.100.100.1.Настройка на Cisco ASA:
//добавляем пользователя в локальную базу
username cisco password cisco privilege 0//Включаем virtual http сервер на адресе маршрутизируемом на ASA/PIX
virtual http 100.100.100.1//Запись трансляции необходимая, для правильной работы virtual http сервера.
static (inside,outside) 100.100.100.1 100.100.100.1 netmask 255.255.255.255//Переключаем в режим https
aaa authentication secure-http-client
aaa authentication listener https outside port https//Разрешаем доступ к virtual https из интернет
access-list outside_access_in extended permit tcp any host 100.100.100.1 eq https//Разрешаем доступ к нашему сервису RDP
access-list outside_access_in extended permit tcp any host 100.100.100.100 eq 3389//Прописываем правила аутентификации сервиса RDP и virtual https
access-list AUTH extended permit tcp any host 100.100.100.100 eq 3389
access-list AUTH extended permit tcp any host 100.100.100.1 eq https//Включаем аутентификацию из локальной базы пользователей
aaa authentication match AUTH outside LOCAL//Устанавливаем 10 неправильных попыток входа
aaa local authentication attempts max-fail 10//Определяем таймаут простоя аутентификации, по умолчанию 5 минут
timeout uauth 0:20:0Теперь, чтобы зайти из сети интернет на сервер по по протоколу RDP, пользователь сначала в браузере наберет строку https://100.100.100.1 , после чего появится приглашение аутентификации. Введет имя и пароль пользователя и вслучае успешной аутентификации сможет через клиент RDP зайти на удаленный рабочий стол по адресу 100.100.100.100.
После того как доступ больше не нужен, пользователь снова должен пройти аутентификацию через https://100.100.100.1 и доступ будет закрыт. Либо просто ничего не делать и доступ будет закрыт по таймауту.
а можно подобное сделать на пограничном роутере 2800 с NAT(PAT)?
>а можно подобное сделать на пограничном роутере 2800 с NAT(PAT)?dynamic ACL
>>а можно подобное сделать на пограничном роутере 2800 с NAT(PAT)?
>
>dynamic ACLа можно поподробнее о реализации данного сервиса на роутере?
доки, либо кратенький пример.
Спасибо
>>>а можно подобное сделать на пограничном роутере 2800 с NAT(PAT)?
>>
>>dynamic ACL
>
>а можно поподробнее о реализации данного сервиса на роутере?
>доки, либо кратенький пример.
>Спасибоhttp://www.cisco.com/en/US/docs/ios/12_2/security/configurat...
Для версий ASA OS от 8.3 и выше:1) NAT не обязательно
2) Добавить команду same-security-traffic permit intra-interface