Допустим у вас есть ASA 5510 которая подключена к интернет и к локальной сети. На нее провайдером маршрутизируется сеть 100.100.100.0/24.
В локальной сети есть сервер под управлением Windows на который вам необходимо иметь доступ из интернета по протоколу RDP (TCP/3389).По причине безопасности не хотелось бы выставлять наружу эту службу. Ограничивать же доступ с конкретных ip адресов тоже неприемлимо, т.к. у клиента может быть динамический ip адрес.
Выход из этой ситуеции есть. На ASA 5510 необходимо настроить аутентификацию пользователя по имени и паролю. В случае успешной аутентификации пользователь получит полный доступ со своего ip адреса к службе RDP, до того момента пока сам не сделает LOGOUT либо доступ снова будет закрыт по таймауту.
Реализовать это можно при помощи аутентификации через virtual telnet server и virtual http (https) server. Аутентификацию через telnet и http рассматривать не будем, т.к. имена и пароли по этим протоколам передаются нешифрованными.
Рассмотрим как настроить virtual https server.
Сервер к которому необходимо иметь доступ по RDP из сети интернет имеет "белый" интернет адрес 100.100.100.100, соответственно он находится за Cisco ASA, т.е. в локальной сети.
Для virtual https сервера будем использовать адрес 100.100.100.1.
Настройка на Cisco ASA:
//добавляем пользователя в локальную базу
username cisco password cisco privilege 0
//Включаем virtual http сервер на адресе маршрутизируемом на ASA/PIX
virtual http 100.100.100.1
//Запись трансляции необходимая, для правильной работы virtual http сервера.
static (inside,outside) 100.100.100.1 100.100.100.1 netmask 255.255.255.255
//Переключаем в режим https
aaa authentication secure-http-client
aaa authentication listener https outside port https
//Разрешаем доступ к virtual https из интернет
access-list outside_access_in extended permit tcp any host 100.100.100.1 eq https
//Разрешаем доступ к нашему сервису RDP
access-list outside_access_in extended permit tcp any host 100.100.100.100 eq 3389
//Прописываем правила аутентификации сервиса RDP и virtual https
access-list AUTH extended permit tcp any host 100.100.100.100 eq 3389
access-list AUTH extended permit tcp any host 100.100.100.1 eq https
//Включаем аутентификацию из локальной базы пользователей
aaa authentication match AUTH outside LOCAL
//Устанавливаем 10 неправильных попыток входа
aaa local authentication attempts max-fail 10
//Определяем таймаут простоя аутентификации, по умолчанию 5 минут
timeout uauth 0:20:0
Теперь, чтобы зайти из сети интернет на сервер по по протоколу RDP, пользователь сначала в браузере наберет строку https://100.100.100.1 , после чего появится приглашение аутентификации. Введет имя и пароль пользователя и вслучае успешной аутентификации сможет через клиент RDP зайти на удаленный рабочий стол по адресу 100.100.100.100.
После того как доступ больше не нужен, пользователь снова должен пройти аутентификацию через https://100.100.100.1 и доступ будет закрыт. Либо просто ничего не делать и доступ будет закрыт по таймауту.