ASA Anyconnect e DAP
Inviato: mer 09 ott , 2013 3:46 pm
Ciao a tutti,
stò configurando un accesso VPN sul'ASA (ver. 8.4(3) ) e mi mi stavo chiedendo se posso configurare anche degli "if" nella configurazione dei gruppi nel DAP.
Mi spiego meglio: ho configurato il DAP per il match sui gruppi di active directory ma ho notato che tutt'ora che un gruppo matcha per lui non fà differenza se l'utente appartiene a GRUPPO1 o GRUPPO2, tutt'ora che l'utente conosce la password ed è in uno dei gruppi che possono accedere via webvpn il DAP consente l'accesso.
Il chè si traduce in un problema di sicurezza per le acl; se io metto un'acl restrittiva sul GROUPPO1 e un utente smaliziato impara che GRUPPO2 non ha queste restrizioni basta che nella stringa di login anyconnect specifichi /GRUPPO2 e aggira le mie acl.
Stò sbagliando qualcosa nella configurazione o è possibile dire che un utente può far parte solo di un determinato gruppo?
Grazie in anticipo
Rizio
stò configurando un accesso VPN sul'ASA (ver. 8.4(3) ) e mi mi stavo chiedendo se posso configurare anche degli "if" nella configurazione dei gruppi nel DAP.
Mi spiego meglio: ho configurato il DAP per il match sui gruppi di active directory ma ho notato che tutt'ora che un gruppo matcha per lui non fà differenza se l'utente appartiene a GRUPPO1 o GRUPPO2, tutt'ora che l'utente conosce la password ed è in uno dei gruppi che possono accedere via webvpn il DAP consente l'accesso.
Il chè si traduce in un problema di sicurezza per le acl; se io metto un'acl restrittiva sul GROUPPO1 e un utente smaliziato impara che GRUPPO2 non ha queste restrizioni basta che nella stringa di login anyconnect specifichi /GRUPPO2 e aggira le mie acl.
Stò sbagliando qualcosa nella configurazione o è possibile dire che un utente può far parte solo di un determinato gruppo?
Grazie in anticipo
Rizio