Pagina 1 di 1

ASA Captive Portal

Inviato: ven 30 set , 2011 3:12 pm
da sanga
ciao a tutti,
secondo voi è fattibile utilizzare un ASA 5520 come captive portal ?
in alternativa un captive portal (Freeware) che può autenticare tramite Radius esterno ?
ho provato Untangle, funziona ma per autenticare verso Radius richiede una licenza.....
help me please

ringrazio anticipatamente

Re: ASA Captive Portal

Inviato: dom 02 ott , 2011 8:02 pm
da zot
Se puoi non coinvolgere l'ASA, vai tranqui con Monowall http://m0n0.ch/wall/
Cmq pui dare un' occhiata qui : http://www.cisco.com/en/US/docs/securit ... _idfw.html

Re: ASA Captive Portal

Inviato: lun 03 ott , 2011 2:18 pm
da sanga
Grazie Zot !
come mai mi consigli di evitare di coinvolgere l'ASA, problemi di performance o altro ?
MonoWall non lo conosco, ho dato un occhiata sul sito e potrebbe andare bene, avevo optato anche per PFsens...
Vorrei evitare di aggiungere hardware anche se quello che più mi importa è dare un buon servizio e soprattutto semplice da gestire.
L'ASA è già configurato come VPN concentrator e si appoggia per l'autenticazione ad un server Radius (Cisco ACS).
Volevo implementare una sorta di Captive portal per dare accesso a determinati utenti a Internet.
In realtà l'ho giaà configurato tramite SDM, ma confrontando l'outup della conf è ben diversa rispetto al documento che mi hai indicato...
Appena riesco faccio un po di test...

Many Thanks :)

ciao

Re: ASA Captive Portal

Inviato: mar 04 ott , 2011 12:07 am
da zot
Se usi l' ASA ed e' OK va benissimo,con Identity Firewall dovresti poter creare acl anche per gruppi, non so come stai configurando tu ed io non l'ho mai fatto quindi ti posso essere d'aiuto fino ad un certo punto.
Monowall lo usa da...sempre ed e' molto stabile e sicuro,PFsense deriva proprio da MOnowall a cui e' stato aggiunto CARP,con un'interfaccia un po' piu' scarna e molto piu' carente lato QOS.
Fermo restando che se riesci ad usare l'ASA,ben venga, anzi, non ti dimenticare di riportare il qui se e come funziona.
per IDF con ASDM : http://www.cisco.com/en/US/docs/securit ... _idfw.html

Re: ASA Captive Portal

Inviato: gio 13 ott , 2011 9:32 am
da sanga
Ho risolto con l'ASA, in realtà non ho usato Identity Firewall, ma semplicemente configurando il Cut-through Proxy Authentication come documentato, in realtà avevo già realizzato questa cosa, ma mancava il comandino magico :
aaa authentication listener http inside port 8888 , io l'avevo fatto via ASDM ma non funzionava (maledetto ASDM) via CLI si è sistemato tutto....

L'ho gestito cosi, in quanto gli utenti sono divisi in gruppi a livello di dominio, l'ACS verifica e mappa il gruppo e in funzione di questo ottiene una Classe di indirizzi IP che abilita o meno la navigazione e l'Accesso ad Internet in questo modo.... quello che mi serviva :)

ciao S.

Re: ASA Captive Portal

Inviato: gio 13 ott , 2011 9:32 am
da sanga
dimenticavo

Muchas Gracias ZOT !!!! :)

Re: ASA Captive Portal

Inviato: mar 18 ott , 2011 1:08 pm
da zot
Figurati, grazie a te del feedback.
CMQ la questione m'interessa, praticamente con "Cut-through Proxy Authentication" mappi una classe d'indirizzi LAN sulla quale applichi ACL a livello ASA specifiche per quel gruppo/classe IP ??
Le classi d'IP vengono rilasciate dall 'ASA (Server DHCP ) o le specifichi tu ?
Insomma se ne vuoi parlare.....

Re: ASA Captive Portal

Inviato: mar 18 ott , 2011 2:14 pm
da sanga
vedo di riassumere quanto è stato realizzato...
all'interno di un campus è stata creata una Vlan particolare, chi si collega a questa Vlan (sia in modalità ethenet che wifi) ottiene un indirizzo IP in modalità DHCP.
Questa Vlan di fatto è filtrata, e sempre su questa Vlan l'interfaccia inside dell'ASA che , "Cut-through Proxy Authentication" intercetta le richieste HTTP e HTTPS e richiede l'autenticazione al client.
L'autenticazione viene demandata ad un server ACS, che è appoggiato ad un server di dominio... in funzione del gruppo di dominio alla quale l'utente appartiene può accedere o meno a specifici servizi.

spero di essere stato più chiaro...

Re: ASA Captive Portal

Inviato: mar 18 ott , 2011 4:20 pm
da zot
Quindi serve per forza un server ACS ? i servizi sono definiti sull' ASA o sul Server ACS ?

Re: ASA Captive Portal

Inviato: mer 19 ott , 2011 7:45 am
da Rizio
Al posto dell'ACS puoi usare qualsiasi server M$ da 2003 in avanti o deve per forza essere Cisco?

Rizio

Re: ASA Captive Portal

Inviato: mer 19 ott , 2011 12:29 pm
da sanga
no ho usato l'ACS per comodità, era già installato e usato per l'autenticazione in VPN...
credo che si possa fare tranquillamente anche con LDAP, non ci ho mai provato....

Re: ASA Captive Portal

Inviato: mer 19 ott , 2011 1:30 pm
da Rizio
Ok, tnk's