ASA Captive Portal

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
Avatar utente
sanga
Cisco power user
Messaggi: 75
Iscritto il: ven 23 set , 2011 1:14 pm

ciao a tutti,
secondo voi è fattibile utilizzare un ASA 5520 come captive portal ?
in alternativa un captive portal (Freeware) che può autenticare tramite Radius esterno ?
ho provato Untangle, funziona ma per autenticare verso Radius richiede una licenza.....
help me please

ringrazio anticipatamente
___________________________________
Se vuoi una garanzia, compra un tostapane.
___________________________________
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Se puoi non coinvolgere l'ASA, vai tranqui con Monowall http://m0n0.ch/wall/
Cmq pui dare un' occhiata qui : http://www.cisco.com/en/US/docs/securit ... _idfw.html
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
sanga
Cisco power user
Messaggi: 75
Iscritto il: ven 23 set , 2011 1:14 pm

Grazie Zot !
come mai mi consigli di evitare di coinvolgere l'ASA, problemi di performance o altro ?
MonoWall non lo conosco, ho dato un occhiata sul sito e potrebbe andare bene, avevo optato anche per PFsens...
Vorrei evitare di aggiungere hardware anche se quello che più mi importa è dare un buon servizio e soprattutto semplice da gestire.
L'ASA è già configurato come VPN concentrator e si appoggia per l'autenticazione ad un server Radius (Cisco ACS).
Volevo implementare una sorta di Captive portal per dare accesso a determinati utenti a Internet.
In realtà l'ho giaà configurato tramite SDM, ma confrontando l'outup della conf è ben diversa rispetto al documento che mi hai indicato...
Appena riesco faccio un po di test...

Many Thanks :)

ciao
___________________________________
Se vuoi una garanzia, compra un tostapane.
___________________________________
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Se usi l' ASA ed e' OK va benissimo,con Identity Firewall dovresti poter creare acl anche per gruppi, non so come stai configurando tu ed io non l'ho mai fatto quindi ti posso essere d'aiuto fino ad un certo punto.
Monowall lo usa da...sempre ed e' molto stabile e sicuro,PFsense deriva proprio da MOnowall a cui e' stato aggiunto CARP,con un'interfaccia un po' piu' scarna e molto piu' carente lato QOS.
Fermo restando che se riesci ad usare l'ASA,ben venga, anzi, non ti dimenticare di riportare il qui se e come funziona.
per IDF con ASDM : http://www.cisco.com/en/US/docs/securit ... _idfw.html
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
sanga
Cisco power user
Messaggi: 75
Iscritto il: ven 23 set , 2011 1:14 pm

Ho risolto con l'ASA, in realtà non ho usato Identity Firewall, ma semplicemente configurando il Cut-through Proxy Authentication come documentato, in realtà avevo già realizzato questa cosa, ma mancava il comandino magico :
aaa authentication listener http inside port 8888 , io l'avevo fatto via ASDM ma non funzionava (maledetto ASDM) via CLI si è sistemato tutto....

L'ho gestito cosi, in quanto gli utenti sono divisi in gruppi a livello di dominio, l'ACS verifica e mappa il gruppo e in funzione di questo ottiene una Classe di indirizzi IP che abilita o meno la navigazione e l'Accesso ad Internet in questo modo.... quello che mi serviva :)

ciao S.
___________________________________
Se vuoi una garanzia, compra un tostapane.
___________________________________
Avatar utente
sanga
Cisco power user
Messaggi: 75
Iscritto il: ven 23 set , 2011 1:14 pm

dimenticavo

Muchas Gracias ZOT !!!! :)
___________________________________
Se vuoi una garanzia, compra un tostapane.
___________________________________
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Figurati, grazie a te del feedback.
CMQ la questione m'interessa, praticamente con "Cut-through Proxy Authentication" mappi una classe d'indirizzi LAN sulla quale applichi ACL a livello ASA specifiche per quel gruppo/classe IP ??
Le classi d'IP vengono rilasciate dall 'ASA (Server DHCP ) o le specifichi tu ?
Insomma se ne vuoi parlare.....
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
sanga
Cisco power user
Messaggi: 75
Iscritto il: ven 23 set , 2011 1:14 pm

vedo di riassumere quanto è stato realizzato...
all'interno di un campus è stata creata una Vlan particolare, chi si collega a questa Vlan (sia in modalità ethenet che wifi) ottiene un indirizzo IP in modalità DHCP.
Questa Vlan di fatto è filtrata, e sempre su questa Vlan l'interfaccia inside dell'ASA che , "Cut-through Proxy Authentication" intercetta le richieste HTTP e HTTPS e richiede l'autenticazione al client.
L'autenticazione viene demandata ad un server ACS, che è appoggiato ad un server di dominio... in funzione del gruppo di dominio alla quale l'utente appartiene può accedere o meno a specifici servizi.

spero di essere stato più chiaro...
___________________________________
Se vuoi una garanzia, compra un tostapane.
___________________________________
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Quindi serve per forza un server ACS ? i servizi sono definiti sull' ASA o sul Server ACS ?
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Al posto dell'ACS puoi usare qualsiasi server M$ da 2003 in avanti o deve per forza essere Cisco?

Rizio
Si vis pacem para bellum
Avatar utente
sanga
Cisco power user
Messaggi: 75
Iscritto il: ven 23 set , 2011 1:14 pm

no ho usato l'ACS per comodità, era già installato e usato per l'autenticazione in VPN...
credo che si possa fare tranquillamente anche con LDAP, non ci ho mai provato....
___________________________________
Se vuoi una garanzia, compra un tostapane.
___________________________________
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Ok, tnk's
Si vis pacem para bellum
Rispondi