PIX / ASA + Autenticazione smart card

[alan]

Ciao a tutti.
Volevo chiedere un consiglio riguardo gli accessi a web server dietro un PIX o un ASA (io sono in posseso per ora solo di un PIX 515 - 6.3).
Ho un web server che per l'appunto si trova dietro un PIX, il quale a sua volta attraverso la solita static, "pubblica" su internet la sola porta 80 del mio server.
Vorrei effettuare un'autenticazione a livello di PIX che mi permetta di riconoscere l'utente che si collega al mio web server da una smart card.
In pratica il PIX deve dare accesso alla porta 80 del web server solo se va a buon fine il processo di autenticazione con la smart-card.
Qualcuno saprebbe gentilmente fornirmi uno spunto?

Come sempre vi ringrazio già da ora per la vostro disponibilità.

Ancora grazie e ciao

AlAn

[andrewp]

Uhm uhm uhm...lascia stare il PIX e gestisci l'autenticazione con Apache, credo sia la soluzione migliore.

[andrewp]

A te:

http://www.sikurezza.org/ml/10_06/msg00059.html

[alan]

Anzitutto grazie mille per la risposta.
In effetti ero partito da una soluzione come quella da te suggerita, poi mi sono fatto una domanda:
"Per evitare che possano essere sfruttate le falle di Apache ... non mi converrebbe lasciare l'incombenza dell'autenticazione al firewall? In questo modo evito eventuali scansioni sul mio web server con software tipo morfeus o altri. "
In pratica evito inutili accessi al web server ...

E' una domanda lecita o fa acqua da qualche parte?

Grazie ancora.

AlAn

[andrewp]

Beh..non sono certo di questo ma non credo tu possa fare direttamente quello che hai detto, dovresti utilizzare la smartcard per autenticarti su una VPN IPSec PIX - VPN Client....e poi una volta guadagnato l'accesso ruotare la connessione sul web server.

Comunque sia le "falle di Apache" esistono per tutti i web server al mondo, la sicurezza deve sempre mediare con l'usabilità, io sono ancora per la gestione dell'auth da parte di Apache

[alan]

Grazie ancora!
Vedo e poi posto la strada intrapresa.

AlAn