Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 13:16



Ответить на тему  [ Сообщений: 4 ] 
Ограничения для пользователей AnyConnect 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 46
Коллеги!
После подключения посредством AnyConnect, пользователи попадают в корпоративную сеть.
Как реализовать ограничения для части пользователей AnyConnect (разрешить в корпоративной сети только http/https)? Куда пристроить acl?


10 июн 2022, 09:08
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
MPNW писал(а):
Как реализовать ограничения для части пользователей AnyConnect (разрешить в корпоративной сети только http/https)?
Куда пристроить acl?

Чтобы ограничения применялись только к определенным пользователям,
нужно для этих пользователей при авторизации отдавать соотв. атрибут.
Или через RADIUS, или локально через aaa attribute list.
Код:
aaa attribute list Users_SSL-VPN
 attribute type user-vpn-group "Users" mandatory
 attribute type inacl "110" mandatory

aaa attribute list Admins_SSL-VPN
 attribute type user-vpn-group "Admins" mandatory

username SuperAdmin secret <PASSWD>
username SuperAdmin aaa attribute list Admins_SSL-VPN

Варианты:
1. Создать отдельную policy group, в которой прописан filter tunnel

Код:
 policy group Users
   filter tunnel 110

и выдавать ее нужным юзерам.
Или сделать ее
Код:
 default-group-policy Users

и выдавать админам админскую группу без ограничений. Как удобнее.

2. Можно оставить одну policy group и просто выдавать атрибут (номер) ACL. См. пример выше.
Т.к. в общем виде IP адреса у юзеров динамические, то Src IP в ACL должен быть any.
Но в policy group больше возможностей для кастомизации, помимо ACL.

Код:
access-list 110 remark === Restrict Access for Users SSL-VPN
access-list 110 permit tcp any host 10.x.x.x eq 443
access-list 110 permit icmp any 10.0.0.0 0.255.255.255 echo
access-list 110 permit icmp any 10.0.0.0 0.255.255.255 echo-reply
access-list 110 permit icmp any 10.0.0.0 0.255.255.255 time-exceeded
access-list 110 permit icmp any 10.0.0.0 0.255.255.255 unreachable
access-list 110 remark

3. Можно, кмк, выдавать в атрибутах прямо сам ACL построчно.
Но это, на мой взгляд, не очень удобно.

Все это в доках расписано.

_________________
Knowledge is Power


12 июн 2022, 01:50
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Да, все вышеизложенное относится к IOS на обычном ISR роутере.
TS платформу не указал. Если у него ASA/Firepower, то там конфиг может отличаться.
Но общая идея, я думаю, понятна.

_________________
Knowledge is Power


12 июн 2022, 05:20
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Для полноты освещения вопроса:

Из RADIUS сервера нужно при авторизации отдавать атрибут Cisco VSA cisco-av-pair.

(IETF RADIUS Vendor-Specific Attribute: 26, Cisco Vendor-ID: 9, Cisco Vendor-Type Cisco-AVPair: 1.)
(cisco-av-pair, Cisco-AV-Pair in Microsoft Network Policy Server (NPS), Cisco-AVPair in FreeRADIUS.)

В виде:
webvpn:user-vpn-group=VPN_Policy_Group
webvpn:user-vpn-group=Users
или
webvpn:inacl=110

Можно передавать несколько атрибутов в одной строке, через пробел.
Но обычно RADIUS сервер сам с этим разбирается.

Другие webvpn атрибуты можно посмотреть здесь:

SSL VPN Configuration Guide, Cisco IOS Release 15M&T
Configuring RADIUS Attribute Support for SSL VPN
https://www.cisco.com/c/en/us/td/docs/i ... l-vpn.html

FreeRADIUS - Cisco IOS and Radius
https://wiki.freeradius.org/vendor/cisco

Причем желательно настроить и то, и то. Т.е. продублировать админский аккаунт(ы) локально в роутере.
Юзерами удобнее рулить в сервере авторизации, но если RADIUS сервер отвалится, то будет возможность
подключиться удаленно и посмотреть что с ним.

И не забудьте включить AAA Authorization в свойствах webvpn context, помимо Authentication.
Accounting по желанию.

Код:
aaa new-model
aaa authentication login SSL-Login group radius local
aaa authorization network SSL-Author group radius local
aaa accounting network VPN-Acc stop-only group radius


webvpn context SSL_VPN
 ...
 default-group-policy Users
 aaa authentication list SSL-Login
 aaa authorization list SSL-Author
 aaa accounting list VPN-Acc

_________________
Knowledge is Power


21 июн 2022, 03:20
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 54


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB