adicione autenticação detalhada + registrando no pix 515e

3

Eu tenho um pix 515e executando pixos 6.3 com 64MB de RAM, 3 interfaces de ethernet, apenas 2 em uso. Eu estou usando isso como um gateway de internet para ~ 100 dispositivos, pico diário de cerca de 6 Mbps (megabits por segundo) de entrada, cerca de 10% -20% desse valor de saída. Funciona muito bem para isso, sem problemas. Nós não usamos nenhum recurso de VPN. Embora o PIX não saiba / se preocupe com isso, a maioria dos clientes é sem fio.

Estamos com problemas de conformidade / política, por isso, queremos forçar os usuários a se autenticarem antes de usar a Internet e a complementar com registros detalhados. Recomendei substituir o PIX por outro produto; minha sugestão (windows + software de portal sem nome) falhou miseravelmente, então voltamos a usar o PIX que sempre funcionou perfeitamente. Então, eu queimei um pouco do meu orçamento, mas preciso encontrar uma solução, idealmente usando o que tenho.

Meu entendimento é que o PIX pode, de fato, autenticar usuários e auditar o acesso. Eu realmente não preciso de logs de URL detalhados, realmente o que eu preciso é data / hora precisa, nome de usuário, endereço MAC, endereço IP local, porta local (traduzido + não traduzido), IP remoto, porta remota e contagem de octetos

Eu acredito que eu tenha controle sobre o registro, então minhas perguntas são

1) este PIX pode requerer autenticação antes de permitir acesso à internet? Quero dizer, TODOS os acessos à Internet (jogos, telnet, ...), não apenas HTTP. Alguma orientação sobre como fazer isso funcionar? Nota: Eu não tenho controle sobre os dispositivos dos meus usuários, posso negar acesso (com motivo), mas não consigo instalar o software em seus computadores.

2) Neste momento qualquer dispositivo habilitado para internet (PC, Mac, iphone, android) pode acessar a Internet. Eu quero ter certeza de que eles continuam a funcionar, então as mudanças são genéricas o suficiente para trabalhar com esses dispositivos existentes?

3) este pix será sobrecarregado (CPU / memória) se eu continuar? Eu já vi mais de 800 pacotes por segundo nos horários de pico.

4) se esta é uma má idéia, por favor, oferecer sugestões

Note que realmente não quero discutir a política. Se os usuários quiserem sair da política com a qual concordaram, eu realmente não me importo, mas eles precisam usar / comprar seu próprio serviço 3G para tal atividade e ficar longe da (W) LAN.

    
por user32996 27.01.2010 / 02:53

2 respostas

1

Primeiramente, eu recomendaria a atualização da sua RAM e a atualização do dispositivo para o PIXOSv8. Este será o software mais recente disponível para o seu dispositivo, e permitirá uma série de recursos extras que você pode achar útil, mas o mais importante será abordar muitas falhas de segurança que foram corrigidas ao longo dos anos. A coisa boa com esta atualização é que o 515e é, na verdade, apenas uma placa de PC com SDRAM de classe desktop. Ele atinge o máximo de 128MB (2x64MB) e pega bastões curtos. Dependendo do seu contrato de suporte, praticamente qualquer RAM PC133 funcionará.

O que você está procurando é chamado de 'Cut Through Proxy', que é suportado no PIXOS v6.3 e posterior. Quando configurado, o PIX solicita o nome de usuário / senha sempre que uma conexão é estabelecida. Consulte aqui para obter mais detalhes No entanto, apenas os seguintes serviços são suportados:

  • telnet
  • ftp
  • link
  • link

Se você seguir esse caminho, não esperaria que seu dispositivo estivesse sobrecarregado. Mesmo na configuração atual, você está operando bem sob especificação.

    
por 27.01.2010 / 03:36
1

A única autenticação que conheço no PIX OS está relacionada à autenticação de usuários para VPN ou sessões administrativas.

Além disso, a única maneira de fazer as coisas que você descreve no item 1 ("Quero dizer, TODOS os acessos à Internet (jogos, telnet, ...), não apenas HTTP.") envolverá um shim no TCP / Pilha IP em todos os dispositivos clientes (muito parecido com o "Firewall Client" que o Microsoft ISA Server usa), pois as informações de autenticação por usuário não são transportadas em datagramas IP, segmentos TCP, etc. clientes ("iphone, android") vai ser bem difícil. Se você quiser a autenticação por usuário de todo o uso de protocolo, essa é realmente a única rota.

Você pode usar hacks que produtos como o Websense ou os dispositivos de filtragem Barracuda usam para monitorar controladores de domínio do Windows e manter uma "tabela de estado" interna de sessões do usuário associadas a endereços IP do dispositivo do cliente. Computadores do Terminal Server, no entanto, farão o mesmo com isso. Todos os dispositivos que não executam a autenticação de domínio do Windows serão "invisíveis" (em termos do usuário associado ao endereço IP do dispositivo do cliente) para tal hackery também.

O PIX pode gerar estatísticas de tradução por NAT parecidas com o que você está procurando via SYSLOG, mas não haverá autenticação por usuário. Você também terá que codificar algo para analisar os dados de log ou comprar um produto de análise de terceiros.

    
por 27.01.2010 / 03:29