CISCO remote vpn

Hálózatok egyéb

Sziasztok,

Kerdesem a kovetkezo lenne:

Adott egy lokalis halozat melyet egy cisco asa 5510 valaszt el az internettol. Ezen az asa-n be van allitava a remote access vpn ahol is a felhasznalok egy user groupban authentikalva jelentkezhetnet be a lokalis halora. Ez mukodik is jol (authentikacio, bejelentkezes .) kapnak is ip cimet egy 192.168.50.0/29-s tartomanybol , a localis halozat a 192.168.1.0/24.

A kerdes hogyan celszeru azt beallitani ,h csak bizonyos servereket erjenek el , csak bizonyos alkalmazasokat tudjanak az igy belepett felhasznalok elinditani?
Remelem eleg vilagosan fogalmaztam.

Azt otleteket elore is koszonom

Udv

Sztupi

  • 1076 megtekintés

( informer v | 2009. 05. 26., k – 16:46 )

nekem az nem világos, hogy hol és hogyan indítanak el alkalmazásokat? Ezt szeretnéd korlátozni az asa-n? Valami L7 okosságot szeretnél csinálni?

Azt szeretnem csinalni , h ha belogol a remote access vpn-n keresztul akkor mondjuk csak a levelezeset tudja megnezni meg egy serveren futo alkalmazast elinditani.Tehat valoban le szeretnem korlatozni oket. Semmi ide-oda maszkalas meg kikk, csak a melo. Ja mindezt ugy hogy az asa mogott Windows-os domainban tennek ezt.

Hello!

Szerintem nézd meg, hogy egy terminal szerver alkalmazása belefér-e. Ha igen, akkor az alkalmazások korlátozása nem probléma. Szreintem a NAC erre a problémára erőteljes túllövés, főleg az árát tekintve.

ps.: esetleg nézz utána az ASA sslvpn feature-setjének, hátha az is megfelel.
Illetve ha a szerverekhez való kapcsolódást akarod korlátozni, akkor kölönböző jogosultságcsoportokhoz különböző vpn profile?

Üdv.

Sajnos nincsen. Viszont az sslvpn feature-set pluszpénzes, úgyhogy inkább a vpn profile-ok körül nézegess. Az admin guide, meg egy csomó doksi elérhető a cisco weboldalán account nélkül is. Alkalmazások indításának korlátozása viszont csak terminal szerverrel fog menni.