Xác thực người dùng từ xa truy cập vào Máy chủ Web trên Tường lửa Firewall Cisco(Authentication Web)

Mô hình: Máy chủ web trên DMZ được bảo vệ bởi tường lửa Firewall Cisco (ASA 5500).

Tình huống đặt ra: cho phép người dùng Internet bên ngoài chỉ truy cập vào máy chủ web này sau khi họ xác thực thành công bằng thông tin đăng nhập tên người dùng / mật khẩu.

Tình huống này có thể áp dụng trong các tình huống mà bạn cần cho phép nhân viên truy cập vào máy chủ web mạng nội bộ của công ty khi họ vắng mặt tại văn phòng.

Tài khoản tên người dùng / mật khẩu cho người dùng có thể được lưu trữ cục bộ trên tường lửa Cisco (không thể mở rộng nhiều) hoặc trên Máy chủ AAA (Xác thực) nội bộ, chẳng hạn như Máy chủ Kiểm soát Truy cập của Cisco (ACS). Hãy xem một sơ đồ ví dụ dưới đây:

​

Từ sơ đồ trên, giả sử rằng Máy chủ Web (WEB_SRV) có địa chỉ IP công cộng(public) là 20.20.20.1.

Mọi truy cập từ bên ngoài vào địa chỉ IP này phải được chặn bởi tường lửa Cisco, tường lửa này sẽ nhắc người dùng xác thực (tên người dùng / mật khẩu).

Sau khi người dùng nhập thông tin đăng nhập của mình, Tường lửa sẽ giao tiếp với máy chủ Xác thực AAA (AAA_SRV), sử dụng giao thức TACACS + hoặc RADIUS, để xác thực thông tin đăng nhập của người dùng.

Máy chủ AAA sẽ phản hồi tường lửa bằng ACCESS_PERMITED hoặc ACCESS_DENIED tương ứng.

Nếu được phép, người dùng sẽ có thể giao tiếp với Máy chủ Web. Chức năng này của Tường lửa Cisco ASA còn được gọi là “cut-through Proxy” và chỉ hoạt động cho các dịch vụ cụ thể (HTTP, HTTPs, FTP và TELNET).

Điều này có nghĩa là ngoài việc xác thực người dùng để truy cập Máy chủ Web, chúng ta cũng có thể thực hiện tương tự đối với Máy chủ FTP hoặc Máy chủ TELNET.

Cấu hình:

! Chỉ định tên máy chủ AAA (AAA_SRV) và giao thức sẽ sử dụng (Radius hoặc TACACS +)
CISCO-FW(config)# aaa-server AAA_SRV protocol tacacs+

! Chỉ định địa chỉ IP máy chủ xác thực và khóa bí mật xác thực
CISCO-FW(config)# aaa-server AAA_SRV (inside) host 10.0.0.1
CISCO-FW(config-aaa-server-host)# key authentication-secret-key

! ACL sau chỉ định luồng lưu lượng mà tường lửa sẽ thực thi xác thực
CISCO-FW(config)# access-list 120 permit tcp any host 20.20.20.1 eq www

! Bật xác thực người dùng máy chủ web bằng cách khớp với ACL được định cấu hình ở trên
CISCO-FW(config)# aaa authentication match 120 outside AAA_SRV

! Câu lệnh cuối cùng ở trên sẽ xác thực lưu lượng truy cập trên giao diện "bên ngoài" bằng cách sử dụng máy chủ AAA_SRV chỉ khi lưu lượng truy cập này khớp với Danh sách truy cập 120 (Access List 120)

Chúc các bạn thành công!

 

Rất hữu dụng. Thks