Configuratievoorbeeld van Cut-Through en Direct ASA-verificatie

Downloadopties

  • PDF     (302.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (257.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (668.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:20 augustus 2020
Document-id:113363

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u de doorlopende en directe ASA-verificatie kunt configureren.

    Voorwaarden

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op Cisco adaptieve security applicatie (ASA).

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Conventies

    Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

    doorsnede

    Snijd-door-verificatie werd eerder ingesteld met onder meer opdracht voor verificatie. Nu wordt de opdracht van de verificatiematch gebruikt. Verkeersverkeer dat verificatie vereist is toegestaan in een toegangslijst die van referentie is door de opdracht van de echtheidscontrole, die ervoor zorgt dat de host geauthentificeerd wordt voordat het gespecificeerde verkeer door de ASA is toegestaan. 

    Hier is een configuratievoorbeeld voor web traffic authenticatie: 

    username cisco password cisco privilege 15
access-list authmatch permit tcp any any eq 80
aaa authentication match authmatch inside LOCAL

    Merk op dat deze oplossing werkt omdat HTTP een protocol is waarin de ASA verificatie kan injecteren. ASA onderschept HTTP-verkeer en authenticeert het via HTTP-verificatie. Omdat de authenticatie inline geïnjecteerd wordt, verschijnt een HTTP authenticatie dialoogvenster in de webbrowser zoals in deze afbeelding getoond wordt:

    Direct-verificatie

    Direct authenticatie werd eerder ingesteld met de aaa authenticatie en virtuele < protocol> opdrachten. Nu, de aaa authenticatie match en de opdrachten van de authenticatie worden gebruikt.

    Voor protocollen die geen authenticatie ondersteunen (dat wil zeggen, protocollen die niet online een authenticatie-uitdaging kunnen hebben), kan de directe ASA-verificatie worden geconfigureerd. Standaard luistert de ASA niet naar verificatieverzoeken. Een luisteraar kan op een bepaalde poort en interface met de opdracht van de verificatieluisteraar worden ingesteld.

    Hier is een configuratievoorbeeld dat TCP/3389-verkeer door de ASA toestaat zodra een host is geauthentiseerd: 

    username cisco password cisco privilege 15
access-list authmatch permit tcp any any eq 3389
access-list authmatch permit tcp any host 10.245.112.1 eq 5555
aaa authentication match authmatch inside LOCAL
aaa authentication listener http inside port 5555

    Let op het poortnummer dat door de luisteraar wordt gebruikt (TCP/5555). De opdrachtoutput van het asp-stopcontact toont dat de ASA nu naar aansluitingsverzoeken op deze poort luistert op het IP-adres dat is toegewezen aan de gespecificeerde (binnenkant) interface.

    ciscoasa(config)# show asp table socket

    Protocol  Socket    Local Address               Foreign Address         State
    TCP       000574cf  10.245.112.1:5555              0.0.0.0:*                 LISTEN
    ciscoasa(config)#

    Nadat de ASA is geconfigureerd zoals hierboven wordt getoond, zal een poging tot verbinding door de ASA naar een externe host op TCP poort 3389 resulteren in een verbindingsontkenning. De gebruiker moet eerst voor TCP/389-verkeer authentiseren om te worden toegestaan. 

      

    Directe authenticatie vereist dat de gebruiker direct naar de ASA bladert. Als u doorbladert naar http://<asa_ip>:<port>, wordt een fout van 404 teruggegeven omdat er geen webpagina bestaat bij de wortel van de ASA's webserver.

    In plaats daarvan moet u rechtstreeks naar http:// bladeren<asa_ip>:<luisterer_port>/netaccess/connstatus.html. Een loginpagina bevindt zich op deze URL waar u verificatiereferenties kunt bieden. 

    In deze configuratie maakt het directe authenticatieverkeer deel uit van de autorisatie toegangslijst. Zonder deze access-control ingang kunt u een onverwacht bericht ontvangen, zoals Gebruikersverificatie, gebruikersverificatie is niet vereist wanneer u doorbladert naar http://<asa_ip>:<lister_port>/netaccess/connstatus.html.

    Nadat u met succes authenticeert, kunt u via de ASA verbinding maken met een externe server op TCP/3389.

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Blayne Dreier
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten