Добавить подробную аутентификацию + логирование в pix 515e
У меня есть пиксель 515e, работающий с пикселями 6, 3 Вт / 64 МБ ОЗУ, 3 интерфейса Ethernet, используется только 2. Я использую его как интернет-шлюз для ~100 устройств, ежедневный пик около 6 Мбит / с (мегабит в секунду) входящего, около 10%-20% от этого значения исходящего. Для этого отлично работает, никаких проблем. Мы не используем какие-либо функции VPN. Хотя PIX не знает и не заботится об этом, большинство клиентов являются беспроводными.
У нас возникают проблемы с соблюдением нормативных требований и политикой, поэтому мы хотим заставить пользователей проходить аутентификацию перед использованием Интернета и дополнять подробными журналами. Я рекомендовал заменить PIX другим продуктом; Мое предложение (Windows + неназванное программное обеспечение портала) с треском провалилось, поэтому мы вернулись к использованию PIX, который всегда работал идеально. Я потратил часть своего бюджета на это, но мне нужно найти решение, в идеале используя то, что у меня есть.
Насколько я понимаю, PIX может на самом деле аутентифицировать пользователей и проверять доступ. Мне действительно не нужны подробные журналы URL-адресов, на самом деле мне нужны точная дата + время, имя пользователя, mac-адрес, локальный IP-адрес, локальный порт (переведенный + непереведенный), удаленный IP-адрес, удаленный порт и количество октетов.
Я считаю, что у меня есть ручка для ведения журнала, поэтому мои вопросы
1) может ли этот PIX требовать аутентификацию перед разрешением доступа в интернет? Я имею в виду ВСЕ доступ в интернет (игры, телнет, ...), а не только HTTP. Любое руководство по созданию этой работы? Примечание. У меня нет контроля над устройствами пользователей, я могу отказать им в доступе (по причине), но не могу установить программное обеспечение на их компьютеры.
2) Прямо сейчас любое интернет-устройство (ПК, Mac, iphone, android) может получить доступ к интернету. Я хочу убедиться, что они продолжают работать, так достаточно ли изменений для работы с этими существующими устройствами?
3) будет ли этот пиксель перегружен (процессор / память), если я продолжу? Я видел 800+ пакетов в секунду в часы пик.
4) если это плохая идея, пожалуйста, предлагайте предложения
Обратите внимание, я не хочу обсуждать политику. Если пользователи хотят выйти за рамки политики, с которой они согласились, мне все равно, но они должны использовать / покупать свои собственные услуги 3G для такой деятельности и оставаться вне (W)LAN.
2 ответа
Во-первых, я бы порекомендовал обновить оперативную память и обновить устройство до PIXOSv8. Это будет самое последнее программное обеспечение, доступное для вашего устройства, и оно будет включать множество дополнительных функций, которые могут оказаться полезными для вас, но, что более важно, устранят многие дыры в безопасности, которые были исправлены за эти годы. Преимущество этого обновления в том, что 515e - это просто плата для ПК с SDRAM настольного класса. Максимальное значение - 128 МБ (2x64 МБ), а также короткие стики. В зависимости от вашего контракта на поддержку, почти любая RAM PC133 будет работать.
То, что вы ищете, называется "Cut Through Proxy", который поддерживается в PIXOS v6.3 и новее. При настройке PIX запрашивает имя пользователя / пароль при каждом установлении соединения. Более подробную информацию смотрите здесь. Однако поддерживаются только следующие сервисы:
- телнет
- FTP
- HTTP
- HTTPS
Если вы пойдете по этому пути, я бы не ожидал, что ваше устройство будет перегружено. Даже в текущей конфигурации вы работаете хорошо по спецификации.
Единственная аутентификация, о которой я знаю в PIX OS, относится к аутентификации пользователей для VPN или административных сеансов.
Кроме того, единственный способ сделать то, что вы описываете в пункте 1 ("Я имею в виду ВСЕ доступ к Интернету (игры, telnet, ...), а не только HTTP."), Заключается в использовании прокладки в стеке TCP/IP. на всех клиентских устройствах (так же, как "клиент брандмауэра", который использует Microsoft ISA Server), поскольку информация аутентификации для каждого пользователя не передается в дейтаграммах IP, сегментах TCP и т. д. Работа с встроенными клиентами ("iphone, android") будет довольно жестким. Если вам нужна аутентификация всех протоколов для каждого пользователя, это действительно единственный маршрут.
Вы можете использовать хаки, которые такие продукты, как Websense или устройства фильтрации Barracuda, используют для мониторинга контроллеров домена Windows и ведения внутренней "таблицы состояний" сеансов пользователей, связанных с IP-адресами клиентских устройств. Компьютеры терминального сервера будут играть в ад, хотя. Любые устройства, которые не выполняют проверку подлинности домена Windows, также будут "невидимыми" (с точки зрения пользователя, связанного с IP-адресом клиентского устройства) для такой хакерской атаки.
PIX может генерировать статистику трансляции по NAT, похожую на то, что вы ищете через SYSLOG, но аутентификации для каждого пользователя не будет. Вам также придется что-то кодировать, чтобы проанализировать данные журнала или приобрести сторонний продукт для анализа.