 |
|
|
|
Учет удаленных подключений
Учет удаленных подключений Наступает момент, когда нужно иметь информацию в виде отчета об удаленных подключениях сотрудников предприятия
Будем считать, что оборудование (Cisco ASA 5505) и ПО (FreeRADIUS + daloRadius, MS Excel, анализаторы лог-файлов или другое) уже установлены и настроены. Рассмотрим последовательность шагов – от создания доступа пользователю до формирования отчета. Создание VPN-доступа За безопасную связь с внешним миром отвечает межсетевой экран Cisco ASA 5505 [1], где создадим логин для нового пользователя и предоставим ему необходимый доступ. Первым делом в режиме конфигурирования (после подключения к маршрутизатору вводится команда Enable, а затем – Configure terminal) выполним команду, которая создает логин пользователя и назначает ему пароль с применением шифрования: Username din.sv password 111 mschap Далее заходим в атрибуты созданного пользователя: Username din.sv attributes и назначаем ему свободный IP-адрес из сети аппаратного файрвола (в моем случае пул 192.168.9.0\24), который будет присваиваться (соответствовать) при каждом его удаленном подключении: vpn-framed-ip-address 192.168.9.99 255.255.255.0 Таким образом, межсетевой экран будет понимать, что находящегося за пределами компании пользователя можно пропускать дальше в корпоративную сеть, предоставив ему полный доступ. Если же необходимо создать более ограниченный доступ, например подключение только к конкретному серверу, то делается это с помощью Access List [2]: access-list VPN_FOR_WEB extended permit tcp any host 192.168.2.40 eq www access-list VPN_FOR_WEB extended permit udp any host 192.168.6.5 eq domain а затем список разрешений (ограничений) применяется для конкретного логина пользователя: vpn-filter value VPN_FOR_WEB Может возникнуть необходимость не удалять, а временно заблокировать логин работника, например на период отпуска. В этом помогут следующие команды: username din.sv attributes vpn-simultaneous-logins 0 На этом работа с маршрутизатором завершена. Далее необходимо настроить VPN-подключение на устройстве сотрудника. Статью целиком читайте в журнале «Системный администратор», №5 за 2017 г. на страницах 29-33. PDF-версию данного номера можно приобрести в нашем магазине.
|
СЕРГЕЙ БОЛДИН, системный администратор НЭК Укрэнерго, 
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
