Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
966 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  cisco asa 5505 filtrage par adresse MAC possible ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

cisco asa 5505 filtrage par adresse MAC possible ?

n°684348
thevirtual
Posté le 22-07-2013 à 20:14:06  profilanswer
 

Bonjour,
 
je débute sur cisco, j'ai pris un serveur dédié Windows server 2008 devant lequel il y a un cisco asa 5505 en ASDM 6.4
 
je voudrais autoriser uniquement des ordinateurs connus à accéder à Windows par RDP, seulement la plupart des ordinateurs sont en DHCP
 
J’ai pensé à mettre un dyndns sur un poste et le déclarer comme objet avec FQDN l'adresse dyndns, ça ne marche pas, en revanche ça marche si je mets l'IP mais ça ne va pas puisque l'ip change.
 
Dernier recourt serait de filtrer sur l'adresse MAC mais les règles d'accès ne permet pas ce genre de chose.
 
Comme je n'y connais pas grand-chose, si quelqu'un peut me conseiller, comment résoudre ce problème
 
merci d'avance

mood
Publicité
Posté le 22-07-2013 à 20:14:06  profilanswer
 

n°684386
ccp6128
Syntax error
Posté le 22-07-2013 à 23:40:35  profilanswer
 

Le filtrage par adresse MAC ne sera pas efficace s'il y a ne serait ce qu'un équipement de routage entre tes serveurs et ton cisco.
 
Ne pourrais tu pas passer par une solution applicative genre mise en place de certificats sur tes postes clients pour autoriser la connection RDP ? Genre IPSEC + certificats, ou un RDS Gateway.

n°684398
thevirtual
Posté le 23-07-2013 à 06:51:34  profilanswer
 

merci ccp6128 pour ta réponse
effectivement RDS ou IPSEC pourrait être une solution
Avant d'aller sur ce terrain je voulais trouver une solution "plus light", en exploitant le potentiel du asa 5505
je vois des centaines de tentatives de connexion sur RDP, ce qui est assez flippant ! l'idée était de les empêcher en amont.
 
pour ce qui est du cisco en fait c'est un truc tout simple, il y a le serveur puis le cisco en mode transparent. aucun autre équipement entre les 2.
 
S'il y a quelque chose que je puisse faire sur le cisco pour empecher ces tentatives de connexion, tout en permettant aux postes autorisés de passer (sans nécessairement mettre du IPSEC ou RDS en place), je suis preneur.
 
je suis sur une autre piste, mais pas sure que ça soit bien, 2 softs : rdpguard et cyberarms => ils promettent de bloquer les tentatives de connexion sur RDP, ça marche un peu comme fail2ban sur linux
je ne sais pas si quelqu'un a déjà testé ?


Message édité par thevirtual le 23-07-2013 à 06:52:36
n°704938
tsvag
Posté le 07-10-2013 à 11:52:44  profilanswer
 

Bonjour,
 
Tu peux publier des connexions RDP, citrix, page intranet, fichiers etc... directement via le VPN SSL de ton ASA.
Tes utilisateurs se connectent sur la page web de ton ASA, s'authentifient (radius, ldap, local users...) puis tu leurs présente des raccourcis, qui peuvent être des connexions RDP ( utilise Java dans leur navigateur, aucun programme à installer côté client)
Il ne reste plus qu'a filtrer qui accède à quoi.
 
Je te conseil de lire ça : http://www.cisco.com/en/US/product [...] 0603.shtml
 
L'avantage de cette solution est qu'il n'y a aucun port à ouvrir, et qu'il y a une authentification avant la connexion RDP.
Ça permet d'exploiter l'ASA et tu économises des serveurs en DMZ.  
 
Bon courage et tiens nous au courant :)


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Sécurité

  cisco asa 5505 filtrage par adresse MAC possible ?

 

Sujets relatifs
Adresse MAC invalide ?[LAN Fibre] stage #3 : Multi fibres WAN. 500 Mbps down !
[Ouvert] Soucis de connection CISCO ASA 5505Cisco ASA, Pfsense et VPN
Mac OS X Server et partage SMBfiltrage mac : l'adresse MAC ne peut pas être l'adresse de diffusion
Plus de sujets relatifs à : cisco asa 5505 filtrage par adresse MAC possible ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR