В последние несколько лет, по известным всем причинам, стала востребована удаленная работа. В связи с этим службы ИТ и ИБ в компаниях задались вопросом как обеспечить безопасное подключение извне к ресурсам сети организации.

С помощью иностранного ПО класса NAC (Network Access Control), обеспечивались сценарии доступа через межсетевой экран с использованием супликанта. Эту задачу обычно доверяли ПО Cisco ACS, но сегодня возможности работы с этим продуктом у многих пользователей ограничены. В статье рассмотрим, как настроить работу схожего функционала с использованием отечественного продукта Efros ACS.

Для начала настроим МСЭ Cisco ASA

Сервер RADIUS
Самоподписанный сертификат устройства
Образ VPN клиента и профиль клиента
Пул адресов для клиентов

 

Правило исключения из NAT для удаленных клиентов
Профиль для подключения и групповая политика
Настройка профиля AnyConnect
Настройка профиля AnyConnect
Настройка профиля AnyConnect
Настройка профиля AnyConnect

Настройки Efros ACS

Теперь переходим к настройке самого ПК Efros ACS

Ввод в домен
Профиль оборудования

 

Профиль авторизации

 

Политика доступа
Политика доступа
Политика доступа

 

Журнал событий

 

Проверка подключения на клиенте и информация о VPN сессии на Cisco ASA

Данный сценарий успешно опробован в сетях заказчиков и является востребованным инструментом.

В данных примерах мы показываем настройку активного сетевого оборудования (АСО) от производителя CISCO, но если у заказчика есть АСО других производителей, то готовы помочь и в его настройке данным способом.

Материал подготовили специалисты ГК «Газинформсервис»: Никита Яковлев, Виталий Даровских.