Administrators are advised to allow only trusted users to have SNMP access
и
The attacker must know the community strings to successfully launch an attack against an affected device.
ACL + крепкий community стринг должен спасти, ага.
Я полагаю (ну а скорее мечтаю, зная реалии) что люди, которые испольщуют Cisco ASA, должны следовать данным правилам по дефолту
А вы сравнивали цены на годовую подписку на блейды CP и лицензию на FP?
На сколько я знаю выигрыш там приличный. Именно поэтому мы сейчас вовсю тестируем FP с целью переноса на платформу функций URL\Application фильтрации с CheckPoint-а
Да вот в том то и дело, что нужен контроль… Сервера, хоть и не имеют GUI, обращаются к огромному количеству веб-ресурсов (git, maven, репозитории, etc) к которым доступ по IP предоставить сложно, ввиду огромного количества оных и тут нужна фильтрация именно по URL-ам.
Сейчас это делается либо открытием доступа по src IP, либо с помощью костылей типа «искуственных» AD Query и опять же выдёргиванием привязки юзер\IP из AD Security логов.
А хотелось бы чего-то более интеллектуального…
Да, теперь понятно, сначала это обычный 802.1x и в качестве radius-клиента у нас коммутатор\wlc.
Тогда такой практический вопрос. Понятно что для тех же linux worksation или Mac-OS мы можем использовать Cisco AnyConnect. Но как быть в случае если у нас нет GUI? То есть нужно что-то вроде консольного супликанта.
Борис, добрый день.
Спасибо за статью.
Правильно ли я понял, что в данном раскладе мы опять таки возвращаемся к активной аутентификации? То есть каждому пользователю с каждого его устройства нужно вводить логин\пароль через Cisco AnyConnect.
И что произойдёт если мы изменили политику доступа? Нужно ли будет пользователю «перелогиниться» чтобы политики применились к нему?
Сергей, добрый день.
Я правильно из всего этого понял, что по факту роутинг во всех Cisco роутерах до ISR 4300 (то есть вся линейка ISR G2) осуществлялся «софтварно»?
У TMG была очень полезная приблуда — TMG-клиент. Эдакий проксификатор, который прозрачно для пользователя пропускал через прокси не только http\https трафик.
Есть что то подобное в комплекте данного софта?
Попробую вопрос по существу.
Можно ли сделать учётку в своём домене сделать администратором этого же домена?
Сейчас в качестве администратора можно подключить только ящик в mail\list\bk\inbox. Грустно.
и
ACL + крепкий community стринг должен спасти, ага.
Я полагаю (ну а скорее мечтаю, зная реалии) что люди, которые испольщуют Cisco ASA, должны следовать данным правилам по дефолту
На сколько я знаю выигрыш там приличный. Именно поэтому мы сейчас вовсю тестируем FP с целью переноса на платформу функций URL\Application фильтрации с CheckPoint-а
Сейчас это делается либо открытием доступа по src IP, либо с помощью костылей типа «искуственных» AD Query и опять же выдёргиванием привязки юзер\IP из AD Security логов.
А хотелось бы чего-то более интеллектуального…
Тогда такой практический вопрос. Понятно что для тех же linux worksation или Mac-OS мы можем использовать Cisco AnyConnect. Но как быть в случае если у нас нет GUI? То есть нужно что-то вроде консольного супликанта.
В данном стенде, получает, вовсю используется trustsec? Иначе не понятно где конкретно мы проходим аутентификацию
Спасибо за статью.
Правильно ли я понял, что в данном раскладе мы опять таки возвращаемся к активной аутентификации? То есть каждому пользователю с каждого его устройства нужно вводить логин\пароль через Cisco AnyConnect.
И что произойдёт если мы изменили политику доступа? Нужно ли будет пользователю «перелогиниться» чтобы политики применились к нему?
Я правильно из всего этого понял, что по факту роутинг во всех Cisco роутерах до ISR 4300 (то есть вся линейка ISR G2) осуществлялся «софтварно»?
Есть что то подобное в комплекте данного софта?
Можно ли сделать учётку в своём домене сделать администратором этого же домена?
Сейчас в качестве администратора можно подключить только ящик в mail\list\bk\inbox. Грустно.
Но смысла особого нет, да
Мы тогда к одному компу подрубали вторую мышь через COM и играли на Split Screen-е с утра до ночи. Даже не ели особо