Оптимизация узла доступа к Internet

[m0ps]

В данный момент работает довольно сумасшедшая связка доступа пользователей в инет.
Есть Cisco ASA. На eth0 и eth1 - висят внешние сети (failover через sla), eth2 - dmz, eth3 - внутренняя сеть. в dmz стоит прокси squid с sams-ом с авторизацией по ip, на нем же настроены acl-ы для юзверей. На пользовательских ПК настроено L2TP IPSEC подключение к Cisco ASA с авторизацией из радиуса. в IE прописан адрес прокси.
Хотелось бы этот бардак привести в порядок и оптимизировать

Как хотелось бы что бы это добро выглядело:
Пользователь подключается через L2TP IPSEC к Cisco ASA с авторизацией в AD (ну или хотя бы что бы пользователь брался от-туда). На основе группы/имени пользователя вешать на на него ACL-ы ограничивающие доступ к определенным сайтам (либо дающие неограниченный доступ). Ну и прозрачное проксирование на сквид для обработки страничек режиком.

А теперь вопрос:
Возможно ли это организовать, и если да - подкиньте ссылки на циско.ком, либо еще куда.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[DenisKh]

Вы в этой цепочке хотите прокси оставить или убрать ?
Гляньте вот этот документ. Надеюсь он поможет
http://www.cisco.com/en/US/docs/securit ... #wp1043588

[DenisKh]

И вот еще
http://www.cisco.com/en/US/docs/securit ... #wp1094668
http://www.cisco.com/en/US/docs/securit ... #wp1574952
Настройка аутентификации с LDAP и Radius
Если будете организовывать прозрачное проксирование ASA wccp + Squid не забудьте обновить ASA до версии 8.2(2),иначе будут проблемы.

[m0ps]

про лдап спасибо - принцип ясен.

в acl нельзя указывать url, как же тогда ограничивать пользователя по списку разрешенных узлов? есть ли какие решения этой проблемы?

Вы в этой цепочке хотите прокси оставить или убрать?

хочу оставить его только в качестве кеша с банерорезалкой (rejik)

[DenisKh]

в acl нельзя указывать url, как же тогда ограничивать пользователя по списку разрешенных узлов? есть ли какие решения этой проблемы?

Первое что пришло в голову - squidGuad + cвоя бд по адресам.

[m0ps]

в acl нельзя указывать url, как же тогда ограничивать пользователя по списку разрешенных узлов? есть ли какие решения этой проблемы?

Первое что пришло в голову - squidGuad + cвоя бд по адресам.

ай, это не то... идея в том, что б на самом прокси сервере ничего не настраивать, а все рулить с асы. дело в том, что юзвери делятся на 3 группы: 1. неограниченный доступ, 2. доступ только к одной определенной онлайн службе, 3. самая проблемная, ее и группой назвать сложно, т.к. это группа пользователей каждый юзверь которой имеет доступ к своему уникальному списку узлов.

[DenisKh]

К сожалению или счастью циска работает только с узлами в сети..а не с пользователями
В том контексте который вы описали хорошо будет работать Microsoft ISA , у нее работа с "людьми" лучше налажена

[m0ps]

В том контексте который вы описали хорошо будет работать Microsoft ISA

шутник
нашел я решение у Cisco отвечающее практически всем моим требованиям - Cisco ACS. остался единственный вопрос: в acl только ip адреса можно использовать, а мне нужно ограничивать по url-ам. т.к. при смене ip узла придется править acl-ы.

видимо без сквида не обойтись...

[DenisKh]

На счет Ms ISA не шутил,просто надо уметь готовить.
А что касательно ACS то он вроде как платный. И схема получится не чуть ни проще )

[m0ps]

На счет Ms ISA не шутил,просто надо уметь готовить.

да я к том, что здесь микрософт особо рекламировать не стоит

А что касательно ACS то он вроде как платный.

да, и стоит оч немало.

И схема получится не чуть ни проще )

почему же? можно будет рулить авторизацией не только на асе, но и на остальных кошачьих девайсах. юзвери из AD будут браться, да и ACL можно "пофамильно" назначать (есть сервисы, которые крутятся в DMZ и есть юзвери в локалке, которым надо иметь к ним доступ).

в общем надо еще изучать. главное возможность авторизации из AD есть

[m0ps]

ха... вроде нашел... оказывается есть у асы возможность фильтровать по урлу:
https://supportforums.cisco.com/docs/DO ... 1195.node0

[DenisKh]

Такая фильтрация может дать очень сильную нагрузку на кошку..
Если нужна фильтрация то так же можно посмотреть в сторону WebSense..Но у них подписка платная

[m0ps]

Такая фильтрация может дать очень сильную нагрузку на кошку..
Если нужна фильтрация то так же можно посмотреть в сторону WebSense..Но у них подписка платная

ну сейчас нагрузка по процу при пиках - не выше 10%. думаю производительности хватит. про вебсенс - почитаю, спасибо за наводку.

[DenisKh]

Вебсенс это тот же SquidGuard - только за деньги

[m0ps]

ладно - что-то я смотрю, ничего проще чем сейчас не получается... ну только авторизацию из AD прикрутить

[DenisKh]

Ну вобщем я это сразу и сказал Обычно так всегда получается
Хочется как проще а получается как всегда