cisco asa 5505 filtrage par adresse MAC possible ?

cisco asa 5505 filtrage par adresse MAC possible ? - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 22-07-2013 à 20:14:06    

Bonjour,
 
je débute sur cisco, j'ai pris un serveur dédié Windows server 2008 devant lequel il y a un cisco asa 5505 en ASDM 6.4
 
je voudrais autoriser uniquement des ordinateurs connus à accéder à Windows par RDP, seulement la plupart des ordinateurs sont en DHCP
 
J’ai pensé à mettre un dyndns sur un poste et le déclarer comme objet avec FQDN l'adresse dyndns, ça ne marche pas, en revanche ça marche si je mets l'IP mais ça ne va pas puisque l'ip change.
 
Dernier recourt serait de filtrer sur l'adresse MAC mais les règles d'accès ne permet pas ce genre de chose.
 
Comme je n'y connais pas grand-chose, si quelqu'un peut me conseiller, comment résoudre ce problème
 
merci d'avance

Reply

Marsh Posté le 22-07-2013 à 20:14:06   

Reply

Marsh Posté le 22-07-2013 à 23:40:35    

Le filtrage par adresse MAC ne sera pas efficace s'il y a ne serait ce qu'un équipement de routage entre tes serveurs et ton cisco.
 
Ne pourrais tu pas passer par une solution applicative genre mise en place de certificats sur tes postes clients pour autoriser la connection RDP ? Genre IPSEC + certificats, ou un RDS Gateway.

Reply

Marsh Posté le 23-07-2013 à 06:51:34    

merci ccp6128 pour ta réponse
effectivement RDS ou IPSEC pourrait être une solution
Avant d'aller sur ce terrain je voulais trouver une solution "plus light", en exploitant le potentiel du asa 5505
je vois des centaines de tentatives de connexion sur RDP, ce qui est assez flippant ! l'idée était de les empêcher en amont.
 
pour ce qui est du cisco en fait c'est un truc tout simple, il y a le serveur puis le cisco en mode transparent. aucun autre équipement entre les 2.
 
S'il y a quelque chose que je puisse faire sur le cisco pour empecher ces tentatives de connexion, tout en permettant aux postes autorisés de passer (sans nécessairement mettre du IPSEC ou RDS en place), je suis preneur.
 
je suis sur une autre piste, mais pas sure que ça soit bien, 2 softs : rdpguard et cyberarms => ils promettent de bloquer les tentatives de connexion sur RDP, ça marche un peu comme fail2ban sur linux
je ne sais pas si quelqu'un a déjà testé ?


Message édité par thevirtual le 23-07-2013 à 06:52:36
Reply

Marsh Posté le 07-10-2013 à 11:52:44    

Bonjour,
 
Tu peux publier des connexions RDP, citrix, page intranet, fichiers etc... directement via le VPN SSL de ton ASA.
Tes utilisateurs se connectent sur la page web de ton ASA, s'authentifient (radius, ldap, local users...) puis tu leurs présente des raccourcis, qui peuvent être des connexions RDP ( utilise Java dans leur navigateur, aucun programme à installer côté client)
Il ne reste plus qu'a filtrer qui accède à quoi.
 
Je te conseil de lire ça : http://www.cisco.com/en/US/product [...] 0603.shtml
 
L'avantage de cette solution est qu'il n'y a aucun port à ouvrir, et qu'il y a une authentification avant la connexion RDP.
Ça permet d'exploiter l'ASA et tu économises des serveurs en DMZ.  
 
Bon courage et tiens nous au courant :)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed