Ciao!
Ho dispositivi Firepower con ASA.
Vorrei usare una porta specifica per il portale web (principalmente usata per scaricare il client VPN) per bloccare l’accesso da Internet.
Il problema è che se la cambio, viene modificata anche la porta VPN SSL usata per le connessioni VPN.
Non riesco a trovare come farlo separatamente sulla CLI e se la cambi tramite l’ASDM nel menu “Clientless SSL VPN Access”, questa cambierà automaticamente anche nel menu “Network (Client) Access”.
C’è qualche modo per cambiarla senza influire sulla porta VPN SSL?
Grazie in anticipo, buona giornata!
Qual è lo scopo principale di questo?
La risposta corretta è un ACL control-plane sull’interfaccia esterna con un gruppo di oggetti blacklist di IP.
Bloccare gli attacchi di brute force sull’autenticazione che abbiamo sul portale web.
Implementa autenticazione tramite certificato macchina + utente/password. Quando viene avviata una connessione AnyConnect, avviene prima il controllo del certificato. Se passa, allora l’AnyConnect chiederà user/pass. Se fallisce il controllo del certificato, nessun popup. Questo elimina gli attacchi di password spray.
Grazie per la tua risposta.
Sembra una buona opzione, ma non ho mai implementato il certificato macchina.
Abbiamo una vasta gamma di dispositivi che si connettono al nostro VPN, inclusi molti computer che non gestiamo.
È possibile implementare il certificato macchina in questo caso?
Conosci risorse utili sui certificati macchina che possa leggere o puoi spiegarmi come dovrebbe funzionare?
Sembra molto promettente!
Grazie mille per questo, lo implementerò al più presto e vedrò quanto è efficace.