user based network security

Hi, I believe you can use the HTTP Content Filter for per-user access.

If you need more than that, you could use static IPs or dhcp reservations to control access per PC.

Barry

Ninja, maybe you could tell us a little bit more about what you want to control and what threats you are trying to mitigate.  In reading your question, I heard, "This is the solution I have had to use with SonicWall, can I put the same solution in place with Astaro?"

As BarryG implies, there may be an easier, more-powerful way with Astaro to do what you want.

Cheers - Bob

Hi.

We restrict access to specific destination IP addresses and ranges for not only http/https traffic but also for ssh, rdp etc - multiprotocol.
AD groups are defined that contain the users that are able to connect to these restricted systems, the rest are denied access.

On the sonic using the ldap plugin we can authenticate using the webporta,l at that point the approved users and groups can access the systems. If you are unauthenticated or not approved access is denied.

We have a pretty flat network topology so I can't restrict user access based on subnet range. I would prefer not to use IP address as a basis for access control - it does not provide the level of security required and makes management a bit messy.


Your help appreciated.

If there's only one group that's allowed to use these protocols, you might consider the SOCKS proxy in authentication mode.  Otherwise, like Barry said, if you have a Web Security subscription, you easily could run it in AD-SSO or other authentication mode.  If you don't have Web Security, but do have Network Security, then you could have users log into the User Portal to authenticate themselves.

Yesterday, I added my document Configuring the HTTP Proxy with AD in Astaro V7.5 to the Astaro KnowledgeBase; it has the information you'll need to be able to configure AD and user groups even if you don't have Web Security.  Once you configure a backend user group, Astaro automatically will create a network object that you can use in packet filter rules.

Cheers - Bob

Hi.

We use the proxy in AD SSO mode.
Is this capable of integrating with the packet filter to restrict defined protocols to specific IP addresses/ranges?

thanks
Ninja

Yes - I'm sorry that my last post was not clearer.

If you are using AD-SSO, then you already have a backend group.  If that group is named "Backend Users" then you will find a network object named "Backend Users (User Group Network)" that will contain the IP of each person authenticated.

You can use "Backend Users (User Group Network)" with any traffic selector including those in packet filter rules.

Cheers - Bob

But what if he wants different rules for different users?

Barry

If he has different groups, each group will have an associated network object that can be used in the same way.

Cheers - Bob

Thanks for the info.
Having looked at the network definitions which contains the backend AD group as well as the individual AD user accounts that have been populated on the astaro each under IP shows "unresolved".
Is this expected or shouldn't I be able to view the IP associated with the AD user?

Once the user is active, the IPs will be added dynamically to the group.  Until the user authenticates, the IP can't be known.