La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité - Configuration Client VPN SSL sur IOS Cisco avec SDM

Publié parQuentin Damours Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Sécurité - Configuration Client VPN SSL sur IOS Cisco avec SDM"— Transcription de la présentation:

1 Sécurité - Configuration Client VPN SSL sur IOS Cisco avec SDM
ccnp_cch

2 Sommaire ● Introduction
- Prérequis Composants utilisés - Schéma du réseau - Tâches de préconfiguration ● Rappel ● Configurer le client VPN SSL sur IOS Cisco - Etape 1 : Installer et valider le logiciel client sur le routeur avec IOS Cisco - Etape 2 : Configurer un contexte WebVPN et une passerelle WebVPN avec SDM Wizard politique de groupe Etape 3 : Configurer la base de données utilisateur pour les clients VPN SSL Etape 4 : Configurer les ressources offertes aux utilisateurs - Résultats ● Vérification - Procédure - Commandes ● Résolution de problèmes - Problème de connectivité SSL Commandes pour résolution de problèmes ccnp_cch

3 Introduction Le client VPN SSL fournit un tunnel complet pour des communications sécurisées avec le réseau interne de l'entreprise. Vous pouvez configurer des accès basés sur l'utilisateur ou vous pouvez créer différents contextes WebVPN dans lesquels vous placez un ou plusieurs utilisateurs. La technologie VPN SSL ou WebVPN est supportée sur les plateformes IOS routeur suivantes: ● Cisco 870, 1811, 1841, 2801, 2811, 2821 and 2851 series routers ● Cisco 3725, 3745, 3825, 3845, 7200 and 7301 series routers Vous pouvez configurer la technologie VPN SSL selon trois modes: ● VPN SSL sans client (WebVPN) - Permet à un client distant qui a seulement besoin d'un navigateur Web avec SSL d'accéder à des serveurs Web HTTP ou HTTPS d'un réseau LAN d'entreprise. De plus le VPN SSL sans client permet l'accès pour l'ex- ploration de fichiers Windows au travers du protocole CIFS (Common Internet File System). Outlook Web Access est un exemple d'accès HTTP ● VPN SSL client léger (Port Forwarding) - Permet à un client distant de télécharger un petit Applet Java et autorise l'accès sécurisé à des applications TCP qui utili- sent des ports statiques. POP3 (Post Office Protocol 3), SMTP (Simple Mail Transfer Protocol), IMAP (Internet Message Access Protocol), SSH (Secure Shell) et Telnet sont des exemples d'accès sécurisés. Comme les fichiers de la machine locale sont modifiés, les utilisateurs doivent avoir le privilège d'administration locale pour l'utilisation de cette méthode. Cette méthode VPN SSL ne fonctionne pas avec des applications qui utilisent des ports dynamiques telles que les applications FTP (File Transfer Protocol) Note: UDP (User Datagram Protocol) n'est pas supporté ● Client VPN SSL (Full Tunnel mode) - Télécharge un petit client sur le poste de tra- vail distant et autorise un accès sécurisé complet aux ressources d'un réseau in- terne d'entreprise. Vous pouvez charger le client VPN SSL sur la station de travail distante de manière permanente ou vous pouvez retirer le client une fois que la session est terminée. Prérequis Assurez-vous que vous avez ces prérequis avant de tenter cette configuration: ● Microsoft Windows 2000 ou XP ● Navigateur Web avec SUN JRE 1.4 ou suivant ou avec un contrôle ActiveX ● Privilèges d'administration locale sur le client. ● Un des routeurs listés dans Introduction avec une image IOS Advanced Security −12.4(6)T ou suivante. ● Cisco Security Device Manager (SDM) version 2.3. ccnp_cch

4 Composants utilisés Schéma du réseau ccnp_cch
● Routeur Cisco 3825 series avec IOS Release 12.4(9)T ● Routeur Cisco et Security Device Manager (SDM) − version 2.3.1 Schéma du réseau PC ou Portable http https Linux Passerelle WebVPN OWA Ferme de Serveurs Réseau Public Cisco 3825 Citrix Navigateur Web avec SSL CIFS Tâches de préconfiguration Avant de commencer, exécutez ces tâches: Configurez le routeur pour SDM (Optionnel) Les routeurs avec la licence de support de sécurité appropriée ont l'application SDM déjà chargée en flash Téléchargez une copie du client VPN SSL sur votre PC d'administration Configurez la date, l'heure et la zone de temps corrects pour configurer le certificat numérique sur le routeur. Rappels Le client VPN SSL est initialement chargé sur le routeur passerelle WebVPN. Chaque fois que le client se connecte, une copie du client VPN SSL est téléchargée dynamique- ment sur le PC. Pour changer ce comportement, configurez le routeur pour permettre au logiciel de résider de manière permanente sur l'ordinateur du client. ccnp_cch

5 Configurer le client VPN SSL sur IOS Cisco
Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Cet exemple de configuration utilise SDM Wizard pour valider le fonctionnement du client VPN SSL sur l'IOS du routeur. Pour configurer le client VPN SSL sur l'IOS du routeur, exécutez ces étapes: Installez et validez le logiciel client VPN SSL sur l'IOS du routeur Configurez un contexte WebVPN et une passerelle WebVPN avec le SDM Wizard Configurez la base de données utilisateur pour les clients VPN SSL Configurez les ressources accessibles par les utilisateurs. Etape 1. Installer et valider le logiciel client VPN SSL sur l'IOS du routeur. Pour installer et valider le logiciel client VPN SSL sur l'IOS du routeur, exécutez ces étapes: 1. Dans l'application SDM, cliquez sur Configure et ensuite cliquez sur VPN. 2. Développez WebVPN et cliquez sur Packages. ccnp_cch

6 3. Dans la zone Cisco WebVPN Client Software, cliquez sur le bouton Browse.
La boîte de dialogue Select SVC Location s'affiche. 4. Cliquez sur le bouton radio My Computer et ensuite cliquez sur Browse pour loca liser le paquetage SVC sur votre PC d'administration. 5. Cliquez sur OK et ensuite cliquez sur le bouton Install. ccnp_cch

7 ccnp_cch

8 6. Cliquez sur Yes et ensuite cliquez sur OK
6. Cliquez sur Yes et ensuite cliquez sur OK Une installation réussie d'un client VPN SSL est montrée dans l'image qui suit. ccnp_cch

9 Etape 2. Configurez un contexte WebVPN et une passerelle WebVPN
avec le SDM Wizard. Pour configurer un contexte WebVPN et une passerelle WebVPN avec SDM Wizard, exécutez ces étapes Une fois que le Client VPN SSL est installé sur le routeur, cliquez sur Configure et ensuite cliquez sur VPN Cliquez sur WebVPN et ensuite cliquez sur l'onglet Create WebVPN. ccnp_cch

10 3. Cochez le bouton radio Create a New WebVPN et ensuite cliquez sur Launch the
selected task. La boîte de dialogue WebVPN Wizard s'affiche. 4. Cliquez sur Next. ccnp_cch

11 5. Entrez l'adresse IP de la nouvelle passerelle WebVPN et entrez un nom unique pour
ce contexte WebVPN. Vous pouvez créer différents contextes pour la même adresse IP (passerelle Web- VPN) mais chaque nom doit être unique. Dans cet exemple utilise l'adresse IP uti lisée est : 6. Cliquez sur Next et passez à l'étape suivante. ccnp_cch

12 Etape 3. Configurer la base de données utilisateur pour les clients
VPN SSL Pour l'authentification, vous pouvez utiliser un serveur AAA, des utilisateurs locaux ou les deux. Cet exemple de configuration utilise des utilisateurs crées localement pour l'authentification Après avoir terminé l'étape 2, cliquez sur le bouton radio Locally on this router situé dans la boîte de dialogue WebVPN Wizard User Authentication. Cette boîte de dialogue vous permet d'ajouter des utilisateurs à la base de données locale. ccnp_cch

13 ccnp_cch 2. Cliquez sur Add et entrez l'information utilisateur.
3. Cliquez sur OK et ajoutez d'autres utilisateurs si cela est nécessaire. 4. Après avoir ajouté les utilisateurs nécessaires, cliquez sur Next et passez à l'étape suivante. ccnp_cch

14 Etape 4. Configurer les ressources accessibles par les utilisateurs La boîte de dialogue Configure Intranet Websites WebVPN Wizard vous permet de sé- lectionner les ressources Intranet que vous voulez offrir à vos clients VPN SSL. Pour configurer les ressources à offrir aux utilisateurs, exécutez ces étapes: 1. Cliquez sur le bouton Add situé dans la boîte de dialogue Configure Intranet Websites. ccnp_cch

15 2. Entrez un nom pour la liste URL et remplissez le champ Heading.
3. Cliquez sur le bouton Add et choisissez Website pour ajouter les sites web que vous voulez offrir à ce client. 4. Entrez l'URL et l'information de lien et ensuite cliquez sur OK. 5. Pour ajouter l'accès aux serveurs OWA Exchange, cliquez sur OK et choisissez ccnp_cch

16 6. Cochez la case Outlook Web Access, entrez l'étiquette URL et l'information de lien et ensuite cliquez sur OK. 7. Après avoir ajouté les ressources désirées, cliquez sur OK et ensuite cliquez sur Next. La boîte de dialogue WebVPN Wizard full tunnel s'affiche. ccnp_cch

17 ccnp_cch 8. Vérifiez que la case Enable Full Tunnel est cochée.
9. Créez un pool d'adresses IP que les clients de ce contexte WebVPN peuvent utiliser Le pool d'adresses doit correspondre aux adresses disponibles et routables sur vo- tre Intranet. 10. Cliquez sur le symbole (...) après le champ IP Address Pool et choisissez Create a new IP Pool. 11. Dans la boîte de dialogue Add IP Local Pool entrez un nom pour le pool et cliquez sur Add. ccnp_cch

18 12. Dans la boîte Add IP address range, entrez l'intervalle d'adresse du pool pour les clients et cliquez sur OK. Note: Le pool d'adresse IP doit être dans l'intervalle d'une interface directement connectée au routeur. Si vous voulez utiliser un intervalle de pool différent, vous pouvez créer une adresse d'interface loopback associée avec le nouveau pool pour satisfaire ces exigences. ccnp_cch

19 ccnp_cch 13. Cliquez sur OK.
14. Si vous voulez que les clients distants stockent de manière permanente une copie du client VPN SSL de manière permanente, cochez la case Keep the Full Tunnel Client Software installed on client's PC. Décochez cette option pour que le rou teur charge le logiciel client VPN SSL à chaque fois que le client se connecte Configurez les options avancées du tunnel telles que le tunnel partagé, le DNS partagé, les paramètres de proxy de navigation et les serveurs DNS et WINS. Cisco recommande que vous configuriez au moins les serveurs DNS et WINS Pour configurer les options de tunnel avancées, exécutez ces étapes: a. Cliquez sur le bouton Advanced Tunnel Options ccnp_cch

20 b. Cliquez sur l'onglet DNS and WINS Servers et entrez l'adresse IP primaire pour
les serveurs DNS et WINS. c. Pour configurer le partage de tunnel et les paramètres de proxy de navigation, cli- quez sur l'onglet Split Tunneling ou Browser Proxy Settings. ccnp_cch

21 16. Après avoir configuré les options nécessaires, cliquez sur Next.
17. Personnalisez la WebVPN Portal Page ou sélectionnez les valeurs par défaut. La fenêtre Customize WebVPN Portal Page vous permet de personnaliser l'appa- rence de la WebVPN Portal Page pour vos clients. ccnp_cch

22 18. Après avoir configuré la page du portail WebVPN, cliquez sur Next puis cliquez
sur Finish et ensuite cliquez sur OK. WebVPN Wizard transmet les commandes au routeur. 19. Cliquez sur OK pour sauvegarder votre configuration Note: Si vous recevez un message d'erreur, la licence WebVPN est peut-être incor- recte Un exemple de message d'erreur est montré dans l'écran suivant: Pour corriger un problème de licence, exécutez ces étapes : a. Cliquez sur Configure et ensuite cliquez sur VPN. b. Développez WebVPN et cliquez sur l'onglet Edit WebVPN. ccnp_cch

23 c. Sélectionnez votre contexte nouvellement crée et cliquez sur le bouton Edit.
ccnp_cch

24 d. Dans le champ Maximum Number of users entrez le nombre correct d'utilisateurs
pour votre licence. e. Cliquez sur OK et ensuite cliquez sur OK. Les commandes sont entrées dans le fichier de configuration. f. Cliquez sur Save ensuite cliquez sur Yes pour accepter les modifications. ccnp_cch

25 ccnp_cch Résultats Le SDM a crée ces commandes de configuration.
ausnml−3825−01 ausnml−3825−01#show run Building configuration... Current configuration : 4393 bytes ! ! Last configuration change at 22:24:06 UTC Thu Aug by ausnml ! NVRAM config last updated at 22:28:54 UTC Thu Aug by ausnml version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password−encryption hostname ausnml−3825−01 boot−start−marker boot system flash c3825−adventerprisek9−mz.124−9.T.bin boot−end−marker no logging buffered aaa new−model !−−− Ajouté par le SDM pour l'authentification locale aaa aaa authentication login sdm_vpn_xauth_ml_1 local aaa authentication login sdm_vpn_xauth_ml_2 local aaa authentication login sdm_vpn_xauth_ml_3 local aaa authentication login sdm_vpn_xauth_ml_4 local aaa session−id common resource policy ip cef ip domain name cisco.com voice−card 0 no dspfarm !−−− Information de certificat numérique crypto pki trustpoint TP−self−signed− enrollment selfsigned subject−name cn=IOS−Self−Signed−Certificate− revocation−check none rsakeypair TP−self−signed− crypto pki certificate chain TP−self−signed− certificate self−signed 01 E B7 A D0609 2A F70D 30312E30 2C F532D 53656C66 2D E65642D D E17 0D ccnp_cch

26 365A170D A E302C F 532D5365 6C662D E65 642D D F300D 06092A F70D D F43F6DD9 32A264FE 4C5B DC 6EC65B D363BC4C 977C3810 !−−− Supprimé pour abréger quit username wishaw privilege 15 secret 5 $1$r4CW$SeP6ZwQEAAU68W9kbR16U. username ausnml privilege 15 password 7 044E1F B username sales privilege 15 secret 5 $1$/Lc1$K.Zt41zF1jSdKZrPgNK1A. username newcisco privilege 15 secret 5 $1$Axlm$7k5PWspXKxUpoSReHo7IQ1 ! interface GigabitEthernet0/0 ip address ip virtual−reassembly duplex auto speed auto media−type rj45 no keepalive interface GigabitEthernet0/1 ip address !−−− Les clients reçoivent une adresse de ce pool ip local pool Intranet ip route ip http server ip http authentication local ip http secure−server ip http timeout−policy idle 600 life requests 100 control−plane line con 0 stopbits 1 line aux 0 line vty 0 4 scheduler allocate !−−− identifie la passerelle et le port webvpn gateway gateway_1 ip address port 443 http−redirect port 80 ssl trustpoint TP−self−signed− inservice !−−− Paquetage du client VPN SSL webvpn install svc flash:/webvpn/svc.pkg !−−− Contexte WebVPN webvpn context sales title−color #CCCC66 secondary−color white ccnp_cch

27 text−color black ssl authenticate verify all ! !−−− Ressources disponibles pour ce contexte url−list "WebServers" heading "Intranet Web" url−text "SalesSite" url−value " url−text "OWAServer" url−value " nbns−list NBNS−Servers nbns−server master !−−− Politique de groupe pour le contexte policy group policy_1 functions svc−enabled svc address−pool "Intranet" svc default−domain "cisco.com" svc keep−client−installed svc dns−server primary svc wins−server primary default−group−policy policy_1 aaa authentication list sdm_vpn_xauth_ml_4 gateway gateway_1 domain sales max−users 2 inservice end Vérification Utilisez cette section pour confirmer que votre configuration fonctionne correctement. Procédure Pour tester votre configuration, entrez dans votre naviga- teur avec SSL. Commandes Plusieurs commandes show sont associées avec le WebVPN. Vous pouvez exécuter ces commandes au niveau de l'interface ligne de commande (CLI) pour afficher les statis- tiques et d'autres informations. ccnp_cch

28 Résolution de problèmes Utilisez cette section pour résoudre des problèmes liés à votre configuration. Problème de connectivité SSL Problème: les clients VPN SSL ne peuvent pas se connecter au routeur. Solution: Un nombre d'adresses IP insuffisant peut causer ce problème. Augmentez le nombre d'adresses IP dans le pool d'adresses configuré sur le routeur pour résoudre ce problème. Commandes Plusieurs commandes clear sont associées avec le WebVPN. Vous pouvez exécuter ces commandes au niveau de l'interface ligne de commande (CLI). Plusieurs commandes debug sont associées avec le WebVPN. Vous pouvez exécuter ces commandes au niveau de l'interface ligne de commande (CLI). ccnp_cch

Télécharger ppt "Sécurité - Configuration Client VPN SSL sur IOS Cisco avec SDM"

Présentations similaires

GOOGLE MAPS ANDROID API V2. INTRODUCTION TO THE GOOGLE MAPS ANDROID API V2.

GOOGLE MAPS ANDROID API V2. INTRODUCTION TO THE GOOGLE MAPS ANDROID API V2.
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Client VPN SSL avec ASDM

Client VPN SSL avec ASDM
Catalyst 500E - Réinitialisation avec les Paramètres usine

Catalyst 500E - Réinitialisation avec les Paramètres usine
ATS8500 Standalone Downloader.

ATS8500 Standalone Downloader.
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Client léger VPN SSL avec ASDM

Client léger VPN SSL avec ASDM
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Sécurité - VPN - Configurer le client VPN SSL

Sécurité - VPN - Configurer le client VPN SSL
TP Sécurité - Configuration de Base d'un Routeur avec SDM

TP Sécurité - Configuration de Base d'un Routeur avec SDM
Sécurité - Configuration VPN SSL sans client (WebVPN) sur

Sécurité - Configuration VPN SSL sans client (WebVPN) sur
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)

Registre de Configuration (Configuration Register)
Commande ip nat service

Commande ip nat service
Sécurité - VPN - Configurer la mise à jour du client

Sécurité - VPN - Configurer la mise à jour du client
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus

Présentations similaires

Annonces Google