La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Client léger VPN SSL avec ASDM

Publié parÉlisabeth Laroche Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Client léger VPN SSL avec ASDM"— Transcription de la présentation:

1 Client léger VPN SSL avec ASDM
Sécurité - ASA - Configuration Client léger VPN SSL avec ASDM ccnp_cch

2 Sommaire ● Introduction
- Prérequis Composants utilisés Schéma du réseau ● Rappel ● Configurer le Clien Léger VPN - Valider l'accès WebVPN sur l'ASA - Configurer les caractéristiques du "Port Forwarding" Créer une Politique de Groupe et la lier à la Port Forwarding List Créer un Groupe Tunnel et le lier à la Politique de Groupe Créer un Utilisateur et ajouter cet utilisateur à la Politique de Groupe ● Vérification - Procédure Commandes ● Résolution de problèmes - Est-ce que le processus de handshake SSL est complet? Est-ce que le client léger VPN SSL est opérationnel? Commandes ccnp_cch

3 Introduction La technologie Client léger VPN SSL permet un accès sécurisé à des applications qui ont des ports statiques telles qur Telnet (23), SSH (22), POP3 (110), IMAP4 (143) et SMTP (25). Vous pouvez utiliser le client léger comme une application orientée utilisa- teur ou une application orientée sur une politique ou les deux. Ce qui veut dire que vous configurez utilisateur par utilisateur ou vous pouvez créez des groupes de poli- tiques dans lesquels vous incluez un ou plusieurs utilisateurs. ● "Clientless SSL VPN" (WebVPN) - Fournit un client distant qui requiert uniquement un navigateur Web avec des capacités SSL pour accéder à des serveurs Web HTTP ou HTTPS sur un réseau local (LAN) d'entreprise. De plus, VPN SSL sans client fournit l'accès pour l'exploration de fichiers Windows au travers du protocole CIFS (Common Internet File System). Outlook Web Access est un exemple d'accès HTTP Reférez-vous au document "Configuration VPN SSL sans client sur l'ASA" pour obte nir plus d'informations sur le VPN SSL sans client. ● Client léger VPN SSL (Port Forwarding) - Fournit un client distant qui télécharge une petite applet Java et autorise l'accès sécurisé pour des applications TCP qui utilisent des numéros de ports statiques. POP3 (Post Office Protocol 3), SMTP (Simple Mail Transfer Protocol), IMAP (Internet Message Access Protocol), SSH (Secure Shell) et Telnet sont des exemples d'accès sécurisés. Comme les fichiers de la machine locale changent, les utilisateurs doivent avoir les privilèges d'admi nistration locale pour utiliser cette méthode. Cette méthode de VPN SSL ne fonc- tionne pas avec des applications qui utilisent des ports dynamiques comme des applications de transfert de fichiers telle que FTP (File Transfer Protocol) Note: UDP n'est pas supporté. ● Client VPN SSL (Mode Tunnel) - Télécharge un petit client sur la station de travail distante et autorise l'accès total sécurisé aux ressources d'un réseau d'entreprise Vous pouvez télécharger le Client VPN SSL vers la station de travail de manière permanente ou vous pouvez retirer le client une fois que la session sécurisée est fermée. Reférez-vous au document "Configuration Client VPN SSL sur l'ASA avec l'ASDM" pour obtenir plus d'informations sur le Client VPN SSL. Ce document décrit une configuration simplepour le client léger VPN SSL sur un ASA (Adaptive Security Appliance). La configuration permet à un utilisateur de faire un accès Telnet sur un routeur situé du coté interne (inside) de l'ASA. ccnp_cch

4 Prérequis Avant de tenter cette configuration assurez-vous que vous avez les prérequis suivants pour les stations clientes: ● Navigateur Web avec SSL. ● Java RJE SUN version 1.4 ou suivantes ● Cookies validés ● Bloqueur de "pop-up" dévalidé ● Privilèges d'administration locale Composants utilisés Les informations contenues dans ce document sont basées sur les versions matériel- les et logicielles suivantes: ● Cisco Adaptive Security Appliance 5510 series ● Cisco Adaptive Security Device Manager 5.2(1) Note: Reférez-vous à "Autoriser l'accès HTTPS pour l'ASDM afin d'autoriser l'ASA à être configuré avec l'ASDM. ● Cisco Adaptive Security Appliance Software Version 7.2(1) ● Client distant Microsoft Windows XP Professional (SP2) Schéma du réseau Ce document utilise la configuration réseau décrite dans cette section. Quand un utilisateur distant initie une session avec l'ASA, le client télécharge un petit applet Java sur la station. Une liste de ressources préconfigurées est présentée au client. Accès Http ou Https PC ou PC portable POP3 Passerelle WebVPN Linux Internet Mac Client Léger SMTP Navigateur avec SSL ccnp_cch

5 Rappel Pour démarrer une session, le client distant ouvre une session navigateur SSL vers l'interface externe de l'ASA. Une fois que la session est établie, l'utilisateur peut uti- liser les paramètres configurés sur l'ASA pour commencer une session Telnet ou l'accès à une application. L'ASA assure la connexion sécurisée et autorise l'utilisateur à accèder à l'équipement. Note: Les listes d'accès internes ne sont pas nécessaires pour ces connexions car l'ASA sait ce qui constitue une session légale. Configurer le Clien Léger VPN Pour configurer le client léger VPN SSL sur l'ASA, exécutez ces étapes: 1. Valider l'accès WebVPN sur l'ASA 2. Configurer les caractéristiques du "Port Forwarding" Créer une Politique de Groupe et la lier à la Port Forwarding List Créer un Groupe Tunnel et le lier à la Politique de Groupe Créer un Utilisateur et ajouter cet utilisateur à la Politique de Groupe Etape 1. Valider l'accès WebVPN sur l'ASA Pour valider l'accès WebVPN sur l'ASA, exécutez ces étapes: Dans l'application ASDM, cliquez sur Configuration puis sur VPN. 2. Développez WebVPN et choisissez WebVPN Access. ccnp_cch

6 ccnp_cch 3. Sélectionnez l'interface et xliquez sur Enable.
4. Cliquez sur Apply, cliquez sur Save et ensuite cliquez sur Yes pour accepter les modifications. ccnp_cch

7 ccnp_cch Etape 2. Configurer les caractéristiques du "Port Forwarding"
Pour configurer les caractéristiques du "Port Forwarding", exécutez ces étapes: Développez WebVPN et choisissez Port Forwarding. 2. Cliquez sur le bouton Add. ccnp_cch

8 3. Dans la boîte de dialogue Add Port Forwarding List, entrez le nom de la liste et cliquez sur Add La boîte de dialogue Add Port Forwarding Entry apparaît. ccnp_cch

9 4. Dans la boîte de dialogue Add Port Forwarding Entry, entrez ces options: a. Dans le champ Local TCP Port, entrez un numéro de port ou acceptez la valeur par défaut. La valeur que vous entrez peut aller de 1024 à b. Dans le champ Remote Server, entrez l'adresse IP Cet exemple utilise l'adresse du routeur c. Dans le champ Remote TCP Port, entrez un numéro de port Cet exemple utilise le port 23. d. Dans le champ Description entrez une description puis cliquez sur OK. 5. Cliquez sur OK puis sur Apply Cliquez sur Save et ensuite cliquez sur Yes pour accepter les modifications. Etape 3. Créer une Politique de Groupe et la lier à la Port Forwarding List Pour créer une politique de groupe et la lier à la "port forwarding list", exécutez ces étapes: Développez General puis choisissez Group Policy. ccnp_cch

10 2. Cliquez sur le bouton Add et choisissez Internal Group Policy
2. Cliquez sur le bouton Add et choisissez Internal Group Policy La boîte de dialogue AddInternal Group Policy apparaît. 3. Entrez un nom ou acceptez le nom de politique de groupe par défaut Décochez la case Tunneling Protocols Inherit et cochez la case WebVPN Cliquez sur l'onglet situé en haut de la boîte de dialogue et ensuite cliquez sur l'onglet Functions Décochez la case Inherit et cochez les cases Enable auto applet download et Enable port forwarding comme le montre l'image suivante. ccnp_cch

11 2. Egalement dans l'onglet WebVPN, cliquez sur l'onglet Port Forwarding et décochez la case Port Forwarding Inherit. ccnp_cch

12 8. Cliquez sur la liste déroulante Port Forwarding List et choisissez la port forwarding liste que vous avez créée à l'étape Décochez la case Applet Name Inherit et changez le nom dans le champ de texte Le client affiche le "Applet Name" à la connexion Cliquez sur OK et ensuite sur Apply. 11. Cliquez sur Save et ensuite sur Yes pour accepter les modifications. ccnp_cch

13 Etape 4. Créer un groupe Tunnel et le lier à la politique de groupe
Etape 4. Créer un groupe Tunnel et le lier à la politique de groupe. Vous pouvez le groupe tunnel par défaut DefaultWebVPNGroup ou créer un nouveau groupe tunnel. Pour créer un nouveau groupe tunnel , exécutez ces étapes : 1. Développez General et choisissez Tunnel Group. 2. Cliquez sur Add et choisissez WebVPN Access La boîte de dialogue Add Tunnel Group apparaît. ccnp_cch

14 3. Entrez le nom dans le champ Name. 4
3. Entrez le nom dans le champ Name Cliquez sur la liste déroulante Group Policy et choisissez la politique de groupe créée à l'étape Cliquez sur OK Le groupe tunnel, la politique de groupe et les caractéristiques du port forwarding sont maintenant liées. ccnp_cch

15 Etape 5. Créer un utilisateur et ajuter cet utilisateur à la politique de groupe Pour créer un utilisateur et l'ajouter à la politique de groupe, exécutez ces étapes: Développez General et choisissez Users. 2. Cliquez sur le bouton Add La boîte de dialogue Add User Account apparaît. ccnp_cch

16 3. Entrez les valeurs pour les informations username, password et privilege et ensuite cliquez sur l'onglet VPN Policy. ccnp_cch

17 4. Cliquez sur la liste déroulante Group Policy et choisissez la politique de groupe que vous avez créée à l'étape 3. Cet utilisateur hérite des caractéristiques WebVPN et des politiques du groupe de politique sélectionné Cliquez sur OK et ensuite sur Apply. 6. Cliquez sur Save et ensuite sur Yes pour accepter les changements. ccnp_cch

18 Vérification ccnp_cch
Utilisez cette section pour confirmer que votre configuration fonctionne correctement. Procédure Cette procédure décrit comment déterminer la validité de la configuration et comment tester la configuration A partir de la station d'un client, entrez dans laquelle outside_ASA_IP_Address est l'URL SSL de l'ASA Une fois que le certificat numérique est accepté et que l'utilisateur est authentifié la page Web WebVPN service apparaît. ccnp_cch

19 Les informations d'adresse et de port requises pour accéder à l'application apparaîs sent dans colonne locale. Les colonnes Bytes Out et Bytes In affichent aucune acti vité car l'application n'a pas été appelée à ce moment là Utlisez un prompt DOS ou une autre application Telnet pour démarrer une session Telnet A l'invite de commande, entrez telnet Note: Cette commande fournit un exemple sur comment obtenir l'accès au port local affiché dans la page Web WebVPN Service de ce document. La commande ne comprend pas ":". Tapez la commande comme elle est décrite dans ce document. L'ASA reçoit la commande au travers de la session sécurisée et comme il garde la correspondance des informations, l'ASA sait ouvrir immédiatement une session à l'équipement correspondant. Une fois que vous avez entré le nom d'utilisateur et le mot de passe, l'accès est total. ccnp_cch

20 4. Pour vérifier l'accès à l'équipement, vérifiez les colonnes Bytes Out et Bytes In
comme cela est montré ici. Commandes Plusieurs commandes show sont associées au WebVPN. Vous pouvez exécuter ces commandes au niveau de la CLI (Command Line Interface) pour afficher des statisti- ques et d'autres informations. ccnp_cch

21 Résolution de problèmes Vous pouvez utiliser cette section pour résoudre des problèmes liés à votre configura- tion. Est-ce que le processus de handshake SSL est complet? Quand vous vous connectez à l'ASA, vérifiez si le log en temps réel affiche l'achèvement complet du handshake SSL. - Est-ce que le client léger VPN SSL est opérationnel? Commandes Est ccnp_cch

22 ccnp_cch Est-ce que le client léger VPN SSL est opérationnel?
Pour vérifier que le client léger VPN SSL est opérationnel, exécutez ces étapes: 1. Cliquez sur Monitoring et ensuite cliquez sur VPN Développez VPN Statistics et ensuite cliquez sur Sessions Votre session Client léger VPN SSL doît apparaître dans la liste des sessions Assurez-vous de filtrer par WebVPN comme le montre la copie d'écran. Commandes Plusieurs commandes debug sont associées au WebVPN. pour plus d'informations détaillées sur ces commandes, reférez-vous à "Using WebVPN Debug Commands". ccnp_cch

Télécharger ppt "Client léger VPN SSL avec ASDM"

Présentations similaires

Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Terminaux virtuels (VTY)

Terminaux virtuels (VTY)
Client VPN SSL avec ASDM

Client VPN SSL avec ASDM
Catalyst 500E - Réinitialisation avec les Paramètres usine

Catalyst 500E - Réinitialisation avec les Paramètres usine
le Split Tunneling pour les clients VPN

le Split Tunneling pour les clients VPN
Sécurité - ASA - Configuration VPN SSL sans client avec ASDM

Sécurité - ASA - Configuration VPN SSL sans client avec ASDM
Hot Standby Router Protocol (HSRP) - Partage de charge

Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Sécurité - VPN - Configurer le client VPN SSL

Sécurité - VPN - Configurer le client VPN SSL
TP Sécurité - Configuration de Base d'un Routeur avec SDM

TP Sécurité - Configuration de Base d'un Routeur avec SDM
Catalyst 500E - Mise à niveau de l'image logicielle

Catalyst 500E - Mise à niveau de l'image logicielle
- Configurer l'accès Client VPN SSL AnyConnect

- Configurer l'accès Client VPN SSL AnyConnect
Sécurité - Configuration VPN SSL sans client (WebVPN) sur

Sécurité - Configuration VPN SSL sans client (WebVPN) sur
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)

Registre de Configuration (Configuration Register)

Présentations similaires

Annonces Google