Sécurité - Configuration Client VPN SSL sur IOS Cisco avec SDM ccnp_cch

Sommaire ● Introduction - Prérequis - Composants utilisés - Schéma du réseau - Tâches de préconfiguration ● Rappel ● Configurer le client VPN SSL sur IOS Cisco - Etape 1 : Installer et valider le logiciel client sur le routeur avec IOS Cisco - Etape 2 : Configurer un contexte WebVPN et une passerelle WebVPN avec SDM Wizard politique de groupe - Etape 3 : Configurer la base de données utilisateur pour les clients VPN SSL - Etape 4 : Configurer les ressources offertes aux utilisateurs - Résultats ● Vérification - Procédure - Commandes ● Résolution de problèmes - Problème de connectivité SSL - Commandes pour résolution de problèmes ccnp_cch

Introduction Le client VPN SSL fournit un tunnel complet pour des communications sécurisées avec le réseau interne de l'entreprise. Vous pouvez configurer des accès basés sur l'utilisateur ou vous pouvez créer différents contextes WebVPN dans lesquels vous placez un ou plusieurs utilisateurs. La technologie VPN SSL ou WebVPN est supportée sur les plateformes IOS routeur suivantes: ● Cisco 870, 1811, 1841, 2801, 2811, 2821 and 2851 series routers ● Cisco 3725, 3745, 3825, 3845, 7200 and 7301 series routers Vous pouvez configurer la technologie VPN SSL selon trois modes: ● VPN SSL sans client (WebVPN) - Permet à un client distant qui a seulement besoin d'un navigateur Web avec SSL d'accéder à des serveurs Web HTTP ou HTTPS d'un réseau LAN d'entreprise. De plus le VPN SSL sans client permet l'accès pour l'ex- ploration de fichiers Windows au travers du protocole CIFS (Common Internet File System). Outlook Web Access est un exemple d'accès HTTP. ● VPN SSL client léger (Port Forwarding) - Permet à un client distant de télécharger un petit Applet Java et autorise l'accès sécurisé à des applications TCP qui utili- sent des ports statiques. POP3 (Post Office Protocol 3), SMTP (Simple Mail Transfer Protocol), IMAP (Internet Message Access Protocol), SSH (Secure Shell) et Telnet sont des exemples d'accès sécurisés. Comme les fichiers de la machine locale sont modifiés, les utilisateurs doivent avoir le privilège d'administration locale pour l'utilisation de cette méthode. Cette méthode VPN SSL ne fonctionne pas avec des applications qui utilisent des ports dynamiques telles que les applications FTP (File Transfer Protocol). Note: UDP (User Datagram Protocol) n'est pas supporté. ● Client VPN SSL (Full Tunnel mode) - Télécharge un petit client sur le poste de tra- vail distant et autorise un accès sécurisé complet aux ressources d'un réseau in- terne d'entreprise. Vous pouvez charger le client VPN SSL sur la station de travail distante de manière permanente ou vous pouvez retirer le client une fois que la session est terminée. Prérequis Assurez-vous que vous avez ces prérequis avant de tenter cette configuration: ● Microsoft Windows 2000 ou XP ● Navigateur Web avec SUN JRE 1.4 ou suivant ou avec un contrôle ActiveX ● Privilèges d'administration locale sur le client. ● Un des routeurs listés dans Introduction avec une image IOS Advanced Security −12.4(6)T ou suivante. ● Cisco Security Device Manager (SDM) version 2.3. ccnp_cch

Composants utilisés Schéma du réseau ccnp_cch ● Routeur Cisco 3825 series avec IOS Release 12.4(9)T ● Routeur Cisco et Security Device Manager (SDM) − version 2.3.1 Schéma du réseau PC ou Portable http 172.22.1.30 https Linux Passerelle WebVPN OWA Ferme de Serveurs 192.168.0.37 172.22.1.250 Réseau Public Cisco 3825 Citrix Navigateur Web avec SSL Https://192.168.0.37/Sales 172.22.1.50 CIFS Tâches de préconfiguration Avant de commencer, exécutez ces tâches: 1. Configurez le routeur pour SDM (Optionnel). Les routeurs avec la licence de support de sécurité appropriée ont l'application SDM déjà chargée en flash. 2. Téléchargez une copie du client VPN SSL sur votre PC d'administration. 3. Configurez la date, l'heure et la zone de temps corrects pour configurer le certificat numérique sur le routeur. Rappels Le client VPN SSL est initialement chargé sur le routeur passerelle WebVPN. Chaque fois que le client se connecte, une copie du client VPN SSL est téléchargée dynamique- ment sur le PC. Pour changer ce comportement, configurez le routeur pour permettre au logiciel de résider de manière permanente sur l'ordinateur du client. ccnp_cch

Configurer le client VPN SSL sur IOS Cisco Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Cet exemple de configuration utilise SDM Wizard pour valider le fonctionnement du client VPN SSL sur l'IOS du routeur. Pour configurer le client VPN SSL sur l'IOS du routeur, exécutez ces étapes: 1. Installez et validez le logiciel client VPN SSL sur l'IOS du routeur. 2. Configurez un contexte WebVPN et une passerelle WebVPN avec le SDM Wizard. 3. Configurez la base de données utilisateur pour les clients VPN SSL. 4. Configurez les ressources accessibles par les utilisateurs. Etape 1. Installer et valider le logiciel client VPN SSL sur l'IOS du routeur. Pour installer et valider le logiciel client VPN SSL sur l'IOS du routeur, exécutez ces étapes: 1. Dans l'application SDM, cliquez sur Configure et ensuite cliquez sur VPN. 2. Développez WebVPN et cliquez sur Packages. ccnp_cch

3. Dans la zone Cisco WebVPN Client Software, cliquez sur le bouton Browse. La boîte de dialogue Select SVC Location s'affiche. 4. Cliquez sur le bouton radio My Computer et ensuite cliquez sur Browse pour loca- liser le paquetage SVC sur votre PC d'administration. 5. Cliquez sur OK et ensuite cliquez sur le bouton Install. ccnp_cch

ccnp_cch

6. Cliquez sur Yes et ensuite cliquez sur OK 6. Cliquez sur Yes et ensuite cliquez sur OK. Une installation réussie d'un client VPN SSL est montrée dans l'image qui suit. ccnp_cch

Etape 2. Configurez un contexte WebVPN et une passerelle WebVPN avec le SDM Wizard. Pour configurer un contexte WebVPN et une passerelle WebVPN avec SDM Wizard, exécutez ces étapes. 1. Une fois que le Client VPN SSL est installé sur le routeur, cliquez sur Configure et ensuite cliquez sur VPN. 2. Cliquez sur WebVPN et ensuite cliquez sur l'onglet Create WebVPN. ccnp_cch

3. Cochez le bouton radio Create a New WebVPN et ensuite cliquez sur Launch the selected task. La boîte de dialogue WebVPN Wizard s'affiche. 4. Cliquez sur Next. ccnp_cch

5. Entrez l'adresse IP de la nouvelle passerelle WebVPN et entrez un nom unique pour ce contexte WebVPN. Vous pouvez créer différents contextes pour la même adresse IP (passerelle Web- VPN) mais chaque nom doit être unique. Dans cet exemple utilise l'adresse IP uti- lisée est : https://192.168.0.37/sales. 6. Cliquez sur Next et passez à l'étape suivante. ccnp_cch

Etape 3. Configurer la base de données utilisateur pour les clients VPN SSL Pour l'authentification, vous pouvez utiliser un serveur AAA, des utilisateurs locaux ou les deux. Cet exemple de configuration utilise des utilisateurs crées localement pour l'authentification. 1. Après avoir terminé l'étape 2, cliquez sur le bouton radio Locally on this router situé dans la boîte de dialogue WebVPN Wizard User Authentication. Cette boîte de dialogue vous permet d'ajouter des utilisateurs à la base de données locale. ccnp_cch

ccnp_cch 2. Cliquez sur Add et entrez l'information utilisateur. 3. Cliquez sur OK et ajoutez d'autres utilisateurs si cela est nécessaire. 4. Après avoir ajouté les utilisateurs nécessaires, cliquez sur Next et passez à l'étape suivante. ccnp_cch

Etape 4. Configurer les ressources accessibles par les utilisateurs La boîte de dialogue Configure Intranet Websites WebVPN Wizard vous permet de sé- lectionner les ressources Intranet que vous voulez offrir à vos clients VPN SSL. Pour configurer les ressources à offrir aux utilisateurs, exécutez ces étapes: 1. Cliquez sur le bouton Add situé dans la boîte de dialogue Configure Intranet Websites. ccnp_cch

2. Entrez un nom pour la liste URL et remplissez le champ Heading. 3. Cliquez sur le bouton Add et choisissez Website pour ajouter les sites web que vous voulez offrir à ce client. 4. Entrez l'URL et l'information de lien et ensuite cliquez sur OK. 5. Pour ajouter l'accès aux serveurs OWA Exchange, cliquez sur OK et choisissez E-mail. ccnp_cch

6. Cochez la case Outlook Web Access, entrez l'étiquette URL et l'information de lien et ensuite cliquez sur OK. 7. Après avoir ajouté les ressources désirées, cliquez sur OK et ensuite cliquez sur Next. La boîte de dialogue WebVPN Wizard full tunnel s'affiche. ccnp_cch

ccnp_cch 8. Vérifiez que la case Enable Full Tunnel est cochée. 9. Créez un pool d'adresses IP que les clients de ce contexte WebVPN peuvent utiliser. Le pool d'adresses doit correspondre aux adresses disponibles et routables sur vo- tre Intranet. 10. Cliquez sur le symbole (...) après le champ IP Address Pool et choisissez Create a new IP Pool. 11. Dans la boîte de dialogue Add IP Local Pool entrez un nom pour le pool et cliquez sur Add. ccnp_cch

12. Dans la boîte Add IP address range, entrez l'intervalle d'adresse du pool pour les clients et cliquez sur OK. Note: Le pool d'adresse IP doit être dans l'intervalle d'une interface directement connectée au routeur. Si vous voulez utiliser un intervalle de pool différent, vous pouvez créer une adresse d'interface loopback associée avec le nouveau pool pour satisfaire ces exigences. ccnp_cch

ccnp_cch 13. Cliquez sur OK. 14. Si vous voulez que les clients distants stockent de manière permanente une copie du client VPN SSL de manière permanente, cochez la case Keep the Full Tunnel Client Software installed on client's PC. Décochez cette option pour que le rou- teur charge le logiciel client VPN SSL à chaque fois que le client se connecte. 15. Configurez les options avancées du tunnel telles que le tunnel partagé, le DNS partagé, les paramètres de proxy de navigation et les serveurs DNS et WINS. Cisco recommande que vous configuriez au moins les serveurs DNS et WINS. Pour configurer les options de tunnel avancées, exécutez ces étapes: a. Cliquez sur le bouton Advanced Tunnel Options ccnp_cch

b. Cliquez sur l'onglet DNS and WINS Servers et entrez l'adresse IP primaire pour les serveurs DNS et WINS. c. Pour configurer le partage de tunnel et les paramètres de proxy de navigation, cli- quez sur l'onglet Split Tunneling ou Browser Proxy Settings. ccnp_cch

16. Après avoir configuré les options nécessaires, cliquez sur Next. 17. Personnalisez la WebVPN Portal Page ou sélectionnez les valeurs par défaut. La fenêtre Customize WebVPN Portal Page vous permet de personnaliser l'appa- rence de la WebVPN Portal Page pour vos clients. ccnp_cch

18. Après avoir configuré la page du portail WebVPN, cliquez sur Next puis cliquez sur Finish et ensuite cliquez sur OK. WebVPN Wizard transmet les commandes au routeur. 19. Cliquez sur OK pour sauvegarder votre configuration. Note: Si vous recevez un message d'erreur, la licence WebVPN est peut-être incor- recte. Un exemple de message d'erreur est montré dans l'écran suivant: Pour corriger un problème de licence, exécutez ces étapes : a. Cliquez sur Configure et ensuite cliquez sur VPN. b. Développez WebVPN et cliquez sur l'onglet Edit WebVPN. ccnp_cch

c. Sélectionnez votre contexte nouvellement crée et cliquez sur le bouton Edit. ccnp_cch

d. Dans le champ Maximum Number of users entrez le nombre correct d'utilisateurs pour votre licence. e. Cliquez sur OK et ensuite cliquez sur OK. Les commandes sont entrées dans le fichier de configuration. f. Cliquez sur Save ensuite cliquez sur Yes pour accepter les modifications. ccnp_cch

ccnp_cch Résultats Le SDM a crée ces commandes de configuration. ausnml−3825−01 ausnml−3825−01#show run Building configuration... Current configuration : 4393 bytes ! ! Last configuration change at 22:24:06 UTC Thu Aug 3 2006 by ausnml ! NVRAM config last updated at 22:28:54 UTC Thu Aug 3 2006 by ausnml version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password−encryption hostname ausnml−3825−01 boot−start−marker boot system flash c3825−adventerprisek9−mz.124−9.T.bin boot−end−marker no logging buffered aaa new−model !−−− Ajouté par le SDM pour l'authentification locale aaa aaa authentication login sdm_vpn_xauth_ml_1 local aaa authentication login sdm_vpn_xauth_ml_2 local aaa authentication login sdm_vpn_xauth_ml_3 local aaa authentication login sdm_vpn_xauth_ml_4 local aaa session−id common resource policy ip cef ip domain name cisco.com voice−card 0 no dspfarm !−−− Information de certificat numérique crypto pki trustpoint TP−self−signed−577183110 enrollment selfsigned subject−name cn=IOS−Self−Signed−Certificate−577183110 revocation−check none rsakeypair TP−self−signed−577183110 crypto pki certificate chain TP−self−signed−577183110 certificate self−signed 01 3082024E 308201B7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 35373731 38333131 30301E17 0D303630 37323731 37343434 ccnp_cch

365A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3537 37313833 31313030 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 F43F6DD9 32A264FE 4C5B0829 698265DC 6EC65B17 21661972 D363BC4C 977C3810 !−−− Supprimé pour abréger quit username wishaw privilege 15 secret 5 $1$r4CW$SeP6ZwQEAAU68W9kbR16U. username ausnml privilege 15 password 7 044E1F505622434B username sales privilege 15 secret 5 $1$/Lc1$K.Zt41zF1jSdKZrPgNK1A. username newcisco privilege 15 secret 5 $1$Axlm$7k5PWspXKxUpoSReHo7IQ1 ! interface GigabitEthernet0/0 ip address 192.168.0.37 255.255.255.0 ip virtual−reassembly duplex auto speed auto media−type rj45 no keepalive interface GigabitEthernet0/1 ip address 172.22.1.151 255.255.255.0 !−−− Les clients reçoivent une adresse de ce pool ip local pool Intranet 172.22.1.75 172.22.1.95 ip route 0.0.0.0 0.0.0.0 172.22.1.1 ip http server ip http authentication local ip http secure−server ip http timeout−policy idle 600 life 86400 requests 100 control−plane line con 0 stopbits 1 line aux 0 line vty 0 4 scheduler allocate 20000 1000 !−−− identifie la passerelle et le port webvpn gateway gateway_1 ip address 192.168.0.37 port 443 http−redirect port 80 ssl trustpoint TP−self−signed−577183110 inservice !−−− Paquetage du client VPN SSL webvpn install svc flash:/webvpn/svc.pkg !−−− Contexte WebVPN webvpn context sales title−color #CCCC66 secondary−color white ccnp_cch

text−color black ssl authenticate verify all ! !−−− Ressources disponibles pour ce contexte url−list "WebServers" heading "Intranet Web" url−text "SalesSite" url−value "http://172.22.1.10" url−text "OWAServer" url−value "http://172.22.1.20/exchange" nbns−list NBNS−Servers nbns−server 172.22.1.15 master !−−− Politique de groupe pour le contexte policy group policy_1 functions svc−enabled svc address−pool "Intranet" svc default−domain "cisco.com" svc keep−client−installed svc dns−server primary 172.22.1.100 svc wins−server primary 172.22.1.101 default−group−policy policy_1 aaa authentication list sdm_vpn_xauth_ml_4 gateway gateway_1 domain sales max−users 2 inservice end Vérification Utilisez cette section pour confirmer que votre configuration fonctionne correctement. Procédure Pour tester votre configuration, entrez http://192.168.0.37/sales dans votre naviga- teur avec SSL. Commandes Plusieurs commandes show sont associées avec le WebVPN. Vous pouvez exécuter ces commandes au niveau de l'interface ligne de commande (CLI) pour afficher les statis- tiques et d'autres informations. ccnp_cch

Résolution de problèmes Utilisez cette section pour résoudre des problèmes liés à votre configuration. Problème de connectivité SSL Problème: les clients VPN SSL ne peuvent pas se connecter au routeur. Solution: Un nombre d'adresses IP insuffisant peut causer ce problème. Augmentez le nombre d'adresses IP dans le pool d'adresses configuré sur le routeur pour résoudre ce problème. Commandes Plusieurs commandes clear sont associées avec le WebVPN. Vous pouvez exécuter ces commandes au niveau de l'interface ligne de commande (CLI). Plusieurs commandes debug sont associées avec le WebVPN. Vous pouvez exécuter ces commandes au niveau de l'interface ligne de commande (CLI). ccnp_cch