Sécurité - ASA - Configuration VPN SSL sans client avec ASDM ccnp_cch

Sommaire ● Introduction - Schéma du réseau - Prérequis - Composants utilisés ● Configuration - Schéma du réseau - Procédure - Configuration ● Vérification ● Résolution de problèmes - Procédures pour résolution de problèmes - Commandes pour résolution de problèmes ccnp_cch

Introduction Le VPN SSL sans client (WebVPN) autorise un accès sécurisé mais limité à un réseau d'entreprise à partir de n'importe quel endroit. Les utilisateurs peuvent faire des accès sécurisés à tout moment à des ressources de l'entreprise au moyen d'un naviga- teur Web. Ce document montre une configuration simple pour l'ASA (Adaptive Secu- rity Appliance) Cisco série 5500 pour permettre des accès VPN SSL sans client à des ressources d'unréseau interne. La technologie VPN SSL peut être utilisée de trois manières différentes: VPN SSL sans Client, VPN SSL Client léger (Acheminement de port) et Client VPN SSL (mode tunnel). Chacune d'elles a son propre avantage et un accès unique aux ressources. 1. "Clientless SSL VPN" (WebVPN) - Un client distant a besoin uniquement d'un navi- gateur Web avec des capacités SSL pour accéder à des serveurs http ou https sur un réseau local (LAN) de l'entreprise. L'accès est également utilisable pour l'accès aux fichiers Windows avec CIFS (Common Internet File System). Un bon exemple pour l'accès http est le client Outlook Web Access (OWA). 2. Client léger VPN SSL (Port Forwarding) - Un client distant doit télécharger une petite applet Java pour un accès sécurisé à des applications TCP qui utilisent des numéros de ports statiques. UDP n'est pas supporté . Ces exemples comprennent POP3 (Post Office Protocol 3), SMTP (Simple Mail Transfer Protocol), IMAP (Internet Message Access Protocol), SSH (Secure Shell) et Telnet sont des exemples d'accès sécurisés. L'utilisateur a besoin des privilèges d'administration locale car des modi- fications sont faites sur des fichiers de la machine locale. Cette méthode de VPN SSL ne fonctionne pas avec des applications qui utilisent des ports dynamiques comme des applications de transfert de fichiers telle que FTP (File Transfer Protocol). Reférez-vous au document "Configuration de VPN SSL avec client léger sur l'ASA en utilisant l'ASDM" pour en apprendre plus sur le VPN SSL avec client léger. 3. Client VPN SSL (Mode Tunnel) - Le client VPN SSL télécharge un petit client sur la station de travail distante et autorise l'accès total sécurisé complet aux ressour- ces d'un réseau interne de l'entreprise. Le client VPN SSL (SVC) peut être téléchar- gé de manière permanente sur la station distante d'ou il peut être retiré à la fin des sessions sécurisées. Le VPN SSL sans client peut être configuré sur le concentrateur VPN Cisco 3000 et sur des routeurs spécifiques avec l'IOS Cisco version 12.4(6)T ou supérieure. Le VPN SSL sans client peut être également configuré sur l'ASA Cisco avec l'Interface ligne de commande ou avec l'ASDM (Adaptive Security Device Manager). L'utilistion de l'ASDM facilite la configuration. Le VPN SSL et l'ASDM ne doivent pas être validés sur la même interface de l'ASA. Il est possible que les deux technologies coexistent sur la même interface si les numéros de port sont changés. Il est fortement recommandé de valider l'ASDM sur l'interface "inside" ainsi le WebVPN peut être validé sur l'interface "outside". Reférez-vous au document "Configuration du client VPN SSL sur l'ASA en utilisant l'ASDM" pour avoir plus de détails sur le client VPN SSL. ccnp_cch

Le VPN SSL sans client permet des accès sécurisés à ces ressources sur le LAN de l'entreprise: ● OWA/Exchange ● HTTP ou HTTPS sur des serveurs Web internes ● Accès aux fichiers Windows ● Serveurs Citrix avec le client léger Citrix L'ASA prend le rôle d'un proxy sécurisé pour des ordinateurs clients qui peuvent en- suite accèder à des ressources présélectionnées sur le LAN de l'entreprise. Ce document montre une configuration simple avec l'ASDM pour valider l'utilisation de VPN SSL sans client sur l'ASA Cisco. Aucune configuration du client n'est néces- saire si le client à déjà un navigateur Web avec des capacités SSL. La majorité des navigateurs Web ont déjà les capacités d'établissement de sessions SSL/TLS. Les li- gnes de commande résultantes sur l'ASA sont également montrées dans ce document. Prérequis Avant de tenter cette configuration assurez-vous que vous avez les prérequis suivants: ● Navigateur avec client SSL comme par exemple Internet Explorer, Mozilla. ● ASA avec la version 7.1 ou supérieure. ● Le port 443 n'est pas bloqué sur le chemin du client vers l'ASA. Composants utilisés Les informations contenues dans ce document sont basées sur les versions matériel- les et logicielles suivantes: ● Cisco ASA Software Version 7.2(1) ● Cisco Adaptive Security Device Manager 5.2(1) ● Cisco ASA 5510 Note : Reférez-vous à "Autoriser l'accès HTTPS pour l'ASDM pour autoriser l'ASA à être configuré par l'ASDM. Configuration A ce point vous pouvez entrer https://inside_IP_Address à partir d'un navigateur Web pour accèder à l'application ASDM. Une fois que l'ASDM est chargé commencez la configuration pour WebVPN. Cette section contient des informations nécessaires à la configuration des fonctionna- lités décrites dans ce document. ccnp_cch

Schéma du réseau ccnp_cch LAN Serveur http (OWA) Cisco ASA 5500 Navigateur Web avec SSL Serveur 10.2.2.1 Réseau Public 172.22.1.160 https Client VPN SSL Https://172.22.1.160 LAN Serveur Exploration cifs 10.2.2.2 Procédure Configurez le WebVPN sur l'interface de l'ASA en quatre étapes principales: ● Validez le WebVPN sur l'interface de l'ASA ● Créez une liste de serveurs et/ou d'URLs pour l'accès WebVPN. ● Créez une politique de groupe pour les utilisateurs WebVPN ● Appliquez la nouvelle politique de groupe à un groupe Tunnel ccnp_cch

1. Dans l'ASDM, choisissez Configuration> VPN> WebVPN> WebVPN Access. Choisissez l'interface pour terminer WebVPN users> Enable> Apply. ccnp_cch

ccnp_cch 2. Choisissez Servers and URLs > Add. Entrez le nom de la liste de serveurs accessibles via WebVPN. Cliquez sur le bouton Add. La boîte de dialogue Add server or URL s'affiche. Entrez le nomque le client voit. Choisissez le meny déroulant URL pour chaque serveur et choisissez le protocole approprié. Ajoutez les serveurs à partir de la boîte de dialogue Add server or URL et cliquez sur OK. Cliquez sur Apply> Save ccnp_cch

ccnp_cch 3. Développez General dans le menu de gauche de l'ASDM. Choisissez Group Policy> Add. Choisissez Add Internal Group Policy. Décochez la case à cocher Tunneling Protocols: Inherit. Cochez la case WebVPN. ccnp_cch

Choisissez l'onglet WebVPN. Décochez la case Inherit Choisissez l'onglet WebVPN. Décochez la case Inherit. Choisissez dans la liste des fonctions. Cliquez sur OK> Apply. ccnp_cch

ccnp_cch

4. Choissez Tunnel Group dans la colonne de gauche 4. Choissez Tunnel Group dans la colonne de gauche. Cliquez sur le bouton Edit. Cliquez dans le menu déroulant Group Policy. Choisissez la politique que vous avez créée à l'étape 3. ccnp_cch

Il est important de noter que si de nouveaux Group Policies et tunnel groups ne sont pas crées, les noms par défaut sont GroupPolicy 1 et DefaultWEBVPNGroup. Cliquez sur l'onglet WebVPN. ccnp_cch

Choisissez NetBIOS Servers. Cliquez sur le bouton Add Choisissez NetBIOS Servers. Cliquez sur le bouton Add. Entrez l'adresse IP du ser- veur WINS/NBNS. Cliquez sur OK> OK. Suivez les invites Apply> Save> Yes pour sauvegarder la configuration. ccnp_cch

ccnp_cch

Configuration Cette configuration reflète les modifications apportées par l'ASDM pour valider le WebVPN. Ciscoasa ciscoasa#show running−config Building configuration... ASA Version 7.2(1) hostname ciscoasa domain−name cisco.com enable password 9jNfZuG3TC5tCVH0 encrypted names dns−guard interface Ethernet0/0 nameif outside security−level 0 ip address 172.22.1.160 255.255.255.0 interface Ethernet0/1 nameif inside security−level 100 ip address 10.2.2.1 255.255.255.0 interface Ethernet0/2 nameif DMZ1 security−level 50 no ip address interface Management0/0 description For Mgt only shutdown nameif Mgt ip address 10.10.10.1 255.255.255.0 management−only passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server−group DefaultDNS pager lines 24 logging enable logging asdm informational ccnp_cch

ccnp_cch mtu outside 1500 mtu inside 1500 mtu DMZ1 1500 mtu Mgt 1500 icmp permit any outside asdm image disk0:/asdm521.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 10.2.2.0 255.255.255.0 route outside 0.0.0.0 0.0.0.0 172.22.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00 timeout uauth 0:05:00 absolute ! !−−− configurations de la politique de groupe group−policy GroupPolicy1 internal group−policy GroupPolicy1 attributes vpn−tunnel−protocol IPSec l2tp−ipsec webvpn webvpn functions url−entry file−access file−entry file−browsing mapi port−forward filter http−proxy auto−download citrix username cisco password 53QNetqK.Kqqfshe encrypted !−−− configurations asdm http server enable http 10.2.2.0 255.255.255.0 inside no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart !−−− configurations de groupe tunnel tunnel−group DefaultWEBVPNGroup general−attributes default−group−policy GroupPolicy1 tunnel−group DefaultWEBVPNGroup webvpn−attributes nbns−server 10.2.2.2 master timeout 2 retry 2 ! telnet timeout 5 ssh 172.22.1.0 255.255.255.0 outside ssh timeout 5 console timeout 0 ccnp_cch

class−map inspection_default match default−inspection−traffic ! policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp service−policy global_policy global !−−− webvpn configurations webvpn enable outside url−list ServerList "WSHAWLAP" cifs://10.2.2.2 1 url−list ServerList "FOCUS_SRV_1" https://10.2.2.3 2 url−list ServerList "FOCUS_SRV_2" http://10.2.2.4 3 prompt hostname context end Vérification Utilisez cette section pour vérifier que votre configuration fonctionne correctement. Etablissez une connexion vers l'équipement ASA depuis le client externe pour tester ceci: https://ASA_outside_IP_Address Le client reçoit une page CiscoWebVPN qui autorise l'accès au LAN de l'entreprise de manière sécurisée. Le client est autorisé pour l'accès qui est listé dans la politique de groupe récemment créée. ccnp_cch

Authentification : Un login et un mot de passe simples ont été crées sur l'ASA pour ce test de concept en laboratoire. Si une signature unique et uniforme vers un domai- ne est préférée, reférez-vous à "Configuration ASA avec WebVPN et signature unique utilisant ASDM et NTLMv1". Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes de configuration. Note: Ne tentez pas d'exécuter la commande Copy File to Server ou de naviguer vers un écran différent pendant que le processus est en cours. Si l'opération est interrom- pue cela peut entrainer une sauvegarde incomplète de fichiers vers le serveur. Note: Les utilisateurs peuvent charger ou télécharger les nouveaux fichiers avec le client WebVPN mais l'utilisateur n'est pas autorisé à écrasr des fichiers dans CIFS sur WebVPN avec la commande Copy File to Server. Quand l'utilisateur tente de remplacer un fichier sur le serveur, reçoit ce message: "Unable to add the file". Procédures pour résolution de problèmes Suivez ces instructions pour résoudre des problèmes sur votre configuration. 1. Dans l'ASDM, choisissez Monitoring> Logging> Real-time Log Viewer> View. Quand un client se connecte à l'ASA, notez l'établissement et la fin de session SSL/TLS dans les logs en temps-réel. ccnp_cch

2. Dans l'ASDM, choisissez Monitoring> VPN> VPN Statistics> Sessions. Recher- chez la nouvelle session WebVPN. assurez-vous de choisir le filtre WebVPN et cli- quez sur Filter. Si un problème survient, de manière temporaire, "bypassez" l'équi- pement ASA pour être sur que les clients peuvent accéder aux ressources voulues du réseau. Revoir les étapes de configuration listées dans ce document. Commandes pour résolution de problèmes ● show webvpn - Il y a plusieurs commandes show associées avec WebVPN. Celles-ci peuvent être exécutées avec la CLI pour afficher des statistiques et d'autres infor- mations. ● debug webvpn - Voir la liste des commandes dans le document "WebVPN Debug Commands". ccnp_cch