Client léger VPN SSL avec ASDM Sécurité - ASA - Configuration Client léger VPN SSL avec ASDM ccnp_cch

Sommaire ● Introduction - Prérequis - Composants utilisés - Schéma du réseau ● Rappel ● Configurer le Clien Léger VPN - Valider l'accès WebVPN sur l'ASA - Configurer les caractéristiques du "Port Forwarding" - Créer une Politique de Groupe et la lier à la Port Forwarding List - Créer un Groupe Tunnel et le lier à la Politique de Groupe - Créer un Utilisateur et ajouter cet utilisateur à la Politique de Groupe ● Vérification - Procédure - Commandes ● Résolution de problèmes - Est-ce que le processus de handshake SSL est complet? - Est-ce que le client léger VPN SSL est opérationnel? - Commandes ccnp_cch

Introduction La technologie Client léger VPN SSL permet un accès sécurisé à des applications qui ont des ports statiques telles qur Telnet (23), SSH (22), POP3 (110), IMAP4 (143) et SMTP (25). Vous pouvez utiliser le client léger comme une application orientée utilisa- teur ou une application orientée sur une politique ou les deux. Ce qui veut dire que vous configurez utilisateur par utilisateur ou vous pouvez créez des groupes de poli- tiques dans lesquels vous incluez un ou plusieurs utilisateurs. ● "Clientless SSL VPN" (WebVPN) - Fournit un client distant qui requiert uniquement un navigateur Web avec des capacités SSL pour accéder à des serveurs Web HTTP ou HTTPS sur un réseau local (LAN) d'entreprise. De plus, VPN SSL sans client fournit l'accès pour l'exploration de fichiers Windows au travers du protocole CIFS (Common Internet File System). Outlook Web Access est un exemple d'accès HTTP. Reférez-vous au document "Configuration VPN SSL sans client sur l'ASA" pour obte- nir plus d'informations sur le VPN SSL sans client. ● Client léger VPN SSL (Port Forwarding) - Fournit un client distant qui télécharge une petite applet Java et autorise l'accès sécurisé pour des applications TCP qui utilisent des numéros de ports statiques. POP3 (Post Office Protocol 3), SMTP (Simple Mail Transfer Protocol), IMAP (Internet Message Access Protocol), SSH (Secure Shell) et Telnet sont des exemples d'accès sécurisés. Comme les fichiers de la machine locale changent, les utilisateurs doivent avoir les privilèges d'admi- nistration locale pour utiliser cette méthode. Cette méthode de VPN SSL ne fonc- tionne pas avec des applications qui utilisent des ports dynamiques comme des applications de transfert de fichiers telle que FTP (File Transfer Protocol). Note: UDP n'est pas supporté. ● Client VPN SSL (Mode Tunnel) - Télécharge un petit client sur la station de travail distante et autorise l'accès total sécurisé aux ressources d'un réseau d'entreprise. Vous pouvez télécharger le Client VPN SSL vers la station de travail de manière permanente ou vous pouvez retirer le client une fois que la session sécurisée est fermée. Reférez-vous au document "Configuration Client VPN SSL sur l'ASA avec l'ASDM" pour obtenir plus d'informations sur le Client VPN SSL. Ce document décrit une configuration simplepour le client léger VPN SSL sur un ASA (Adaptive Security Appliance). La configuration permet à un utilisateur de faire un accès Telnet sur un routeur situé du coté interne (inside) de l'ASA. ccnp_cch

Prérequis Avant de tenter cette configuration assurez-vous que vous avez les prérequis suivants pour les stations clientes: ● Navigateur Web avec SSL. ● Java RJE SUN version 1.4 ou suivantes ● Cookies validés ● Bloqueur de "pop-up" dévalidé ● Privilèges d'administration locale Composants utilisés Les informations contenues dans ce document sont basées sur les versions matériel- les et logicielles suivantes: ● Cisco Adaptive Security Appliance 5510 series ● Cisco Adaptive Security Device Manager 5.2(1) Note: Reférez-vous à "Autoriser l'accès HTTPS pour l'ASDM afin d'autoriser l'ASA à être configuré avec l'ASDM. ● Cisco Adaptive Security Appliance Software Version 7.2(1) ● Client distant Microsoft Windows XP Professional (SP2) Schéma du réseau Ce document utilise la configuration réseau décrite dans cette section. Quand un utilisateur distant initie une session avec l'ASA, le client télécharge un petit applet Java sur la station. Une liste de ressources préconfigurées est présentée au client. Accès Http ou Https PC ou PC portable POP3 Passerelle WebVPN Linux Internet 10.2.2.2 172.22.1.160 Mac Client Léger SMTP Navigateur avec SSL Https://172.22.1.160 ccnp_cch

Rappel Pour démarrer une session, le client distant ouvre une session navigateur SSL vers l'interface externe de l'ASA. Une fois que la session est établie, l'utilisateur peut uti- liser les paramètres configurés sur l'ASA pour commencer une session Telnet ou l'accès à une application. L'ASA assure la connexion sécurisée et autorise l'utilisateur à accèder à l'équipement. Note: Les listes d'accès internes ne sont pas nécessaires pour ces connexions car l'ASA sait ce qui constitue une session légale. Configurer le Clien Léger VPN Pour configurer le client léger VPN SSL sur l'ASA, exécutez ces étapes: 1. Valider l'accès WebVPN sur l'ASA 2. Configurer les caractéristiques du "Port Forwarding" 3. Créer une Politique de Groupe et la lier à la Port Forwarding List 4. Créer un Groupe Tunnel et le lier à la Politique de Groupe 5. Créer un Utilisateur et ajouter cet utilisateur à la Politique de Groupe Etape 1. Valider l'accès WebVPN sur l'ASA Pour valider l'accès WebVPN sur l'ASA, exécutez ces étapes: 1. Dans l'application ASDM, cliquez sur Configuration puis sur VPN. 2. Développez WebVPN et choisissez WebVPN Access. ccnp_cch

ccnp_cch 3. Sélectionnez l'interface et xliquez sur Enable. 4. Cliquez sur Apply, cliquez sur Save et ensuite cliquez sur Yes pour accepter les modifications. ccnp_cch

ccnp_cch Etape 2. Configurer les caractéristiques du "Port Forwarding" Pour configurer les caractéristiques du "Port Forwarding", exécutez ces étapes: 1. Développez WebVPN et choisissez Port Forwarding. 2. Cliquez sur le bouton Add. ccnp_cch

3. Dans la boîte de dialogue Add Port Forwarding List, entrez le nom de la liste et cliquez sur Add. La boîte de dialogue Add Port Forwarding Entry apparaît. ccnp_cch

4. Dans la boîte de dialogue Add Port Forwarding Entry, entrez ces options: a. Dans le champ Local TCP Port, entrez un numéro de port ou acceptez la valeur par défaut. La valeur que vous entrez peut aller de 1024 à 65535. b. Dans le champ Remote Server, entrez l'adresse IP. Cet exemple utilise l'adresse du routeur. c. Dans le champ Remote TCP Port, entrez un numéro de port. Cet exemple utilise le port 23. d. Dans le champ Description entrez une description puis cliquez sur OK. 5. Cliquez sur OK puis sur Apply. 6. Cliquez sur Save et ensuite cliquez sur Yes pour accepter les modifications. Etape 3. Créer une Politique de Groupe et la lier à la Port Forwarding List Pour créer une politique de groupe et la lier à la "port forwarding list", exécutez ces étapes: 1. Développez General puis choisissez Group Policy. ccnp_cch

2. Cliquez sur le bouton Add et choisissez Internal Group Policy 2. Cliquez sur le bouton Add et choisissez Internal Group Policy. La boîte de dialogue AddInternal Group Policy apparaît. 3. Entrez un nom ou acceptez le nom de politique de groupe par défaut. 4. Décochez la case Tunneling Protocols Inherit et cochez la case WebVPN. 5. Cliquez sur l'onglet situé en haut de la boîte de dialogue et ensuite cliquez sur l'onglet Functions. 6. Décochez la case Inherit et cochez les cases Enable auto applet download et Enable port forwarding comme le montre l'image suivante. ccnp_cch

2. Egalement dans l'onglet WebVPN, cliquez sur l'onglet Port Forwarding et décochez la case Port Forwarding Inherit. ccnp_cch

8. Cliquez sur la liste déroulante Port Forwarding List et choisissez la port forwarding liste que vous avez créée à l'étape 2. 9. Décochez la case Applet Name Inherit et changez le nom dans le champ de texte. Le client affiche le "Applet Name" à la connexion. 10. Cliquez sur OK et ensuite sur Apply. 11. Cliquez sur Save et ensuite sur Yes pour accepter les modifications. ccnp_cch

Etape 4. Créer un groupe Tunnel et le lier à la politique de groupe Etape 4. Créer un groupe Tunnel et le lier à la politique de groupe. Vous pouvez le groupe tunnel par défaut DefaultWebVPNGroup ou créer un nouveau groupe tunnel. Pour créer un nouveau groupe tunnel , exécutez ces étapes : 1. Développez General et choisissez Tunnel Group. 2. Cliquez sur Add et choisissez WebVPN Access. La boîte de dialogue Add Tunnel Group apparaît. ccnp_cch

3. Entrez le nom dans le champ Name. 4 3. Entrez le nom dans le champ Name. 4. Cliquez sur la liste déroulante Group Policy et choisissez la politique de groupe créée à l'étape 3. 5. Cliquez sur OK. Le groupe tunnel, la politique de groupe et les caractéristiques du port forwarding sont maintenant liées. ccnp_cch

Etape 5. Créer un utilisateur et ajuter cet utilisateur à la politique de groupe Pour créer un utilisateur et l'ajouter à la politique de groupe, exécutez ces étapes: 1. Développez General et choisissez Users. 2. Cliquez sur le bouton Add. La boîte de dialogue Add User Account apparaît. ccnp_cch

3. Entrez les valeurs pour les informations username, password et privilege et ensuite cliquez sur l'onglet VPN Policy. ccnp_cch

4. Cliquez sur la liste déroulante Group Policy et choisissez la politique de groupe que vous avez créée à l'étape 3. Cet utilisateur hérite des caractéristiques WebVPN et des politiques du groupe de politique sélectionné. 5. Cliquez sur OK et ensuite sur Apply. 6. Cliquez sur Save et ensuite sur Yes pour accepter les changements. ccnp_cch

Vérification ccnp_cch Utilisez cette section pour confirmer que votre configuration fonctionne correctement. Procédure Cette procédure décrit comment déterminer la validité de la configuration et comment tester la configuration. 1. A partir de la station d'un client, entrez https://outside_ASA_IP_Address; dans laquelle outside_ASA_IP_Address est l'URL SSL de l'ASA. Une fois que le certificat numérique est accepté et que l'utilisateur est authentifié la page Web WebVPN service apparaît. ccnp_cch

Les informations d'adresse et de port requises pour accéder à l'application apparaîs- sent dans colonne locale. Les colonnes Bytes Out et Bytes In affichent aucune acti- vité car l'application n'a pas été appelée à ce moment là. 2. Utlisez un prompt DOS ou une autre application Telnet pour démarrer une session Telnet. 3. A l'invite de commande, entrez telnet 127.0.0.1 3044. Note: Cette commande fournit un exemple sur comment obtenir l'accès au port local affiché dans la page Web WebVPN Service de ce document. La commande ne comprend pas ":". Tapez la commande comme elle est décrite dans ce document. L'ASA reçoit la commande au travers de la session sécurisée et comme il garde la correspondance des informations, l'ASA sait ouvrir immédiatement une session à l'équipement correspondant. Une fois que vous avez entré le nom d'utilisateur et le mot de passe, l'accès est total. ccnp_cch

4. Pour vérifier l'accès à l'équipement, vérifiez les colonnes Bytes Out et Bytes In comme cela est montré ici. Commandes Plusieurs commandes show sont associées au WebVPN. Vous pouvez exécuter ces commandes au niveau de la CLI (Command Line Interface) pour afficher des statisti- ques et d'autres informations. ccnp_cch

Résolution de problèmes Vous pouvez utiliser cette section pour résoudre des problèmes liés à votre configura- tion. Est-ce que le processus de handshake SSL est complet? Quand vous vous connectez à l'ASA, vérifiez si le log en temps réel affiche l'achèvement complet du handshake SSL. - Est-ce que le client léger VPN SSL est opérationnel? - Commandes Est ccnp_cch

ccnp_cch Est-ce que le client léger VPN SSL est opérationnel? Pour vérifier que le client léger VPN SSL est opérationnel, exécutez ces étapes: 1. Cliquez sur Monitoring et ensuite cliquez sur VPN. 2. Développez VPN Statistics et ensuite cliquez sur Sessions. Votre session Client léger VPN SSL doît apparaître dans la liste des sessions. Assurez-vous de filtrer par WebVPN comme le montre la copie d'écran. Commandes Plusieurs commandes debug sont associées au WebVPN. pour plus d'informations détaillées sur ces commandes, reférez-vous à "Using WebVPN Debug Commands". ccnp_cch