Sécurité - VPN - Configurer le client VPN SSL ccnp_cch
Sommaire ● Introduction ccnp_cch ● Installation du Client VPN SSL ● Configurer le Client VPN SSL ● Afficher les sessions Client VPN SSL ● Clore les sessions Client VPN SSL ccnp_cch
Installer le Client VPN SSL Introduction Le Client VPN SSL est une technologie de tunnel qui permet aux utilisateurs distants de bénéficier d'un Client VPN IPSec sans que l'administrateur réseau installe et confi- gure les clients VPN IPSec sur les ordinateurs distants. Le client VPN SSL utilise le cryptage SSL qui est déjà présent sur l'ordinateur distant tout comme l'identification et l'authentification WebVPN sur l'appliance de sécurité. Pour établir une session Client VPN SSL, l'utilisateur distant entre l'adresse IP d'une interface WebVPN de l'appliance de sécurité dans le navigateur et le navigateur se connecte à cette interface et affiche la fenêtre du prompt d'identification WebVPN. Si l'utilisateur satisfait au login et à l'authentification et que l'appliance de sécurité reconnaît que cet utilisateur requiert le Client VPN SSL, l'appliance de sécurité charge le Client VPN SSL sur l'ordinateur distant. si l'appliance de sécurité voit que l'utilisa- tion du SVC pour l'utilisateur est une option alors l'appliance de sécurité charge le Client VPN SSL sur l'ordinateur distant tout en présentant un lien sur la fenêtre pour arrêter l'installation. Après avoir été téléchargé, le client s'installe et se configura lui-même et ensuite le Client VPN SSL reste résidant ou se désinstalle lui-même (selon la configuration) de l'ordinateur distant quand la connexion se termine. Ce document couvre les sections suivantes: Installer le Client VPN SSL Configurer le Client VPN SSL Afficher les sessions Client VPN SSL Clore les sessions Client VPN SSL Installer le Client VPN SSL L'installation du Client VPN SSL consiste en un chargement des images Client VPN SSL dans la mémoire Flash, identifier sur l'appliance de sécurité les fichiers de la mé- moir flash à utiliser pour les images Client VPN SSL et fixer l'ordre dans lequel elle doit charger les images sur les ordinateurs distants. Exécutez les étapes suivantes pour installer le Client VPN SSL. Etape 1 Chargez les images Client VPN SSL sur l'appliance de sécurité. Sur la barre d'outils de l'ASDM, sélectionnez Configuration > VPN > WebVPN > SSL VPN Client. Le panneau Client VPN SSL apparaît. Cette fenêtre liste tous les fichiers qui ont été identifiés comme des images Client VPN SSL. L'ordre dans lequel elles apparaissent dans le tableau est l'ordre dans lequel elles seront chargées sur l'ordinateur distant. ccnp_cch
Boite de dialogue Add SSL VPN Client Image Fenêtre Client VPN SSL Pour ajouter une image Client VPN SSL, cliquez sur Add. La boite de dialogue Add SSL VPN Client Image apparaît. Boite de dialogue Add SSL VPN Client Image Si vous avez déjà une image située dans la mémoire flash de l'appliance de sécurité, vous pouvez entrer le nom de l'image dans le champ Flash SVC Image et cliquer sur OK. Autrement, cliquez sur Upload pour naviguer sur l'ordinateur qui opère avec l'ASDM. La boite de dialogue Upload Image apparaît. ccnp_cch
Fenêtre Client VPN SSL avec les Images SVC Entrez les chemins pour les champs Local File Path et Flash File System Flash ou na- viguez vers ces chemins et cliquez sur Upload File. La fenêtre Client VPN SSL montre maintenant les images Client VPN SSL identifiées. Fenêtre Client VPN SSL avec les Images SVC ccnp_cch
Case à cocher Enable SSL VPN Client Etape 2 Cliquez sur le nom d'une image et utilisez le bouton Move Down pour chan- ger la position de l'image dans la liste. Ceci établit l'ordre dans lequel l'appliance de sécurité les télécharge sur l'or- dinateur distant. L'appliance de sécurité télécharge d'abord l'image Client VPN SSL qui est en tête de la liste des images. Par conséquent vous devez placer l'image la plus communément utilisées par les systèmes d'exploitation en tête de la liste. Etape 3 Cochez la case Enable SSL VPN Client pour permettre à l'appliance de sécu- rité de télécharger les images Client VPN SSL. Case à cocher Enable SSL VPN Client ccnp_cch
Configurer le Client VPN SSL Pour configurer le Client VPN SSL, exécutez ces étapes. Etape 1 Valider WebVPN sur une interface. Depuis le panneau de navigation, choisis- sez WebVPN Access. La fenêtre WebVPN Access apparaît. Sélectionnez une interface et cliquez sur Enable. Validation de l'interface ccnp_cch
Etape 2 Configurez une méthode d'affectation d'adresses pour le Client VPN SSL. Vous pouvez utiliser un DHCP et/ou une adresse affectée manuellement. Vous pouvez également créer un pool local d'adresses IP et affecter le pool à un groupe tunnel. Pour créer un pool d'adresses IP, choisissez Configuration > VPN > IP Address Management > IP Pools. Cliquez sur Add. La boite de dialogue Add IP Pool apparaît. Pool d'adresses IP Entrez le nom du nouveau pool d'adresses IP. Entrez l'adresse de début et l'adresse de fin, entrez le masque de réseau et cliquez sur OK. ccnp_cch
Etape 3 Affectez le pool d'adresses IP au groupe tunnel Etape 3 Affectez le pool d'adresses IP au groupe tunnel. Pour faire cela, choisissez Configuration >VPN > General > Tunnel Group. Le panneau Tunnel Group apparaît. Fenêtre Tunnel Group Sélectionnez un groupe tunnel dans le tableau et cliquez sur Edit. La boite de dialogue Edit tunnel Group apparaît. Cliquez sur l'onglet Client Address Management. L'onglet contenant la boite Address Pool group apparaît: ccnp_cch
Edit tunnel Group, Onglet General, Onglet Client Address Assignment Dans la boite Address Pool, choisissez un pool d'adresses à affecter au groupe tunnel puis cliquez sur Add. ccnp_cch
Etape 4 Affectez une politique de groupe par défaut au groupe tunnel Etape 4 Affectez une politique de groupe par défaut au groupe tunnel. Sélectionnez Configuration > VPN > General > Tunnel Group. La fenêtre Tunnel Group apparaît. Fenêtre Tunnel Group Choisissez un groupe tunnel WebVPN dans le tableau et cliquez sur Edit. La boite de dialogue Edit Tunnel Group avec l'onglet General est affichée. Boite de dialogue Tunnel Group, Onglet General, Onglet Basic ccnp_cch
Choisissez une politique de groupe dans la liste Group Policy puis cliquez sur OK. Etape 5 Créez et validez un alias de groupe qui apparaît dans la liste de groupes sur la page WebVPN Login. Cliquez sur l'onglet WebVPN et ensuite cliquez sur l'onglet Group Aliases and URLs. L'onglet Group Aliases and URLs apparaît. Boite de dialogue Edit Tunnel Group, Onglet WebVPN, Onglet Group Aliases and URLs Entrez le nom du nouvel alias dans le champ Alias. Cliquez sur Add pour l'ajouter comme nouvel alias. Cochez la case Enable pour valider les alias et les URLs de groupe. ccnp_cch
Etape 6 Validez l'affichage de la liste tunnel-group sur la page de Login du WebVPN. Choisissez Configuration > VPN > WebVPN > WebVPN Access. Le panneau WebVPN Access est affiché. Cochez la case Enable Tunnel Group Drop-Down List on WebVPN Login Page puis cliquez sur Apply. Fenêtre WebVPN Access Window, Enable Tunnel Group Drop-Down List on WebVPN Login Page. Etape 7 Identifiez WebVPN comme protocole de tunnel VPN permis pour le groupe ou un utilisateur. Choisissez Configuration > VPN > General > Group Policy à partir du pan- neau de navigation. Sélectionnez une politique de groupe dans le tableau Group Policy puis cliquez sur Edit. L'onglet General de la boite de dialogue Edit Internal Group Policy s'affiche. Edit Internal Group Policy, onglet General Cochez la case WebVPN pour inclure WebVPN comme protocole de tunnel. ccnp_cch
Etape 8 Configurez les caractéristiques Client VPN SSL pour un utilisateur ou un groupe. Ces caractéristiques sont montrées dans l'onglet SSL VPN Client et les deux boites de dialogue Edit User Accounts et Edit Group Policy. Pour afficher l'onglet SSL VPN Client pour les utilisateurs: Cliquez sur Click Configuration > Properties > Device Administration > User Accounts. Le panneau User Accounts s'affiche. • Choisissez un utilisateur dans le tableau puis cliquez sur Edit. La boite de dialogue Edit User Account et l'onglet General s'affichent. • Cliquez sur l'onglet WebVPN et ensuite cliquez sur l'onglet SSL VPN. L'onglet SSL VPN Client s'affiche. Pour afficher l'onglet SSL VPN Client pour les groupes: Cliquez sur Click Configuration > VPN > WebVPN> Group Policies. Le panneau Group Policies s'affiche. • Choisissez une politique de groupe dans le tableau puis cliquez sur Edit. La boite de dialogue Edit Internal Group Group Policy et l'onglet General s'affichent. L'onglet SSL VPN Client s'affiche. Il est identique à l'onglet SSL VPN Client affiché pour les comptes utilisateurs mais il n'inclut pas les cases à cocher Inherit pour les caractéristiques. ccnp_cch
ccnp_cch Onglet SSL VPN Client Note: Pour les comptes utilisateurs, l'onglet SSL VPN Client inclut la cache à cocher Inherit pour chaque caractéristique du Client VPN SSL. Si vous cochez la case Inherit, la caractéristique est configurée selon le paramètre configuré dans poli- tique de groupe de l'utilisateur. ccnp_cch
Configurez les caractéristiques suivantes dans l'onglet SSL VPN Client: Use SSL VPN Client - Requiert le Client VPN SSL, le rend optionnel ou le dévali- de pour l'utilisateur ou le groupe. Keep Installer on Client System - Valide l'autorisation d'installer le Client VPN SSL de manière permanente sur l'ordinateur distant. Cette validation évite la dé- sintallation automatique du Client VPN SSL. Le Client VPN SSL reste installé sur l'ordinateur distant pour les connexions Client VPN SSL suivantes, réduisant le temps de connexion pour l'utilisateur distant. Compression - La compression Client VPN SSL accroît les performances des communications entre l'appliance de sécurité et le Client VPN SSL en réduisant la taille des paquets devant être transférés. Keepalive Messages - Cochez la case Enable pour valider et ajuster le keepali- ve interne des messages pour assurer qu'une connexion Client VPN SSL à tra- vers un proxy, un pare-feu ou un équipement NAT reste ouverte même si l'équi- pement limite le temps d'inactivité d'une connexion. Ajuster cet intervalle assure également que le Client VPN SSL ne se déconnecte pas et se reconnecte quand l'utilisateur distant n'utilise pas de manière active une application basée sur les sockets, telle que Microsoft Outlook ou Microsoft Internet Explorer.. Le champ Seconds spécifie l'intervalle des messages dans un intervalle de 15 à 600 secondes. Rekey Negotiation Settings - Quand l'appliance de sécurité et le Client VPN SSL renégocient les clés de cryptage et les vecteurs d'initialisation, ils augmen- tent la sécurité de la connexion. – Renegotiation Interval - Décochez la case Unlimited pour spécifier le nombre de minutes à partir du début de la session avant la renégociation des clés, de 1 à 10080 (1 semaine). – Renegotiation Method - Cochez la case None pour dévalider la renégocia- tion de clés, cochez la case SSL pour spécifier la renégociation SSL pendant une renégociation de clés ou cochez la case tunnel pour établir un nouveau tunnel pendant la renégociation de clés du Client VPN SSL. Dead Peer Detection - Dead Peer Detection (DPD) assure que l'appliance de sécurité (gateway) ou le Client VPN SSL peut rapidement détecter de non répon- se de l'autre extrémité et que la connexion a échoué. – Gateway Side Detection - Cochez la case Enable pour spécifier que DPD est effectué par l'appliance de sécurité (gateway). Entrez l'intervalle, de 30 à 3600 secondes, avec lequel l'appliance de sécurité effectue le DPD. – Client Side Detection - Cochez la case Enable pour spécifier que le DPD est effectué par le client VPN SSL. Entrez l'intervalle, de 30 à 3600 seconds, avec lequel le Client VPN SSL effectue le DPD. ccnp_cch
Affichage des sessions Client VPN SSL Vous pouvez voir les informations concernant les sessions Client VPN actives dans la fenêtre Sessions. Choisissez Monitoring > VPN > VPN Statistics > Sessions. La fenêtre Sessions s'affi- che. Fenêtre VPN Statistics Sessions ccnp_cch
Vous pouvez voir les détails concernant les sessions Client VPN actives dans la fenêtre Sessions Details. Choisissez une session dans le tableau et cliquez sur Details. La fenêtre Sessions Details s'affiche. Fenêtre Sessions Details ccnp_cch
Clore les sessions Client VPN SSL Pour clore toutes les sessions Client VPN SSL, choisissez les sessions que vous voulez clore dans la liste des sessions actives dans la table session. Cliquez sur Logout. La session se ferme. Fenêtre Sessions Logging Off ccnp_cch