Configuration du PIX/ASA Authentification étendue PIX ASA 7.x - Configuration du PIX/ASA comme Serveur VPN distant avec Authentification étendue en utilisant l'ASDM et la CLI ccnp_cch
Sommaire Introduction Rappel Configurations Vérification - Prérequis - Composants utilisés - Produits liés Rappel Configurations - Configurer l'ASA/PIX comme serveur VPN distant en utilisant l'ASDM la CLI - Configuration du stockage du mot de passe du Client VPN Cisco - Dévalider l'authentification étendue Vérification Résolution de problèmes ccnp_cch
Introduction Rappel ccnp_cch Ce document décrit comment configurer l'ASA (Adaptive Security Appliance) Cisco Série 5500 pour qu'elle agisse comme serveur VPN distant en utilisant l'ASDM (Adap- tive Security Device Manager) ou la CLI. L'ASDM permet une administration globale de la sécurité et la supervision au travers d'une interface de gestion basée Web, intuitive et d'utilisation aisée. Dès que la configuration de l'ASA Cisco est terminée, elle peut être vérifiée en utilisant le client VPN Cisco. Reférez-vous au document "Configuration de l'ASA/PIX 7.x et du client VPN 4.x avec authentification Windows 2003 IAS RADIUS pour établir des connexions d'accès VPN distant entre un client VPN Cisco ( 4.x pour Windows) et l'appliance de sécurité Cisco PIX 500 7.x. L'utilisateur Client VPN distant s'authentifie avec l'Active Directory en utilisant le serveur RADIUS de Microsoft Windows 2003 Internet Authentication Servi- ce (IAS). Référez-vous au document "Configuration PIX/ASA 7.x et Client VPN Cisco 4.x pour l'authentification avec Cisco Secure ACS" pour établir une connexion d'accès distant VPN entre un client VPN Cisco (4.x pour Windows) et l'appliance de sécurité PIX 500 7.x en utilisant Cisco Secure Access Control Server (ACS version 3.2) pour l'authen- tification étendue (Xauth). Prérequis Ce document présume que l'ASA est totalement opérationnel et configuré pour autori- ser les modifications de configuration avec l'ASDM ou la CLI. Note: Reférez-vous à "Configuration de l'autorisation de l'accès HTTPS pour l'ASDM au PIX/ASA 7.x: SSH sur l'interface inside ou outside pour autoriser la configuration à distance de l'équipement avec SSH ou avec l'ASDM". Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: Cisco Adaptive Security Appliance Software Version 7.x et suivants Adaptive Security Device Manager Version 5.x et suivants Cisco VPN Client Version 4.x et suivants Produits liés Cette configuration peut être aussi utilisée avec l'appliance de sécurité Cisco PIX ver- sion 7.x. Rappel Les configurations d'accès distant fournissent de l'accès distant sécurisé pour les clients VPN tels que les utilisateurs mobiles. Un VPN d'accès distant permet aux utili- sateurs distants d'accéder de manière sécurisée à des ressources réseau centralisées. ccnp_cch
Le client VPN Cisco est conforme au protocole IPSec et il est spécialement conçu pour fonctionner avec l'appliance de sécurité. Toutefois, l'appliance de sécurité peut établir des connexions IPSec avec beaucoup de clients conformes au protocole. Référez-vous à "ASA Configuration Guide" pour plus d'information sur IPSec. Les groupes et les utilisateurs sont des concepts centraux dans l'administration de la sécurité VPN et dans la configuration de l'appliance de sécurité. Ils spécifient les attri- buts qui déterminent l'accès des utilisateurs au VPN et son utilisation. Un groupe est un ensemble d'attributs traités comme une seule entité. Les utilisateurs obtiennent leurs attributs à partir de politiques de groupe. Les groupes tunnel identifient la politi- que de groupe pour des connexions données. Si vous n'affectez pas de politique de groupe particulière aux utilisateurs, la politique de groupe par défaut pour cette con- nexion est appliquée. Un groupe tunnel consiste en un ensemble d'enregistrements qui détermine les politi- ques de connexion tunnel. Ces enregistrements identifient les serveurs avec lesquels les utilisateurs du tunnel sont authentifiés comme également les serveurs d'accoun- ting, s'il y en a, vers lesquels des informations sont transmises. Ils identifient aussi une politique de de groupe par défaut pour les connexions et contiennent les paramè- tres de connexion spécifiques au protocole. Les groupes tunnel comprennent un petit nombre d'attributs qui servent à la création du tunnel lui-même. Les groupes tunnel contiennent un pointeur qui pointe vers une politique de groupe qui définit les attri- buts orientés utilisateurs. Note: Dans l'exemple de configuration de ce document, des comptes utilisateurs lo- caux sont utilisés pour l'authentification. Si vous désirez utiliser un autre service tel que LDAP et RADIUS, référez-vous à "Configurer un serveur RADIUS externe pour l'authentification". Le protocole ISAKMP (Internet Security Association and Key Management Protocol) est le protocole de négociation que les hosts utilisent pour la négociation des associations de sécurité IPSec. Chaque négociation ISAKMP est divisée en deux parties: Phase 1 et Phase 2. La Phase 1 crée le premier tunnel pour protéger les messages de négociation ISAKMP. La Phase 2 crée le tunnel pour protéger les données à travers la connexion sécurisée. ccnp_cch
Configurations ccnp_cch Configurer l'ASA/PIX comme serveur VPN distant en utilisant l'ASDM Exécutez ces étapes pour configurer l'ASA Cisco comme serveur VPN distant en utili- sant l'ASDM. 1. Sélectionnez Wizards > VPN Wizard dans la fenêtre Home. ccnp_cch
2. Sélectionnez Remote Access pour VPN Tunnel Type et assurez-vous que le champ VPN Tunnel Interface est correctement sélectionné puis cliquez sur Next. ccnp_cch
3. Le seul VPN Client Type disponible est déjà sélectionné 3. Le seul VPN Client Type disponible est déjà sélectionné. Cliquez sur Next. ccnp_cch
4. Entrez le nom du groupe tunnel dans le champ Tunnel Group Name 4. Entrez le nom du groupe tunnel dans le champ Tunnel Group Name. Choisissez l'authentification à utiliser. Pre-shared Key est choisi dans cet exemple. Note: Il n' y a pas moyen de cacher/crypter la clé pré-partagée sur l'ASDM. La rai- son est que l'ASDM doit être utilisé par des personnes autorisées à configurer l'ASA ou par des personnes qui affectent cette configuration à l'utilisateur. 5. Choisissez si vous voulez que les utilisateurs distants soient authentifiés par la ba- se de données locale ou par un groupe de serveurs AAA externe. Note: Vous ajoutez des utilisateurs à la base de données locale à l'étape 6. Note: Référez-vous à "PIX/ASA 7.x Authentication and Authorization Server Groups for VPN Users via ASDM Configuration Example" pour des informations sur comment configurer un groupe de serveurs AAA externe via l'ASDM. ccnp_cch
6. Ajoutez les utilisateurs à la base de données locale si nécessaire 6. Ajoutez les utilisateurs à la base de données locale si nécessaire. Note: Ne retirez pas d'utilisateurs existants à partir de cette fenêtre. Sélectionnez Configuration> Device Administration> Administration> User Account dans la fenêtre principale de l'ASDM pour éditer des entres existantes dans la base de don- nées ou en retirer. ccnp_cch
ccnp_cch
7. Définissez un pool d'adresses locales pour que celles-ci soient affectées dynamique- ment aux clients VPN distants quand ils se connectent. 8. Optionnel : Spécifiez le serveur DNS et le serveur WINS ainsi que le nom du domai- ne par défaut devant être transmis aux clients VPN distants. ccnp_cch
9. Spécifiez les paramètres IKE, connus également comme IKE Phase 1 9. Spécifiez les paramètres IKE, connus également comme IKE Phase 1. Les configurations à chacune des extrémités du tunnel doivent être parfaitement identiques. Cependant le client VPN Cisco sélectionne la configuration correcte pour lui-même. Par conséquent aucune configuration IKE n'est nécessaire sur le client. 10. Spécifiez les paramètres pour IPSec, connus également comme IKE Phase 2. Les configurations à chacune des extrémités du tunnel doivent être parfaitement identiques. Cependant le client VPN Cisco sélectionne la configuration correcte pour lui-même. Par conséquent aucune configuration IKE n'est nécessaire sur le client. ccnp_cch
11. Spécifiez, s'il y en a, les hosts internes ou les réseaux accessibles aux utilisateurs VPN distants. Si vous laissez cette liste vide, cela autorise les clients VPN distants à accéder au réseau interne de l'ASA dans sa totalité. Vous pouvez également valider le "split tunneling" dans cette fenêtre. Le "split tunneling" permet le cryptage du trafic pour les ressources définies plus tôt dans cette procédure et fournit un accès non crypté à Internet dans sa totalité sans passer le trafic dans le tunnel. Si le "split tunneling" n'est pas validé, tout le trafic issu des utilisateurs VPN distants est passé vers le tunnel par l'ASA. Ceci peut devenir très consommateur en bande passante et en ressource CPU. ccnp_cch
12. Cette fenêtre montre un résumé des actions que vous avez prises 12. Cette fenêtre montre un résumé des actions que vous avez prises. Cliquez sur Finish si vous êtes satisfait de votre configuration. ccnp_cch
Configurer l'ASA/PIX comme serveur VPN distant en utilisant la CLI Exécutez ces étapes pour configurer l'ASA Cisco comme serveur VPN distant en utili- sant la ligne de commande. 1. Entrez la commande ip local pool en mode de configuration global pour configu- rer les pools d'adresses à utiliser pour les tunnels d'accès VPN distants. Pour ef- facer les pools d'adresses entrez la même commande précédée de no. L'appliance de sécurité utilise les pools d'adresses sur la base du groupe tunnel utilisé pour la connexion. Si vous configurez plusieurs pools d'adresses pour un groupe tunnel, l'appliance de sécurité les utilise dans l'ordre avec lequel ils ont été crées. Entrez cette commande pour créer un pool d'adresses local qui peut être utilisé pour affecter des adresse dynamiques aux clients d'accès VPN distants. ASA−AIP−CLI(config)#ip local pool vpnpool 172.16.1.100−172.16.1.199 mask 255.255.255.0 2. Entrez cette commande: ASA−AIP−CLI(config)#username marty password 12345678 3. Entrez cette commande: − ASAAIP−CLI(config)#tunnel−group hillvalleyvpn general−attributes 4. Entrez cette commande pour faire référence à la base de données utilisateur locale pour l'authentification. ASA−AIP−CLI(config−tunnel−general)#authentication−server−group LOCAL 5. Entrez cette commande pendant que vous êtes en mode general-attributes du groupe tunnel hillvalleyvpn pour affecter le pool vpnpool crée à l'étape 1 au groupe hillvalleyvpn. ASA−AIP−CLI(config−tunnel−general)#address−pool vpnpool 6. Entrez cette commande: ASA−AIP−CLI(config)#tunnel−group hillvalleyvpn ipsec−ra 7. Entrez cette commande: ASA−AIP−CLI(config)#tunnel−group hillvalleyvpn ipsec−attributes 8. Entrez cette commande: ASA−AIP−CLI(config−tunnel−ipsec)#pre−shared−key cisco123 ccnp_cch
9. Entrez ces commandes pour configurer les paramètres spécifiques du tunnel: ASA−AIP−CLI(config)#isakmp policy 1 authentication pre−share ASA−AIP−CLI(config)#isakmp policy 1 encryption 3des ASA−AIP−CLI(config)#isakmp policy 1 hash sha ASA−AIP−CLI(config)#isakmp policy 1 group 2 ASA−AIP−CLI(config)#isakmp policy 1 lifetime 43200 ASA−AIP−CLI(config)#isakmp enable outside ASA−AIP−CLI(config)#crypto ipsec transform−set ESP−3DES−SHA esp−3des esp−sha−hmac ASA−AIP−CLI(config)#crypto dynamic−map outside_dyn_map 10 set transform−set ESP−3DES−SHA ASA−AIP−CLI(config)#crypto dynamic−map Outside_dyn_map 10 set reverse−route security−association lifetime seconds 288000 ASA−AIP−CLI(config)#crypto map Outside_map 10 ipsec−isakmp dynamic Outside_dyn_map ASA−AIP−CLI(config)#crypto map outside_map interface outside ASA−AIP−CLI(config)#crypto isakmp nat−traversal 10. Optionnel: Si vous voulez que la connexion outrepasse la liste d'accès appliquée à l'interface, entrez cette commande: ASA−AIP−CLI(config)#sysopt connection permit−ipsec Note: Cette commande fonctionne sur les images 7.x avant 7.2(2). Si vous utili- sez une image 7.2(2), entrez la commande suivante: ASA−AIP−CLI(config)#sysopt connection permit−vpn 11. Entrez cette commande: ASA−AIP−CLI(config)#group−policy hillvalleyvpn internal 12. Entrez ces commandes pour configurer les paramètres de connexion Client. ASA−AIP−CLI(config)#group−policy hillvalleyvpn attributes ASA−AIP−CLI(config)#(config−group−policy)#dns−server value 172.16.1.11 ASA−AIP−CLI(config)#(config−group−policy)#vpn−tunnel−protocol IPSec ASA−AIP−CLI(config)#(config−group−policy)#default−domain value test.com ccnp_cch
ccnp_cch Configuration de l'ASA ASA−AIP−CLI(config)#show running−config ASA Version 7.2(2) ! hostname ASAwAIP−CLI domain−name corp.com enable password WwXYvtKrnjXqGbu1 encrypted names interface Ethernet0/0 nameif Outside security−level 0 ip address 10.10.10.2 255.255.255.0 interface Ethernet0/1 nameif inside security−level 100 ip address 172.16.1.2 255.255.255.0 interface Ethernet0/2 shutdown no nameif no security−level no ip address interface Ethernet0/3 interface Management0/0 passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server−group DefaultDNS pager lines 24 mtu Outside 1500 mtu inside 1500 ip local pool vpnpool 172.16.1.100−172.16.1.199 mask 255.255.255.0 no failover icmp unreachable rate−limit 1 burst−size 1 no asdm history enable arp timeout 14400 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 ccnp_cch
timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00 timeout uauth 0:05:00 absolute group−policy hillvalleyvpn1 internal group−policy hillvalleyvpn1 attributes dns−server value 172.16.1.11 vpn−tunnel−protocol IPSec default−domain value test.com username marty password 6XmYwQOO9tiYnUDN encrypted no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform−set ESP−3DES−SHA esp−3des esp−sha−hmac crypto dynamic−map Outside_dyn_map 10 set transform−set ESP−3DES−SHA crypto dynamic−map outside_dyn_map 10 set security−association lifetime seconds 288000 crypto map Outside_map 10 ipsec−isakmp dynamic Outside_dyn_map crypto map Outside_map interface Outside crypto isakmp enable Outside crypto isakmp policy 10 authentication pre−share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp nat−traversal 20 tunnel−group hillvalleyvpn type ipsec−ra tunnel−group hillvalleyvpn general−attributes address−pool vpnpool tunnel−group hillvalleyvpn ipsec−attributes pre−shared−key * telnet timeout 5 ssh timeout 5 console timeout 0 ! class−map inspection_default match default−inspection−traffic policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet ccnp_cch
Configuration du stockage du mot de passe du Client VPN Cisco inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service−policy global_policy global prompt hostname context Cryptochecksum:0f78ee7ef3c196a683ae7a4804ce1192 : end ASA−AIP−CLI(config)# Configuration du stockage du mot de passe du Client VPN Cisco Si vous avez beaucoup de clients, il est très difficile de se rappeler de tous les noms d'utilisateurs et des mots de passe des clients VPN. Pour stocker les mots de passe dans la machine Client VPN, configurez l'ASA/PIX et le client VPN comme cela est décrit dans cette section. ASA/PIX Utilisez la commande group-policy attributes en mode de configuration global. group−policy VPNusers attributes password−storage enable Client VPN cisco Editez le fichier .pcf et modifiez ces paramètres: SaveUserPassword=1 UserPassword= <type your password> Dévalider l'authentification étendue En mode groupe tunnel entrez cette commande pour dévalider l'authentification éten- due qui est validée par défaut sur l'ASA/PIX. asa(config)#tunnel−group client ipsec−attributes asa(config−tunnel−ipsec)#isakmp ikev1−user−authentication none Après que vous ayez dévalidé l'authentification étendue, les clients VPN n'auront plus la fenêtre d'authentification Username/Password pour l'authentification (Xauth). Par conséquent l'ASA/PIX ne demandera pas de configuration de nom d'utilisateur et de mot de passe pour authentifier les clients VPN. ccnp_cch
Vérification ccnp_cch Tentez de vous connecter à l'ASA en utilisant le client VPN Cisco pour vérifier que l'ASA est correctement configuré. 1. Sélectionnez Connection Entries > New ccnp_cch
2. Remplissez les informations de votre nouvelle connexion 2. Remplissez les informations de votre nouvelle connexion. Le champ Host doit contenir l'adresse IP ou le nom de host configuré plus tôt sur l'ASA. L'information Group Authentication doit correspondre à celle utilisée à l'éta- pe 4. Sauvegardez en cliquant sur Save avant de terminer. 3. Sélectionnez la connexion nouvellement créée puis cliquez sur Connect. ccnp_cch
4. Entrez un nom d'utilisateur et un mot de passe pour l'authentification étendue. Ces informations doivent correspondre à celles des étapes 5 et 6. 5. Quand la connexion est établie avec succès, sélectionnez Statistics à partir du me- nu Status pour vérifier les détails du tunnel. Cette fenêtre affiche les informations de trafic et de cryptage. ccnp_cch
Résolution de problèmes Cette fenêtre affiche les informations de "split-tunneling". Résolution de problèmes Utilisez cette section pour résoudre les problèmes de configuration. Crypto ACL incorrecte L'ASDM 5.0(2) est connu pour créer et appliquer une liste de contrôle d'accès (ACL) crypto qui crée des problèmes pour les clients VPN qui utilisent le "split-horizon" tout comme les clients matériel en mode extension réseau. Utilisez l'ASDM version 5.0(4.3) ou suivants pour éviter ce problème. ccnp_cch