Sécurité - Configuration VPN SSL Client léger sur IOS Cisco avec SDM ccnp_cch
Sommaire ● Introduction - Schéma du réseau - Prérequis - Composants utilisés ● Configuration - Schéma du réseau - Configuration du client léger VPN SSL - Configuration ● Vérification - Vérification de la configuration - Commandes ● Résolution de problèmes - Commandes pour résolution de problèmes ccnp_cch
Introduction La technologie VPN SSL Client léger peut être utilisée pour autoriser l'accès sécurisé pour des applications qui utilisent des ports statiques. Telnet (23), POP3(110), SMTP (25), IMAP4 (143) et SSH (22) en sont des exemples. Le client léger peut être piloté par utilisateur ou par des politiques de groupe qui peuvent être crées pour inclure un ou plusieurs utilisateurs. La technologie WebVPN peut être configurée selon trois modes: VPN SSL sans client (WebVPN), VPN SSL client léger (Port Forwarding) et Client VPN SSL (Full Tunnel Mode). ● VPN SSL sans client (WebVPN) - Permet à un client distant qui a seulement besoin d'un navigateur Web avec SSL d'accéder à des serveurs Web HTTP ou HTTPS d'un réseau LAN d'entreprise. De plus le VPN SSL sans client permet l'accès pour l'ex- ploration de fichiers Windows au travers du protocole CIFS (Common Internet File System). Le client Outlook Web Access est un exemple d'accès HTTP. ● VPN SSL client léger (Port Forwarding) - Permet à un client distant de télécharger un petit Applet Java et autorise l'accès sécurisé à des applications TCP qui utili- sent des ports statiques. POP3, SMTP, IMAP, SSH et Telnet sont des exemples. Comme les fichiers de la machine locale sont modifiés, les utilisateurs doivent avoir le privilège d'administration locale. Cette méthode VPN SSL ne fonctionne pas avec des applications qui utilisent des ports dynamiques telles que les appli- cations FTP. ● Client VPN SSL (Full Tunnel mode) - Télécharge un petit client sur le poste de tra- vail distant et autorise un accès sécurisé complet aux ressources d'un réseau in- terne d'entreprise. Vous pouvez charger le client VPN SSL sur la station de travail distante de manière permanente ou vous pouvez retirer le client une fois que la session est terminée. La technologie VPN SSL ou WebVPN est supportée sur les plateformes IOS routeur suivantes: ● Cisco 870, 1811, 1841, 2801, 2811, 2821 and 2851 series routers ● Cisco 3725, 3745, 3825, 3845, 7200 and 7301 series routers Prérequis Assurez-vous que vous avez ces prérequis avant de tenter cette configuration: Prérequis pour le routeur IOS Cisco ● Tout routeur listé ci-dessus, avec une copie de SDM préinstallée et une image avancée de de l'IOS version 12.4(6)T ou suivante. ● Station d'administration avec SDM chargé. Cisco livre les nouveaux routeurs avec une copie de SDM préinstallée. Si votre routeur n'a pas le SDM installé, vous pouvez obtenir le SDM sur le site cisco.com à Software Download - Cisco Security Device Manager. Vous devez posséder un compte CCO avec un contrat de service. ccnp_cch
Prérequis pour les ordinateurs clients ● Les clients distants doivent avoir les privilèges d'administration locale, cela n'est pas requis mais fortement recommandé. ● Les clients distants doivent avoir JRE (Java RunTime Environment) version 1.4 ou suivante. ● Les clients distants doivent avoir un des navigateurs Web suivants: Internet Explo- rer 6.0, Netscape 7.1, Mozilla 1.7, Safari 1.2.2 ou Firefox 1.0. ● Les "cookies" validés et fenêtres "Popup" autorisées sur les clients distants. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● Cisco Advanced Enterprise Software Image 12.4(9)T ● Routeur Cisco 3825 Integrated Services Router ● Routeur Cisco et Security Device Manager (SDM) − version 2.3.1 Schéma du réseau POP3 Port 110 PC ou Portable 172.22.1.20 172.22.1.30 Telnet Port 23 Linux Passerelle WebVPN 192.168.0.37 172.22.1.250 MAC Réseau Public SSH Port 22 Cisco 3825 Client Léger 172.22.1.10 SMTP Port 25 Navigateur Web avec SSL Https://192.168.0.37 172.22.1.50 ccnp_cch
Configuration du client léger VPN SSL Utilisez le Wizard fourni dans l'interface SDM (Security Device Manager) pour configu- rer le client léger VPN SSL sur IOS Cisco ou configurez-le avec l'interface ligne de com- mande (CLI) ou manuellement dans l'application SDM. Cet exemple utilise le Wizard. 1. Choisissez l'onglet Configure a. A partir du panneau de navigation choisissez VPN> WebVPN. b. Cliquez sur l'onglet Create WebVPN. c. Cliquez sur le bouton radio Create a new WebVPN. d. Cliquez sur le bouton Launch the selected task. ccnp_cch
2. Le Wizard WebVPN se lance. Cliquez sur Next. ccnp_cch
Entrez l'adresse IP et le nom unique pour la passerelle WebVPN Entrez l'adresse IP et le nom unique pour la passerelle WebVPN. Cliquez sur Next. ccnp_cch
3. L'écran User Authentication permet de fournir l'authentification aux utilisateurs. Cette configuration utilise un compte crée localement sur le routeur. Vous pouvez utiliser un serveur AAA (Authentication, Authorization, Accounting). a. Pour ajouter un utilisateur cliquez sur Add. b. Entrez l'information utilisateur dans l'écran Add an Account et cliquez sur OK. c. Cliquez sur Next dans l'écran User Authentication. d. L'écran WebVPN Wizard permet la configuration des sites Web Intranet mais cette étape est sautée car le principe du "Port Forwarding" est utilisé pour l'accès à cette application. Si vous voulez autoriser l'accès aux sites Web, utilisez les confi- gurations SSL VPN sans client VPN SSL. ccnp_cch
e. Cliquez sur Next. Le Wizard affiche un écran qui permet la configuration d'un client Full Tunnel. Cela ne s'applique pas à notre client léger VPN SSL (Port For- warding). ccnp_cch
f. Décochez la case Enable Full Tunnel. Cliquez sur Next. ccnp_cch
4. Personnalisez l'apparence de la page de portail WebVPN ou acceptez l'apparence par défaut. a. Cliquez sur Next. ccnp_cch
b. Affichez un résumé de la configuration puis cliquez sur Finish> Save. ccnp_cch
5. Vous avez crée une passerelle WebVPN et un contexte WebVPN avec une politique de groupe liée. Configurez les ports du Client léger qui sont disponibles quand le client se connecte au WebVPN. a. Choisissez Configure. b. Choisissez VPN> WebVPN. c. Choisissez Create WebVPN. d. Choisissez le bouton radio Configure advanced features for an existing WebVPN et cliquez sur Launch the selected task. ccnp_cch
e. L'écran Welcome affiche en surligné les capacités du Wizard e. L'écran Welcome affiche en surligné les capacités du Wizard. Cliquez sur Next. ccnp_cch
f. Choisissez le contexte WebVPN et le User Group depuis les listes déroulantes. Cliquez sur Next. ccnp_cch
g. Choisissez Thin Client (Port Forwarding) et ensuite cliquez sur Next. h. Entrez les ressources que vous voulez rendre disponibles au travers du Port For- warding. Le port du service doit être un port statique mais vous pouvez accepter le port par défaut sur le PC client affecté par le Wizard. Cliquez sur Next. ccnp_cch
ccnp_cch
i. Prévisualisez un résumé de la configuration et cliquez sur Finish> OK> Save. ccnp_cch
Configuration ccnp_cch ausnml-3825-01 Building configuration... Current configuration : 4343 bytes ! ! Last configuration change at 15:55:38 UTC Thu Jul 27 2006 by ausnml ! NVRAM config last updated at 21:30:03 UTC Wed Jul 26 2006 by ausnml version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password−encryption hostname ausnml−3825−01 boot−start−marker boot system flash c3825−adventerprisek9−mz.124−9.T.bin boot−end−marker no logging buffered enable secret 5 $1$KbIu$5o8qKYAVpWvyv9rYbrJLi/ aaa new−model aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 local aaa authentication login sdm_vpn_xauth_ml_2 local aaa authorization exec default local aaa session−id common resource policy ip cef ip domain name cisco.com voice−card 0 no dspfarm !−−− Information Certificate Auto−Signé crypto pki trustpoint ausnml−3825−01_Certificate enrollment selfsigned serial−number none ip−address none revocation−check crl rsakeypair ausnml−3825−01_Certificate_RSAKey 1024 crypto pki certificate chain ausnml−3825−01_Certificate certificate self−signed 02 30820240 308201A9 A0030201 02020102 300D0609 2A864886 F70D0101 04050030 !−−− Partie supprimée ccnp_cch
quit ! username ausnml privilege 15 password 7 15071F5A5D292421 username fallback privilege 15 password 7 08345818501A0A12 username austin privilege 15 secret 5 $1$3xFv$W0YUsKDx1adDc.cVQF2Ei0 username sales_user1 privilege 5 secret 5 $1$2/SX$ep4fsCpodeyKaRji2mJkX/ username admin0321 privilege 15 secret 5 $1$FxzG$cQUJeUpBWgZ.scSzOt8Ro1 interface GigabitEthernet0/0 ip address 192.168.0.37 255.255.255.0 duplex auto speed auto media−type rj45 interface GigabitEthernet0/1 ip address 172.22.1.151 255.255.255.0 ip route 0.0.0.0 0.0.0.0 172.22.1.1 ip http server ip http authentication local ip http secure−server ip http timeout−policy idle 600 life 86400 requests 100 control−plane line con 0 stopbits 1 line aux 0 line vty 0 4 exec−timeout 40 0 privilege level 15 password 7 071A351A170A1600 transport input telnet ssh line vty 5 15 password 7 001107505D580403 scheduler allocate 20000 1000 !−−− Passerelle WebVPN webvpn gateway gateway_1 ip address 192.168.0.37 port 443 http−redirect port 80 ssl trustpoint ausnml−3825−01_Certificate inservice ccnp_cch
Vérification ccnp_cch !−−− Contexte WebVPN webvpn context webvpn title−color #CCCC66 secondary−color white text−color black ssl authenticate verify all ! !−−− Ressources disponibles pour le client léger port−forward "portforward_list_1" local−port 3002 remote−server "172.22.1.20" remote−port 110 description "Pop3 Email" local−port 3001 remote−server "172.22.1.30" remote−port 23 description "Router1" local−port 3000 remote−server "172.22.1.50" remote−port 25 description "Email" local−port 3003 remote−server "172.22.1.10" remote−port 22 description "Router2 SSH" !−−− Politique de groupe policy group policy_1 default−group−policy policy_1 aaa authentication list sdm_vpn_xauth_ml_2 gateway gateway_1 domain webvpn max−users 2 inservice end Vérification Vérification de votre configuration Utilisez cette section pour vérifier que votre configuration fonctionne correctement. 1. Utilisez un ordinateur client pour accéder à la passerelle WebVPN à https://gate- way_ip_address. Rappelez-vous d'inclure un nom de domaine WebVPN si vous créez des contextes WebVPN uniques. Par exemple si vous créez un nom de domai- ne appelé sales, entrez http://gateway_ip_address/sales. ccnp_cch
2. Entrez le login et acceptez le certificat proposé par la passerelle WebVPN. Cliquez sur Start Application Access. ccnp_cch
ccnp_cch
3. Un écran Application Access s'affiche 3. Un écran Application Access s'affiche. Vous pouvez accéder à une application avec le numéro de port local et votre adresse IP locale de loopback. Par exemple pour l'accès Telnet au routeur1, entrez telnet 127.0.0.1 3001. Le petit Applet Java trans- met l'information à la passerelle WebVPN qui ensuite relie les deux extrémités de la session de manière sécurisée. Les connexions réussies font croître les valeurs des colonnes Bytes Out et Bytes In. Commandes Plusieurs commandes show sont associées au WebVPN. Vous pouvez exécuter ces commandes avec l'interface ligne de commande (CLI). Résolution de problèmes Utiliser cette section pour résoudre les problèmes liés à votre configuration. Les ordinateurs des clients doivent avoie SUN Java version 1.4 ou suivante. Commandes utilisées pour résolution de problèmes ● show webvpn ? - Il y a plusieurs commandes show associées au WebVPN. Vous pouvez exécuter ces commandes avec l'interface ligne de commande (CLI). ● debug webvpn ? - L'utilisation de commandes debug peut avoir un impact négatif sur les performances du routeur. ccnp_cch