TP Sécurité - Configuration VPN SSL sans client (WebVPN) sur IOS Cisco avec SDM CFI_Site_Paris

Configuration de base d'un routeur avec SDM - Objectifs  Configuration d'un routeur Cisco comme passerelle WebVPN sur IOS Cisco en utilisant SDM. Cette configuration concerne le cas VPN SSL sans client. - Schéma du réseau HTTP .200 STA 145.0.1.0/24 OWA Fa0/0 DCE .10 R1 .2 .1 .230 .1 R1P1 .2 S0/0/0 S0/0/0 192.168.1.0/24 172.30.1.0/24 CIFS 10.0.1.0/24 .10 SDM .180 172.26.26.0/24 - Scénario Dans ce Lab vous allez configurer un routeur via Cisco Security Device Manager (SDM) et en utilisant quelques commandes de base pour permettre la connectivité entre le routeur R1 et le routeur R1P1. - Etape 1: Connexion des équipements et configuration de base Commencez ce Lab en effaçant les configuration précédentes et en redémarrant les équi- pements. Lorsque les équipements ont redémarré, configurez les noms appropriés. Confi- gurez les adresses IP présentées dans le schéma. L'horloge de l'interface S0/0/0 de R1P1 est 2000000 bit/s. Configurez EIGRP sur R1: R1(config)# router eigrp 100 R1(config-router)# no auto-summary R1(config-router)# network 145.0.1.0 R1(config-router)# network 192.168.1.0 Configurez EIGRP sur R1P1: R1P1(config)# router eigrp 100 R1P1(config-router)# no auto-summary R1P1(config-router)# network 145.0.1.0 R1P1(config-router)# network 172.30.1.0 R1P1(config-router)# network 10.0.1.0 CFI_Site_Paris

Vérifiez la connectivité à partir de STA avec les serveurs dont les adresses sont ptésentées dans le schéma du réseau. - Etape 2: Préparer le routeur pour le SDM L'application Cisco SDM utilise les lignes terminaux virtuels (vty) et le serveur HTTP pour gérer la configuration de l'équipement. Comme un utilisateur doit se logger pour changer ou accéder à la configuration, quelques commandes de base doivent être entrées pour permettre l'accès distant. Ce sont des commandes de base de l'IOS, elles ne sont pas spécifiques au SDM. Toutefois sans ces commandes, le SDM ne pourra pas accéder au routeur et ne fonctionnera pas. D'abord créez un nom d'utilisateur avec son mot de passe sur le routeur pour être utilisé avec le SDM. Ce login aura besoin du niveau de privilège 15 pour que le SDM puisse modi- fier les paramètres de configuration sur le routeur. La combinaison nom d'utilisateur et mot de passe sera utilisée plus tard pour l'accès au routeur. R1P1(config)# username ciscosdm privilege level 15 password ciscosdm L'accès au routeur avec HTTP doit être configuré pour que SDM fonctionne. Si votre image le supporte (vous devez avoir une image IOS qui supporte la cryptographie), vous devez également valider l'accès sécurisé HTTPS en utilisant la commande ip http secure-server. La validation de HTTPS génère un affichage au sujet de clés RSA. Ceci est normal. Assurez- vous également que le serveur HTTP utilise la base de données locale pour les besoins de l'authentification. R1P1(config)# ip http server R1P1(config)# ip http secure-server % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] *Jan 14 20:19:45.310: %SSH-5-ENABLED: SSH 1.99 has been enabled *Jan 14 20:19:46.406: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write memory" to save new certificate R1P1(config)# ip http authentication local Finalement configurez les terminaux virtuels du routeur pour l'authentification en utilisant la base de données locale. Autorisez l'entrée terminal virtuel au moyen de telnet et de SSH. R1P1(config)# line vty 0 4 R1P1(config-line)# login local R1P1(config-line)# transport input telnet ssh Il faut également configurer le mot de passe enable. R1P1(config)# enable secret ciscosdm CFI_Site_Paris

- Etape 3 : Configurer AAA AAA représente le service d'Authentification, d'Autorisation et d'Accounting. Celui-ci doit être activé et une méthode d'authentification doit être validée avant de commencer la con- figuration du WebVPN SSL. R1P1(config)# aaa new-model R1P1(config)# aaa authentication login default local La méthode d'authentification par défaut pour la connexion utilisera la base de données locale du routeur. - Etape 4 : Configurer la passerelle WebVPN Exécutez ces étapes pour configurer la passerelle WebVPN. 1. Dans l'application SDM, cliquez sur Configurer pui cliquez sur VPN. 2. Développez SSL VPN et choisissez Passerelles SSL VPN. CFI_Site_Paris

3. Cliquez sur Ajouter. La boite de dialogue Ajouter une Passerelle SSL VPN s'affiche. 4. Entrez la valeur dans le champ Nom de la passerelle. Cochez la case Activer la passerelle puis remplissez les champs Adresse IP et Nom d'hôte. 5. Cochez la case Rediriger le trafic HTTP puis cliquez sur OK pour accepter les modifications. CFI_Site_Paris

- Etape 5 : Configurer les ressources autorisées par un stratégie de groupe Pour que cela soit plus facile d'ajouter des ressources à une stratégie de groupe, vous pou- vez configurer les ressources avant de créer la stratégie de groupe. Exécutez ces étapes pour configurer les ressources pour la stratégie de groupe. 1. Cliquez sur Configurer puis cliquez sur VPN. CFI_Site_Paris

2. Choisissez SSL VPN puis cliquez sur l'onglet Modifier SSL VPN. Note: SSL VPN vous permet de configurer l'accès pour HTTP, HTTPS, l'exploration de fichiers Windows au travers du protocole CIFS (Common Internet File System) et Citrix. CFI_Site_Paris

3. Cliquez sur Ajouter . La boite de dialogue Ajouter un contexte SSL VPN s'affiche CFI_Site_Paris

4. Développez Contexte SSL VPN puis choisissez Listes ….. CFI_Site_Paris

5. Cliquez sur Ajouter. La boite de dialogue Ajouter une liste d'URL s'affiche. 6. Entrez les valeurs dans les champs Nom de la liste des URL et En-tête. 7. Cliquez sur Ajouter… puis sur Site Web…. Cette liste contient tous les serveurs Web HTTP et HTTPS que vous voulez rendre dispo- nibles pour cette connexion WebVPN. CFI_Site_Paris

8. Pour ajouter l'accès pour Outlook Web Access (OWA), cliquez sur Ajouter, choisissez Courriel et ensuite cliquez sur OK après avoir rempli tous les champs désirés. 9. Pour autoriser l'exploration de fichiers Windows au travers de CIFS, vous pouvez indi- quer un serveur NBNS (Netbios Name Service) et configurer les partages appropriés dans le domaine Windows. a. A partir de la fenêtre Ajouter un contexte SSL VPN, choisissez Listes de serveurs de noms. b. Cliquez sur Ajouter…. La boite de dialogue Ajouter une liste de serveurs NBNS s'affiche. CFI_Site_Paris

c. Entrez un nom pour la liste puis cliquez sur Ajouter…. d. Si cela est applicable, cochez la case Faire de ce serveur le serveur maître. e. Cliquez sur OK puis de nouveau sur OK. CFI_Site_Paris

- Etape 6 : Configurer la stratégie de groupe WebVPN et sélectionner les ressources. 1. Cliquez sur Configurer et ensuite clique sur VPN. 2. Développez SSL VPN puis choisissez Contexte SSL VPN puis cliquez sur Ajouter. 3. Choisissez l'interface qui est connectée au routeur R2 et choisissez l'intervalle des adresses IP qui partagent l'accès Internet vers R2. CFI_Site_Paris

3. Choisissez Stratégies de groupe puis cliquez sur Ajouter. La boite de dialogue Ajouter une stratégie de groupe s'affiche. 4. Entrez un nom pour la nouvelle stratégie de groupe puis cochez la case Faire de cette stratégie de groupe la stratégie de groupe par défaut pour le contexte. 5. Cliquez sur l'onglet Sans Client. CFI_Site_Paris

6. Cochez la case Sélectionner pour la liste d'URL désirée. 7. Si vos clients utilisent des clients Citrix qui ont besoin d'un accès au serveurs Citrix, cochez la case Activer Citrix. 8. Cochez les cases Activer CIFS, Lire et Ecrire. 9. Cliquez sur la liste déroulante Liste de serveurs NBNS et choisissez la liste de serveurs que vous avez créée pour l'exploration de fichiers Windows à l'étape 5. 10 . cliquez sur OK. CFI_Site_Paris

- Etape 7: Configurer le contexte SSL VPN Pour lier la passerelle WebVPN, la stratégie de groupe et les ressources, vous devez confi- gurer le contexte SSL VPN. pour configurer le contexte SSL VPN, exécutez ces étapes: 1. Cliquez sur Configurer et ensuite clique sur VPN. 2. Développez SSL VPN puis choisissez Contexte SSL VPN puis cliquez sur Ajouter. 3. Cliquez sur la liste déroulante Passerelle associée et choisissez une passerelle associée. 4. Si vous tentez de créer plusieurs contextes, entrez un nom unique dans le champ Domaine pour identifier ce contexte. Si vous laissez le nom de domaine en blanc, les utilisateurs devront accéder au WebVPN avec https://Adresse_IP. Si vous entrez un nom de domaine (par exemple Sales), les utilisateurs se connectent avec https://Adresse_IP/Sales. 5. Cochez la case Activer le contexte. 6. Dans le champ Nombre Maximum d'utilisateurs, entrez le nombre maximum d'utilisa- teurs autorisés par la licence de cet équipement. 7. Cliquez sur la liste déroulante Stratégie de groupe par défaut et sélectionnez la stra- tégie de groupe associée avec ce contexte. 8. Cliquez sur OK et ensuite sur OK. CFI_Site_Paris

- Etape 8: Configurer la base de données utilisateur et la méthode d'authentification Vous pouvez configurer les sessions VPN SSL sans client (WebVPN) pour l'authentification avec Radius, le serveur AAA Cisco ou une base de données locale. Cet exemple utilise une base de données locale. Exécutez ces étapes pour configurer la base de données utilisateurs et la méthode d'authentification. 1. Cliquez sur Configurer et ensuite cliquez sur Tâches supplémentaires. 2. Développez Accès Routeur et choisissez Cliquez sur OK pour terminer. CFI_Site_Paris

Configuration NAT statique Exécutez ces étapes pour configurer NAT statique sur le routeur R1. 1. Choisissez Configurer> NAT > Modifier une configuration NAT puis cliquez sur Ajouter pour configurer NAT statique. 2. Choisissez Direction de Interne vers externe ou Externe vers interne, spécifiez l'adresse IP interne devant être traduite sous Convertir depuis Interface. Pour Convertir vers Interface, sélectionnez le Type:  Choisissez Adresse IP si vous voulez une traduction vers l'interface définie dans le champ Adresse IP.  Choisissez Interface si vous voulez une traduction utilisant une interface du routeur. L'adresse source est traduite vers l'adresse IP affectée à l'interface que vous spécifiez dans le champ Interface. Cochez la case Port de redirection si vous voulez inclure l'information de port pour l'équipement interne dans la traduction. CFI_Site_Paris

Cliquez sur OK pour fermer les fenêtres. CFI_Site_Paris

- Etape 5: Configuration du Routage Configuration du routage statique Exécutez ces étapes pour configurer le routage statique sur le routeur R1. 1. Choisissez Configurer> Routage > Routage Statique puis cliquez sur Ajouter pour configurer le routage statique. 2. Entrez le réseau de destination avec le masque et sélectionnez soit l'interface sortante ou l'adresse IP du prochain saut. CFI_Site_Paris

Cette fenêtre montre le routage statique configuré pour le réseau 10.1.1.0 avec l'adresse IP 192.168.1.2 comme prochain saut. Configuration du routage dynamique Exécutez ces étapes pour configurer le routage dynamique sur le routeur R1. 1. Choisissez Configurer> Routage > Routage Dynamique. 2. Sélectionnez RIP puis cliquez sur Modifier. CFI_Site_Paris

4. Spécifiez l'adresse de réseau devant être annoncée. 3. Cochez la case Activer RIP, sélectionnez la version de RIP puis cliquez sur Ajouter. 4. Spécifiez l'adresse de réseau devant être annoncée. 172.1.0.0 5. Cliquez sur OK puis de nouveau sur OK pour envoyer les commandes au routeur. CFI_Site_Paris

CFI_Site_Paris

- Etape 6: Configurations diverses Exécutez ces étapes pour configurer d'autres fonctionnalités sur le routeur R1. 1. Choisissez Configurer> Tâches supplémentaires > Accès Routeur> Compte utilisa- teurs/Afficher pour ajouter/modifier/retirer des comptes utilisateurs au routeur. CFI_Site_Paris

2. Choisissez Fichier> Enregistrer la configuration en cours sur PC pour sauvegarder la configuration dans la NVRAM comme sur le PC et réinitialiser la configuration du routeur avec les valeurs par défaut. 3. Dans la barre de menu choisissez Edition > Préférences pour valider les Préférences de l'utilisateur.  Effectuer un aperçu des commandes avant leur envoi au routeur  Confirmer avant de quitter SDM  Continuer le contrôle de l'état de l'interface lors de la communication mode/tâche CFI_Site_Paris

- Etape 7: Vérification Exécutez ces étapes pour configurer d'autres fonctionnalités sur le routeur R1. 1. Choisissez Configurer> Interfaces et connexions > Modifier interface/connexion> Tester la connexion pour tester la connectivité de bout en bout. Vous pouvez spécifier l'adresse IP de l'extrémité distante si vous validez le bouton radio Indiqué par util. CFI_Site_Paris

- Etape 8: Résolution de problèmes Vous pouvez utiliser ces options pour résoudre des problèmes:  Choisissez Outils> Mettre à jour SDM depuis le barre de menu pour une exécuter une commande ping, Telnet et mettre à niveau le SDM avec la dernière version. Vous pouvez faire cela depuis le site de Cisco, le PC local ou le CD. CFI_Site_Paris

 Choisissez l'option Aide > A propos de ce routeur pour afficher les informations sur le matériel et le logiciel du routeur. CFI_Site_Paris

 L'option Aide fournit des informations sur les diverses options disponibles dans le SDM pour la configuration du routeur. CFI_Site_Paris