Sécurité - Configuration de l'Authentification Auth-Proxy Inbound IPSEC et Client VPN ccnp_cch
Sommaire - Introduction - Prérequis - Configurer - Configurations - Schéma du réseau - Vérification ccnp_cch
Introduction ccnp_cch La fonctionnalité auth-proxy permet aux utilisateurs d'accéder à un réseau ou à Inter- net via HTTP avec leurs profils d'accès spécifiques récupérés à partir d'un serveur TACACS+ ou RADIUS. Les profils des utilisateurs sont actifs uniquement quand il y a du trafic généré par les utilisateurs authentifiés. Cette configuration est conçue pour que le navigateur web du host 171.68.118.143 soit activé pour atteindre le serveur à l'adresse 17.17.17.17. Comme le client VPN est con- figuré pour passer par l'extrémité 40.31.1.111 du tunnel pour joindre le réseau 17.17. 17.0, le tunnel IPSEC est construit et le PC récupère une adresse IP dans le pool RTP- POOL (car le mode configuration est réalisé). L'authentification est demandée par le routeur Cisco 3640. Quand l'utilisateur a entré son "username" et "password" ( enre- gistrés sur le serveur TACACS+ situé à l'adresse 171.68.118.115), la liste d'accès est passée par le serveur et ajoutée dans la liste d'accès 118. Prérequis Avant de réaliser cette configuration, assurez-vous que ces conditions sont remplies: • Le client VPN Cisco est configuré pour établir un tunnel IPSEC avec le routeur 3640 • Le serveur TACACS+ est configuré pour la fonctionnalité proxy d'authentification Composants matériels et logiciels utilisés Les informations utilisées dans ce document sont basées sur les versions de logiciel et de matériel suivantes: • Cisco IOS Release 12.3(7)T • Cisco Routeur 3640 • Cisco Client VPN 4.0.1 Note: La commande ip auth-proxy a été introduite dans la version IOS 12.0(5).T. Cette configuration a été testée avec l'IOS Cisco release 12.3. ccnp_cch
Configurer Schéma du Réseau Configurations ccnp_cch Dans cette section sont présentées les informations nécessaires pour configurer la fonctionnalité décrite dans ce document. Schéma du Réseau Fa0/0 Fa1/0 R3640 PC Client VPN Serveur TACACS+ Web 171.68.118.115 171.168.118.143 171.68.118.1 40.31.1.1 40.31.1.111 17.17.17.17 14.14.14.14 17.17.17.16 14.14.14.15 Configurations Routeur 3640 Current configuration: ! version 12.3 service timestamps debug uptime service timestamps log uptime service password encryption ! hostname R3640 ! username rtpuser password 0 rtpuserpass ! !-- Username et password pour authentification locale ! aaa new-model aaa group server tacacs+ RTP server 171.168.118.115 ! aaa authentication login default group RTP none aaa authentication login userauth local aaa autorization exec default group RTP none aaa autorization network groupauth local aaa autorization auth-proxy default group RTP enable secret 5 $1$Rtuvw$3F9TdY/q3S0vu1 enable password ww ! ! ip subnet-zero ! ip auth-proxy auth-proxy-banner http ^C Please Enter Your Username and Password ^C ccnp_cch
ip auth-proxy auth-cache-time 10 ip auth-proxy name Liste_A http ip auth-proxy auth-cache-time 10 ip auth-proxy name Liste_A http ! ip audit notify log ip audit po max-events 100 ! !-- définition de la politique ISAKMP ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 ! !-- Ces commandes définissent la politique de groupe qui est !-- mise en oeuvre pour le groupe RTPUSERS. !-- Le nom de groupe et la clé doivent correspondre avec ce qui !-- configuré sur le client VPN. Les utilisateurs de ce groupe !-- auront une adresse IP affectée prise dans le pool RTP-POOL ! crypto isakmp client configuration group RTPUSERS key cisco123 pool RTP-POOL ! !-- Définition du transform-set IPSEC et affectation à la !-- crypto map dynamique ! crypto ipsec transform-set RTP-TRANSFORM esp-des esp-md5-hmac ! crypto dynamic-map RTP-DYNAMIC 10 set transform-set RTP-TRANSFORM ! !-- Définition de l'authentification étendue (X-Auth) en !-- utilisant la base de données locale. Cela est fait pour !-- authentifier les utilisateurs avant d'utiliser le tunnel IPSEC !-- pour accéder aux ressources. ! crypto map RTPCLIENT client authentication list userauth ! !-- Définition des autorisations avec la base de données locale !-- Ceci est requis pour transmettre les "configurations mode" !-- vers le client VPN. ! crypto map RTPCLIENT isakmp authorization list groupauth crypto map RTPCLIENT client configuration address initiate crypto map RTPCLIENT client configuration address respond crypto map RTPCLIENT 10 ipsec-isakmp dynamic RTP-DYNAMIC ! interface Ethernet0/0 ip address 40.31.1.111 255.255.255.0 ip access-group 118 in ip auth-proxy Liste_A crypto map RTPCLIENT no ip directed-broadcast no ip mroute-cache ! ccnp_cch
interface Ethernet1/0 ip address 14. 14. 14. 14 255. 255. 255 ! interface Ethernet1/0 ip address 14.14.14.14 255.255.255.0 no ip directed-broadcast ! !-- Définition du pool d'adresses ! ip local pool RTP-POOL 20.20.20.25 20.20.20.50 ! ip classless ! ip route 0.0.0.0 0.0.0.0 14.14.14.15 ip route 171.68.118.0 255.255.255.0 40.31.1.1 ! ! !-- Valide le serveur HTTP et l'authentification ! ip http server ip http authentication aaa ! !-- La liste d'accès 118 permet le passage des paquets IPSEC !-- et ISAKMP pour que le client VPN Cisco établisse le tunnel !-- IPSEC. La dernière ligne de la liste d'accès 118 permet !-- la communication entre le serveur TACACS+ et le routeur !-- Cisco 3640 pour l'authentification et l'autorisation. !-- Tout autre trafic est rejeté. ! access-list 118 permit esp 171.68.118.0 0.0.0.255 host 40.31.1.111 access-list 118 permit udp 171.68.118.0 0.0.0.255 host 40.31.1.111 eq isakmp access-list 118 permit tcp host 171.68.118.115 host 40.31.1.111 ! !-- Définition de l'adresse IP et de la clé pour le serveur TACACS+ ! tacacs-server host 171.68.118.115 key cisco ! ! line cons 0 transport input none line aux 0 line vty 0 4 paswword ww ! end ccnp_cch
Vérification Cette section fournit des informations que vous pouvez utiliser pour vérifier votre con- figuration. Etablissez un tunnel IPSEC entre le PC et le routeur 3640. Ouvrez un navigateur sur le PC et accédez à http://17.17.17.17. Le routeur Cisco 3640 intercepte ce trafic HTTP, déclenche le proxy d'authentification et demande un "username" et un mot de passe. Le routeur Cisco 3640 transmet le mot de passe et le "username" au serveur TACAS+ pour l'authentification. Si l'authentification est réussie, vous devez pouvoir afficher les pages du serveur Web à l'adresse 17.17.17.17. Commandes show • show ip access-lists -- Affiche les ACLs standards et étendues configurées sur le routeur pare-feu (entrées dynamiques des ACLS incluses). Les entrées dynamiques des ACLS sont ajoutées ou retirées si l'authentification réussit ou échoue. La sortie ci-dessous montre la liste d'accès 118 avant l'activation du proxy d'au- thentification. R3640# show ip access-lists 118 Extended IP access-list 118 10 permit esp 171.68.118.0 0.0.0.255 host 40.31.1.111 (321 matches) 20 permit udp 171.68.118.0 0.0.0.255 host 40.31.1.111 eq isakmp (276 matches) 30 permit tcp host 171.68.118.115 host 40.31.1.111 (174 matches) La sortie ci-dessous montre la liste d'accès 118 après l'activation du proxy d'au- thentification et une authentification réussie de l'utilisateur. R3640# show ip access-lists 118 Extended IP access-list 118 permit tcp host 20.20.20.26 any (7 matches) permit udp host 20.20.20.26 any (14 matches) permit icmp host 20.20.20.26 any 10 permit esp 171.68.118.0 0.0.0.255 host 40.31.1.111 (321 matches) 20 permit udp 171.68.118.0 0.0.0.255 host 40.31.1.111 eq isakmp (276 matches) 30 permit tcp host 171.68.118.115 host 40.31.1.111 (174 matches) Les trois premières lignes de la liste d'accès sont les entrées définies pour cet utili- sateur et téléchargées depuis le serveur TACACS+. ccnp_cch
• show ip auth-proxy-cache -- Affiche soit les entrées du proxy d'authentification soit la configuration courante du proxy d'authentification. Le mot clé cache permet de lister l'adresse IP du host, le numéro de port source, la valeur du timeout pour le proxy d'authentification et l'état des connexions qui utilisent le proxy d'authen- tification. Si l'état du proxy d'authentification est ESTAB, alors l'authentification de l'utilisateur est réussie. R3640# show ip auth-proxy Authentication Proxy Cache Client IP 20.20.20.26 port: 1705, timeout 5, state ESTAB ccnp_cch