- Restreindre l'accès réseau des utilisateurs VPN distants avec l'ASDM PIX ASA 7.x - Restreindre l'accès réseau des utilisateurs VPN distants avec l'ASDM ccnp_cch
Sommaire • Introduction - Prérequis - Composants utilisés - Schéma du réseau • Configuration de l'accès via l'ASDM • Configuration de l'accès via la CLI • Vérification ccnp_cch
Introduction ccnp_cch Cet document fournit un exemple de configuration utilisant l'ASDM (Adaptive Security Device Manager) Cisco pour restreindre l'accès à certains réseaux internes, situés der- rière l'appliance de sécurité PIX ou ASA ( Adaptive Security Appliance), pour des utili- sateurs d'accès distants VPN. Vous pouvez limiter les utilisateurs VPN accès distant à des zones de votre réseau auxquelles vous voulez que ces utilisateurs accèdent quand: 1. Vous créez des listes d'accès 2. Vous les associez à des politiques de groupe 3. Vous associez ces politiques de groupe à des groupes tunnel Prérequis Assurez-vous que vous avez les prérequis suivants avant de tenter cette configuration. ● Le PIX peut être configuré en utilisant l'ASDM ● Vous avez au moins une configuration d'accès VPN opérationnelle Note : Si vous n'avez pas une configuration de la sorte, référez-vous à "ASA as a Remo- te VPN Server using ASDM Configuration Example" pour plus d'informations sur com- ment configurer correctement un accès VPN distant. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● Cisco Secure PIX 500 Series Security Appliance version 7.1(1) Note: Les Appliances de sécurité PIX 501 et 506E ne supportent pas la version 7.x. ● Cisco Adaptive Security Device Manager version 5.1(1) Note: L'ASDM est disponible uniquement sur PIX ou ASA 7.x. Produits liés Cette configuration peut être également utilisée avec les versions logicielles et maté- rielles suivantes: ● Cisco ASA 5500 Series Adaptive Security Appliance version 7.1(1) ccnp_cch
Schéma du réseau ccnp_cch Internet controller1 engineer1 Internet Intranet 10.8.27.0/24 Payroll 10.8.28.0/24 Engineering 192.168.1.0/24 Dans cet exemple de configuration, on se base sur un petit réseau d'entreprise avec trois sous-réseaux. Le schéma ci-dessus illustre la topologie. les trois sous-réseaux sont Intranet, Engineering et Payroll. Le but de cet exemple de configuration est de permettre un accès distant au personnel de la comptabilité (Payroll) aux sous-réseaux Payroll et Intranet et les empêcher d'accéder au réseau Engineering. De même les ingé- nieurs doivent être capables d'accéder à distance aux réseaux Intranet et Engineering mais pas au sous-réseau Payroll. L'utilisateur comptabilité de cet exemple est "control- ler1" et l'utilisateur ingénieur est "engineer1". ccnp_cch
Configuration de l'accès via l'ASDM Exécutez ces étapes pour configurer l'appliance de sécurité PIX en utilisant l'ASDM. 1. Sélectionnez Configuration > VPN > General > Group Policy. ccnp_cch
2. Sur la base des étapes réalisées pour configurer les groupes tunnel sur le PIX, les politiques de groupe doivent déjà exister pour les groupes tunnel pour les utilisa- teurs que vous voulez restreindre. Si une politique de groupe utilisable existe déjà, choisissez-là et cliquez sur Edit. Autrement cliquez sur Add et choisissez Internal Group Policy. ccnp_cch
3. Si nécessaire, entrez ou changer le nom de la politique de groupe en de la fenêtre qui s'ouvre. 4. Dans l'onglet General décochez la case Inherit près de Filter et ensuite cliquez sur Manage. ccnp_cch
5. Cliquez sur Add ACL pour créer une nouvelle liste d'accès dans la fenêtre ACL Manager qui s'affiche. 6. Choisissez un numéro pour la nouvelle liste d'accès et cliquez sur OK. ccnp_cch
7. Avec votre nouvelle ACL sélectionnée sur la gauche, cliquez sur Add ACE pour ajouter une nouvelle entrée à la liste. ccnp_cch
8. Définissez l'entrée de la liste de contrôle (ACE) que vous voulez ajouter. Dans cet exemple la première ACE dans l'ACL 10 permet l'accès IP au sous-réseau Payroll à partir de n'importe quelle source. Note: par défaut, l'ASDM sélectionne TCP comme protocole. Vous devez choisir IP si vous désirez permettre ou interdire l'accès IP aux utilisateurs. Cliquez sur OK quand vous avez terminé. ccnp_cch
9. L'ACE que vous venez d'ajouter apparaît maintenant dans la liste 9. L'ACE que vous venez d'ajouter apparaît maintenant dans la liste. Choisissez Add ACE de nouveau pour ajouter toute ligne supplémentaire à la liste d'accès. Dans cet exemple, une deuxième ACE est ajoutée à l'ACL 10 pour permettre l'accès au sous-réseau Intranet. ccnp_cch
10. Cliquez sur OK une fois que vous avez ajouté les ACEs. ccnp_cch
11. Sélectionnez l'ACL que vous avez définie et remplie dans les étapes précédentes pour être le filtre pour votre politique de groupe. Cliquez sur OK quand cela est fait. ccnp_cch
ccnp_cch
12. Cliquez sur Apply pour transmettre les modifications au PIX. ccnp_cch
13. Si vous l'avez configuré pour faire cela sous Options> Preferences, l'ASDM prévi- sualise les commandes qu'il va transmettre au PIX. Cliquez sur Send. ccnp_cch
14. Appliquez la politique de groupe que vous venez de créer ou de modifier pour le groupe tunnel correct. Cliquez sur Tunnel Group dans le cadre de gauche. ccnp_cch
15. Choisissez le Tunnel Group sur lequel vous voulez appliquer la politique de grou- pe et cliquez ensuite sur Edit. ccnp_cch
16. Si votre politique de groupe a été créée automatiquement (voir étape 2), vérifiez que la politique de groupe que vous venez de configurer est sélectionnée dans la liste déroulante. Si votre politique de groupe n'a pas été configurée automatique- ment, sélectionnez-là dans la liste. Cliquez sur OK quand cela est fait. ccnp_cch
17. Cliquez sur Apply et si cela est demandé cliquez sur Send pour transmettre les modifications au PIX. Si la politique de groupe a déjà été sélectionnée vous pouvez recevoir un message qui dit "No changes were made". Cliquez sur OK. 18. Répétez les étapes 2 à 17 pout tout groupe tunnel supplémentaire auquel vous voulez ajouter des restrictions. Dans cet exemple de configuration, il est également nécessaire de restreindre l'accès des ingénieurs. La procédure est la même mais il y a des fenêtres pour lesquelles les différences sont notables. ● Nouvelle liste d'accès 20 ccnp_cch
● Choisissez Access List 20 come filtre pour la politique du groupe Engineering. ccnp_cch
● Vérifiez que la politique de groupe Engineering est configurée pour le groupe tunnel Engineering. ccnp_cch
Configuration de l'accès via la CLI Exécutez ces étapes pour configurer l'appliance de sécurité en utilisant la CLI. Note: certaines des commandes montrées dans cette sortie sont éditées sur deux lignes pour des raisons d'espace. 1.Crée deux listes de contrôle d'accès différentes (15 et 20) qui sont appliquées aux utilisateurs lorsqu'ils se connectent à l'accès VPN distant. Cette liste d'accès est référencée plus loin dans la configuration. ASAwCSC−CLI(config)#access−list 15 remark permit IP access from ANY source to the payroll subnet (10.8.28.0/24) ASAwCSC−CLI(config)#access−list 15 extended permit ip any 10.8.28.0 255.255.255.0 ASAwCSC−CLI(config)#access−list 15 remark Permit IP access from ANY source to the subnet used by all employees (10.8.27.0) any 10.8.27.0 255.255.255.0 ASAwCSC−CLI(config)#access−list 20 remark Permit IP access from ANY source to the Engineering subnet (192.168.1.0/24) ASAwCSC−CLI(config)#access−list 20 extended permit ip any 192.168.1.0 255.255.255.0 source to the subnet used by all employees (10.8.27.0/24) 2. Crée deux pools d'adresses VPN. Crée un pool pour les utilisateurs distants de Payroll et un autre pour ceux de Engineering. ASAwCSC−CLI(config)#ip local pool Payroll−VPN 172.10.1.100−172.10.1.200 mask 255.255.255.0 ASAwCSC−CLI(config)#ip local pool Engineer−VPN 172.16.2.1−172.16.2.199 mask 255.255.255.0 3. Crée les politiques pour Payroll qui s'appliquent uniquement à ce réseau quand les utilisateurs distants se connectent. ASAwCSC−CLI(config)#group−policy Payroll internal ASAwCSC−CLI(config)#group−policy Payroll attributes ASAwCSC−CLI(config−group−policy)#dns−server value 10.8.27.10 ASAwCSC−CLI(config−group−policy)#vpn−filter value 15 !−−− Fait appel à l'ACL créée à l'étape 1 pour Payroll. ASAwCSC−CLI(config−group−policy)#vpn−tunnel−protocol IPSec ASAwCSC−CLI(config−group−policy)#default−domain value payroll.corp.com ASAwCSC−CLI(config−group−policy)#address−pools value Payroll−VPN !−−− Fait référence à l'espace d'adresses de Payroll crée à l'étape 2. ccnp_cch
4. Cette étape est la même que l'étape 3 sauf que c'est pour le groupe Engineering. ASAwCSC−CLI(config)#group−policy Engineering internal ASAwCSC−CLI(config)#group−policy Engineering attributes ASAwCSC−CLI(config−group−policy)#dns−server value 10.8.27.10 ASAwCSC−CLI(config−group−policy)#vpn−filter value 20 !−−− Fait appel à l'ACL créée à l'étape 1 pour Engineering. ASAwCSC−CLI(config−group−policy)#vpn−tunnel−protocol IPSec ASAwCSC−CLI(config−group−policy)#default−domain value Engineer.corp.com ASAwCSC−CLI(config−group−policy)#address−pools value Engineer−VPN !−−− Fait référence à l'espace d'adresses de Engineering crée à l'étape 2. 5. Crée des utilisateurs locaux et affecte les attributs que vous avez crée à ces utilisa- teurs pour restreindre leurs accès aux ressources. ASAwCSC−CLI(config)#username engineer password cisco123 ASAwCSC−CLI(config)#username engineer attributes ASAwCSC−CLI(config−username)#vpn−group−policy Engineering ASAwCSC−CLI(config−username)#vpn−filter value 20 ASAwCSC−CLI(config)#username marty password cisco456 ASAwCSC−CLI(config)#username marty attributes ASAwCSC−CLI(config−username)#vpn−group−policy Payroll ASAwCSC−CLI(config−username)#vpn−filter value 15 6. Crée des groupes tunnel qui contiennent les politiques pour les utilisateurs de Payroll. ASAwCSC−CLI(config)#tunnel−group Payroll type ipsec−ra ASAwCSC−CLI(config)#tunnel−group Payroll general−attributes ASAwCSC−CLI(config−tunnel−general)#address−pool Payroll−VPN ASAwCSC−CLI(config−tunnel−general)#default−group−policy Payroll ASAwCSC−CLI(config)#tunnel−group Payroll ipsec−attributes ASAwCSC−CLI(config−tunnel−ipsec)#pre−shared−key time1234 7. Crée des groupes tunnel qui contiennent les politiques pour les utilisateurs de Engineering. ASAwCSC−CLI(config)#tunnel−group Engineering type ipsec−ra ASAwCSC−CLI(config)#tunnel−group Engineering general−attributes ASAwCSC−CLI(config−tunnel−general)#address−pool Engineer−VPN ASAwCSC−CLI(config−tunnel−general)#default−group−policy Engineering ASAwCSC−CLI(config)#tunnel−group Engineering ipsec−attributes ASAwCSC−CLI(config−tunnel−ipsec)#pre−shared−key Engine123 ccnp_cch
Une fois que votre configuration est entrée, vous pouvez voir la zone surlignée dans votre configuration: ASAwCSC−ASDM ASA−AIP−CLI(config)#show running−config ASA Version 7.2(2) ! hostname ASAwCSC−ASDM domain−name corp.com enable password 9jNfZuG3TC5tCVH0 encrypted names interface Ethernet0/0 nameif Intranet security−level 0 ip address 10.8.27.2 255.255.255.0 interface Ethernet0/1 nameif Engineer security−level 100 ip address 192.168.1.1 255.255.255.0 interface Ethernet0/2 nameif Payroll ip address 10.8.28.0 interface Ethernet0/3 no nameif no security−level no ip address interface Management0/0 passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server−group DefaultDNS access−list Inside_nat0_outbound extended permit ip any 172.10.1.0 255.255.255.0 access−list Inside_nat0_outbound extended permit ip any 172.16.2.0 255.255.255.0 access−list 15 remark permit IP access from ANY source to the Payroll subnet (10.8.28.0/24) access−list 15 extended permit ip any 10.8.28.0 255.255.255.0 access−list 15 remark Permit IP access from ANY source to the subnet used by all employees (10.8.27.0) access−list 15 extended permit ip any 10.8.27.0 255.255.255.0 access−list 20 remark Permit IP access from Any source to the Engineering subnet (192.168.1.0/24) ccnp_cch
access−list 20 extended permit ip any 192.168.1.0 255.255.255.0 access−list 20 remark Permit IP access from Any source to the subnet used by all employees (10.8.27.0/24) access−list 20 extended permit ip any 10.8.27.0 255.255.255.0 pager lines 24 mtu MAN 1500 mtu Outside 1500 mtu Inside 1500 ip local pool Payroll−VPN 172.10.1.100−172.10.1.200 mask 255.255.255.0 ip local pool Engineer−VPN 172.16.2.1−172.16.2.199 mask 255.255.255.0 no failover icmp unreachable rate−limit 1 burst−size 1 asdm image disk0:/asdm−522.bin no asdm history enable arp timeout 14400 global (Intranet) 1 interface nat (Inside) 0 access−list Inside_nat0_outbound nat (Inside) 1 192.168.1.0 255.255.255.0 nat (Inside) 1 10.8.27.0 255.255.255.0 nat (Inside) 1 10.8.28.0 255.255.255.0 route Intranet 0.0.0.0 0.0.0.0 10.8.27.2 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00 timeout uauth 0:05:00 absolute group−policy Payroll internal group−policy Payroll attributes dns−server value 10.8.27.10 vpn−filter value 15 vpn−tunnel−protocol IPSec default−domain value payroll.corp.com address−pools value Payroll−VPN group−policy Engineering internal group−policy Engineering attributes vpn−filter value 20 default−domain value Engineer.corp.com address−pools value Engineer−VPN username engineer password LCaPXI.4Xtvclaca encrypted username engineer attributes vpn−group−policy Engineering username marty password 6XmYwQOO9tiYnUDN encrypted privilege 0 username marty attributes vpn−group−policy Payroll no snmp−server location no snmp−server contact ccnp_cch
ccnp_cch crypto ipsec transform−set ESP−3DES−SHA esp−3des esp−sha−hmac crypto dynamic−map Outside_dyn_map 20 set pfs crypto dynamic−map Outside_dyn_map 20 set transform−set ESP−3DES−SHA crypto map Outside_map 65535 ipsec−isakmp dynamic Outside_dyn_map crypto map Outside_map interface Outside crypto isakmp enable Outside crypto isakmp policy 10 authentication pre−share encryption 3des hash sha group 2 lifetime 86400 tunnel−group Payroll type ipsec−ra tunnel−group Payroll general−attributes address−pool vpnpool default−group−policy Payroll tunnel−group Payroll ipsec−attributes pre−shared−key * tunnel−group Engineering type ipsec−ra tunnel−group Engineering general−attributes address−pool Engineer−VPN default−group−policy Engineering tunnel−group Engineering ipsec−attributes telnet timeout 5 ssh timeout 5 console timeout 0 ! class−map inspection_default match default−inspection−traffic policy−map type inspect dns migrated_dns_map_1 parameters message−length maximum 512 policy−map global_policy class inspection_default inspect dns migrated_dns_map_1 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service−policy global_policy global prompt hostname context Cryptochecksum:0e579c85004dcfb4071cb561514a392b : end ASA−AIP−CLI(config)# ccnp_cch
Vérification Utilisez les capacités de supervision de l'ASDM pour vérifier votre configuration. 1. Sélectionnez Monitoring > VPN > VPN Statistics > Sessions. Vous voyez les sessions VPN actives sur le PIX. Sélectionnez la session qui vous intéresse et cliquez sur Details. ccnp_cch
2. Sélectionnez l'onglet ACL 2. Sélectionnez l'onglet ACL. ACL hitcnts reflète le trafic qui passe par le tunnel à partir du client vers les réseaux autorisés. ccnp_cch