La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Client VPN SSL avec ASDM

Présentations similaires


Présentation au sujet: "Client VPN SSL avec ASDM"— Transcription de la présentation:

1 Client VPN SSL avec ASDM
Sécurité - ASA - Configuration Client VPN SSL avec ASDM ccnp_cch

2 Sommaire ● Introduction ● Configurer le Client VPN SSL sur un ASA
- Prérequis Composants utilisés Schéma du réseau - Tâches de préconfiguration ● Configurer le Client VPN SSL sur un ASA - Valider l'accès WebVPN sur l'ASA - Installer et valider le client VPN SSL sur l'ASA Valider l'installation du Client VPN SSL sur les clients Valider le paramètre de renouvellement de clé ● Personnaliser votre configuration - Créer une "Custom Group Policy" Créer un "Custom Tunnel Group" Créer un utilisateur et ajouter celui-ci à votre "Custom Group Policy" ● Vérification Authentification Configuration Commandes ● Résolution de problèmes - Est-ce que le Client VPN SSL a établi une session sécurisée avec l'ASA? Est-ce que les sessions s'établissent et se terminent correctement? Conseils Commandes ccnp_cch

3 Introduction La technologie VPN (Virtual Private Network) SSL (Secure Socket Layer) vous permet de vous connecter en toute sécurité depuis tout lieu à un réseau interne d'entreprise en utilisant une de ces méthodes: ● "Clientless SSL VPN" (WebVPN) - Fournit un client distant qui requiert uniquement un navigateur Web avec des capacités SSL pour accéder à des serveurs Web HTTP ou HTTPS sur un réseau local (LAN) d'entreprise. De plus, VPN SSL sans client fournit l'accès pour l'exploration de fichiers Windows au travers du protocole CIFS (Common Internet File System). Outlook Web Access est un exemple d'accès HTTP. ● Client léger VPN SSL (Port Forwarding) - Fournit un client distant qui télécharge une petite applet Java et autorise l'accès sécurisé pour des applications TCP qui utilisent des numéros de ports statiques. POP3 (Post Office Protocol 3), SMTP (Simple Mail Transfer Protocol), IMAP (Internet Message Access Protocol), SSH (Secure Shell) et Telnet sont des exemples d'accès sécurisés. Comme les fichiers de la machine locale changent, les utilisateurs doivent avoir les privilèges d'admi nistration locale pour utiliser cette méthode. Cette méthode de VPN SSL ne fonc- tionne pas avec des applications qui utilisent des ports dynamiques comme des applications de transfert de fichiers telle que FTP (File Transfer Protocol) Note: UDP n'est pas supporté. ● Client VPN SSL (Mode Tunnel) - Télécharge un petit client sur la station de travail distante et autorise l'accès total sécurisé aux ressources d'un réseau d'entreprise Vous pouvez télécharger le Client VPN SSL vers la station de travail de manière permanente ou vous pouvez retirer le client une fois que la session sécurisée est fermée. Ce document décrit comment configurer le client VPN SSL sur un ASA (Adaptive Secu- rity Appliance) en utilisant l'ASDM (Adaptive Security Device Manager). Les lignes de commande qui résultent de cette configuration sont listées dans la section Résultats. Prérequis Avant de tenter cette configuration assurez-vous que vous avez les prérequis suivants: ● Privilèges d'administration locale sur toutes les stations de travail distantes. ● Java et contrôles ActiveX sur la station de travail distante. ● Le port 443 n'est pas bloqué sur le chemin de la connexion Composants utilisés Les informations contenues dans ce document sont basées sur les versions matériel- les et logicielles suivantes: ● Cisco Adaptive Security Appliance Software Version 7.2(1) ● Cisco Adaptive Security Device Manager 5.2(1) ● Cisco Adaptive Security Appliance 5510 series ● Microsoft Windows XP Professional SP ccnp_cch

4 Schéma du réseau Ce document utilise la configuration réseau décrite dans cette section. Un utilisateur distant se connecte à l'adresse IP de l'ASA par l'intermédiaire d'un na- vigateur Web possédant des capacités SSL. Après une authentification réussie, le client VPN SSL est téléchargé sur l'ordinateur du client et l'utilisateur peut créer une session sécurisée cryptée pour un accès total à toutes les ressources permises sur le réseau d'entreprise. Accès Http ou Https Cisco ASA 5500 Accès sécurisé Ferme de Serveurs Accès basé sur politique Navigateur Web avec SSL Réseau Public Web Mail ou Client VPN SSL LAN Accès Application Tâches de configuration Avant de commencer, exécutez ces tâches: ● Référez-vous à "Allowing HTTPS Access for ASDM" pour autoriser la configuration de l'ASA à partir de l'ASDM Pour accéder à l'application ASDM, depuis votre station de gestion, utilisez un na vigateur Web avec des capacités SSL et entrez l'adresse IP de l'équipement ASA Par exemple où inside-ip-address est l'adresse IP de l'ASA. Une fois que l'ASDM est chargé vous pouvez commencer la configuration du Client VPN SSL. ● Télécharger le Package Client VPN SSL (sslclient-win*.pkg) depuis le site Cisco Soft ware Download, sur le disque dur local de la station de gestion à partir de laquelle vous accédez à l'application ASDM. WebVPN et ASDM ne peuvent pas être validés sur la même interface de l'ASA sauf si vous changez les numéros de port. Si vous voulez que les deux technologies utilisent le même numéro de port (443) sur le même équipement, vous pouvez valider l'ASDM sur l'interface inside (interne) et valider WebVPN sur l'interface outside (externe). ccnp_cch

5 Configuration du client VPN SSL sur un ASA
Pour configurer le client VPN SSL sur un ASA, exécutez ces étapes: Validez l'accès WebVPN sur l'ASA Installez et validez le client WebVPN sur l'ASA 3. Validez le SVC sur les clients 4. Validez les paramètres de renouvellement de clé Etape1. Validez l'accès WebVPN sur l'ASA Pour valider l'accès WebVPN sur l'ASA, exécutez ces étapes: Dans l'application ASDM, cliquez sur Configuration et ensuite cliquez sur VPN Développez WebVPN et choisissez WebVPNAccess. 3. Sélectionnez l'interface pour laquelle vous voulez valider WebVPN et cliquez sur Enable. ccnp_cch

6 Etape 2. Installation et validation du client VPN SSL sur l'ASA Pour installer et valider le Client VPN SSL sur l'ASA, exécutez ces étapes : Cliquez sur Configuration et ensuite cliquez sur VPN Dans le panneau de navigation, développez WebVPN et choisissez SSL VPN Client. 3. Cliquez sur Add La boîte de dialogue Add SSL VPN Client Image apparaît. ccnp_cch

7 ccnp_cch 4. Cliquez sur le bouton Upload.
La boîte de dialogue Upload Image apparaît. 5. Cliquez sur le bouton Browse Local Files et localisez le fichier sur votre ordinateur local ou cliquez sur Browse Flash pour localiser un fichier sur le système de fichiers de la Flash Repérez le fichier image client à télécharger et cliquez sur OK Cliquez sur Upload File et ensuite sur Close Une fois que l'image client est chargée en mémoire Flash, cochez la case à cocher Enable SSL VPN CLient et cliquez sur Apply. ccnp_cch

8 Note: Si vous avez un message d'erreur, vérifiez si l'accès WebVPN est validé. Dans le panneau de navigation, développez WebVPN et choisissez WebVPN Access. Sélection- nez l'interface pour laquelle vous voulez configurer l'accès et cliquez sur Enable. ccnp_cch

9 9. Cliquez sur Save et ensuite cliquez sur Yes pour accepter les modifications.
ccnp_cch

10 Etape 3. Valider l'installation du Client VPN SSL sur les clients Pour valider l'installation du Client VPN SSL sur les clients, exécutez ces étapes: Dans le panneau de navigation, développez IP Address Management et choisissez IP Tools. 2. Cliquez sur Add, entrez les valeurs dans les champs Name, Starting IP address, Ending IP Address et Subnet Mask. Les adresses IP que vous entrez pour les champs Starting IP Address et Ending IP Address doivent faire partie de sous-réseaux de votre réseau interne. ccnp_cch

11 3. Cliquez sur OK et ensuite cliquez sur Apply. 4
3. Cliquez sur OK et ensuite cliquez sur Apply Cliquez sur Save et ensuite cliquez sur Yes pour accepter les changements Dans le panneau de navigation, développez IP Address Management et choisissez Assignment Cochez la case Use internal address pools et décochez la cases Use authentica- tion Server et Use DHCP. ccnp_cch

12 7. Cliquez sur Apply Cliquez sur Save et ensuite sur Yes pour accepter les changements Dans le panneau de navigation, développez General et choisissez Tunnel Group Sélectionnez le groupe tunnel que vous voulez gérer et cliquez sur Edit. 11. Cliquez sur l'onglet Client Address Management et sélectionnez le nouveau pool d'adresses IP crée à partir de la liste Available Pools. ccnp_cch

13 12. Cliquez sur Add et ensuite cliquez sur OK. 13
12. Cliquez sur Add et ensuite cliquez sur OK Dans la fenêtre de l'application ASDM, cliquez sur Apply Cliquez sur Save et ensuite cliquez sur Yes pour accepter les changements Etape 4. Valider les paramètres de renouvellement de clé Pour valider les paramètres de renouvellement de clé : Dans le panneau de navigation, développez General et choisissez Group Policy Sélectionnez la politique que vous voulez appliquer à ce groupe de clients et cliquez sur Edit. ccnp_cch

14 3. Dans l'onglet General, décochez Tunneling Protocol Inherit et cochez WebVPN.
ccnp_cch

15 4. Cliquez sur l'onglet WebVPN, cliquez sur l'onglet SSL VPN Client puis choisissez ces options : a. Pour l'option Use SSL VPN Client, décochez Inherit et cliquez sur le bouton radio Optional. Ce choix permet au client de choisir de télécharger ou non le Client VPN SSL. Le choix Always assure que le Client VPN SSL est téléchargé sur la station distante à chaque connexion VPN SSL b. Pour l'option Keep Installer on Client System décochez la case Inherit et cliquez sur le bouton radio Yes. Cette action permet au logiciel Client VPN SSL de rester sur la machine client; par conséquent l'ASA n'est pas requis pour charger le Client VPN SSL à chaque connexion. Cette option est un bon choix pour les utilisateurs qui accèdent souvent au réseau de l'entreprise. ccnp_cch

16 c. Pour l'option Renegotiation Interval, décochez les cases Inherit et Unlimited et entrez un nombre de minutes pour le renouvellement de clé La sécurité est améliorée en fixant les limites de durée de validité de clé d. Pour l'option Renegotiation Method, décochez la case Inherit et cliquez sur le bouton radio SSL. La renégociation peut utiliser le tunnel SSL présent ou un nouveau tunnel crée expressément pour la renégociation. Les attributs de votre Client VPN SSL doivent être configurés comme le montre l'écran ci-dessous. 5. Cliquez sur OK et ensuite cliquez sur Apply 6. Cliquez sur Save et ensuite cliquez sur Yes pour accepter les changements. ccnp_cch

17 Résultats L'ASDM crée cette configuration en ligne de commande.
Ciscoasa ciscoasa(config)#show run ASA Version 7.2(1) ! hostname ciscoasa domain−name cisco.com enable password 9jNfZuG3TC5tCVH0 encrypted names dns−guard ! interface Ethernet0/0 nameif outside security−level 0 ip address interface Ethernet0/1 nameif inside security−level 100 ip address passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server−group DefaultDNS no pager logging enable logging asdm informational mtu outside 1500 mtu inside 1500 mtu DMZ1 1500 mtu Mgt 1500 ip local pool CorporateNet − mask icmp permit any outside asdm image disk0:/asdm521.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0 0 route outside timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip−invite 0:03:00 sip−disconnect 0:02:00 timeout uauth 0:05:00 absolute ccnp_cch

18 ccnp_cch !−−− Instructions de politique de Groupe
group−policy GroupPolicy1 internal group−policy GroupPolicy1 attributes vpn−tunnel−protocol IPSec l2tp−ipsec webvpn !−−− Valide le Client VPN SSL pour WebVPN webvpn svc enable svc keep−installer installed svc rekey time 30 svc rekey method ssl ! username cisco password 53QNetqK.Kqqfshe encrypted privilege 15 http server enable http inside no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart !−−− Les valeurs par défaut pour Tunnel Group et Group Policy sont ici tunnel−group DefaultWEBVPNGroup general−attributes address−pool CorporateNet default−group−policy GroupPolicy1 no vpn−addr−assign aaa no vpn−addr−assign dhcp telnet timeout 5 ssh outside ssh timeout 5 console timeout 0 class−map inspection_default match default−inspection−traffic policy−map type inspect dns preset_dns_map parameters message−length maximum 512 policy−map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ccnp_cch

19 Personnaliser votre configuration
! service−policy global_policy global !−−− Valide WebVPN et sélectionne le Client VPN SSL webvpn enable outside svc image disk0:/sslclient−win− pkg 1 svc enable !−−− Fournit la liste pour l'accès aux ressources url−list ServerList "E−Commerce Server1" 1 url−list ServerList "BrowseServer" cifs:// tunnel−group−list enable prompt hostname context Cryptochecksum:80a1890a95580dca11e3aee200173f5f : end Personnaliser votre configuration Les procédures décrites dans Configurer un Client VPN SSL sur un ASA utilisent des noms de politique de groupe par défaut de l'ASA (Group Policy) et groupe tunnel (DefalutWebVPNgroup) comme le montre l'image suivante: ccnp_cch

20 Cette procédure décrit comment créer vos propres groupes de politique et de tunnel personnalisés et de les lier entre eux en accord avec les politiques de sécurité de votre organisation. Pour personnaliser votre configuration, exécutez ces étapes : 1. Créer un "Custom Group Policy" 2. Créer un "Custom Tunnel Group" 3. Créer un Utilisateur et ajouter cet utilisateur à votre "Custom Group Policy" Etape 1. Créer un "Custom Group Policy" Pour créer un "Custom Group Policy", exécutez ces étapes: 1. Cliquez sur Configuration et ensuite cliquez sur VPN. 2. Développez General et choisissez Group Policy. 3. Cliquez Add et choisissez Internal Group Policy. 4. Dans le champ Name entre un nom pour votre groupe de politique. Dans cet exemple, le nom de groupe de politique a été changé par SalesGroupPolicy. ccnp_cch

21 5. Sous l'onglet General, décochez la case Tunneling Protocols Inherit et cochez la
case WebVPN. 6. Cliquez sur l'onglet WebVPN et ensuite cliquez sur l'onglet SSL VPN Client. Dans cette boîte de dialogue, vous pouvez également faire des choix pour le com portement du Client VPN SSL. 7. Cliquez sur OK et ensuite cliquez sur Apply Cliquez sur Save et ensuite cliquez sur Yes pour accepter les changements. ccnp_cch

22 Etape 2. Créer un "Custom Tunnel Group" Pour créer une "Custom Tunnel Group", exécutez ces étapes: Cliquez sur le bouton Configuration et ensuite cliquez sur VPN Développez l'onglet General et choisissez Tunnel Group. 3. Cliquez sur Add et choisissez WebVPN Access Dans le champ Name, entrez un nom pour votre groupe tunnel. Dans cet exemple, le nom de groupe tunnel a été changé par SalesForceGroup Cliquez sur la fenêtre déroulante Group policy et choisissez votre politique de groupe nouvellement créée. Votre groupe de politique et votre groupe tunnel sont maintenant liés. ccnp_cch

23 6. Cliquez sur l'onglet Client Address Assignment et entrez l'information DHCP
Server ou sélectionnez à partir d'un pool IP crée localement. ccnp_cch

24 ccnp_cch 7. Cliquez sur OK et ensuite cliquez sur Apply.
8. Cliquez sur Save et ensuite cliquez sur Yes pour accepter les changements. Etape 3. Créer un utilisateur et ajouter cet utilisateur avec politique de groupe personnalisée. Pour créer un utilisateur et ajouter cet utilisateur à votre politique de groupe person- nalisé, exécutez ces étapes: Cliquez sur Configuration et ensuite cliquez sur VPN Développez General et choisissez Users. ccnp_cch

25 3. Cliquez sur Add et entrez l'information username et password.
ccnp_cch

26 3. Cliquez sur Add et entrez l'information username et password.
4. Cliquez sur l'onglet VPN Policy. Assurez-vous que votre politique nouvellement créée s'affiche dans le champ Group Policy Cet utilisateur hérite de toutes les caractéristiques de la nouvelle politique de groupe. ccnp_cch

27 5. Cliquez sur OK et ensuite cliquez sur Apply. 6
5. Cliquez sur OK et ensuite cliquez sur Apply Cliquez sur Save et ensuite cliquez sur Yes pour accepter les changements. ccnp_cch

28 Vérification ccnp_cch
Utilisez cette section pour confirmer que votre configuration fonctionne correctement. Authentification L'authentification pour les clients VPN SSL est accomplie en utilisant une de ces mé- thodes: ● Cisco Secure ACS server (Radius) ● Domaine NT ● Active Directory ● One-Time password ● Certificats numériques ● Cartes à puces ● Authentification AAA locale Ce document utilise un compte local crée sur l'équipement ASA. Configuration Pour se connecter à l'ASA avec un client distant, entrez dans le champ adresse d'un navigateur Web avec capacité SSL. Asa_outside_address est l'adresse IP externe de votre ASA. Si votre configuration est correcte, la fenêtre Cisco Systems SSL VPN Client apparaît. ccnp_cch

29 Note: La fenêtre Cisco Systems SSL VPN Client apparaît uniquement après que vous ayez accepté le certificat de l'ASA et après que le client VPN SSL ait été téléchargé sur la station distante. Si la fenêtre n'apparaît pas, assurez-vous qu'elle n'a pas été rédui- te. Commandes Plusieurs commandes show sont associées avec WebVPN. Vous pouvez exécuter ces commandes avec la CLI pour afficher des statistiques et d'autres informations. Résolution de problèmes Utilisez cette section pour résoudre des problèmes liés à cette configuration. Est-ce que le client VPN SSL a établi une session sécurisée avec l'ASA? Cliquez sur Monitoring 2. Développez VPN Statistics et choisissez Sessions 3. A partir du menu déroulant Filter By, choisissez SSL VPN Client et cliquez sur le bouton Filter. Votre configuration doît apparaître dans la liste sessions. ccnp_cch

30 Est-ce que des sessions sécurisées sont établies et terminées
correctement? Vous pouvez voir les logs en temps-réel pour vous assurer que les sessions sont éta- blies et terminées correctement. Pour voir les logs des sessions: 1. Cliquez sur Monitoring et ensuite cliquez sur Logging. 2. Choisissez Real-time Log Viewer ou Log Buffer et ensuite cliquez sur View. Note: Pour afficher uniquement les sessions pour une adresse spécifique, filtrer par adresse. Conseils ● Assurez-vous que le routage fonctionne correctement avec le pool d'adresses IP que vous avez affecté à vos clients distants. Ce pool d'adresses IP doit être pris dans un sous-réseau de votre LAN. Vous pouvez également utiliser un serveur DHCP ou un serveur d'authentification pour affecter les adresses IP. ccnp_cch

31 ● L'ASA crée un groupe tunnel par défaut (DefaultWebVPNGroup) et un groupe de politique par défaut (Group Policy 1). Si vous créez de nouveaux groupes et de nou velles politiques, assurez-vous que vous appliquez les valeurs en concordance avec les politiques de sécurité de votre réseau. ● Si vous voulez valider l'exploration de fichiers Windows au travers de CIFS, entrez un serveur WINS (NBNS) sous Configuration> VPN> WebVPN> Servers and URLs Cette technologie utilise la sélection CIFS. Commandes Plusieurs commandes debug sont associées au WebVPN. ccnp_cch


Télécharger ppt "Client VPN SSL avec ASDM"

Présentations similaires


Annonces Google