Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parAnge Cantin Modifié depuis plus de 6 années
1
Sécurité - Configuration VPN SSL sans client (WebVPN) sur
IOS Cisco avec SDM ccnp_cch
2
Sommaire ● Introduction - Etape 1 : Configurer la passerelle WebVPN
- Prérequis Composants utilisés - Schéma du réseau - Tâches de préconfiguration ● Configurer WebVPN sur IOS Cisco - Etape 1 : Configurer la passerelle WebVPN - Etape 2 : Configurer les ressources autorisées par une politique de groupe Etape 3 : Configurer la politique de groupe WebVPN et sélectionner les ressources Etape 4 : Configurer le contexte WebVPN Etape 5 : Configurer la base de données utilisateur et la méthode d'authentification Résultats ● Vérification - Procédure - Commandes ● Résolution de problèmes - Procédure Commandes ccnp_cch
3
Introduction Le VPN SSL sans client (WebVPN) autorise un utilisateur à accéder de manière sécuri-
sée au LAN de l'entreprise à partir de n'importe quel endroit avec un navigateur Web qui a des capacités SSL. Les utilisateurs s'authentifient d'abord avec une passerelle WebVPN laquelle ensuite autorise l'accès utilisateur à des ressources réseau préconfi- gurées. Les passerelles WebVPN peuvent être configurées sur des routeurs Cisco, des Cisco Adaptive Security Appliance (ASA), des concentrateurs VPN 3000, le module Cisco WebVPN Services pour Catalyst 6500 et les routeurs Cisco La technologie VPN (Virtual Private Network) SSL (Secure Socket Layer) peut être con- figurée de trois manières différentes: VPN SSL sans Client (WebVPN), VPN SSL Client léger (Acheminement de port) et Client VPN SSL (mode tunnel). Ce document montre la configuration du WebVPN sur les routeurs Cisco. Reférez-vous au document "Configuration de VPN SSL avec client léger sur IOS Cisco en utilisant SDM" pour en apprendre plus sur le VPN SSL avec client léger. Reférez-vous au document "Configuration du client VPN SSL sur IOS Cisco en utilisant SDM" pour avoir plus de détails sur le client VPN SSL. Le VPN SSL opère sur ces plateformes Routeur Cisco : ● Cisco 870, 1811, 1841, 2801, 2811, 2821 and 2851 series routers ● Cisco 3725, 3745, 3825, 3845, 7200 and 7301 series routers Prérequis Assurez-vous que vous avez ces prérequis avant de tenter cette configuration: ● Une image avancée de Cisco IOS Software Release 12.4(6)T ou suivante ● Une des plateformes routeur Cisco listées dans Introduction Composants utilisés ● Routeur Cisco 3825 ● Image Advanced Enterprise software − Cisco IOS Software Release 12.4(9)T ● Cisco Router and Security Device Manager (SDM) − version 2.3.1 ccnp_cch
4
Schéma du réseau ccnp_cch Tâches de préconfiguration
PC ou Portable http https Linux Passerelle WebVPN OWA Ferme de Serveurs Réseau Public Cisco 3825 Citrix Navigateur Web avec SSL CIFS Tâches de préconfiguration Avant de commencer, exécutez ces tâches: Configurez un nom de host et un nom de domaine sur le routeur 2. Configurez le routeur pour SDM. Cisco livre certains routeurs avec une copie de SDM installée Si SDM Cisco n'est pas déjà installé sur votre routeur, vous pouvez obtenir une copie du logiciel sur le site de Cisco. Vous devez avoir un compte CCO avec un contrat de service Configurez la date et l'heure pour votre routeur. Configurer WebVPN sur l'IOS Cisco Vous pouvez avoir plusieurs passerelles WebVPN associées avec un équipement. Cha- que passerelle WebVPN est liée à une seule adresse IP sur le routeur. Vous pouvez créer plusieurs contextes WebVPN pour une passerelle WebVPN particulière. Pour identifier les contextes individuels, donnez un nom unique à chacun des contextes. Une politique de groupe peut être associée avec un seul contexte WebVPN. La politi- que de groupe décrit quelles ressources sont disponibles dans un contexte WebVPN particulier. Exécutez ces étapes pour configurer WebVPN sur IOS Cisco: Configurez la passerelle Web VPN Configurez les ressources autorisées pour la politique de groupe Configurez la politique de groupe WebVPN et sélectionnez les ressources Configurez le contexte WebVPN Configurez la base de données utilisateur et la méthode d'authentification. ccnp_cch
5
Etape 1. Configurer la passerelle WebVPN
Etape 1. Configurer la passerelle WebVPN. Exécutez ces étapes pour configurer la passerelle WebVPN Dans l'application SDM, cliquez sur Configure et ensuite cliquez sur VPN. 2. Développez WebVPN choisissez WebVPN Gateways. ccnp_cch
6
ccnp_cch 3. Cliquez sur Add.
La boîte de dialogue Add WebVPN Gateway s'affiche. 4. Entrez les valeurs dans les champs Gateway Name et IP Address et ensuite cochez la case Enable Gateway. 5. Cochez la case Redirect HTTP Traffic et ensuite cliquez sur OK. 6. Cliquez sur Save et ensuite cliquez sur Yes pour accepter les modifications. ccnp_cch
7
Etape 2. Configurer les ressources autorisées par une politique
de groupe Pour que cela soit plus facile d'ajouter des ressources à une politique de groupe, vous pouvez configurer les ressources avant de créer la politique de groupe. Exécutez ces étapes pour configurer les ressources autorisées pour la politique de groupe Cliquez sur Configure et ensuite cliquez sur VPN. ccnp_cch
8
2. Choisissez WebVPN et ensuite cliquez sur l'onglet Edit WebVPN.
Note: WebVPN vous permet de configurer l'accès pour HTTP, HTTPS, l'exploration de fichiers Windows au travers du protocole Common Internet File System (CIFS) et Citrix. ccnp_cch
9
3. Cliquez sur Add. La boîte de dialogue Add WebVPN Context s'affiche.
ccnp_cch
10
4. Développez WebVPN Context et choisissez URL Lists.
ccnp_cch
11
ccnp_cch 5. Cliquez sur Add.
La boîte de dialogue Add URL List s'affiche. 6. Entrez les valeurs dans les champs URL List Name et Heading. 7. Cliquez sur Add et choisissez Website. Cette liste contient tous les serveurs WebHTTP et HTTPS que vous voulez rendre disponibles pour cette connexion WebVPN. ccnp_cch
12
8. Pour ajouter l'accès pour Outlook Web Access (OWA), cliquez sur Add, choisissez et ensuite cliquez sur OK après que vous ayez rempli tous les champs dési rés. 9. Pour autoriser l'exploration de fichiers Windows au travers de CIFS, vous pouvez indiquer un serveur NBNS (NetBios Name Service) et configurer les partages appro- priés dans le domaine Windows a. A partir de WebVPN Context List, choisissez NetBios Name Server Lists. b. Cliquez sur Add. La boîte de dialogue Add NBNS Server List s'affiche. ccnp_cch
13
c. Entrez un nom pour la liste et cliquez sur Add
c. Entrez un nom pour la liste et cliquez sur Add La boîte de dialogue Add NBNS Server s'affiche. d. Si cela est applicable, cochez la case Make this Master Server. e. Cliquez sur OK et ensuite sur OK. ccnp_cch
14
les ressources 1. Cliquez sur Configure et ensuite cliquez sur VPN.
Etape 3. Configurer la politique de groupe WebVPN et sélectionner les ressources Cliquez sur Configure et ensuite cliquez sur VPN. 2. Développez WebVPN et choisissez WebVPN Context. ccnp_cch
15
ccnp_cch 3. Choisissez Group Policies et cliquez sur Add.
La boîte de dialogue Add Group Policy apparaît. 4. Entrez un nom pour la nouvelle politique et cochez la case Make this the default group policy for context. 5. Cliquez sur l'onglet Clientless situé en haut de la boîte de dialogue. ccnp_cch
16
6. Cochez la case Select pour la URL List voulue. 7
6. Cochez la case Select pour la URL List voulue. 7. Si vos clients utilisent des clients Citrix qui ont besoin d'un accès aux serveurs Citrix cochez la case Enable Citrix. 8. Cochez les cases Enable CIFS, Read, et Write. 9. Cliquez sur la liste de menu déroulante NBNS Server List et choisissez la liste de serveurs NBNS que vous avez créee pour l'exploration de fichier Windows à l'étape 10. Cliquez sur OK. ccnp_cch
17
Etape 4. Configurer le contexte WebVPN Pour lier la passerelle WebVPN, la politique de groupe et les ressources, vous devez configurer le contexte WebVPN. Pour configurer le contexte WebVPN, exécutez ces étapes: Choisissez WebVPN Context et entrez un nom pour le contexte. 2. Cliquez sur la liste déroulante Associated Gateway et choisissez une passerelle associée Si vous tentez de créer plusieurs contextes, entrez un nom unique dans le champ Domain pour identifier ce contexte. Si vous laissez le nom de domaine en blanc, les utilisateurs devront accéder au WebVPN avec Si vous en- trez un nom de domaine (par exemple Sales), les utilisateurs se connectent avec Cochez la case Enable Context. 5. Dans le champ Maximum Number of Users, entrez le nombre maximum d'utilisa- teurs autorisés par la licence de cet équipement. 6. Cliquez sur la liste déroulante Default Group policy et sélectionnez la politique de groupe associée avec ce contexte. 7. Cliquez sur OK et ensuite sur OK. ccnp_cch
18
d'authentification. ccnp_cch
Etape 5. Configurer la base de données utilisateur et la méthode d'authentification. Vous pouvez configurer les sessions VPN SSL sans client (WebVPN) pour l'authentifi- cation avec Radius, le serveur AAA Cisco ou une base de données locale. Cet exemple utilise une base de données locale. Exécutez ces étapes pour configurer la base de données utilisateurs et la méthode d'authentification Cliquez sur Configuration et ensuite cliquez sur Additional Tasks. 2. Développez Router Access et choisissez User Accounts View. ccnp_cch
19
3. Cliquez sur le bouton Add
3. Cliquez sur le bouton Add La fenêtre de dialogue Add an Account s'affiche. 4. Entrez un compte utilisateur et un mot de passe Cliquez sur OK et ensuite sur OK Cliquez sur Save et ensuite cliquez sur Yes pour accepter les changements. ccnp_cch
20
Résultats L'ASDM crée cette configuration avec les lignes de commande suivantes: ausnml−3825−01 Building configuration... Current configuration : 4190 bytes ! ! Last configuration change at 17:22:23 UTC Wed Jul by ausnml ! NVRAM config last updated at 17:22:31 UTC Wed Jul by ausnml version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password−encryption hostname ausnml−3825−01 boot−start−marker boot system flash c3825−adventerprisek9−mz.124−9.T.bin boot−end−marker no logging buffered enable secret 5 $1$KbIu$5o8qKYAVpWvyv9rYbrJLi/ aaa new−model aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 local aaa authorization exec default local aaa session−id common resource policy ip cef ip domain name cisco.com voice−card 0 no dspfarm !−−− Information Certificat Auto−Signé crypto pki trustpoint ausnml−3825−01_Certificate enrollment selfsigned serial−number none ip−address none revocation−check crl rsakeypair ausnml−3825−01_Certificate_RSAKey 1024 ccnp_cch
21
ccnp_cch ! crypto pki certificate chain ausnml−3825−01_Certificate
certificate self−signed 02 A9 A D0609 2A F70D A F7 0D E6D6C 2D D3031 2E F2E63 6F6D301E 170D A17 0D323030 A A F70D 6E6D6C2D D30312E F2E636F 6D30819F 300D0609 2A864886 F70D D C97D 3D259BB7 3A48F877 2C83222A A1E9E42C 5A71452F B 911C0479 4D31F42A 13E0F63B E44753E4 0BEFDA42 FE6ED321 8EE7E811 4DEEC4E4 319C0093 C1026C0F 38D D92D931 AC3A84D4 185D220F D45A411B 09BED541 27F38EF5 1CC01D25 76D559AE D9284A74 8B52856D BCBBF677 0F D0AD542C 67BA06AC A A F060355 1D FF FF D1104 1C301A E6D6C2D D30312E F2E636F 6D301F D E1 5EAABA47 79F6C70C FBC61B08 90B26C2E 3D4E301D D 0E E15E AABA4779 F6C70CFB C61B0890 B26C2E3D 4E300D06 092A F70D CEA4 2E56CDFF CF4F2A01 BCD585C7 D6B C3413 6B7A7B6C F0A DA09C30 FB621F29 8A098FA4 F3A7F F51E6 7C A369 D44C0CF4 718A8972 2DA33C43 46E35DC6 5DCAE7E0 B0D85987 A0D116A4 600C0C60 71BB FC 55DE6A C9D6 8C5855ED 4CD3AE55 BDA966D4 BE A8A55E quit username admin privilege 15 secret 5 $1$jm6N$2xNfhupbAinq3BQZMRzrW0 username ausnml privilege 15 password F5A5D292421 username fallback privilege 15 password A0A12 username austin privilege 15 secret 5 $1$3xFv$W0YUsKDx1adDc.cVQF2Ei0 username sales_user1 privilege 5 secret 5 $1$2/SX$ep4fsCpodeyKaRji2mJkX/ interface GigabitEthernet0/0 ip address duplex auto speed auto media−type rj45 interface GigabitEthernet0/1 ip address ip route ip http server ip http authentication local ip http secure−server ip http timeout−policy idle 600 life requests 100 control−plane ccnp_cch
22
ccnp_cch line con 0 stopbits 1 line aux 0 line vty 0 4
exec−timeout 40 0 privilege level 15 password 7 071A351A170A1600 transport input telnet ssh line vty 5 15 password D580403 ! scheduler allocate !−−− Passerelle WebVPN webvpn gateway WidgetSSLVPNGW1 hostname ausnml−3825−01 ip address port 443 http−redirect port 80 ssl trustpoint ausnml−3825−01_Certificate inservice webvpn context SalesContext ssl authenticate verify all !−−− Identifie les ressources pour la session VPN SSL url−list "InternalWebServers" heading "WidgetWebServers" url−text "WidgetWeb" url−value " url−text "OWA" url−value " nbns−list NBNSServers nbns−server !−−− Identifie la politique qui contrôle les ressources disponibles policy group policy_1 nbns−list "NBNSServers" functions file−access functions file−browse functions file−entry hide−url−bar citrix enabled default−group−policy policy_1 gateway WidgetSSLVPNGW1 max−users 2 end ccnp_cch
23
Vérification ccnp_cch
Utilisez cette section pour confirmer que votre configuration fonctionne correctement. Procédure Exécutez ces procédures pour confirmer que votre configuration fonctionne correcte- ment. ● Testez votre configuration avec un utilisateur. Entrez IP_Address dans un navigateur Web avec SSL; WebVPN_Gateway_IP_Address est l'adresse IP du service WebVPN. Après avoir accepté le certificat et entré un nom d'utilisateur et un mot de passe, un écran similaire à l'image suivante s'affiche: ● Vérifiez la session VPN SSL. Dans l'application SDM, cliquez sur le bouton Monitor et ensuite cliquez sur VPN Status. Développez WebVPN (All Contexts), développez le contexte approprié et choisissez Users. ● Vérifiez les messages d'erreur. dans l'application SDM, cliquez sur le bouton Monitor, cliquez sur Logging et ensuite cliquez sur l'onglet Syslog. ● Affichez la configuration courante de l'équipement. Dans l'application SDM, cliquez sur le bouton Configure et ensuite cliquez sur Additional Tasks. Développez Configuration Management et choisissez Config Editor. Commandes Plusieurs commandes show sont associées avec WebVPN. Vous pouvez exécuter ces commandes avec l'interface ligne de commande (CLI) pour afficher les statistiques et d'autres informations. ccnp_cch
24
Résolution de problèmes
Utilisez cette section pour résoudre les problèmes de votre configuration. Note: N'interrompez pas la commande Copy File to Server ou ne naviguez pas dans une autre fenêtre pendant que la copie est en cours. Interrompre l'opération peut entrainer une copie incomplète du fichier sur le serveur. Note: Les utilisateurs peuvent charger ou télécharger les nouveaux fichiers en utili- sant le client WebVPN mais l'utilisateur n'est pas autorisé à écraser les fichiers dans CIFS (Common Internet File System) sur le WebVPN en utilisant la commande Copy File to Server. L'utilisateur reçoit un message quand il tente de remplacer un fichier sur le serveur: Unable to add the file Procédure Exécutez ces étapes pour résoudre les problèmes de votre configuration Assurez-vous que les clients ont dévalidé les bloqueurs de fenêtres "pop-up" Assurez-vous que les clients ont les "cookies" validés Assurez-vous que les clients utilisent les navigateurs Web Internet Explorer, Firefox ou Mozilla. Commandes Plusieurs commandes debug sont associées avec WebVPN. ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.