La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité - Configuration VPN SSL Client léger sur IOS Cisco avec SDM

Présentations similaires


Présentation au sujet: "Sécurité - Configuration VPN SSL Client léger sur IOS Cisco avec SDM"— Transcription de la présentation:

1 Sécurité - Configuration VPN SSL Client léger sur IOS Cisco avec SDM
ccnp_cch

2 Sommaire ● Introduction - Schéma du réseau
- Prérequis Composants utilisés ● Configuration - Schéma du réseau - Configuration du client léger VPN SSL Configuration ● Vérification - Vérification de la configuration - Commandes ● Résolution de problèmes - Commandes pour résolution de problèmes ccnp_cch

3 Introduction La technologie VPN SSL Client léger peut être utilisée pour autoriser l'accès sécurisé pour des applications qui utilisent des ports statiques. Telnet (23), POP3(110), SMTP (25), IMAP4 (143) et SSH (22) en sont des exemples. Le client léger peut être piloté par utilisateur ou par des politiques de groupe qui peuvent être crées pour inclure un ou plusieurs utilisateurs. La technologie WebVPN peut être configurée selon trois modes: VPN SSL sans client (WebVPN), VPN SSL client léger (Port Forwarding) et Client VPN SSL (Full Tunnel Mode) ● VPN SSL sans client (WebVPN) - Permet à un client distant qui a seulement besoin d'un navigateur Web avec SSL d'accéder à des serveurs Web HTTP ou HTTPS d'un réseau LAN d'entreprise. De plus le VPN SSL sans client permet l'accès pour l'ex- ploration de fichiers Windows au travers du protocole CIFS (Common Internet File System). Le client Outlook Web Access est un exemple d'accès HTTP. ● VPN SSL client léger (Port Forwarding) - Permet à un client distant de télécharger un petit Applet Java et autorise l'accès sécurisé à des applications TCP qui utili- sent des ports statiques. POP3, SMTP, IMAP, SSH et Telnet sont des exemples Comme les fichiers de la machine locale sont modifiés, les utilisateurs doivent avoir le privilège d'administration locale. Cette méthode VPN SSL ne fonctionne pas avec des applications qui utilisent des ports dynamiques telles que les appli- cations FTP. ● Client VPN SSL (Full Tunnel mode) - Télécharge un petit client sur le poste de tra- vail distant et autorise un accès sécurisé complet aux ressources d'un réseau in- terne d'entreprise. Vous pouvez charger le client VPN SSL sur la station de travail distante de manière permanente ou vous pouvez retirer le client une fois que la session est terminée. La technologie VPN SSL ou WebVPN est supportée sur les plateformes IOS routeur suivantes: ● Cisco 870, 1811, 1841, 2801, 2811, 2821 and 2851 series routers ● Cisco 3725, 3745, 3825, 3845, 7200 and 7301 series routers Prérequis Assurez-vous que vous avez ces prérequis avant de tenter cette configuration: Prérequis pour le routeur IOS Cisco ● Tout routeur listé ci-dessus, avec une copie de SDM préinstallée et une image avancée de de l'IOS version 12.4(6)T ou suivante. ● Station d'administration avec SDM chargé. Cisco livre les nouveaux routeurs avec une copie de SDM préinstallée. Si votre routeur n'a pas le SDM installé, vous pouvez obtenir le SDM sur le site cisco.com à Software Download - Cisco Security Device Manager. Vous devez posséder un compte CCO avec un contrat de service. ccnp_cch

4 Prérequis pour les ordinateurs clients
● Les clients distants doivent avoir les privilèges d'administration locale, cela n'est pas requis mais fortement recommandé. ● Les clients distants doivent avoir JRE (Java RunTime Environment) version ou suivante. ● Les clients distants doivent avoir un des navigateurs Web suivants: Internet Explo rer 6.0, Netscape 7.1, Mozilla 1.7, Safari ou Firefox ● Les "cookies" validés et fenêtres "Popup" autorisées sur les clients distants. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● Cisco Advanced Enterprise Software Image 12.4(9)T ● Routeur Cisco 3825 Integrated Services Router ● Routeur Cisco et Security Device Manager (SDM) − version 2.3.1 Schéma du réseau POP3 Port 110 PC ou Portable Telnet Port 23 Linux Passerelle WebVPN MAC Réseau Public SSH Port 22 Cisco 3825 Client Léger SMTP Port 25 Navigateur Web avec SSL ccnp_cch

5 Configuration du client léger VPN SSL
Utilisez le Wizard fourni dans l'interface SDM (Security Device Manager) pour configu- rer le client léger VPN SSL sur IOS Cisco ou configurez-le avec l'interface ligne de com- mande (CLI) ou manuellement dans l'application SDM. Cet exemple utilise le Wizard Choisissez l'onglet Configure a. A partir du panneau de navigation choisissez VPN> WebVPN. b. Cliquez sur l'onglet Create WebVPN. c. Cliquez sur le bouton radio Create a new WebVPN. d. Cliquez sur le bouton Launch the selected task. ccnp_cch

6 2. Le Wizard WebVPN se lance. Cliquez sur Next.
ccnp_cch

7 Entrez l'adresse IP et le nom unique pour la passerelle WebVPN
Entrez l'adresse IP et le nom unique pour la passerelle WebVPN. Cliquez sur Next. ccnp_cch

8 3. L'écran User Authentication permet de fournir l'authentification aux utilisateurs Cette configuration utilise un compte crée localement sur le routeur. Vous pouvez utiliser un serveur AAA (Authentication, Authorization, Accounting) a. Pour ajouter un utilisateur cliquez sur Add b. Entrez l'information utilisateur dans l'écran Add an Account et cliquez sur OK c. Cliquez sur Next dans l'écran User Authentication. d. L'écran WebVPN Wizard permet la configuration des sites Web Intranet mais cette étape est sautée car le principe du "Port Forwarding" est utilisé pour l'accès à cette application. Si vous voulez autoriser l'accès aux sites Web, utilisez les confi gurations SSL VPN sans client VPN SSL. ccnp_cch

9 e. Cliquez sur Next. Le Wizard affiche un écran qui permet la configuration d'un
client Full Tunnel. Cela ne s'applique pas à notre client léger VPN SSL (Port For warding). ccnp_cch

10 f. Décochez la case Enable Full Tunnel. Cliquez sur Next.
ccnp_cch

11 4. Personnalisez l'apparence de la page de portail WebVPN ou acceptez l'apparence par défaut a. Cliquez sur Next. ccnp_cch

12 b. Affichez un résumé de la configuration puis cliquez sur Finish> Save.
ccnp_cch

13 5. Vous avez crée une passerelle WebVPN et un contexte WebVPN avec une politique
de groupe liée. Configurez les ports du Client léger qui sont disponibles quand le client se connecte au WebVPN a. Choisissez Configure b. Choisissez VPN> WebVPN c. Choisissez Create WebVPN d. Choisissez le bouton radio Configure advanced features for an existing WebVPN et cliquez sur Launch the selected task. ccnp_cch

14 e. L'écran Welcome affiche en surligné les capacités du Wizard
e. L'écran Welcome affiche en surligné les capacités du Wizard. Cliquez sur Next. ccnp_cch

15 f. Choisissez le contexte WebVPN et le User Group depuis les listes déroulantes. Cliquez sur Next.
ccnp_cch

16 g. Choisissez Thin Client (Port Forwarding) et ensuite cliquez sur Next.
h. Entrez les ressources que vous voulez rendre disponibles au travers du Port For warding. Le port du service doit être un port statique mais vous pouvez accepter le port par défaut sur le PC client affecté par le Wizard. Cliquez sur Next. ccnp_cch

17 ccnp_cch

18 i. Prévisualisez un résumé de la configuration et cliquez sur Finish> OK> Save.
ccnp_cch

19 Configuration ccnp_cch ausnml-3825-01 Building configuration...
Current configuration : 4343 bytes ! ! Last configuration change at 15:55:38 UTC Thu Jul by ausnml ! NVRAM config last updated at 21:30:03 UTC Wed Jul by ausnml version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password−encryption hostname ausnml−3825−01 boot−start−marker boot system flash c3825−adventerprisek9−mz.124−9.T.bin boot−end−marker no logging buffered enable secret 5 $1$KbIu$5o8qKYAVpWvyv9rYbrJLi/ aaa new−model aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 local aaa authentication login sdm_vpn_xauth_ml_2 local aaa authorization exec default local aaa session−id common resource policy ip cef ip domain name cisco.com voice−card 0 no dspfarm !−−− Information Certificate Auto−Signé crypto pki trustpoint ausnml−3825−01_Certificate enrollment selfsigned serial−number none ip−address none revocation−check crl rsakeypair ausnml−3825−01_Certificate_RSAKey 1024 crypto pki certificate chain ausnml−3825−01_Certificate certificate self−signed 02 A9 A D0609 2A F70D !−−− Partie supprimée ccnp_cch

20 quit ! username ausnml privilege 15 password F5A5D292421 username fallback privilege 15 password A0A12 username austin privilege 15 secret 5 $1$3xFv$W0YUsKDx1adDc.cVQF2Ei0 username sales_user1 privilege 5 secret 5 $1$2/SX$ep4fsCpodeyKaRji2mJkX/ username admin0321 privilege 15 secret 5 $1$FxzG$cQUJeUpBWgZ.scSzOt8Ro1 interface GigabitEthernet0/0 ip address duplex auto speed auto media−type rj45 interface GigabitEthernet0/1 ip address ip route ip http server ip http authentication local ip http secure−server ip http timeout−policy idle 600 life requests 100 control−plane line con 0 stopbits 1 line aux 0 line vty 0 4 exec−timeout 40 0 privilege level 15 password 7 071A351A170A1600 transport input telnet ssh line vty 5 15 password D580403 scheduler allocate !−−− Passerelle WebVPN webvpn gateway gateway_1 ip address port 443 http−redirect port 80 ssl trustpoint ausnml−3825−01_Certificate inservice ccnp_cch

21 Vérification ccnp_cch
!−−− Contexte WebVPN webvpn context webvpn title−color #CCCC66 secondary−color white text−color black ssl authenticate verify all ! !−−− Ressources disponibles pour le client léger port−forward "portforward_list_1" local−port 3002 remote−server " " remote−port 110 description "Pop3 " local−port 3001 remote−server " " remote−port 23 description "Router1" local−port 3000 remote−server " " remote−port 25 description " " local−port 3003 remote−server " " remote−port 22 description "Router2 SSH" !−−− Politique de groupe policy group policy_1 default−group−policy policy_1 aaa authentication list sdm_vpn_xauth_ml_2 gateway gateway_1 domain webvpn max−users 2 inservice end Vérification Vérification de votre configuration Utilisez cette section pour vérifier que votre configuration fonctionne correctement Utilisez un ordinateur client pour accéder à la passerelle WebVPN à way_ip_address. Rappelez-vous d'inclure un nom de domaine WebVPN si vous créez des contextes WebVPN uniques. Par exemple si vous créez un nom de domai- ne appelé sales, entrez ccnp_cch

22 2. Entrez le login et acceptez le certificat proposé par la passerelle WebVPN. Cliquez sur Start Application Access. ccnp_cch

23 ccnp_cch

24 3. Un écran Application Access s'affiche
3. Un écran Application Access s'affiche. Vous pouvez accéder à une application avec le numéro de port local et votre adresse IP locale de loopback. Par exemple pour l'accès Telnet au routeur1, entrez telnet Le petit Applet Java trans met l'information à la passerelle WebVPN qui ensuite relie les deux extrémités de la session de manière sécurisée. Les connexions réussies font croître les valeurs des colonnes Bytes Out et Bytes In. Commandes Plusieurs commandes show sont associées au WebVPN. Vous pouvez exécuter ces commandes avec l'interface ligne de commande (CLI). Résolution de problèmes Utiliser cette section pour résoudre les problèmes liés à votre configuration. Les ordinateurs des clients doivent avoie SUN Java version 1.4 ou suivante. Commandes utilisées pour résolution de problèmes ● show webvpn ? - Il y a plusieurs commandes show associées au WebVPN. Vous pouvez exécuter ces commandes avec l'interface ligne de commande (CLI). ● debug webvpn ? - L'utilisation de commandes debug peut avoir un impact négatif sur les performances du routeur. ccnp_cch


Télécharger ppt "Sécurité - Configuration VPN SSL Client léger sur IOS Cisco avec SDM"

Présentations similaires


Annonces Google