Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Cisco Secure Desktop (CSD)
Configuration de Cisco Secure Desktop (CSD) sur IOS en utilisant SDM ccnp_cch
2
Sommaire Introduction Résolution de problèmes Prérequis
- Composants utilisés - Schéma du réseau - Produits liés Configuration - Phase I: Préparer le routeur pour la configuration avec SDM - Phase I: Etape 1: Configurer une passerelle WebVPN, un contexte WebVPN et une politique de groupe - Phase I: Etape2: Valider CSD dans un contexte WebVPN - Phase II: Configurer CSD en utilisant un navigateur web Phase II: Etape 1: Définir les emplacements Windows - Phase II: Etape 2: Identifier les critères de localisation Phase II: Etape 3: Configure les emplacements des modules Windows et des fonctionnalités Phase II: Etape4: Configurer les fonctionnalités Windows CE, MacIntosh et Linux Vérification - Tester le fonctionnement de CSD - Commandes Résolution de problèmes ccnp_cch
3
Introduction Bien que les sessions VPN (Virtual Private Network) SSL (Secure Socket Layer) soient
sécurisées, le client peut toujours avoir des "cookies", des fichiers du navigateur et des attachements qui persistent après que la session soit terminée. CSD (Cisco Secure Desktop) étend la sécurité inhérente des sessions VPN SSL en écrivant les don- nées de session sous un format crypté dans une zone protégée du disque client. De plus ces données sont retirées du disque à la fin de la session VPN SSL. Ce document présente un extrait de la configuration pour CSD sur IOS Cisco routeur. CSD est supporté sur les plateformes d'équipements Cisco suivantes: IOS Cisco Routeurs Version 12.4(6)T et suivantes Routeurs Cisco 870,1811,1841, 2801, 2811, 2821, 2851, 3725, 3745, 3825, 3845, 7200 et 7301 Concentrateurs Cisco Série VPN 3000 Version 4.7 et suivantes Cisco Security Appliances Série ASA 5500 Version 7.1 et suivantes Cisco Services Module WebVPN pour Cisco Catalyst et Cisco Série 7600 Version 1.2 et suivantes Prérequis Assurez-vous d'avoir les prérequis suivants avant de tenter cette configuration: Prérequis pour l'IOS Cisco routeur IOS Cisco routeur avec Advanced Image 12.4(6T) ou suivantes Cisco Routeur Secure Device Manager (SDM) 2.3 ou suivant Copie de CSD pour le package IOS sur votre station d'administration Un certificat auto-signé ou une authentification avec une Autorité de Certificat Note: Chaque fois que vous utilisez des certificats numériques, assurez-vous que le nom de host du routeur, le nom de domaine et la date et l'heure sont corrects. Un mot de passe secret est présent sur le routeur DNS validé sur le routeur. Plusieurs services WebVPN requièrent le DNS pour fonc- tionner correctement. Prérequis pour l'ordinateur du client Les clients distants doivent avoir les privilèges d'administration locale; cela n'est pas requis mais fortement recommandé. Les clients distants doivent avoir JRE (Java Runtime Environment)1.4 ou suivants Les navigateurs des clients distants: Internet Explorer 6.0, Netscape 7.1, Mozilla 1.7 , Safari ou Firefox Cookies validés et Pop-up autorisés sur les clients distants. ccnp_cch
4
ccnp_cch Composants utilisés
Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: Cisco IOS router 3825 avec la Version 12.9(T) SDM Version 2.3.1 Schéma du réseau Ce document utilise cette configuration réseau: Cet exemple utilise un routeur Cisco série 3825 pour autoriser des accès sécurisés à l'Intranet de la société. Tous les équipements utilisés dans ce document ont une con- figuration de départ vide. Si votre réseau fonctionne, assurez-vous de bien compren- dre l'impact potentiel de chaque commande. Client VPN SSL (SVC) Windows 2000 ou Windows XP Cisco Secure Desktop http https Passerelle WebVPN Accès sécurisé Linux Internet Ferme de serveurs OWA Citrix Cisco 3825 MacIntosh Applications Cache Cleaner CIFS Navigateur avec SSL Produits liés Cette configuration peut être également utilisée avec ces versions matérielles et logi- cielles: Plateformes routeur Cisco 870,1811,1841,2801,2811, ,3725, , 3845, 7200 et 7301 Cisco IOS Advanced Security Image Version 12.4(6)T et suivantes ccnp_cch
5
Configuration Une passerelle WebVPN permet à un utilisateur de se connecter au routeur via une des technologies WebVPN SSL. Une seule passerelle WebVPN par adresse IP est auto- risée sur l'équipement bien que plusieurs contextes WebVPN peuvent être attachés à une passerelle WebVPN. Chaque contexte est identifié par un nom unique. Des politi- ques de groupe identifient les ressources configurées disponibles pour un contexte WebVPN donné. La configuration CSD sur un IOS Routeur est accomplie en deux phases: Phase I: Préparer le routeur pour la configuration de CSD avec SDM Configurer une passerelle WebVPN, un contexte WebVPN et une politique de groupe Note: Cette étape est optionnelle et n'est pas très détaillée dans ce document Si vous avez déjà configuré le routeur pour une des technologies VPN SSL, pas- sez cette étape Valider CSD dans un contexte WebVPN Phase II: Configurer CSD avec un navigateur web 1. Définissez les emplacements Windows Identifiez les critères de localisation 3. Configurez les modules de localisation Windows et les fonctionnalités 4. Configurez les fonctionnalités Windows CE, MacIntosh et Linux Phase I: Préparer le routeur pour la configuration de CSD avec SDM CSD peut être configuré avec SDM ou à partir de la ligne de commande (CLI). Cette configuration utilise SDM et un navigateur. Ces étapes sont utilisées pour réaliser la configuration de CSD sur l'IOS routeur. Phase I: Etape 1: Configurer une passerelle WebVPN, un contexte WebVPN et une politique de groupe Vous pouvez utiliser l'assistant WebVPN pour accomplir cette tâche. ccnp_cch
6
1. Ouvrir SDM et allez à Configure > VPN > WebVPN
1. Ouvrir SDM et allez à Configure > VPN > WebVPN. Cliquez sur l'onglet Create WebVPN et cochez le bouton radio Create a new WebVPN. Cliquez sur Launch the selected task. 2. L'assistant WebVPN liste les paramètres que vous pouvez configurer. Cliquez sur Next. ccnp_cch
7
3. Entrez l'adresse IP de la passerelle WebVPN, un nom unique pour le service et
l'information de certificat numérique. Cliquez sur Next. ccnp_cch
8
4. Des comptes utilisateurs peuvent être crées pour l'authentification avec cette passe-
relle WebVPN. Vous pouvez utiliser soit des comptes locaux soit des comptes crées sur un serveur d'authentification AAA (Authentication, Authorization, Accounting) externe. Cet exemple utilise des comptes locaux sur le routeur. Cochez le bouton radio Locally on this router puis cliquez sur Add. 5. Entrez les informations de compte pour le nouvel utilisateur dans la fenêtre Add an Account puis cliquez sur OK. ccnp_cch
9
6. Après avoir crée les utilisateurs, cliquez sur Next dans la page User Authentication.
7. L'écran Configure Intranet Websites vous permet de configurer le site web disponi- ble pour les utilisateurs de la passerelle WebVPN. Comme ce document est focalisé sur la configuration CSD, ne tenez pas compte de cette page. Cliquez sur Next. ccnp_cch
10
8. Bien que l'écran d'assistant WebVPN suivant vous permette de choisir Full Tunnel
SSL VPN Client, ce document est focalisé sur comment valider CSD. Décochez la case Enable Full Tunnel puis cliquez sur Next. ccnp_cch
11
9. Vous pouvez personnaliser l'apparence de la page du portail WebVPN pour l'utilisa-
teur. Dans ce cas, l'apparence par défaut est acceptée. Cliquez sur Next. 10. L'assistant affiche le dernier écran de la série. Il montre un résumé de la configu- ration pour la passerelle WebVPN. Cliquez sur Finish puis cliquez sur OK. ccnp_cch
12
ccnp_cch Phase I: Etape 2: Valider CSD dans un contexte WebVPN
Utilisez l'assistant WebVPN pour valider CSD dans un contexte WebVPN. 1. Utilisez les fonctionnalités avancées de l'assistant pour valider CSD pour le contex- te nouvellement crée. L'assistant vous donne l'opportunité d'installer le package CSD s'il n'est pas déjà installé. a. Dans SDM cliquez sur l'onglet Configure. b. Dans le panneau de navigation cliquez sur VPN > WebVPN. c. Cliquez sur l'onglet Create WebVPN. d. Cochez le bouton radio Configure advanced features for an existing WebVPN. e. Cliquez sur le bouton Launch the selected task. 2. La page d'accueil pour l'assistant Advanced WebVPN s'affiche. cliquez sur Next. ccnp_cch
13
3. Remplissez les champs WebVPN et User group dans les listes déroulantes respec-
tives. Les fonctionnalités Advanced WebVPN Wizard vont être appliquées à votre choix. Cliquez sur Next. ccnp_cch
14
4. L'écran Select Advanced Features vous permet de choisir parmi les technologies
listées. a. Cochez sur Cisco Secure Desktop. b. Dans cet exemple le choix est Client Clientless Mode. c. Si vous choisissez parmi les autres technologies listées, des fenêtres addition- nelles s'ouvrent pour permettre l'entrée d'information. d. Cliquez sur le bouton Next. 5. L'écran Configure Intranet Websites vous permet de configurer les ressources des sites web que voulez rendre disponibles pour les utilisateurs. Vous pourrez ajouter les noms de sites web internes à l'entreprise tels OWA (Outlook Web Access). ccnp_cch
15
6. Dans l'écran Enable Cisco Secure Desktop (CSD), vous avez la possibilité de valider
CSD pour ce contexte. Cochez la case Install Cisco Secure Desktop (CSD) puis cliquez sur Browse. ccnp_cch
16
7. Dans la boite de dialogue Select CSD Location, cochez My Computer.
a. Cliquez sur le bouton Browse. b. Choisissez le fichier IOS CSD package sur votre station d'administration. c. Cliquez sur le bouton OK. d. Cliquez sur le bouton Next. 8. L'écran Summary of the Configuration est affiché. Cliquez sur le bouton Finish. ccnp_cch
17
9. L'écran Summary of the Configuration est affiché
9. L'écran Summary of the Configuration est affiché. Cliquez sur le bouton Finish. ccnp_cch
18
ccnp_cch Phase II: Configurer CSD en utilisant un navigateur web
Ces étapes sont utilisées pour réaliser la configuration de CSD avec votre navigateur web. Phase II: Etape 1: Définir les emplacements Windows Définissez les emplacements Windows Ouvrez votre navigateur web à: Address/csd_admin.html par exemple: 2. Entrez le nom d'utilisateur admin. a. Entrez le mot de passe enable secret du routeur b. Cliquez sur Login. 3. Acceptez le certificat offert par le routeur, choisissez le contexte dans la liste dérou- lante puis cliquez sur Go. ccnp_cch
19
4. La fenêtre Secure Desktop Manager for WebVPN s'ouvre.
ccnp_cch
20
5. Dans le panneau de gauche, choisissez Windows Location Settings. a
5. Dans le panneau de gauche, choisissez Windows Location Settings a. Placez le curseur dans la boite près de Location Name et entrez un nom d'emplacement. b. Cliquez sur Add. c. Dans cet exemple, trois emplacements sont affichés: Office, Home et Insecure. Chaque fois qu'un nouvel emplacement est ajouté, le panneau de gauche est expansé avec les paramètres configurables pour cet emplacement. ccnp_cch
21
6. Après avoir crée les emplacements Windows, cliquez sur Save en haut dans le pan-
neau de gauche. Note: Sauvegardez votre configuration assez souvent car votre configuration sera perdue si vous êtes déconnecté du navigateur web. ccnp_cch
22
ccnp_cch Phase II: Etape 2: Identifier les critères de localisation
Pour distinguer les emplacements Windows les uns des autres, affectez des critères spécifiques à chaque emplacement. Ceci permet à CSD de déterminer lesquelles de ces fonctionnalités sont à appliquer à un emplacement de Windows particulier Dans le panneau de gauche, cliquez sur Office. a. Vous pouvez identifier un emplacement Windows avec des critères de certificat, d'adresse IP, de fichier ou de base de registre. Vous pouvez également choisir Secure Desktop ou Cache Cleaner pour ces clients. Comme ces utilisateurs sont des employés internes à la société, identifiez les avec le critère adresse IP b. Entrez les intervalles d'adresses IP dans les boites From et To. c. Cliquez sur Add. Décochez la case Use Module: Secure Desktop. d. A l'invite, cliquez sur Save cliquez sur OK. ccnp_cch
23
ccnp_cch 2. Dans le panneau de gauche, cliquez sur Home.
a. Assurez-vous que la case Use Module: Secure Desktop est cochée. b. Un fichier sera distribué pour identifier ces clients. Vous pouvez choisir de dis- tribuer des critères de certificat et/ou de base de registre pour ces utilisateurs. c. Cochez la case Enable identification using File or Registry criteria. d. Cliquez sur Add. 3. Dans la boite de dialogue, choisissez File et entrez le chemin vers le fichier. a. Ce fichier doit être distribué vers tous les clients home. b. Cochez le bouton radio Exists. c. A l'invite cliquez sur OK puis cliquez sur Save. ccnp_cch
24
4. Pour configurer l'identification des emplacements Insecure, n'appliquez pas de
critères d'identification. a. Cliquez sur Insecure dans le panneau de gauche. b. Laissez tous les critères décochés. c. Cochez la case Use Module: Secure Desktop. d. A l'invite cliquez sur Save puis cliquez sur OK. ccnp_cch
25
et des fonctionnalités
Phase II: Etape 3: Configure les emplacements des modules Windows et des fonctionnalités Configurez les fonctionnalités CSD pour chaque emplacement Windows. 1. Sous Office cliquez sur VPN Feature Policy. Comme ce sont des clients internes de confiance, ni CSD ni Cache Cleaner ne sont validés. Aucun des autres paramè- tres n'est disponible. ccnp_cch
26
2. Validez les fonctionnalités comme suit: a
2. Validez les fonctionnalités comme suit: a. Dans le panneau de gauche choisissez VPN Feature Policy sous Home. b. Les utilisateurs Home auront accès au LAN de l'entreprise si les clients répondent à certains critères. c. Sous chaque méthode d'accès choisissez ON si les critères sont remplis. ccnp_cch
27
3. Pour Web Browsing cliquez sur le bouton à droite de la boite et choisissez le
critère qui doit correspondre. Cliquez sur OK dans la boite de dialogue. ccnp_cch
28
4. Vous pouvez configurer les autres méthodes d'accès de manière similaire.
a. Sous Home choisissez Keystroke Logger. b. Cochez la case Check for keystroke loggers. c. A l'invite cliquez sur Save puis cliquez sur OK. ccnp_cch
29
5. Sous l'emplacement Windows Home, choisissez Cache Cleaner
5. Sous l'emplacement Windows Home, choisissez Cache Cleaner. Gardez les para- mètres par défaut comme le montre la capture d'écran. ccnp_cch
30
6. Sous Home, choisissez Secure Desktop General
6. Sous Home, choisissez Secure Desktop General. Cochez Suggest application uninstall upon Secure Desktop closing. Gardez les autres paramètres avec leurs valeurs défaut comme le montre la capture d'écran. ccnp_cch
31
7. Pour Secure Desktop Settings sous Home, choisissez Allow e-mail application
to work transparently. A l'invite cliquez sur Save puis cliquez sur OK. ccnp_cch
32
8. La configuration de Secure Desktop Browser dépend de votre choix pour ces uti-
lisateurs d'accéder au site web d'une société avec des favoris préconfigurés a. Sous Insecure choisissez VPN Feature Policy. b. Comme ces utilisateurs ne sont pas de confiance, autorisez uniquement la navigation web. c. Choisissez ON dans le menu déroulant pour Web Browsing. d. Tous les autres accès restent à OFF. ccnp_cch
33
9. Cochez la case Check for Keystroke Loggers.
ccnp_cch
34
10. Configurez Cache Cleaner pour Insecure. a
10. Configurez Cache Cleaner pour Insecure a. Cochez la case Clean the whole cache in addition to the current session cache (IE only). b. Laissez les autres paramètres à leurs valeurs par défaut. ccnp_cch
35
ccnp_cch 11. Sous Insecure choisissez Secure Desktop General.
a. Réduisez le time-out d'inactivité à 2 minutes. b. Cochez la case Force application uninstall upon Secure Desktop closing. ccnp_cch
36
12. Choisissez Secure Desktop Settings sous Insecure et configurez des paramètres
très restrictifs comme le montre la capture d'écran. ccnp_cch
37
13. Choisissez Secure Desktop Browser sous Insecure
13. Choisissez Secure Desktop Browser sous Insecure. Dans le champ Home Page entrez le site web vers lequel les clients seront aiguillés pour obtenir la page d'accueil. ccnp_cch
38
Phase II: Etape4: Configurer les fonctionnalités Windows CE, Linux
et MacIntosh Configurez les fonctionnalités CSD pour Windows CE, MacIntosh et Linux Choisissez Windows CE dans le panneau de gauche. Windows CE a des fonction- nalités VPN réduites. Passez Web Browsing à ON. ccnp_cch
39
ccnp_cch 2. Choisissez MAC & Linux Cache Cleaner.
a. Les systèmes d'exploitation MacIntosh et Linux ont uniquement accès à l'aspect cache cleaner de CSD. Configurez les comme le montre l'écran suivant. b. A l'invite cliquez sur Save puis cliquez sur OK. ccnp_cch
40
Vérification ccnp_cch Tester le fonctionnement de CSD
Testez le fonctionnement de CSD en vous connectant à la passerelle WebVPN avec un navigateur SSL à Address. Note: Rappelez-vous qu'il faut utiliser le nom unique de contexte si vous avez crée différents contextes WebVPN, par exemple ccnp_cch
41
Commandes Plusieurs commandes show sont associées au WebVPN. Vous pouvez exécuter ces commandes avec la CLI pour afficher des statistiques et d'autres informations. Résolution de problèmes Commandes Plusieurs commandes debug sont associées au WebVPN. ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.