La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

TP Sécurité - Configuration VPN SSL sans client (WebVPN) sur

Publié parAurore Labrie Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "TP Sécurité - Configuration VPN SSL sans client (WebVPN) sur"— Transcription de la présentation:

1 TP Sécurité - Configuration VPN SSL sans client (WebVPN) sur
IOS Cisco avec SDM CFI_Site_Paris

2 Configuration de base d'un routeur avec SDM
- Objectifs  Configuration d'un routeur Cisco comme passerelle WebVPN sur IOS Cisco en utilisant SDM. Cette configuration concerne le cas VPN SSL sans client. - Schéma du réseau HTTP .200 STA /24 OWA Fa0/0 DCE .10 R1 .2 .1 .230 .1 R1P1 .2 S0/0/0 S0/0/0 /24 /24 CIFS /24 .10 SDM .180 /24 - Scénario Dans ce Lab vous allez configurer un routeur via Cisco Security Device Manager (SDM) et en utilisant quelques commandes de base pour permettre la connectivité entre le routeur R1 et le routeur R1P1. - Etape 1: Connexion des équipements et configuration de base Commencez ce Lab en effaçant les configuration précédentes et en redémarrant les équi- pements. Lorsque les équipements ont redémarré, configurez les noms appropriés. Confi- gurez les adresses IP présentées dans le schéma. L'horloge de l'interface S0/0/0 de R1P1 est bit/s. Configurez EIGRP sur R1: R1(config)# router eigrp 100 R1(config-router)# no auto-summary R1(config-router)# network R1(config-router)# network Configurez EIGRP sur R1P1: R1P1(config)# router eigrp 100 R1P1(config-router)# no auto-summary R1P1(config-router)# network R1P1(config-router)# network R1P1(config-router)# network CFI_Site_Paris

3 Vérifiez la connectivité à partir de STA avec les serveurs dont les adresses sont ptésentées
dans le schéma du réseau. - Etape 2: Préparer le routeur pour le SDM L'application Cisco SDM utilise les lignes terminaux virtuels (vty) et le serveur HTTP pour gérer la configuration de l'équipement. Comme un utilisateur doit se logger pour changer ou accéder à la configuration, quelques commandes de base doivent être entrées pour permettre l'accès distant Ce sont des commandes de base de l'IOS, elles ne sont pas spécifiques au SDM. Toutefois sans ces commandes, le SDM ne pourra pas accéder au routeur et ne fonctionnera pas D'abord créez un nom d'utilisateur avec son mot de passe sur le routeur pour être utilisé avec le SDM. Ce login aura besoin du niveau de privilège 15 pour que le SDM puisse modi- fier les paramètres de configuration sur le routeur. La combinaison nom d'utilisateur et mot de passe sera utilisée plus tard pour l'accès au routeur R1P1(config)# username ciscosdm privilege level 15 password ciscosdm L'accès au routeur avec HTTP doit être configuré pour que SDM fonctionne. Si votre image le supporte (vous devez avoir une image IOS qui supporte la cryptographie), vous devez également valider l'accès sécurisé HTTPS en utilisant la commande ip http secure-server. La validation de HTTPS génère un affichage au sujet de clés RSA. Ceci est normal. Assurez- vous également que le serveur HTTP utilise la base de données locale pour les besoins de l'authentification. R1P1(config)# ip http server R1P1(config)# ip http secure-server % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] *Jan 14 20:19:45.310: %SSH-5-ENABLED: SSH 1.99 has been enabled *Jan 14 20:19:46.406: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write memory" to save new certificate R1P1(config)# ip http authentication local Finalement configurez les terminaux virtuels du routeur pour l'authentification en utilisant la base de données locale. Autorisez l'entrée terminal virtuel au moyen de telnet et de SSH. R1P1(config)# line vty 0 4 R1P1(config-line)# login local R1P1(config-line)# transport input telnet ssh Il faut également configurer le mot de passe enable. R1P1(config)# enable secret ciscosdm CFI_Site_Paris

4 - Etape 3 : Configurer AAA
AAA représente le service d'Authentification, d'Autorisation et d'Accounting. Celui-ci doit être activé et une méthode d'authentification doit être validée avant de commencer la con- figuration du WebVPN SSL. R1P1(config)# aaa new-model R1P1(config)# aaa authentication login default local La méthode d'authentification par défaut pour la connexion utilisera la base de données locale du routeur. - Etape 4 : Configurer la passerelle WebVPN Exécutez ces étapes pour configurer la passerelle WebVPN. 1. Dans l'application SDM, cliquez sur Configurer pui cliquez sur VPN Développez SSL VPN et choisissez Passerelles SSL VPN. CFI_Site_Paris

5 3. Cliquez sur Ajouter. La boite de dialogue Ajouter une Passerelle SSL VPN s'affiche. 4. Entrez la valeur dans le champ Nom de la passerelle. Cochez la case Activer la passerelle puis remplissez les champs Adresse IP et Nom d'hôte. 5. Cochez la case Rediriger le trafic HTTP puis cliquez sur OK pour accepter les modifications. CFI_Site_Paris

6 - Etape 5 : Configurer les ressources autorisées par un stratégie de groupe
Pour que cela soit plus facile d'ajouter des ressources à une stratégie de groupe, vous pou- vez configurer les ressources avant de créer la stratégie de groupe. Exécutez ces étapes pour configurer les ressources pour la stratégie de groupe Cliquez sur Configurer puis cliquez sur VPN. CFI_Site_Paris

7 2. Choisissez SSL VPN puis cliquez sur l'onglet Modifier SSL VPN.
Note: SSL VPN vous permet de configurer l'accès pour HTTP, HTTPS, l'exploration de fichiers Windows au travers du protocole CIFS (Common Internet File System) et Citrix. CFI_Site_Paris

8 3. Cliquez sur Ajouter . La boite de dialogue Ajouter un contexte SSL VPN s'affiche CFI_Site_Paris

9 4. Développez Contexte SSL VPN puis choisissez Listes …..
CFI_Site_Paris

10 5. Cliquez sur Ajouter. La boite de dialogue Ajouter une liste d'URL s'affiche. 6. Entrez les valeurs dans les champs Nom de la liste des URL et En-tête. 7. Cliquez sur Ajouter… puis sur Site Web…. Cette liste contient tous les serveurs Web HTTP et HTTPS que vous voulez rendre dispo- nibles pour cette connexion WebVPN. CFI_Site_Paris

11 8. Pour ajouter l'accès pour Outlook Web Access (OWA), cliquez sur Ajouter, choisissez
Courriel et ensuite cliquez sur OK après avoir rempli tous les champs désirés. 9. Pour autoriser l'exploration de fichiers Windows au travers de CIFS, vous pouvez indi- quer un serveur NBNS (Netbios Name Service) et configurer les partages appropriés dans le domaine Windows a. A partir de la fenêtre Ajouter un contexte SSL VPN, choisissez Listes de serveurs de noms. b. Cliquez sur Ajouter…. La boite de dialogue Ajouter une liste de serveurs NBNS s'affiche. CFI_Site_Paris

12 c. Entrez un nom pour la liste puis cliquez sur Ajouter….
d. Si cela est applicable, cochez la case Faire de ce serveur le serveur maître. e. Cliquez sur OK puis de nouveau sur OK. CFI_Site_Paris

13 - Etape 6 : Configurer la stratégie de groupe WebVPN et sélectionner les
ressources Cliquez sur Configurer et ensuite clique sur VPN Développez SSL VPN puis choisissez Contexte SSL VPN puis cliquez sur Ajouter. 3. Choisissez l'interface qui est connectée au routeur R2 et choisissez l'intervalle des adresses IP qui partagent l'accès Internet vers R2. CFI_Site_Paris

14 3. Choisissez Stratégies de groupe puis cliquez sur Ajouter.
La boite de dialogue Ajouter une stratégie de groupe s'affiche. 4. Entrez un nom pour la nouvelle stratégie de groupe puis cochez la case Faire de cette stratégie de groupe la stratégie de groupe par défaut pour le contexte. 5. Cliquez sur l'onglet Sans Client. CFI_Site_Paris

15 6. Cochez la case Sélectionner pour la liste d'URL désirée.
7. Si vos clients utilisent des clients Citrix qui ont besoin d'un accès au serveurs Citrix, cochez la case Activer Citrix. 8. Cochez les cases Activer CIFS, Lire et Ecrire Cliquez sur la liste déroulante Liste de serveurs NBNS et choisissez la liste de serveurs que vous avez créée pour l'exploration de fichiers Windows à l'étape 5. 10 . cliquez sur OK. CFI_Site_Paris

16 - Etape 7: Configurer le contexte SSL VPN
Pour lier la passerelle WebVPN, la stratégie de groupe et les ressources, vous devez confi- gurer le contexte SSL VPN. pour configurer le contexte SSL VPN, exécutez ces étapes: 1. Cliquez sur Configurer et ensuite clique sur VPN Développez SSL VPN puis choisissez Contexte SSL VPN puis cliquez sur Ajouter. 3. Cliquez sur la liste déroulante Passerelle associée et choisissez une passerelle associée. 4. Si vous tentez de créer plusieurs contextes, entrez un nom unique dans le champ Domaine pour identifier ce contexte. Si vous laissez le nom de domaine en blanc, les utilisateurs devront accéder au WebVPN avec Si vous entrez un nom de domaine (par exemple Sales), les utilisateurs se connectent avec Cochez la case Activer le contexte. 6. Dans le champ Nombre Maximum d'utilisateurs, entrez le nombre maximum d'utilisa- teurs autorisés par la licence de cet équipement. 7. Cliquez sur la liste déroulante Stratégie de groupe par défaut et sélectionnez la stra- tégie de groupe associée avec ce contexte. 8. Cliquez sur OK et ensuite sur OK. CFI_Site_Paris

17 - Etape 8: Configurer la base de données utilisateur et la méthode
d'authentification Vous pouvez configurer les sessions VPN SSL sans client (WebVPN) pour l'authentification avec Radius, le serveur AAA Cisco ou une base de données locale. Cet exemple utilise une base de données locale Exécutez ces étapes pour configurer la base de données utilisateurs et la méthode d'authentification Cliquez sur Configurer et ensuite cliquez sur Tâches supplémentaires. 2. Développez Accès Routeur et choisissez Cliquez sur OK pour terminer. CFI_Site_Paris

18 Configuration NAT statique
Exécutez ces étapes pour configurer NAT statique sur le routeur R1. 1. Choisissez Configurer> NAT > Modifier une configuration NAT puis cliquez sur Ajouter pour configurer NAT statique. 2. Choisissez Direction de Interne vers externe ou Externe vers interne, spécifiez l'adresse IP interne devant être traduite sous Convertir depuis Interface. Pour Convertir vers Interface, sélectionnez le Type:  Choisissez Adresse IP si vous voulez une traduction vers l'interface définie dans le champ Adresse IP  Choisissez Interface si vous voulez une traduction utilisant une interface du routeur L'adresse source est traduite vers l'adresse IP affectée à l'interface que vous spécifiez dans le champ Interface. Cochez la case Port de redirection si vous voulez inclure l'information de port pour l'équipement interne dans la traduction. CFI_Site_Paris

19 Cliquez sur OK pour fermer les fenêtres.
CFI_Site_Paris

20 - Etape 5: Configuration du Routage
Configuration du routage statique Exécutez ces étapes pour configurer le routage statique sur le routeur R1. 1. Choisissez Configurer> Routage > Routage Statique puis cliquez sur Ajouter pour configurer le routage statique. 2. Entrez le réseau de destination avec le masque et sélectionnez soit l'interface sortante ou l'adresse IP du prochain saut. CFI_Site_Paris

21 Cette fenêtre montre le routage statique configuré pour le réseau avec l'adresse IP comme prochain saut. Configuration du routage dynamique Exécutez ces étapes pour configurer le routage dynamique sur le routeur R1. 1. Choisissez Configurer> Routage > Routage Dynamique. 2. Sélectionnez RIP puis cliquez sur Modifier. CFI_Site_Paris

22 4. Spécifiez l'adresse de réseau devant être annoncée.
3. Cochez la case Activer RIP, sélectionnez la version de RIP puis cliquez sur Ajouter. 4. Spécifiez l'adresse de réseau devant être annoncée. 5. Cliquez sur OK puis de nouveau sur OK pour envoyer les commandes au routeur. CFI_Site_Paris

23 CFI_Site_Paris

24 - Etape 6: Configurations diverses
Exécutez ces étapes pour configurer d'autres fonctionnalités sur le routeur R1. 1. Choisissez Configurer> Tâches supplémentaires > Accès Routeur> Compte utilisa- teurs/Afficher pour ajouter/modifier/retirer des comptes utilisateurs au routeur. CFI_Site_Paris

25 2. Choisissez Fichier> Enregistrer la configuration en cours sur PC pour sauvegarder
la configuration dans la NVRAM comme sur le PC et réinitialiser la configuration du routeur avec les valeurs par défaut. 3. Dans la barre de menu choisissez Edition > Préférences pour valider les Préférences de l'utilisateur.  Effectuer un aperçu des commandes avant leur envoi au routeur  Confirmer avant de quitter SDM  Continuer le contrôle de l'état de l'interface lors de la communication mode/tâche CFI_Site_Paris

26 - Etape 7: Vérification Exécutez ces étapes pour configurer d'autres fonctionnalités sur le routeur R1. 1. Choisissez Configurer> Interfaces et connexions > Modifier interface/connexion> Tester la connexion pour tester la connectivité de bout en bout. Vous pouvez spécifier l'adresse IP de l'extrémité distante si vous validez le bouton radio Indiqué par util. CFI_Site_Paris

27 - Etape 8: Résolution de problèmes
Vous pouvez utiliser ces options pour résoudre des problèmes:  Choisissez Outils> Mettre à jour SDM depuis le barre de menu pour une exécuter une commande ping, Telnet et mettre à niveau le SDM avec la dernière version. Vous pouvez faire cela depuis le site de Cisco, le PC local ou le CD. CFI_Site_Paris

28  Choisissez l'option Aide > A propos de ce routeur pour afficher les informations sur le
matériel et le logiciel du routeur. CFI_Site_Paris

29  L'option Aide fournit des informations sur les diverses options disponibles dans le
SDM pour la configuration du routeur. CFI_Site_Paris

Télécharger ppt "TP Sécurité - Configuration VPN SSL sans client (WebVPN) sur"

Présentations similaires

Guide de l'enseignant SolidWorks, leçon 1 Nom de l'établissement Nom de l'enseignant Date.

Guide de l'enseignant SolidWorks, leçon 1 Nom de l'établissement Nom de l'enseignant Date.
GOOGLE MAPS ANDROID API V2. INTRODUCTION TO THE GOOGLE MAPS ANDROID API V2.

GOOGLE MAPS ANDROID API V2. INTRODUCTION TO THE GOOGLE MAPS ANDROID API V2.
1 Manuel d’utilisation Application Datamédis® sur Pocket PC Propriété PROMEDIS S.A.

1 Manuel d’utilisation Application Datamédis® sur Pocket PC Propriété PROMEDIS S.A.
AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE SMS (Système de Management de la Sûreté)(Système de Management de la Sûreté)DPSSE AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE.

AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE SMS (Système de Management de la Sûreté)(Système de Management de la Sûreté)DPSSE AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE.
Nouveautés Version 4.1 et 4.2 29 mai 2017.

Nouveautés Version 4.1 et mai 2017.
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
MENUS PRINCIPAL RESEAU.

MENUS PRINCIPAL RESEAU.
Terminaux virtuels (VTY)

Terminaux virtuels (VTY)
Sécurité - Configuration Client VPN SSL sur IOS Cisco avec SDM

Sécurité - Configuration Client VPN SSL sur IOS Cisco avec SDM
ATS8500 Standalone Downloader.

ATS8500 Standalone Downloader.
Système de gestion de l’information sur l’équité en milieu de travail (SGIÉMT) Créer et télécharger des fichiers pour le Programme de contrats fédéraux.

Système de gestion de l’information sur l’équité en milieu de travail (SGIÉMT) Créer et télécharger des fichiers pour le Programme de contrats fédéraux.
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Client léger VPN SSL avec ASDM

Client léger VPN SSL avec ASDM
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Sécurité - VPN - Configurer le client VPN SSL

Sécurité - VPN - Configurer le client VPN SSL
TP Sécurité - Configuration de Base d'un Routeur avec SDM

TP Sécurité - Configuration de Base d'un Routeur avec SDM
Sécurité - Configuration VPN SSL sans client (WebVPN) sur

Sécurité - Configuration VPN SSL sans client (WebVPN) sur
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Registre de Configuration (Configuration Register)

Registre de Configuration (Configuration Register)

Présentations similaires

Annonces Google