La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Authentification Radius

Présentations similaires


Présentation au sujet: "Authentification Radius"— Transcription de la présentation:

1 Authentification Radius
PIX ASA 7.x - Cisco Client VPN 4.x pour Windows avec Authentification Radius Microsoft IAS 2003 ccnp_cch

2 Sommaire • Rappel • Configuration • Vérification
• Introduction - Prérequis - Composants utilisés • Rappel • Configuration - Schéma - Configurations - Configuration Client VPN 4.8 - Configuration Windows 2003 Serveur IAS • Vérification • Résolution de problèmes - Effacement des associations de sécurité - Commandes pour résolution de problème - Exemples de sorties de debug ccnp_cch

3 Introduction Rappel ccnp_cch
Cet exemple de configuration montre comment établir une connexion VPN distante en- tre un client VPN Cisco (4.x pour Windows) et l'appliance de sécurité PIX série x en utilisant le serveur RDIUS de IAS (Internet Authentication Service) Windows serveur Prérequis Assurez-vous que ces prérequis sont satisfaits avant de tenter cette configuration: ● L'appliance de sécurité PIX 500 Series est accessible depuis Internet. ● Permettre au serveur IAS de lire les objets utilisateurs dans Active Directory. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● PIX 515E Series Security Appliance Software Release 7.1(1) ● Cisco VPN Client version 4.8 for Windows ● Windows 2003 Server with IAS Cette configuration peut être aussi utilisée avec l'appliance de sécurité Cisco ASA série 5500. Rappel Les accès VPN distants répondent à la demande de la mobilité pour se connecter de manière sécurisée au réseau de la société. Les utilisateurs mobiles sont capables d'éta- blir une connexion sécurisée en utilisant le logiciel client VPN installé sur leur PC. Le client CPN initie une connexion vers le site central configuré pour accepter ces requê- tes. Dans cet exemple, l'équipement du site central est un PIX de la série 500 qui uti- lise des crypto map dynamiques. Dans cet exemple de configuration, un tunnel IPSec est configuré avec ces éléments: ● Crypto maps appliquées aux interfaces externes du PIX. ● Authentification étendue (xauth) des clients VPN au moyen d'une base de données RADIUS. ● Affectation dynamique d'une adresse IP privée aux clients VPN à partir d'un pool. ● La commande nat 0 access-list qui permet à des hosts sur un LAN d'utiliser des adresses IP privées avec un utilisateur distant et de toujours subir une traduction NAT (Network Address Translation) du PIX pour joindre un réseau non-sécurisé. ccnp_cch

4 Configuration Schéma du réseau Configurations ccnp_cch
Dans cette section sont présentées les informations nécessaires pour configurer la con- nexion VPN accès distant avec xauth en utilisant IAS Serveur Windows 2003. Schéma du réseau inside .2 /24 Utilisateur Mobile Client VPN Internet Serveur DNS Win2003 Serveur IAS /24 /24 .1 .3 /24 outside Configurations PIX 515-E PIX Version 7.1(1) ! hostname PIX !−−− Spécifie le nom de domaine. domain−name cisco.com enable password 9jNfZuG3TC5tCVH0 encrypted names !−−− Configure les interfaces outside et inside. interface Ethernet0 nameif outside security−level 0 ip address interface Ethernet1 nameif inside security−level 100 ip address !−−− partie supprimée. passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive ccnp_cch

5 ccnp_cch !−−− Spécifie l'interface qui pointe vers le serveur DNS
!−−− pour permettre au PIX d'utiliser le DNS. dns domain−lookup inside dns server−group DefaultDNS timeout 30 !−−− Spécifie la localisation du serveur DNS dans le groupe !--- DefaultDNS group. name−server domain−name cisco.com !−−− Cette liste d'accès est utilisée avec la commande nat 0 !--- qui évite que le correspondant avec la liste d'accès !--- subisse NAT. access−list 101 extended permit ip pager lines 24 logging buffer−size logging console debugging logging monitor errors mtu outside 1500 mtu inside 1500 !−−− Crée un pool d'adresses à partir duquel les adresses IP !--- sont affectées dynamiquement au clients VPN distants. ip local pool vpnclient − no failover icmp permit any outside icmp permit any inside no asdm history enable arp timeout 14400 !−−− nat 0 évite NAT pour les réseaux spécifiés dans l'ACL 101. !−−− La commande nat 1 spécifie PAT (Port Address Translation) !−−− en utilisant pour tout autre trafic. global (outside) nat (inside) 0 access−list 101 nat (inside) route outside route outside route inside timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp−pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute !−−− Crée le groupe serveur AAA "vpn" et spécifie le protocole !--- RADIUS. !−−− Spécifie le serveur IAS comme un membre du groupe "vpn" !--- et fournit la localisation et la clé. aaa−server vpn protocol radius aaa−server vpn host key cisco123 ccnp_cch

6 !−−− Crée la politique du groupe des utilisateur VPN et spécifie
!--- l'adresse IP du serveur DNS et le nom de domaine de la !−−− dans la politique de groupe. group−policy vpn3000 internal group−policy vpn3000 attributes dns−server value default−domain value cisco.com !−−− Pour identifier les utilisateurs distants avec le PIX, !−−− vous pouvez également configurer des noms d'utilisateurs !--- et des mots de passe sur l'équipement en plus de AAA username vpn3000 password nPtKy7KDCerzhKeX encrypted no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart !−−− CONFIGURATION PHASE 2 −−−! !−−− Les types de cryptage pour la Phase 2 sont définis ici. !−−− Un seul cryptage DES avec un algorithme de hachage MD5 !−−− sont utilisés. crypto ipsec transform−set my−set esp−des esp−md5−hmac !−−− Définit la crypto map dynamique avec !−−− les paramètres de cryptage spécifiés. crypto dynamic−map dynmap 10 set transform−set my−set !−−− Valide Reverse Route Injection (RRI), qui permet au PIX !−−− d'apprendre les informations de routage des clients !--- connectés. crypto dynamic−map dynmap 10 set reverse−route !−−− Lit la map dynamique au processus IPSec/ISAKMP. crypto map mymap 10 ipsec−isakmp dynamic dynmap !−−− Spécifie l'interface devant être utilisée avec !−−− les paramètres définis dans cette configuration. crypto map mymap interface outside !−−− CONFIGURATION PHASE 1 −−−! !−−− Cette configuration utilise la politique ISAKMP 10. !−−− La politique est incluse par défaut dans cette !--- configuration. !−−− Les commandes de configuration ici définissent les paramètres !--- de politique de Phase 1 qui sont utilisés. isakmp enable outside isakmp policy 10 authentication pre−share isakmp policy 10 encryption des isakmp policy 10 hash md5 isakmp policy 10 group 2 isakmp policy 10 lifetime 1000 isakmp policy authentication pre−share isakmp policy encryption 3des isakmp policy hash sha isakmp policy group 2 isakmp policy lifetime 86400 ccnp_cch

7 !−−− L'Appliance de Sécurité fournit les groupes de tunnel par
!--- défaut pour l'accès distant (DefaultRAGroup). tunnel−group DefaultRAGroup general−attributes authentication−server−group (outside) vpn !−−− Crée un nouveau groupe tunnel et fixe le type de connexion !−−− à IPSec accès distant (ipsec−ra). tunnel−group vpn3000 type ipsec−ra !−−− Associe le pool vpnclient au groupe tunnel utilisant le !--- pool d'adresses. !−−− Associe le groupe serveur AAA (VPN) avec le groupe tunnel. tunnel−group vpn3000 general−attributes address−pool vpnclient authentication−server−group vpn !−−− Entre la clé pré-partagée pour configurer la méthode !--- d'authentification. tunnel−group vpn3000 ipsec−attributes pre−shared−key * telnet timeout 5 ssh timeout 5 console timeout 0 ! class−map inspection_default match default−inspection−traffic policy−map global_policy class inspection_default inspect dns maximum−length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service−policy global_policy global Cryptochecksum:ecb58c5d8ce805b3610b198c73a3d0cf : end ccnp_cch

8 ccnp_cch Configuration du client VPN 4.8
Exécutez ces étapes pour configurer le client VPN 4.8 1. Sélectionnez Start> Programs> Cisco Systems VPN Client > VPN Client. 2. Cliquez New pour ouvrir la fenêtre Create New VPN connection Entry. ccnp_cch

9 3. Entrez le nom de Connection Entry avec la description
3. Entrez le nom de Connection Entry avec la description. Entrez l'adresse IP externe du pare-feu PIX dans la boîte Host. Ensuite entrez le nom de Groupe VPN, le mot de passe et cliquez sur Save. ccnp_cch

10 4. Cliquez sur la connexion que vous voulez utiliser et cliquez Connect dans la fénê tre principale du Client VPN. 5. Au prompt, entrez l'information Username et Password pour xauth et cliquez sur Ok pour connecter le réseau distant. ccnp_cch

11 ccnp_cch 6. Le Client VPN se connecte avec le PIX du site central.
7. Sélectionnez Status> Statistics pour afficher les statistiques du tunnel du Client VPN. ccnp_cch

12 Configuration Microsoft Serveur 2003 avec IAS
Exécutez ces étapes pour configurer Microsoft serveur 2003 avec IAS. Note: Ces étapes supposent que IAS est déjà installé sur la machine locale. Si ce n'est pas le cas, ajoutez le avec Control panel>Add/Remove Programs. 1. Sélectionnez Administrative Tools> Internet Authentication Service et faites un click droit sur le client Radius Client pour ajouter un nouveau client RADIUS Quand vous avez entré l'information du client, cliquez sur Ok. Cet exemple montre un client nommé Pix avec l'adresse IP Client-Vendor est mis à RADIUS Standard et le secret partagé est cisco123. ccnp_cch

13 2. Allez à Remote Access Policies, click droit sur Connections to Other Access
Servers et sélectionnez Properties. 3. Assurez-vous que l'option Grant Remote Access Permissions est sélectionnée Cliquez Edit Profile et vérifiez ces paramètres ● Sur le panneau Authentication, vérifiez Unencrypted authentication (PAP, SPAP) ● Sur le panneau Encryption, assurez-vous que l'option No Encryption est sélec- tionnée Cliquez sur Ok quand vous avez fini. ccnp_cch

14 5. Sélectionnez Administrative Tools>Computer Management>systems Tools> Local Users and Groups, click doit sur Users puis sélectionnez New Users pour ajouter un utilisateur sur l'ordinateur local Ajoutez un utilisateur avec le mot de passe password1 et vérifier les informations du profil. ● Sur le panneau General assurez-vous que l'option Password Never Expired est sélectionnée au lieu de l'option User Must Change Password ● Sur le panneau Dial-in, sélectionnez l'option Allow Access (ou laissez la valeur par défaut Control access through Remote Access Policy). Cliquez sur Ok quand vous avez fini. ccnp_cch

15 Vérification Authentification AAA A partir du PIX, utilisez le mot-clé Test avec la commande aaa authentification en mode de configuration global pour vérifier l'authentification de l'utilisateur avec le serveur AAA. Après avoir entré la commande, le PIX vous demande d'entrer le user- name et le mot de passe à valider. Quand les informations utilisateur sont vérifiées et validées, vous recevez le message "Authentication Successful". pix(config−aaa−server−host)#test aaa authentication radius host Username: administrator Password: ***** INFO: Attempting Authentication test to IP address < > (timeout: 12 seconds) INFO: Authentication Successful Commandes show Utilisez cette pour confirmer que votre configuration fonctionne correctement. ● show crypto isakmp sa - Affiche les associations de sécurité (SAs) ISAKMP. ● show crypto ipsec sa - Affiche les associations de sécurité IPSec. PIX#show crypto ipsec sa interface: outside Crypto map tag: dynmap, seq num: 10, local addr: local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer: , username: administrator dynamic allocated peer ip: #pkts encaps: 33, #pkts encrypt: 33, #pkts digest: 33 #pkts decaps: 33, #pkts decrypt: 33, #pkts verify: 33 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, ipsec overhead 60, media mtu 1500 current outbound spi: CA8BF3BC inbound esp sas: spi: 0xE4F08D9F ( ) transform: esp−des esp−md5−hmac in use settings ={RA, Tunnel, } slot: 0, conn_id: 1, crypto−map: dynmap sa timing: remaining key lifetime (sec): 28689 IV size: 8 bytes replay detection support: Y ccnp_cch

16 Résolution de problèmes
outbound esp sas: spi: 0xCA8BF3BC ( ) transform: esp−des esp−md5−hmac in use settings ={RA, Tunnel, } slot: 0, conn_id: 1, crypto−map: dynmap sa timing: remaining key lifetime (sec): 28687 IV size: 8 bytes replay detection support: Y Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des problèmes liés à votre configuration. Effacement les associations de sécurité Utilisez les commandes suivantes en mode privilégié : ● clear [crypto] ipsec sa - Efface les SAs IPSec actives. Le mot-clé crypto est optionnel. ● clear [crypto] isakmp sa - Efface les SAs IKE actives. Le mot-clé crypto est Commandes pour résolution de problèmes ● debug crypto ipsec - Affiche les négociations IPSec de Phase 2. ● debug crypto isakmp - Affiche les négociations ISAKMP de Phase 1. Exemples de sortie de debug Pare-feu PIX PIX#debug crypto isakmp 7 PIX# May 22 22:32:25 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=9117fc3d) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing hash payload IP = , processing notify payload IP = , Received keep−alive of type DPD R−U−THERE (seq number 0x36a6342) !−−− Dead−Peer−Detection Exchange IP = , Sending keep−alive of type DPD R−U−THERE−ACK IP = , constructing blank hash payload ccnp_cch

17 May 22 22:32:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator,
IP = , constructing qm hash payload May 22 22:32:25 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=4c047e39) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:32:36 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=a ) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) May 22 22:32:36 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Received keep−alive of type DPD R−U−THERE (seq number 0x36a6343) IP = , Sending keep−alive of type DPD R−U−THERE−ACK IP = , constructing blank hash payload May 22 22:32:36 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=ceada919) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) May 22 22:32:47 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=ab66b5e2) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) May 22 22:32:47 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing hash payload IP = , processing notify payload (seq number 0x36a6344) May 22 22:32:47 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=b5341ba5) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) May 22 22:32:58 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=22d77ee7) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, (seq number 0x36a6345) ccnp_cch

18 May 22 22:32:58 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator,
IP = , constructing blank hash payload IP = , constructing qm hash payload May 22 22:32:58 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=8d688bd2) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 May 22 22:33:14 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=f949ae6) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) May 22 22:33:14 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , processing hash payload IP = , processing notify payload IP = , Received keep−alive of type DPD R−U−THERE (seq number 0x36a6346) IP = , Sending keep−alive of type DPD R−U−THERE−ACK May 22 22:33:14 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=fd9fef25) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) May 22 22:33:25 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=54d3b543) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) May 22 22:33:25 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, (seq number 0x36a6347) May 22 22:33:26 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, May 22 22:33:26 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=4d41020b) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) May 22 22:33:37 [IKEv1]: IP = , IKE_DECODE RECEIVED Message (msgid=af7ad910) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, (seq number 0x36a6348) ccnp_cch

19 ccnp_cch PIX#debug crypto ipsec 7 !−−− Efface les anciennes SAs. PIX#
May 22 22:33:37 [IKEv1 DEBUG]: Group = vpn3000, Username = administrator, IP = , Sending keep−alive of type DPD R−U−THERE−ACK (seq number 0x36a6348) IP = , constructing blank hash payload IP = , constructing qm hash payload May 22 22:33:37 [IKEv1]: IP = , IKE_DECODE SENDING Message (msgid=84cd2235) with payloads : HDR + HASH (8) + NOTIFY (11) + NONE (0) total length : 80 PIX#debug crypto ipsec 7 !−−− Efface les anciennes SAs. PIX# IPSEC: Deleted inbound decrypt rule, SPI 0xA7E3E225 Rule ID: 0x0243DD38 IPSEC: Deleted inbound permit rule, SPI 0xA7E3E225 Rule ID: 0x024BA720 IPSEC: Deleted inbound tunnel flow rule, SPI 0xA7E3E225 Rule ID: 0x02445A48 IPSEC: Deleted inbound VPN context, SPI 0xA7E3E225 VPN handle: 0x018F68A8 IPSEC: Deleted outbound encrypt rule, SPI 0xB9C97D06 Rule ID: 0x024479B0 IPSEC: Deleted outbound permit rule, SPI 0xB9C97D06 Rule ID: 0x0243E9E0 IPSEC: Deleted outbound VPN context, SPI 0xB9C97D06 VPN handle: 0x0224F490 !−−− Crée les nouvelles SAs. IPSEC: New embryonic SA 0x02448B38, SCB: 0x024487E0, Direction: inbound SPI : 0xE4F08D9F Session ID: 0x VPIF num : 0x Tunnel type: ra Protocol : esp Lifetime : 240 seconds IPSEC: New embryonic SA 0x , SCB: 0x02511DD8, Direction: outbound SPI : 0xCA8BF3BC IPSEC: Completed host OBSA update, SPI 0xCA8BF3BC ccnp_cch

20 ccnp_cch IPSEC: Creating outbound VPN context, SPI 0xCA8BF3BC
Flags: 0x SA : 0x SPI : 0xCA8BF3BC MTU : 1500 bytes VCID : 0x Peer : 0x SCB : 0x02511DD8 Channel: 0x014A42F0 IPSEC: Completed outbound VPN context, SPI 0xCA8BF3BC VPN handle: 0x024B9868 IPSEC: New outbound encrypt rule, SPI 0xCA8BF3BC Src addr: Src mask: Dst addr: Dst mask: Src ports Upper: 0 Lower: 0 Op : ignore Dst ports Protocol: 0 Use protocol: false SPI: 0x Use SPI: false IPSEC: Completed outbound encrypt rule, SPI 0xCA8BF3BC Rule ID: 0x024B9B58 IPSEC: New outbound permit rule, SPI 0xCA8BF3BC Src addr: Src mask: Dst addr: Protocol: 50 Use protocol: true SPI: 0xCA8BF3BC Use SPI: true IPSEC: Completed outbound permit rule, SPI 0xCA8BF3BC Rule ID: 0x024E7D18 IPSEC: Completed host IBSA update, SPI 0xE4F08D9F ccnp_cch

21 ccnp_cch IPSEC: Creating inbound VPN context, SPI 0xE4F08D9F
Flags: 0x SA : 0x02448B38 SPI : 0xE4F08D9F MTU : 0 bytes VCID : 0x Peer : 0x024B9868 SCB : 0x024487E0 Channel: 0x014A42F0 IPSEC: Completed inbound VPN context, SPI 0xE4F08D9F VPN handle: 0x024D90A8 IPSEC: Updating outbound VPN context 0x024B9868, SPI 0xCA8BF3BC Flags: 0x SA : 0x SPI : 0xCA8BF3BC MTU : 1500 bytes Peer : 0x024D90A8 SCB : 0x02511DD8 IPSEC: Completed outbound VPN context, SPI 0xCA8BF3BC VPN handle: 0x024B9868 IPSEC: Completed outbound inner rule, SPI 0xCA8BF3BC Rule ID: 0x024B9B58 IPSEC: Completed outbound outer SPD rule, SPI 0xCA8BF3BC Rule ID: 0x024E7D18 IPSEC: New inbound tunnel flow rule, SPI 0xE4F08D9F Src addr: Src mask: Dst addr: Dst mask: Src ports Upper: 0 Lower: 0 Op : ignore Dst ports Protocol: 0 Use protocol: false SPI: 0x Use SPI: false IPSEC: Completed inbound tunnel flow rule, SPI 0xE4F08D9F Rule ID: 0x0243DD38 ccnp_cch

22 ccnp_cch IPSEC: New inbound decrypt rule, SPI 0xE4F08D9F
Src addr: Src mask: Dst addr: Dst mask: Src ports Upper: 0 Lower: 0 Op : ignore Dst ports Protocol: 50 Use protocol: true SPI: 0xE4F08D9F Use SPI: true IPSEC: Completed inbound decrypt rule, SPI 0xE4F08D9F Rule ID: 0x IPSEC: New inbound permit rule, SPI 0xE4F08D9F IPSEC: Completed inbound permit rule, SPI 0xE4F08D9F Rule ID: 0x0251A970 ccnp_cch

23 VPN Client 4.8 pour Windows Sélectionnez Log>Log Settings pour valider les niveaux de log du Client VPN. Sélectionnez Log> Log Window pour voir les entrées de log du Client VPN ccnp_cch


Télécharger ppt "Authentification Radius"

Présentations similaires


Annonces Google