Exemple de configuration d'un VPN SSL sans client (WebVPN) sur ASA

Transcription

1 Exemple de configuration d'un VPN SSL sans client (WebVPN) sur ASA Contenu Introduction Conditions préalables Conditions requises Composants utilisés Conventions Configurez Diagramme du réseau Procédure Configuration Substitutions de macros VPN SSL sans client (WEBVPN) Vérifiez Dépannez Procédures utilisées pour dépanner Commandes utilisées pour dépanner Problème - Impossible de connecter plus de trois utilisateurs de WEB VPN à PIX/ASA Problème - Les clients WEB VPN ne peuvent pas atteindre les signets et sont grisés Problème - Connexion Citrix via le WEBVPN Problème : Comment éviter le besoin de deuxième authentification pour les utilisateurs Informations connexes Introduction Le VPN SSL sans client (WebVPN) permet l'accès sécurisé limité mais précieux au réseau d'entreprise depuis n'importe quel emplacement. Les utilisateurs peuvent bénéficier d'un accès sécurisé via le navigateur aux ressources de l'entreprise à tout moment. Ce document fournit une configuration simple pour la gamme Cisco Adaptive Security Appliance (ASA) 5500 afin de permettre l'accès VPN SSL sans client aux ressources réseau internes. La technologie VPN SSL peut être utilisée de trois façons : VPN SSL sans client, VPN SSL client léger (réacheminement de port) et client VPN SSL (mode de tunnel SVC). Chacune d'elles a ses propres avantages et permet un accès unique aux ressources. 1. VPN SSL sans client Un client distant a seulement besoin d'un navigateur Web compatible SSL pour accéder à des serveurs Web HTTP ou HTTPS sur le LAN de l'entreprise. L'accès est également disponible pour parcourir des fichiers Windows avec le système de fichiers Common Internet File System (CIFS). Un bon exemple d'accès HTTP est le client Outlook Web Access (OWA). 2. VPN SSL de client léger (transmission du port) Un client distant doit télécharger un petit applet Javas pour l'accès sécurisé des applications TCP qui utilisent des numéros de port statiques. UDP n'est pas pris en charge. Les exemples incluent l'accès à POP3, SMTP, IMAP, SSH et Telnet. L'utilisateur doit disposer de privilèges d'administration locaux parce que des modifications sont apportées à des fichiers sur l'ordinateur local. Cette méthode de VPN SSL ne fonctionne pas avec les applications qui utilisent des affectations de ports dynamiques, par exemple, plusieurs applications FTP. Référez-vous à Exemple de configuration du VPN SSL (WebVPN) client léger sur ASA en utilisant l'asdm afin d'en savoir plus sur le VPN SSL client léger. 3. Client de VPN SSL (mode de Svc-tunnel) Le client VPN SSL télécharge un petit client sur le poste de travail distant et permet un accès total et sécurisé aux ressources sur le réseau d'entreprise interne. Le SVC peut être téléchargé de manière permanente sur le poste de travail distant, ou il peut être supprimé après la fin de la session sécurisée. Le VPN SSL sans client peut être configuré sur le concentrateur 3000 de Cisco VPN et les Routeurs spécifiques de ï ½de Cisco IOS avec la version 12.4(6)T et ultérieures. L'accès VPN SSL sans client peut également être configuré sur Cisco ASA à l'interface de ligne de commande ou avec

2 l'adaptative Security Device Manager (ASDM). L'utilisation de l'asdm rend les configurations plus simples. Le VPN SSL sans client et l'asdm ne doivent pas être activés sur la même interface ASA. Il est possible que les deux technologies coexistent sur la même interface si des modifications sont apportées aux numéros de port. Il est vivement conseillé que l'asdm soit activé sur l' interface interne, de façon à ce que WebVPN puisse être activé sur l' interface externe. Référez-vous à Exemple de configuration du client VPN SSL (SVC) sur ASA en utilisant l'asdm afin d'en savoir plus sur le client VPN SSL. Le VPN SSL sans client active l'accès sécurisé à ces ressources sur le LAN de l'entreprise : OWA/Exchange HTTP et HTTPS vers les serveurs Web internes Accès aux fichiers et navigation dans Windows Serveurs Citrix avec le client léger Citrix Cisco ASA adopte le rôle d'un proxy sécurisé pour les ordinateurs clients qui peuvent alors accéder à des ressources pré-sélectionnées sur le LAN de l'entreprise. Ce document explique une configuration simple avec l'asdm pour activer l'utilisation de VPN SSL sans client sur Cisco ASA. Aucune configuration du client n'est nécessaire si le client a déjà un navigateur Web compatible SSL. La plupart des navigateurs Web ont déjà la capacité d'appeler des sessions SSL/TLS. Les lignes de commande Cisco ASA résultantes sont également montrées dans ce document. Conditions préalables Conditions requises Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration : Navigateur Web compatible avec le client SSL, par exemple, Internet Explorer, Netscape et Mozilla ASA avec la version 7.1 ou supérieure Port TCP 443, qui ne doit pas être bloqué le long du chemin entre le client et l'asa Composants utilisés Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : Logiciel Cisco ASA version 7.2(1) Cisco ASDM 5.2(1) Remarque: Référez-vous à Permettre l'accès HTTPS pour l'asdm afin de permettre l'asa d'être configuré par l'asdm. Gamme Cisco ASA 5510 Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont commencé par une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande. Conventions Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco. Configurez À ce stade, vous pouvez émettre l' adresse IP à partir d'un navigateur Web pour accéder à l'application ASDM. Une fois que l'asdm est chargé, commencez la configuration de WebVPN. Cette section contient les informations requises pour configurer les fonctionnalités décrites dans ce document. Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section. Diagramme du réseau Ce document utilise la configuration réseau suivante :

3 Procédure Configurez le WebVPN sur l'asa en quatre étapes principales : Activez le WebVPN sur une interface ASA. Créez une liste de serveurs et/ou d'url pour l'accès WebVPN. Créez une stratégie de groupe pour les utilisateurs de WebVPN. Appliquez la nouvelle stratégie de groupe à un groupe de tunnels. 1. Dans l'asdm, choisissez Configuration > VPN > WebVPN > WebVPN Access. Choisissez l'interface pour terminer les utilisateurs WebVPN > Enable > Apply.

4 2. Choisissez Servers and URLs > Add. Entrez un nom pour la liste des serveurs accessibles par WebVPN. Cliquez sur le bouton Add. La boîte de dialogue Add Server ou URL s'affiche. Entrez le nom de chaque serveur. C'est le nom que le client voit. Choisissez le menu déroulant URL pour chaque serveur et choisissez le protocole approprié. Ajoutez des serveurs à votre liste à partir de la boîte de dialogue Add Server ou URL et cliquez OK. Cliquez sur Apply > Save. 3. Développez General dans le menu de gauche de l'asdm. Choisissez Group Policy > Add.

5 Choisissez Add Internal Group Policy. Désactivez la case à cocher Tunneling Protocols: Inherit. Activez la case à cocher de WebVPN. Choisissez le webvpn tableau décochent la case d'héritage. Choisissez dans les liste des fonctionnalités. Cliquez sur OK > Apply.

6 4. Choisissez Tunnel Group dans la colonne de gauche. Cliquez sur le bouton Edit. Cliquez sur le menu déroulant Group Policy. Choisissez la stratégie qui a été créée à l'étape 3.

7 Il est important de noter que si de nouvelles stratégies de groupe et de nouveaux groupes de tunnels ne sont pas créés, les valeurs par défaut sont GroupPolicy 1 et DefaultWEBVPNGroup. Cliquez sur l'onglet WebVPN. Choisissez Netbios Servers. Cliquez sur le bouton Add. Complétez l'adresse IP du serveur WINS/NBNS. Cliquez sur OK > OK. Suivez les invites Apply > Save > Yes pour écrire la configuration.

8 Configuration Cette configuration reflète les modifications que l'asdm a apportées pour activer le WebVPN : ciscoasa#show running-config Building configuration... Ciscoasa ASA Version 7.2(1) hostname ciscoasa domain-name cisco.com enable password 9jNfZuG3TC5tCVH0 encrypted names dns-guard interface Ethernet0/0 nameif outside security-level 0 ip address interface Ethernet0/1 nameif inside security-level 100 ip address interface Ethernet0/2 nameif DMZ1 security-level 50 no ip address interface Management0/0 description For Mgt only shutdown nameif Mgt security-level 0 ip address management-only passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name cisco.com pager lines 24 logging enable logging asdm informational mtu outside 1500

9 mtu inside 1500 mtu DMZ mtu Mgt 1500 icmp permit any outside asdm image disk0:/asdm521.bin no asdm history enable arp timeout global (outside) 1 interface nat (inside) route outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute --- group policy configurations group-policy GroupPolicy1 internal group-policy GroupPolicy1 attributes vpn-tunnel-protocol IPSec l2tp-ipsec webvpn webvpn functions url-entry file-access file-entry file-browsing mapi port-forward filter http-proxy auto-download citrix username cisco password 53QNetqK.Kqqfshe encrypted --- asdm configurations http server enable http inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart --- tunnel group configurations tunnel-group DefaultWEBVPNGroup general-attributes default-group-policy GroupPolicy1 tunnel-group DefaultWEBVPNGroup webvpn-attributes nbns-server master timeout 2 retry 2 telnet timeout 5 ssh outside ssh timeout 5 console timeout 0 class-map inspection_default match default-inspection-traffic policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp service-policy global_policy global --- webvpn configurations webvpn enable outside

10 url-list ServerList "WSHAWLAP" cifs:// url-list ServerList "FOCUS_SRV_1" 2 url-list ServerList "FOCUS_SRV_2" 3 prompt hostname context end Substitutions de macros VPN SSL sans client (WEBVPN) Les substitutions de macros VPN SSL sans client vous permettent de configurer des utilisateurs pour l'accès aux ressources personnalisées qui contiennent l'id utilisateur et le mot de passe ou d'autres paramètres d'entrée. Les exemples de telles ressources incluent des entrées de signet, des listes d'url et des partages de fichiers. Remarque: Pour des raisons de sécurité, des substitutions de mot de passe sont désactivées pour l'accès au fichier URLs (cifs://). Remarque: Également pour des raisons de sécurité, faites attention quand vous introduisez des substitutions de mot de passe pour des liens Web, particulièrement pour les instances non SSL. Les substitutions de macros suivantes sont prises en charge : CSCO_WEBVPN_USERNAME - ID de connexion de l'utilisateur VPN SSL CSCO_WEBVPN_PASSWORD - Mot de passe de connexion de l'utilisateur VPN SSL CSCO_WEBVPN_INTERNAL_PASSWORD - Mot de passe des ressources internes de l'utilisateur VPN SSL CSCO_WEBVPN_CONNECTION_PROFILE - Liste déroulante du groupe de connexion de l'utilisateur VPN SSL, un alias de groupe dans le profil de connexion CSCO_WEBVPN_MACRO1 - Placez par l'attribut de constructeur-particularité RADIUS/LDAP CSCO_WEBVPN_MACRO2 - Placez par l'attribut de constructeur-particularité RADIUS/LDAP Pour en savoir plus sur les substitutions de macros, reportez-vous à Substitutions de macros VPN SSL sans client. Vérifiez Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration. Établissez une connexion à votre périphérique ASA depuis un client extérieur pour tester ceci : Le client reçoit une page Cisco WebVPN qui permet l'accès au réseau local de l'entreprise en mode sécurisé. Le client est uniquement habilité à utiliser l'accès qui est mentionné dans la nouvelle stratégie de groupe créée. Authentification : Un ID de connexion et un mot de passe simples ont été créés sur ASA pour cette démonstration de validité en laboratoire. Si une connexion unique et transparente à un domaine pour les utilisateurs de WebVPN est préférée, référez-vous à cette URL : Exemple de configuration d'asa avec WebVPN et authentification unique à l'aide d'asdm et de NTLMv1 Dépannez Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration. Remarque: N'interrompez pas la commande Copy File to Server ou n'accédez pas à un écran différent tandis que le processus de copie est en cours. Si l'opération est interrompue, elle peut causer l'enregistrement d'un fichier inachevé sur le serveur. Remarque: Les utilisateurs peuvent envoyer et télécharger les nouveaux fichiers à l'aide du client WEBVPN, mais l'utilisateur n'est pas autorisé à remplacer les fichiers dans le CIFS sur le VPN Web avec la commande Copy File to Server. Quand l'utilisateur tente de substituer un fichier sur le serveur, l'utilisateur reçoit le message suivant : "«Unable to add the file.» Procédures utilisées pour dépanner Suivez ces instructions pour dépanner votre configuration. 1. Dans l'asdm, choisissez Monitoring > logging > Real-time Log Viewer > View. Quand un client se connecte à ASA, notez l'établissement et la terminaison des sessions SSL et TLS dans les journaux en temps réel.

11 2. Dans l'asdm, choisissez Monitoring > VPN > VPN Statistics > Sessions. Recherchez la nouvelle session WebVPN. Soyez sûr de choisir le filtre WebVPN et cliquez sur Filter. Si un problème se pose, contournez temporairement le périphérique ASA pour vous assurer que les clients peuvent accéder aux ressources réseau désirées. Passez en revue les étapes de configuration énumérées dans ce document. Commandes utilisées pour dépanner L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'oit pour afficher une analyse de la sortie de la commande show. Remarque: Référez-vous à informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage. show webvpn? Beaucoup de commandes show sont associées avec WebVPN. Afin de voir l'utilisation des commandes show en détail, référez-vous à la section référence des commandes du Dispositif de sécurité Cisco. debug webvpn? L'utilisation des commandes de débogage peut avoir un impact défavorable sur ASA. Afin de voir l'utilisation des commandes de débogage en détail, référez-vous à la section référence des commandes du Dispositif de sécurité Cisco. Problème - Impossible de connecter plus de trois utilisateurs de WEB VPN à PIX/ASA Problème : Seuls trois clients WEBVPN peuvent se connecter à ASA/PIX ; la connexion pour le quatrième client échoue.

12 Solution : Dans la plupart des cas, ce problème est lié à un paramètre de connexion simultanée dans la stratégie de groupe. Utilisez cette illustration pour configurer le nombre désiré de procédures de connexion simultanées. Dans cet exemple, la valeur désirée était 20. ciscoasa(config)# group-policy Bryan attributes ciscoasa(config-group-policy)# vpn-simultaneous-logins 20 Problème - Les clients WEB VPN ne peuvent pas atteindre les signets et sont grisés Problème : Si ces signets étaient configurés pour que des utilisateurs se connectent au VPN sans client, mais que dans l'écran d'accueil, sous «Web Applications» ils apparaissent grisés, comment puis-je activer ces liens HTTP de sorte que les utilisateurs puissent les cliquer et accéder à l'url spécifique? Solution : Vous devriez d'abord vous assurer que ASA peut résoudre les sites Web à travers le DNS. Essayez d'envoyer un ping aux sites Web par nom. Si ASA ne peut pas résoudre le nom, le lien est grisé. Si les serveurs DNS sont internes à votre réseau, configurez l'interface privée de recherche de domaine DNS. Problème - Connexion Citrix via le WEBVPN Problème Le message d'erreur «the ica client received a corrupt ica file.» se produit pour Citrix au-dessus de WEBVPN. Solution Si vous utilisez le mode secure gateway pour la connexion Citrix via WebVPN, le fichier ICA peut être endommagé. Puisque ASA n'est pas compatible avec ce mode de fonctionnement, créez un nouveau fichier ICA en mode direct (mode non sécurisé). Problème : Comment éviter le besoin de deuxième authentification pour les utilisateurs Problème Quand accéder au protocole CIFS joint sur le portail sans client de webvpn, des utilisateurs sont incités pour des qualifications après avoir cliqué sur le signet. Le LDAP est utilisé pour authentifier les ressources et les utilisateurs sont déjà entrés dans des qualifications de LDAP pour ouvrir une session à la session VPN. Solution Vous pouvez utiliser la caractéristique d'automatique-ouverture de session dans ce cas. Dans le cadre de la stratégie de groupe spécifique étant utilisée et sous ses attributs de webvpn, configurez ceci : auto-signon allow uri cifs://x.x.x.x/* auth-type all là où X.X.X.X=IP du serveur et du *=restof de protocole CIFS le chemin pour atteindre le fichier partagé/répertoire en question. Un extrait d'exemple de configuration est affiché ici : hostname(config)# group-policy ExamplePolicy attributes hostname(config-group-policy)# webvpn hostname(config-group-webvpn)# auto-signon allow uri auth-type all Pour plus d'informations sur ceci, référez-vous à configurer SSO avec le HTTP de base ou authentification NTLM. Informations connexes Exemples et notes techniques de configuration

13 Cisco Systems Inc. Tous droits réservés. Date du fichier PDF généré: 16 décembre