Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Sem clientes SSL VPN (WebVPN) no exemplo de configuração ASA

17 Outubro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (26 Setembro 2015) | Feedback


Índice


Introdução

A VPN com SSL Sem Cliente (WebVPN) permite um acesso seguro limitado, mas valioso, à rede corporativa de qualquer lugar. Os usuários podem conseguir um acesso com base em navegador seguro aos recursos corporativos a qualquer hora. Este documento fornece uma configuração direta para que a série 5500 do Cisco Adaptive Security Appliance (ASA) permita o acesso da VPN com SSL Sem Cliente aos recursos da rede interna.

A tecnologia de VPN SSL pode ser utilizada em três maneiras: Sem clientes SSL VPN, thin client SSL VPN (transmissão da porta), e cliente VPN SSL (modo de túnel SVC). Cada um tem seus próprios vantagens e acesso original aos recursos.

1. Sem clientes SSL VPN

Um cliente remoto precisa somente um navegador da Web SSL-permitido de alcançar o HTTP ou https-permitiu servidores de Web na LAN corporativa. O acesso está igualmente disponível para consultar para arquivos de Windows com o Common Internet File System (CIFS). Um bom exemplo do acesso HTTP é o cliente do acesso à Web da probabilidade (OWA).

2. Thin client SSL VPN (transmissão da porta)

Um cliente remoto deve transferir um applet pequeno, com base em Java para o acesso seguro dos aplicativos de TCP/IP que usam números de porta estática. O UDP não é apoiado. Os exemplos incluem o acesso ao POP3, ao S TP, ao IMAP, ao SSH, e ao telnet. Os privilégios administrativos locais das necessidades de usuário porque as mudanças são feitas aos arquivos na máquina local. Este método de SSL VPN não trabalha com aplicativos que usam atribuições de porta dinâmica, por exemplo, diversos aplicativos de FTP.

Refira o thin client SSL VPN (WebVPN) no ASA usando o exemplo da configuração ASDM a fim aprender mais sobre o thin client SSL VPN.

3. Cliente VPN SSL (modo do SVC-túnel)

O cliente VPN SSL transfere um cliente pequeno à estação de trabalho remota e permite-o completamente, acesso seguro aos recursos na rede corporativa interna. O SVC pode ser transferido permanentemente à estação remota, ou pode ser removido após as extremidades seguras da sessão.

Os sem clientes SSL VPN podem ser configurados no Cisco VPN concentrator 3000 e no Roteadores específico do � do Cisco IOS com versão 12.4(6)T e mais recente. O acesso dos sem clientes SSL VPN pode igualmente ser configurado em Cisco ASA no comando line interface(cli) ou com o Security Device Manager adaptável (ASDM). O uso ASDM faz configurações mais diretas.

Os sem clientes SSL VPN e ASDM não devem ser permitidos na mesma relação ASA. É possível para as duas Tecnologias coexistir na mesma relação se as mudanças são feitas aos números de porta. É altamente recomendado que o ASDM está permitido na interface interna, assim que o WebVPN pode ser permitido na interface externa.

Refira o cliente VPN SSL (SVC) no ASA usando o exemplo da configuração ASDM a fim conhecer mais detalhes sobre o cliente VPN SSL.

Os sem clientes SSL VPN permitem o acesso seguro a estes recursos na LAN corporativa:

  • OWA/Exchange

  • HTTP e HTTPS aos servidores de Web internos

  • Acesso de arquivo de Windows e consultação

  • Servidores Citrix com o thin client de Citrix

Cisco ASA adota o papel de um proxy seguro para os computadores de cliente que podem então alcançar recursos PRE-selecionados na LAN corporativa.

Este documento demonstra uma configuração simples com ASDM para permitir o uso dos sem clientes SSL VPN em Cisco ASA. Nenhuma configuração de cliente é necessária se o cliente já tem um navegador da Web SSL-permitido. A maioria de navegadores da Web já têm a capacidade de invocar sessões SSL/TLS. As linhas de comando resultantes de Cisco ASA são mostradas igualmente neste documento.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • O Cliente-SSL permitiu o navegador, por exemplo, o internet explorer, o Netscape, e o Mozilla

  • ASA com versão 7.1 ou mais recente

  • Porta TCP 443, que não deve ser obstruída ao longo do trajeto do cliente ao ASA

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração limpa (padrão). Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta fase, você pode emitir o endereço de https://inside _IP de um navegador da Web para alcançar o aplicativo ASDM. Uma vez que o ASDM carregou, comece a configuração para o WebVPN.

Esta seção contém a informação necessária configurar as características descritas dentro deste documento.

Nota: Use a ferramenta de consulta de comandos (clientes registrados somente) para obter mais informação sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/70475/webvpnasa1-1.gif

Procedimento

Configurar o WebVPN no ASA com quatro etapas principal:

  • Permita o WebVPN em uma relação ASA.

  • Crie uma lista de server e/ou de URL para o acesso WebVPN.

  • Crie uma política do grupo para usuários WebVPN.

  • Aplique a política nova do grupo a um grupo de túneis.

  1. No ASDM, escolha a configuração > o VPN > o WebVPN > o acesso WebVPN.

    /image/gif/paws/70475/webvpnasa2-2.gif

    Escolha a relação terminar usuários WebVPN > permitem > aplicam-se.

    /image/gif/paws/70475/webvpnasa3-3.gif

  2. Escolha o > Add dos server e URL.

    /image/gif/paws/70475/webvpnasa4-4.gif

    Dê entrada com um nome para a lista de server acessíveis pelo WebVPN. Clique no botão Adicionar. Os indicadores do server adicionar ou da caixa de diálogo URL. Dê entrada com o nome de cada server. Este é o nome que o cliente vê. Escolha o menu suspenso URL para cada server e escolha o protocolo apropriado. Adicionar server a sua lista do server adicionar ou da caixa de diálogo URL e clique a APROVAÇÃO.

    /image/gif/paws/70475/webvpnasa5-5.gif

    O clique aplica-se > salvaguarda.

  3. Expanda o general no menu esquerdo do ASDM. Escolha o > Add da política do grupo.

    /image/gif/paws/70475/webvpnasa6-6.gif

    • Escolha adicionam a Política interna de grupo. Desmarcar os protocolos de tunelamento: Herde a caixa de verificação. Verifique a caixa de verificação WebVPN.

    webvpnasa7-7.gif

    • Escolha a aba WebVPN. Desmarcar a caixa de verificação herdar. Escolha da lista de características. A APROVAÇÃO do clique > aplica-se.

    webvpnasa11-11.gif

  4. Escolha o grupo de túneis na coluna esquerda. Clique o botão Edit.

    /image/gif/paws/70475/webvpnasa8-8.gif

    Clique o menu suspenso da política do grupo. Escolha a política que foi criada em etapa 3.

    webvpnasa12-12.gif

    É importante notar que se as políticas e os grupos de túneis novos do grupo não são criados, os padrões são GroupPolicy 1 e DefaultWEBVPNGroup. Clique a aba WebVPN.

    /image/gif/paws/70475/webvpnasa13-13.gif

    Escolha servidores de netbios. Clique no botão Adicionar. Preencha o endereço IP de Um ou Mais Servidores Cisco ICM NT do server WINS/NBNS. Clique a APROVAÇÃO > APROVADO. Siga as alertas aplicam-se > salvaguarda > sim para escrever a configuração.

    webvpnasa14-14.gif

Configuração

Esta configuração reflete as mudanças ASDM feitas para permitir o WebVPN:

Ciscoasa
ciscoasa#show running-config 
 Building configuration...
 
ASA Version 7.2(1) 
hostname ciscoasa
domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0 
interface Ethernet0/2
 nameif DMZ1
 security-level 50
 no ip address
interface Management0/0
 description For Mgt only
 shutdown
 nameif Mgt
 security-level 0
 ip address 10.10.10.1 255.255.255.0 
 management-only
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu DMZ1 1500
mtu Mgt 1500
icmp permit any outside
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.2.2.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
!

!--- group policy configurations
!

group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
 webvpn
  functions url-entry file-access file-entry file-browsing mapi port-forward filter 
   http-proxy auto-download citrix
username cisco password 53QNetqK.Kqqfshe encrypted
!

!--- asdm configurations
!

http server enable
http 10.2.2.0 255.255.255.0 inside
!
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!

!--- tunnel group configurations
!

tunnel-group DefaultWEBVPNGroup general-attributes
 default-group-policy GroupPolicy1
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 nbns-server 10.2.2.2 master timeout 2 retry 2
!
telnet timeout 5
ssh 172.22.1.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
!

!--- webvpn configurations
!

webvpn
 enable outside
 url-list ServerList "WSHAWLAP" cifs://10.2.2.2 1
 url-list ServerList "FOCUS_SRV_1" https://10.2.2.3 2
 url-list ServerList "FOCUS_SRV_2" http://10.2.2.4 3
!
prompt hostname context 
 !
 end

Substituições macro dos sem clientes SSL VPN (WebVPN)

As substituições macro dos sem clientes SSL VPN deixam-no configurar usuários para o acesso aos recursos personalizados que contêm o usuário - identificação e senha ou outros parâmetros de entrada. Os exemplos de tais recursos incluem entradas do endereço da Internet, listas URL, e partes do arquivo.

Nota: Por razões de segurança, as substituições da senha são desabilitadas para o acesso de arquivo URL (cifs://).

Nota: Também por razões de segurança, use o cuidado quando você introduz substituições da senha para os links da Web, especialmente para o NON-SSL cita como exemplo.

Estas substituições macro são apoiadas:

  1. CSCO_WEBVPN_USERNAME - Login de usuário ID SSL VPN

  2. CSCO_WEBVPN_PASSWORD - Senha do login de usuário SSL VPN

  3. CSCO_WEBVPN_INTERNAL_PASSWORD - Senha dos recursos internos do usuário SSL VPN

  4. CSCO_WEBVPN_CONNECTION_PROFILE - Gota-para baixo do grupo do login de usuário SSL VPN, um grupo aliás dentro do perfil de conexão

  5. CSCO_WEBVPN_MACRO1 - Ajuste com o atributo específico de fornecedor RADIUS/LDAP

  6. CSCO_WEBVPN_MACRO2 - Ajuste com o atributo específico de fornecedor RADIUS/LDAP

A fim saber mais sobre substituições macro, refira substituições macro dos sem clientes SSL VPN.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Estabeleça uma conexão a seu dispositivo ASA de um cliente exterior para testar isto:

https://ASA_outside_IP_Address

O cliente recebe uma página de Cisco WebVPN que permita o acesso à LAN corporativa em uma forma segura. O acesso é permitido ao cliente somente que é alistado na política recém-criado do grupo.

Autenticação: Um início de uma sessão e uma senha simples foram criados no ASA para este teste de conceito do laboratório. Se um único e um sem emenda sinal-a um domínio para os usuários WebVPN são preferidos, refira esta URL:

O ASA com WebVPN e escolhe Sinal-em usar o exemplo de configuração ASDM e NTLMv1

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Nota: Não interrompa o arquivo da cópia ao comando server nem navegue a uma tela diferente quando o processo de cópia for em andamento. Se a operação é interrompida, pode fazer com que um arquivo incompleto estado salvar no server.

Nota: Os usuários podem transferir arquivos pela rede e transferir os arquivos novos com o cliente WebVPN, mas não é permitido ao usuário overwrite os arquivos em CIFS na WEB VPN com o arquivo da cópia ao comando server. Quando o usuário tenta substituir um arquivo no server, o usuário recebe esta mensagem: “Incapaz de adicionar o arquivo.”

Procedimentos usados para pesquisar defeitos

Siga estas instruções para resolver problemas da sua configuração.

  1. No ASDM, escolha a monitoração > registrando > Log Viewer > opinião do tempo real. Quando um cliente conecta ao ASA, note o estabelecimento e a terminação de sessões SSL e TLS nos logs do tempo real.

    /image/gif/paws/70475/webvpnasa9-9.gif

  2. No ASDM, escolha a monitoração > o VPN > as estatísticas de VPN > as sessões. Procure a sessão de VPN da Web nova. Seja certo escolher o filtro WebVPN e clicar o filtro. Se um problema ocorre, contorneie temporariamente o dispositivo ASA para assegurar-se de que os clientes possam alcançar os recursos de rede desejados. Reveja as etapas de configuração alistadas neste documento.

    /image/gif/paws/70475/webvpnasa10-10.gif

Comandos usados para pesquisar defeitos

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Refira a informação importante em comandos Debug antes do uso dos comandos debug.

  • mostre o webvpn? — Há muitos comandos show associados com o WebVPN. A fim ver em detalhe o uso dos comandos show, refira a seção de referência de comandos do dispositivo do Cisco Security.

  • debugar o webvpn? — O uso dos comandos debug pode adversamente impactar o ASA. A fim ver com maiores detalhes o uso dos comandos debug, refira a seção de referência de comandos do dispositivo do Cisco Security.

Problema - Incapaz de conectar mais de três usuários da WEB VPN ao PIX/ASA

Problema:

Somente três clientes VPN da WEB podem conectar a ASA/PIX; a conexão para o quarto cliente falha.

Solução:

Na maioria dos casos, esta edição é relacionada a um ajuste simultâneo do início de uma sessão dentro da política do grupo.

Use esta ilustração para configurar o número desejado de inícios de uma sessão simultâneos. Neste exemplo, o valor desejado era 20.

ciscoasa(config)# group-policy Bryan attributes
ciscoasa(config-group-policy)# vpn-simultaneous-logins 20

Problema - Os clientes VPN da WEB não podem bater endereços da Internet e são esmaecidas para fora

Problema:

Se estes endereços da Internet foram configurados para que os usuários assinem dentro aos sem clientes VPN, mas, na tela home sob “aplicativos de web” eles apareço como esmaecida para fora, como posso eu permitir estes links HTTP de modo que os usuários possam os clicar e entrar na URL particular?

Solução:

Você deve primeiramente certificar-se de que o ASA pode resolver os Web site com o DNS. Tente sibilar por nome os Web site. Se o ASA não pode resolver o nome, o link é esmaecida para fora. Se os servidores DNS são internos a sua rede, configurar a interface confidencial da consulta de domínio DNS.

Problema - Conexão de Citrix com o WebVPN

Problema

O Mensagem de Erro “o cliente AIC recebeu um arquivo corrompido AIC.” ocorre para Citrix sobre o WebVPN.

Solução

Se você usa o modo seguro do gateway para a conexão de Citrix com o WebVPN, o arquivo ICA pode corromper. Porque o ASA não é compatível com este modo de operação, crie um arquivo novo ICA no modo direto (modo NON-seguro).

Problema: Como evitar a necessidade para uma segunda autenticação para os usuários

Problema

Quando CIFS de acesso liga no portal dos sem clientes WebVPN, os usuários estão alertados para credenciais após ter clicado o endereço da Internet. O LDAP é usado para autenticar os recursos e os usuários têm incorporado já credenciais LDAP para entrar à sessão de VPN.

Solução

Você pode usar a característica do auto-signon neste caso. Sob a grupo-política específica que está sendo usada e sob seus atributos WebVPN, configurar isto:

auto-signon allow uri cifs://X.X.X.X/* auth-type all

onde X.X.X.X=IP do server e do *=restof CIFS o trajeto para alcançar o arquivo/dobrador da parte na pergunta.

Um snippet do exemplo de configuração é mostrado aqui:

hostname(config)# group-policy ExamplePolicy attributes 

hostname(config-group-policy)# webvpn 

hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all

Para obter mais informações sobre disto, refira configurar o SSO com o HTTP básico ou a autenticação de NTLM.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 70475