Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA/PIX: Exemplo de Configuração de Permissão de Separação de Túneis para Clientes VPN no ASA

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (10 Janeiro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Diagrama de Rede
      Produtos Relacionados
      Convenções
Informações de Apoio
Configuração da Separação de Túneis no ASA
      Configuração do ASA 7.x com o Adaptive Security Device Manager (ASDM) 5.x
      Configuração do ASA 8.x com o Adaptive Security Device Manager (ASDM) 6.x
      Configuração do ASA via CLI
Verificação
      Conexão com o Cliente VPN
      Exibição do Log do Cliente VPN
      Teste do Acesso à LAN Local com Pings
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento apresenta instruções passo a passo de como permitir que os clientes VPN acessem à Internet enquanto estão encapsulados em um Security Appliance Cisco Adaptive Security Appliance (ASA) 5500 Series. Essa configuração permite que os clientes VPN recebam acesso seguro aos recursos corporativos via IPSec ao mesmo tempo em que obtêm acesso desprotegido à Internet.

aviso Aviso: A separação de túneis pode apresentar um risco de segurança quando configurada. Como os clientes VPN possuem acesso desprotegido à Internet, eles podem ser comprometidos por um agressor. O agressor poderia então ser capaz de acessar a LAN corporativa via túnel IPSec. Um compromisso entre tunelamento total e separado pode ser permitir o acesso dos clientes VPN somente à LAN local. Consulte PIX/ASA 7.x: Exemplo de Configuração de Permissão de Acesso à LAN Local para Clientes VPN para obter mais informações.

Pré-requisitos

Requisitos

Este documento pressupõe que uma configuração de VPN de acesso remoto já existe no ASA. Consulte Exemplo de Configuração do PIX/ASA 7.x como Um Servidor Remoto Usando o ASDM se uma configuração não estiver disponível.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco ASA 5500 Series Security Appliance Software versão 7.x ou posterior

  • Cisco Systems VPN Client versão 4.0.5

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Diagrama de Rede

O cliente VPN está localizado em uma rede SOHO típica e se conecta pela Internet com o escritório principal.

asa-split-tunnel-vpn-client-1.gif

Produtos Relacionados

Esta configuração também pode ser usada com o Cisco PIX 500 Series Security Appliance Software versão 7.x.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Em um cenário básico de cliente VPN para ASA, todo o tráfego do cliente VPN é criptografado e enviado para o ASA independentemente do seu destino. Com base em sua configuração e no número de usuários com suporte, esse tipo de configuração pode exigir muita largura de banda. A separação de túneis pode ser usada para aliviar esse problema por que ela permite que os usuários enviem somente o tráfego destinado à rede corporativa pelo túnel. Todos os demais tipos de tráfego, como mensagens instantâneas, e-mails ou navegação casual são enviados para a Internet via LAN local do cliente VPN.

Configuração da Separação de Túneis no ASA

Configuração do ASA 7.x com o Adaptive Security Device Manager (ASDM) 5.x

Conclua estes passos para configurar seu grupo de túnel para permitir a separação de túneis para os usuários do grupo.

  1. Selecione Configuration > VPN > General > Group Policy e selecione a Política de Grupo na qual deseja habilitar o acesso à LAN local. Em seguida, clique em Edit.

    asa-split-tunnel-vpn-client-2.gif

  2. Vá para a guia Client Configuration.

    asa-split-tunnel-vpn-client-3.gif

  3. Desmarque a caixa Inherit da Split Tunnel Policy e selecione Tunnel Network List Below.

    asa-split-tunnel-vpn-client-4.gif

  4. Desmarque a caixa Inherit da Split Tunnel Network List e clique em Manage para iniciar o ACL Manager.

    asa-split-tunnel-vpn-client-5.gif

  5. No ACL Manager, selecione Add > Add ACL... para criar uma nova lista de acesso.

    asa-split-tunnel-vpn-client-6.gif

  6. Forneça um nome para a ACL e clique em OK.

    asa-split-tunnel-vpn-client-7.gif

  7. Após a criação da ACL, selecione Add > Add ACE... para adicionar uma entrada de controle de acesso (ACE).

    asa-split-tunnel-vpn-client-8.gif

  8. Defina a ACE que corresponde à LAN por trás do ASA. Neste caso, a rede é 10.0.1.0/24.

    1. Selecione Permit.

    2. Escolha o endereço IP 10.0.1.0

    3. Escolha a máscara de rede 255.255.255.0.

    4. (Opcional) Forneça uma descrição.

    5. Clique em OK.

      asa-split-tunnel-vpn-client-9.gif

  9. Clique em OK para sair do ACL Manager.

    asa-split-tunnel-vpn-client-10.gif

  10. Certifique-se de que a ACL que você acabou de criar esteja selecionada na Split Tunnel Network List.

    asa-split-tunnel-vpn-client-11.gif

  11. Clique em OK para retornar à configuração da Política de Grupo.

    asa-split-tunnel-vpn-client-12.gif

  12. Clique em Apply e em Send (se necessário) para enviar os comandos para o ASA.

    asa-split-tunnel-vpn-client-13.gif

Configuração do ASA 8.x com o Adaptive Security Device Manager (ASDM) 6.x

Conclua estes passos para configurar seu grupo de túnel para permitir a separação de túneis para os usuários do grupo.

  1. Selecione Configuration > Remote Access VPN > Network (Client) Access > Group Policies e escolha a Política de Grupo na qual deseja habilitar o acesso à LAN local. Clique em Edit.

    asa-split-tunnel-vpn-client-19.gif

  2. Clique em Split Tunneling.

    asa-split-tunnel-vpn-client-20.gif

  3. Desmarque a caixa Inherit da Split Tunnel Policy e selecione Tunnel Network List Below.

    asa-split-tunnel-vpn-client-21.gif

  4. Desmarque a caixa Inherit da Split Tunnel Network List e clique em Manage para iniciar o ACL Manager.

    asa-split-tunnel-vpn-client-22.gif

  5. No ACL Manager, selecione Add > Add ACL... para criar uma nova lista de acesso.

    asa-split-tunnel-vpn-client-23.gif

  6. Forneça um nome para a ACL e clique em OK.

    asa-split-tunnel-vpn-client-24.gif

  7. Após a criação da ACL, selecione Add > Add ACE... para adicionar uma entrada de controle de acesso (ACE).

    asa-split-tunnel-vpn-client-25.gif

  8. Defina a ACE que corresponde à LAN por trás do ASA. Neste caso, a rede é 10.0.1.0/24.

    1. Clique no botão de opção Permit.

    2. Selecione o endereço de rede com a máscara 10.0.1.0/24 .

    3. (Opcional) Forneça uma descrição.

    4. Clique em OK.

    asa-split-tunnel-vpn-client-26.gif

  9. Clique em OK para sair do ACL Manager.

    asa-split-tunnel-vpn-client-27.gif

  10. Certifique-se de que a ACL que você acabou de criar esteja selecionada na Split Tunnel Network List.

    asa-split-tunnel-vpn-client-28.gif

  11. Clique em OK para retornar à configuração da Política de Grupo.

    asa-split-tunnel-vpn-client-29.gif

  12. Clique em Apply e em Send (se necessário) para enviar os comandos para o ASA.

    asa-split-tunnel-vpn-client-30.gif

Configuração do ASA via CLI

Em vez de usar o ASDM, você pode concluir estes passos na CLI do ASA para permitir a separação de túneis no ASA:

Nota: A configuração da separação de túneis na CLI é a mesma para o ASA 7.x e 8.x.

  1. Entre no modo de configuração.

    ciscoasa>enable
    Password: ********
    ciscoasa#configure terminal
    ciscoasa(config)#
  2. Crie a lista de acesso que define a rede por trás do ASA.

    ciscoasa(config)#access-list Split_Tunnel_List remark The corporate network behind the ASA.
    ciscoasa(config)#access-list Split_Tunnel_List standard permit 10.0.1.0 255.255.255.0
    
  3. Entre no modo de configuração da Política de Grupo para a política que deseja modificar.

    ciscoasa(config)#group-policy hillvalleyvpn attributes
    ciscoasa(config-group-policy)#
  4. Especifique a política de separação de túnel. Neste caso, a política é tunnelspecified.

    ciscoasa(config-group-policy)#split-tunnel-policy tunnelspecified
    
  5. Especifique a lista de acesso de separação de túnel. Neste caso, a lista é Split_Tunnel_List.

    ciscoasa(config-group-policy)#split-tunnel-network-list value Split_Tunnel_List
    
  6. Execute este comando:

    ciscoasa(config)#tunnel-group hillvalleyvpn general-attributes
    
  7. Associe a política do grupo ao grupo do túnel.

    ciscoasa(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
    
  8. Saia dos dois modos de configuração.

    ciscoasa(config-group-policy)#exit
    ciscoasa(config)#exit
    ciscoasa#
  9. Salve a configuração na RAM não volátil (NVRAM) e pressione Enter quando avisado para especificar o nome de arquivo de origem.

    ciscoasa#copy running-config startup-config
    
    Source filename [running-config]?
    Cryptochecksum: 93bb3217 0f60bfa4 c36bbb29 75cf714a
    
    3847 bytes copied in 3.470 secs (1282 bytes/sec)
    ciscoasa#

Verificação

Siga os passos nestas seções para verificar a sua configuração.

Conexão com o Cliente VPN

Conecte seu cliente VPN ao concentrador da VPN para verificar sua configuração.

  1. Selecione sua entrada de conexão da lista e clique em Connect.

    asa-split-tunnel-vpn-client-14.gif

  2. Insira suas credenciais.

    asa-split-tunnel-vpn-client-15.gif

  3. Selecione Status > Statistics... para exibir a janela Tunnel Details onde você pode inspecionar os detalhes específicos do túnel e observar o fluxo de tráfego.

    asa-split-tunnel-vpn-client-16.gif

  4. Vá para a guia Route Details para ver as rotas que o cliente VPN está protegendo para o ASA.

    Neste exemplo, o cliente VPN está protegendo o acesso a 10.0.1.0/24 enquanto os demais tipos de tráfego não são criptografados nem enviados pelo túnel.

    asa-split-tunnel-vpn-client-17.gif

Exibição do Log do Cliente VPN

Ao examinar o log do cliente VPN, você pode determinar se o parâmetro que especifica a separação de túneis está ou não definido. Para exibir o log, vá para a guia Log do cliente VPN. Em seguida, clique em Log Settings para ajustar o que é registrado. Neste exemplo, o IKE é definido como 3 - High, enquanto que todos os demais elementos são definidos como 1 - Low.

asa-split-tunnel-vpn-client-18.gif

Cisco Systems VPN Client Version 4.0.5 (Rel)
Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2

1      14:20:09.532  07/27/06  Sev=Info/6	IKE/0x6300003B
Attempting to establish a connection with 172.22.1.160.


!--- Saída suprimida.


18     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005D
Client sending a firewall request to concentrator

19     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005C
Firewall Policy: Product=Cisco Systems Integrated Client,
Capability= (Centralized Protection Policy).

20     14:20:14.188  07/27/06  Sev=Info/5	IKE/0x6300005C
Firewall Policy: Product=Cisco Intrusion Prevention Security Agent,
Capability= (Are you There?).

21     14:20:14.208  07/27/06  Sev=Info/4	IKE/0x63000013
SENDING >>> ISAKMP OAK TRANS *(HASH, ATTR) to 172.22.1.160

22     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300002F
Received ISAKMP packet: peer = 172.22.1.160

23     14:20:14.208  07/27/06  Sev=Info/4	IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(HASH, ATTR) from 172.22.1.160

24     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 10.0.1.50

25     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x63000010
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_NETMASK: , value = 255.255.255.0

26     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SAVEPWD: , value = 0x00000000

27     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_PFS: , value = 0x00000000

28     14:20:14.208  07/27/06  Sev=Info/5	IKE/0x6300000E
MODE_CFG_REPLY: Attribute = APPLICATION_VERSION, value = Cisco Systems,
Inc ASA5510 Version 7.2(1) built by root on Wed 31-May-06 14:45

!--- A separação de túneis é permitida e a LAN remota é definida.

29     14:20:14.238  07/27/06  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets),
value = 0x00000001

30     14:20:14.238  07/27/06  Sev=Info/5	IKE/0x6300000F
SPLIT_NET #1
	subnet = 10.0.1.0
	mask = 255.255.255.0
	protocol = 0
	src port = 0
	dest port=0

!--- Saída suprimida.

Teste do Acesso à LAN Local com Pings

Uma maneira adicional de testar se o cliente VPN está configurado para a separação de túneis enquanto permanece encapsulado no ASA é usar o comando ping na linha de comando do Windows. A LAN local do cliente VPN é 192.168.0.0/24 e outro host está presente na rede com o endereço IP 192.168.0.3.

C:\>ping 192.168.0.3
Pinging 192.168.0.3 with 32 bytes of data:

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255
Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

Troubleshooting

No momento, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 70917