Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Exemplo de Configuração do PIX/ASA como um Servidor VPN Remoto com Autenticação Estendida Usando a Interface de Linha de Comando e o ASDM

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (25 Fevereiro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Informações de Apoio
Configurações
      Configuração do ASA/PIX como um Servidor VPN Remoto Usando o ASDM
      Configuração do ASA/PIX como um Servidor VPN Remoto Usando a Interface de Linha de Comando
      Configuração do Armazenamento de Senhas do Cliente VPN
      Desabilitação da Autenticação Estendida
Verificação
Troubleshooting
      ACL de Criptografia Incorreta
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como configurar o Cisco 5500 Series Adaptive Security Appliance (ASA) para operar como um servidor VPN remoto usando o Adaptive Security Device Manager (ASDM) ou a interface de linha de comando. O ASDM oferece gerenciamento e monitoramento de segurança de nível internacional por meio de uma interface de gerenciamento baseada na Web fácil e intuitiva. Uma vez que a configuração do Cisco ASA esteja completa, ela poderá ser verificada com o Cisco VPN Client.

Consulte Exemplo de Configuração de Autenticação do PIX/ASA 7.x e do Cisco VPN Client 4.x com o RADIUS (no Active Directory) do Windows 2003 IAS para obter mais informações de como estabelecer uma conexão VPN de acesso remoto entre um Cisco VPN Client.(4.x para Windows) e o PIX 500 Series Security Appliance 7.x. O usuário do cliente VPN remoto se autentica no Active Directory utilizando um servidor RADIUS do Microsoft Windows 2003 Internet Authentication Service (IAS).

Consulte Exemplo de Configuração de Autenticação do PIX/ASA 7.x e do Cisco VPN Client 4.x para Cisco Secure ACS para obter mais informações de como estabelecer uma conexão VPN de acesso remoto entre um Cisco VPN Client (4.x para Windows) e o PIX 500 Series Security Appliance 7.x usando um Cisco Secure Access Control Server (ACS versão 3.2) para autenticação estendida (Xauth).

Pré-requisitos

Requisitos

Este documento pressupõe que o ASA esteja completamente operacional e configurado de forma a permitir que o Cisco ASDM ou a linha de comando efetuem alterações de configuração.

Nota: Consulte Permitindo Acesso HTTPS ao ASDM ou PIX/ASA 7.x: Exemplo de Configuração do SSH nas Interfaces Interna e Externa para permitir que o dispositivo seja configurado remotamente pelo ASDM ou pela shell segura (SSH).

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Adaptive Security Appliance Software versão 7.x ou posterior

  • Adaptive Security Device Manager versão 5.x ou posterior

  • Cisco VPN Client versão 4.x ou posterior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser usada com o Cisco PIX Security Appliance versão 7.x ou posterior.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

As configurações de acesso remoto proporcionam acesso remoto seguro para Cisco VPN Clients, tais como usuários móveis. Uma VPN de acesso remoto permite que os usuários remotos acessem de forma segura recursos centralizados da rede. O Cisco VPN Client é compatível com o protocolo IPSec e é projetado especificamente para trabalhar com o security appliance. Entretanto, o security appliance pode estabelecer conexões IPSec com diversos clientes compatíveis com o protocolo. Consulte os Guias de Configuração do ASA para obter mais informações sobre o IPSec.

Os grupos e os usuários são os conceitos principais no gerenciamento da segurança das VPNs e na configuração do security appliance. Eles especificam atributos que determinam o acesso dos usuários e o uso da VPN. Um grupo é uma coleção de usuários tratados como uma entidade única. Os usuários obtêm seus atributos a partir de políticas de grupo. Os grupos de túnel identificam a política de grupo das conexões específicas. Se você não atribuir uma política de grupo específica a um usuário, a política de grupo padrão para a conexão será aplicada.

Um grupo de túnel consiste de um conjunto de registros que determina as políticas de conexão do túnel. Esses registros identificam os servidores nos quais os usuários de túnel de autenticam, bem como os servidores de contabilidade, se houver algum, para os quais as informações sobre as conexões são enviadas. Eles também identificam uma política de grupo padrão para as conexões, e contêm parâmetros de conexão específicos do protocolo. Os grupos de túnel incluem um pequeno número de atributos referentes à criação do túnel em si. Os grupos de túnel incluem um ponteiro para uma política de grupo que define atributos orientados ao usuário.

Nota: Na configuração de exemplo deste documento, contas de usuários locais são utilizadas para autenticação. Se você desejar utilizar um outro serviço, como o LDAP ou o RADIUS, consulte Configurando um Servidor RADIUS Externo para Autorização e Autenticação.

O Internet Security Association and Key Management Protocol (ISAKMP), também chamado de IKE, é o protocolo de negociação no qual os hosts concordam em como construir uma associação de segurança de IPSec. Cada negociação de ISAKMP é dividida em duas seções, a Fase 1 e a Fase 2. A Fase 1 cria o primeiro túnel para proteger as mensagens de negociação posteriores do ISAKMP. A Fase 2 cria o túnel que protege os dados que navegam pela conexão segura. Consulte Palavras-Chave de Políticas do ISAKMP para Comandos da Interface de Linha de Comando para obter mais informações sobre o ISAKMP.

Configurações

Configuração do ASA/PIX como um Servidor VPN Remoto Usando o ASDM

Execute estes passos para configurar o Cisco ASA como um servidor VPN remoto usando o ASDM:

  1. Selecione Wizards > VPN Wizard na janela Home.

    asa-remotevpn-asdm-1.gif

  2. Selecione o tipo de túnel de VPN Remote Access e certifique-se de que a interface do túnel de VPN esteja definida conforme o desejado.

    asa-remotevpn-asdm-2.gif

  3. O único tipo de cliente VPN disponível já está selecionado. Clique em Next.

    asa-remotevpn-asdm-3.gif

  4. Insira um nome para o grupo de túnel. Forneça as informações de autenticação a serem utilizadas.

    Pre-shared Key está selecionada neste exemplo.

    asa-remotevpn-asdm-4.gif

    Nota: Não há uma forma de ocultar/criptografar a chave pré-compartilhada no ASDM. A razão é que o ASDM deve ser utilizado somente por pessoas que configuram o ASA ou por pessoas que prestam assistência ao cliente nessa configuração.

  5. Selecione se deseja que os usuários remotos sejam autenticados no banco de dados de usuários local ou em um grupo de servidores AAA externo.

    Nota: Você adicionará usuários ao banco de dados de usuários local no passo 6.

    Nota: Consulte Exemplo de Configuração de Grupos de Servidores de Autenticação e Autorização para Usuários de VPN via ASDM no PIX/ASA 7.x para obter informações sobre como configurar um grupo de servidores AAA externo via ASDM.

    asa-remotevpn-asdm-5.gif

  6. Adicione usuários ao banco de dados local se necessário.

    Nota: Não remova os usuários existentes nessa janela. Selecione Configuration > Device Administration > Administration > User Accounts in the main ASDM window para editar as entradas existentes no banco de dados ou para removê-los do banco de dados.

    asa-remotevpn-asdm-6.gif

  7. Defina um pool de endereços locais para serem atribuídos dinamicamente aos clientes VPN remotos quando eles se conectarem

    asa-remotevpn-asdm-7.gif

  8. Opcional: Especifique as informações dos servidores DNS e WINS e um nome de domínio padrão para ser enviado aos clientes VPN remotos.

    asa-remotevpn-asdm-8.gif

  9. Especifique os parâmetros para o IKE, também conhecido por Fase 1 do IKE.

    As configurações em ambos os lados do túnel devem ser idênticas. Entretanto, o Cisco VPN Client seleciona automaticamente a configuração adequada para si mesmo. Assim, não é necessária configuração de IKE alguma no PC cliente.

    asa-remotevpn-asdm-9.gif

  10. Especifique os parâmetros para o IPSec, também conhecido por Fase 2 do IKE.

    As configurações em ambos os lados do túnel devem ser idênticas. Entretanto, o Cisco VPN Client seleciona automaticamente a configuração adequada para si mesmo. Assim, não é necessária configuração de IKE alguma no PC cliente.

    asa-remotevpn-asdm-10.gif

  11. Especifique que hosts ou redes internas devem ser expostos aos usuários remotos da VPN, se houver.

    Se você deixar essa lista vazia, os usuários remotos da VPN terão permissão para acessar toda a rede interna do ASA.

    Você também pode ativar o tunelamento dividido nessa janela. O tunelamento dividido criptografa o tráfego até os recursos anteriormente definidos neste procedimento e fornece acesso não criptografado à Internet sem o tunelamento desse tráfego. Se o tunelamento dividido não estiver habilitado, todo o tráfego dos usuários remotos de VPN sofrerá tunelamento até o ASA. Isso pode consumir muita largura de banda e processamento, dependendo da sua configuração.

    asa-remotevpn-asdm-11.gif

  12. Esta janela mostra um resumo das ações que você executou. Clique em Finish se estiver satisfeito com sua configuração.

    asa-remotevpn-asdm-12.gif

Configuração do ASA/PIX como um Servidor VPN Remoto Usando a Interface de Linha de Comando

Execute estes passos para configurar um servidor VPN de acesso remoto a partir da linha de comando. Consulte Configurando VPNs de Acesso Remoto ou Cisco ASA 5500 Series Adaptive Security Appliances - Referências de Comandos para obter mais informações sobre cada comando utilizado.

  1. Insira o comando ip local pool no modo de configuração global para configurar os pools de endereços IP a serem utilizados pelos túneis de acesso remoto da VPN. Para excluir pools de endereços, insira a forma no deste comando.

    O security appliance utiliza pools de endereços baseados no grupo de túnel para a conexão. Se você configurar mais de um pool de endereços para um grupo de túnel, o security appliance os usará na ordem em que eles foram configurados. Execute este comando para criar um pool de endereços locais que possa ser utilizado para a atribuição dinâmica de endereços para os clientes VPN de acesso remoto:

    ASA-AIP-CLI(config)#ip local pool vpnpool 172.16.1.100-172.16.1.199 mask
    		  255.255.255.0
    		 
  2. Execute este comando:

    ASA-AIP-CLI(config)#username marty password 12345678
    
  3. Execute esse conjunto de comandos para configurar o túnel específico:

    • ASA-AIP-CLI(config)#isakmp policy 1 authentication pre-share

    • ASA-AIP-CLI(config)#isakmp policy 1 encryption 3des

    • ASA-AIP-CLI(config)#isakmp policy 1 hash sha

    • ASA-AIP-CLI(config)#isakmp policy 1 group 2

    • ASA-AIP-CLI(config)#isakmp policy 1 lifetime 43200

    • ASA-AIP-CLI(config)#isakmp enable outside

    • ASA-AIP-CLI(config)#crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

    • ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA

    • ASA-AIP-CLI(config)#crypto dynamic-map Outside_dyn_map 10 set reverse-route

    • ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000

    • ASA-AIP-CLI(config)#crypto map Outside_map 10 ipsec-isakmp dynamic Outside_dyn_map

    • ASA-AIP-CLI(config)#crypto map outside_map interface outside

    • ASA-AIP-CLI(config)#crypto isakmp nat-traversal

  4. Opcional: Se você desejar que a conexão ignore a lista de acesso aplicada à interface, execute este comando:

    ASA-AIP-CLI(config)#sysopt connection permit-ipsec
    

    Nota: Esse comando funciona em imagens 7.x anteriores à 7.2(2). Se você estiver utilizando uma imagem 7.2(2), execute o comando ASA-AIP-CLI(config)#sysopt connection permit-vpn.

  5. Execute este comando:

    ASA-AIP-CLI(config)#group-policy hillvalleyvpn internal
    
  6. Execute estes comandos para definir as configurações de conexão do cliente:

    • ASA-AIP-CLI(config)#group-policy hillvalleyvpn attributes

    • ASA-AIP-CLI(config)#(config-group-policy)#dns-server value 172.16.1.11

    • ASA-AIP-CLI(config)#(config-group-policy)#vpn-tunnel-protocol IPSec

    • ASA-AIP-CLI(config)#(config-group-policy)#default-domain value test.com

  7. Execute este comando:

    ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn ipsec-ra
    
  8. Execute este comando:

    ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn ipsec-attributes
    
  9. Execute este comando:

    ASA-AIP-CLI(config-tunnel-ipsec)#pre-shared-key cisco123
    
  10. Execute este comando:

    ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn general-attributes
    
  11. Execute este comando para referenciar a base de dados local para autenticação.

    ASA-AIP-CLI(config-tunnel-general)#authentication-server-group LOCAL
    
  12. Associe a política de grupo ao grupo de túnel

    ASA-AIP-CLI(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
    
  13. Execute este comando enquanto estiver no modo de atributos gerais do grupo de túnel hillvalleyvpn para atribuir o vpnpool criado no passo 1 ao grupo hillvalleyvpn.

    ASA-AIP-CLI(config-tunnel-general)#address-pool vpnpool
    

Configuração em execução no dispositivo ASA

ASA-AIP-CLI(config)#show running-config
ASA Version 7.2(2)
!
hostname ASAwAIP-CLI
domain-name corp.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif Outside
 security-level 0
 ip address 10.10.10.2 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp.com
pager lines 24
mtu Outside 1500
mtu inside 1500
ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy hillvalleyvpn1 internal
group-policy hillvalleyvpn1 attributes
 dns-server value 172.16.1.11
 vpn-tunnel-protocol IPSec
 default-domain value test.com
username marty password 6XmYwQOO9tiYnUDN encrypted
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map Outside_dyn_map 10 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000
crypto map Outside_map 10 ipsec-isakmp dynamic Outside_dyn_map
crypto map Outside_map interface Outside
crypto isakmp enable Outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group hillvalleyvpn type ipsec-ra
tunnel-group hillvalleyvpn general-attributes
 address-pool vpnpool
 default-group-policy hillvalleyvpn
tunnel-group hillvalleyvpn ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:0f78ee7ef3c196a683ae7a4804ce1192
: end
ASA-AIP-CLI(config)#

Configuração do Armazenamento de Senhas do Cliente VPN

Se você possuir vários Cisco VPN Clients, poderá ser muito difícil lembrar de todos os nomes de usuários e senhas dos clientes VPN. Para armazenar as senhas no computador do cliente VPN, configure o ASA/PIX e o cliente VPN conforme descrito nesta seção.

ASA/PIX

Use o comando group-policy attributes no modo de configuração global:

group-policy VPNusers attributes
  password-storage enable 

Cisco VPN Client

Edite o arquivo .pcf e modifique estes parâmetros:

SaveUserPassword=1
UserPassword= <type your password>

Desabilitação da Autenticação Estendida

No modo de grupo de túnel, insira este comando para desabilitar a autenticação estendida, habilitada por padrão, no PIX/ASA 7.x:

asa(config)#tunnel-group client ipsec-attributes
asa(config-tunnel-ipsec)#isakmp ikev1-user-authentication none

Após desativar a autenticação estendida, os clientes VPN não exibirão mais a janela de autenticação (Xauth) com nome de usuário e senha. Assim, o ASA/PIX não solicitará a configuração de nome de usuário e senha para autenticar os clientes VPN.

Verificação

Tente se conectar ao Cisco ASA usando o Cisco VPN Client para verificar se o ASA está configurado corretamente.

  1. Selecione Connection Entries > New.

    asa-remotevpn-asdm-14.gif

  2. Preencha os detalhes da nova conexão.

    O campo Host deve conter o endereço IP ou o nome do host do Cisco ASA previamente configurado. As informações em Group Authentication devem corresponder às utilizadas no passo 4. Clique em Save quando tiver concluído.

    asa-remotevpn-asdm-15.gif

  3. Selecione a conexão recém-criada e clique em Connect.

    asa-remotevpn-asdm-16.gif

  4. Insira um nome de usuário e a senha para a autenticação estendida. Essa informação deve corresponder à especificada nos passos 5 e 6.

    asa-remotevpn-asdm-17.gif

  5. Uma vez que a conexão seja estabelecida com êxito, selecione Statistics no menu Status para verificar os detalhes do túnel.

    Esta janela exibe as informações de tráfego e criptografia:

    asa-remotevpn-asdm-18.gif

    Esta janela exibe as informações de tunelamento dividido:

    asa-remotevpn-asdm-19.gif

Troubleshooting

Use esta seção para fazer troubleshooting da sua configuração.

ACL de Criptografia Incorreta

O ASDM 5.0(2) reconhecidamente cria e aplica uma lista de controle de acesso (ACL) de criptografia que pode causar problemas para clientes VPN que utilizam o tunelamento dividido, bem como para clientes de hardware no modo de extensão de rede. Use a versão 5.0(4.3) ou posterior do ASDM para evitar esse problema. Consulte o bug da Cisco ID CSCsc10806 (somente clientes registrados) para obter mais detalhes.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 68795