Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Exemplo de Configuração de VPN SSL Sem Cliente (WebVPN) com o ASDM no ASA

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (17 Junho 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Configuração
      Diagrama de Rede
      Procedimento
      Configuração
Verificação
Troubleshooting
      Procedimentos Utilizados para o Troubleshooting
      Comandos Utilizados para o Troubleshooting
      Problema - Não É Possível Conectar Mais de Três Usuários de WebVPN ao PIX/ASA
      Problema - Os Clientes de WebVPN Não Podem Acessar Favoritos Esmaecidos
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

A VPN SSL sem cliente (WebVPN) permite um acesso seguro limitado, mas importante, à rede corporativa a partir de qualquer local. Os usuários podem obter acesso seguro via navegador a recursos corporativos a qualquer momento. Este documento fornece uma configuração direta para o Cisco Adaptive Security Appliance (ASA) 5500 Series permitir acesso VPN SLL sem cliente a recursos da rede interna.

A tecnologia VPN SSL pode ser utilizada de três maneiras: VPN SSL sem cliente, VPN SSL Thin-Client (encaminhamento de portas) e cliente VPN SSL (modo de túnel SVC). Cada uma possui suas próprias vantagens e acessos únicos a recursos.

1. VPN SSL Sem Cliente

Um cliente remoto necessita somente de um navegador habilitado para SSL para acessar servidores da Web habilitados para http ou https na LAN corporativa. O acesso também possibilita a navegação por arquivos do Windows com o Common Internet File System (CIFS). Um bom exemplo de acesso http é o cliente Outlook Web Access (OWA).

2. VPN SSL Thin-Client (Encaminhamento de Portas)

Um cliente remoto precisa baixar um pequeno applet Java para obter o acesso seguro de aplicativos TCP que usam números de portas estáticos. O UDP não é aceito. Alguns exemplos incluem acesso a POP3, SMTP, IMAP, SSH e Telnet. O usuário precisa possuir privilégios administrativos locais, pois são feitas alterações em arquivos no computador local. Esse método de VPN SSL não funciona com aplicativos que usam atribuição dinâmica de portas, tais como diversos aplicativos de FTP.

Consulte Exemplo de Configuração do VPN SSL Thin-Client (WebVPN) com o ASDM no ASA para aprender mais sobre o VPN SSL Thin-Client.

3. Cliente VPN SSL (Modo de Túnel SVC)

O cliente VPN SSL baixa um pequeno cliente para a estação de trabalho remota e permite o acesso completo e seguro aos recursos da rede corporativa interna. O SVC pode ser armazenado permanentemente na estação remota ou pode ser removido após o término da sessão segura.

VPNs SSL sem cliente podem ser configuradas no Cisco VPN Concentrator 3000 e em roteadores específicos com Cisco IOS® versões 12.4(6)T e posteriores. O acesso de VPN SSL sem cliente também pode ser configurado no Cisco ASA com a interface de linha de comando (CLI) ou com o Adaptive Security Device Manager (ASDM). A utilização do ASDM produz configurações mais diretas.

A VPN SSL sem cliente e o ASDM não podem ser habilitados na mesma interface do ASA. É possível que as duas tecnologias coexistam na mesma interface se forem feitas alterações nos números das portas. É altamente recomendado que o ASDM seja habilitado na interface interna para que a WebVPN possa ser ativada na interface externa.

Consulte Exemplo de Configuração de Cliente VPN SSL (SVC) com o ASDM no ASA para aprender mais sobre o cliente VPN SSL.

A VPN SSL sem cliente habilita o acesso seguro a estes recursos na LAN corporativa:

  • OWA/Exchange

  • HTTP e HTTPS para servidores internos da Web

  • Acesso e navegação em arquivos do Windows

  • Servidores Citrix com o Citrix Thin Client

O Cisco ASA adota a função de proxy seguro para computadores clientes que podem, em seguida, acessar recursos pré-selecionados na LAN corporativa.

Este documento mostra uma configuração simples com o ASDM para habilitar o uso da VPN SSL sem cliente no Cisco ASA. Nenhuma configuração de cliente será necessária caso o cliente já possua um navegador da Web habilitado para SSL. A maioria dos navegadores da Web já possui a capacidade de iniciar sessões SSL/TLS. As linhas de comando resultantes do Cisco ASA também são mostradas neste documento.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Navegador habilitado para cliente SSL, como, por exemplo, o Internet Explorer, Netscape e Mozilla

  • ASA com versão 7.1 ou posterior

  • Porta TCP 443 que não pode estar bloqueada no caminho entre o cliente e o ASA

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração limpa (padrão). Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Neste estágio, você pode executar https://inside _IP Address a partir de um navegador da Web para acessar o aplicativo ASDM. Uma vez que o ASDM seja carregado, inicie a configuração da WebVPN.

Esta seção apresenta as informações necessárias para configurar os recursos descritos neste documento.

Nota:  Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento usa esta configuração de rede:

webvpnasa1-1.gif

Procedimento

Configure a WebVPN no ASA ao executar quatro passos principais:

  • Habilite a WebVPN em uma interface do ASA.

  • Crie uma lista de servidores e/ou URLs para o acesso da WebVPN.

  • Crie uma política de grupo para os usuários da WebVPN.

  • Aplique a nova política de grupo a um grupo de túneis.

  1. No ASDM, selecione Configuration > VPN > WebVPN > WebVPN Access.

    webvpnasa2-2.gif

    Selecione a interface para terminar os usuários da WebVPN > Enable > Apply.

    webvpnasa3-3.gif

  2. Selecione Servers and URLs > Add.

    webvpnasa4-4.gif

    Insira um nome para a lista de servidores acessíveis pela WebVPN. Clique no botão Add. A caixa de diálogo Add Server or URL será exibida. Insira o nome de cada servidor. Esse é o nome visto pelo cliente. Selecione o menu suspenso de URL para cada servidor e selecione o protocolo apropriado. Adicione servidores à sua lista na caixa de diálogo Add Server or URL e clique em OK.

    webvpnasa5-5.gif

    Clique em Apply > Save.

  3. Expanda General no menu esquerdo do ASDM. Selecione Group Policy > Add.

    webvpnasa6-6.gif

    • Selecione Add Internal Group Policy. Desmarque a caixa de seleção Tunneling Protocols: Inherit. Marque a caixa de seleção WebVPN.

    webvpnasa7-7.gif

    • Selecione a guia WebVPN. Desmarque a caixa de seleção Inherit. Selecione na lista de recursos. Clique em OK > Apply.

    webvpnasa11-11.gif

  4. Selecione o Tunnel Group na coluna esquerda. Clique no botão Edit.

    webvpnasa8-8.gif

    Clique no menu suspenso Group Policy. Selecione a política criada no Passo 3.

    webvpnasa12-12.gif

    É importante observar que, caso as novas políticas de grupo e os grupos de túnel não sejam criados, os padrões serão GroupPolicy 1 e DefaultWEBVPNGroup. Clique na guia WebVPN.

    webvpnasa13-13.gif

    Selecione NetBIOS Servers. Clique no botão Add. Preencha o endereço IP do servidor WINS/NBNS. Clique em OK > OK. Siga os avisos Apply > Save > Yes para escrever a configuração.

    webvpnasa14-14.gif

Configuração

Esta configuração reflete as alterações feitas pelo ASDM para habilitar a WebVPN:

Ciscoasa

ciscoasa#show running-config
 Building configuration...

ASA Version 7.2(1)
hostname ciscoasa
domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0
interface Ethernet0/2
 nameif DMZ1
 security-level 50
 no ip address
interface Management0/0
 description For Mgt only
 shutdown
 nameif Mgt
 security-level 0
 ip address 10.10.10.1 255.255.255.0
 management-only
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu DMZ1 1500
mtu Mgt 1500
icmp permit any outside
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.2.2.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
!

!--- Configurações da política de grupo
!

group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
 webvpn
  functions url-entry file-access file-entry file-browsing mapi port-forward filter
   http-proxy auto-download citrix
username cisco password 53QNetqK.Kqqfshe encrypted
!

!--- Configurações do ASDM
!

http server enable
http 10.2.2.0 255.255.255.0 inside
!
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!

!--- Configurações do grupo de túneis
!

tunnel-group DefaultWEBVPNGroup general-attributes
 default-group-policy GroupPolicy1
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 nbns-server 10.2.2.2 master timeout 2 retry 2
!
telnet timeout 5
ssh 172.22.1.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
!

!--- Configurações de WebVPN
!

webvpn
 enable outside
 url-list ServerList "WSHAWLAP" cifs://10.2.2.2 1
 url-list ServerList "FOCUS_SRV_1" https://10.2.2.3 2
 url-list ServerList "FOCUS_SRV_2" http://10.2.2.4 3
!
prompt hostname context
 !
 end

Verificação

Use esta seção para verificar se a sua configuração funciona corretamente.

Estabeleça uma conexão até seu dispositivo ASA a partir de um cliente externo para testar isto:

https://ASA_outside_IP_Address

O cliente receberá uma página da WebVPN Cisco que permite acesso à LAN corporativa de uma forma segura. Ao cliente só é permitido o acesso listado na recém-criada política de grupo.

Autenticação: Foram criados um login e uma senha simples no ASA para a prova de conceito deste laboratório. Se for preferido um login único e transparente em um domínio para os usuários da WebVPN, consulte este URL:

Exemplo de Configuração de ASA com WebVPN e Login Único Usando o ASDM e NTLMv1

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Nota: Não interrompa o comando Copy File to Server ou navegue para uma tela diferente enquanto o processo de cópia estiver em andamento. Se a operação for interrompida, isso poderá causar a gravação de um arquivo incompleto no servidor.

Nota: Os usuários podem fazer upload e download de novos arquivos com o cliente WEBVPN, mas não é permitido ao usuário sobrescrever os arquivos em CIFS na WEB VPN com o comando Copy File to Server. Quando o usuário tentar substituir um arquivo no servidor, ele receberá a mensagem: "Unable to add the file."

Procedimentos Utilizados para o Troubleshooting

Siga estas instruções para solucionar problemas em sua configuração.

  1. No ASDM, selecione Monitoring > Logging > Real-time Log Viewer > View. Quando um cliente se conecta ao ASA, observe o estabelecimento e o término das sessões de SSL e TLS nos logs de tempo real.

    webvpnasa9-9.gif

  2. No ASDM, selecione Monitoring > VPN > VPN Statistics > Sessions. Procure pela nova sessão de WebVPN. Certifique-se de escolher o filtro WebVPN e clique em Filter. Caso ocorra algum problema, contorne temporariamente o dispositivo ASA para se certificar de que o cliente possa acessar os recursos desejados na rede. Examine os passos de configuração listados neste documento.

    webvpnasa10-10.gif

Comandos Utilizados para o Troubleshooting

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • show webvpn ? — Há vários comandos show associados à WebVPN. Para ver o uso dos comandos show em detalhes, consulte a seção Referência de Comandos do Cisco Security Appliance.

  • debug webvpn ? — O uso de comandos debug pode causar impacto adverso no ASA. Para ver o uso dos comandos debug em detalhes, consulte a seção Referência de Comandos do Cisco Security Appliance.

Problema - Não É Possível Conectar Mais de Três Usuários de WebVPN ao PIX/ASA

Problema:

Somente três clientes WebVPN podem se conectar ao ASA/PIX. A conexão do quarto cliente falha.

Solução:

Na maioria dos casos, esse problema está relacionado a uma configuração de login simultâneo na política do grupo.

Use esta ilustração para configurar o número desejado de logins simultâneos. Neste exemplo, o valor desejado é de 20.

ciscoasa(config)# group-policy Bryan attributes
ciscoasa(config-group-policy)# vpn-simultaneous-logins 20

Problema - Os Clientes de WebVPN Não Podem Acessar Favoritos Esmaecidos

Problema:

Se esses favoritos foram configurados para usuários que se conectam à VPN sem cliente, mas, na tela inicial, em "Web Applications", eles estão esmaecidos, como eu posso habilitar esses links de HTTP de forma que os usuários sejam capazes de clicar neles e ir para o URL especificado?

Solução:

Você deve primeiro garantir que o ASA possa resolver os sites da Web com o DNS. Tente fazer o ping nos sites da Web utilizando seus nomes. Se o ASA não puder resolver o nome, o link estará esmaecido. Se os servidores de DNS forem internos à sua rede, configure a interface privada de busca de domínio de DNS.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 70475