Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Exemplo de Configuração de Cliente VPN SSL (SVC) com o ASDM no ASA

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (7 Dezembro 2006) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Diagrama de Rede
      Tarefas de Pré-configuração
      Convenções
Configuração do Cliente VPN SSL em um ASA
      Passo 1. Habilitação do Acesso WebVPN no ASA
      Passo 2. Instalação e Habilitação do Cliente VPN SSL no ASA
      Passo 3. Habilitação da Instalação do SVC nos Clientes
      Passo 4. Habilitação dos Parâmetros de Recodificação
      Resultados
Personalização da Sua Configuração
      Passo 1. Criação de uma Política de Grupo Personalizada
      Passo 2. Criação de Grupo de Túneis Personalizado
      Passo 3. Criação e Adição de Usuários à sua Política de Grupo Personalizada
Verificação
      Autenticação
      Configuração
      Comandos
Troubleshooting
      O SVC Estabeleceu uma Sessão Segura com o ASA?
      As Sessões Seguras Estão Sendo Estabelecidas e Concluídas com Êxito?
      Verificação do Pool de IPs no Perfil da WebVPN
      Dicas
      Comandos
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

A tecnologia de Virtual Private Network (VPN) sobre Secure Socket Layer (SSL) permite que você se conecte com segurança a uma rede corporativa interna a partir de qualquer local com a utilização de um destes métodos:

  • VPN SSL sem Cliente (WebVPN) — Fornece um cliente remoto que necessita de um navegador da Web habilitado para SSL para acessar servidores da Web com HTTP ou HTTPS em uma LAN corporativa. Além disso, a VPN SSL sem cliente fornece acesso para a busca de arquivos Windows por meio do protocolo Common Internet File System (CIFS). O Outlook Web Access (OWA) é um exemplo de acesso por HTTP.

    Consulte Exemplo de Configuração do VPN SSL Sem Cliente (WebVPN) no ASA para aprender mais sobre VPNs SSL sem cliente.

  • VPN SSL Thin-Client (Encaminhamento de Portas) — Fornece um cliente remoto que baixa um pequeno applet Java e permite o acesso seguro para aplicativos de Transmission Control Protocol (TCP) que utilizam números de portas estáticos. Alguns exemplos de acesso seguro são o Point of Presence (POP3), Simple Mail Transfer Protocol (SMTP), Internet Message Access Protocol (IMAP), Secure Shell (ssh) e Telnet. Como os arquivos na máquina local são alterados, os usuários devem possuir privilégios administrativos locais para utilizar esse método. Esse método de VPN SSL não funciona com aplicativos que utilizam atribuição dinâmica de portas, tais como alguns aplicativos de FTP.

    Consulte Exemplo de Configuração do VPN SSL Thin-Client (WebVPN) com o ASDM no ASA para aprender mais sobre VPN SSL Thin-Client.

    Nota: Não há suporte ao User Datagram Protocol (UDP).

  • Cliente VPN SSL (Modo de Túnel) — Baixa um pequeno cliente da estação de trabalho remota e permite acesso completo e seguro aos recursos da rede corporativa interna. Você pode baixar o cliente VPN SSL (SVC) em uma estação de trabalho permanentemente ou pode remover o cliente tão logo a sessão segura seja fechada.

Este documento descreve como configurar o SVC em um Adaptive Security Appliance (ASA) usando o Adaptive Security Device Manager (ASDM). As linhas de comando resultantes dessa configuração estão listadas na seção Resultados.

Pré-requisitos

Requisitos

Antes de você tentar essa configuração verifique se estes requisitos são atendidos:

  • Privilégios administrativos locais em todas as estações de trabalho remotas

  • Controles Java e ActiveX na estação de trabalho remota

  • Porta 443 desbloqueada por todo o caminho da conexão

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Adaptive Security Appliance Software versão 7.2(1)

  • Cisco Adaptive Security Device Manager 5.2(1)

  • Cisco Adaptive Security Appliance 5510 Series

  • Microsoft Windows XP Professional SP 2

As informações neste documento foram desenvolvidas em um ambiente de laboratório. Todos os dispositivos utilizados neste documento foram redefinidos para suas configurações padrão. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Todos os endereços IP utilizados nesta configuração foram selecionados entre endereços da RFC 1918 em um ambiente de laboratório. Esses IPs não são roteados na Internet e são para fins de teste somente.

Diagrama de Rede

Este documento utiliza a configuração de rede descrita nesta seção.

Um usuário remoto conecta-se ao endereço IP do ASA com um navegador da Web habilitado para SSL. Após a autenticação bem-sucedida, o SVC é baixado para o computador cliente e o usuário poderá utilizar uma sessão segura criptografada para obter acesso completo a todos os recursos permitidos na rede corporativa.

sslvpnclient_asa01.gif

Tarefas de Pré-configuração

Antes de iniciar, execute estas tarefas:

  • Consulte Permitindo Acesso HTTPS para o ASDM para permitir que o ASA seja configurado pelo ASDM.

    Para acessar o aplicativo ASDM a partir de sua estação de gerenciamento, use um navegador da Web habilitado para SSL e insira o endereço IP do dispositivo ASA. Por exemplo: https://inside_ip_address, onde inside_ip_address é o endereço do ASA. Uma vez que o ASDM esteja carregado, você poderá iniciar a configuração do SVC.

  • Baixe o pacote do cliente VPN SSL (sslclient-win*.pkg) no site da Web Download de Software da Cisco (somente clientes registradosonly) para o disco rígido local da estação de gerenciamento de onde você acessa o aplicativo ASDM.

A WebVPN e o ASDM não podem ser habilitados na mesma interface do ASA, a não ser que você altere os números das portas. Se desejar que as duas tecnologias utilizem a mesma porta (443) no mesmo dispositivo, você poderá habilitar o ASDM na interface interna e a WebVPN na interface externa.

Convenções

Para obter mais informações sobre convenções de documentos, consulte as Convenções de Dicas Técnicas da Cisco.

Configuração do Cliente VPN SSL em um ASA

Para configurar o cliente VPN SSL em um ASA, execute estes passos:

  1. Habilitação do Acesso WebVPN no ASA

  2. Instalação e Habilitação do Cliente VPN SSL no ASA

  3. Habilitação da Instalação do SVC nos Clientes

  4. Habilitação dos Parâmetros de Recodificação

Passo 1. Habilitação do Acesso WebVPN no ASA

Para habilitar o acesso WebVPN no ASA, execute estes passos:

  1. No aplicativo ASDM, clique em Configuration e, em seguida, clique em VPN.

  2. Expanda WebVPN e selecione WebVPN Access.

    sslvpnclient_asa02.gif

  3. Selecione a interface na qual você deseja ativar a WebVPN e clique em Enable.

Passo 2. Instalação e Habilitação do Cliente VPN SSL no ASA

Para instalar e habilitar o cliente VPN SSL no ASA, execute estes passos:

  1. Clique em Configuration e, em seguida, clique em VPN.

  2. No painel de navegação, expanda WebVPN e selecione SSL VPN Client.

    sslvpnclient_asa03.gif

  3. Clique em Add.

    A caixa de diálogo Add SSL VPN Client Image será exibida.

    sslvpnclient_asa04a.gif

  4. Clique no botão Upload.

    A caixa de diálogo Upload Image será exibida.

    sslvpnclient_asa04b.gif

  5. Clique no botão Browse Local Files para localizar um arquivo em seu computador local ou clique no botão Browse Flash para localizar um arquivo no sistema de arquivos da flash.

  6. Localize o arquivo da imagem do cliente que será carregado e clique em OK.

  7. Clique em Upload File e, em seguida, clique em Close.

  8. Uma vez que a imagem do cliente esteja carregada na flash, marque a caixa de seleção Enable SSL VPN Client e, em seguida, clique em Apply.

    sslvpnclient_asa05.gif

    Nota: Se você receber uma mensagem de erro, verifique se o acesso à WebVPN está ativo. No painel de navegação, expanda WebVPN e selecione WebVPN Access. Selecione a interface na qual você deseja configurar o acesso e clique em Enable.

    sslvpnclient_asa06.gif

  9. Clique em Save e em Yes para aceitar as alterações.

Passo 3. Habilitação da Instalação do SVC nos Clientes

Para habilitar a instalação do SVC nos clientes, execute estes passos:

  1. No painel de navegação, expanda Address Management e selecione IP Pools.

    sslvpnclient_asa07.gif

  2. Clique em Add, insira valores nos campos Name, Starting IP Address, Ending IP Address e Subnet Mask. Os endereços IP inseridos para os campos Starting IP Address e Ending IP Address devem ser originados em sub-redes da sua rede interna.

    sslvpnclient_asa08.gif

  3. Clique em OK e, em seguida, clique em Apply.

  4. Clique em Save e em Yes para aceitar as alterações.

  5. No painel de navegação, expanda IP Address Management e selecione Assignment.

  6. Marque a caixa de seleção Use internal address pools e, em seguida, desmarque as caixas de seleção Use authentication server e Use DHCP.

    sslvpnclient_asa09.gif

  7. Clique em Apply.

  8. Clique em Save e em Yes para aceitar as alterações.

  9. No painel de navegação, expanda General e selecione Tunnel Group.

  10. Selecione o grupo de túnel que você deseja gerenciar e clique em Edit.

    sslvpnclient_asa10.gif

  11. Clique na guia Client Address Assignment e selecione o pool de endereços IP recém-criado na lista Available Pools.

    sslvpnclient_asa11.gif

  12. Clique em Add e, em seguida, clique em OK.

  13. Na janela do aplicativo ASDM, clique em Apply.

  14. Clique em Save e em Yes para aceitar as alterações.

Passo 4. Habilitação dos Parâmetros de Recodificação

Para habilitar os parâmetros de recodificação:

  1. No painel de navegação, expanda General e selecione Group Policy.

  2. Selecione a política que você deseja aplicar a este grupo de clientes e clique em Edit.

    sslvpnclient_asa12.gif

  3. Na guia General, desmarque a caixa de seleção Tunneling Protocols Inherit e marque a caixa de seleção WebVPN.

    sslvpnclient_asa13.gif

  4. Clique na guia WebVPN, clique na guia SSLVPN Client e selecione estas opções:

    1. Para a opção Use SSL VPN Client, desmarque a caixa de seleção Inherit e clique no botão de opção Optional.

      Essa seleção permite que o cliente remoto escolha se baixará ou não o SVC. A opção Always garante que o SVC seja baixado na estação de trabalho remota durante cada conexão de VPN SSL.

    2. Para a opção Keep Installer on Client System, desmarque a caixa de seleção Inherit e clique no botão de opção Yes.

      Essa ação permite que o software do SVC permaneça no computador cliente. Assim, o ASA não precisará baixar o software do SVC no cliente sempre que uma conexão for feita. Essa opção é uma boa escolha para usuários remotos que acessem com frequência a rede corporativa.

    3. Para a opção Renegotiation Interval, desmarque a caixa de seleção Inherit, desmarque a caixa de seleção Unlimited e insira o número de minutos até a recodificação.

      A segurança será aprimorada com a definição dos limites do período de tempo onde uma chave permanece válida.

    4. Para a opção Renegotiation Method, desmarque a caixa de seleção Inherit e clique no botão de opção SSL. A renegociação pode utilizar o túnel SSL presente ou um novo túnel criado expressamente para a renegociação.

      Seus atributos de cliente VPN SSL devem ser configurados conforme mostrado nesta imagem:

      sslvpnclient_asa14.gif

  5. Clique em OK e, em seguida, clique em Apply.

  6. Clique em Save e em Yes para aceitar as alterações.

Resultados

O ASDM criará estas configurações de linha de comando:

ciscoasa

ciscoasa(config)#show run
ASA Version 7.2(1)
!
hostname ciscoasa
domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
no pager
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu DMZ1 1500
mtu Mgt 1500
ip local pool CorporateNet 10.2.2.50-10.2.2.60 mask 255.255.255.0
icmp permit any outside
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0 0
route outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
!

!--- Instruções de política de grupo

group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn

!--- Habilita o SVC para o WebVPN

 webvpn
  svc enable
  svc keep-installer installed
  svc rekey time 30
  svc rekey method ssl
!
username cisco password 53QNetqK.Kqqfshe encrypted privilege 15
!
http server enable
http 10.2.2.0 255.255.255.0 inside
!
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

!--- Grupo de túneis e política de grupo usando os padrões aqui

tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool CorporateNet
 default-group-policy GroupPolicy1
!
no vpn-addr-assign aaa
no vpn-addr-assign dhcp
!
telnet timeout 5
ssh 172.22.1.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global

!--- Habilita o WebVPN e seleciona o cliente SVC

webvpn
 enable outside
 svc image disk0:/sslclient-win-1.1.1.164.pkg 1
 svc enable

!--- Fornece uma lista para acesso aos recursos

 url-list ServerList "E-Commerce Server1" http://10.2.2.2 1
 url-list ServerList "BrowseServer" cifs://10.2.2.2 2
 tunnel-group-list enable

prompt hostname context
Cryptochecksum:80a1890a95580dca11e3aee200173f5f
: end

Personalização da Sua Configuração

Os procedimentos descritos em Configuração do Cliente VPN SSL em um ASA utilizam os nomes padrão do ASA para política de grupo (GroupPolicy1) e grupo de túnel (DefaultWebVPNGroup), como mostrado nesta imagem:

sslvpnclient_asa15.gif

Este procedimento descreve como criar suas próprias políticas de grupo e grupos de túneis personalizados e vinculá-los entre si de acordo com as políticas de segurança de sua organização.

Para personalizar sua configuração, execute estes passos:

  1. Criação de uma Política de Grupo Personalizada

  2. Criação de um Grupo de Túneis Personalizado

  3. Criação e Adição de Usuários à sua Política de Grupo Personalizada

Passo 1. Criação de uma Política de Grupo Personalizada

Para criar uma política de grupo personalizada, execute estes passos:

  1. Clique em Configuration e, em seguida, clique em VPN.

  2. Expanda General e selecione Group Policy.

  3. Clique em Add e selecione Internal Group Policy.

  4. No campo Name, insira um nome para sua política de grupo.

    Neste exemplo, o nome da política de grupo foi alterado para SalesGroupPolicy.

    sslvpnclient_asa16.gif

  5. Na guia General, desmarque a caixa de seleção Tunneling Protocols Inherit e marque a caixa de seleção WebVPN.

  6. Clique na guia WebVPN e, em seguida, clique na guia SSLVPN Client.

    Nessa caixa de diálogo você também pode fazer seleções para o comportamento do cliente VPN SSL.

    sslvpnclient_asa17.gif

  7. Clique em OK e, em seguida, clique em Apply.

  8. Clique em Save e em Yes para aceitar as alterações.

Passo 2. Criação de um Grupo de Túneis Personalizado

Para criar um grupo de túneis personalizado, execute estes passos:

  1. Clique no botão Configuration e, em seguida, clique em VPN.

  2. Expanda General e selecione Tunnel Group.

    sslvpnclient_asa18.gif

  3. Clique em Add e selecione WebVPN Access.

  4. No campo Name, insira um nome para seu grupo de túneis.

    Neste exemplo, o nome do grupo de túneis foi alterado para SalesForceGroup.

  5. Clique na seta suspensa Group Policy e selecione sua política de grupo recém-criada.

    Sua política de grupo e seu grupo de túneis estão agora vinculados.

    sslvpnclient_asa19.gif

  6. Clique na guia Client Address Assignment e insira as informações do servidor DHCP ou selecione a partir de um pool de IPs criado localmente.

    sslvpnclient_asa20.gif

  7. Clique em OK e, em seguida, clique em Apply.

  8. Clique em Save e em Yes para aceitar as alterações.

Passo 3. Criação e Adição de Usuários à sua Política de Grupo Personalizada

Para criar um usuário e adicioná-lo à sua política de grupo personalizada, execute estes passos:

  1. Clique em Configuration e, em seguida, clique em VPN.

  2. Expanda General e selecione Users.

    sslvpnclient_asa21.gif

  3. Clique em Add e insira as informações de nome de usuário e senha.

    sslvpnclient_asa22.gif

  4. Clique na guia VPN Policy. Certifique-se de que sua política de grupo recém-criada esteja sendo exibida no campo Group Policy.

    Esse usuário herdará todas as características da nova política de grupo.

    sslvpnclient_asa23.gif

  5. Clique em OK e, em seguida, clique em Apply.

  6. Clique em Save e em Yes para aceitar as alterações.

Verificação

Use esta seção para verificar se a sua configuração funciona corretamente.

Autenticação

A autenticação dos clientes VPN SSL é efetuada utilizando-se um destes métodos:

  • Cisco Secure ACS Server (Radius)

  • Domínio NT

  • Active Directory

  • Senhas de Uso Único

  • Certificados Digitais

  • Smartcards

  • Autenticação AAA Local

Esta documentação utiliza uma conta local criada no dispositivo ASA.

Configuração

Para se conectar ao ASA com um cliente remoto, digite https://ASA_outside_address no campo de endereço de um navegador da Web habilitado para SSL. ASA_outside_address é o endereço IP externo do seu ASA. Se a sua configuração for bem-sucedida, a janela Cisco Systems SSL VPN Client será exibida.

sslvpnclient_asa24.gif

Nota: A janela Cisco Systems SSL VPN Client será exibida somente após você aceitar o certificado do ASA e após o download do cliente VPN SSL para a estação remota ter sido concluído. Se a janela não for exibida, certifique-se de que ela não esteja minimizada.

Comandos

Vários comandos show são associados à WebVPN. Você pode executar esses comandos na interface de linha de comando (CLI) para exibir estatísticas e outras informações. Para obter informações detalhadas sobre os comandos show, consulte Verificando a Configuração da WebVPN.

Nota: A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Troubleshooting

Use esta seção para fazer troubleshooting da sua configuração.

O SVC Estabeleceu uma Sessão Segura com o ASA?

Para certificar-se de que o cliente VPN SSL tenha estabelecido uma sessão segura com o ASA:

  1. Clique em Monitoring.

  2. Expanda VPN Statistics e selecione Sessions.

  3. No menu suspenso Filter By, selecione SSL VPN Client e clique no botão Filter.

    Sua configuração deverá ser exibida na lista de sessões.

    sslvpnclient_asa25.gif

As Sessões Seguras Estão Sendo Estabelecidas e Concluídas com Êxito?

Você pode consultar os logs de tempo real para verificar se as sessões estão sendo estabelecidas e concluídas com êxito. Para exibir os logs de sessão:

  1. Clique em Monitoring e, em seguida, clique em Logging.

  2. Selecione Real-time Log Viewer ou Log Buffer e, em seguida, clique em View.

    sslvpnclient_asa26.gif

    Nota: Para exibir somente as sessões de um endereço específico, filtre por endereço.

Verificação do Pool de IPs no Perfil da WebVPN

%ASA-3-722020: Group group User user-name IP IP_address  No address
available for SVC connection

Nenhum endereço está disponível para ser atribuído à conexão SVC. Assim, atribua o endereço do pool de IPs no perfil.

Se você criar o perfil da nova conexão, configure em seguida um alias ou URL de grupo para acessar esse perfil de conexão. Caso contrário, todas as tentativas do SSL atingirão o perfil de conexão WebVPN padrão que não possui um pool de IPs associado. Configure-o para usar o perfil de conexão padrão e associe um pool de IPs a ele.

Dicas

  • Certifique-se de que o roteamento esteja funcionando corretamente com o pool de endereços IP atribuído a seus clientes remotos. Esse pool de endereços IP deve ser proveniente de uma sub-rede da sua LAN. Você também pode utilizar um servidor DHCP ou um servidor de autenticação para atribuir endereços IP.

  • O ASA cria um grupo de túneis padrão (DefaultWebVPNGroup) e uma política de grupo padrão (GroupPolicy1). Se você criar novos grupos e políticas, certifique-se de atribuir valores que estejam de acordo com as políticas de segurança da sua rede.

  • Se você desejar habilitar a busca de arquivos Windows por meio do CIFS, insira um servidor WINS (NBNS) em Configuration > VPN > WebVPN > Servers and URLs. Essa tecnologia utiliza a seleção de CIFS.

Comandos

Vários comandos debug são associados à WebVPN. Para obter informações detalhadas sobre esses comandos, consulte Usando os Comandos Debug da WebVPN.

Nota: O uso dos comandos debug pode ter impacto adverso no seu dispositivo Cisco. Antes de usar os comandos debug, consulte Informações Importantes sobre Comandos de Depuração.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 70511