Segurança : Cisco Adaptive Security Device Manager

ASDM e WebVPN permitidos na mesma relação do ASA

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como alcançar o Cisco Adaptive Security Device Manager (ASDM) e o portal WebVPN quando ambos são permitidos na mesma relação da ferramenta de segurança adaptável do Cisco 5500 Series (ASA).

Nota: Este documento não é aplicável para o PIX Firewall do Cisco 500 Series, porque não apoia o WebVPN.

Contribuído por Atri Basu, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

Componentes Utilizados

A informação neste documento é baseada no Cisco 5500 Series ASA.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Problema

Nas versões ASA mais cedo do que a versão 8.0(2), o ASDM e o WebVPN não podem ser permitidos na mesma relação do ASA, como ambos escutam na mesma porta (443) à revelia. Nas versões 8.0(2) e mais recente, o ASA apoia sessões do secure sockets layer dos sem clientes (SSL) VPN (WebVPN) e sessões administrativas ASDM simultaneamente na porta 443 da interface externa. Contudo, quando ambos os serviços são permitidos junto, o padrão URL para uma interface particular no ASA opta sempre o serviço WebVPN. Por exemplo, considere este data&colon da configuração ASA;

rtpvpnoutbound6# show run ip
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.150.172.46 255.255.252.0
!
interface Vlan3
 nameif dmz
 security-level 50
 ip address dhcp
!
interface Vlan5
 nameif test
 security-level 0
 ip address 1.1.1.1 255.255.255.255 pppoe setroute
!
rtpvpnoutbound6# show run web
webvpn
 enable outside
 enable dmz
 anyconnect image disk0:/anyconnect-win-3.1.06078-k9.pkg 1
 anyconnect image disk0:/anyconnect-macosx-i386-3.1.06079-k9.pkg 2
 anyconnect enable
 tunnel-group-list enable
 tunnel-group-preference group-url

rtpvpnoutbound6#  show run http
http server enable
http 192.168.1.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 dmz
http 0.0.0.0 0.0.0.0 outside

rtpvpnoutbound6# show run tun
tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool ap_fw-policy
 authentication-server-group ldap2
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 group-url https://rtpvpnoutbound6.cisco.com/admin enable
 without-csd

Solução

A fim resolver esta edição, você pode usar a URL apropriada a fim alcançar o serviço respectivo ou mudar a porta em que os serviços são alcançados.

Nota: Uma desvantagem com a última solução é que a porta está mudada globalmente, assim que cada relação é afetada pela mudança.

Use a URL apropriada

Nos dados de exemplo de configuração fornecidos na seção de problema, a interface externa do ASA pode ser alcançada pelo HTTPS através destas duas URL:

https://<ip-address> <=> https://10.150.172.46
https://<domain-name> <=> https://rtpvpnoutbound6.cisco.com

Contudo, se você tenta alcançar estas URL quando o serviço WebVPN estiver permitido, o ASA reorienta-o ao portal WebVPN:

https://rtpvpnoutbound6.cisco.com/+CSCOE+/logon.html

A fim alcançar o ASDM, você pode usar esta URL:

https://rtpvpnoutbound6.cisco.com/admin

Nota: Segundo as indicações dos dados de exemplo de configuração, o grupo de túneis do padrão tem uma grupo-URL definido com uso do comando enable grupo-URL https://rtpvpnoutbound6.cisco.com/admin, que deve opor ao acesso ASDM. Contudo, a URL https:// <ip-address/domain>/admin é reservada para o acesso ASDM, e se você o ajusta sob o grupo de túneis, não há nenhum efeito. Você é reorientado sempre a https:// <ip-address/domain>/admin/public/index.html.

Mude a porta em que cada serviço escuta

Esta seção descreve como mudar a porta para os serviços ASDM e WebVPN.

Mude a porta para o serviço do servidor HTTPS globalmente

Termine estas etapas a fim mudar a porta para o serviço ASDM:

  1. Permita o servidor HTTPS de escutar em uma porta diferente a fim mudar como mostrado a configuração que é relacionada ao serviço ASDM no ASA, aqui:
    ASA(config)#http server enable <1-65535>

    configure mode commands/options:
    <1-65535> The management server's SSL listening port. TCP port 443 is the
    default.
    Aqui está um exemplo:
    ASA(config)#http server enable 65000
  2. Depois que você muda a configuração da porta padrão, use este formato a fim lançar o ASDM de um navegador da Web apoiado na rede da ferramenta de segurança:
    https://interface_ip_address:<customized port number>
    Aqui está um exemplo:
    https://192.168.1.1:65000

Mude o a porta para o serviço WebVPN globalmente

Termine estas etapas a fim mudar a porta para o serviço WebVPN:

  1. Permita que o WebVPN escute em uma porta diferente a fim mudar a configuração que é relacionada ao serviço WebVPN no ASA:

    1. Permita a característica WebVPN no ASA:
      ASA(config)#webvpn
    2. Permita o serviço WebVPN para a interface externa do ASA:
      ASA(config-webvpn)#enable outside
    3. Permita que o ASA escute o tráfego WebVPN no número de porta personalizado:
      ASA(config-webvpn)#port <1-65535>

      webvpn mode commands/options:
      <1-65535> The WebVPN server's SSL listening port. TCP port 443 is the
      default.
    Aqui está um exemplo:
    ASA(config)#webvpn
    ASA(config-webvpn)#enable outside
    ASA(config-webvpn)#port 65010
  2. Depois que você muda a configuração da porta padrão, abra um navegador da Web apoiado e use este formato a fim conectar ao servidor VPN da Web:
    https://interface_ip_address:<customized port number>
    Aqui está um exemplo:
    https://192.168.1.1:65010

Informações Relacionadas



Document ID: 118842