Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

Exemple de configuration d'un VPN SSL sans client (WebVPN) sur ASA

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (17 juin 2008) | Commentaires


Contenu


Introduction

Le VPN SSL sans client (WebVPN) permet l'accès sécurisé limité mais précieux au réseau d'entreprise depuis n'importe quel emplacement. Les utilisateurs peuvent bénéficier d'un accès sécurisé via le navigateur aux ressources de l'entreprise à tout moment. Ce document fournit une configuration simple pour la gamme Cisco Adaptive Security Appliance (ASA) 5500 afin de permettre l'accès VPN SSL sans client aux ressources réseau internes.

La technologie VPN SSL peut être utilisée de trois façons : VPN SSL sans client, VPN SSL client léger (réacheminement de port) et client VPN SSL (mode de tunnel SVC). Chacune d'elles a ses propres avantages et permet un accès unique aux ressources.

1. VPN SSL sans client

Un client distant a seulement besoin d'un navigateur Web compatible SSL pour accéder à des serveurs Web HTTP ou HTTPS sur le LAN de l'entreprise. L'accès est également disponible pour parcourir des fichiers Windows avec le système de fichiers Common Internet File System (CIFS). Un bon exemple d'accès HTTP est le client Outlook Web Access (OWA).

2. VPN SSL de client léger (transmission du port)

Un client distant doit télécharger un petit applet Javas pour l'accès sécurisé des applications TCP qui utilisent des numéros de port statiques. UDP n'est pas pris en charge. Les exemples incluent l'accès à POP3, SMTP, IMAP, SSH et Telnet. L'utilisateur doit disposer de privilèges d'administration locaux parce que des modifications sont apportées à des fichiers sur l'ordinateur local. Cette méthode de VPN SSL ne fonctionne pas avec les applications qui utilisent des affectations de ports dynamiques, par exemple, plusieurs applications FTP.

Référez-vous à Exemple de configuration du VPN SSL (WebVPN) client léger sur ASA en utilisant l'ASDM afin d'en savoir plus sur le VPN SSL client léger.

3. Client de VPN SSL (mode de Svc-tunnel)

Le client VPN SSL télécharge un petit client sur le poste de travail distant et permet un accès total et sécurisé aux ressources sur le réseau d'entreprise interne. Le SVC peut être téléchargé de manière permanente sur le poste de travail distant, ou il peut être supprimé après la fin de la session sécurisée.

Le VPN SSL sans client peut être configuré sur le concentrateur 3000 de Cisco VPN et les Routeurs spécifiques de Cisco IOS® avec la version 12.4(6)T et ultérieures. L'accès VPN SSL sans client peut également être configuré sur Cisco ASA à l'interface de ligne de commande ou avec l'Adaptative Security Device Manager (ASDM). L'utilisation de l'ASDM rend les configurations plus simples.

Le VPN SSL sans client et l'ASDM ne doivent pas être activés sur la même interface ASA. Il est possible que les deux technologies coexistent sur la même interface si des modifications sont apportées aux numéros de port. Il est vivement conseillé que l'ASDM soit activé sur l'interface interne, de façon à ce que WebVPN puisse être activé sur l'interface externe.

Référez-vous à Exemple de configuration du client VPN SSL (SVC) sur ASA en utilisant l'ASDM afin d'en savoir plus sur le client VPN SSL.

Le VPN SSL sans client active l'accès sécurisé à ces ressources sur le LAN de l'entreprise :

  • OWA/Exchange

  • HTTP et HTTPS vers les serveurs Web internes

  • Accès aux fichiers et navigation dans Windows

  • Serveurs Citrix avec le client léger Citrix

Cisco ASA adopte le rôle d'un proxy sécurisé pour les ordinateurs clients qui peuvent alors accéder à des ressources pré-sélectionnées sur le LAN de l'entreprise.

Ce document explique une configuration simple avec l'ASDM pour activer l'utilisation de VPN SSL sans client sur Cisco ASA. Aucune configuration du client n'est nécessaire si le client a déjà un navigateur Web compatible SSL. La plupart des navigateurs Web ont déjà la capacité d'appeler des sessions SSL/TLS. Les lignes de commande Cisco ASA résultantes sont également montrées dans ce document.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Navigateur Web compatible avec le client SSL, par exemple, Internet Explorer, Netscape et Mozilla

  • ASA avec la version 7.1 ou supérieure

  • Port TCP 443, qui ne doit pas être bloqué le long du chemin entre le client et l'ASA

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Logiciel Cisco ASA version 7.2(1)

  • Cisco ASDM 5.2(1)

    Remarque: Référez-vous à Permettre l'accès HTTPS pour l'ASDM afin de permettre l'ASA d'être configuré par l'ASDM.

  • Gamme Cisco ASA 5510

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont commencé par une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

À ce stade, vous pouvez émettre l'adresse IP https://inside à partir d'un navigateur Web pour accéder à l'application ASDM. Une fois que l'ASDM est chargé, commencez la configuration de WebVPN.

Cette section contient les informations requises pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/70475/webvpnasa1-1.gif

Procédure

Configurez le WebVPN sur l'ASA en quatre étapes principales :

  • Activez le WebVPN sur une interface ASA.

  • Créez une liste de serveurs et/ou d'URL pour l'accès WebVPN.

  • Créez une stratégie de groupe pour les utilisateurs de WebVPN.

  • Appliquez la nouvelle stratégie de groupe à un groupe de tunnels.

  1. Dans l'ASDM, choisissez Configuration > VPN > WebVPN > WebVPN Access.

    /image/gif/paws/70475/webvpnasa2-2.gif

    Choisissez l'interface pour terminer les utilisateurs WebVPN > Enable > Apply.

    /image/gif/paws/70475/webvpnasa3-3.gif

  2. Choisissez Servers and URLs > Add.

    /image/gif/paws/70475/webvpnasa4-4.gif

    Entrez un nom pour la liste des serveurs accessibles par WebVPN. Cliquez sur le bouton Add. La boîte de dialogue Add Server ou URL s'affiche. Entrez le nom de chaque serveur. C'est le nom que le client voit. Choisissez le menu déroulant URL pour chaque serveur et choisissez le protocole approprié. Ajoutez des serveurs à votre liste à partir de la boîte de dialogue Add Server ou URL et cliquez OK.

    /image/gif/paws/70475/webvpnasa5-5.gif

    Cliquez sur Apply > Save.

  3. Développez General dans le menu de gauche de l'ASDM. Choisissez Group Policy > Add.

    /image/gif/paws/70475/webvpnasa6-6.gif

    • Choisissez Add Internal Group Policy. Désactivez la case à cocher Tunneling Protocols: Inherit . Activez la case à cocher de WebVPN.

    webvpnasa7-7.gif

    • Choisissez le webvpn tableau décochent la case d'héritage. Choisissez dans les liste des fonctionnalités. Cliquez sur OK > Apply.

    webvpnasa11-11.gif

  4. Choisissez Tunnel Group dans la colonne de gauche. Cliquez sur le bouton Edit.

    /image/gif/paws/70475/webvpnasa8-8.gif

    Cliquez sur le menu déroulant Group Policy. Choisissez la stratégie qui a été créée à l'étape 3.

    webvpnasa12-12.gif

    Il est important de noter que si de nouvelles stratégies de groupe et de nouveaux groupes de tunnels ne sont pas créés, les valeurs par défaut sont GroupPolicy 1 et DefaultWEBVPNGroup. Cliquez sur l'onglet WebVPN.

    /image/gif/paws/70475/webvpnasa13-13.gif

    Choisissez Netbios Servers. Cliquez sur le bouton Add. Complétez l'adresse IP du serveur WINS/NBNS. Cliquez sur OK > OK. Suivez les invites Apply > Save > Yes pour écrire la configuration.

    webvpnasa14-14.gif

Configuration

Cette configuration reflète les modifications que l'ASDM a apportées pour activer le WebVPN :

Ciscoasa
ciscoasa#show running-config 
 Building configuration...
 
ASA Version 7.2(1) 
hostname ciscoasa
domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0 
interface Ethernet0/2
 nameif DMZ1
 security-level 50
 no ip address
interface Management0/0
 description For Mgt only
 shutdown
 nameif Mgt
 security-level 0
 ip address 10.10.10.1 255.255.255.0 
 management-only
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu DMZ1 1500
mtu Mgt 1500
icmp permit any outside
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.2.2.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
!

!--- group policy configurations
!

group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
 webvpn
  functions url-entry file-access file-entry file-browsing mapi port-forward filter 
   http-proxy auto-download citrix
username cisco password 53QNetqK.Kqqfshe encrypted
!

!--- asdm configurations
!

http server enable
http 10.2.2.0 255.255.255.0 inside
!
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!

!--- tunnel group configurations
!

tunnel-group DefaultWEBVPNGroup general-attributes
 default-group-policy GroupPolicy1
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 nbns-server 10.2.2.2 master timeout 2 retry 2
!
telnet timeout 5
ssh 172.22.1.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
!

!--- webvpn configurations
!

webvpn
 enable outside
 url-list ServerList "WSHAWLAP" cifs://10.2.2.2 1
 url-list ServerList "FOCUS_SRV_1" https://10.2.2.3 2
 url-list ServerList "FOCUS_SRV_2" http://10.2.2.4 3
!
prompt hostname context 
 !
 end

Substitutions de macros VPN SSL sans client (WEBVPN)

Les substitutions de macros VPN SSL sans client vous permettent de configurer des utilisateurs pour l'accès aux ressources personnalisées qui contiennent l'ID utilisateur et le mot de passe ou d'autres paramètres d'entrée. Les exemples de telles ressources incluent des entrées de signet, des listes d'URL et des partages de fichiers.

Remarque: Pour des raisons de sécurité, des substitutions de mot de passe sont désactivées pour l'accès au fichier URLs (cifs://).

Remarque: Également pour des raisons de sécurité, faites attention quand vous introduisez des substitutions de mot de passe pour des liens Web, particulièrement pour les instances non SSL.

Les substitutions de macros suivantes sont prises en charge :

  1. CSCO_WEBVPN_USERNAME - ID de connexion de l'utilisateur VPN SSL

  2. CSCO_WEBVPN_PASSWORD - Mot de passe de connexion de l'utilisateur VPN SSL

  3. CSCO_WEBVPN_INTERNAL_PASSWORD - Mot de passe des ressources internes de l'utilisateur VPN SSL

  4. CSCO_WEBVPN_CONNECTION_PROFILE - Liste déroulante du groupe de connexion de l'utilisateur VPN SSL, un alias de groupe dans le profil de connexion

  5. CSCO_WEBVPN_MACRO1 - Placez par l'attribut de constructeur-particularité RADIUS/LDAP

  6. CSCO_WEBVPN_MACRO2 - Placez par l'attribut de constructeur-particularité RADIUS/LDAP

Pour en savoir plus sur les substitutions de macros, reportez-vous à Substitutions de macros VPN SSL sans client.

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Établissez une connexion à votre périphérique ASA depuis un client extérieur pour tester ceci :

https://ASA_outside_IP_Address

Le client reçoit une page Cisco WebVPN qui permet l'accès au réseau local de l'entreprise en mode sécurisé. Le client est uniquement habilité à utiliser l'accès qui est mentionné dans la nouvelle stratégie de groupe créée.

Authentification : Un ID de connexion et un mot de passe simples ont été créés sur ASA pour cette démonstration de validité en laboratoire. Si une connexion unique et transparente à un domaine pour les utilisateurs de WebVPN est préférée, référez-vous à cette URL :

Exemple de configuration d'ASA avec WebVPN et authentification unique à l'aide d'ASDM et de NTLMv1

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Remarque: N'interrompez pas la commande Copy File to Server ou n'accédez pas à un écran différent tandis que le processus de copie est en cours. Si l'opération est interrompue, elle peut causer l'enregistrement d'un fichier inachevé sur le serveur.

Remarque: Les utilisateurs peuvent envoyer et télécharger les nouveaux fichiers à l'aide du client WEBVPN, mais l'utilisateur n'est pas autorisé à remplacer les fichiers dans le CIFS sur le VPN Web avec la commande Copy File to Server . Quand l'utilisateur tente de substituer un fichier sur le serveur, l'utilisateur reçoit le message suivant : « Unable to add the file. »

Procédures utilisées pour dépanner

Suivez ces instructions pour dépanner votre configuration.

  1. Dans l'ASDM, choisissez Monitoring > logging > Real-time Log Viewer > View. Quand un client se connecte à ASA, notez l'établissement et la terminaison des sessions SSL et TLS dans les journaux en temps réel.

    /image/gif/paws/70475/webvpnasa9-9.gif

  2. Dans l'ASDM, choisissez Monitoring > VPN > VPN Statistics > Sessions. Recherchez la nouvelle session WebVPN. Soyez sûr de choisir le filtre WebVPN et cliquez sur Filter. Si un problème se pose, contournez temporairement le périphérique ASA pour vous assurer que les clients peuvent accéder aux ressources réseau désirées. Passez en revue les étapes de configuration énumérées dans ce document.

    /image/gif/paws/70475/webvpnasa10-10.gif

Commandes utilisées pour dépanner

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Remarque: Référez-vous à informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

  • show webvpn ? — Beaucoup de commandes show sont associées avec WebVPN. Afin de voir l'utilisation des commandes show en détail, référez-vous à la section référence des commandes du Dispositif de sécurité Cisco.

  • debug webvpn ? — L'utilisation des commandes de débogage peut avoir un impact défavorable sur ASA. Afin de voir l'utilisation des commandes de débogage en détail, référez-vous à la section référence des commandes du Dispositif de sécurité Cisco.

Problème - Impossible de connecter plus de trois utilisateurs de WEB VPN à PIX/ASA

Problème :

Seuls trois clients WEBVPN peuvent se connecter à ASA/PIX ; la connexion pour le quatrième client échoue.

Solution :

Dans la plupart des cas, ce problème est lié à un paramètre de connexion simultanée dans la stratégie de groupe.

Utilisez cette illustration pour configurer le nombre désiré de procédures de connexion simultanées. Dans cet exemple, la valeur désirée était 20.

ciscoasa(config)# group-policy Bryan attributes
ciscoasa(config-group-policy)# vpn-simultaneous-logins 20

Problème - Les clients WEB VPN ne peuvent pas atteindre les signets et sont grisés

Problème :

Si ces signets étaient configurés pour que des utilisateurs se connectent au VPN sans client, mais que dans l'écran d'accueil, sous « Web Applications » ils apparaissent grisés, comment puis-je activer ces liens HTTP de sorte que les utilisateurs puissent les cliquer et accéder à l'URL spécifique ?

Solution :

Vous devriez d'abord vous assurer que ASA peut résoudre les sites Web à travers le DNS. Essayez d'envoyer un ping aux sites Web par nom. Si ASA ne peut pas résoudre le nom, le lien est grisé. Si les serveurs DNS sont internes à votre réseau, configurez l'interface privée de recherche de domaine DNS.

Problème - Connexion Citrix via le WEBVPN

Problème

Le message d'erreur « the ica client received a corrupt ica file. » se produit pour Citrix au-dessus de WEBVPN.

Solution

Si vous utilisez le mode secure gateway pour la connexion Citrix via WebVPN, le fichier ICA peut être endommagé. Puisque ASA n'est pas compatible avec ce mode de fonctionnement, créez un nouveau fichier ICA en mode direct (mode non sécurisé).

Problème : Comment éviter le besoin de deuxième authentification pour les utilisateurs

Problème

Quand accéder au protocole CIFS joint sur le portail sans client de webvpn, des utilisateurs sont incités pour des qualifications après avoir cliqué sur le signet. Le LDAP est utilisé pour authentifier les ressources et les utilisateurs sont déjà entrés dans des qualifications de LDAP pour ouvrir une session à la session VPN.

Solution

Vous pouvez utiliser la caractéristique d'automatique-ouverture de session dans ce cas. Dans le cadre de la stratégie de groupe spécifique étant utilisée et sous ses attributs de webvpn, configurez ceci :

auto-signon allow uri cifs://X.X.X.X/* auth-type all

là où X.X.X.X=IP du serveur et du *=restof de protocole CIFS le chemin pour atteindre le fichier partagé/répertoire en question.

Un extrait d'exemple de configuration est affiché ici :

hostname(config)# group-policy ExamplePolicy attributes 

hostname(config-group-policy)# webvpn 

hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all

Pour plus d'informations sur ceci, référez-vous à configurer SSO avec le HTTP de base ou authentification NTLM.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 70475