Routeurs : Routeurs de la gamme Cisco 7200

Exemple de configuration de Cisco Secure Desktop (CSD) sur IOS à l'aide de SDM

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (2 octobre 2014) | Commentaires


Contenu


Introduction

Bien que les sessions de Secure Sockets Layer (SSL) VPN (webvpn de Cisco) soient sécurisées, le client peut encore prendre des Témoins, des fichiers de navigateur, et les pièces jointes à un courriel demeurant après une session est complète. Le Cisco Secure Desktop (CSD) étend la Sécurité inhérente des sessions de VPN SSL en écrivant des données de session dans un format chiffré à une zone spéciale de chambre forte du disque du client. En outre, ces données sont enlevées à partir du disque à la fin de la session de VPN SSL. Ce document présente une configuration d'échantillon pour le CSD sur un routeur de Ý de Cisco IOS.

Le CSD est pris en charge sur les plates-formes de périphérique suivantes de Cisco :

  • Version 12.4(6)T et ultérieures de routeurs Cisco IOS

  • Routeurs de Cisco 870,1811,1841, 2801, 2811, 2821, 2851, 3725, 3745, 3825, 3845, 7200 et 7301

  • Version 4.7 et ultérieures de Concentrateurs de la gamme Cisco VPN 3000

  • Version 7.1 et ultérieures d'appareils de Sécurité de gamme de Cisco ASA 5500

  • Module de services de webvpn de Cisco pour Cisco Catalyst et la version 1.2 et ultérieures de gamme Cisco 7600

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

Conditions requises pour le routeur Cisco IOS

  • Routeur Cisco IOS avec image 12.4(6T) ou plus tard avancée

  • Gestionnaire de périphériques sécurisé de routeur de Cisco (SDM) 2.3 ou plus élevé

    Si votre routeur n'est pas déjà chargé avec SDM, vous pouvez obtenir un exemplaire gratuit du téléchargement SDM. Un compte valide et le contrat de service CCO est exigé. Référez-vous configurent votre routeur avec le Security Device Manager pour plus de détails.

  • Une copie du CSD pour le module IOS sur votre station de Gestion

    Vous pouvez obtenir une copie de CSD du téléchargement logiciel : Le Cisco Secure Desktop le logiciel est libre si vous avez un compte CCO avec un contrat de service.

  • Un routeur auto-a signé le certificat numérique ou l'authentification avec un Autorité de certification (CA)

    Remarque: Lorsque vous utilisez des Certificats numériques, assurez-vous que vous placez l'adresse Internet, le nom de domaine, et le date/heure/fuseau horaire du routeur correctement.

  • Un enable secret password sur le routeur

  • DN activés sur votre routeur. Plusieurs services de webvpn exigent des DN de fonctionner correctement.

Conditions requises pour des ordinateurs client

  • Les clients distants devraient avoir des privilèges d'administrateur locaux ; on ne l'exige pas, mais on lui suggère fortement.

  • Les clients à distance doivent avoir la version 1.4 ou ultérieures de Java Runtime Environment (JRE).

  • Navigateurs de client distant : Internet Explorer 6.0, Netscape 7.1, Mozilla 1.7, safari 1.2.2, ou Firefox 1.0

  • Témoins activés et Popups permis sur des clients distants

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Routeur Cisco IOS 3825 avec la version 12.9(T)

  • Version 2.3.1 SDM

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont commencé par une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Cet exemple utilise un routeur de gamme Cisco 3825 pour permettre l'accès sécurisé à l'intranet de la société. Le routeur de gamme Cisco 3825 améliore la Sécurité des connexions de VPN SSL avec les configurations configurables et les caractéristiques CSD. Les clients peuvent se connecter au routeur CSD-activé par l'intermédiaire d'une de ces trois méthodes de VPN SSL : VPN SSL sans client (webvpn), client de VPN SSL de client léger (transmission du port), ou de VPN SSL (plein SVC de Tunnellisation).

/image/gif/paws/70791/csd-ios-2.gif

Produits connexes

Cette configuration peut également être utilisée avec les versions de matériel et de logiciel suivantes :

  • Plateformes de routeur de Cisco 870,1811,1841,2801,2811,2821 2851,3725,3745.3825,3845, 7200 et 7301

  • Version d'image 12.4(6)T de sécurité avancée de Cisco IOS et plus tard

Conventions

Référez-vous au Conventions relatives aux conseils techniques Cisco pour plus d'informations sur des conventions de document.

Configurez

Un webvpn gateway permet à un utilisateur pour se connecter au routeur par l'intermédiaire d'une des Technologies de VPN SSL. On permet seulement un webvpn gateway par adresse IP sur le périphérique, bien que plus d'un contexte de webvpn puisse être relié à un webvpn gateway. Chaque contexte est identifié par un nom unique. Les stratégies de groupe identifient les ressources configurées disponibles à un contexte particulier de webvpn.

La configuration du CSD sur un routeur IOS est accomplie en deux phases :

Phase I : Préparez votre routeur pour la configuration CSD avec SDM

  1. Configurez un contexte de webvpn gateway, de webvpn, et la stratégie de groupe.

    Remarque: Cette étape est facultative et n'est pas couverte en détail dans ce document. Si vous avez déjà configuré votre routeur pour une des Technologies de VPN SSL, omettez cette étape.

  2. Enable CSD dans un contexte de webvpn.

Phase II : Configurez le CSD utilisant un navigateur Web.

  1. Définissez les emplacements de Windows.

  2. Identifiez les critères d'emplacement.

  3. Configurez les modules et les caractéristiques d'emplacement de Windows.

  4. Configurez les caractéristiques de Windows CE, de Macintosh, et de Linux.

Phase I : Préparez votre routeur pour la configuration CSD avec SDM.

Le CSD peut être configuré avec SDM ou de l'interface de ligne de commande (CLI). Cette configuration utilise SDM et un navigateur Web.

Ces étapes sont utilisées pour se terminer la configuration du CSD sur votre routeur IOS.

Phase I : Étape 1 : Configurez un contexte de webvpn gateway, de webvpn, et la stratégie de groupe.

Vous pouvez utiliser l'assistant de webvpn pour accomplir cette tâche.

  1. Ouvrez SDM et allez configurer > VPN > webvpn. Cliquez sur l'onglet de webvpn de création et vérifiez la création une nouvelle case d'option de webvpn. Lancement de clic la tâche sélectionnée.

    /image/gif/paws/70791/csd-ios_1.gif

  2. L'écran des Assistant de webvpn répertorie les paramètres que vous pouvez configurer. Cliquez sur Next (Suivant).

    /image/gif/paws/70791/csd-ios_2.gif

  3. Écrivez l'adresse IP pour le webvpn gateway, un nom unique pour le service, et les informations de certificat numérique. Cliquez sur Next (Suivant).

    /image/gif/paws/70791/csd-ios_3.gif

  4. Des comptes utilisateurs peuvent être créés pour l'authentification à ce webvpn gateway. Vous pouvez utiliser des comptes locaux ou des comptes créés sur une authentification externe, un serveur d'autorisation, et de comptabilité (AAA). Cet exemple utilise des comptes locaux sur le routeur. Vérifiez la case d'option localement sur ce routeur et cliquez sur Add.

    /image/gif/paws/70791/csd-ios_4.gif

  5. Écrivez les informations du compte pour le nouvel utilisateur sur l'ajouter un écran de compte et cliquez sur OK.

    /image/gif/paws/70791/csd-ios_5.gif

  6. Après que vous ayez créé vos utilisateurs, cliquez sur Next à la page d'authentification de l'utilisateur.

    /image/gif/paws/70791/csd-ios_6.gif

  7. L'écran de sites Web d'intranet de configurer te permet pour configurer le site Web disponible aux utilisateurs du webvpn gateway. Puisque le foyer de ce document est la configuration du CSD, négligez cette page. Cliquez sur Next (Suivant).

    /image/gif/paws/70791/csd-ios_7.gif

  8. Bien que le prochain écran des Assistant de webvpn te permette le choix pour activer le client de VPN SSL de Full Tunnel, le centre de ce document est comment activer le CSD. Décochez l'enable Full Tunnel et cliquez sur Next.

    /image/gif/paws/70791/csd-ios_8.gif

  9. Vous pouvez personnaliser l'apparence de la page du portail de webvpn aux utilisateurs. Dans ce cas, l'apparence par défaut est reçue. Cliquez sur Next (Suivant).

    /image/gif/paws/70791/csd-ios_9.gif

  10. L'assistant affiche le dernier écran dans cette gamme. Il affiche un résumé de la configuration pour le webvpn gateway. Cliquez sur Finish et, une fois incité, cliquez sur OK.

    /image/gif/paws/70791/csd-ios_10.gif

Phase I : Étape 2 : Enable CSD dans un contexte de webvpn.

Utilisez l'assistant de webvpn pour activer le CSD dans un contexte de webvpn.

  1. Employez la fonctionnalité avancée de l'assistant de webvpn pour activer le CSD pour le contexte de création récente. L'assistant te donne l'occasion d'installer le module CSD s'il n'est pas déjà installé.

    1. Dans SDM, cliquez sur l'onglet de configurer.

    2. Dans le volet de navigation, clic VPN > webvpn.

    3. Cliquez sur l'onglet de webvpn de création.

    4. Vérifiez les caractéristiques à l'avance de configurer pour une case d'option existante de webvpn.

    5. Cliquez sur le lancement le bouton de tâche sélectionnée.

      /image/gif/paws/70791/csd-ios_11.gif

  2. L'écran de bienvenue pour les affichages avancés d'assistant de webvpn. Cliquez sur Next (Suivant).

    /image/gif/paws/70791/csd-ios_12.gif

  3. Choisissez le webvpn et le groupe d'utilisateurs des listes déroulantes des champs. Les caractéristiques avancées d'assistant de webvpn seront appliquées à vos choix. Cliquez sur Next (Suivant).

    /image/gif/paws/70791/csd-ios_13.gif

  4. L'écran choisi de fonctionnalité avancée te permet pour choisir des Technologies énumérées.

    1. Cisco Secure Desktop de contrôle.

    2. Dans cet exemple, le choix est mode sans client.

    3. Si vous choisissez l'un des d'autres Technologies énumérées, les fenêtres supplémentaires s'ouvrent pour permettre l'entrée des informations relatives.

    4. Cliquez sur le bouton suivant.

    /image/gif/paws/70791/csd-ios_14.gif

  5. L'écran de sites Web d'intranet de configurer te permet pour configurer les ressources en site Web que vous voulez disponible aux utilisateurs. Vous pouvez ajouter les sites Web internes de la société tels que l'Outlook Web Access (OWA).

    /image/gif/paws/70791/csd-ios_15.gif

  6. Dans l'écran du Cisco Secure Desktop d'enable (CSD), vous avez l'occasion d'activer le CSD pour ce contexte. Cochez la case à coté installent le Cisco Secure Desktop (CSD) et le clic parcourent.

    /image/gif/paws/70791/csd-ios_16.gif

  7. De la région choisie d'emplacement CSD, vérifiez mon ordinateur.

    1. Cliquez sur le bouton Parcourir.

    2. Choisissez le fichier de package IOS CSD sur votre poste de travail de Gestion.

    3. Cliquez sur le bouton CORRECT.

    4. Cliquez sur le bouton suivant.

    /image/gif/paws/70791/csd-ios_17.gif

  8. Un résumé des affichages de l'écran de configuration. Cliquez sur le bouton de finition.

    /image/gif/paws/70791/csd-ios_18.gif

  9. Cliquez sur OK quand vous voyez que le fichier de package CSD a été avec succès installé.

    /image/gif/paws/70791/csd-ios_19.gif

Phase II : Configurez le CSD utilisant un navigateur Web.

Ces étapes sont utilisées pour se terminer la configuration du CSD sur votre navigateur Web.

Phase II : Étape 1 : Définissez les emplacements de Windows.

Définissez les emplacements de Windows.

  1. Ouvrez votre navigateur Web à l'adresse de https://WebVPNgateway_IP/csd_admin.html, par exemple, https:/192.168.0.37/csd_admin.html.

  2. Entrez dans l'admin de nom d'utilisateur.

    1. Entrez le mot de passe, qui est l'enable secret du routeur.

    2. Procédure de connexion de clic.

    /image/gif/paws/70791/csd-ios_20.gif

  3. Recevez le certificat offert par le routeur, choisissez le contexte de la liste déroulante, et cliquez sur Go.

    /image/gif/paws/70791/csd-ios_21.gif

  4. Le gestionnaire de Secure Desktop pour le webvpn s'ouvre.

    /image/gif/paws/70791/csd-ios_22.gif

  5. Du volet gauche, choisissez les configurations d'emplacement de Windows.

    1. Placez le curseur dans la case à côté du nom d'emplacement, et écrivez un nom d'emplacement.

    2. Cliquez sur Add.

    3. Dans cet exemple, trois noms d'emplacement sont affichés : Bureau, maison, et non sécurisé. Chaque fois que un nouveau emplacement est ajouté, le volet gauche développe avec les paramètres configurables pour cet emplacement.

    /image/gif/paws/70791/csd-ios_23.gif

  6. Après que vous créiez les emplacements de Windows, cliquez sur la sauvegarde en haut du volet gauche.

    Remarque:  Sauvegardez vos configurations souvent parce que vos configurations seront perdues si vous devenez déconnecté du navigateur Web.

    /image/gif/paws/70791/csd-ios_24.gif

Phase II : Étape 2 : Identifiez les critères d'emplacement

Afin de distinguer des emplacements de Windows entre eux, assignez les critères spécifiques à chaque emplacement. Ceci permet au CSD pour déterminer lesquelles de ses caractéristiques pour s'appliquer à Windows un emplacement particulier.

  1. Dans le volet gauche, bureau de clic.

    1. Vous pouvez identifier un emplacement de Windows avec des critères de certificat, des critères IP, un fichier, ou des critères de registre. Vous pouvez également choisir le décapant de Secure Desktop ou de cache pour ces clients. Puisque ces utilisateurs sont les employés de bureau internes, identifiez-les avec des critères IP.

    2. Écrivez les plages d'adresses IP dans et dans des cases.

    3. Cliquez sur Add. Décochez le module d'utilisation : Secure Desktop.

    4. Une fois incité, cliquez sur la sauvegarde, et cliquez sur OK.

    /image/gif/paws/70791/csd-ios_25.gif

  2. Dans le volet gauche, cliquez sur la deuxième maison de configuration d'emplacement de Windows.

    1. Assurez-vous le module d'utilisation : Le Secure Desktop est vérifié.

    2. On distribuera un fichier qui identifie ces clients. Vous pourriez choisir de distribuer des Certificats et/ou des critères de registre pour ces utilisateurs.

    3. Vérifiez l'identification d'enable utilisant des critères de fichier ou de registre.

    4. Cliquez sur Add.

    /image/gif/paws/70791/csd-ios_26.gif

  3. Dans la boîte de dialogue, choisissez le fichier, et entrez dans le chemin au fichier.

    1. Ce fichier doit être distribué à tous vos clients à la maison.

    2. Vérifiez la case d'option existe.

    3. Une fois incité, cliquez sur OK, et cliquez sur la sauvegarde.

    /image/gif/paws/70791/csd-ios_27.gif

  4. Pour configurer l'identification des emplacements non sécurisés, simplement n'appliquez aucun critère l'identifiant.

    1. Clic non sécurisé dans le volet gauche.

    2. Laissez tous les critères décochés.

    3. Module d'utilisation de contrôle : Secure Desktop.

    4. Une fois incité, cliquez sur la sauvegarde, et cliquez sur OK.

    /image/gif/paws/70791/csd-ios_28.gif

Phase II : Étape 3 : Configurez les modules et les caractéristiques d'emplacement de Windows.

Configurez les caractéristiques CSD pour chaque emplacement de Windows.

  1. Sous le bureau, stratégie de caractéristique du clic VPN. Puisque ceux-ci ne sont de confiance des clients internes, ni le CSD ni le décapant de cache a été activé. Aucun des autres paramètres n'est disponible.

    /image/gif/paws/70791/csd-ios_29.gif

  2. Activez les caractéristiques comme affichées.

    1. Dans le volet gauche, choisissez la stratégie de caractéristique VPN sous la maison.

    2. On permettra à des utilisateurs privés l'accès au RÉSEAU LOCAL entreprise si les clients répondent à certains critères.

    3. Sous chaque méthode d'accès, choisissez EN FONCTION si des critères sont appariés.

    /image/gif/paws/70791/csd-ios_30.gif

  3. Pour la navigation web, cliquez sur le bouton de points de suspension et choisissez les critères qui doivent s'assortir. Cliquez sur OK dans la boîte de dialogue.

    /image/gif/paws/70791/csd-ios_31.gif

  4. Vous pouvez configurer les autres méthodes d'accès de la même façon.

    1. Sous la maison, choisissez l'enregistreur de touche.

    2. Placez un coche à côté de vérifient des enregistreurs de touche.

    3. Une fois incité, cliquez sur la sauvegarde, et cliquez sur OK.

    /image/gif/paws/70791/csd-ios_32.gif

  5. Sous l'emplacement de fenêtres d'accueil, choisissez le décapant de cache. Laissez les valeurs par défaut suivant les indications de la copie d'écran.

    /image/gif/paws/70791/csd-ios_33.gif

  6. Sous la maison, choisissez le général de Secure Desktop. Le contrôle suggèrent que l'application désinstallent sur la fermeture de Secure Desktop. Laissez tous autres paramètres à leurs valeurs par défaut suivant les indications de la copie d'écran.

    /image/gif/paws/70791/csd-ios_34.gif

  7. Pour des configurations de Secure Desktop sous la maison, choisissez permettent à des applications de courrier électronique pour fonctionner d'une manière transparente. Une fois incité, cliquez sur la sauvegarde, et cliquez sur OK.

    /image/gif/paws/70791/csd-ios_35.gif

  8. La configuration du navigateur de Secure Desktop dépend de si vous voulez que ces utilisateurs accèdent à un site web de la société avec les favoris préconfigurés.

    1. Sous non sécurisé, choisissez la stratégie de caractéristique VPN.

    2. Puisque ce ne sont pas les utilisateurs de confiance, permettez seulement la navigation web.

    3. Choisissez EN FONCTION du menu déroulant pour la navigation web.

    4. Tout autre accès est placé à HORS FONCTION.

    /image/gif/paws/70791/csd-ios_36.gif

  9. Cochez la case d'enregistreurs de touche de vérifier.

    /image/gif/paws/70791/csd-ios_37.gif

  10. Configurez le décapant de cache pour non sécurisé.

    1. Cochez le propre le cache de totalité en plus de la case du cache de session en cours (IE seulement).

    2. Laissez les autres configurations à leurs par défaut.

    /image/gif/paws/70791/csd-ios_38.gif

  11. Sous non sécurisé, choisissez le général de Secure Desktop.

    1. Ramenez l'inactivité de minuterie à 2 minutes.

    2. Cochez l'application de force désinstallent sur la case fermante de Secure Desktop.

    /image/gif/paws/70791/csd-ios_39.gif

  12. Choisissez les configurations de Secure Desktop sous non sécurisé, et configurez les configurations très restrictives comme affichées.

    /image/gif/paws/70791/csd-ios_40.gif

  13. Choisissez le navigateur de Secure Desktop. Dans le domaine de page d'accueil, entrez le site Web auquel ces clients seront guidés pour leur page d'accueil.

    /image/gif/paws/70791/csd-ios_41.gif

Phase II : Étape 4 : Configurez les caractéristiques de Windows CE, de Macintosh, et de Linux.

Configurez les caractéristiques CSD pour le Windows CE, le Macintosh, et le Linux.

  1. Choisissez le Windows CE sous le gestionnaire de Secure Desktop. Le Windows CE a limité des caractéristiques VPN. Tournez la navigation web à EN FONCTION.

    /image/gif/paws/70791/csd-ios_42.gif

  2. Choisissez le décapant de MAC et de cache de Linux.

    1. Macintosh et les systèmes d'exploitation Linux ont accès seulement aux aspects de décapant de cache du CSD. Configurez-les suivant les indications du graphique.

    2. Une fois incité, cliquez sur la sauvegarde, et cliquez sur OK.

    /image/gif/paws/70791/csd-ios_43.gif

Vérifiez

Testez l'exécution CSD

Testez l'exécution du CSD en se connectant au webvpn gateway à un navigateur activé par SSL à l'adresse de https://WebVPN_Gateway_IP.

Remarque: Souvenez-vous pour utiliser le nom unique du contexte si vous créiez différents contextes de webvpn, par exemple, https://192.168.0.37/cisco.

/image/gif/paws/70791/csd-ios_44.gif

Commandes

Plusieurs commandes show sont associées au WebVPN. Vous pouvez exécuter ces commandes dans l’interface de ligne de commande (CLI) afin d’afficher les statistiques et autres informations. Pour obtenir des informations détaillées à propos des commandes show, reportez-vous à Vérification de la configuration de WebVPN.

Remarque: L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Dépannez

Commandes

Plusieurs commandes debug sont associées à WebVPN. Pour obtenir des informations détaillées à propos de ces commandes, reportez-vous à Utilisation des commandes Debug WebVPN.

Remarque: L’utilisation des commandes debug peut avoir un impact négatif sur votre périphérique Cisco. Avant d'utiliser les commandes debug, référez-vous à la section Informations importantes sur les commandes Debug.

Pour plus d'informations sur des commandes claires, référez-vous en utilisant des commandes claires de webvpn.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 70791