Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Clientless SSL VPN (WebVPN) en el ejemplo de configuración ASA

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (26 Septiembre 2015) | Comentarios


Contenido


Introducción

Clientless SSL VPN (WebVPN) permite acceso seguro limitado pero valioso a la red corporativa desde cualquier ubicación. Los usuarios pueden alcanzar el acceso basado en buscador seguro a los recursos corporativos en cualquier momento. Este documento proporciona una configuración directa para que Cisco Adaptive Security Appliance 5500 series (ASA) permita el acceso de Clientless SSL VPN a los recursos de red interna.

La tecnología VPN SSL se puede utilizar de tres maneras: Clientless SSL VPN, Thin-Client SSL VPN (Port Forwarding), y SSL VPN Client (SVC Tunnel Mode). Cada una tiene sus propias ventajas y acceso único a los recursos.

1. Clientless SSL VPN

Un cliente remoto necesita solamente un buscador Web habilitado por SSL para acceder a los servidores Web http o https en la LAN corporativa. El acceso está también disponible para buscar archivos de Windows con el sistema Común de Archivos de Internet (CIFS). Un buen ejemplo del acceso http es el cliente de Outlook Web Access (OWA).

2. Cliente liviano SSL VPN (expedición del puerto)

Un cliente remoto debe descargar un pequeño subprograma Java para el acceso seguro de las aplicaciones TCP que utilizan los números del puerto estático. El UDP no se soporta. Los ejemplos incluyen el acceso a POP3, S TP, IMAP, SSH, y a Telnet. El usuario necesita privilegios administrativos locales porque los cambios se realizan a los archivos en el equipo local. Este método de SSL VPN no funciona con las aplicaciones que utilizan las asignaciones de puerto dinámico, por ejemplo, varias aplicaciones FTP.

Consulte Ejemplo de Configuración de Thin-Client SSL VPN (WebVPN) en ASA con ASDM para obtener más información sobre Thin-Client SSL VPN.

3. Cliente VPN SSL (modo del SVC-túnel)

El SSL VPN Client descarga a un pequeño cliente a la estación de trabajo remota y permite por completo, acceso seguro a los recursos en la red corporativa interna. El SVC se puede descargar permanentemente a la estación remota, o puede ser quitado una vez que finaliza la sesión segura.

El clientless SSL VPN se puede configurar en el Concentrador VPN de Cisco 3000 y el Routers específico del � del Cisco IOS con la versión 12.4(6)T y posterior. El acceso de Clientless SSL VPN también se puede configurar en Cisco ASA en la interfaz de línea de comando (CLI) o con el Adaptive Security Device Manager (ASDM). El uso de ASDM hace que las configuraciones sean más directas.

Clientless SSL VPN y ASDM no deben habilitarse en la misma interfaz ASA . Es posible que las dos tecnologías coexistan en la misma interfaz si los cambios se realizan a los números del puerto. Se recomienda encarecidamente que el ASDM esté habilitado en la interfaz interior, así que el WebVPN se puede habilitar en la interfaz exterior.

Consulte el Ejemplo de Configuración de SSL VPN Client (SVC) en ASA Using ASDM para obtener más información sobre SSL VPN Client.

El Clientless SSL VPN habilita el acceso seguro a estos recursos en la LAN corporativa:

  • OWA/Exchange

  • HTTP y HTTPS a servidores Web internos

  • Acceso a archivos y Búsqueda en Windows

  • Servidores Citrix con el cliente thin de Citrix

El Cisco ASA adopta la función de un proxy seguro para equipos de clientes que pueden acceder a recursos preseleccionados en la LAN corporativa.

Este documento demuestra una configuración simple con el ASDM para habilitar el uso del Clientless SSL VPN en el Cisco ASA. La configuración del cliente no es necesaria si el cliente tiene ya un buscador Web con SS habilitado. La mayoría de los buscadores Web ya tiene la capacidad de invocar las sesiones SSL/TLS. Las líneas de comando resultantes de Cisco ASA también se muestran en este documento.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Buscador con Client-SSL habilitado, por ejemplo, Internet Explorer, Netscape, y Mozilla

  • ASA con la versión 7.1 o posterior

  • Puerto TCP 443, que no se debe bloquear a lo largo de la trayectoria del cliente al ASA

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos usados en este documento comenzaron con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta etapa, puede ejecutar https://inside _IP Address buscador Web para acceder a la aplicación ASDM. Una vez cargado ASDM, comienza la configuración para el WebVPN.

Esta sección contiene la información necesaria para configurar las características descritas dentro de este documento.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/70475/webvpnasa1-1.gif

Procedimiento

Configure la el WebVPN en el ASA con cuatro pasos principales:

  • Habilite el WebVPN en una interfaz ASA.

  • Cree una lista de servidores o de URL para el acceso del WebVPN.

  • Cree una política de grupo para los usuarios de WebVPN.

  • Aplique la nueva política del grupo a un grupo de túnel.

  1. En ASDM, elija Configuration > VPN > WebVPN > WebVPN Access.

    /image/gif/paws/70475/webvpnasa2-2.gif

    Elija la interfaz para cerrar usuarios WebVPN > Enable > Apply.

    /image/gif/paws/70475/webvpnasa3-3.gif

  2. Elija Servers y URLs > Add.

    /image/gif/paws/70475/webvpnasa4-4.gif

    Ingrese un nombre para la lista de servidores accesibles por el WebVPN. ‘Haga clic en el botón Add (Agregar).’ Se muestra el cuadro de diálogo Agregar Servidor o URL . Ingrese el nombre de cada servidor. Éste es el nombre que el cliente ve. Elija el menú desplegable URL para cada servidor y elija el protocolo apropiado. Agregue los servidores a su lista del cuadro de diálogo Agregar Servidor o URL y haga clic en Aceptar.

    /image/gif/paws/70475/webvpnasa5-5.gif

    Haga clic en Apply > Save.

  3. Expanda General en el menú izquierdo de ASDM. Elija Group Policy > Add.

    /image/gif/paws/70475/webvpnasa6-6.gif

    • Elija Agregar Política de Grupo Interna. Desmarque los Tunneling Protocols: Desmarque la casilla de verificación Inherit. Active la casilla de verificación WebVPN.

    webvpnasa7-7.gif

    • Elija la pestaña WebVPN. Desmarque la casilla de verificación Inherit. Elija de la lista de funciones. Haga clic en OK> Apply.

    webvpnasa11-11.gif

  4. Elija al Grupo de Túnel en la columna izquierda. Haga clic en el botón Editar.

    /image/gif/paws/70475/webvpnasa8-8.gif

    Haga clic en el menú desplegable Política de Grupo. Elija la política creada en el paso 3.

    webvpnasa12-12.gif

    Es importante observar que si no se crean las nuevas Políticas de Grupos y los Grupos de Túnel, los valores predeterminados son GroupPolicy 1 y DefaultWEBVPNGroup. Haga clic en la pestaña WebVPN.

    /image/gif/paws/70475/webvpnasa13-13.gif

    Elija los Servidores de NetBIOS. ‘Haga clic en el botón Add (Agregar).’ Complete la dirección IP del servidor WINS/NBNS. Haga clic en OK > ACEPTABLE. Siga los prompts Apply > Save > Yes para escribir la configuración.

    webvpnasa14-14.gif

Configuración

Esta configuración refleja los cambios realizados en ASDM para habilitar el WebVPN:

Ciscoasa
ciscoasa#show running-config 
 Building configuration...
 
ASA Version 7.2(1) 
hostname ciscoasa
domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0 
interface Ethernet0/2
 nameif DMZ1
 security-level 50
 no ip address
interface Management0/0
 description For Mgt only
 shutdown
 nameif Mgt
 security-level 0
 ip address 10.10.10.1 255.255.255.0 
 management-only
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu DMZ1 1500
mtu Mgt 1500
icmp permit any outside
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.2.2.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
!

!--- group policy configurations
!

group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
 webvpn
  functions url-entry file-access file-entry file-browsing mapi port-forward filter 
   http-proxy auto-download citrix
username cisco password 53QNetqK.Kqqfshe encrypted
!

!--- asdm configurations
!

http server enable
http 10.2.2.0 255.255.255.0 inside
!
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!

!--- tunnel group configurations
!

tunnel-group DefaultWEBVPNGroup general-attributes
 default-group-policy GroupPolicy1
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 nbns-server 10.2.2.2 master timeout 2 retry 2
!
telnet timeout 5
ssh 172.22.1.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
!

!--- webvpn configurations
!

webvpn
 enable outside
 url-list ServerList "WSHAWLAP" cifs://10.2.2.2 1
 url-list ServerList "FOCUS_SRV_1" https://10.2.2.3 2
 url-list ServerList "FOCUS_SRV_2" http://10.2.2.4 3
!
prompt hostname context 
 !
 end

Sustituciones Macro de Clientless SSL VPN (WEBVPN)

Las substituciones macro de Clientless SSL VPN le permiten configurar los usuarios para el acceso a los recursos personalizados que contienen la identificación del usuario y la contraseña u otros parámetros de entrada. Los ejemplos de tales recursos incluyen las entradas de la dirección de Internet, las listas url, y las partes de archivos.

Nota: Por razones de seguridad, las substituciones de la contraseña se inhabilitan para el acceso al archivo URL (cifs://).

Nota: También por motivos de seguridad, tenga cuidado cuando ingresa la contraseña de las sustituciones para links Web, especialmente para instancias que no pertenecen a SSL.

Se soportan estas substituciones macro:

  1. CSCO_WEBVPN_USERNAME - ID de inicio de sesión de usuario de SSL VPN

  2. CSCO_WEBVPN_PASSWORD - Contraseña de inicio de sesión del usuario de VPN SSL

  3. CSCO_WEBVPN_INTERNAL_PASSWORD - Contraseña de los recursos internos del usuario de VPN SSL

  4. CSCO_WEBVPN_CONNECTION_PROFILE - Descenso-abajo del grupo del login del usuario de VPN SSL, un grupo alias dentro del perfil de la conexión

  5. CSCO_WEBVPN_MACRO1 - Fije con el atributo específico del proveedor RADIUS/LDAP

  6. CSCO_WEBVPN_MACRO2 - Fije con el atributo específico del proveedor RADIUS/LDAP

Para conocer más sobre las substituciones macro, consulte substituciones macro de Clientless SSL VPN.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

Establezca una conexión a su dispositivo ASA de un cliente exterior para probar esto:

https://ASA_outside_IP_Address

El cliente recibe una página de Cisco WebVPN que permite el acceso a la LAN corporativa en una manera segura. El cliente solamente cuenta con el acceso que se enumera en la política creada recientemente del grupo.

Autenticación: Un simple inicio de sesión y contraseña fueron creados en el ASA para esta prueba de concepto del laboratorio. Si un prefiere un sencillo inicio de sesión continuo al dominio para los usuarios de WebVPN, consulte esta URL:

Ejemplo de Configuración de ASA con WebVPN y Single Sign-on con ASDM y NTLMv1

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Nota: No interrumpa el comando Copy File to Server ni pase a otra pantalla cuando el proceso de copiado está en curso. Si se interrumpe la operación, puede hacer que se guarde un archivo incompleto en el servidor.

Nota: Los usuarios pueden cargar y descargar los nuevos archivos con el cliente del WEBVPN, pero no se permite al usuario sobregrabar los archivos en CIFS en el WEB VPN con el comando Copy de la copia al File to Server. Cuando el usuario intenta substituir un archivo en el servidor, el usuario recibe este mensaje: “No fue posible añadir el archivo.”

Procedimientos Usados para Troubleshooting

Sigue estas instrucciones de resolver problemas su configuración.

  1. En ASDM, elija Monitoring > Logging > Real-time Log Viewer > View. Cuando un cliente conecta con el ASA, observe el establecimiento y el fin de sesión de SSL y TLS en los registros en tiempo real.

    /image/gif/paws/70475/webvpnasa9-9.gif

  2. En ASDM, elija Monitoring > VPN > VPN Statistics > Sessions. Busque la nueva sesión WebVPN. Asegúrese de elegir el filtro de WebVPN y haga clic enFiltro. Si ocurre un problema, desvíe temporalmente el dispositivo ASA para asegurarse de que los clientes pueden acceder a los recursos de red deseados. Revisa los pasos para la configuración enumerados en este documento.

    /image/gif/paws/70475/webvpnasa10-10.gif

Comandos Usados para Troubleshooting

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte información importante en los comandos del debug antes del uso de los comandos del debug.

  • ¿muestra el webvpn? - Hay muchos comandos show asociados al WebVPN. Para ver el uso de los comandos show detalladamente, consulte la sección de referencia de comandos de la aplicación del Cisco Security.

  • ¿haga el debug del webvpn? — El uso de los comandos debug puede afectar al contrario el ASA. Para ver el uso de los comandos debug más detalladamente, consulte la sección de referencia de comandos de la aplicación del Cisco Security.

Problema - No se puede Conectar a Más de Tres usuarios de VPN WEB con PIX/ASA

Problema:

Solamente tres clientes VPN del WEB pueden conectar con ASA/PIX; la conexión para el cuarto cliente falla.

Solución:

En la mayoría de los casos, este problema se relaciona con una configuración simultánea del login dentro de la política del grupo.

Utiliza este ejemplo para configurar el número deseado de inicios de sesión simultáneos. En este ejemplo, el valor deseado era 20.

ciscoasa(config)# group-policy Bryan attributes
ciscoasa(config-group-policy)# vpn-simultaneous-logins 20

Problema - Los clientes de VPNsWEB No Pueden Ejecutar los Marcadores y están Atenuados

Problema:

Si estas direcciones de Internet fueron configuradas para que a los usuarios firmen dentro de VPN sin cliente, pero, en la pantalla principal bajo “aplicaciones de Web” aparecen atenuados, ¿ cómo puedo habilitar estas conexiones HTTP de modo que los usuarios puedan hacer clic y entrar el URL determinado?

Solución:

Primero debe asegurarse de que el ASA pueda resolver los sitios Web con DNS. Intente hacer ping en los sitios web por nombre. Si el ASA no puede resolver el nombre, la conexión se atenuará. Si los servidores DNS son internos a su red, configure la interfaz privada de dominio de búsqueda DNS.

Problema - Conexión del Citrix con el WEBVPN

Problema

Aparece el mensaje de error “ the ica client received a corrupt icafile.” para el Citrix en WEBVPN.

Solución

Si utiliza el modo seguro de gateway para la conexión del Citrix con WebVPN, el archivo ICA puede dañarse. Como el ASA no es compatible con este modo de operación, cree un nuevo archivo ICA en el modo directo (modo NON-seguro).

Problema: Cómo evitar la necesidad de una segunda autenticación para los usuarios

Problema

Cuando acceder CIFS conecta en el portal del WebVPN del clientless, los usuarios se indica para las credenciales después de hacer clic el marcador. El LDAP se utiliza para autenticar los recursos y los usuarios han ingresado ya las credenciales del LDAP para iniciar sesión a la sesión de VPN.

Solución

Usted puede utilizar la característica del auto-anuncio del comienzo de las emisiones en este caso. Bajo grupo-directiva específica que es utilizada y bajo sus atributos del WebVPN, configure esto:

auto-signon allow uri cifs://X.X.X.X/* auth-type all

donde X.X.X.X=IP del servidor y del *=restof CIFS la trayectoria para alcanzar el archivo/la carpeta de la parte en la pregunta.

Un snippet del ejemplo de configuración se muestra aquí:

hostname(config)# group-policy ExamplePolicy attributes 

hostname(config-group-policy)# webvpn 

hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all

Para más información sobre esto, refiera a configurar el SSO con el HTTP básico o la autenticación NTLM.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 70475