Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Clientless SSL VPN (WebVPN) на примере конфигурации ASA

17 октября 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (23 мая 2008) | Английский (26 сентября 2015) | Отзыв


Содержание


Введение

Clientless SSL VPN (WebVPN) допускает ограниченный но ценный безопасный доступ к корпоративной сети от любого местоположения. Пользователи могут достигнуть безопасного основанного на браузере доступа к корпоративным ресурсам в любое время. Этот документ обеспечивает прямую конфигурацию для Адаптивного прибора безопасности (ASA) Cisco 5500 рядов для разрешения Clientless SSL VPN доступ к ресурсам внутренней сети.

SSL VPN технология может быть использован тремя способами: Clientless SSL VPN, Тонкий Клиент SSL VPN (Перенаправление портов) и SSL VPN Клиент (Туннельный Способ SVC). У каждого есть его собственные преимущества и уникальный доступ к ресурсам.

1. Clientless SSL VPN

Отдаленный клиент нуждается в только SSL-позволенном веб-браузере к доступу http-или https-позволенным веб-серверам на корпоративном LAN. Доступ также доступен для просмотра для файлов Windows с Общей интернет-файловой системой (CIFS). Хорошим примером http доступа является клиент Веб-доступа перспективы (OWA).

2. Тонкий клиент SSL VPN (перенаправление портов)

Отдаленный клиент должен загрузить маленький, явский апплет для безопасного доступа заявлений TCP, которые используют статические числа порта. UDP не поддержан. Примеры включают доступ к POP3, SMTP, IMAP, SSH и TELNET. Пользователь нуждается в местных административных привилегиях, потому что изменения внесены в файлы на местной машине. Этот метод SSL VPN не работает с заявлениями, которые используют динамические назначения порта, например, несколько приложений FTP.

Обратитесь к Тонкому Клиенту SSL VPN (WebVPN) на ASA, использующем Пример Конфигурации ASDM для узнавания больше о Тонком Клиенте SSL VPN.

3. SSL VPN клиент (SVC-туннельный способ)

SSL VPN Клиент загружает маленького клиента на отдаленное автоматизированное рабочее место и позволяет полный, безопасный доступ к ресурсам во внутренней корпоративной сети. SVC может быть постоянно загружен на отдаленную станцию, или это может быть удалено после того, как безопасная сессия заканчивается.

Clientless SSL VPN может формироваться на Cisco Концентратор VPN 3000 и определенной Cisco маршрутизаторы IOS с Версией 12.4 (6) T и выше. Clientless SSL VPN доступ может также формироваться на Cisco ASA в Интерфейсе командной строки (CLI) или с Адаптивным диспетчером устройств безопасности (ASDM). Использование ASDM делает конфигурации более прямыми.

Clientless SSL VPN и ASDM не должны быть позволены в том же самом интерфейсе ASA. Если изменения внесены в числа порта, для этих двух технологий возможно сосуществовать в том же самом интерфейсе. Это настоятельно рекомендовано это, ASDM позволен во внутреннем интерфейсе, таким образом, WebVPN можно позволить во внешнем интерфейсе.

Обратитесь к SSL VPN клиенту (SVC) на ASA Используя Пример Конфигурации ASDM для знания большего количества деталей о SSL VPN Клиент.

Clientless SSL VPN позволяет безопасный доступ к этим ресурсам на корпоративном LAN:

  • OWA/Exchange

  • HTTP и HTTPS к внутренним веб-серверам

  • Доступ к файлу Windows и просмотр

  • Серверы Citrix с Citrix худой клиент

ASA Cisco принимает роль безопасного полномочия для компьютеров клиента, которые могут тогда получить доступ к предварительно отобранным ресурсам на корпоративном LAN.

Этот документ демонстрирует простую конфигурацию с ASDM для предоставления возможности использования Clientless SSL VPN на Cisco ASA. Если у клиента уже есть SSL-позволенный веб-браузер, никакая конфигурация клиента не необходима. Большинство веб-браузеров уже имеет способность призвать сессии SSL/TLS. Проистекающую Cisco командные строки ASA также показывают в этом документе.

Предпосылки

Требования

Гарантируйте, чтобы вы ответили этим требованиям перед попыткой этой конфигурации:

  • Клиент-SSL позволил браузер, например, Internet Explorer, Netscape и Mozilla

  • ASA с Версией 7.1 или выше

  • Порт TCP 443, который не должен быть заблокирован вдоль пути от клиента к ASA

Используемые компоненты

Информация в этом документе основана на этих версиях программного и аппаратного обеспечения:

  • Cisco версия 7.2 (1) программного обеспечения ASA

  • Cisco ASDM 5.2 (1)

    Примечание: Обратитесь к Разрешению Доступа HTTPS для ASDM, чтобы позволить ASA формироваться ASDM.

  • Ряд Cisco ASA 5510

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начались с очищенного (неплатеж) конфигурация. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Соглашения

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Формировать

На данном этапе можно выпустить https://внутри _IP Адрес от веб-браузера для доступа к применению ASDM. Как только ASDM загрузил, начните конфигурацию для WebVPN.

Эта секция содержит информацию, должен был формировать особенности, описанные в рамках этого документа.

Примечание: Используйте Инструмент Поиска Команды (только зарегистрированные клиенты) для получения большей информации о командах, используемых в этой секции.

Сетевая диаграмма

Этот документ использует эту сетевую установку:

/image/gif/paws/70475/webvpnasa1-1.gif

Процедура

Формируйте WebVPN на ASA с четырьмя главными шагами:

  • Позвольте WebVPN в интерфейсе ASA.

  • Создайте список серверов и/или URLs для доступа WebVPN.

  • Создайте политику группы для пользователей WebVPN.

  • Примените новую политику группы к Tunnel Group.

  1. В ASDM выберите Конфигурацию> VPN> WebVPN> Доступ WebVPN.

    /image/gif/paws/70475/webvpnasa2-2.gif

    Выберите интерфейс для завершения, пользователи WebVPN> Позволяют>, Применяются.

    /image/gif/paws/70475/webvpnasa3-3.gif

  2. Выберите Серверы, и URLs> Добавляет.

    /image/gif/paws/70475/webvpnasa4-4.gif

    Введите имя для списка серверов, доступных WebVPN. Щелкните кнопкой Add. Добавить Сервер или дисплеи диалогового окна URL. Введите имя каждого сервера. Это - имя, которое видит клиент. Выберите выпадающее меню URL для каждого сервера и выберите соответствующий протокол. Добавьте серверы к своему списку от Добавить Сервера или диалогового окна URL и нажмите OK.

    /image/gif/paws/70475/webvpnasa5-5.gif

    Нажмите Apply> Save.

  3. Расширьтесь Общий в левом меню ASDM. Политика Choose Group> Добавляет.

    /image/gif/paws/70475/webvpnasa6-6.gif

    • Политика Choose Add Internal Group. Снимите флажок с Протоколами Туннелирования: флажок Inherit. Проверьте флажок WebVPN.

    webvpnasa7-7.gif

    • Выберите вкладку WebVPN. Снимите флажок с флажком Inherit. Выберите из списка особенностей. Нажмите OK>, Применяются.

    webvpnasa11-11.gif

  4. Выберите Tunnel Group в левой колонке. Щелкните кнопкой Edit.

    /image/gif/paws/70475/webvpnasa8-8.gif

    Щелкните стратегическим выпадающим меню Группы. Выберите политику, которая была создана в Шаге 3.

    webvpnasa12-12.gif

    Важно отметить, что, если новая Group Policies and Tunnel Groups не создана, неплатежи являются GroupPolicy 1 и DefaultWEBVPNGroup. Щелкните вкладкой WebVPN.

    /image/gif/paws/70475/webvpnasa13-13.gif

    Выберите Серверы NetBIOS. Щелкните кнопкой Add. Заполните IP-адрес сервера WINS/NBNS. Нажмите OK> OK. Следуйте вызывание Применяются>, Экономят> Да для письма конфигурации.

    webvpnasa14-14.gif

Конфигурация

Эта конфигурация отражает изменения ASDM, сделанный позволить WebVPN:

Ciscoasa
ciscoasa#show running-config 
 Building configuration...
 
ASA Version 7.2(1) 
hostname ciscoasa
domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0 
interface Ethernet0/2
 nameif DMZ1
 security-level 50
 no ip address
interface Management0/0
 description For Mgt only
 shutdown
 nameif Mgt
 security-level 0
 ip address 10.10.10.1 255.255.255.0 
 management-only
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu DMZ1 1500
mtu Mgt 1500
icmp permit any outside
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.2.2.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
!

!--- group policy configurations
!

group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
 webvpn
  functions url-entry file-access file-entry file-browsing mapi port-forward filter 
   http-proxy auto-download citrix
username cisco password 53QNetqK.Kqqfshe encrypted
!

!--- asdm configurations
!

http server enable
http 10.2.2.0 255.255.255.0 inside
!
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!

!--- tunnel group configurations
!

tunnel-group DefaultWEBVPNGroup general-attributes
 default-group-policy GroupPolicy1
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 nbns-server 10.2.2.2 master timeout 2 retry 2
!
telnet timeout 5
ssh 172.22.1.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
!

!--- webvpn configurations
!

webvpn
 enable outside
 url-list ServerList "WSHAWLAP" cifs://10.2.2.2 1
 url-list ServerList "FOCUS_SRV_1" https://10.2.2.3 2
 url-list ServerList "FOCUS_SRV_2" http://10.2.2.4 3
!
prompt hostname context 
 !
 end

Clientless SSL VPN (WEBVPN) макро-замены

Clientless SSL VPN макро-замены позволяют вам формировать пользователей для доступа к персонализированным ресурсам, которые содержат идентификатор пользователя и пароль или другие входные параметры. Примеры таких ресурсов включают записи закладки, списки URL и акции файла.

Примечание: Из соображений безопасности замены пароля отключены для доступа к файлу URLs (cifs://).

Примечание: Также из соображений безопасности, проявите осмотрительность при представлении замен пароля на ссылки на сайт, специально для non-SSL случаев.

Эти макро-замены поддержаны:

  1. CSCO_WEBVPN_USERNAME - SSL VPN пользовательский идентификатор для входа в систему

  2. CSCO_WEBVPN_PASSWORD - SSL VPN пользовательский пароль логина

  3. CSCO_WEBVPN_INTERNAL_PASSWORD - SSL VPN пользователь внутренний пароль ресурса

  4. CSCO_WEBVPN_CONNECTION_PROFILE - SSL VPN пользовательское снижение вниз группы логина, псевдоним группы в пределах профиля связи

  5. CSCO_WEBVPN_MACRO1 - Набор через определенный для продавца признак RADIUS/LDAP

  6. CSCO_WEBVPN_MACRO2 - Набор через определенный для продавца признак RADIUS/LDAP

Для знания больше о макро-заменах, обратитесь к Clientless SSL VPN Макро-Замены.

Проверить

Используйте эту секцию, чтобы подтвердить, что ваша конфигурация работает должным образом.

Установите связь со своим устройством ASA от внешнего клиента для тестирования этого:

https://ASA_outside_IP_Address

Клиент получает страницу Cisco WebVPN, которая позволяет доступ к корпоративному LAN безопасным способом. Клиенту разрешают только доступ, который перечислен в недавно созданной политике группы.

Authentication:A простой логин и пароль был создан на ASA для этого доказательства лаборатории понятия. Если единственный и бесшовный знак - на области для пользователей WebVPN предпочтен, обратитесь к этому URL:

ASA с WebVPN и Единственным Знаком - при использовании ASDM и Примера Конфигурации NTLMv1

Расследовать

Эта секция предоставляет информацию, которую можно использовать для поиска неисправностей конфигурации.

Примечание: не прерывайте Файл Копии к Серверу, командуют или проводят к различному экрану, в то время как процесс копии происходит. Если операция прервана, она может заставить неполный файл быть спасенным на сервере.

Примечание: Пользователи могут загрузить и загрузить новые файлы клиентом WEBVPN, но пользователю не разрешают переписать файлы в CIFS на WEB VPN с Файлом Копии к команде Сервера. Когда пользователь пытается заменить файл на сервере, пользователь получает это сообщение: "Неспособный добавить файл".

Процедуры, используемые для поиска неисправностей

Следуйте этим инструкциям для поиска неисправностей конфигурации.

  1. В ASDM выберите Контроль> Регистрирующийся> Зритель Регистрации В реальном времени> Представление. Когда клиент соединится с ASA, отметьте учреждение и завершение SSL и сессий TLS в регистрациях в реальном времени.

    /image/gif/paws/70475/webvpnasa9-9.gif

  2. В ASDM выберите Контроль> VPN> Статистика VPN> Сессии. Ищите новую сессию WebVPN. Обязательно выберите фильтр WebVPN и нажмите Filter. Если проблема происходит, временно обойдите устройство ASA, чтобы гарантировать, что клиенты могут получить доступ к желаемым сетевым ресурсам. Рассмотрите шаги конфигурации, перечисленные в этом документе.

    /image/gif/paws/70475/webvpnasa10-10.gif

Команды, используемые для поиска неисправностей

Переводчик Продукции Тул (только зарегистрированные клиенты) (OIT) поддерживает определенные выставочные команды. Используйте OIT для просмотра анализа выставочной продукции команды.

Примечание: Обратитесь к Важной информации о Командах Отладки перед использованием команд отладки.

  • показать webvpn? — Существует много выставочных команд, связанных с WebVPN. Для наблюдения использования выставочных команд подробно, обратитесь к справочному разделу команды Прибора безопасности Cisco.

  • отладка webvpn? — Использование команд отладки может неблагоприятно повлиять на ASA. Для наблюдения использования команд отладки более подробно, обратитесь к справочному разделу команды Прибора безопасности Cisco.

Проблема - неспособный соединить больше чем Три WEB пользователи VPN с PIX/ASA

Проблема:

Только три WEB клиенты VPN может соединиться с ASA/PIX; связь для четвертого клиента прерывается.

Решение:

В большинстве случаев эта проблема связана с одновременным урегулированием логина в пределах политики группы.

Используйте эту иллюстрацию для формирования желаемого числа одновременных логинов. В этом примере требуемое значение равнялось 20.

ciscoasa(config)# group-policy Bryan attributes
ciscoasa(config-group-policy)# vpn-simultaneous-logins 20

Проблема - WEB Клиенты VPN не Могут Поразить Закладки и являются Grayed

Проблема:

Если эти закладки формировались для пользователей для регистрирования к clientless VPN, но, на домашнем экране в соответствии с "веб-приложениями" они обнаруживаются как grayed, как я могу позволить эти связи HTTP так, чтобы пользователи были в состоянии щелкнуть ими и войти в особый URL?

Решение:

Необходимо сначала удостовериться, что ASA может решить веб-сайты через DNS. Попытайтесь свистеть веб-сайты по имени. Если ASA не может решить имя, связь является grayed. Если серверы DNS являются внутренними к вашей сети, формируют поиск области DNS частный интерфейс.

Проблема - связь Citrix через WEBVPN

Проблема

Сообщение об ошибке "клиент ICA получило коррумпированный файл ICA". происходит для Citrix по WEBVPN.

Решение

При использовании безопасного способа ворот для связи Citrix через WebVPN файл ICA может испортить. Поскольку ASA не совместим с этим режимом работы, создайте новый файл ICA в Прямом Способе (нережимный способ).

Проблема: Как избежать потребности во второй идентификации для пользователей

Проблема

При доступе к связям CIFS на портале clientless WebVPN пользователи побуждены для верительных грамот после нажатия на закладку. LDAP используется для подтверждения и ресурсов и пользователей, уже вошли в верительные грамоты LDAP в логин к сессии VPN.

Решение

Можно использовать auto-signon функцию в этом случае. Под определенной используемой политикой группы и под ее признаками WebVPN, формируйте это:

auto-signon allow uri cifs://X.X.X.X/* auth-type all

где X.X.X.X=IP сервера CIFS и *=rest of the path для достижения рассматриваемого файла/папки акции.

Отрывок конфигурации в качестве примера показывают здесь:

hostname(config)# group-policy ExamplePolicy attributes 

hostname(config-group-policy)# webvpn 

hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all

Для получения дополнительной информации об этом, обратитесь к Формированию SSO с Основной или Идентификацией NTLM HTTP.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 70475