Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Пример настройки SSL клиента VPN (SVC) на ASA с ASDM

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (23 марта 2008) | Английский (26 сентября 2015) | Отзыв


Содержание


Введение

Технология Secure Socket Layer (SSL) Virtual Private Network (VPN) поддерживает защищенное подключение из любого расположения к внутренней корпоративной сети с использованием одного из следующих методов:

  • Clientless SSL VPN (WebVPN). Предоставляет удаленный клиент, которому требуется web-браузер с поддержкой SSL для доступа к web-серверам корпоративной локальной сети (LAN) по протоколу HTTP или HTTPS. Кроме того, Clientless SSL VPN обеспечивает доступ к файлам Windows через протокол CIFS. Web-клиент Outlook (OWA) представляет собой пример клиента доступа HTTP.

    Дополнительные сведения о бесклиентской сети SSL VPN см. в документе Пример конфигурации бесклиентской сети SSL VPN (WebVPN) на базе ASA.

  • Тонкий клиент SSL VPN (переадресация портов). В этом варианте конфигурации предусматривается удаленный клиент, загружающий небольшой Java-апплет и обеспечивающий защищенный доступ к приложениям TCP, использующим статические номера портов. Примерами защищенного доступа являются почтовые протоколы POP3, SMTP и IMAP, защищенный сеанс интерпретатора (ssh) и Telnet. Пользователю необходимы локальные административные привилегии, так как производятся изменения в файлах локальной машины. Данный метод SSL VPN не функционирует с приложениями, использующими динамическое назначение портов, такими как некоторые приложения, использующие протокол передачи файлов (FTP).

    Дополнительные сведения о Thin-Client SSL VPN см. в документе Пример конфигурации Thin-Client SSL VPN (WebVPN) на базе ASA с использованием ASDM.

    Примечание: Протокол UDP не поддерживается.

  • Клиент SSL VPN (туннельный режим). На удаленную рабочую станцию загружается небольшой клиент, который обеспечивает полный защищенный доступ к ресурсам внутренней корпоративной сети. Клиент SSL VPN Client (SVC) может загружаться на удаленный узел на постоянной основе или удаляться по завершении защищенного сеанса.

В данном документе описывается настройка SVC на модуле Adaptive Security Appliance (ASA) с использованием Adaptive Security Device Manager (ASDM). Получаемые в результате настройки командные строки приведены в разделе Результаты.

Предварительные условия

Требования

Прежде чем использовать эту конфигурацию, убедитесь, что выполняются следующие требования:

  • SVC запускает поддержку с Версии программного обеспечения 7.1 устройства адаптивной защиты Cisco и позже

  • Локальные администраторские привилегии на всех удаленных рабочих станциях

  • Java и Элементы управления ActiveX на удаленной рабочей станции

  • Порт 443 не заблокирован нигде вдоль пути подключения

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • ПО для устройств адаптивной защиты Cisco версии 7.2(1)

  • Cisco Adaptive Security Device Manager 5.2 (1)

  • Устройство адаптивной защиты Cisco ASA серии 5510

  • Microsoft Windows XP Professional SP 2

Сведения, рассматриваемые в этом документе, были получены в лабораторной среде. Все упоминаемые устройства работали в конфигурации по умолчанию. При работе в действующей сети необходимо изучить все возможные последствия каждой команды. Все IP-адреса, использованные в конфигурации, выбраны в соответствии с документом RFC 1918 для лабораторной среды; эти IP-адреса не могут быть маршрутизированы в сети Интернет и предназначены только для тестовых целей.

Схема сети

В этом разделе описана конфигурация сети, используемая в данном документе.

Удаленный пользователь подключается к IP-адресу ASA с помощью веб-браузера с поддержкой SSL. После успешной аутентификации на клиентский компьютер загружается SVC, и пользователь получает полный доступ ко всем разрешенным ресурсам корпоративной сети в рамках шифрованного защищенного сеанса.

/image/gif/paws/70511/sslvpnclient_asa01.gif

Задачи предварительной конфигурации

Прежде чем начать, выполните следующие действия:

Нельзя включать WebVPN и ASDM на одном и том же интерфейсе ASA, если не изменены номера портов. Если необходимо использовать обе технологии на одном и том же порте (порт 443) одного устройства, включите ASDM на внутреннем интерфейсе, а WebVPN — на внешнем интерфейсе.

Условные обозначения

Для получения дополнительной информации об условных обозначениях в документации, обратитесь к Cisco Technical Tips Conventions.

Настройка SSL VPN Client на базе ASA

Чтобы настроить the SSL VPN Client на базе ASA, выполните следующие действия:

  1. Включите WebVPN Access на ASA

  2. Установите и включите VPN-клиента SSL (SVC) на ASA

  3. Включите установку SVC у клиентов

  4. Включите повторно вводят параметры

Шаг 1. Включение доступа к WebVPN для ASA

Чтобы включить доступ к WebVPN для ASA, выполните следующие действия:

  1. В приложении ASDM выберите Configuration (Настройка), затем выберите VPN.

  2. Разверните WebVPN и выберите WebVPN Access (Доступ к WebVPN).

    /image/gif/paws/70511/sslvpnclient_asa02.gif

  3. Выберите интерфейсы, для которых необходимо включить WebVPN и нажмите Enable.

Шаг 2. Установка и включение SSL VPN Client на ASA

Чтобы установить и включить VPN-клиента SSL (SVC) на ASA, выполните эти шаги:

  1. Нажмите Configuration, затем VPN.

  2. В навигационной панели разверните WebVPN и выберите SSL VPN Client.

    /image/gif/paws/70511/sslvpnclient_asa03.gif

  3. Нажмите Add.

    Отображается диалоговое окно "Add SSL VPN Client Image".

    /image/gif/paws/70511/sslvpnclient_asa04a.gif

  4. Нажмите Upload.

    Появляется диалоговое окно "Upload Image".

    /image/gif/paws/70511/sslvpnclient_asa04b.gif

  5. Нажмите Browse Local Files для выбора файла на локальном компьютере или Browse Flash для выбора файла в файловой системе флэш-диска.

  6. Найдите файл образа клиента и нажмите OK.

  7. Нажмите Upload File, а затем Close.

  8. После загрузки образа клиента во флэш-память установите флажок Enable SSL VPN Client (Разрешить клиент SSL VPN) и нажмите Apply (Применить).

    /image/gif/paws/70511/sslvpnclient_asa05.gif

    Примечание: Если вы получаете сообщение об ошибках, проверяете, что включен доступ WebVPN. В навигационной панели разверните WebVPN и выберите WebVPN Access. Выберите интерфейс, для которого необходимо настроить доступ и нажмите Enable.

    /image/gif/paws/70511/sslvpnclient_asa06.gif

  9. Нажмите Save и Yes, чтобы принять изменения.

Шаг 3. Включение установки SVC на клиентах

Чтобы разрешить установку SVC на клиентах, выполните следующие действия:

  1. В навигационной панели разверните IP Address Management и выберите IP Pools.

    /image/gif/paws/70511/sslvpnclient_asa07.gif

  2. Нажмите Add, введите значения в полях "Name", "Starting IP Address", "Ending IP Address" и "Subnet Mask". IP-адреса, введенные в полях "Starting IP Address" и "Ending IP Address" должны соответствовать подсетям внутренней сети.

    /image/gif/paws/70511/sslvpnclient_asa08.gif

  3. Нажмите кнопку OK, а затем нажмите Apply.

  4. Нажмите Save и Yes, чтобы принять изменения.

  5. В навигационной панели разверните IP Address Management и выберите Assignment.

  6. Установите флажок Use internal address pools, затем снимите флажки Use authentication server и Use DHCP.

    /image/gif/paws/70511/sslvpnclient_asa09.gif

  7. Нажмите кнопку Apply.

  8. Нажмите Save и Yes, чтобы принять изменения.

  9. В навигационной панели разверните General и выберите Tunnel Group.

  10. Выберите туннельную группу, которую необходимо изменить и нажмите Edit.

    /image/gif/paws/70511/sslvpnclient_asa10.gif

  11. Щелкните вкладку Client Address Assignment и выберите новый пул IP-адресов в списке "Available Pools".

    /image/gif/paws/70511/sslvpnclient_asa11.gif

  12. Нажмите Add, а затем OK.

  13. В окне приложения ASDM нажмите Apply.

  14. Нажмите Save и Yes, чтобы принять изменения.

Шаг 4. Включение параметра смены ключа

Для включения повторно вводят параметры:

  1. В навигационной панели разверните General и выберите Group Policy.

  2. Выберите политику, которую необходимо применить к этой группе клиентов и нажмите Edit.

    /image/gif/paws/70511/sslvpnclient_asa12.gif

  3. На вкладке "General" снимите флажок Tunneling Protocols Inherit и установите флажок WebVPN.

    /image/gif/paws/70511/sslvpnclient_asa13.gif

  4. Щелкните вкладку WebVPN, затем вкладку SSL VPN Client и выберите следующие параметры:

    1. В разделе "Use SSL VPN Client" снимите флажок Inherit и установите переключатель в положение Optional.

      Такой выбор позволит удаленному клиенту самому решать, следует ли загружать SVC. Выбор Always гарантирует, что SVC будет загружаться на удаленную рабочую станцию во время каждого подключения SSL VPN.

    2. В разделе "Keep Installer on Client System" снимите флажок Inherit и установите переключатель в положение Yes.

      Это позволит ПО SVC оставаться на клиентской машине. Таким образом, модулю ASA не потребуется загружать ПО SVC на клиент во время каждого установления соединения. Такой выбор оптимален для удаленных пользователей, которые часто обращаются к корпоративной сети.

    3. В разделе "Renegotiation Interval" снимите флажки Inherit и Unlimited, после чего укажите время до смены ключа в минутах.

      Задание лимита времени, в течение которого действителен ключ, повышает безопасность.

    4. В разделе "Renegotiation Method" снимите флажок Inherit и установите переключатель в положение SSL. При повторном согласовании может использоваться имеющийся туннель SSL или новый туннель, созданный специально для повторного согласования.

      Атрибуты SSL VPN Client должны быть настроены, как показано на рисунке:

      /image/gif/paws/70511/sslvpnclient_asa14.gif

  5. Нажмите кнопку OK, а затем нажмите Apply.

  6. Нажмите Save и Yes, чтобы принять изменения.

Результаты

ASDM создает следующие конфигурации командных строк:

cisco — ASA
ciscoasa(config)#show run
ASA Version 7.2(1) 
!
hostname ciscoasa
domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0 
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
no pager
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu DMZ1 1500
mtu Mgt 1500
ip local pool CorporateNet 10.2.2.50-10.2.2.60 mask 255.255.255.0
icmp permit any outside
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0 0
route outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
!

!--- Group Policy Statements

group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn

!--- Enable the SVC for WebVPN

 webvpn
  svc enable
  svc keep-installer installed
  svc rekey time 30
  svc rekey method ssl
!
username cisco password 53QNetqK.Kqqfshe encrypted privilege 15
!
http server enable
http 10.2.2.0 255.255.255.0 inside
!
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

!--- Tunnel Group and Group Policy using the defaults here

tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool CorporateNet
 default-group-policy GroupPolicy1
!
no vpn-addr-assign aaa
no vpn-addr-assign dhcp
!
telnet timeout 5
ssh 172.22.1.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global

!--- Enable webvpn and the select the SVC client

webvpn
 enable outside
 svc image disk0:/sslclient-win-1.1.1.164.pkg 1
 svc enable

!--- Provide list for access to resources

 url-list ServerList "E-Commerce Server1" http://10.2.2.2 1
 url-list ServerList "BrowseServer" cifs://10.2.2.2 2
 tunnel-group-list enable

prompt hostname context 
Cryptochecksum:80a1890a95580dca11e3aee200173f5f
: end

Настройка конфигурации

Процедуры, описанные в разделе Настройка SSL VPN Client на базе ASA, используют имена ASA по умолчанию для групповой политики (GroupPolicy1) и туннельной группы (DefaultWebVPNGroup), как показано на рисунке:

/image/gif/paws/70511/sslvpnclient_asa15.gif

Эта процедура описывает создание собственных групповых политик и туннельных групп и связывание их в соответствии с политикой безопасности организации.

Чтобы настроить конфигурацию, выполните следующие действия:

  1. Создайте пользовательскую групповую политику

  2. Создайте специальную туннельную группу

  3. Создайте пользователя и добавьте что пользователь к пользовательской групповой политике

Шаг 1. Создание специальной групповой политики

Чтобы создать специальную групповую политику, выполните следующие действия:

  1. Нажмите Configuration, затем VPN.

  2. Разверните раздел General (Общее) и выберите Group Policy (Групповая политика).

  3. Нажмите кнопку Add (Добавить) и выберите Internal Group Policy (Внутренняя групповая политика).

  4. В поле "Name" введите имя групповой политики.

    В данном примере имя групповой политики было изменено на SalesGroupPolicy.

    /image/gif/paws/70511/sslvpnclient_asa16.gif

  5. На вкладке "General" снимите флажок Tunneling Protocols Inherit и установите флажок WebVPN.

  6. Щелкните вкладку WebVPN, а затем вкладку SSLVPN Client.

    В этом диалоговом окне можно также настроить режим работы SSL VPN Client.

    /image/gif/paws/70511/sslvpnclient_asa17.gif

  7. Нажмите кнопку OK, а затем нажмите Apply.

  8. Нажмите Save и Yes, чтобы принять изменения.

Шаг 2. Создание специальной туннельной группы

Чтобы создать специальную туннельную группу, выполните следующие действия:

  1. Нажмите Configuration, затем VPN.

  2. Разверните раздел General (Общее) и выберите Tunnel Group (Группа туннелирования).

    /image/gif/paws/70511/sslvpnclient_asa18.gif

  3. Нажмите кнопку Add (Добавить) и выберите WebVPN Access (Доступ WebVPN).

  4. В поле "Name" введите имя туннельной группы.

    В этом примере имя туннельной группы было изменено на SalesForceGroup.

  5. Нажмите стрелку раскрывающегося списка Group Policy и выберите созданную групповую политику.

    Теперь групповая политика связана с туннельной группой.

    /image/gif/paws/70511/sslvpnclient_asa19.gif

  6. Щелкните вкладку Client Address Assignment и введите информацию о сервере DHCP или выберите созданный локально IP-пул.

    /image/gif/paws/70511/sslvpnclient_asa20.gif

  7. Нажмите кнопку OK, а затем нажмите Apply.

  8. Нажмите Save и Yes, чтобы принять изменения.

Шаг 3. Создание пользователя и добавление его в специальную групповую политику

Чтобы создать пользователя и добавить что пользователь к пользовательской групповой политике, выполните эти шаги:

  1. Нажмите Configuration, затем VPN.

  2. Разверните раздел General (Общее) и выберите Users (Пользователи).

    /image/gif/paws/70511/sslvpnclient_asa21.gif

  3. Нажмите Add и введите имя и пароль пользователя.

    /image/gif/paws/70511/sslvpnclient_asa22.gif

  4. Щелкните вкладку VPN Policy. Убедитесь, что созданная групповая политика отображается в поле "Group Policy".

    Пользователь наследует все характеристики новой групповой политики.

    /image/gif/paws/70511/sslvpnclient_asa23.gif

  5. Нажмите кнопку OK, а затем нажмите Apply.

  6. Нажмите Save и Yes, чтобы принять изменения.

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Authentication

Аутентификация для VPN-клиентов SSL (SVC) выполнена с помощью одного из этих методов:

  • Сервер Cisco Secure ACS (радиус)

  • Домен NT

  • Active Directory

  • Разовые пароли

  • Цифровые сертификаты

  • Смарт-карты

  • Локальная аутентификация AAA

Эта документация использует локальную учетную запись, созданную на устройстве ASA.

Примечание: Если Устройство адаптивной безопасности имеет множественные точки доверия, которые совместно используют тот же CA, только одна из этих точек доверия, которые совместно используют CA, может использоваться для проверки сертификатов пользователя.

Конфигурация

Для соединения с ASA с удаленным клиентом введите https://ASA_outside_address в поле адреса поддерживающего SSL Web-браузера. Внешний_адрес_ASA — это внешний IP-адрес модуля ASA. Если настройка выполнена успешно, появляется окно "Cisco Systems SSL VPN Client".

/image/gif/paws/70511/sslvpnclient_asa24.gif

Примечание: Окно Cisco Systems SSL VPN Client появляется только после принятия сертификата от ASA и после того, как VPN-клиент SSL (SVC) загружен к удаленной станции. Если окно не появилось, проверьте, не свернуто ли оно.

Команды

Некоторые команды show связаны с WebVPN. Эти команды можно выполнить в интерфейсе командной строки (CLI) для отображения статистики и другой информации. Для получения дальнейшей информации о командах показа, обратитесь к Подтверждению конфигураций WebVPN.

Примечание: Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

Ошибка SVC

Проблема

Вы могли бы получить это сообщение об ошибках во время аутентификации:

"The SSl VPN connection to the remote peer was disrupted
and could not be automatically re-estabilished. A new connection requires
re-authentication and must be restarted manually. Close all sensitive networked
applications."

Решение

Если сервис межсетевого экрана работает на ПК, он может разрушить аутентификацию. Остановите сервис и повторно подключите клиент.

Установил ли клиент SVC защищенный сеанс связи с ASA?

Чтобы проверить, установлен ли защищенный сеанс связи между SSL VPN Client и ASA:

  1. Нажмите Monitoring.

  2. Разверните VPN Statistics и выберите Sessions.

  3. В раскрывающемся меню "Filter By" выберите SSL VPN Client и нажмите Filter.

    Конфигурация должна отобразиться в списке сеансов.

    /image/gif/paws/70511/sslvpnclient_asa25.gif

Успешно ли устанавливаются и завершаются защищенные сеансы?

Чтобы убедиться, что сеансы создаются и завершаются успешно, просмотрите журналы реального времени. Чтобы просмотреть журналы сеансов, выполните следующие действия:

  1. Нажмите Monitoring, а затем Logging.

  2. Выберите Real-time Log Viewer или Log Buffer, затем нажмите View.

    /image/gif/paws/70511/sslvpnclient_asa26.gif

    Примечание: Для показа только сеансов от точного адреса фильтруйте адресом.

Проверьте пул IP в профиле WebVPN

%ASA-3-722020: Group group User user-name IP IP_address  No address 
available for SVC connection

Никакие адреса не доступны для присвоения на соединение SVC. Поэтому назначьте адрес пула IP в профиле.

Если вы создаете профиль нового соединения, то настраиваете псевдоним или URL группы для доступа к этому профилю подключения. В противном случае все попытки SSL поразят профиль подключения WebVPN по умолчанию, которому не связывали пул IP с ним. Настройте это, чтобы использовать профиль подключения по умолчанию и поместить пул IP на него.

Советы

  • Удостоверьтесь направляя, работает должным образом с пулом IP-адреса, который вы назначаете на удаленных клиентов. Пул IP-адресов должен располагаться в подсети имеющейся локальной сети. Для назначения IP-адресов можно также использовать сервер DHCP или сервер аутентификации.

  • ASA создает туннельную группу по умолчанию (DefaultWebVPNGroup) и групповую политику по умолчанию (GroupPolicy1). При создании новых групп и политики убедитесь, что применяемые значения находятся в согласии с политиками безопасности сети.

  • Если вы хотите включить просмотр файлов Windows через CIFS, введите WINS (NBNS) сервер под Конфигурацией> VPN> WebVPN> Серверы и URL. Эта технология использует выделение CIFS.

Команды

Некоторые команды debug связаны с WebVPN. Дополнительную информацию о данных командах см. в документе Использование команд WebVPN "debug".

Примечание: Использование команд debug может неблагоприятно сказаться на производительности модуля Cisco. Перед использованием команд debug ознакомьтесь с документом Важные сведения о командах debug.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 70511