Маршрутизаторы : Маршрутизаторы Cisco серии 7200

Cisco Secure Desktop (CSD) на примере настройки IOS с помощью SDM

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (12 августа 2008) | Английский (2 октября 2014) | Отзыв


Содержание


Введение

Хотя сеансы Secure Sockets Layer (SSL) VPN (Cisco WebVPN) являются защищенными, у клиента могут оставаться cookie-файлы, файлы веб-браузера и адреса электронной почты, которые остаются после завершения сеанса. . Cisco Secure Desktop (CSD) расширяет безопасность сеансов SSL VPN путем сохранения данных сеансов в зашифрованном формате в конкретную область vault диска клиента. Кроме того, эти данные удаляются с диска в конце сеанса SSL VPN. Этот документ представляет пример конфигурации для CSD на Cisco маршрутизатор IOS�.

Следующие платформы Cisco поддерживают CSD:

  • Маршрутизаторы Cisco IOS версии 12.4(6)T и более поздние

  • Маршрутизаторы Cisco 870,1811,1841, 2801, 2811, 2821, 2851, 3725, 3745, 3825, 3845, 7200 и 7301

  • Концентраторы Cisco VPN серии 3000 версии 4.7 и более поздние

  • Устройства защиты Cisco ASA серии 5500 версии 7.1 и более поздние

  • Модуль служб Cisco WebVPN для Cisco Catalyst и Cisco серии 7600 версии 1.2 и более поздние

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

Требования для маршрутизатора Cisco IOS

Требования для клиентского компьютера

  • Рекомендуется наличие у удаленных клиентов прав локального администратора.

  • Удаленные клиенты должны иметь среду исполнения Java (JRE) версии 1.4 или выше.

  • Удаленные клиентские браузеры: Internet Explorer 6.0, Netscape 7.1, Mozilla 1.7, Safari 1.2.2 или Firefox 1.0

  • Cookie-файлы активированы, всплывающие окна разрешены на удаленных клиентах

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Маршрутизатор Cisco IOS 3825 версии 12.9(T)

  • SDM версии 2.3.1

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все описываемые в данном документе устройства были запущены со стандартными заводскими настройками. Если используемая сеть является действующей, убедитесь в понимании возможного влияния любой из применяемых команд.

Схема сети

В этом документе использованы параметры данной сети:

В следующем примере используется маршрутизатор Cisco серии 3825, чтобы разрешить защищенный доступ к внутренней сети компании. С помощью маршрутизатора Cisco серии 3825 повышается уровень безопасности соединений SSL VPN с настроенными функциями и характеристиками CSD. Клиенты могут подключаться к маршрутизатору с активированным CSD с использованием одного из следующих трех способов SSL VPN: Clientless SSL VPN (WebVPN) – бесклиентная, Thin-Client SSL VPN (переадресация портов) – с тонким клиентом или SSL VPN Client (туннельный режим SVC) – с обычным клиентом.

/image/gif/paws/70791/csd-ios-2.gif

Родственные продукты

Эта конфигурация может также использоваться со следующими версиями программного/аппаратного обеспечения:

  • Платформы маршрутизаторов Cisco 870, 1811, 1841, 2801, 2811, 2821, 2851, 3725, 3745, 3825, 3845, 7200 и 7301

  • Образ расширенной безопасности Cisco IOS версии 12.4(6)T и более поздние

Условные обозначения

Дополнительные сведения об условных обозначениях данного документа см. в разделе Условные обозначения, используемые в технической документации Cisco.

Настройка

Благодаря шлюзу WebVPN пользователь подключается к маршрутизатору с помощью одной из технологий SSL VPN. В устройстве можно установить только один шлюз WebVPN на каждый IP-адрес, хотя к шлюзу WebVPN можно применять несколько контекстов. Каждый контекст определяется с помощью уникального имени. С помощью групповых политик можно определить доступные настроенные ресурсы для определенного контекста WebVPN.

Настройка CSD на маршрутизаторе IOS выполняется в два этапа:

Этап I: Подготовка маршрутизатора для конфигурации CSD с помощью SDM

  1. Настройка шлюза WebVPN, контекста WebVPN и групповой политики.

    Примечание: Данный шаг является необязательным и не рассматривается подробно в данном документе. Если маршрутизатор для одной из технологий SSL VPN уже настроен, пропустите данный шаг.

  2. Включение CSD в контекст WebVPN.

Этап II. : Настройка CSD с помощью веб-браузера.

  1. Определение местоположений Windows.

  2. Определение критериев местоположения.

  3. Конфигурация модулей и функций местоположения Windows.

  4. Настройка функций Windows CE, Macintosh и Linux.

Этап I: Подготовка маршрутизатора для конфигурации CSD с помощью SDM.

CSD можно настроить с помощью SDM или в интерфейсе командной строки (CLI). В следующей конфигурации используется SDM и веб-браузер.

Чтобы выполнить конфигурацию CSD на маршрутизаторе IOS, выполните следующие действия.

Этап I: Шаг 1: Настройка шлюза WebVPN, контекста WebVPN и групповой политики.

Чтобы выполнить данную задачу, можно использовать мастер WebVPN.

  1. Откройте SDM и перейдите к Configure > VPN > WebVPN. Выберите вкладку Create WebVPN и установите флажок Create a new WebVPN. Выберите Launch the selected task.

    /image/gif/paws/70791/csd-ios_1.gif

  2. В окне WebVPN Wizard отображаются настроенные параметры. Нажмите кнопку Next.

    /image/gif/paws/70791/csd-ios_2.gif

  3. Введите IP-адрес для шлюза WebVPN, уникальное имя для службы и сведения о цифровой сертификации. Нажмите кнопку Next.

    /image/gif/paws/70791/csd-ios_3.gif

  4. Учетные записи пользователей можно создавать для аутентификации к шлюзу WebVPN. Можно использовать локальные учетные записи или учетные записи, созданные на сервере аутентификации, авторизации и учета (AAA). В следующем примере на маршрутизаторе используются локальные учетные записи. Установите флажок Locally on this router и нажмите Add.

    /image/gif/paws/70791/csd-ios_4.gif

  5. Введите сведения об учетной записи пользователя для нового пользователя в окне Add an Account и нажмите OK.

    /image/gif/paws/70791/csd-ios_5.gif

  6. Создав пользователей, нажмите Next на странице User Authentication.

    /image/gif/paws/70791/csd-ios_6.gif

  7. В окне Configure Intranet Websites можно настроить веб-сайты, доступные для пользователей шлюза WebVPN. Так как в данном документе речь идет о конфигурации CSD, проигнорируйте следующую страницу. Нажмите кнопку Next.

    /image/gif/paws/70791/csd-ios_7.gif

  8. Несмотря на то, что в следующем окне WebVPN Wizard (Мастер WebVPN) можно активировать клиент SSL VPN в туннельном режиме, в этом документе основное внимание уделено активации CSD. Снимите флажок Enable Full Tunnel и нажмите Next.

    /image/gif/paws/70791/csd-ios_8.gif

  9. Для пользователей можно настроить отображение страницы портала WebVPN. В следующем примере принято отображение по умолчанию. Нажмите кнопку Next.

    /image/gif/paws/70791/csd-ios_9.gif

  10. С помощью мастера отображается последнее окно в данной серии. Здесь отображается сводка конфигурации для шлюза WebVPN. Нажмите Finish и, если необходимо, OK.

    /image/gif/paws/70791/csd-ios_10.gif

Этап I: Шаг 2 ---- -------------------------------- --------- : Включение CSD в контекст WebVPN.

Используйте мастер WebVPN, чтобы включить CSD в контекст WebVPN.

  1. Используйте дополнительные функции мастера WebVPN, чтобы включить CSD для недавно созданного контекста. Мастер предоставляет возможность установить пакет CSD, если он еще не установлен.

    1. В SDM выберите вкладку Configure.

    2. На панели навигации выберите VPN > WebVPN.

    3. Выберите вкладку Create WebVPN.

    4. Установите флажок Configure advance features for an existing WebVPN (Настройка дополнительных функций для существующего WebVPN).

    5. Нажмите кнопку Launch the selected task (Запустить выбранную задачу).

      /image/gif/paws/70791/csd-ios_11.gif

  2. Откроется страница приветствия для мастера расширенного WebVPN. Нажмите кнопку Next.

    /image/gif/paws/70791/csd-ios_12.gif

  3. В раскрывающихся окнах полей выберите WebVPN и группу пользователей. Функции мастера расширенного WebVPN применяются для выбранных параметров. Нажмите кнопку Next.

    /image/gif/paws/70791/csd-ios_13.gif

  4. С помощью окна Select Advanced Features можно выбрать из перечисленных технологий.

    1. Проверьте Cisco Secure Desktop.

    2. В данном примере выбран Clientless Mode.

    3. Если выбрать другую технологию, откроются дополнительные окна, чтобы разрешить вход дополнительных сведений.

    4. Нажмите кнопку Next (Далее).

    /image/gif/paws/70791/csd-ios_14.gif

  5. С помощью окна Configure Intranet Websites можно настраивать ресурсы веб-сайтов, доступные для пользователей. Можно добавлять внутренние веб-сайты компании, например Outlook Web Access (OWA).

    /image/gif/paws/70791/csd-ios_15.gif

  6. В окне Enable Cisco Secure Desktop (CSD) есть возможность включить CSD для контекста. Установите флажок Install Cisco Secure Desktop (CSD) и нажмите Browse.

    /image/gif/paws/70791/csd-ios_16.gif

  7. В окне Select CSD Location выберите My Computer.

    1. Нажмите кнопку Browse.

    2. На рабочей станции управления выберите файл пакета CSD IOS.

    3. Нажать кнопку OK .

    4. Нажмите кнопку Next (Далее).

    /image/gif/paws/70791/csd-ios_17.gif

  8. Отобразится окно Summary of the Configuration. Нажмите кнопку Finish.

    /image/gif/paws/70791/csd-ios_18.gif

  9. Нажмите OK , если файл пакета CSD установлен успешно.

    /image/gif/paws/70791/csd-ios_19.gif

Этап II. : Настройка CSD с помощью веб-браузера.

Чтобы определить конфигурацию CSD на веб-браузере, выполните следующие действия.

Этап II. : Шаг 1: Определение местоположений Windows.

Определите местоположение Windows.

  1. Откройте веб-браузер на странице https://WebVPNgateway_IP Address/csd_admin.html, например https:/192.168.0.37/csd_admin.html.

  2. Введите имя пользователя admin.

    1. Введите пароль, который является разрешающим секретным ключом паролем маршрутизатора.

    2. Нажмите кнопку Login (Вход).

    /image/gif/paws/70791/csd-ios_20.gif

  3. Примите сертификат, предложенный маршрутизатором, в раскрывающемся окне выберите контекст и нажмите Go.

    /image/gif/paws/70791/csd-ios_21.gif

  4. Открывается диспетчер Secure Desktop Manager для WebVPN.

    /image/gif/paws/70791/csd-ios_22.gif

  5. На левой панели выберите Windows Location Settings.

    1. Поместите курсор в окне рядом с именем местоположения и введите имя местоположения.

    2. Нажмите Add.

    3. В следующем примере отображены три имени местоположения: Office, Home и Insecure. Каждый раз при добавлении нового местоположения левая панель расширяется с помощью настроенных параметров для данного местоположения.

    /image/gif/paws/70791/csd-ios_23.gif

  6. Создав местоположения Windows, нажмите Save в верхней части левой панели.

    Примечание: Периодически сохраняйте конфигурации, так как параметры будут утеряны, если отключиться от веб-браузера.

    /image/gif/paws/70791/csd-ios_24.gif

Этап II. : Шаг 2 ---- -------------------------------- --------- : Определение критериев местоположения

Чтобы различать местоположения Windows, назначьте конкретные критерии для каждого местоположения. С помощью CSD можно определить, какую функцию применять к конкретному местоположению Windows.

  1. На левой панели нажмите Office.

    1. Можно определить местоположение Windows с помощью критериев сертификации, критериев IP-адреса, файла или критериев реестра. Также можно выбрать Secure Desktop или Cache Cleaner для данных клиентов. Так как данные пользователи являются внутренними офисными работниками, определите их с помощью критериев IP-адреса.

    2. Введите диапазоны IP-адресов в окнах From и To.

    3. Нажмите Add. Снимите флажок Use Module: Защищенный рабочий стол.

    4. Если необходимо, нажмите Save, а потом OK.

    /image/gif/paws/70791/csd-ios_25.gif

  2. На левой панели нажмите второй параметр местоположения Windows Home.

    1. Убедитесь, что флажок Use Module: Secure Desktop установлен.

    2. Будет передан файл, с помощью которого можно определить клиентов. Можно выбрать сертификаты и/или критерии регистра для передачи данным пользователям.

    3. Отметьте Enable identification using File or Registry criteria (Включить идентификацию с помощью критериев File (Файл) и Registry (Реестр)).

    4. Нажмите Add.

    /image/gif/paws/70791/csd-ios_26.gif

  3. В диалоговом окне выберите File и введите путь к файлу.

    1. Этот файл необходимо передать всем домашним клиентам.

    2. Установите флажок Exists.

    3. Если необходимо, нажмите OK , а потом Save.

    /image/gif/paws/70791/csd-ios_27.gif

  4. Чтобы настроить идентификатор местоположений Insecure, не применяйте критерии идентификации.

    1. На левой панели нажмите Insecure.

    2. Не устанавливайте флажки для данных критериев.

    3. Установите флажок Use Module: Защищенный рабочий стол.

    4. Если необходимо, нажмите Save, а потом OK.

    /image/gif/paws/70791/csd-ios_28.gif

Этап II. : Шаг 3: Конфигурация модулей и функций местоположения Windows.

Настройте функции CSD для каждого местоположения Windows.

  1. В Office нажмите VPN Feature Policy. Так как данные внутренние клиенты являются доверенными, CSD и Cache Cleaner не активированы. Данные параметры недоступны.

    /image/gif/paws/70791/csd-ios_29.gif

  2. Включите функции, как показано ниже.

    1. В левой панели выберите VPN Feature Policy под Home.

    2. Домашним пользователям будет разрешен доступ к корпоративной LAN, если данные клиенты отвечают определенным критериям.

    3. Для каждого способа доступа выберите ON if criteria are matched.

    /image/gif/paws/70791/csd-ios_30.gif

  3. Для веб-браузера нажмите кнопку (...) и выберите соответствующие критерии. В диалоговом окне нажмите OK.

    /image/gif/paws/70791/csd-ios_31.gif

  4. Можно настроить другие способы доступа в таком же режиме.

    1. В Home выберите Keystroke Logger (Регистратор нажатия клавиш).

    2. Установите флажок рядом в Check for keystroke loggers (Проверить регистраторы нажатия клавиш).

    3. Если необходимо, нажмите Save, а потом OK.

    /image/gif/paws/70791/csd-ios_32.gif

  5. В местоположении Home windows выберите Cache Cleaner. Оставьте параметры по умолчанию, как показано на снимке экрана.

    /image/gif/paws/70791/csd-ios_33.gif

  6. В Home выберите Secure Desktop General. Установите флажок Suggest application uninstall upon Secure Desktop closing (Предложить удаление приложения после закрытия Secure Desktop). Оставьте все другие параметры по умолчанию, как показано на снимке экрана.

    /image/gif/paws/70791/csd-ios_34.gif

  7. Для параметров Secure Desktop в Home выберите Allow e-mail applications to work transparently (Разрешить приложениям электронной почты работать в прозрачном режиме). Если необходимо, нажмите Save, а потом OK.

    /image/gif/paws/70791/csd-ios_35.gif

  8. Конфигурация Secure Desktop Browser зависит от того, необходимо ли данным пользователям получить доступ к веб-сайту компании с заранее настроенными предпочтениями.

    1. В "Insecure" (Незащищенный) выберите VPN Feature Policy (Политика функций VPN).

    2. Так как данные пользователи не являются доверенными, необходимо разрешить только просмотр веб-браузера.

    3. В раскрывающемся меню выберите ON для Web Browsing.

    4. Для всего остального установлено OFF.

    /image/gif/paws/70791/csd-ios_36.gif

  9. Установите флажок Check for keystroke loggers (Проверить регистраторы нажатия клавиш).

    /image/gif/paws/70791/csd-ios_37.gif

  10. Настройте Cache Cleaner для Insecure (Незащищенный).

    1. Установите флажок Clean the whole cache in addition to the current session cache (only) (Удалить кэш в дополнение к кэшу текущего сеанса (только IE).

    2. Оставьте для остальных параметров значения по умолчанию.

    /image/gif/paws/70791/csd-ios_38.gif

  11. В "Insecure" (Незащищенный) выберите Secure Desktop General.

    1. Сократите время бездействия до 2 минут.

    2. Установите флажок Force application uninstall upon Secure Desktop closing (Привести к удалению приложения после закрытия Secure Desktop).

    /image/gif/paws/70791/csd-ios_39.gif

  12. В "Insecure" (Незащищенный) выберите Secure Desktop Settings и настройте параметры с очень большими ограничениями, как показано ниже.

    /image/gif/paws/70791/csd-ios_40.gif

  13. Выберите Secure Desktop Browser. В поле Home Page введите веб-сайт, к которому будут обращаться клиенты за домашней страницей.

    /image/gif/paws/70791/csd-ios_41.gif

Этап II. : Шаг 4. : Настройка функций Windows CE, Macintosh и Linux.

Настройте функции для Windows CE, Macintosh и Linux.

  1. Выберите Windows CE в диспетчере Secure Desktop Manager. В Windows CE функции VPN ограничены. Установите Web Browsing to ON.

    /image/gif/paws/70791/csd-ios_42.gif

  2. Выберите Mac & Linux Cache Cleaner.

    1. В операционных системах Macintosh и Linux есть доступ только к функциям удаления кэш-файлов CSD. Настройте их, как показано на схеме ниже.

    2. Если необходимо, нажмите Save, а потом OK.

    /image/gif/paws/70791/csd-ios_43.gif

Проверка.

Протестируйте работу CSD

Протестируйте работу CSD: подключитесь к шлюзу WebVPN с помощью активированного браузера SSL на странице https://WebVPN_Gateway_IP Address.

Примечание: Используйте уникальное имя контекста, создавая разные контексты WebVPN, например https://192.168.0.37/cisco.

/image/gif/paws/70791/csd-ios_44.gif

Команды

Некоторые команды show связаны с WebVPN. Эти команды можно выполнить в интерфейсе командной строки (CLI) для отображения статистики и другой информации. Дополнительные сведения о командах show см. в разделе Проверка конфигурации WebVPN.

Примечание: Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Устранение неполадок

Команды

Некоторые команды debug связаны с WebVPN. Дополнительную информацию о данных командах см. в документе Использование команд WebVPN "debug".

Примечание: Использование команд debug может неблагоприятно сказаться на производительности модуля Cisco. Перед использованием команд debug ознакомьтесь с документом Важные сведения о командах debug.

Дополнительные сведения о командах clear см. в разделе Использование команд Clear WebVPN.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 70791