Безопасность и VPN : WebVPN/SSL VPN

Настройте VPN SSL без клиента (WebVPN) на ASA

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (21 апреля 2016) | Отзыв

Введение

Этот документ предоставляет прямую конфигурацию для устройства адаптивной защиты Cisco (ASA) серия 5500 для разрешения Безклиентого  доступа VPN Уровня защищенных сокетов (SSL) к ресурсам внутренней сети. Безклиентая  Виртуальная частная сеть SSL (WebVPN) обеспечивает ограниченный, но ценный, безопасный доступ к корпоративной сети от любого местоположения. Пользователи могут получить защищенный доступ к корпоративным ресурсам через браузер в любое время. Никакой дополнительный клиент не необходим для получения доступа к внутренним ресурсам. Доступ предоставлен с помощью Протокола передачи гипертекстовых файлов по подключению SSL.

VPN SSL без клиента предоставляет безопасный доступ и легкий доступ к широкому диапазону вебов - ресурсов и и веб-доступа и традиционные приложения от почти любого компьютера, который может достигнуть Интернета Протокола передачи гипертекстовых файлов (HTTP) узлы. Сюда входят:

  • Внутренние веб-сайты
  • Microsoft SharePoint 2003, 2007, и 2010
  • Веб - доступ Microsoft Outlook 2003, 2007, и 2013
  • Веб-приложение Microsoft Outlook 2010
  • Веб - доступ Domino (DWA) 8.5 и 8.5.1
  • Сервер представления метакадра Citrix 4. x
  • Версия 5 Citrix XenApp к 6.5
  • От версия 5 Citrix XenDesktop до 5. 6 и 7. 5
  • Представление VMware 4

Список поддерживаемого программного обеспечения может быть найден в Поддерживаемых Платформах VPN, серии 5500 Cisco ASA.

Внесенный Яном Крупой, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Убедитесь, что вы обеспечили выполнение следующих требований, прежде чем попробовать эту конфигурацию:

  • Поддерживающий SSL браузер
  • ASA с Версией 7.1 или выше
  • Сертификат
  • X . 509 вышел к доменному имени ASA
  • Порт TCP 443, который не должен быть заблокирован вдоль пути от клиента к ASA

Полный список требований может быть найден в Поддерживаемых Платформах VPN, серии 5500 Cisco ASA.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Версия ASA 9.4 (1)
  • Версия 7.4 (2) менеджера устройств адаптивной безопасности (ASDM) (ASDM)
  • 5515-X ASA

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все описываемые в данном документе устройства были запущены со стандартными заводскими настройками. Если используемая сеть является действующей, убедитесь в понимании возможного влияния любой из применяемых команд.

Настройка

Эта статья описывает процесс конфигурирования и для ASDM и для CLI. Можно принять решение придерживаться любого из программных средств для настройки WebVPN, но некоторые действия настройки могут только быть достигнуты с ASDM.

Примечание: Используйте Средство поиска команд Command Lookup Tool (только зарегистрированные клиенты) для получения дополнительных сведений о командах, используемых в этом разделе.

Схема сети

В настоящем документе используется следующая схема сети:

Общие сведения

WebVPN использует протокол SSL для обеспечения данных, переданных между клиентом и сервером. Когда браузер инициирует соединение с ASA, ASA представляет свой сертификат для аутентификации себя на браузере. Чтобы гарантировать, что соединение между клиентом и ASA безопасно, необходимо предоставить ASA сертификат, который подписан Центром сертификации, которому уже доверяет клиент. В противном случае у клиента не будет средств проверить подлинность ASA, который приводит к возможности атаки по перехвату и возможному изменению передаваемых данных и плохого пользовательского опыта, потому что браузер производит предупреждение, что не доверяют соединению.

Примечание: По умолчанию ASA генерирует самоподписанный сертификат X.509 после запуска. Этот сертификат используется для обслуживания клиентских соединений по умолчанию. Не рекомендуется использовать этот сертификат, потому что его подлинность не может быть проверена браузером. Кроме того, этот сертификат восстановлен на каждую перезагрузку, таким образом, это изменяется после каждой перезагрузки.

Установка сертификатов вне области этого документа.

!--- конфигурацию

Настройте WebVPN на ASA с пятью главными действиями:

  • Настройте сертификат, который будет использоваться ASA.
  • Включите WebVPN на интерфейсе ASA.
  • Создайте список серверов и/или Uniform Resource Locator (URL) для доступа WebVPN.
  • Создайте политику для группы пользователей WebVPN.
  • Примените новую групповую политику к группе Tunnel Group.

Примечание: В версиях ASA позже, чем Выпуск 9.4, был изменен алгоритм, используемый для выбора шифров SSL (см. Комментарии к выпуску для Серии Cisco ASA, 9.4 (x)).If только способные к эллиптической кривой клиенты будут использоваться, тогда безопасно использовать секретный ключ эллиптической кривой для сертификата. В противном случае пользовательский набор шифров должен использоваться во избежание наличия подарка ASA самоподписанный временный сертификат. Можно настроить ASA для использования только основанных на RSA шифров с ssl шифром tlsv1.2 пользовательская команда "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5".

  1. Опция 1 - Импорт сертификат с файлом pkcs12.

    Выберите Configuration> Firewall>> Certificate Management Advanced>, Сертификаты идентификации> Добавляют. Можно установить его с файлом pkcs12 или вставить содержание в формате Privacy Enhanced Mail (PEM).

    CLI:

    ASA(config)# crypto ca import TrustPoint-name pkcs12 "password"



    Enter the base 64 encoded pkcs12.
    End with the word "quit" on a line by itself:
    MIIJUQIBAzCCCRcGCSqGSIb3DQEHAaCCCQgEggkEMIIJADCCBf8GCSqGSIb3DQEH
    BqCCBfAwggXsAgEAMIIF5QYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQI8F3N
    +vkvjUgCAggAgIIFuHFrV6enVflNv3sBByB/yZswhELY5KpeALbXhfrFDpLNncAB
    z3xMfg6JkLYR6Fag1KjShg+o4qkDh8r9y9GQpaBt8x3Ozo0JJxSAafmTWqDOEOS/
    7mHsaKMoao+pv2LqKTWh0O7No4Ycx75Y5sOhyuQGPhLJRdionbi1s1ioe4Dplx1b



    --- output ommited ---



    Enter the base 64 encoded pkcs12.
    End with the word "quit" on a line by itself:
    MIIJUQIBAzCCCRcGCSqGSIb3DQEHAaCCCQgEggkEMIIJADCCBf8GCSqGSIb3DQEH
    BqCCBfAwggXsAgEAMIIF5QYJKoZIhvcNAQcBMBwGCiqGSIb3DQEMAQYwDgQI8F3N
    +vkvjUgCAggAgIIFuHFrV6enVflNv3sBByB/yZswhELY5KpeALbXhfrFDpLNncAB
    z3xMfg6JkLYR6Fag1KjShg+o4qkDh8r9y9GQpaBt8x3Ozo0JJxSAafmTWqDOEOS/
    7mHsaKMoao+pv2LqKTWh0O7No4Ycx75Y5sOhyuQGPhLJRdionbi1s1ioe4Dplx1b

    quit



    INFO: Import PKCS12 operation completed successfully

    Опция 2 - Создает подписанный сертификат.

    Выберите Configuration> Firewall>> Certificate Management Advanced>, Сертификаты идентификации> Добавляют.

    Установите переключатель в положение Add a new identity certificate. Проверьте Генерировать флажок подписанного сертификата. Выберите Common Name (CN), который совпадает с доменным именем ASA.

    Нажмите New для создания пары ключей для сертификата. Выберите Ключевой Тип, Название и Размер.

    CLI:

    ASA(config)# crypto key generate ecdsa label ECDSA_KEYPAIR noconfirm

    ASA(config)# crypto ca trustpoint TrustPoint1
    ASA(config-ca-trustpoint)# revocation-check none
    ASA(config-ca-trustpoint)# id-usage ssl-ipsec
    ASA(config-ca-trustpoint)# no fqdn
    ASA(config-ca-trustpoint)# subject-name CN=ASA
    ASA(config-ca-trustpoint)# enrollment self
    ASA(config-ca-trustpoint)# keypair ECDSA_KEYPAIR
    ASA(config-ca-trustpoint)# exit
    ASA(config)# crypto ca enroll TrustPoint1 noconfirm
  2. Выберите сертификат, который будет использоваться для обслуживания подключений WebVPN.

    Выберите Configuration> Remote Access VPN> Advanced> SSL Settings. Из меню Certificates выберите точку доверия, привязанную к желаемому сертификату для внешнего интерфейса. Щелкните "Применить".

    Эквивалентная конфигурация в интерфейсе командной строки:

    ASA(config)# ssl trust-point <trustpoint-name> outside
  3. (Необязательно) Включите поиски Сервера доменных имен (DNS).

    Сервер WebVPN действует как прокси для клиентских соединений. Это означает, что ASA создает соединения с ресурсами от имени клиента. Если клиенты требуют соединений с ресурсами, которые используют доменные имена, то ASA должен выполнить Поиск DNS.

    Выберите Configuration> Remote Access VPN> DNS.

    Настройте по крайней мере один сервер DNS и включите Поиски DNS на интерфейсе, который стоит перед сервером DNS.

    CLI:

    ASA(config)# dns domain-lookup inside
    ASA(config)# dns server-group DefaultDNS
    ASA(config-dns-server-group)# name-server 10.11.12.101
  4. (Необязательно) Создайте Групповую политику для подключений WebVPN.

    Выберите Configuration> Remote Access VPN> Clientless SSL VPN Access> Group Policies> Add Internal Group Policy.

    Под Основными параметрами изменяют значение Протоколов Tunelling на "VPN SSL без клиента".

    CLI:

    ASA(config)# group-policy WEBVPN_Group_Policy internal
    ASA(config)# group-policy WEBVPN_Group_Policy attributes
    ASA(config-group-policy)# vpn-tunnel-protocol ssl-clientless
  5. Настройте профиль подключения.

    В ASDM выберите Configuration> Remote Access VPN> Clientless SSL VPN Access> Connection Profiles.

    Для обзора Профилей подключения и Групповых политик, консультируйтесь с Руководством Конфигурации интерфейса командой строки VPN Серии Cisco ASA, 9.4 - Профили подключения, Групповые политики и Пользователи.

    По умолчанию подключения WebVPN используют профиль DefaultWEBVPNGroup. Можно создать дополнительные профили.

    Примечание: Существуют различные способы назначить пользователей на другие профили.

    - Пользователи могут вручную выбрать профиль подключения от выпадающего списка или с определенным URL. Посмотрите ASA 8. x : Разрешить пользователям выбирать группу при входе в систему WebVPN через метод псевдоним-группа или группа-URL.

    - При использовании Сервера LDAP можно назначить профиль пользователя на основе атрибутов, полученных от Сервера LDAP, видеть Использование ASA Примера конфигурации Карт атрибутов LDAP.

    - При использовании основанной на сертификате аутентификации клиентов можно сопоставить пользователя с профилями на основе полей, содержавшихся в сертификате, видеть Руководство Конфигурации интерфейса командой строки VPN Серии Cisco ASA, 9.4 - Configure Certificate Group, Совпадающая для IKEv1.

    - Для присвоения пользователей вручную на Групповую политику, посмотрите Руководство Конфигурации интерфейса командой строки VPN Серии Cisco ASA, 9.4 - Атрибуты Настройки для Отдельных пользователей

    Измените профиль DefaultWEBVPNGroup и выберите WEBVPN_Group_Policy под Политикой Группы по умолчанию.

    CLI:

    ASA(config)# tunnel-group DefaultWEBVPNGroup general-attributes
    ASA(config-tunnel-general)# default-group-policy WEBVPN_Group_Policy
  6. Для включения WebVPN на внешнем интерфейсе выберите Configuration> Remote Access VPN> Clientless SSL VPN Access> Connection Profiles.

    Проверьте флажок Allow Access рядом с внешним интерфейсом.

    CLI:

    ASA(config)# webvpn
    ASA(config-webvpn)# enable outside
  7. (Необязательно) Создайте закладки для содержания.

    Закладки позволяют пользователю легко просматривать внутренние ресурсы, не имея необходимость помнить URL.

    Для создания закладки выберите Configuration> Remote Access VPN> Clientless SSL VPN Access> Portal> Bookmarks> Add.

    Выберите Add для добавления определенной закладки.

    CLI:

    Невозможно создать закладки через CLI, потому что они созданы как XML-файлы.

  8. (Необязательно) Назначьте закладки на определенную групповую политику.

    Выберите Configuration> Remote Access VPN> Clientless SSL VPN Access> Group Policies> Edit> Portal> Bookmark List.

    CLI:

    ASA(config)# group-policy DfltGrpPolicy attributes
    ASA(config-group-policy)# webvpn
    ASA(config-group-webvpn)# url-list value My_Bookmarks

Проверка

Как только WebVPN был настроен, используйте адрес https://<FQDN ASA> в браузере.

После регистрации должна существовать возможность для наблюдения строки адреса использовал перейти к веб-сайтам и закладкам.

Устранение неполадок

Процедуры устранения неполадок

Следуйте этим инструкциям для устранения проблем конфигурации.

В ASDM выберите Monitoring> Logging> Real-time Log Viewer> View. Когда клиент соединится с ASA, обратите внимание на установление сеанса TLS, выбор групповой политики и успешную аутентификацию пользователя.

CLI:

ASA(config)# logging buffered debugging
ASA(config)# show logging

В ASDM выберите Monitoring> VPN> VPN Statistics> Sessions> Filter: Clientless SSLVPN (Бесклиентская сеть VPN на основе SSL). Найдите новый сеанс WebVPN. Убедитесь в том, что выбран фильтр WebVPN и нажмите кнопку Filter. Если возникла проблема, временно включите обход модуля ASA, чтобы убедиться, что клиенты имеют доступ к необходимым сетевым ресурсам. Повторно ознакомьтесь с действиями по настройке, описанными в данном документе.

CLI:

ASA(config)# show vpn-sessiondb webvpn

Session Type: WebVPN

Username : admin Index : 3
Public IP : 10.229.20.77
Protocol : Clientless
License : AnyConnect Premium
Encryption : Clientless: (1)AES128 Hashing : Clientless: (1)SHA256
Bytes Tx : 72214 Bytes Rx : 270241
Group Policy : WEBVPN_Group_Policy Tunnel Group : DefaultWEBVPNGroup
Login Time : 10:40:04 UTC Tue May 26 2015
Duration : 0h:05m:21s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a1516010000300055644d84
Security Grp : none

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

        • show webvpn ?— с WebVPN связано множество команд show. Для наблюдения использования команд показа подробно, посмотрите раздел Справочника по командам Cisco Security Appliance.

        • debug webvpn - Использование команд отладки может неблагоприятно повлиять на ASA. Для наблюдения использования команд отладки более подробно, посмотрите раздел Справочника по командам Cisco Security Appliance.

Типичные неполадки

Пользователь не может войти

Проблема

Сообщение, "Безклиентое (браузер) доступ VPN SSL, не позволено". появляется в браузере после неуспешной попытки входа. AnyConnect Premium лицензирует, не установлен на ASA, или это не используется как показано "Premium, лицензия AnyConnect не включена на ASA".

Решение

Включите Premium лицензия AnyConnect с этими командами:

ASA(config)# webvpn
ASA(config-webvpn)# no anyconnect-essentials

Проблема

Сообщение "Вход в систему, отказавший", появляется в браузере после неуспешной попытки входа. Ограничение лицензии AnyConnect было превышено.

Решение

Ищите это сообщение в журналах:

%ASA-4-716023: Group <DfltGrpPolicy> User <cisco> IP <192.168.1.100>
Session could not be established: session limit of 2 reached.

Кроме того, проверьте свое ограничение лицензии:

ASA(config)# show version | include Premium
AnyConnect Premium Peers : 2 perpetual

Проблема

Сообщение "AnyConnect не включено на сервере VPN", появляется в браузере после неуспешной попытки входа. Безклиентый протокол VPN не включен в групповой политике.

Решение

Ищите это сообщение в журналах:

%ASA-6-716002: Group <DfltGrpPolicy> User <cisco> IP <192.168.1.100>
WebVPN session terminated: Client type not supported.

Удостоверьтесь, что Безклиентый протокол VPN включен для желаемой групповой политики:

ASA(config)# show run all group-policy | include vpn-tunnel-protocol
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-clientless

Неспособный подключить больше чем Трех пользователей WebVPN с ASA

Проблема

Только три клиента WebVPN могут соединиться с ASA. Соединение для четвертых клиентских сбоев.

Решение

В большинстве случаев эта проблема отнесена к одновременному значению входа в систему в групповой политике. Используйте этот рисунок для настройки необходимого номера одновременных входов в систему. В данном примере желаемое значение равняется 20.

ASA(config)# group-policy Cisco attributes
ASA(config-group-policy)# vpn-simultaneous-logins 20

Клиенты WebVPN не Могут Поразить Закладки и отображаются серым

Проблема

Если эти закладки были настроены для пользователей для регистрирования к безклиентой VPN, но на домашнем экране в соответствии с "Web - приложениями" они обнаруживаются как затененные, как я могу включить эти ссылки HTTP так, чтобы пользователи были в состоянии нажать их и войти в определенный URL?

Решение

Необходимо сначала удостовериться, что ASA может решить веб-сайты через DNS. Попытайтесь пропинговать веб-сайты по имени. Если ASA не может решить название, ссылка отображается серым. Если серверы DNS являются внутренними к вашей сети, настраивают частный интерфейс поиска в домене DNS.

Соединение Citrix через WebVPN

Проблема

Сообщение об ошибках "клиент ica получило поврежденный файл ica". происходит для Citrix по WebVPN.

Решение

При использовании режима защищенного шлюза для соединения Citrix через WebVPN файл ICA может повредить. Поскольку ASA не совместим с этим режимом работы, создайте новый файл ICA в Прямом режиме (незащищенный режим).

Как устранить необходимость для второй аутентификации для пользователей

Проблема

При доступе к ссылкам CIFS на безклиентом портале WebVPN вам предлагают для учетных данных после нажатия закладки. Протокол LDAP используется для аутентификации и ресурсов и пользователей, уже ввели учетные данные LDAP для регистрации к сеансу VPN.

Решение

Можно использовать функцию автовхода в систему в этом случае. Под определенной используемой групповой политикой и под ее атрибутами WebVPN, настройте это:

ASA(config)# group-policy WEBVPN_Group_Policy attributes
ASA(config-group-policy)# webvpn
ASA(config-group-webvpn)# auto-signon allow uri cifs://X.X.X.X/* auth-type all

где X. X . X . X=IP сервера CIFS и * =rest пути для достижения рассматриваемого общего файла/папки.

Фрагмент примера конфигурации показывают здесь:

ASA(config)# group-policy ExamplePolicy attributes
ASA(config-group-policy)# webvpn
ASA(config-group-webvpn)# auto-signon allow uri
https://*.example.com/* auth-type all

Для получения дополнительной информации об этом, посмотрите SSO Настройки с Основным HTTP или Аутентификация NTLM.

Дополнительные сведения



Document ID: 119417