Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Пример конфигурации Clientless SSL VPN (WebVPN) на базе ASA с использованием ASDM

23 мая 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (17 июня 2008) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Настройка
      Сетевая диаграмма
      Процедура
      Конфигурация
Проверка
Устранение неполадок
      Процедуры устранения неполадок
      Команды для устранения неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

Clientless SSL VPN (WebVPN) предоставляет ограниченные, но ценные возможности защищенного доступа к корпоративной сети из любой точки. Пользователи могут получить защищенный доступ к корпоративным ресурсам через обозреватель в любое время. В этом документе описана простая конфигурация на базе Cisco Adaptive Security Appliance (ASA) 5500, обеспечивающая доступ к ресурсам внутренней сети из сети Clientless SSL VPN.

Существует три способа использования технологии SSL VPN. Clientless SSL VPN — бесклиентный, Thin-Client SSL VPN (переадресация портов) — с тонким клиентом, SSL VPN Client (tуннельный режим SVC) — с обычным клиентом. Каждый из них имеет свои достоинства и использует уникальные методы доступа к ресурсам.

1. Clientless SSL VPN

На удаленном клиенте необходим только веб-обозреватель с поддержкой SSL для доступа к веб-серверам корпоративной локальной сети с поддержкой протоколов HTTP или HTTPS. Кроме того, файловая система Common Internet File System (CIFS) предоставляет доступ к файлам Windows. Хороший пример реализации HTTP-доступа — клиент Outlook Web Access (OWA).

2. Thin-Client SSL VPN (Переадресация портов)

На удаленном клиенте необходимо загрузить небольшой Java-аплет, который обеспечивает безопасный доступ для TCP-приложений, использующих статические номера портов. Протокол UDP не поддерживается. Поддерживаемые протоколы: POP3, SMTP, IMAP, SSH и Telnet. Пользователю необходимы локальные административные привилегии, так как производятся изменения в файлах локальной машины. Этот вариант SSL VPN неприменим для приложений, использующих динамическое назначение портов, например для некоторых FTP-приложений.

Чтобы узнать больше о Thin-Client SSL VPN, см. документ Пример конфигурации Thin-Client SSL VPN (WebVPN) на базе ASA с использованием ASDM.

3. SSL VPN Client (Tуннельный режим SVC)

SSL VPN Client загружает небольшой клиент на удаленную рабочую станцию и обеспечивает полный защищенный доступ к ресурсам внутренней корпоративной сети. Клиент SVC может загружаться на удаленный узел на постоянной основе или удаляться по завершении защищенного сеанса.

Сеть Clientless SSL VPN может быть сконфигурирована на базе Cisco VPN Concentrator 3000 и некоторых маршрутизаторов Cisco IOS® версии 12.4(6)T и выше. Доступ через сеть Clientless SSL VPN можно также сконфигурировать на базе Cisco ASA через интерфейс командной строки (CLI) или с помощью Adaptive Security Device Manager (ASDM). Использование ASDM упрощает конфигурацию.

Нельзя включать Clientless SSL VPN и ASDM на одном и том же интерфейсе ASA. Две эти технологии могут сосуществовать на одном и том же интерфейсе, только если изменены номера портов. Настоятельно рекомендуется включать ASDM на внутреннем интерфейсе, чтобы WebVPN можно было включить на внешнем интерфейсе.

Подробные сведения об использовании SSL VPN Client см. в разделе Пример конфигурации SSL VPN Client (SVC) на базе ASA с использованием ASDM.

Clientless SSL VPN обеспечивает защищенный доступ к следующим ресурсам корпоративной локальной сети:

  • OWA/Exchange

  • внутренние веб-серверы (HTTP- и HTTPS-доступ)

  • файлы Windows

  • серверы Citrix с тонкими клиентами

Cisco ASA выполняет роль защищенного прокси-сервера для клиентских компьютеров, которые в свою очередь получают доступ к заданному заранее набору ресурсов корпоративной локальной сети.

В данном документе описывается простая конфигурация, использующая ASDM и реализующая сеть Clientless SSL VPN на базе Cisco ASA. Если на клиенте уже имеется веб-обозреватель, поддерживающий протокол SSL, дополнительной настройки клиента не требуется. Большинство веб-обозревателей уже поддерживают создание сеансов SSL/TLS. Кроме того, в документе приведены выходные данные команд Cisco ASA.

Предварительные условия

Требования

Перед применением этой конфигурации убедитесь в том, что выполняются следующие требования:

  • Используемый обозреватель поддерживает клиентский SSL. Например, это может быть Internet Explorer, Netscape или Mozilla

  • ASA имеет версию 7.1 или выше

  • TCP-порт 443 доступен и не заблокирован на пути от клиента до ASA

Используемые компоненты

Сведения, представленные в этом документе, относятся к следующим версиям программного и аппаратного обеспечения:

  • ПО Cisco ASA 7.2(1)

  • Cisco ASDM 5.2(1)

    Примечание: Чтобы узнать, как разрешить настройку ASA с помощью ASDM, см. раздел Включение HTTPS-доступа для ASDM.

  • Серия Cisco ASA 5510

Информация, содержащаяся в данном документе, была получена в специально созданных лабораторных условиях. Все упоминаемые устройства первоначально работали в конфигурации по умолчанию. При работе в действующей сети необходимо изучить все возможные последствия каждой команды.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройка

На этом этапе необходимо ввести в адресной строке веб-обозревателя строку https://внутренний IP-адрес для запуска приложения ASDM. После загрузки ASDM можно начать настройку WebVPN.

В этом разделе содержатся сведения, необходимые для настройки функций, описанных в данном документе.

Примечание: Используйте инструмент Command Lookup Tool (только для зарегистрированных пользователей) для получения дополнительных сведений о командах, использованных в этом разделе.

Сетевая диаграмма

В этом документе использована следующая конфигурация сети.

webvpnasa1-1.gif

Процедура

Настройка WebVPN на базе ASA выполняется в 4 этапа:

  • Включите WebVPN на интерфейсе ASA.

  • Создайте список серверов и URL-адресов для доступа через WebVPN.

  • Создайте политику для группы пользователей WebVPN.

  • Примените новую групповую политику к группе Tunnel Group.

  1. Выберите в ASDM пункт Configuration > VPN > WebVPN > WebVPN Access.

    webvpnasa2-2.gif

    Выберите завершающий интерфейс для пользователей WebVPN > Enable > Apply.

    webvpnasa3-3.gif

  2. Выберите Servers and URLs > Add.

    webvpnasa4-4.gif

    Введите имя для списка серверов, доступных через WebVPN. Нажмите кнопку Add. Откроется диалоговое окно "Add Server or URL". Введите имена всех серверов. Это имя будет доступно клиенту. Для каждого сервера выберите соответствующий протокол в раскрывающемся списке "URL". Добавьте серверы в список в диалоговом окне "Add Server or URL" и нажмите кнопку ОК.

    webvpnasa5-5.gif

    Нажмите кнопки Apply > Save.

  3. Разверните элемент General в меню в левой части окна ASDM. Выберите Group Policy > Add.

    webvpnasa6-6.gif

    • Выберите пункт Add Internal Group Policy. Снимите флажок Tunneling Protocols: Inherit. Установите флажок WebVPN.

    webvpnasa7-7.gif

    • Выберите вкладку WebVPN. Снимите флажок Inherit. Выберите в списке необходимые функции. Нажмите ОК > Apply.

    webvpnasa11-11.gif

  4. Выберите в левой колонке элемент Tunnel Group. Нажмите кнопку Edit.

    webvpnasa8-8.gif

    Щелкните раскрывающееся меню Group Policy. Выберите политику, созданную на шаге 3.

    webvpnasa12-12.gif

    Важное примечание. Если новые групповые политики и туннельные группы не созданы, по умолчанию используются GroupPolicy 1 и DefaultWEBVPNGroup. Щелкните вкладку WebVPN.

    webvpnasa13-13.gif

    Перейдите на вкладку NetBIOS Servers. Нажмите кнопку Add. Введите IP-адрес сервера WINS/NBNS. Нажмите кнопку ОК > OК. Подтвердите сохранение конфигурации, нажав Apply > Save >Yes.

    webvpnasa14-14.gif

Конфигурация

Данная конфигурация отражает изменения, произведенные ASDM для поддержки WebVPN:

Ciscoasa

ciscoasa#show running-config 
 Building configuration...
 
ASA Version 7.2(1) 
hostname ciscoasa
domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0 
interface Ethernet0/2
 nameif DMZ1
 security-level 50
 no ip address
interface Management0/0
 description For Mgt only
 shutdown
 nameif Mgt
 security-level 0
 ip address 10.10.10.1 255.255.255.0 
 management-only
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu DMZ1 1500
mtu Mgt 1500
icmp permit any outside
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.2.2.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
!

!--- конфигурации групповых политик
!

group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
 webvpn
  functions url-entry file-access file-entry file-browsing mapi port-forward filter 
   http-proxy auto-download citrix
username cisco password 53QNetqK.Kqqfshe encrypted
!

!--- конфигурации asdm
!

http server enable
http 10.2.2.0 255.255.255.0 inside
!
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!

!--- конфигурации туннельных групп
!

tunnel-group DefaultWEBVPNGroup general-attributes
 default-group-policy GroupPolicy1
tunnel-group DefaultWEBVPNGroup general-attributes
 nbns-server 10.2.2.2 master timeout 2 retry 2
!
telnet timeout 5
ssh 172.22.1.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
!

!--- конфигурации webvpn
!

webvpn
 enable outside
 url-list ServerList "WSHAWLAP" cifs://10.2.2.2 1
 url-list ServerList "FOCUS_SRV_1" https://10.2.2.3 2
 url-list ServerList "FOCUS_SRV_2" http://10.2.2.4 3
!
prompt hostname context 
 !
 end

Проверка

Используйте этот раздел для подтверждения правильности работы конфигурации.

Установите соединение с модулем ASA с внешнего клиента, чтобы проверить следующее:

https://внешний_IP-адрес_ASA

Клиент получает страницу Cisco WebVPN, предоставляющую защищенный доступ к корпоративной локальной сети. Клиент получает доступ только к ресурсам, перечисленным в созданной групповой политике.

Аутентификация: В целях тестирования на устройстве ASA было создано простое имя пользователя и пароль. Если предпочтительнее предоставить пользователям WebVPN возможность однократного и прозрачного входа в домен, перейдите по следующей ссылке:

Пример конфигурации WebVPN на базе ASA с однократным входом, с использованием ASDM и NTLMv1

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Примечание: Не прерывайте команду Copy File to Server и не переходите на другой экран, пока выполняется процесс копирования. Если операция прервана, файл может быть сохранен на сервере не полностью.

Примечание: Пользователи могут загружать новые файлы с сервера и на сервер с помощью клиента WEBVPN, но не могут перезаписывать файлы в файловой системе CIFS в сети WEB VPN с помощью команды Copy File to Server. При попытке заменить файл на сервере пользователь получит следующее сообщение: "Unable to add the file".

Процедуры устранения неполадок

Следуйте этим инструкциям для устранения неполадок конфигурации.

  1. Выберите в ASDM пункт Monitoring > Logging > Real-time Log Viewer > View. Если клиент подключен к ASA, обратите внимание на записи об установлении и завершении сеансов SSL и TLS в журналах реального времени (real-time log).

    webvpnasa9-9.gif

  2. Выберите в ASDM пункт Monitoring > VPN > VPN Statistics > Sessions. Найдите новый сеанс WebVPN. Убедитесь в том, что выбран фильтр WebVPN и нажмите кнопку Filter. Если возникла проблема, временно включите обход модуля ASA, чтобы убедиться, что клиенты имеют доступ к необходимым сетевым ресурсам. Повторно ознакомьтесь с действиями по настройке, описанными в данном документе.

    webvpnasa10-10.gif

Команды для устранения неполадок

Output Interpreter Tool (только для зарегистрированных заказчиков) (OIT) поддерживает несколько команд show. Используйте OIT для анализа выходных данных команд show.

Примечание: См. раздел Важные сведения о командах отладки перед использованием команд debug.

  • show webvpn ?. С WebVPN связано множество команд show. Они запускаются из командной строки и отображают статистику и другие данные. Подробные сведения об использовании команд show см. в разделе Проверка конфигурации WebVPN.

  • debug webvpn ?. Использование команд debug может неблагоприятно сказаться на производительности маршрутизатора. Подробные сведения об использовании команд debug см. в разделе Использование команд отладки WebVPN.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 70475