Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Пример конфигурации SSL VPN Client (SVC) на базе ASA с использованием ASDM

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (7 декабря 2006) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Схема сети
      Предварительные действия
      Условные обозначения
Настройка SSL VPN Client на базе ASA
      Шаг 1. Включение доступа к WebVPN для ASA
      Шаг 2. Установка и включение SSL VPN Client на ASA
      Шаг 3. Включение установки SVC на клиентах
      Шаг 4. Включение параметра смены ключа
      Результаты
Настройка конфигурации
      Шаг 1. Создание специальной групповой политики
      Шаг 2. Создание специальной туннельной группы
      Шаг 3. Создание пользователя и добавление его в специальную групповую политику
Проверка
      Аутентификация
      Конфигурация
      Команды
Устранение неполадок
      Установил ли клиент SVC защищенный сеанс связи с ASA?
      Успешно ли устанавливаются и завершаются защищенные сеансы?
      Советы
      Команды
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

Технология Secure Socket Layer (SSL) Virtual Private Network (VPN) поддерживает защищенное подключение из любого расположения к внутренней корпоративной сети с использованием одного из следующих методов:

  • Clientless SSL VPN (WebVPN)—Предоставляет удаленный клиент, которому требуется веб-обозреватель с поддержкой SSL для доступа к веб-серверам корпоративной локальной сети (LAN) по протоколу HTTP или HTTPS. Кроме того, Clientless SSL VPN обеспечивает доступ к файлам Windows через протокол CIFS. Пример реализации HTTP-доступа — клиент Outlook Web Access (OWA).

    Дополнительные сведения о Clientless SSL VPN см. в документе Пример конфигурации Clientless SSL VPN (WebVPN) на базе ASA.

  • Thin-Client SSL VPN (Пересылка портов)—Предлагает удаленный клиент, загружающий небольшой Java-аплет и обеспечивающий защищенный доступ к приложениям TCP, использующим статические номера портов. Поддерживается защищенный доступ к протоколам POP3, SMTP, IMAP, ssh и Telnet. Пользователю необходимы локальные административные привилегии, так как производятся изменения в файлах локальной машины. Этот вариант SSL VPN неприменим для приложений, использующих динамическое назначение портов, например для некоторых FTP-приложений.

    Дополнительные сведения о Thin-Client SSL VPN см. в документе Пример конфигурации Thin-Client SSL VPN (WebVPN) на базе ASA с использованием ASDM.

    Примечание: Протокол UDP не поддерживается.

  • SSL VPN Client (туннельный режим)—Загружает небольшой клиент на удаленную рабочую станцию и обеспечивает полный защищенный доступ к ресурсам внутренней корпоративной сети. Клиент SSL VPN Client (SVC) может загружаться на удаленный узел на постоянной основе или удаляться по завершении защищенного сеанса.

В данном документе описывается настройка SVC на модуле Adaptive Security Appliance (ASA) с использованием Adaptive Security Device Manager (ASDM). Получаемые в результате настройки командные строки приведены в разделе Результаты.

Предварительные условия

Требования

Перед внедрением этой конфигурации убедитесь в том, что выполняются следующие требования:

  • Имеются локальные административные привилегии на всех удаленных рабочих станциях

  • На удаленной рабочей станции поддерживаются элементы управления Java и ActiveX

  • Порт 443 доступен и не заблокирован на всем пути соединения

Используемые компоненты

Сведения, представленные в этом документе, относятся к следующим версиям программного и аппаратного обеспечения:

  • ПО Cisco Adaptive Security Appliance 7.2(1)

  • Cisco Adaptive Security Device Manager 5.2(1)

  • Cisco Adaptive Security Appliance 5510

  • Microsoft Windows XP Professional SP 2

Сведения, представленные в этом документе, были получены в лабораторной среде. Все упоминаемые устройства работали в конфигурации по умолчанию. При работе в действующей сети необходимо изучить все возможные последствия каждой команды. Все IP-адреса, использованные в конфигурации, выбраны в соответствии с документом RFC 1918 для лабораторной среды; эти IP-адреса не могут быть маршрутизированы в сети Интернет и предназначены только для тестовых целей.

Схема сети

В этом разделе описана конфигурация сети, используемая в данном документе.

Удаленный пользователь подключается к IP-адресу ASA с помощью веб-обозревателя с поддержкой SSL. После успешной аутентификации на клиентский компьютер загружается SVC, и пользователь получает полный доступ ко всем разрешенным ресурсам корпоративной сети в рамках шифрованного защищенного сеанса.

sslvpnclient_asa01.gif

Предварительные действия

Прежде чем начать, выполните следующие действия:

  • Сведения о том, как разрешить настройку ASA с помощью ASDM см. в документе Включение HTTPS-доступа для ASDM.

    Для доступа к приложению ASDM с управляющей станции воспользуйтесь веб-обозревателем с поддержкой SSL и введите IP-адрес модуля ASA. Пример. https://внутренний_ip_адрес, где внутренний_ip_адрес — это адрес модуля ASA. После загрузки ASDM можно начать настройку SVC.

  • Загрузите пакет SSL VPN Client (sslclient-win*.pkg) с веб-сайта Cisco Software Download (только для зарегистрированных заказчиков) на локальный жесткий диск или управляющую станцию, с которой производится доступ к приложению ASDM.

Нельзя включать WebVPN и ASDM на одном и том же интерфейсе ASA, если не изменены номера портов. Если необходимо использовать обе технологии на одном и том же порте (порт 443) одного устройства, включите ASDM на внутреннем интерфейсе, а WebVPN — на внешнем интерфейсе.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройка SSL VPN Client на базе ASA

Чтобы настроить the SSL VPN Client на базе ASA, выполните следующие действия:

  1. Включите доступ к WebVPN для ASA

  2. Установите и включите SSL VPN Client на ASA

  3. Включите установку SVC на клиентах

  4. Включите параметры нового ключа

Шаг 1. Включение доступа к WebVPN для ASA

Чтобы включить доступ к WebVPN для ASA, выполните следующие действия:

  1. В приложении ASDM нажмите Configuration, затем VPN.

  2. Разверните WebVPN и выберите WebVPN Access.

    sslvpnclient_asa02.gif

  3. Выберите интерфейсы, для которых необходимо включить WebVPN и нажмите Enable.

Шаг 2. Установка и включение SSL VPN Client на ASA

Чтобы установить и включить SSL VPN Client на ASA, выполните следующие действия:

  1. Нажмите Configuration, затем VPN.

  2. В навигационной панели разверните WebVPN и выберите SSL VPN Client.

    sslvpnclient_asa03.gif

  3. Нажмите Add.

    Отображается диалоговое окно "Add SSL VPN Client Image".

    sslvpnclient_asa04a.gif

  4. Нажмите Upload.

    Появляется диалоговое окно "Upload Image".

    sslvpnclient_asa04b.gif

  5. Нажмите Browse Local Files для выбора файла на локальном компьютере или Browse Flash для выбора файла в файловой системе флэш-диска.

  6. Найдите файл образа клиента и нажмите OK.

  7. Нажмите Upload File, а затем Close.

  8. После загрузки образа клиента во флэш память установите флажок Enable SSL VPN Client и нажмите Apply.

    sslvpnclient_asa05.gif

    Примечание: Если получено сообщение об ошибке, проверьте, включен ли доступ к WebVPN. В навигационной панели разверните WebVPN и выберите WebVPN Access. Выберите интерфейс, для которого необходимо настроить доступ и нажмите Enable.

    sslvpnclient_asa06.gif

  9. Нажмите Save, а затем Yes для подтверждения изменений.

Шаг 3. Включение установки SVC на клиентах

Чтобы разрешить установку SVC на клиентах, выполните следующие действия:

  1. В навигационной панели разверните IP Address Management и выберите IP Pools.

    sslvpnclient_asa07.gif

  2. Нажмите Add, введите значения в полях "Name", "Starting IP Address", "Ending IP Address" и "Subnet Mask". IP-адреса, введенные в полях "Starting IP Address" и "Ending IP Address" должны соответствовать подсетям внутренней сети.

    sslvpnclient_asa08.gif

  3. Нажмите OK, а затем Apply.

  4. Нажмите Save, а затем Yes для подтверждения изменений.

  5. В навигационной панели разверните IP Address Management и выберите Assignment.

  6. Установите флажок Use internal address pools, затем снимите флажки Use authentication server и Use DHCP.

    sslvpnclient_asa09.gif

  7. Нажмите Apply.

  8. Нажмите Save, а затем Yes для подтверждения изменений.

  9. В навигационной панели разверните General и выберите Tunnel Group.

  10. Выберите туннельную группу, которую необходимо изменить и нажмите Edit.

    sslvpnclient_asa10.gif

  11. Щелкните вкладку Client Address Assignment и выберите новый пул IP-адресов в списке "Available Pools".

    sslvpnclient_asa11.gif

  12. Нажмите Add, а затем OK.

  13. В окне приложения ASDM нажмите Apply.

  14. Нажмите Save, а затем Yes для подтверждения изменений.

Шаг 4. Включение параметра смены ключа

Чтобы включить параметры смены ключа, выполните следующие действия.

  1. В навигационной панели разверните General и выберите Group Policy.

  2. Выберите политику, которую необходимо применить к этой группе клиентов и нажмите Edit.

    sslvpnclient_asa12.gif

  3. На вкладке "General" снимите флажок Tunneling Protocols Inherit и установите флажок WebVPN.

    sslvpnclient_asa13.gif

  4. Щелкните вкладку WebVPN, затем вкладку SSL VPN Client и выберите следующие параметры:

    1. В разделе "Use SSL VPN Client" снимите флажок Inherit и установите переключатель в положение Optional.

      Такой выбор позволит удаленному клиенту самому решать, следует ли загружать SVC. Выбор Always гарантирует, что SVC будет загружаться на удаленную рабочую станцию во время каждого подключения SSL VPN.

    2. В разделе "Keep Installer on Client System" снимите флажок Inherit и установите переключатель в положение Yes.

      Это позволит ПО SVC оставаться на клиентской машине. Таким образом, модулю ASA не потребуется загружать ПО SVC на клиент во время каждого установления соединения. Такой выбор оптимален для удаленных пользователей, которые часто обращаются к корпоративной сети.

    3. В разделе "Renegotiation Interval" снимите флажок Inherit, снимите флажок Unlimited и введите время до смены ключа в минутах.

      Задание лимита времени, в течение которого действителен ключ, повышает безопасность.

    4. В разделе "Renegotiation Method" снимите флажок Inherit и установите переключатель в положение SSL. При повторном согласовании может использоваться имеющийся туннель SSL или новый туннель, созданный специально для повторного согласования.

      Атрибуты SSL VPN Client должны быть настроены, как показано на рисунке:

      sslvpnclient_asa14.gif

  5. Нажмите OK, а затем Apply.

  6. Нажмите Save, а затем Yes для подтверждения изменений.

Результаты

ASDM создает следующие конфигурации в командной строке:

ciscoasa

ciscoasa(config)#show run
ASA Version 7.2(1) 
!
hostname ciscoasa
domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0 
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
no pager
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu DMZ1 1500
mtu Mgt 1500
ip local pool CorporateNet 10.2.2.50-10.2.2.60 mask 255.255.255.0
icmp permit any outside
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0 0
route outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
!

!--- инструкции для групповой политики

group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn

!--- включение SVC для WebVPN

 webvpn
  svc enable
  svc keep-installer installed
  svc rekey time 30
  svc rekey method ssl
!
username cisco password 53QNetqK.Kqqfshe encrypted privilege 15
!
http server enable
http 10.2.2.0 255.255.255.0 inside
!
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

!--- туннельная группа и групповая политика используют значения по умолчанию

tunnel-group DefaultWEBVPNGroup general-attributes
 address-pool CorporateNet
 default-group-policy GroupPolicy1
!
no vpn-addr-assign aaa
no vpn-addr-assign aaa
!
telnet timeout 5
ssh 172.22.1.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global

!--- включение webvpn и выбор клиента SVC

webvpn
 enable outside
 svc image disk0:/sslclient-win-1.1.1.164.pkg 1
 svc enable

!--- создание списка доступа к ресурсам

 url-list ServerList "E-Commerce Server1" http://10.2.2.2 1
 url-list ServerList "BrowseServer" cifs://10.2.2.2 2
 tunnel-group-list enable

prompt hostname context 
Cryptochecksum:80a1890a95580dca11e3aee200173f5f
: end

Настройка конфигурации

Процедуры, описанные в разделе Настройка SSL VPN Client на базе ASA, используют имена ASA по умолчанию для групповой политики (GroupPolicy1) и туннельной группы (DefaultWebVPNGroup), как показано на рисунке:

sslvpnclient_asa15.gif

Эта процедура описывает создание собственных групповых политик и туннельных групп и связывание их в соответствии с политикой безопасности организации.

Чтобы настроить конфигурацию, выполните следующие действия:

  1. Создайте специальную групповую политику

  2. Создайте специальную туннельную группу

  3. Создайте пользователя и добавьте его в специальную групповую политику

Шаг 1. Создание специальной групповой политики

Чтобы создать специальную групповую политику, выполните следующие действия:

  1. Нажмите Configuration, затем VPN.

  2. Разверните General и выберите Group Policy.

  3. Нажмите Add и выберите Internal Group Policy.

  4. В поле "Name" введите имя групповой политики.

    В данном примере имя групповой политики было изменено на SalesGroupPolicy.

    sslvpnclient_asa16.gif

  5. На вкладке "General" снимите флажок Tunneling Protocols Inherit и установите флажок WebVPN.

  6. Щелкните вкладку WebVPN, а затем вкладку SSLVPN Client.

    В этом диалоговом окне можно также настроить режим работы SSL VPN Client.

    sslvpnclient_asa17.gif

  7. Нажмите OK, а затем Apply.

  8. Нажмите Save, а затем Yes для подтверждения изменений.

Шаг 2. Создание специальной туннельной группы

Чтобы создать специальную туннельную группу, выполните следующие действия:

  1. Нажмите Configuration, затем VPN.

  2. Разверните General и выберите Tunnel Group.

    sslvpnclient_asa18.gif

  3. Нажмите Add и выберите WebVPN Access.

  4. В поле "Name" введите имя туннельной группы.

    В этом примере имя туннельной группы было изменено на SalesForceGroup.

  5. Нажмите стрелку раскрывающегося списка Group Policy и выберите созданную групповую политику.

    Теперь групповая политика связана с туннельной группой.

    sslvpnclient_asa19.gif

  6. Щелкните вкладку Client Address Assignment и введите информацию о сервере DHCP или выберите созданный локально IP-пул.

    sslvpnclient_asa20.gif

  7. Нажмите OK, а затем Apply.

  8. Нажмите Save, а затем Yes для подтверждения изменений.

Шаг 3. Создание пользователя и добавление его в специальную групповую политику

Чтобы создать пользователя и добавить его в специальную групповую политику, выполните следующие действия:

  1. Нажмите Configuration, затем VPN.

  2. Разверните General и выберите Users.

    sslvpnclient_asa21.gif

  3. Нажмите Add и введите имя и пароль пользователя.

    sslvpnclient_asa22.gif

  4. Щелкните вкладку VPN Policy. Убедитесь, что созданная групповая политика отображается в поле "Group Policy".

    Пользователь наследует все характеристики новой групповой политики.

    sslvpnclient_asa23.gif

  5. Нажмите OK, а затем Apply.

  6. Нажмите Save, а затем Yes для подтверждения изменений.

Проверка

Используйте этот раздел для подтверждения правильности работы конфигурации.

Аутентификация

Аутентификация клиентов SSL VPN выполняется с помощью одного из следующих методов:

  • Сервер Cisco Secure ACS (Radius)

  • Домен NT

  • Active Directory

  • Одноразовые пароли

  • Цифровые сертификаты

  • Смарт-карты

  • Локальная аутентификация AAA

В данной документации используется локальная учетная запись, созданная в модуле ASA.

Конфигурация

Для подключения к ASA с помощью удаленного клиента введите https://внешний_адрес_ASA в адресной строке веб-обозревателя с поддержкой SSL. Внешний_адрес_ASA — это внешний IP-адрес модуля ASA. Если настройка выполнена успешно, появляется окно "Cisco Systems SSL VPN Client".

sslvpnclient_asa24.gif

Примечание: Окно "Cisco Systems SSL VPN Client" появляется только после принятия сертификата ASA и загрузки SSL VPN Client с удаленной станции. Если окно не появилось, проверьте, не свернуто ли оно.

Команды

С WebVPN связано несколько команд show. Эти команды можно ввести в интерфейсе командной строке (CLI) для отображения статистики и другой информации. Подробные сведения о командах show см. документ Проверка конфигурации WebVPN.

Примечание:  Output Interpreter Tool (только для зарегистрированных заказчиков) (OIT) поддерживает некоторые команды show. Используйте OIT для анализа выходных данных команд show.

Устранение неполадок

В данном разделе описывается процесс устранения неполадок конфигурации.

Установил ли клиент SVC защищенный сеанс связи с ASA?

Чтобы проверить, установлен ли защищенный сеанс связи между SSL VPN Client и ASA:

  1. Нажмите Monitoring.

  2. Разверните VPN Statistics и выберите Sessions.

  3. В раскрывающемся меню "Filter By" выберите SSL VPN Client и нажмите Filter.

    Конфигурация должна отобразиться в списке сеансов.

    sslvpnclient_asa25.gif

Успешно ли устанавливаются и завершаются защищенные сеансы?

Чтобы убедиться, что сеансы создаются и завершаются успешно, просмотрите журналы реального времени. Чтобы просмотреть журналы сеансов, выполните следующие действия:

  1. Нажмите Monitoring, а затем Logging.

  2. Выберите Real-time Log Viewer или Log Buffer, затем нажмите View.

    sslvpnclient_asa26.gif

    Примечание: Для отображения только сеансов с указанного адреса выполните фильтрацию по адресам.

Советы

  • Убедитесь, что маршрутизация работает корректно для пула IP-адресов, назначенных удаленным клиентам. Пул IP-адресов должен располагаться в подсети имеющейся локальной сети. Для назначения IP-адресов можно также использовать сервер DHCP или сервер аутентификации.

  • ASA создает туннельную группу по умолчанию (DefaultWebVPNGroup) и групповую политику по умолчанию (GroupPolicy1). При создании новых групп и политики убедитесь, что применяемые значения находятся в согласии с политиками безопасности сети.

  • Если необходимо разрешить просмотр файлов Windows через CIFS, укажите сервер WINS (NBNS) в разделе Configuration > VPN > WebVPN > Servers and URLs. Эта технология использует выделение CIFS.

Команды

С WebVPN связано несколько команд debug. Дополнительные сведения об этих командах см. в документе Использование команд отладки WebVPN.

Примечание: Использование команд debug может неблагоприятно сказаться на производительности модуля Cisco. Перед использованием команд debug см. документ Важные сведения о командах отладки.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 70511