Guide de déploiement DAP (Dynamic Access Policies) ASA 8.x

Introduction

Les passerelles de réseau privé virtuel (VPN) fonctionnent dans des environnements dynamiques. Plusieurs variables peuvent affecter chaque connexion VPN ; par exemple, les configurations intranet qui changent fréquemment, les différents rôles que chaque utilisateur peut occuper au sein d'une organisation et les connexions à partir de sites d'accès distant avec des configurations et des niveaux de sécurité différents. La tâche consistant à autoriser les utilisateurs est beaucoup plus compliquée dans un environnement VPN dynamique que dans un réseau avec une configuration statique.

Les politiques d'accès dynamique (DAP), une nouvelle fonctionnalité introduite dans le code version 8.0 du dispositif de sécurité adaptatif (ASA), vous permettent de configurer l'autorisation qui répond à la dynamique des environnements VPN. Vous créez une stratégie d'accès dynamique en définissant un ensemble d'attributs de contrôle d'accès que vous associez à un tunnel utilisateur ou une session spécifique. Ces attributs traitent des problèmes d'appartenance à plusieurs groupes et de sécurité des points d'extrémité.

Par exemple, l'appliance de sécurité accorde l'accès à un utilisateur particulier pour une session donnée en fonction des stratégies que vous définissez. Il génère un DAP lors de l'authentification des utilisateurs en sélectionnant et/ou en agrégeant des attributs à partir d'un ou plusieurs enregistrements DAP. Il sélectionne ces enregistrements DAP en fonction des informations de sécurité des terminaux du périphérique distant et/ou des informations d'autorisation AAA pour l'utilisateur authentifié. Il applique ensuite l'enregistrement DAP au tunnel utilisateur ou à la session.

Remarque : Le fichier dap.xml, qui contient les attributs de sélection des stratégies DAP, est stocké dans la mémoire Flash de l'ASA. Bien que vous puissiez exporter le fichier dap.xml hors de la boîte, le modifier (si vous connaissez la syntaxe xml) et le réimporter, soyez très prudent, car vous pouvez faire arrêter le traitement des enregistrements DAP par ASDM si vous avez mal configuré quelque chose. Il n'existe aucune interface de ligne de commande pour manipuler cette partie de la configuration.

Remarque : si vous essayez de configurer les paramètres d'accès aux enregistrements de stratégie d'accès dynamique via l'interface de ligne de commande, DAP peut cesser de fonctionner, même si ASDM gère correctement les mêmes paramètres. Évitez la CLI et utilisez toujours ASDM pour gérer les politiques DAP.

Attributs DAP et AAA

DAP complète les services AAA et fournit un ensemble limité d'attributs d'autorisation qui peuvent remplacer les attributs qu'AAA fournit. L'appliance de sécurité peut sélectionner des enregistrements DAP en fonction des informations d'autorisation AAA pour l'utilisateur. L'appliance de sécurité peut sélectionner plusieurs enregistrements DAP en fonction de ces informations, qu'elle agrège ensuite pour attribuer des attributs d'autorisation DAP.

Vous pouvez spécifier des attributs AAA à partir de la hiérarchie d'attributs AAA de Cisco ou de l'ensemble complet d'attributs de réponse que l'appliance de sécurité reçoit d'un serveur RADIUS ou LDAP, comme illustré à la Figure 1.

Figure 1. GUI d'attribut AAA DAP

Attributs de sécurité DAP et de terminaux

Outre les attributs AAA, l'appliance de sécurité peut également obtenir des attributs de sécurité de point d'extrémité en utilisant les méthodes d'évaluation de la position que vous configurez. Il s'agit notamment de l'analyse de base de l'hôte, de Secure Desktop, de l'évaluation standard/avancée des terminaux et de NAC, comme illustré à la Figure 2. Les attributs d'évaluation des points de terminaison sont obtenus et envoyés au dispositif de sécurité avant l'authentification de l'utilisateur. Cependant, les attributs AAA, y compris l'enregistrement DAP global, sont validés lors de l'authentification des utilisateurs.

Figure 2. Interface utilisateur graphique d'attribut de point de terminaison

Stratégie d'accès dynamique par défaut

Avant l'introduction et la mise en oeuvre du DAP, les paires d'attributs/valeurs de stratégie d'accès associées à un tunnel utilisateur ou une session spécifique ont été définies localement sur l'ASA, c'est-à-dire (groupes de tunnels et stratégies de groupe) ou mappées via des serveurs AAA externes. Cependant, dans la version v8.0, DAP peut être configuré pour compléter ou remplacer les politiques d'accès local et externe.

Le DAP est toujours appliqué par défaut. Cependant, pour les administrateurs qui préfèrent la méthode d'application des stratégies héritée, par exemple, l'application du contrôle d'accès via les groupes de tunnels, les stratégies de groupe et AAA sans l'application explicite du DAP peut toujours obtenir ce comportement. Pour les comportements hérités, aucune modification de configuration de la fonction DAP, y compris l'enregistrement DAP par défaut, DfltAccessPolicy, n'est requise, comme illustré à la Figure 3.

Figure 3. Stratégie d'accès dynamique par défaut

Néanmoins, si l'une des valeurs par défaut d'un enregistrement DAP est modifiée, par exemple, Action : dans DfltAccessPolicy est modifié de sa valeur par défaut à Terminate et les enregistrements DAP supplémentaires ne sont pas configurés, les utilisateurs authentifiés correspondront, par défaut, à l'enregistrement DAP DfltAccessPolicy et se verront refuser l'accès VPN.

Par conséquent, un ou plusieurs enregistrements DAP doivent être créés et configurés pour autoriser la connectivité VPN et définir les ressources réseau auxquelles un utilisateur authentifié est autorisé à accéder. Ainsi, si configuré, le DAP aura la priorité sur l'application des politiques héritées.

Configuration des politiques d'accès dynamique

Lors de l'utilisation du DAP pour définir les ressources réseau auxquelles un utilisateur a accès, de nombreux paramètres doivent être pris en compte. Par exemple, en déterminant si le point de terminaison de connexion provient d'un environnement géré, non géré ou non approuvé, en déterminant les critères de sélection nécessaires pour identifier le point de terminaison de connexion et en fonction de l'évaluation du point de terminaison et/ou des informations d'identification AAA, les ressources réseau auxquelles l'utilisateur de connexion sera autorisé à accéder. Pour ce faire, vous devez tout d'abord vous familiariser avec les fonctions et les fonctions du DAP, comme illustré à la Figure 4.

Figure 4. Stratégie d'accès dynamique

Lors de la configuration d'un enregistrement DAP, deux composants principaux doivent être pris en compte :

• Critères de sélection, y compris les options avancées

• Attributs de stratégie d'accès

Dans la section Critères de sélection, un administrateur configure les attributs AAA et de point de terminaison utilisés pour sélectionner un enregistrement DAP spécifique. Un enregistrement DAP est utilisé lorsque les attributs d'autorisation d'un utilisateur correspondent aux critères d'attribut AAA et que chaque attribut de point de terminaison a été satisfait.

Par exemple, si le type d'attribut AAA : LDAP (Active Directory) est sélectionné, la chaîne Nom d'attribut est memberOf et la chaîne Valeur est Contractors, comme illustré à la Figure 5a, l'utilisateur d'authentification doit être membre du groupe Contractors Active Directory pour correspondre aux critères d'attribut AAA.

En plus de satisfaire aux critères d'attribut AAA, l'utilisateur d'authentification devra également satisfaire aux critères d'attribut de point de terminaison. Par exemple, si l'administrateur a configuré Cisco Secure Desktop (CSD) pour déterminer la position du point de terminaison de connexion et en fonction de cette évaluation de position, le point de terminaison a été placé dans l'emplacement CSD Non géré, l'administrateur peut alors utiliser ces informations d'évaluation comme critères de sélection pour l'attribut de point de terminaison illustré à la Figure 5b.

Figure 5a. Critères d'attribut AAA

Figure 5b. Critères d'attribut de point de terminaison

Ainsi, pour correspondre à l'enregistrement DAP illustré à la Figure 6, l'utilisateur d'authentification doit être membre du groupe Active Directory des fournisseurs et son point de terminaison de connexion doit satisfaire à la valeur de stratégie CSD “ Inchangé, ” être affecté à l'enregistrement DAP.

Figure 6. Les critères d'attribut AAA et de point de terminaison correspondent

Les attributs AAA et Endpoint peuvent être créés à l'aide des tableaux décrits à la Figure 6 et/ou en développant l'option Avancé pour spécifier une expression logique comme illustré à la Figure 7. Actuellement, l'expression logique est construite avec des fonctions EVAL, par exemple EVAL (endpoint.av.McAfeeAV.existe, EQ, »true », »string ») et EVAL (endpoint.av.McAfeeAV.description, »EQ », « McAfee VirusScan Enterprise », »string »), qui représentent les opérations logiques de sélection AAA et/ou de point de terminaison.

Les expressions logiques sont utiles pour ajouter des critères de sélection autres que ce qui est possible dans les zones d'attribut AAA et de point de terminaison ci-dessus. Par exemple, bien que vous puissiez configurer les appliances de sécurité pour qu'elles utilisent des attributs AAA qui répondent à tous les critères spécifiés, tous ou aucun, les attributs de point de terminaison sont cumulatifs et doivent tous être satisfaits. Pour permettre à l'appliance de sécurité d'utiliser un attribut de point d'extrémité ou un autre, vous devez créer des expressions logiques appropriées sous la section Avancé de l'enregistrement DAP.

Figure 7. Interface utilisateur graphique d'expression logique pour la création d'attributs avancés

La section Access Policy Attributes (Attributs de stratégie d'accès), comme illustré à la Figure 8, indique où un administrateur configurerait les attributs d'accès VPN pour un enregistrement DAP spécifique. Lorsque les attributs d'autorisation d'un utilisateur correspondent aux critères AAA, Endpoint et/ou Logical Expression ; les valeurs d'attribut de stratégie d'accès configurées dans cette section seront appliquées. Les valeurs d'attribut spécifiées ici remplaceront les valeurs obtenues à partir du système AAA, y compris celles des enregistrements d'utilisateur, de groupe, de tunnel et de groupe par défaut existants.

Un enregistrement DAP a un ensemble limité de valeurs d'attribut qui peuvent être configurées. Ces valeurs se situent sous les onglets suivants, comme illustré dans les figures 8 à 14 :

Figure 8. Action : spécifie le traitement spécial à appliquer à une connexion ou une session spécifique.

• Continuer : (par défaut) cliquez sur ce bouton pour appliquer les attributs de stratégie d'accès à la session.

• Terminate : cliquez sur ce bouton pour mettre fin à la session.

• User Message : saisissez un message texte à afficher sur la page du portail lorsque cet enregistrement DAP est sélectionné. 128 caractères maximum. Un message utilisateur s'affiche sous la forme d'un orb jaune. Lorsqu'un utilisateur se connecte, il clignote trois fois pour attirer l'attention, puis il est toujours actif. Si plusieurs enregistrements DAP sont sélectionnés et que chacun d'eux a un message utilisateur, tous les messages utilisateur s'affichent. En outre, vous pouvez inclure dans ces messages des URL ou d'autres textes incorporés, qui exigent que vous utilisiez les balises HTML correctes.

Figure 9. Onglet Network ACL Filters : permet de sélectionner et de configurer des listes de contrôle d'accès réseau à appliquer à cet enregistrement DAP. Une liste de contrôle d’accès pour DAP peut contenir des règles d’autorisation ou de refus, mais pas les deux. Si une liste de contrôle d'accès contient des règles d'autorisation et de refus, l'appliance de sécurité rejette la configuration de la liste de contrôle d'accès.

• Liste déroulante ACL réseau : sélectionnez les ACL réseau déjà configurées à ajouter à cet enregistrement DAP. Seules les listes de contrôle d’accès ayant toutes les règles d’autorisation ou de refus sont éligibles. Il s’agit des seules listes de contrôle d’accès qui s’affichent ici.

• Manage : cliquez sur cette option pour ajouter, modifier et supprimer des listes de contrôle d'accès réseau.

• Liste ACL réseau : affiche les ACL réseau pour cet enregistrement DAP.

• Add : cliquez sur cette option pour ajouter la liste de contrôle d'accès réseau sélectionnée dans la liste déroulante de droite.

• Delete : cliquez sur cette option pour supprimer une liste de contrôle d'accès réseau mise en surbrillance de la liste des listes de contrôle d'accès réseau. Vous ne pouvez pas supprimer une liste de contrôle d'accès si elle est affectée à un DAP ou à un autre enregistrement.

Figure 10. Onglet Filtres ACL de type Web : permet de sélectionner et de configurer des ACL de type Web à appliquer à cet enregistrement DAP. Une liste de contrôle d’accès pour DAP peut contenir uniquement des règles d’autorisation ou de refus. Si une liste de contrôle d'accès contient des règles d'autorisation et de refus, l'appliance de sécurité rejette la configuration de la liste de contrôle d'accès.

• Zone de liste déroulante ACL de type Web : sélectionnez les ACL de type Web déjà configurées à ajouter à cet enregistrement DAP. Seules les listes de contrôle d’accès ayant toutes les règles d’autorisation ou de refus sont éligibles. Il s’agit des seules listes de contrôle d’accès qui s’affichent ici.

• Gérer.. : cliquez pour ajouter, modifier et supprimer des listes de contrôle d'accès de type Web.

• Liste ACL de type Web : affiche les ACL de type Web pour cet enregistrement DAP.

• Add : cliquez sur cette option pour ajouter la liste de contrôle d'accès de type Web sélectionnée dans la liste déroulante de droite.

• Delete : cliquez sur cette option pour supprimer une liste de contrôle d'accès de type Web de la liste de listes de contrôle d'accès de type Web. Vous ne pouvez pas supprimer une liste de contrôle d'accès si elle est affectée à un DAP ou à un autre enregistrement.

Figure 11. Onglet Fonctions : permet de configurer l'entrée et la navigation du serveur de fichiers, le proxy HTTP et l'entrée d'URL pour l'enregistrement DAP.

• File Server Browsing : active ou désactive la navigation CIFS pour les serveurs de fichiers ou les fonctions de partage.

• File Server Entry : permet ou refuse à un utilisateur de saisir des noms et des chemins de serveur de fichiers sur la page du portail. Lorsque cette option est activée, place le tiroir d'entrée du serveur de fichiers sur la page du portail. Les utilisateurs peuvent saisir directement les noms de chemin des fichiers Windows. Ils peuvent télécharger, modifier, supprimer, renommer et déplacer des fichiers. Ils peuvent également ajouter des fichiers et des dossiers. Les partages doivent également être configurés pour l'accès utilisateur sur les serveurs Microsoft Windows appropriés. Il se peut que les utilisateurs doivent être authentifiés avant d'accéder aux fichiers, selon les besoins du réseau.

• HTTP Proxy : affecte le transfert d'un proxy d'applet HTTP au client. Le proxy est utile pour les technologies qui interfèrent avec la transformation de contenu appropriée, telles que Java, ActiveX et Flash. Il contourne le processus de gestion/réécriture tout en assurant l'utilisation continue de l'appliance de sécurité. Le proxy transféré modifie automatiquement l'ancienne configuration de proxy du navigateur et redirige toutes les requêtes HTTP et HTTPS vers la nouvelle configuration de proxy. Il prend en charge pratiquement toutes les technologies côté client, notamment HTML, CSS, JavaScript, VBScript, ActiveX et Java. Le seul navigateur pris en charge est Microsoft Internet Explorer.

• URL Entry : autorise ou empêche un utilisateur de saisir des URL HTTP/HTTPS sur la page du portail. Si cette fonctionnalité est activée, les utilisateurs peuvent saisir des adresses Web dans la zone de saisie d'URL et utiliser un VPN SSL sans client pour accéder à ces sites Web.

• Non modifié : (par défaut) cliquez sur cette option pour utiliser les valeurs de la stratégie de groupe qui s'applique à cette session.

• Enable/Disable : cliquez sur cette option pour activer ou désactiver la fonctionnalité.

• Démarrage automatique : cliquez sur cette option pour activer le proxy HTTP et pour que l'enregistrement DAP démarre automatiquement les applets associées à ces fonctions.

Figure 12. Onglet Listes de transfert de port : vous permet de sélectionner et de configurer des listes de transfert de port pour les sessions utilisateur.

• Port Forwarding : sélectionnez une option pour les listes de transfert de port qui s'appliquent à cet enregistrement DAP. Les autres attributs de ce champ sont activés uniquement lorsque vous définissez Port Forwarding sur Enable ou Auto-start.

• Non modifié : cliquez sur cette option pour utiliser les valeurs de la stratégie de groupe qui s'applique à cette session.

• Enable/Disable : cliquez sur cette option pour activer ou désactiver le transfert de port.

• Démarrage automatique : cliquez sur cette option pour activer le transfert de port et pour que l'enregistrement DAP démarre automatiquement les applets de transfert de port associées à ses listes de transfert de port.

• Liste déroulante Port Forwarding List : sélectionnez les listes de transfert de port déjà configurées à ajouter à l'enregistrement DAP.

• New : cliquez sur cette option pour configurer de nouvelles listes de transfert de port.

• Port Forwarding Lists : affiche la liste de transfert de port pour l'enregistrement DAP.

• Add : cliquez sur cette option pour ajouter la liste de transfert de port sélectionnée dans la liste déroulante à la liste de transfert de port de droite.

• Supprimer : cliquez sur cette option pour supprimer la liste de transfert de port sélectionnée de la liste de transfert de port. Vous ne pouvez pas supprimer une liste de contrôle d'accès si elle est affectée à un DAP ou à un autre enregistrement.

Figure 13. Onglet Signets : permet de sélectionner et de configurer des signets/listes d'URL pour les sessions utilisateur.

• Enable bookmarks : cliquez pour activer. lorsque cette case n'est pas sélectionnée, aucune liste de signets ne s'affiche sur la page du portail pour la connexion

• Manage : cliquez sur cette option pour ajouter, importer, exporter et supprimer des listes de signets.

• Listes de signets (liste déroulante) : affiche les listes de signets de l'enregistrement DAP.

• Ajouter : cliquez sur cette option pour ajouter la liste de signets sélectionnée dans la zone de liste déroulante à droite.

• Supprimer : cliquez sur cette option pour supprimer la liste de signets sélectionnée de la zone de liste de signets. Vous ne pouvez pas supprimer une liste de signets de l'appliance de sécurité à moins de la supprimer d'abord des enregistrements DAP.

Figure 14. Onglet Méthode : permet de configurer le type d'accès distant autorisé.

• Inchangé : poursuivez avec la méthode d'accès à distance actuelle définie dans la stratégie de groupe pour la session.

• AnyConnect Client : connexion à l'aide du client VPN Cisco AnyConnect.

• Web-Portal : connexion avec un VPN sans client.

• Portail Web par défaut : connexion via un client sans client ou AnyConnect, avec une valeur par défaut sans client.

• Le client AnyConnect par défaut : se connecter via un client sans client ou AnyConnect, avec une valeur par défaut AnyConnect.

Comme mentionné précédemment, un enregistrement DAP a un ensemble limité de valeurs d'attribut par défaut, mais si elles sont modifiées, elles auront la priorité sur les enregistrements AAA, utilisateur, groupe, groupe de tunnels et groupe par défaut existants. Si des valeurs d'attribut supplémentaires en dehors de la portée du DAP sont requises, par exemple, les listes de tunnellisation fractionnée, les bannières, les tunnels intelligents, les personnalisations du portail, etc., devront être appliquées via AAA, l'utilisateur, le groupe, le groupe de tunnels et les enregistrements de groupe par défaut. Dans ce cas, ces valeurs d'attribut spécifiques compléteront le DAP et ne seront pas écrasantes. Ainsi, l'utilisateur obtiendra un ensemble cumulé de valeurs d'attribut dans tous les enregistrements.

Agrégation de plusieurs stratégies d'accès dynamique

Un administrateur peut configurer plusieurs enregistrements DAP pour traiter de nombreuses variables. Par conséquent, il est possible pour un utilisateur authentifiant de satisfaire aux critères d'attribut AAA et de point de terminaison de plusieurs enregistrements DAP. Par conséquent, les attributs de stratégie d'accès seront cohérents ou conflictuels dans l'ensemble de ces politiques. Dans ce cas, l'utilisateur autorisé obtiendra le résultat cumulé sur tous les enregistrements DAP correspondants.

Cela inclut également des valeurs d'attribut uniques appliquées via l'authentification, l'autorisation, l'utilisateur, le groupe, le groupe de tunnels et les enregistrements de groupe par défaut. Le résultat cumulé des attributs de stratégie d'accès crée la stratégie d'accès dynamique. Des exemples d'attributs combinés de stratégie d'accès sont répertoriés dans les tableaux ci-dessous. Ces exemples illustrent les résultats de trois enregistrements combinés de DAP.

L'attribut action présenté dans le tableau 1 a une valeur Terminer ou Continuer. La valeur d'attribut agrégée sera Terminé si la valeur Terminer est configurée dans l'un des enregistrements DAP sélectionnés et Continuer si la valeur Continuer est configurée dans tous les enregistrements DAP sélectionnés.

Tableau 1 . Attribut d'action

Nom de l'attribut	DAP n°1	DAP n°2	DAP n°3	DAP
Action (exemple 1)	continuer	continuer	continuer	continuer
Action (exemple 2)	Terminer	continuer	continuer	terminer

L'attribut user-message présenté dans le tableau 2 contient une valeur de chaîne. La valeur d'attribut agrégée sera une chaîne séparée par un flux de ligne (valeur hexadécimale 0x0A) créée en liant les valeurs d'attribut des enregistrements DAP sélectionnés. L'ordre des valeurs d'attribut dans la chaîne combinée est insignifiant.

Tableau 2 . Attribut de message utilisateur

Nom de l'attribut	DAP n°1	DAP n°2	DAP n°3	DAP
message utilisateur	le rapide	renard brun	Saute sur	le renard brun <LF>saute par-dessus

Les attributs d'activation de fonctionnalité sans client (Fonctions) présentés dans le tableau 3 contiennent des valeurs qui sont Démarrage automatique, Activer ou Désactiver. La valeur d'attribut agrégée sera Démarrage automatique si la valeur Démarrage automatique est configurée dans l'un des enregistrements DAP sélectionnés.

La valeur de l'attribut agrégé est Activer si aucune valeur de démarrage automatique n'est configurée dans les enregistrements DAP sélectionnés, et la valeur Activer est configurée dans au moins un des enregistrements DAP sélectionnés.

La valeur de l'attribut agrégé sera Désactivée si aucune valeur de démarrage automatique ou d'activation n'est configurée dans les enregistrements DAP sélectionnés, et la valeur de ” de désactivation “ est configurée dans au moins un des enregistrements DAP sélectionnés.

Tableau 3 . Attributs d'activation de fonctionnalité sans client (fonctions)

Nom de l'attribut	DAP n°1	DAP n°2	DAP n°3	DAP
port-forward	activer	désactiver		activer
navigation de fichiers	désactiver	activer	désactiver	activer
entrée de fichier			désactiver	désactiver
http-proxy	désactiver	démarrage automatique	désactiver	démarrage automatique
entrée d'url	désactiver		activer	activer

Les attributs url-list et port-forward présentés dans le tableau 4 contiennent une valeur qui est soit une chaîne soit une chaîne séparée par des virgules. La valeur d'attribut agrégée sera une chaîne séparée par des virgules créée en liant les valeurs d'attribut des enregistrements DAP sélectionnés. Toute valeur d'attribut dupliquée dans la chaîne combinée sera supprimée. L'ordre des valeurs des attributs dans la chaîne combinée est insignifiant.

Tableau 4 . Attribut Liste d'URL et Liste de transfert de port

Nom de l'attribut	DAP n°1	DAP n°3	DAP n°3	DAP
url-list	a	b, c	a	a, b, c
port-forward		d, e	e, f	d, e, f

Les attributs Access Method spécifient la méthode d'accès client autorisée pour les connexions VPN SSL. La méthode d'accès client peut être un accès AnyConnect Client uniquement, un accès Web-Portal uniquement, un accès AnyConnect Client ou un accès Web-Portal avec un accès Web-Portal par défaut ou un accès AnyConnect Client ou Web-Portal avec un accès AnyConnect Client par défaut. La valeur de l'attribut agrégé est résumée dans le tableau 5.

Tableau 5 . Attributs de méthode d'accès

Valeurs d'attribut sélectionnées				Résultat de l'agrégation
Client AnyConnect	Portail Web	Portail Web par défaut	Client AnyConnect par défaut
			X	Client AnyConnect par défaut
		X		Portail Web par défaut
		X	X	Portail Web par défaut
	X			Portail Web
	X		X	Client AnyConnect par défaut
	X	X		Portail Web par défaut
	X	X	X	Portail Web par défaut
X				Client AnyConnect
X			X	Client AnyConnect par défaut
X		X		Portail Web par défaut
X		X	X	Portail Web par défaut
X	X			Portail Web par défaut
X	X		X	Client AnyConnect par défaut
X	X	X		Portail Web par défaut
X	X	X	X	Portail Web par défaut

Lors de l'agrégation des attributs de filtre de liste de contrôle d'accès réseau (pare-feu) et de type Web (sans client), la priorité DAP et la liste de contrôle d'accès DAP sont deux composants principaux à prendre en compte.

L'attribut Priority (Priorité) comme illustré à la Figure 15 n'est pas agrégé. L'appliance de sécurité utilise cette valeur pour séquencer logiquement les listes d'accès lors de l'agrégation des listes de contrôle d'accès réseau et de type Web à partir de plusieurs enregistrements DAP. L'appliance de sécurité commande les enregistrements du numéro de priorité le plus élevé au numéro de priorité le plus bas, avec le numéro le plus bas au bas du tableau. Par exemple, un enregistrement DAP avec une valeur de 4 a une priorité plus élevée qu'un enregistrement avec une valeur de 2. Vous ne pouvez pas les trier manuellement.

Figure 15. Priority : affiche la priorité de l'enregistrement DAP.

• Policy Name : affiche le nom de l'enregistrement DAP.

• Description : décrit l'objectif de l'enregistrement DAP.

L'attribut ACL DAP ne prend en charge que les listes d'accès qui sont conformes à un modèle de liste de contrôle d'accès ” liste blanche “ strict ou “ liste noire stricte. Dans un modèle de liste de contrôle d'accès ” liste blanche “, les entrées de liste d'accès spécifient les règles qui “ autoriser ” accès à des réseaux ou des hôtes spécifiés. Dans un mode “ liste noire ” liste de contrôle d’accès, les entrées de liste d’accès spécifient des règles qui “ refuser ” accès à des réseaux ou des hôtes spécifiés. Une liste de contrôle d'accès non conforme contient des entrées de liste de contrôle d'accès avec un mélange de “ règles d'autorisation ” et “ de refus ”. Si une liste d'accès non conforme est configurée pour un enregistrement DAP, elle sera rejetée en tant qu'erreur de configuration lorsque l'administrateur tente d'ajouter l'enregistrement. Si une liste d'accès conforme est affectée à un enregistrement DAP, toute modification de la liste d'accès qui modifie la caractéristique de conformité sera rejetée en tant qu'erreur de configuration.

Figure 16. ACL DAP : permet de sélectionner et de configurer des ACL réseau à appliquer à cet enregistrement DAP.

Lorsque plusieurs enregistrements DAP sont sélectionnés, les attributs de listes d'accès spécifiés dans la liste de contrôle d'accès de réseau (pare-feu) sont agrégés pour créer une liste d'accès dynamique pour la liste de contrôle d'accès de pare-feu DAP. De la même manière, les attributs des listes d'accès spécifiés dans la liste de contrôle d'accès de type Web (sans client) sont agrégés pour créer une liste de contrôle d'accès dynamique pour la liste de contrôle d'accès sans client DAP. L'exemple ci-dessous porte sur la façon dont une liste d'accès dynamique DAP Firewall est créée spécifiquement. Cependant, une liste d'accès sans client DAP dynamique suivra le même processus.

Tout d'abord, l'ASA créera dynamiquement un nom unique pour la liste de contrôle d'accès réseau DAP, comme indiqué dans le tableau 6.

Tableau 6 . Nom de la liste de contrôle d'accès réseau DAP dynamique

Nom de la liste de contrôle d'accès réseau DAP
DAP-Network-ACL-X (où X est un entier qui va s'incrémenter pour garantir l'unicité)

Deuxièmement, l'ASA récupère l'attribut Network-ACL des enregistrements DAP sélectionnés, comme indiqué dans le tableau 7.

Tableau 7 . ACL réseau

Enregistrements DAP sélectionnés	Priorité	ACL réseau	Entrées de liste de contrôle d'accès réseau
DAP 1	1	101 et 102	La liste de contrôle d'accès 101 comporte 4 règles de refus et la liste de contrôle d'accès 102 4 règles d'autorisation
DAP 2	2	201 et 202	ACL 201 comporte 3 règles d'autorisation et ACL 202 3 règles de refus
DAP 3	2	101 et 102	La liste de contrôle d'accès 101 comporte 4 règles de refus et la liste de contrôle d'accès 102 4 règles d'autorisation

Troisièmement, l'ASA réorganise les listes de contrôle d'accès réseau d'abord par le numéro de priorité de l'enregistrement DAP, puis par la liste noire d'abord si la valeur de priorité pour 2 enregistrements DAP sélectionnés ou plus est identique. Ensuite, l'ASA récupère les entrées de la liste de contrôle d'accès réseau de chaque liste de contrôle d'accès réseau, comme indiqué dans le tableau 8.

Tableau 8 . Priorité d'enregistrement DAP

ACL réseau	Priorité	Modèle de liste d'accès blanc/noir	Entrées de liste de contrôle d'accès réseau
101	2	Liste noire	4 règles de refus (DDDD)
202	2	Liste noire	3 règles de refus (DDD)
102	2	Liste blanche	4 règles d'autorisation (PPPP)
202	2	Liste blanche	3 Règles d'autorisation (PPP)
101	1	Liste noire	4 règles de refus (DDDD)
102	1	Liste blanche	4 règles d'autorisation (PPPP)

Enfin, l'ASA fusionne les entrées de la liste de contrôle d'accès réseau dans la liste de contrôle d'accès réseau générée dynamiquement, puis renvoie le nom de la liste de contrôle d'accès réseau dynamique en tant que nouvelle liste de contrôle d'accès réseau à appliquer, comme indiqué dans le tableau 9.

Tableau 9 . ACL réseau DAP dynamique

Nom de la liste de contrôle d'accès réseau DAP	Entrée de liste de contrôle d'accès réseau
DAP-Network-ACL-1	DDD DDD PPPP PPP DDDD PPPP PPPP PPPP PPPP

Mise en oeuvre du DAP

Il existe de nombreuses raisons pour lesquelles un administrateur devrait envisager de mettre en oeuvre le DAP. Certaines raisons sous-jacentes sont les suivantes : l'évaluation de la position sur un terminal doit être appliquée et/ou des attributs de stratégie ou AAA plus granulaires doivent être pris en compte lors de l'autorisation d'accès des utilisateurs aux ressources réseau. Dans l'exemple ci-dessous, nous allons configurer le DAP et ses composants pour identifier un point d'extrémité de connexion et autoriser l'accès utilisateur à diverses ressources réseau.

Cas de test - Un client a demandé une preuve de concept avec les conditions d'accès VPN suivantes :

• Capacité à détecter et à identifier le point de terminaison d'un employé comme géré ou non géré. : si le point de terminaison est identifié comme managé (PC de travail) mais ne répond pas aux exigences de posture, l'accès à ce point de terminaison doit être refusé. D'autre part, si le terminal de l'employé est identifié comme non géré (PC domestique), ce terminal doit alors bénéficier d'un accès sans client.

• Possibilité d'appeler le nettoyage des cookies de session et du cache lorsqu'une connexion sans client se termine.

• Possibilité de détecter et d'appliquer les applications en cours d'exécution sur les terminaux des employés gérés, tels que McAfee AntiVirus. Si l'application n'existe pas, ce point de terminaison doit alors se voir refuser l'accès.

• Possibilité d'utiliser l'authentification AAA pour déterminer les ressources réseau auxquelles les utilisateurs autorisés doivent avoir accès. L'appliance de sécurité doit prendre en charge l'authentification LDAP MS natif et prendre en charge plusieurs rôles d'appartenance au groupe LDAP.

• Possibilité d'autoriser l'accès LAN local aux ressources réseau telles que les télécopieurs et les imprimantes réseau lorsqu'elles sont connectées via une connexion client/réseau ” “.

• Possibilité de fournir un accès invité autorisé aux sous-traitants. Les fournisseurs et leurs terminaux doivent avoir un accès sans client et leur accès au portail aux applications doit être limité par rapport à celui des employés.

Dans cet exemple, nous allons exécuter une série d'étapes de configuration afin de répondre aux exigences d'accès VPN du client. Il y aura des étapes de configuration qui sont nécessaires mais qui ne sont pas directement liées au DAP alors que d'autres configurations seront directement liées au DAP. L'ASA est très dynamique et peut s'adapter dans de nombreux environnements réseau. Par conséquent, les solutions VPN peuvent être définies de différentes manières et dans certains cas fournir la même solution finale. Toutefois, l'approche adoptée est dictée par les besoins des clients et par leur environnement.

En fonction de la nature de ce document et des besoins définis par le client, nous utiliserons Adaptive Security Device Manager (ASDM) 6.0(x) et concentrerons la plupart de nos configurations autour du DAP. Cependant, nous allons également configurer les stratégies de groupe locales pour montrer comment le DAP peut compléter et/ou remplacer les attributs de stratégie locale. Pour la base de ce cas de test, nous supposerons qu'un groupe de serveurs LDAP, une liste de réseaux de fractionnement en canaux et une connectivité IP de base, y compris les pools d'adresses IP et le groupe de serveurs DNS par défaut, sont préconfigurés.

Définition d'une stratégie de groupe : cette configuration est nécessaire pour définir des attributs de stratégie locale. Certains attributs définis ici ne sont pas configurables dans DAP pour (par exemple, Accès LAN local). (Cette stratégie sera également utilisée pour définir les attributs sans client et basés sur le client).

Accédez à Configuration > Remote Access VPN > Network (Client) Access > Group Policies, et ajoutez une stratégie de groupe interne en procédant comme suit :

Figure 17. Stratégie de groupe : définit les attributs spécifiques au VPN local.

1. Sous le lien Général, configurez le nom SSLVPN_GP pour la stratégie de groupe.

2. Également sous le lien Général, cliquez sur Autres options et configurez uniquement le protocole de tunnellisation : VPN SSL sans client. (Nous configurerons DAP pour remplacer et gérer la méthode d'accès.)

3. Sous le lien Advanced > Split Tunneling, configurez les éléments suivants :

   Figure 18. Fractionner la transmission tunnel : permet au trafic spécifié (réseau local) de contourner un tunnel non chiffré lors d'une connexion client.

   

   1. Stratégie : Décochez Hériter et sélectionnez Exclure la liste réseau ci-dessous.

   2. Liste réseau : Décochez Inherit et sélectionnez le nom de liste Local_Lan_Access. (Préconfiguré.)

4. Sous le lien Advanced > SSL VPN Client, configurez les éléments suivants :

   Figure 19. Programme d'installation du client VPN SSL : à la fin du VPN, le client SSL peut rester sur le point d'extrémité ou être désinstallé.

   

5. Conserver le programme d'installation sur le système client : Décochez Hériter, puis sélectionnez Oui.

6. Cliquez sur OK, puis Appliquer.

7. Appliquez les modifications apportées à votre configuration.

Définition d'un profil de connexion : cette configuration est nécessaire pour définir notre méthode d'authentification AAA, par exemple LDAP et appliquer la stratégie de groupe (SSLVPN_GP) précédemment configurée à ce profil de connexion. Les utilisateurs qui se connectent via ce profil de connexion seront soumis aux attributs définis ici ainsi qu'aux attributs définis dans la stratégie de groupe SSLVPN_GP. (Ce profil sera également utilisé pour définir les attributs sans client et basés sur le client).

Accédez à Configuration > Remote Access VPN > Network (Client) Access > SSL VPN Connection Profiles et configurez les éléments suivants :

Figure 20. Profil de connexion : définit les attributs spécifiques au VPN local.

1. Dans la section Profils de connexion, modifiez le groupe DefaultWEBVPNG et sous le lien Basic, configurez les éléments suivants :

   1. Authentication : méthode : AAA

   2. Authentification : groupe de serveurs AAA : LDAP (préconfiguré supposé)

   3. Attribution d'adresses client—Pools d'adresses client : Pool_IP (préconfiguré supposé)

   4. Stratégie de groupe par défaut - Stratégie de groupe : Sélectionnez SSLVPN_GP

2. Appliquer les modifications apportées à vos configurations.

Définition d'une interface IP pour la connectivité VPN SSL : cette configuration est nécessaire pour mettre fin aux connexions SSL client et sans client sur une interface spécifiée.

Avant d'activer l'accès client/réseau sur une interface, vous devez d'abord définir une image client VPN SSL.

1. Accédez à Configuration > Remote Access VPN > Network (Client)Access > Advanced > SSL VPN > Client Settings, et ajoutez l'image de client VPN SSL suivante à partir du système de fichiers Flash ASA : (Cette image peut être téléchargée à partir de CCO, www.cisco.com)

   Figure 21. SSL VPN Client Image Install : définit l'image du client SSLVPN (AnyConnect) à transmettre aux points d'extrémité de connexion.

   

   1. anyconnect-win-2.x.xxx-k9.pkg

   2. Cliquez à nouveau sur OK, OK, puis Appliquer.

2. Accédez à Configuration > Remote Access VPN > Network (Client)Access > SSL VPN Connection Profiles, et activez les options suivantes :

   Figure 22. SSL VPN Access Interface : définit les interfaces permettant de mettre fin à la connectivité VPN SSL.

   

   1. Dans la section Access Interface, activez : “ activez l'accès au client VPN Cisco AnyConnect ou au client VPN SSL hérité sur les interfaces sélectionnées dans le tableau ci-dessous. ”

   2. Également sous la section Access Interfaces, cochez la case Allow Access sur l'interface externe. (Cette configuration active également l'accès VPN SSL sans client sur l'interface externe.)

   3. Cliquez sur Apply.

Définir des listes de signets (listes d'URL) pour l'accès sans client : cette configuration est nécessaire pour définir une application Web à publier sur le portail. Nous allons définir 2 listes d'URL, l'une pour les employés et l'autre pour les sous-traitants.

1. Accédez à Configuration > Remote Access VPN > Client SSL VPN Access > Portal > Bookmarks, cliquez sur + Add et configurez les éléments suivants :

   Figure 23. Liste de signets : définit les URL à publier et à consulter à partir du portail Web. (Personnalisé pour l'accès employé).

   

   1. Nom de la liste des signets : Employés, puis cliquez sur Ajouter.

   2. Titre du signet : Intranet de la société

   3. Valeur de l'URL : http://company.resource.com

   4. Cliquez à nouveau sur OK, puis OK.

2. Cliquez sur + Ajouter et configurez une deuxième liste de signets (liste d'URL) comme suit :

   Figure 24. Liste de signets : personnalisée pour l'accès invité.

   

   1. Nom de la liste des signets : Contracteurs, puis cliquez sur Ajouter.

   2. Titre du signet : Accès invité

   3. Valeur de l'URL : http://company.contractors.com

   4. Cliquez à nouveau sur OK, puis OK.

   5. Cliquez sur Apply.

Cisco Secure Desktop : cette configuration est nécessaire pour définir les attributs d'évaluation des terminaux. En fonction des critères à remplir, les points de terminaison de connexion seront classés comme gérés ou non gérés. Les évaluations de Cisco Secure Desktop sont exécutées avant le processus d'authentification.

Configuration de Cisco Secure Desktop et d'un arbre de décision de préconnexion pour les sites Windows :

1. Accédez à Configuration > Remote Access VPN > Secure Desktop Manager > Setup, puis configurez les éléments suivants :

   Figure 25. Cisco Secure Desktop Image Install : définit l'image Cisco Secure Desktop à transmettre aux terminaux connectés.

   

   1. Installez l'image disk0:/securedesktop-asa-3.3.-xxx-k9.pkg à partir du système de fichiers Flash ASA.

   2. Cochez la case Enable Secure Desktop.

   3. Cliquez sur Apply.

2. Accédez à Configuration > Remote Access VPN > Secure Desktop Manager > Prelogin Policy, puis configurez les éléments suivants :

   Figure 26. Arborescence décisionnelle avant ouverture de session : personnalisable via la vérification des fichiers pour distinguer un terminal géré d'un terminal non géré.

   

   1. Cliquez sur le noeud par défaut et renommez l'étiquette Managed (Client Access), puis cliquez sur Update.

   2. Cliquez sur le symbole “+ ” au début du noeud Géré.

   3. Pour la vérification, sélectionnez et ajoutez la vérification du fichier à insérer.

   4. Entrez C:\managed.txt pour que le chemin d'accès au fichier à “ existe ” et cliquez sur Mettre à jour.

   5. Cliquez sur le noeud Connexion refusée, puis sélectionnez Subséquence.

   6. Entrez Unmanaged pour l'étiquette, puis cliquez sur Update.

   7. Cliquez sur le noeud Connexion refusée, puis sélectionnez Emplacement.

   8. Entrez Unmanaged (Accès sans client) pour l'étiquette, puis cliquez sur Update.

   9. Cliquez sur Appliquer tout.

3. Accédez à Configuration > Remote Access VPN > Secure Desktop Manager > Managed (Client Access) et configurez les éléments suivants sous la section Location Settings :

   Figure 27. Paramètres de protection de l'emplacement/de la vie privée : Secure Desktop (coffre sécurisé) et Cache Cleaner (nettoyage du navigateur) ne sont pas requis pour l'accès basé sur le client/réseau.

   

   1. Module de localisation : Désélectionnez Secure Desktop et Cache Cleaner si cette option est activée.

   2. Cliquez sur Appliquer tout si nécessaire.

4. Accédez à Configuration > Remote Access VPN > Secure Desktop Manager > Unmanaged (Accès sans client), puis configurez ce qui suit sous la section Location Settings :

   Figure 28. Paramètres d'emplacement : le nettoyage du cache (nettoyage du navigateur) est une condition requise pour l'accès sans client, mais pas Secure Desktop (coffre sécurisé).

   

   1. Module de localisation : Désélectionnez Secure Desktop et activez Cache Cleaner.

   2. Cliquez sur Appliquer tout.

Évaluation avancée des points de terminaison : cette configuration est nécessaire pour l'application d'antivirus, d'antispyware et de pare-feu personnel sur un point de terminaison. Par exemple, cette évaluation vérifie si McAfee est en cours d'exécution sur le terminal de connexion. (L'évaluation avancée des terminaux est une fonctionnalité sous licence qui n'est pas configurable si la fonctionnalité Cisco Secure Desktop est désactivée).

Accédez à Configuration > Remote Access VPN > Secure Desktop Manager > Host Scan, puis configurez ce qui suit sous la section Host Scan Extensions :

Figure 29. AntiVirus Enforcement : personnalisable pour l'accès basé sur le client/réseau.

Dans la section Host Scan Extensions, configurez les éléments suivants :

1. Sélectionnez Advanced Endpoint Assessment ver 2.3.3.1, puis Configure.

2. Sélectionnez Appliquer l'antivirus.

3. Dans la liste déroulante Appliquer l'antivirus, sélectionnez McAfee, Inc.

4. Dans la liste déroulante Version antivirus, sélectionnez McAfee VirusScan Enterprise 8.0.0.x.

5. Sélectionnez Forcer la protection du système de fichiers, puis cliquez sur Appliquer tout.

Stratégies d'accès dynamique : cette configuration est nécessaire pour valider la connexion des utilisateurs et de leurs points de terminaison par rapport à des critères d'évaluation AAA et/ou des points de terminaison définis. Si les critères définis d'un enregistrement DAP sont satisfaits, les utilisateurs connectés se verront accorder l'accès aux ressources réseau associées à cet enregistrement ou à ces enregistrements DAP. L'autorisation DAP est exécutée pendant le processus d'authentification.

Pour vous assurer qu'une connexion VPN SSL se termine dans le cas par défaut, par exemple lorsque le point de terminaison ne correspond à aucune stratégie d'accès dynamique configurée), nous configurerons les éléments suivants :

Remarque : lors de la première configuration des stratégies d'accès dynamique, un message d'erreur DAP.xml s'affiche pour indiquer qu'il n'existe pas de fichier de configuration DAP (DAP.XML). Une fois que votre configuration DAP initiale est modifiée et enregistrée, ce message n'apparaît plus.

1. Accédez à Configuration > Remote Access VPN > Clientless SSL VPN Access > Dynamic Access Policies, puis configurez les options suivantes :

   Figure 30. Stratégie d'accès dynamique par défaut : si aucun enregistrement DAP prédéfini ne correspond, cet enregistrement DAP sera appliqué. Ainsi, l'accès VPN SSL sera refusé.

   

   1. Modifiez la stratégie DfltAccess et définissez l'action sur Terminate.

   2. Click OK.

2. Ajoutez une nouvelle stratégie d'accès dynamique nommée Managed_Endpoints, comme suit :

   1. Description: Accès client employé

   2. Ajoutez (situé à droite du type d'attribut de point de terminaison) un type d'attribut de point de terminaison (stratégie), comme illustré à la Figure 31. Cliquez sur OK lorsque vous avez terminé.

      Figure 31. Attribut de point de terminaison DAP : l'emplacement du bureau sécurisé Cisco sera utilisé comme critère DAP pour l'accès client/réseau.

      

   3. Ajoutez un deuxième type d'attribut de point de terminaison (antivirus), comme illustré à la Figure 32. Cliquez sur OK lorsque vous avez terminé.

      Figure 32. Attribut de point de terminaison DAP : l'antivirus Advanced Endpoint Assessment sera utilisé comme critère DAP pour l'accès client/réseau.

      

   4. Dans la liste déroulante située au-dessus de la section Attribut AAA, sélectionnez Utilisateur ayant TOUTES les valeurs d'attributs AAA suivantes...

   5. Ajoutez (situé à droite de la zone Attribut AAA) un type d'attribut AAA (LDAP), comme illustré aux Figure 33 et 34. Cliquez sur OK lorsque vous avez terminé.

      Figure 33. Attribut AAA DAP : l'appartenance au groupe AAA sera utilisée comme critère DAP pour identifier un employé.

      

      Figure 34. Attribut AAA DAP : l'appartenance au groupe AAA sera utilisée comme critère DAP pour permettre l'accès à distance.

      

   6. Sous l'onglet Action, vérifiez que l'action est définie sur Continuer, comme illustré à la Figure 35.

      Figure 35. Onglet Action : cette configuration est nécessaire pour définir un traitement spécial pour une connexion ou une session spécifique. L'accès VPN sera refusé si un enregistrement DAP correspond et que l'action est définie sur Terminate.

      

   7. Sous l'onglet Access Method (Méthode d'accès), sélectionnez Access Method AnyConnect Client, comme illustré à la Figure 36.

      Figure 36. Onglet Access Method : cette configuration est nécessaire pour définir les types de connexion client VPN SSL.

      

   8. Cliquez sur OK, puis Appliquer.

3. Ajoutez une deuxième stratégie d'accès dynamique nommée Unmanaged_Endpoints, comme suit :

   1. Description: Accès sans client des employés.

   2. Ajoutez (situé à droite de la zone Attribut de point de terminaison) un Type d'attribut de point de terminaison (Stratégie), comme illustré à la Figure 37. Cliquez sur OK lorsque vous avez terminé.

      Figure 37. Attribut de point de terminaison DAP : l'emplacement du bureau sécurisé Cisco sera utilisé comme critère DAP pour l'accès sans client.

      

   3. Dans la liste déroulante située au-dessus de la section Attribut AAA, sélectionnez Utilisateur ayant TOUTES les valeurs d'attributs AAA suivantes...

   4. Ajoutez (situé à droite du type d'attribut AAA) un type d'attribut AAA (LDAP), comme illustré aux Figure 38 et 39. Cliquez sur OK lorsque vous avez terminé.

      Figure 38. Attribut AAA DAP : l'appartenance au groupe AAA sera utilisée comme critère DAP pour identifier un employé.

      

      Figure 39. Attribut AAA DAP : l'appartenance au groupe AAA sera utilisée comme critère DAP pour permettre l'accès à distance.

      

   5. Sous l'onglet Action, vérifiez que l'action est définie sur Continuer. (Voir la figure 35.)

   6. Sous l'onglet Signets, sélectionnez le nom de liste Employés dans la liste déroulante, puis cliquez sur Ajouter. Vérifiez également que les signets Enable sont cochés, comme illustré à la Figure 40.

      Figure 40. Onglet Signets : permet de sélectionner et de configurer des listes d'URL pour les sessions utilisateur.

      

   7. Sous l'onglet Méthode d'accès, sélectionnez le portail Web Méthode d'accès. (Voir la figure 36.)

   8. Cliquez sur OK, puis Appliquer.

      Les entrepreneurs seront identifiés par les attributs AAA DAP uniquement. Par conséquent, le type d'attributs de point de terminaison est le suivant : (Stratégie) ne sera pas configuré à l'étape 4. Cette approche ne vise qu'à démontrer la polyvalence du DAP.

4. Ajoutez une troisième stratégie d'accès dynamique nommée Guest_Access et avec les éléments suivants :

   1. Description: Accès sans client invité.

   2. Ajoutez (situé à droite de la zone Attribut de point de terminaison) un Type d'attribut de point de terminaison (Politique), comme illustré à la Figure 37 ci-dessus. Cliquez sur OK lorsque vous avez terminé.

   3. Dans la liste déroulante située au-dessus de la section Attribut AAA, sélectionnez Utilisateur ayant TOUTES les valeurs d'attributs AAA suivantes...

   4. Ajoutez (situé à droite de la zone Attribut AAA) un type d'attribut AAA (LDAP), comme illustré aux Figure 41 et 42. Cliquez sur OK lorsque vous avez terminé.

      Figure 41. Attribut AAA DAP - L’appartenance au groupe AAA sera utilisée comme critère DAP pour identifier un entrepreneur.

      

      Figure 42. Attribut AAA DAP : l'appartenance au groupe AAA sera utilisée comme critère DAP pour permettre l'accès à distance.

      

   5. Sous l'onglet Action, vérifiez que l'action est définie sur Continuer. (Voir la figure 35.)

   6. Sous l'onglet Signets, sélectionnez le nom de la liste Entrepreneurs dans la liste déroulante, puis cliquez sur Ajouter. Vérifiez également que les signets Activer sont cochés. (Voir la figure 40.)

   7. Sous l'onglet Méthode d'accès, sélectionnez le portail Web Méthode d'accès. (Voir la figure 36.)

   8. Cliquez sur OK, puis Appliquer.

Critères de sélection DAP : en fonction des procédures de configuration DAP ci-dessus, vos critères de sélection pour les 4 stratégies DAP définies doivent être conformes aux Figures 43, 44, 45 et 46.

Figure 43. Terminaux gérés : si les critères de cet enregistrement DAP sont satisfaits, les employés auront accès aux ressources de l'entreprise via une connexion client/réseau (client AnyConnect).

Figure 44. Terminaux non gérés : si les critères de cet enregistrement DAP sont satisfaits, les employés auront accès aux ressources de l'entreprise via une connexion sans client (portail). Une liste d'URL pour les employés est également appliquée à cette stratégie.

Figure 45. Accès invité : si les critères de cet enregistrement DAP sont satisfaits, les sous-traitants auront accès aux ressources de l'entreprise via une connexion sans client (portail). Une liste d'URL pour les sous-traitants est également appliquée à cette politique.

Figure 46. Politique DAP par défaut : si les critères de tous les enregistrements DAP ci-dessus ne sont pas satisfaits, les employés et les sous-traitants se verront refuser l'accès par défaut.

Conclusion

En fonction des exigences VPN SSL d'accès à distance du client mentionnées dans cet exemple, cette solution répond à ses exigences VPN d'accès à distance.

Avec des environnements VPN évolutifs et dynamiques à la fusion, les politiques d'accès dynamique peuvent s'adapter et évoluer en fonction de changements fréquents de configuration Internet, de différents rôles que chaque utilisateur peut occuper au sein d'une organisation et de connexions à partir de sites d'accès à distance gérés et non gérés avec des configurations et des niveaux de sécurité différents.

Les politiques d'accès dynamique sont complétées par de nouvelles technologies éprouvées telles que l'évaluation avancée des terminaux, l'analyse des hôtes, Secure Desktop, AAA et les politiques d'accès local. Par conséquent, les entreprises peuvent fournir un accès VPN sécurisé à n'importe quelle ressource réseau depuis n'importe quel emplacement.

Informations connexes

• Support et documentation techniques - Cisco Systems