Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Un tunnel intelligent est une connexion entre une application TCP et un site privé, qui utilise une session VPN SSL sans client (basée sur navigateur) avec l'appliance de sécurité comme chemin et l'appliance de sécurité comme serveur proxy. Vous pouvez identifier les applications auxquelles vous souhaitez accorder un accès Smart Tunnel et spécifier le chemin local vers chaque application. Pour les applications qui s'exécutent sous Microsoft Windows, vous pouvez également exiger une correspondance du hachage SHA-1 de la somme de contrôle comme condition d'octroi de l'accès au tunnel intelligent.
Lotus SameTime et Microsoft Outlook Express sont des exemples d'applications auxquelles vous pouvez accorder un accès Smart Tunnel.
Selon que l'application est un client ou une application Web, la configuration du tunnel intelligent nécessite l'une des procédures suivantes :
Créez une ou plusieurs listes Smart Tunnel des applications clientes, puis attribuez la liste aux stratégies de groupe ou aux stratégies d'utilisateur local pour lesquelles vous souhaitez fournir un accès Smart Tunnel.
Créez une ou plusieurs entrées de liste de signets qui spécifient les URL des applications Web éligibles pour l'accès au tunnel intelligent, puis attribuez la liste aux DAP, aux stratégies de groupe ou aux stratégies d'utilisateur local pour lesquels vous souhaitez fournir un accès au tunnel intelligent.
Vous pouvez également répertorier les applications Web pour lesquelles l'envoi automatique des informations d'identification de connexion dans les connexions Smart Tunnel sur des sessions VPN SSL sans client est automatisé.
Ce document suppose que la configuration du client VPN SSL Cisco AnyConnect est déjà effectuée et fonctionne correctement de sorte que la fonctionnalité de tunnel intelligent puisse être configurée sur la configuration existante. Pour plus d'informations sur la façon de configurer le client VPN SSL Cisco AnyConnect, référez-vous à ASA 8.x : Exemple de configuration d'autorisation de la Transmission tunnel partagée pour un client VPN AnyConnect sur le dispositif ASA
Remarque : assurez-vous que les étapes 4.b à 4.l décrites dans la section Configuration ASA avec ASDM 6.0(2) de l'ASA 8.x : Allow Split Tunneling for AnyConnect VPN Client on the ASA Configuration Example n'est pas exécuté afin de configurer la fonctionnalité de tunnel intelligent.
Ce document décrit comment configurer un tunnel intelligent sur des dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500.
Aucune exigence spécifique n'est associée à ce document.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Appareils de sécurité adaptatifs de la gamme Cisco ASA 5500 exécutant la version logicielle 8.0(2)
Ordinateur exécutant Microsoft Vista, Windows XP SP2 ou Windows 2000 Professionnel SP4 avec Microsoft Installer version 3.1
Cisco Adaptive Security Device Manager (ASDM) version 6.0(2)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.
La table de tunnels intelligents affiche les listes de tunnels intelligents, chacune identifiant une ou plusieurs applications éligibles pour l'accès au tunnel intelligent et son système d'exploitation associé. Étant donné que chaque stratégie de groupe ou d'utilisateur local prend en charge une liste de tunnels intelligente, vous devez regrouper les applications non basées sur navigateur à prendre en charge dans une liste de tunnels intelligents. Après avoir configuré une liste, vous pouvez l'affecter à une ou plusieurs stratégies de groupe ou stratégies d'utilisateur local.
La fenêtre des tunnels intelligents (Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Smart Tunnels) vous permet d'effectuer les procédures suivantes :
Ajouter une liste de tunnels intelligents et ajouter des applications à la liste
Complétez ces étapes afin d'ajouter une liste de tunnels intelligents et d'ajouter des applications à la liste :
Cliquez sur Add.
La boîte de dialogue Add Smart Tunnel List s'affiche.
Entrez un nom pour la liste, et cliquez sur Add.
ASDM ouvre la boîte de dialogue Ajouter une entrée de tunnel intelligent, qui vous permet d'affecter les attributs d'un tunnel intelligent à la liste.
Après avoir attribué les attributs souhaités pour le tunnel intelligent, cliquez sur OK.
ASDM affiche ces attributs dans la liste.
Répétez ces étapes si nécessaire afin de compléter la liste, puis cliquez sur OK dans la boîte de dialogue Ajouter une liste de tunnels dynamiques.
Modifier une liste Smart Tunnel
Complétez ces étapes afin de modifier une liste de tunnels intelligents :
Double-cliquez sur la liste ou choisissez la liste dans le tableau, puis cliquez sur Modifier.
Cliquez sur Add pour insérer un nouvel ensemble d'attributs de tunnel intelligent dans la liste ou choisissez une entrée dans la liste, puis cliquez sur Edit ou Delete.
Supprimer une liste
Afin de supprimer une liste, choisissez la liste dans le tableau, et cliquez sur Supprimer.
Ajouter un signet
Après la configuration et l'affectation d'une liste de tunnels intelligents, vous pouvez rendre un tunnel intelligent facile à utiliser en ajoutant un signet pour le service et en cliquant sur l'option Activer le tunnel intelligent dans la boîte de dialogue Ajouter ou modifier un signet.
L'accès intelligent au tunnel permet à une application client basée sur TCP d'utiliser une connexion VPN basée sur navigateur pour se connecter à un service. Il offre les avantages suivants aux utilisateurs, par rapport aux plugins et à la technologie héritée, le transfert de port :
Le tunnel intelligent offre de meilleures performances que les plug-ins.
Contrairement au transfert de port, le tunnel intelligent simplifie l'expérience utilisateur en ne nécessitant pas la connexion utilisateur de l'application locale au port local.
Contrairement au transfert de port, le tunnel intelligent n'exige pas que les utilisateurs disposent de privilèges d'administrateur.
Le tunnel intelligent présente les exigences et limites générales suivantes :
L'hôte distant à l'origine du tunnel intelligent doit exécuter une version 32 bits de Microsoft Windows Vista, Windows XP ou Windows 2000 ; ou Mac OS 10.4 ou 10.5.
L'authentification automatique du tunnel intelligent prend uniquement en charge Microsoft Internet Explorer sous Windows.
Le navigateur doit être activé avec Java, Microsoft ActiveX ou les deux.
Le tunnel intelligent prend uniquement en charge les proxys placés entre les ordinateurs qui exécutent Microsoft Windows et l'appliance de sécurité. Le tunnel intelligent utilise la configuration Internet Explorer (c'est-à-dire celle destinée à une utilisation à l'échelle du système dans Windows). Si l'ordinateur distant nécessite un serveur proxy pour atteindre l'appliance de sécurité, l'URL de l'extrémité de fin de connexion doit figurer dans la liste des URL exclues des services proxy. Si la configuration du proxy spécifie que le trafic destiné à l'ASA passe par un proxy, tout le trafic du tunnel intelligent passe par le proxy.
Dans un scénario d'accès à distance basé sur HTTP, il arrive qu'un sous-réseau ne fournisse pas d'accès utilisateur à la passerelle VPN. Dans ce cas, un proxy placé devant l'ASA pour acheminer le trafic entre le Web et l'emplacement de l'utilisateur final fournit un accès Web. Cependant, seuls les utilisateurs VPN peuvent configurer les proxys placés devant l'ASA. Dans ce cas, ils doivent s'assurer que ces proxys prennent en charge la méthode CONNECT. Pour les proxys qui nécessitent une authentification, le tunnel intelligent prend uniquement en charge le type d'authentification Digest de base.
Lorsque le tunnel intelligent démarre, l'appliance de sécurité canalise tout le trafic provenant du processus de navigateur utilisé par l'utilisateur pour lancer la session sans client. Si l'utilisateur démarre une autre instance du processus du navigateur, il transmet tout le trafic au tunnel. Si le processus du navigateur est le même et que l'appliance de sécurité ne fournit pas l'accès à une URL donnée, l'utilisateur ne peut pas l'ouvrir. Comme solution de contournement, l'utilisateur peut utiliser un navigateur différent de celui utilisé pour établir la session sans client.
Un basculement avec état ne conserve pas les connexions de tunnel intelligent. Les utilisateurs doivent se reconnecter après un basculement.
Les conditions et limitations suivantes s'appliquent uniquement à Windows :
Seules les applications basées sur le protocole TCP de Winsock 2 peuvent bénéficier d'un accès Smart Tunnel.
L'appliance de sécurité ne prend pas en charge le proxy Microsoft Outlook Exchange (MAPI). Ni le transfert de port ni le tunnel intelligent ne prennent en charge MAPI. Pour les communications Microsoft Outlook Exchange utilisant le protocole MAPI, les utilisateurs distants doivent utiliser AnyConnect.
Les utilisateurs de Microsoft Windows Vista qui utilisent le transfert de port ou le tunnel intelligent doivent ajouter l'URL de l'ASA à la zone Site de confiance. Afin d'accéder à la zone Site de confiance, démarrez Internet Explorer, et choisissez Outils > Options Internet, et cliquez sur l'onglet Sécurité. Les utilisateurs de Vista peuvent également désactiver le mode protégé afin de faciliter l'accès intelligent au tunnel ; Cependant, Cisco recommande de ne pas utiliser cette méthode, car elle augmente la vulnérabilité aux attaques.
Ces exigences et limitations s'appliquent uniquement à Mac OS :
Safari 3.1.1 ou version ultérieure ou Firefox 3.0 ou version ultérieure
Sun JRE 1.5 ou version ultérieure
Seules les applications démarrées à partir de la page du portail peuvent établir des connexions de tunnel intelligent. Cette exigence inclut la prise en charge du tunnel intelligent pour Firefox. L'utilisation de Firefox pour démarrer une autre instance de Firefox lors de la première utilisation d'un tunnel intelligent nécessite le profil utilisateur csco_st. Si ce profil utilisateur est absent, la session invite l'utilisateur à en créer un.
Les applications utilisant le protocole TCP qui sont liées dynamiquement à la bibliothèque SSL peuvent fonctionner sur un tunnel intelligent.
Le tunnel intelligent ne prend pas en charge ces fonctionnalités et applications sur Mac OS :
Services proxy
Connexion automatique
Applications qui utilisent des espaces de noms à deux niveaux
Applications basées sur la console, telles que Telnet, SSH et cURL
Applications utilisant dlopen ou dlsym pour localiser les appels libsocket
Applications liées de manière statique pour localiser les appels libsocket
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
La boîte de dialogue Add Smart Tunnel List vous permet d'ajouter une liste d'entrées de tunnel intelligent à la configuration de l'appliance de sécurité. La boîte de dialogue Edit Smart Tunnel List vous permet de modifier le contenu de la liste.
Champ
List Name : saisissez un nom unique pour la liste des applications ou des programmes. Il n'y a aucune restriction sur le nombre de caractères dans le nom. N'utilisez pas d'espaces. Après la configuration de la liste Smart Tunnel, le nom de la liste apparaît en regard de l'attribut Smart Tunnel List dans les stratégies de groupe VPN SSL sans client et les stratégies d'utilisateur local. Attribuez un nom qui vous aidera à distinguer son contenu ou sa fonction des autres listes que vous êtes susceptible de configurer.
La boîte de dialogue Ajouter ou modifier une entrée de tunnel intelligent vous permet de spécifier les attributs d'une application dans une liste de tunnels intelligents.
ID d'application : saisissez une chaîne pour nommer l'entrée dans la liste de tunnels intelligents. La chaîne est unique pour le système d'exploitation. En général, il nomme l'application à laquelle l'accès au tunnel intelligent doit être accordé. Afin de prendre en charge plusieurs versions d'une application pour lesquelles vous choisissez de spécifier différents chemins d'accès ou valeurs de hachage, vous pouvez utiliser cet attribut pour différencier les entrées, en spécifiant le système d'exploitation et le nom et la version de l'application pris en charge par chaque entrée de liste. La chaîne peut contenir jusqu'à 64 caractères.
Process Name : saisissez le nom du fichier ou le chemin d'accès à l'application. La chaîne peut contenir jusqu'à 128 caractères
Windows exige une correspondance exacte de cette valeur avec le côté droit du chemin d'accès de l'application sur l'hôte distant pour qualifier l'application pour l'accès au tunnel intelligent. Si vous spécifiez uniquement le nom de fichier pour Windows, le VPN SSL n'applique pas de restriction d'emplacement sur l'hôte distant pour qualifier l'application pour l'accès au tunnel intelligent.
Si vous spécifiez un chemin d'accès et que l'utilisateur a installé l'application à un autre emplacement, cette application n'est pas qualifiée. L'application peut résider sur n'importe quel chemin tant que le côté droit de la chaîne correspond à la valeur que vous entrez.
Afin d'autoriser une application pour l'accès au tunnel intelligent si elle est présente sur l'un des plusieurs chemins sur l'hôte distant, spécifiez uniquement le nom et l'extension de l'application dans ce champ ou créez une entrée de tunnel intelligent unique pour chaque chemin.
Pour Windows, si vous souhaitez ajouter un accès par tunnel intelligent à une application démarrée à partir de l'invite de commandes, vous devez spécifier « cmd.exe » dans le nom de processus d'une entrée de la liste de tunnels intelligents et spécifier le chemin d'accès à l'application elle-même dans une autre entrée, car « cmd.exe » est le parent de l'application.
Mac OS nécessite le chemin d'accès complet au processus et est sensible à la casse. Afin d'éviter de spécifier un chemin pour chaque nom d'utilisateur, insérez un tilde (~) avant le chemin partiel (par exemple, ~/bin/vnc).
OS : cliquez sur Windows ou Mac afin de spécifier le système d'exploitation hôte de l'application.
Hash : (facultatif et applicable uniquement à Windows) Pour obtenir cette valeur, entrez la somme de contrôle du fichier exécutable dans un utilitaire qui calcule un hachage à l'aide de l'algorithme SHA-1. L'utilitaire FCIV (Microsoft File Checksum Integrity Verifier), disponible sur le site Availability and description of the File Checksum Integrity Verifier, en est un exemple. Après avoir installé FCIV, placez une copie temporaire de l'application à hacher sur un chemin qui ne contient pas d'espace (par exemple, c : /fciv.exe), puis entrez fciv.exe -sha1 application sur la ligne de commande (par exemple, fciv.exe -sha1 c:\msimn.exe) pour afficher le hachage SHA-1.
Le hachage SHA-1 comporte toujours 40 caractères hexadécimaux.
Avant d'autoriser une application pour l'accès Smart Tunnel, le VPN SSL sans client calcule le hachage de l'application correspondant à l'ID d'application. Il qualifie l'application pour l'accès au tunnel intelligent si le résultat correspond à la valeur de hachage.
L'entrée d'un hachage fournit une assurance raisonnable que le VPN SSL ne qualifie pas un fichier illégitime qui correspond à la chaîne que vous avez spécifiée dans l'ID d'application. Étant donné que la somme de contrôle varie selon la version ou le correctif d'une application, le hachage que vous entrez ne peut correspondre qu'à une seule version ou un seul correctif sur l'hôte distant. Afin de spécifier un hachage pour plusieurs versions d'une application, créez une entrée de tunnel intelligent unique pour chaque valeur de hachage.
Remarque : vous devez mettre à jour la liste de tunnels intelligents à l'avenir si vous entrez des valeurs de hachage et que vous souhaitez prendre en charge des versions ou des correctifs ultérieurs d'une application disposant d'un accès de tunnel intelligent. Un problème soudain avec l'accès au tunnel intelligent peut indiquer que l'application qui contient des valeurs de hachage n'est pas à jour avec une mise à niveau d'application. Vous pouvez éviter ce problème en n'entrant pas de hachage.
Une fois que vous avez configuré la liste Smart Tunnel, vous devez l'affecter à une stratégie de groupe ou à une stratégie d'utilisateur local pour qu'elle devienne active comme suit :
Afin d'attribuer la liste à une stratégie de groupe, choisissez Config > Remote Access VPN > Clientless SSL VPN Access > Group Policies > Add or Edit > Portal, et choisissez le nom du tunnel intelligent dans la liste déroulante à côté de l'attribut Smart Tunnel List.
Afin d'attribuer la liste à une politique d'utilisateur locale, choisissez Config > Remote Access VPN > AAA Setup > Local Users > Add or Edit > VPN Policy > Clientless SSL VPN, et choisissez le nom du tunnel intelligent dans la liste déroulante à côté de l'attribut Smart Tunnel List.
Ce document suppose que la configuration de base, telle que la configuration d'interface, est complète et fonctionne correctement.
Complétez ces étapes afin de configurer un tunnel intelligent :
Remarque : dans cet exemple de configuration, le tunnel intelligent est configuré pour l'application Lotus.
Choisissez Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Smart Tunnels afin de démarrer la configuration Smart Tunnel.
Cliquez sur Add.
La boîte de dialogue Add Smart Tunnel List s'affiche.
Dans la boîte de dialogue Ajouter une liste Smart Tunnel, cliquez sur Ajouter.
La boîte de dialogue Ajouter une entrée de tunnel dynamique s'affiche.
Dans le champ ID d'application, entrez une chaîne pour identifier l'entrée dans la liste de tunnels intelligents.
Entrez un nom de fichier et une extension pour l'application, puis cliquez sur OK.
Dans la boîte de dialogue Ajouter une liste Smart Tunnel, cliquez sur OK.
Remarque : voici la commande de configuration CLI équivalente :
Cisco ASA 8.0(2) |
---|
ciscoasa(config)#smart-tunnel list lotus LotusSametime connect.exe |
Attribuez la liste aux stratégies de groupe et aux stratégies d'utilisateur local auxquelles vous souhaitez fournir un accès Smart Tunnel aux applications associées, comme suit :
Afin d'attribuer la liste à une stratégie de groupe, choisissez Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies, et cliquez sur Add ou Edit.
La boîte de dialogue Ajouter une stratégie de groupe interne s'affiche.
Dans la boîte de dialogue Ajouter une stratégie de groupe interne, cliquez sur Portail, choisissez le nom du tunnel intelligent dans la liste déroulante Liste de tunnels intelligents, puis cliquez sur OK.
Remarque : cet exemple utilise Lotus comme nom de liste de tunnels intelligents.
Afin d'attribuer la liste à une stratégie d'utilisateur locale, choisissez Configuration > Remote Access VPN > AAA Setup > Local Users, et cliquez sur Add pour configurer un nouvel utilisateur ou cliquez sur Edit pour modifier un utilisateur existant.
La boîte de dialogue Modifier le compte d'utilisateur apparaît.
Dans la boîte de dialogue Edit User Account, cliquez sur Clientless SSL VPN, choisissez le nom du tunnel intelligent dans la liste déroulante Smart Tunnel List, puis cliquez sur OK.
Remarque : cet exemple utilise Lotus comme nom de liste de tunnels intelligents.
La configuration du tunnel intelligent est terminée.
Ce problème se produit en raison du problème décrit dans l'ID de bogue Cisco CSCsx05766 (clients enregistrés uniquement) . Afin de résoudre ce problème, rétrogradez le plug-in Java Runtime vers une version plus ancienne.
Lorsque le tunnel intelligent est utilisé sur l'ASA, vous ne pouvez pas altérer l'URL ou masquer la barre d'adresses du navigateur. Les utilisateurs peuvent afficher les URL des liens configurés dans WebVPN qui utilisent le tunnel intelligent. Par conséquent, ils peuvent modifier le port et accéder au serveur pour un autre service.
Afin de résoudre ce problème, utilisez des ACL WebType. Référez-vous à Listes de contrôle d'accès WebType pour plus d'informations.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
22-Oct-2009
|
Première publication |