ASA: Smart Tunnel met ASDM Configuration Voorbeeld

Downloadopties

  • PDF     (353.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (200.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (430.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:22 april 2021
Document-id:111007

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Een smart tunnel is een verbinding tussen een TCP-gebaseerde applicatie en een private site, met behulp van een cliëntloze (browser-gebaseerde) SSL VPN-sessie met het beveiligingstoestel als het pad en het beveiligingstoestel als een proxyserver. U kunt toepassingen identificeren waartoe u toegang wilt verlenen tot de Smart Tunnel en het lokale pad opgeven voor elke toepassing. Voor toepassingen die op Microsoft Windows worden uitgevoerd, kunt u ook een overeenkomst van de SHA-1-hash van de checksum nodig hebben als voorwaarde voor het verlenen van toegang tot slimme tunnels.

    Lotus SameTime en Microsoft Outlook Express zijn voorbeelden van toepassingen waartoe u Smart Tunnel-toegang wilt verlenen.

    Afhankelijk van het feit of de toepassing een client is of een webtoepassing, vereist slimme tunnelconfiguratie een van de volgende procedures:

    • Maak een of meer Smart Tunnel-lijsten van de clienttoepassingen en wijs de lijst vervolgens toe aan het groepsbeleid of het lokale gebruikersbeleid waarvoor u Smart Tunnel-toegang wilt bieden.

    • Maak een of meer bladwijzerlijstvermeldingen die de URL's opgeven van de web-enabled applicaties die in aanmerking komen voor smart tunnel-toegang en wijs de lijst vervolgens toe aan de DAP's, groepsbeleid of lokaal gebruikersbeleid voor wie u smart tunnel-toegang wilt bieden.

      U kunt ook een lijst met web-enabled applicaties voor die de indiening van inloggegevens te automatiseren in smart tunnel verbindingen over clientloze SSL VPN-sessies.

    In dit document wordt ervan uitgegaan dat de configuratie van de Cisco AnyConnect SSL VPN-client al is gemaakt en naar behoren werkt, zodat de slimme tunnelfunctie kan worden geconfigureerd op de bestaande configuratie. Raadpleeg ASA 8.x: Allow Split Tunneling for AnyConnect VPN Client in het voorbeeld van de ASA-configuratie voor meer informatie over het configureren van de Cisco AnyConnect SSL VPN-client.

    Opmerking: Zorg ervoor dat de stappen 4.b tot en met 4.l beschreven in de ASA Configuration Using ASDM 6.0(2) sectie van de ASA 8.x: Allow Split Tunneling for AnyConnect VPN Client on the ASA Configuration Voorbeeld niet wordt uitgevoerd om de smart tunnel-functie te configureren.

    In dit document wordt beschreven hoe u smart tunnel configureert op Adaptive Security Appliances uit de Cisco ASA 5500-reeks.

    Voorwaarden

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco ASA Adaptive Security Appliances uit de 5500-reeks met softwareversie 8.0(2)

    • PC waarop Microsoft Vista, Windows XP SP2 of Windows 2000 Professional SP4 met Microsoft Installer versie 3.1 wordt uitgevoerd

    • Cisco Adaptive Security Device Manager (ASDM), versie 6.0(2)

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Conventies

    Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

    Achtergrondinformatie

    Smart Tunnel Access Configuration

    De smart tunnel tabel geeft de smart tunnel lijsten weer, die elk een of meer toepassingen identificeren die in aanmerking komen voor smart tunnel toegang en het bijbehorende besturingssysteem (OS). Omdat elk groepsbeleid of lokaal gebruikersbeleid één lijst met slimme tunnels ondersteunt, moet u de niet-browsergebaseerde toepassingen die worden ondersteund, groeperen in een lijst met slimme tunnels. Nadat u een lijst hebt geconfigureerd, kunt u deze toewijzen aan een of meer groepsbeleidslijnen of lokale gebruikersbeleidslijnen.

    Met het venster Smart Tunnels (Configuratie > Remote Access VPN > Clientless SSL VPN Access > Portal > Smart Tunnels) kunt u de volgende procedures uitvoeren:

    • Voeg een Smart Tunnel-lijst toe en voeg toepassingen toe aan de lijst

      Voer deze stappen uit om een lijst met slimme tunnels toe te voegen en toepassingen aan de lijst toe te voegen:

      1. Klik op Add (Toevoegen).

        Het dialoogvenster Slimme tunnellijst toevoegen verschijnt.

      2. Voer een naam in voor de lijst en klik op Toevoegen.

        ASDM opent het dialoogvenster Slimme tunnelinvoer toevoegen, waarmee u de kenmerken van een slimme tunnel aan de lijst kunt toewijzen.

      3. Nadat u de gewenste kenmerken voor de slimme tunnel hebt toegewezen, klikt u op OK.

        ASDM geeft deze kenmerken weer in de lijst.

      4. Herhaal deze stappen indien nodig om de lijst te voltooien en klik vervolgens op OK in het dialoogvenster Slimme tunnellijst toevoegen.

    • Een Smart Tunnel-lijst wijzigen

      Voer deze stappen uit om een lijst met slimme tunnels te wijzigen:

      1. Dubbelklik op de lijst of kies de lijst in de tabel en klik op Bewerken.

      2. Klik op Toevoegen om een nieuwe set slimme tunnelkenmerken in de lijst in te voegen of kies een item in de lijst en klik op Bewerken of Verwijderen.

    • Een lijst verwijderen

      Als u een lijst wilt verwijderen, kiest u de lijst in de tabel en klikt u op Verwijderen.

    • Een bladwijzer toevoegen

      Na de configuratie en toewijzing van een slimme tunnellijst, kunt u een slimme tunnel gemakkelijk te gebruiken maken door een bladwijzer voor de service toe te voegen en op de optie Slimme tunnel inschakelen te klikken in het dialoogvenster Bladwijzer toevoegen of bewerken.

    Smart Tunnel Access maakt het voor een client-TCP-gebaseerde toepassing mogelijk om een browsergebaseerde VPN-verbinding te gebruiken om verbinding te maken met een service. Het biedt de volgende voordelen voor gebruikers, in vergelijking met plug-ins en de legacy-technologie, port forwarding:

    • Smart Tunnel biedt betere prestaties dan plug-ins.

    • In tegenstelling tot port forwarding, vereenvoudigt smart tunnel de gebruikerservaring doordat de gebruikersverbinding van de lokale applicatie met de lokale poort niet nodig is.

    • In tegenstelling tot port forwarding, vereist smart tunnel niet dat gebruikers beheerdersbevoegdheden hebben.

    Vereisten, beperkingen en beperkingen voor slimme tunnels

    Algemene eisen en beperkingen

    Smart Tunnel heeft de volgende algemene eisen en beperkingen:

    • De externe host die de slimme tunnel start, moet een 32-bits versie van Microsoft Windows Vista, Windows XP of Windows 2000 of Mac OS 10.4 of 10.5 uitvoeren.

    • Automatische aanmelding bij Smart Tunnel ondersteunt alleen Microsoft Internet Explorer onder Windows.

    • De browser moet zijn ingeschakeld met Java, Microsoft ActiveX of beide.

    • Smart Tunnel ondersteunt alleen proxy's die worden geplaatst tussen computers waarop Microsoft Windows en het beveiligingstoestel worden uitgevoerd. Smart Tunnel maakt gebruik van de Internet Explorer-configuratie (dat wil zeggen, degene die bedoeld is voor systeembreed gebruik in Windows). Als voor de externe computer een proxyserver nodig is om het beveiligingstoestel te bereiken, moet de URL van het einde van de verbinding worden vermeld in de lijst met URL's die zijn uitgesloten van proxyservices. Als de proxyconfiguratie aangeeft dat het verkeer dat bestemd is voor de ASA via een proxy verloopt, gaat al het slimme tunnelverkeer via de proxy.

      In een HTTP-gebaseerd scenario voor externe toegang biedt een subnet soms geen gebruikerstoegang tot de VPN-gateway. In dit geval biedt een proxy die voor de ASA wordt geplaatst om verkeer tussen het web en de locatie van de eindgebruiker te routeren, webtoegang. Alleen VPN-gebruikers kunnen echter proxy's configureren die voor de ASA zijn geplaatst. Daarbij moeten ze ervoor zorgen dat deze proxy's de CONNECT-methode ondersteunen. Voor proxy's die verificatie vereisen, ondersteunt Smart Tunnel alleen het basistype voor verificatie.

    • Wanneer de slimme tunnel wordt gestart, tunnelt het beveiligingsapparaat al het verkeer van de browser die de gebruiker heeft gebruikt om de clientloze sessie te starten. Als de gebruiker een ander exemplaar van het browserproces start, geeft het al het verkeer door aan de tunnel. Als het browserproces hetzelfde is en het beveiligingstoestel geen toegang biedt tot een bepaalde URL, kan de gebruiker deze niet openen. Als tijdelijke oplossing kan de gebruiker een andere browser gebruiken dan die welke wordt gebruikt om de clientloze sessie vast te stellen.

    • Een stateful failover behoudt geen slimme tunnelverbindingen. Gebruikers moeten opnieuw verbinding maken na een failover.

    Windows-vereisten en -beperkingen

    De volgende vereisten en beperkingen zijn alleen van toepassing op Windows:

    • Alleen toepassingen op basis van Winsock 2 en TCP komen in aanmerking voor toegang tot slimme tunnels.

    • Het beveiligingstoestel biedt geen ondersteuning voor de Microsoft Outlook Exchange (MAPI)-proxy. Noch port forwarding, noch de slimme tunnel ondersteunt MAPI. Voor communicatie via Microsoft Outlook Exchange met behulp van het MAPI-protocol moeten externe gebruikers AnyConnect gebruiken.

    • Gebruikers van Microsoft Windows Vista die gebruik maken van smart tunnel of port forwarding moeten de URL van de ASA toevoegen aan de Trusted Site zone. Als u toegang wilt krijgen tot de zone Vertrouwde site, start u Internet Explorer en kiest u Extra > Internetopties en klikt u op het tabblad Beveiliging. Vista-gebruikers kunnen ook de beveiligde modus uitschakelen om toegang tot slimme tunnels te vergemakkelijken; Cisco raadt deze methode echter af omdat deze de kwetsbaarheid voor aanvallen vergroot.

    Vereisten en beperkingen voor Mac OS

    Deze vereisten en beperkingen zijn alleen van toepassing op Mac OS:

    • Safari 3.1.1 of hoger of Firefox 3.0 of hoger

    • Sun JRE 1.5 of hoger

    • Alleen toepassingen die vanaf de portaalpagina zijn gestart, kunnen slimme tunnelverbindingen tot stand brengen. Deze vereiste omvat slimme tunnelondersteuning voor Firefox. Firefox gebruiken om een andere instantie van Firefox te starten tijdens het eerste gebruik van een slimme tunnel vereist het gebruikersprofiel met de naam csco_st. Als dit gebruikersprofiel niet aanwezig is, vraagt de sessie de gebruiker om er een aan te maken.

    • Toepassingen die TCP gebruiken en die dynamisch gekoppeld zijn aan de SSL-bibliotheek kunnen via een slimme tunnel werken.

    • Smart Tunnel biedt geen ondersteuning voor deze functies en toepassingen op Mac OS:

      • Proxyservices

      • Automatische aanmelding

      • Toepassingen die naamruimten met twee niveaus gebruiken

      • Consolegebaseerde toepassingen, zoals Telnet, SSH en cURL

      • Toepassingen die dlopen of dlsym gebruiken om libsocketoproepen te vinden

      • Statisch gekoppelde toepassingen om libsocketoproepen te lokaliseren

    Configureren

    Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

    Lijst met slimme tunnels toevoegen of bewerken

    Met het dialoogvenster Lijst slimme tunnel toevoegen kunt u een lijst met items voor slimme tunnel toevoegen aan de configuratie van het beveiligingstoestel. Met het dialoogvenster Slimme tunnellijst bewerken kunt u de inhoud van de lijst wijzigen.

    Veld

    Lijstnaam—Voer een unieke naam in voor de lijst met toepassingen of programma's. Er is geen beperking op het aantal karakters in de naam. Gebruik geen spaties. Na de configuratie van de lijst met slimme tunnels wordt de naam van de lijst weergegeven naast het kenmerk Lijst met slimme tunnels in het beleid voor clientloze SSL VPN-groepen en het beleid voor lokale gebruikers. Wijs een naam toe die u helpt de inhoud of het doel ervan te onderscheiden van andere lijsten die u waarschijnlijk gaat configureren.

    Smart Tunnel-item toevoegen of bewerken

    In het dialoogvenster Slimme tunnelinvoer toevoegen of bewerken kunt u de kenmerken van een toepassing opgeven in een lijst met slimme tunnelelementen.

    • Toepassings-ID: Voer een tekenreeks in om het item een naam te geven in de lijst met slimme tunnels. De string is uniek voor het OS. Typisch, het noemt de aanvraag om te worden verleend smart tunnel toegang. Als u meerdere versies van een toepassing wilt ondersteunen waarvoor u verschillende paden of hashwaarden wilt opgeven, kunt u dit kenmerk gebruiken om items te onderscheiden, waarbij u het besturingssysteem en de naam en versie van de toepassing opgeeft die door elk lijstitem wordt ondersteund. De string kan maximaal 64 karakters bevatten.

    • Procesnaam—Voer de bestandsnaam of het pad naar de toepassing in. De string kan maximaal 128 karakters bevatten

      Windows vereist een exacte overeenkomst van deze waarde met de rechterkant van het toepassingspad op de externe host om de toepassing in aanmerking te laten komen voor toegang tot slimme tunnels. Als u alleen de bestandsnaam voor Windows opgeeft, dwingt SSL VPN geen locatiebeperking af op de externe host om de toepassing in aanmerking te laten komen voor slimme tunneltoegang.

      Als u een pad opgeeft en de gebruiker de toepassing op een andere locatie heeft geïnstalleerd, komt die toepassing niet in aanmerking. De toepassing kan op elk pad blijven staan zolang de rechterkant van de tekenreeks overeenkomt met de waarde die u invoert.

      Om een aanvraag voor toegang tot een slimme tunnel te autoriseren als deze aanwezig is op een van de verschillende paden op de externe host, specificeert u alleen de naam en uitbreiding van de toepassing in dit veld of maakt u een unieke toegang tot de slimme tunnel voor elk pad.

      Als u voor Windows vanaf de opdrachtprompt Smart Tunnel-toegang wilt toevoegen aan een toepassing die is gestart, moet u "cmd.exe" opgeven in de procesnaam van één item in de lijst Smart Tunnel en het pad naar de toepassing zelf opgeven in een ander item, omdat "cmd.exe" de bovenliggende naam van de toepassing is.

      Mac OS vereist het volledige pad naar het proces en is hoofdlettergevoelig. Om te voorkomen dat u een pad opgeeft voor elke gebruikersnaam, voegt u een tilde (~) in vóór het gedeeltelijke pad (bijvoorbeeld ~/bin/vnc).

    • OS—Klik op Windows of Mac om het host-besturingssysteem van de toepassing op te geven.

    • Hash—(Optioneel en alleen van toepassing op Windows) Om deze waarde te verkrijgen, voert u de controlesom van het uitvoerbare bestand in een hulpprogramma dat een hash berekent met behulp van het SHA-1-algoritme. Een voorbeeld van een dergelijk hulpprogramma is de Microsoft File Checksum Integrity Verifier (FCIV), die beschikbaar is bij Beschikbaarheid en beschrijving van het hulpprogramma File Checksum Integrity Verifier. Plaats na het installeren van FCIV een tijdelijke kopie van de toepassing die moet worden gehasht op een pad dat geen spaties bevat (bijvoorbeeld c:/fciv.exe) en voer vervolgens de toepassing fciv.exe -sha1 in op de opdrachtregel (bijvoorbeeld fciv.exe -sha1 c:\msimn.exe) om de SHA-1-hash weer te geven.

      De SHA-1 hash bestaat altijd uit 40 hexadecimale tekens.

      Voordat een applicatie voor smart tunnel-toegang wordt goedgekeurd, berekent clientless SSL VPN de hash van de applicatie die overeenkomt met de applicatie-ID. Het kwalificeert de toepassing voor toegang tot slimme tunnels als het resultaat overeenkomt met de waarde van hash.

      Het invoeren van een hash biedt een redelijke garantie dat SSL VPN niet in aanmerking komt voor een onrechtmatig bestand dat overeenkomt met de string die u hebt opgegeven in de applicatie-ID. Omdat de checksum varieert met elke versie of patch van een applicatie, kan de hash die u invoert slechts overeenkomen met één versie of patch op de externe host. Als u een hash voor meer dan één versie van een toepassing wilt opgeven, maakt u voor elke hash-waarde een unieke vermelding voor een slimme tunnel.

      Opmerking: U moet de lijst met slimme tunnels in de toekomst bijwerken als u hashwaarden invoert en toekomstige versies of patches van een toepassing met toegang tot slimme tunnels wilt ondersteunen. Een plots probleem met smart tunnel-toegang kan een indicatie zijn dat de toepassing met hashwaarden niet up-to-date is met een applicatie-upgrade. Je kunt dit probleem voorkomen door geen hash in te voeren.

    • Nadat u de lijst met slimme tunnels hebt geconfigureerd, moet u deze toewijzen aan een groepsbeleid of een lokaal gebruikersbeleid om als volgt actief te worden:

      • Als u de lijst wilt toewijzen aan een groepsbeleid, kiest u Config > Remote Access VPN > Clientless SSL VPN Access > Groepsbeleid > Toevoegen of Bewerken > Portal, en kiest u de naam van de slimme tunnel in de vervolgkeuzelijst naast het kenmerk Smart Tunnel List.

      • Als u de lijst wilt toewijzen aan een lokaal gebruikersbeleid, kiest u Config > Remote Access VPN > AAA Setup > Local Users > Add or Edit > VPN Policy > Clientless SSL VPN, en kiest u de naam van de slimme tunnel in de vervolgkeuzelijst naast het kenmerk Smart Tunnel List.

    ASA Smart Tunnel (Lotus voorbeeld) Configuratie met ASDM 6.0(2)

    In dit document wordt ervan uitgegaan dat de basisconfiguratie, zoals de interfaceconfiguratie, volledig is en naar behoren werkt.

    Voer deze stappen uit om een slimme tunnel te configureren:

    Opmerking: In dit configuratievoorbeeld wordt de slimme tunnel geconfigureerd voor de Lotus-toepassing.

    1. Kies Configuratie > Remote Access VPN > Clientless SSL VPN Access > Portal > Smart Tunnels om de Smart Tunnel-configuratie te starten.

      smart-tunnel-asa-01.gif

    2. Klik op Add (Toevoegen).

      smart-tunnel-asa-02.gif

      Het dialoogvenster Slimme tunnellijst toevoegen verschijnt.

      smart-tunnel-asa-03.gif

    3. Klik in het dialoogvenster Slimme tunnellijst toevoegen op Toevoegen.

      Het dialoogvenster Slimme tunnelinvoer toevoegen verschijnt.

      smart-tunnel-asa-04.gif

    4. Voer in het veld Toepassing-ID een tekenreeks in om de vermelding in de lijst met slimme tunnels te identificeren.

    5. Voer een bestandsnaam en extensie in voor de toepassing en klik op OK.

    6. Klik in het dialoogvenster Slimme tunnellijst toevoegen op OK.

      smart-tunnel-asa-05.gif

      Opmerking: hier is de equivalente CLI-configuratieopdracht:

      Cisco ASA 8.0(2) 
      ciscoasa(config)#smart-tunnel list lotus LotusSametime connect.exe

    7. Wijs de lijst als volgt toe aan het groepsbeleid en het lokale gebruikersbeleid waaraan u Smart Tunnel-toegang wilt verlenen tot de bijbehorende toepassingen:

      Als u de lijst wilt toewijzen aan een groepsbeleid, kiest u Configuratie > Externe toegang VPN> Clientless SSL VPN Access > Groepsbeleid en klikt u op Toevoegen of Bewerken.

      smart-tunnel-asa-06.gif

      Het dialoogvenster Beleid interne groep toevoegen wordt weergegeven.

      smart-tunnel-asa-07.gif

    8. Klik in het dialoogvenster Intern groepsbeleid toevoegen op Portaal, kies de naam van de slimme tunnel in de vervolgkeuzelijst Slimme tunnellijst en klik op OK.

      Opmerking: In dit voorbeeld wordt Lotus als de lijstnaam voor slimme tunnels gebruikt.

    9. Als u de lijst wilt toewijzen aan een lokaal gebruikersbeleid, kiest u Configuratie > Externe toegang VPN> AAA-instellingen > Lokale gebruikers en klikt u op Toevoegen om een nieuwe gebruiker te configureren of klikt u op Bewerken om een bestaande gebruiker te bewerken.

      smart-tunnel-asa-09.gif

      Het dialoogvenster Gebruikersaccount bewerken wordt weergegeven.

      smart-tunnel-asa-08.gif

    10. Klik in het dialoogvenster Gebruikersaccount bewerken op Clientless SSL VPN, kies de naam van de slimme tunnel in de vervolgkeuzelijst Smart Tunnel List en klik op OK.

      Opmerking: In dit voorbeeld wordt Lotus als de lijstnaam voor slimme tunnels gebruikt.

    De Smart Tunnel configuratie is compleet.

    Problemen oplossen

    Ik kan geen verbinding maken met behulp van een gemarkeerde Smart Tunnel URL in het clientless portal. Waarom komt dit probleem voor en hoe kan ik het oplossen?

    Dit probleem treedt op als gevolg van het probleem dat wordt beschreven in Cisco Bug ID CSCsx05766 (alleen geregistreerde klanten). Om dit probleem op te lossen, moet u de Java Runtime-plug-in downgraden naar een oudere versie.

    Kan ik de URL van een slimme tunnellink die is geconfigureerd in WebVPN, vervalsen?

    Wanneer smart tunnel wordt gebruikt op de ASA, kunt u de URL niet vervalsen of de adresbalk van de browser verbergen. Gebruikers kunnen de URL's bekijken van koppelingen die zijn geconfigureerd in WebVPN en die gebruikmaken van smart tunnel. Als gevolg hiervan kunnen ze de poort wijzigen en toegang krijgen tot de server voor een andere service.

    Gebruik WebType ACL's om dit probleem op te lossen. Zie WebType Access Control Lists voor meer informatie.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    22-Oct-2009
    Eerste vrijgave

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten