ASA: Exemplo de Configuração de Túnel Inteligente Usando ASDM

Opções de download

  • PDF     (354.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (201.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (432.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:22 de abril de 2021
ID do documento:111007

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Um túnel inteligente é uma conexão entre um aplicativo baseado em TCP e um site privado, usando uma sessão VPN SSL sem cliente (baseada em navegador) com o Security Appliance como o caminho e o Security Appliance como um servidor proxy. Você pode identificar os aplicativos aos quais deseja conceder acesso de túnel inteligente e especificar o caminho local para cada aplicativo. Para aplicativos executados no Microsoft Windows, você também pode exigir uma correspondência do hash SHA-1 da soma de verificação como uma condição para conceder acesso de túnel inteligente.

    Lotus SameTime e Microsoft Outlook Express são exemplos de aplicativos aos quais você pode querer conceder acesso de túnel inteligente.

    Dependendo se o aplicativo é um cliente ou um aplicativo habilitado para Web, a configuração do túnel inteligente requer um destes procedimentos:

    • Crie uma ou mais listas de túneis inteligentes dos aplicativos cliente e atribua a lista às políticas de grupo ou políticas de usuário local para quem você deseja fornecer acesso ao túnel inteligente.

    • Crie uma ou mais entradas da lista de favoritos que especifiquem as URLs dos aplicativos habilitados para Web elegíveis para acesso ao túnel inteligente e, em seguida, atribua a lista aos DAPs, políticas de grupo ou políticas de usuário local para quem você deseja fornecer acesso ao túnel inteligente.

      Você também pode listar aplicativos habilitados para Web para os quais automatizar o envio de credenciais de login em conexões de túnel inteligente em sessões VPN SSL sem cliente.

    Este documento pressupõe que a configuração do Cisco AnyConnect SSL VPN Client já foi feita e funciona corretamente para que o recurso de túnel inteligente possa ser configurado na configuração existente. Para obter mais informações sobre como configurar o Cisco AnyConnect SSL VPN Client, consulte ASA 8.x: Permitir o tunelamento dividido para AnyConnect VPN Client no exemplo de configuração do ASA.

    Observação: certifique-se de que as etapas 4.b a 4.l descritas na seção Configuração do ASA Usando o ASDM 6.0(2) do ASA 8.x : Permitir separação de túneis para o AnyConnect VPN Client no exemplo de configuração do ASA não é executado para configurar o recurso de túnel inteligente.

    Este documento descreve como configurar o túnel smart nos Cisco ASA 5500 Series Adaptive Security Appliances.

    Pré-requisitos

    Requisitos

    Não existem requisitos específicos para este documento.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco ASA 5500 Series Adaptive Security Appliances com software versão 8.0(2)

    • PC com Microsoft Vista, Windows XP SP2 ou Windows 2000 Professional SP4 com Microsoft Installer versão 3.1

    • Cisco Adaptive Security Device Manager (ASDM) versão 6.0(2)

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

    Conventions

    Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

    Informações de Apoio

    Configuração de acesso ao túnel inteligente

    A tabela de túneis inteligentes exibe as listas de túneis inteligentes, cada uma das quais identifica um ou mais aplicativos qualificados para o acesso ao túnel inteligente e seu sistema operacional (SO) associado. Como cada política de grupo ou política de usuário local oferece suporte a uma lista de túneis inteligentes, você deve agrupar os aplicativos não baseados em navegador para obter suporte em uma lista de túneis inteligentes. Após a configuração de uma lista, você pode atribuí-la a uma ou mais políticas de grupo ou políticas de usuário local.

    A janela de túneis inteligentes (Configuração > VPN de acesso remoto > Acesso VPN SSL sem cliente > Portal > Túneis inteligentes) permite concluir estes procedimentos:

    • Adicionar uma Smart Tunnel List e Adicionar Aplicativos à Lista

      Conclua estes passos para adicionar uma lista de túneis inteligentes e adicionar aplicativos à lista:

      1. Clique em Add.

        A caixa de diálogo Add Smart Tunnel List (Adicionar lista de túneis inteligentes) é exibida.

      2. Insira um nome para a lista e clique em Add.

        O ASDM abre a caixa de diálogo Add Smart Tunnel Entry, que permite atribuir os atributos de um túnel inteligente à lista.

      3. Depois de designar os atributos desejados para o túnel inteligente, clique em OK.

        O ASDM exibe esses atributos na lista.

      4. Repita essas etapas conforme necessário para concluir a lista e clique em OK na caixa de diálogo Add Smart Tunnel List.

    • Alterar uma lista de túneis inteligentes

      Conclua estas etapas para alterar uma lista de túneis inteligentes:

      1. Clique duas vezes na lista ou escolha a lista na tabela e clique em Editar.

      2. Clique em Add para inserir um novo conjunto de atributos de túnel inteligente na lista ou escolha uma entrada na lista e clique em Edit ou Delete.

    • Remover uma lista

      Para remover uma lista, escolha a lista na tabela e clique em Excluir.

    • Adicionar um favorito

      Após a configuração e atribuição de uma lista de túneis inteligentes, você pode facilitar o uso de um túnel inteligente adicionando um marcador para o serviço e clicando na opção Habilitar túnel inteligente na caixa de diálogo Adicionar ou editar marcador.

    O acesso de túnel inteligente permite que um aplicativo cliente baseado em TCP use uma conexão VPN baseada em navegador para se conectar a um serviço. Ele oferece as seguintes vantagens para os usuários, em comparação com plugins e a tecnologia legada, encaminhamento de portas:

    • O túnel inteligente oferece melhor desempenho do que os plug-ins.

    • Diferentemente do encaminhamento de portas, o túnel inteligente simplifica a experiência do usuário, pois não exige a conexão do usuário do aplicativo local à porta local.

    • Diferentemente do encaminhamento de portas, o túnel inteligente não exige que os usuários tenham privilégios de administrador.

    Requisitos, restrições e limitações de túneis inteligentes

    Requisitos e limitações gerais

    O túnel inteligente tem os seguintes requisitos e limitações gerais:

    • O host remoto que originou o túnel inteligente deve executar uma versão de 32 bits do Microsoft Windows Vista, Windows XP ou Windows 2000; ou Mac OS 10.4 ou 10.5.

    • A conexão automática de túnel inteligente oferece suporte apenas ao Microsoft Internet Explorer no Windows.

    • O navegador deve ser habilitado com Java, Microsoft AtiveX ou ambos.

    • O túnel inteligente suporta apenas proxies colocados entre computadores que executam o Microsoft Windows e o Security Appliance. O túnel inteligente usa a configuração do Internet Explorer (ou seja, aquela destinada ao uso em todo o sistema no Windows). Se o computador remoto exigir um servidor proxy para acessar o Security Appliance, a URL da extremidade de terminação da conexão deverá estar na lista de URLs excluídas dos serviços proxy. Se a configuração do proxy especificar que o tráfego destinado ao ASA passa por um proxy, todo o tráfego do túnel inteligente passa pelo proxy.

      Em um cenário de acesso remoto baseado em HTTP, às vezes uma sub-rede não fornece acesso de usuário ao gateway VPN. Nesse caso, um proxy colocado na frente do ASA para rotear o tráfego entre a Web e o local do usuário final fornece acesso à Web. No entanto, somente usuários VPN podem configurar proxies colocados na frente do ASA. Ao fazer isso, eles devem certificar-se de que esses proxies suportem o método CONNECT. Para proxies que requerem autenticação, o túnel inteligente suporta apenas o tipo de autenticação digest básico.

    • Quando o túnel inteligente é iniciado, o Security Appliance faz o encapsulamento de todo o tráfego do processo do navegador usado pelo usuário para iniciar a sessão sem cliente. Se o usuário iniciar outra instância do processo do navegador, ele passará todo o tráfego para o túnel. Se o processo do navegador for o mesmo e o Security Appliance não fornecer acesso a um determinado URL, o usuário não poderá abri-lo. Como solução alternativa, o usuário pode usar um navegador diferente daquele usado para estabelecer a sessão sem cliente.

    • Um failover stateful não retém conexões de túnel inteligente. Os usuários devem se reconectar após um failover.

    Requisitos e limitações do Windows

    Os seguintes requisitos e limitações aplicam-se somente ao Windows:

    • Apenas aplicativos baseados em TCP Winsock 2 são qualificados para acesso de túnel inteligente.

    • O Security Appliance não oferece suporte ao proxy MAPI (Microsoft Outlook Exchange). Nem o encaminhamento de portas nem o túnel inteligente oferecem suporte a MAPI. Para a comunicação do Microsoft Outlook Exchange usando o protocolo MAPI, os usuários remotos devem usar o AnyConnect.

    • Os usuários do Microsoft Windows Vista que usam o túnel inteligente ou o encaminhamento de portas devem adicionar a URL do ASA à zona de Site Confiável. Para acessar a zona de Site Confiável, inicie o Internet Explorer, escolha Ferramentas > Opções da Internet e clique na guia Segurança. Os usuários do Vista também podem desativar o Modo Protegido para facilitar o acesso ao túnel inteligente; no entanto, a Cisco recomenda esse método, pois ele aumenta a vulnerabilidade a ataques.

    Requisitos e limitações do Mac OS

    Esses requisitos e limitações aplicam-se somente ao Mac OS:

    • Safari 3.1.1 ou posterior ou Firefox 3.0 ou posterior

    • Sun JRE 1.5 ou posterior

    • Somente os aplicativos iniciados na página do portal podem estabelecer conexões de túnel inteligente. Esse requisito inclui suporte de túnel inteligente para o Firefox. Usar o Firefox para iniciar outra instância do Firefox durante o primeiro uso de um túnel inteligente requer o perfil de usuário chamado cisco_st. Se esse perfil de usuário não estiver presente, a sessão solicitará que o usuário crie um.

    • Os aplicativos que usam TCP vinculados dinamicamente à biblioteca SSL podem funcionar em um túnel inteligente.

    • O túnel inteligente não oferece suporte a estes recursos e aplicativos no Mac OS:

      • Serviços de proxy

      • Logon automático

      • Aplicativos que usam espaços de nome de dois níveis

      • Aplicativos baseados em console, como Telnet, SSH e cURL

      • Aplicativos que usam dlopen ou dlsym para localizar chamadas libsocket

      • Aplicativos vinculados estaticamente para localizar chamadas libsocket

    Configurar

    Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

    Adicionar ou editar Smart Tunnel List

    A caixa de diálogo Add Smart Tunnel List (Adicionar lista de túneis inteligentes) permite adicionar uma lista de entradas de túneis inteligentes à configuração do Security Appliance. A caixa de diálogo Editar Smart Tunnel List permite modificar o conteúdo da lista.

    Campo

    Nome da lista — Digite um nome exclusivo para a lista de aplicativos ou programas. Não há restrição quanto ao número de caracteres no nome. Não use espaços. Após a configuração da lista de túneis inteligentes, o nome da lista aparece ao lado do atributo Smart Tunnel List nas políticas de grupo VPN SSL sem clientes e políticas de usuário local. Atribua um nome que o ajudará a distinguir seu conteúdo ou propósito de outras listas que você provavelmente irá configurar.

    Adicionar ou editar entrada de túnel inteligente

    A caixa de diálogo Add or Edit Smart Tunnel Entry permite especificar os atributos de uma aplicação em uma lista de túneis inteligentes.

    • ID do aplicativo — Digite uma string para nomear a entrada na lista de túneis inteligentes. A sequência de caracteres é exclusiva do sistema operacional. Normalmente, ele nomeia o aplicativo a receber o acesso de túnel inteligente. Para suportar várias versões de um aplicativo para o qual você opta por especificar diferentes caminhos ou valores de hash, você pode usar este atributo para diferenciar entradas, especificando o SO e o nome e a versão do aplicativo suportado por cada entrada de lista. A string pode ter até 64 caracteres.

    • Nome do processo — Insira o nome do arquivo ou o caminho para o aplicativo. A string pode ter até 128 caracteres

      O Windows exige uma correspondência exata desse valor com o lado direito do caminho do aplicativo no host remoto para qualificar o aplicativo para acesso de túnel inteligente. Se você especificar apenas o nome de arquivo para Windows, a VPN SSL não aplicará uma restrição de local no host remoto para qualificar o aplicativo para acesso de túnel inteligente.

      Se você especificar um caminho e o usuário tiver instalado o aplicativo em outro local, esse aplicativo não será qualificado. O aplicativo pode residir em qualquer caminho, desde que o lado direito da string corresponda ao valor inserido.

      Para autorizar um aplicativo para acesso de túnel inteligente se ele estiver presente em um dos vários caminhos no host remoto, especifique apenas o nome e a extensão do aplicativo nesse campo ou crie uma entrada de túnel inteligente exclusiva para cada caminho.

      No Windows, se quiser adicionar o acesso de túnel inteligente a um aplicativo iniciado no prompt de comando, você deve especificar "cmd.exe" no nome do processo de uma entrada na lista de túneis inteligentes e especificar o caminho para o aplicativo em outra entrada porque "cmd.exe" é o pai do aplicativo.

      O Mac OS requer o caminho completo para o processo e diferencia maiúsculas de minúsculas. Para evitar a especificação de um caminho para cada nome de usuário, insira um til (~) antes do caminho parcial (por exemplo, ~/bin/vnc).

    • OS — Clique em Windows ou Mac para especificar o SO host do aplicativo.

    • Hash—(Opcional e aplicável apenas para Windows) Para obter esse valor, insira o checksum do arquivo executável em um utilitário que calcula um hash usando o algoritmo SHA-1. Um exemplo de tal utilitário é o Microsoft File Checksum Integrity Verifier (FCIV), que está disponível em Disponibilidade e descrição do utilitário File Checksum Integrity Verifier. Depois de instalar o FCIV, coloque uma cópia temporária do aplicativo a ser submetido a hash em um caminho que não contenha espaços (por exemplo, c:/fciv.exe) e insira o aplicativo fciv.exe -sha1 na linha de comando (por exemplo, fciv.exe -sha1 c:\msimn.exe) para exibir o hash SHA-1.

      O hash SHA-1 tem sempre 40 caracteres hexadecimais.

      Antes de autorizar um aplicativo para acesso de túnel inteligente, a VPN SSL sem cliente calcula o hash do aplicativo correspondente à ID do aplicativo. Ele qualifica o aplicativo para acesso de túnel inteligente se o resultado corresponder ao valor de hash.

      Inserir um hash fornece uma garantia razoável de que a VPN SSL não qualifica um arquivo ilegítimo que corresponda à cadeia de caracteres especificada na ID do aplicativo. Como a soma de verificação varia com cada versão ou patch de um aplicativo, o hash que você digitar só pode corresponder a uma versão ou patch no host remoto. Para especificar um hash para mais de uma versão de um aplicativo, crie uma entrada de túnel inteligente exclusiva para cada valor de hash.

      Observação: Você deverá atualizar a lista de túneis inteligentes no futuro se informar valores de hash e quiser suportar versões futuras ou patches de um aplicativo com acesso de túnel inteligente. Um problema repentino com o acesso de túnel inteligente pode ser uma indicação de que o aplicativo que contém valores de hash não está atualizado com uma atualização de aplicativo. Você pode evitar esse problema não inserindo um hash.

    • Depois de configurar a lista de túneis inteligentes, você deve atribuí-la a uma política de grupo ou a uma política de usuário local para que ela se torne ativa, da seguinte maneira:

      • Para atribuir a lista a uma política de grupo, escolha Config > Remote Access VPN > Clientless SSL VPN Access > Group Policies > Add or Edit > Portal e escolha o nome do túnel inteligente na lista suspensa ao lado do atributo Smart Tunnel List.

      • Para atribuir a lista a uma política de usuário local, escolha Config > Remote Access VPN> AAA Setup > Local Users > Add or Edit > VPN Policy > Clientless SSL VPN e escolha o nome do túnel inteligente na lista suspensa ao lado do atributo Smart Tunnel List.

    Configuração do ASA Smart Tunnel (exemplo do Lotus) usando o ASDM 6.0(2)

    Este documento pressupõe que a configuração básica, como a configuração de interface, está completa e funciona corretamente.

    Conclua estas etapas para configurar um túnel inteligente:

    Observação: neste exemplo de configuração, o túnel inteligente é configurado para o aplicativo Lotus.

    1. Escolha Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Smart Tunnels para iniciar a configuração do Smart Tunnel.

      smart-tunnel-asa-01.gif

    2. Clique em Add.

      smart-tunnel-asa-02.gif

      A caixa de diálogo Add Smart Tunnel List (Adicionar lista de túneis inteligentes) é exibida.

      smart-tunnel-asa-03.gif

    3. Na caixa de diálogo Add Smart Tunnel List (Adicionar lista de túneis inteligentes), clique em Add.

      A caixa de diálogo Add Smart Tunnel Entry (Adicionar entrada de túnel inteligente) é exibida.

      smart-tunnel-asa-04.gif

    4. No campo ID do aplicativo, digite uma string para identificar a entrada na lista de túneis inteligentes.

    5. Insira um nome de arquivo e uma extensão para o aplicativo e clique em OK.

    6. Na caixa de diálogo Add Smart Tunnel List, clique em OK.

      smart-tunnel-asa-05.gif

      Observação: este é o comando de configuração CLI equivalente:

      Cisco ASA 8.0(2) 
      ciscoasa(config)#smart-tunnel list lotus LotusSametime connect.exe

    7. Atribua a lista às políticas de grupo e políticas de usuário local às quais deseja fornecer acesso de túnel inteligente aos aplicativos associados da seguinte maneira:

      Para atribuir a lista a uma política de grupo, escolha Configuration > Remote Access VPN > Clientless SSL VPN Access > Group Policies e clique em Add ou Edit.

      smart-tunnel-asa-06.gif

      A caixa de diálogo Add Internal Group Policy é exibida.

      smart-tunnel-asa-07.gif

    8. Na caixa de diálogo Add Internal Group Policy, clique em Portal, escolha o nome do túnel inteligente na lista suspensa Smart Tunnel List e clique em OK.

      Observação: este exemplo usa Lotus como o nome da lista de túneis inteligentes.

    9. Para atribuir a lista a uma política de usuário local, escolha Configuration > Remote Access VPN > AAA Setup > Local Users e clique em Add para configurar um novo usuário ou clique em Edit para editar um usuário existente.

      smart-tunnel-asa-09.gif

      A caixa de diálogo Editar conta de usuário é exibida.

      smart-tunnel-asa-08.gif

    10. Na caixa de diálogo Edit User Account, clique em Clientless SSL VPN, escolha o nome do túnel inteligente na lista suspensa Smart Tunnel List e clique em OK.

      Observação: este exemplo usa Lotus como o nome da lista de túneis inteligentes.

    A configuração do túnel inteligente está concluída.

    Troubleshooting

    Não consigo me conectar usando um URL de túnel inteligente marcado como favorito no portal sem cliente. Por que esse problema ocorre e como posso resolvê-lo?

    Esse problema ocorre devido ao problema descrito na ID de bug Cisco CSCsx05766 (somente clientes registrados) . Para resolver esse problema, faça o downgrade do plug-in de tempo de execução Java para uma versão mais antiga.

    Posso distorcer a URL de um link de túnel inteligente configurado no WebVPN?

    Quando o túnel inteligente é usado no ASA, você não pode distorcer a URL ou ocultar a barra de endereços do navegador. Os usuários podem exibir as URLs de links configurados na WebVPN que usam o túnel inteligente. Como resultado, eles podem alterar a porta e acessar o servidor para algum outro serviço.

    Para resolver esse problema, use ACLs WebType. Consulte Listas de Controle de Acesso WebType para obter mais informações.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    22-Oct-2009
    Versão inicial

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos