Exemplo de Configuração de Cliente VPN SSL (SVC) com o ASDM no ASA

Transcrição

1 Exemplo de Configuração de Cliente VPN SSL (SVC) com o ASDM no ASA Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Diagrama de Rede Tarefas de Pré-configuração Convenções Configuração do Cliente VPN SSL em um ASA Passo Habilitação do Acesso WebVPN no ASA Passo 2. Instalação e Habilitação do Cliente VPN SSL no ASA Passo 3. Habilitação da Instalação do SVC nos Clientes Passo 4. Habilitação dos Parâmetros de Recodificação Resultados Personalização da Sua Configuração Passo Criação de uma Política de Grupo Personalizada Passo 2. Criação de Grupo de Túneis Personalizado Passo 3. Criação e Adição de Usuários à sua Política de Grupo Personalizada Verificação Autenticação Configuração Comandos Troubleshooting O SVC Estabeleceu uma Sessão Segura com o ASA? As Sessões Seguras Estão Sendo Estabelecidas e Concluídas com Êxito? Verificação do Pool de IPs no Perfil da WebVPN Dicas Comandos Introdução A tecnologia de Virtual Private Network (VPN) sobre Secure Socket Layer (SSL) permite que você se conecte com segurança a uma rede corporativa interna a partir de qualquer local com a utilização de um destes métodos: VPN SSL sem Cliente (WebVPN) Fornece um cliente remoto que necessita de um navegador da Web habilitado para SSL para acessar servidores da Web com HTTP ou HTTPS em uma LAN corporativa. Além disso, a VPN SSL sem cliente fornece acesso para a busca de arquivos Windows por meio do protocolo Common Internet File System (CIFS). O Outlook Web Access (OWA) é um exemplo de acesso por HTTP. Consulte Exemplo de Configuração do VPN SSL Sem Cliente (WebVPN) no ASA para aprender mais sobre VPNs SSL sem cliente. VPN SSL Thin-Client (Encaminhamento de Portas) Fornece um cliente remoto que baixa um pequeno applet Java e permite o acesso seguro para aplicativos de Transmission Control Protocol (TCP) que utilizam números de portas estáticos. Alguns exemplos de acesso seguro são o Point of Presence (POP3), Simple Mail Transfer Protocol (SMTP), Internet Message Access Protocol (IMAP), Secure Shell (ssh) e Telnet. Como os arquivos na máquina local são alterados, os usuários devem possuir privilégios administrativos locais para utilizar esse método. Esse método de VPN SSL não funciona com aplicativos que utilizam atribuição dinâmica de portas, tais como alguns aplicativos de FTP. Consulte Exemplo de Configuração do VPN SSL Thin-Client (WebVPN) com o ASDM no ASA para aprender mais sobre VPN SSL Thin- Client. Nota: Não há suporte ao User Datagram Protocol (UDP). Cliente VPN SSL (Modo de Túnel) Baixa um pequeno cliente da estação de trabalho remota e permite acesso completo e seguro aos recursos da rede corporativa interna. Você pode baixar o cliente VPN SSL (SVC) em uma estação de trabalho permanentemente ou pode remover o cliente tão logo a sessão segura seja fechada.

2 Este documento descreve como configurar o SVC em um Adaptive Security Appliance (ASA) usando o Adaptive Security Device Manager (ASDM). As linhas de comando resultantes dessa configuração estão listadas na seção Resultados. Pré-requisitos Requisitos Antes de você tentar essa configuração verifique se estes requisitos são atendidos: Privilégios administrativos locais em todas as estações de trabalho remotas Controles Java e ActiveX na estação de trabalho remota Porta 443 desbloqueada por todo o caminho da conexão Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware: Cisco Adaptive Security Appliance Software versão 7.2(1) Cisco Adaptive Security Device Manager 5.2(1) Cisco Adaptive Security Appliance 5510 Series Microsoft Windows XP Professional SP 2 As informações neste documento foram desenvolvidas em um ambiente de laboratório. Todos os dispositivos utilizados neste documento foram redefinidos para suas configurações padrão. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. Todos os endereços IP utilizados nesta configuração foram selecionados entre endereços da RFC 1918 em um ambiente de laboratório. Esses IPs não são roteados na Internet e são para fins de teste somente. Diagrama de Rede Este documento utiliza a configuração de rede descrita nesta seção. Um usuário remoto conecta-se ao endereço IP do ASA com um navegador da Web habilitado para SSL. Após a autenticação bem-sucedida, o SVC é baixado para o computador cliente e o usuário poderá utilizar uma sessão segura criptografada para obter acesso completo a todos os recursos permitidos na rede corporativa. Tarefas de Pré-configuração Antes de iniciar, execute estas tarefas: Consulte Permitindo Acesso HTTPS para o ASDM para permitir que o ASA seja configurado pelo ASDM. Para acessar o aplicativo ASDM a partir de sua estação de gerenciamento, use um navegador da Web habilitado para SSL e insira o endereço IP do dispositivo ASA. Por exemplo: onde inside_ip_address é o endereço do ASA. Uma vez que o ASDM esteja carregado, você poderá iniciar a configuração do SVC. Baixe o pacote do cliente VPN SSL (sslclient-win*.pkg) no site da Web Download de Software da Cisco (somente clientes registradosonly) para o disco rígido local da estação de gerenciamento de onde você acessa o aplicativo ASDM. A WebVPN e o ASDM não podem ser habilitados na mesma interface do ASA, a não ser que você altere os números das portas. Se desejar que as duas tecnologias utilizem a mesma porta (443) no mesmo dispositivo, você poderá habilitar o ASDM na interface interna e a WebVPN na

3 interface externa. Convenções Para obter mais informações sobre convenções de documentos, consulte as Convenções de Dicas Técnicas da Cisco. Configuração do Cliente VPN SSL em um ASA Para configurar o cliente VPN SSL em um ASA, execute estes passos: Habilitação do Acesso WebVPN no ASA Instalação e Habilitação do Cliente VPN SSL no ASA Habilitação da Instalação do SVC nos Clientes Habilitação dos Parâmetros de Recodificação Passo Habilitação do Acesso WebVPN no ASA Para habilitar o acesso WebVPN no ASA, execute estes passos: 2. No aplicativo ASDM, clique em Configuration e, em seguida, clique em VPN. Expanda WebVPN e selecione WebVPN Access. 3. Selecione a interface na qual você deseja ativar a WebVPN e clique em Enable. Passo 2. Instalação e Habilitação do Cliente VPN SSL no ASA Para instalar e habilitar o cliente VPN SSL no ASA, execute estes passos: 2. Clique em Configuration e, em seguida, clique em VPN. No painel de navegação, expanda WebVPN e selecione SSL VPN Client.

4 3. Clique em Add. A caixa de diálogo Add SSL VPN Client Image será exibida. 4. Clique no botão Upload. A caixa de diálogo Upload Image será exibida Clique no botão Browse Local Files para localizar um arquivo em seu computador local ou clique no botão Browse Flash para localizar um arquivo no sistema de arquivos da flash. Localize o arquivo da imagem do cliente que será carregado e clique em OK. Clique em Upload File e, em seguida, clique em Close.

5 8. Uma vez que a imagem do cliente esteja carregada na flash, marque a caixa de seleção Enable SSL VPN Client e, em seguida, clique em Apply. Nota: Se você receber uma mensagem de erro, verifique se o acesso à WebVPN está ativo. No painel de navegação, expanda WebVPN e selecione WebVPN Access. Selecione a interface na qual você deseja configurar o acesso e clique em Enable. 9. Clique em Save e em Yes para aceitar as alterações. Passo 3. Habilitação da Instalação do SVC nos Clientes Para habilitar a instalação do SVC nos clientes, execute estes passos: No painel de navegação, expanda Address Management e selecione IP Pools.

6 2. Clique em Add, insira valores nos campos Name, Starting IP Address, Ending IP Address e Subnet Mask. Os endereços IP inseridos para os campos Starting IP Address e Ending IP Address devem ser originados em sub-redes da sua rede interna Clique em OK e, em seguida, clique em Apply. Clique em Save e em Yes para aceitar as alterações. No painel de navegação, expanda IP Address Management e selecione Assignment. 6. Marque a caixa de seleção Use internal address pools e, em seguida, desmarque as caixas de seleção Use authentication server e Use DHCP.

7 Clique em Apply. Clique em Save e em Yes para aceitar as alterações. No painel de navegação, expanda General e selecione Tunnel Group. Selecione o grupo de túnel que você deseja gerenciar e clique em Edit. 1 Clique na guia Client Address Assignment e selecione o pool de endereços IP recém-criado na lista Available Pools.

8 Clique em Add e, em seguida, clique em OK. Na janela do aplicativo ASDM, clique em Apply. Clique em Save e em Yes para aceitar as alterações. Passo 4. Habilitação dos Parâmetros de Recodificação Para habilitar os parâmetros de recodificação: 2. No painel de navegação, expanda General e selecione Group Policy. Selecione a política que você deseja aplicar a este grupo de clientes e clique em Edit.

9 3. Na guia General, desmarque a caixa de seleção Tunneling Protocols Inherit e marque a caixa de seleção WebVPN. 4. Clique na guia WebVPN, clique na guia SSLVPN Client e selecione estas opções: a. Para a opção Use SSL VPN Client, desmarque a caixa de seleção Inherit e clique no botão de opção Optional. Essa seleção permite que o cliente remoto escolha se baixará ou não o SVC. A opção Always garante que o SVC seja baixado na estação de trabalho remota durante cada conexão de VPN SSL. b. Para a opção Keep Installer on Client System, desmarque a caixa de seleção Inherit e clique no botão de opção Yes. Essa ação permite que o software do SVC permaneça no computador cliente. Assim, o ASA não precisará baixar o software do SVC no cliente sempre que uma conexão for feita. Essa opção é uma boa escolha para usuários remotos que acessem com frequência a

10 c. rede corporativa. Para a opção Renegotiation Interval, desmarque a caixa de seleção Inherit, desmarque a caixa de seleção Unlimited e insira o número de minutos até a recodificação. A segurança será aprimorada com a definição dos limites do período de tempo onde uma chave permanece válida. d. Para a opção Renegotiation Method, desmarque a caixa de seleção Inherit e clique no botão de opção SSL. A renegociação pode utilizar o túnel SSL presente ou um novo túnel criado expressamente para a renegociação. Seus atributos de cliente VPN SSL devem ser configurados conforme mostrado nesta imagem: Clique em OK e, em seguida, clique em Apply. Clique em Save e em Yes para aceitar as alterações. Resultados O ASDM criará estas configurações de linha de comando: ciscoasa ciscoasa(config)#show run ASA Version 7.2(1) hostname ciscoasa domain-name cisco.com enable password 9jNfZuG3TC5tCVH0 encrypted names dns-guard interface Ethernet0/0 nameif outside security-level 0 ip address interface Ethernet0/1 nameif inside security-level 100

11 ip address passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name cisco.com no pager logging enable logging asdm informational mtu outside 1500 mtu inside 1500 mtu DMZ mtu Mgt 1500 ip local pool CorporateNet mask icmp permit any outside asdm image disk0:/asdm52bin no asdm history enable arp timeout global (outside) 1 interface nat (inside) route outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute --- Instruções de política de grupo group-policy GroupPolicy1 internal group-policy GroupPolicy1 attributes vpn-tunnel-protocol IPSec l2tp-ipsec webvpn --- Habilita o SVC para o WebVPN webvpn svc enable svc keep-installer installed svc rekey time 30 svc rekey method ssl username cisco password 53QNetqK.Kqqfshe encrypted privilege 15 http server enable http inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart --- Grupo de túneis e política de grupo usando os padrões aqui tunnel-group DefaultWEBVPNGroup general-attributes address-pool CorporateNet default-group-policy GroupPolicy1 no vpn-addr-assign aaa no vpn-addr-assign dhcp telnet timeout 5 ssh outside ssh timeout 5 console timeout 0 class-map inspection_default match default-inspection-traffic policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip

12 inspect netbios inspect tftp service-policy global_policy global --- Habilita o WebVPN e seleciona o cliente SVC webvpn enable outside svc image disk0:/sslclient-win-164.pkg 1 svc enable --- Fornece uma lista para acesso aos recursos url-list ServerList "E-Commerce Server1" 1 url-list ServerList "BrowseServer" cifs:// tunnel-group-list enable prompt hostname context Cryptochecksum:80a1890a95580dca11e3aee200173f5f : end Personalização da Sua Configuração Os procedimentos descritos em Configuração do Cliente VPN SSL em um ASA utilizam os nomes padrão do ASA para política de grupo ( GroupPolicy1) e grupo de túnel (DefaultWebVPNGroup), como mostrado nesta imagem: Este procedimento descreve como criar suas próprias políticas de grupo e grupos de túneis personalizados e vinculá-los entre si de acordo com as políticas de segurança de sua organização. Para personalizar sua configuração, execute estes passos: Criação de uma Política de Grupo Personalizada Criação de um Grupo de Túneis Personalizado Criação e Adição de Usuários à sua Política de Grupo Personalizada Passo Criação de uma Política de Grupo Personalizada Para criar uma política de grupo personalizada, execute estes passos: Clique em Configuration e, em seguida, clique em VPN. Expanda General e selecione Group Policy. Clique em Add e selecione Internal Group Policy. No campo Name, insira um nome para sua política de grupo.

13 Neste exemplo, o nome da política de grupo foi alterado para SalesGroupPolicy Na guia General, desmarque a caixa de seleção Tunneling Protocols Inherit e marque a caixa de seleção WebVPN. Clique na guia WebVPN e, em seguida, clique na guia SSLVPN Client. Nessa caixa de diálogo você também pode fazer seleções para o comportamento do cliente VPN SSL.

14 7. 8. Clique em OK e, em seguida, clique em Apply. Clique em Save e em Yes para aceitar as alterações. Passo 2. Criação de um Grupo de Túneis Personalizado Para criar um grupo de túneis personalizado, execute estes passos: 2. Clique no botão Configuration e, em seguida, clique em VPN. Expanda General e selecione Tunnel Group.

15 3. 4. Clique em Add e selecione WebVPN Access. No campo Name, insira um nome para seu grupo de túneis. Neste exemplo, o nome do grupo de túneis foi alterado para SalesForceGroup. 5. Clique na seta suspensa Group Policy e selecione sua política de grupo recém-criada. Sua política de grupo e seu grupo de túneis estão agora vinculados. 6. Clique na guia Client Address Assignment e insira as informações do servidor DHCP ou selecione a partir de um pool de IPs criado localmente.

16 7. 8. Clique em OK e, em seguida, clique em Apply. Clique em Save e em Yes para aceitar as alterações. Passo 3. Criação e Adição de Usuários à sua Política de Grupo Personalizada Para criar um usuário e adicioná-lo à sua política de grupo personalizada, execute estes passos: 2. Clique em Configuration e, em seguida, clique em VPN. Expanda General e selecione Users.

17 3. Clique em Add e insira as informações de nome de usuário e senha. 4. Clique na guia VPN Policy. Certifique-se de que sua política de grupo recém-criada esteja sendo exibida no campo Group Policy. Esse usuário herdará todas as características da nova política de grupo Clique em OK e, em seguida, clique em Apply. Clique em Save e em Yes para aceitar as alterações.

18 Verificação Use esta seção para verificar se a sua configuração funciona corretamente. Autenticação A autenticação dos clientes VPN SSL é efetuada utilizando-se um destes métodos: Cisco Secure ACS Server (Radius) Domínio NT Active Directory Senhas de Uso Único Certificados Digitais Smartcards Autenticação AAA Local Esta documentação utiliza uma conta local criada no dispositivo ASA. Configuração Para se conectar ao ASA com um cliente remoto, digite no campo de endereço de um navegador da Web habilitado para SSL. ASA_outside_address é o endereço IP externo do seu ASA. Se a sua configuração for bem-sucedida, a janela Cisco Systems SSL VPN Client será exibida. Nota: A janela Cisco Systems SSL VPN Client será exibida somente após você aceitar o certificado do ASA e após o download do cliente VPN SSL para a estação remota ter sido concluído. Se a janela não for exibida, certifique-se de que ela não esteja minimizada. Comandos Vários comandos show são associados à WebVPN. Você pode executar esses comandos na interface de linha de comando (CLI) para exibir estatísticas e outras informações. Para obter informações detalhadas sobre os comandos show, consulte Verificando a Configuração da WebVPN. Nota: A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show. Troubleshooting Use esta seção para fazer troubleshooting da sua configuração. O SVC Estabeleceu uma Sessão Segura com o ASA? Para certificar-se de que o cliente VPN SSL tenha estabelecido uma sessão segura com o ASA: 2. Clique em Monitoring. Expanda VPN Statistics e selecione Sessions.

19 3. No menu suspenso Filter By, selecione SSL VPN Client e clique no botão Filter. Sua configuração deverá ser exibida na lista de sessões. As Sessões Seguras Estão Sendo Estabelecidas e Concluídas com Êxito? Você pode consultar os logs de tempo real para verificar se as sessões estão sendo estabelecidas e concluídas com êxito. Para exibir os logs de sessão: 2. Clique em Monitoring e, em seguida, clique em Logging. Selecione Real-time Log Viewer ou Log Buffer e, em seguida, clique em View. Nota: Para exibir somente as sessões de um endereço específico, filtre por endereço. Verificação do Pool de IPs no Perfil da WebVPN %ASA : Group group User user-name IP IP_address No address available for SVC connection

20 Nenhum endereço está disponível para ser atribuído à conexão SVC. Assim, atribua o endereço do pool de IPs no perfil. Se você criar o perfil da nova conexão, configure em seguida um alias ou URL de grupo para acessar esse perfil de conexão. Caso contrário, todas as tentativas do SSL atingirão o perfil de conexão WebVPN padrão que não possui um pool de IPs associado. Configure-o para usar o perfil de conexão padrão e associe um pool de IPs a ele. Dicas Certifique-se de que o roteamento esteja funcionando corretamente com o pool de endereços IP atribuído a seus clientes remotos. Esse pool de endereços IP deve ser proveniente de uma sub-rede da sua LAN. Você também pode utilizar um servidor DHCP ou um servidor de autenticação para atribuir endereços IP. O ASA cria um grupo de túneis padrão (DefaultWebVPNGroup) e uma política de grupo padrão (GroupPolicy1). Se você criar novos grupos e políticas, certifique-se de atribuir valores que estejam de acordo com as políticas de segurança da sua rede. Se você desejar habilitar a busca de arquivos Windows por meio do CIFS, insira um servidor WINS (NBNS) em Configuration > VPN > WebVPN > Servers and URLs. Essa tecnologia utiliza a seleção de CIFS. Comandos Vários comandos debug são associados à WebVPN. Para obter informações detalhadas sobre esses comandos, consulte Usando os Comandos Debug da WebVPN. Nota: O uso dos comandos debug pode ter impacto adverso no seu dispositivo Cisco. Antes de usar os comandos debug, consulte Informações Importantes sobre Comandos de Depuração Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 1 Julho