PIX/ASA als Remote-VPN-Server mit erweiterter Authentifizierung über CLI und ASDM - Konfigurationsbeispiel

Einleitung

In diesem Dokument wird die Konfiguration der Cisco Adaptive Security Appliance (ASA) der Serie 5500 als Remote-VPN-Server mit dem Adaptive Security Device Manager (ASDM) oder der CLI beschrieben. Der ASDM bietet erstklassiges Sicherheitsmanagement und Überwachung über eine intuitive, benutzerfreundliche webbasierte Verwaltungsoberfläche. Nach Abschluss der Cisco ASA-Konfiguration kann diese mithilfe des Cisco VPN Client verifiziert werden.

Weitere Informationen zum Einrichten der Remotezugriff-VPN-Verbindung zwischen einem Cisco VPN Client (4.x für Windows) und der Security Appliance der Serie PIX 500 7.x finden Sie unter PIX/ASA 7.x und Cisco VPN Client 4.x mit Windows 2003 IAS RADIUS (Against Active Directory) Authentication Example. Der Remote-VPN-Client-Benutzer authentifiziert sich mithilfe eines RADIUS-Servers mit Microsoft Windows 2003 Internet Authentication Service (IAS) über Active Directory.

Konfigurationsbeispiel für die Authentifizierung mit Cisco Secure ACS: PIX/ASA 7.x und Cisco VPN Client 4.x zum Einrichten einer VPN-Verbindung für den Remote-Zugriff zwischen einem Cisco VPN Client (4.x für Windows) und der Security Appliance der Serie PIX 500 7.x mit einem Cisco Secure Access Control Server (ACS Version 3.2) für die erweiterte Authentifizierung (Xauth).

Voraussetzungen

Anforderungen

In diesem Dokument wird davon ausgegangen, dass die ASA voll funktionsfähig und konfiguriert ist, damit der Cisco ASDM oder die CLI Konfigurationsänderungen vornehmen kann.

Hinweis: Weitere Informationen dazu, wie Sie das Gerät über den ASDM oder die Secure Shell (SSH) remote konfigurieren können, finden Sie unter Zulassen des HTTPS-Zugriffs für ASDM oder PIX/ASA 7.x: SSH auf der inneren und äußeren Schnittstellenkonfiguration (Beispiel).

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco Adaptive Security Appliance Software Version 7.x und höher

• Adaptive Security Device Manager Version 5.x und höher

• Cisco VPN Client Version 4.x oder höher

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Verwandte Produkte

Diese Konfiguration kann auch mit Cisco PIX Security Appliances der Version 7.x und höher verwendet werden.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

Remote-Zugriffskonfigurationen bieten sicheren Remote-Zugriff für Cisco VPN-Clients wie mobile Benutzer. Über ein Remote-Access-VPN können Remote-Benutzer sicher auf zentrale Netzwerkressourcen zugreifen. Der Cisco VPN Client entspricht dem IPSec-Protokoll und wurde speziell für die Verwendung mit der Sicherheits-Appliance entwickelt. Die Sicherheits-Appliance kann jedoch IPSec-Verbindungen mit vielen protokollkonformen Clients herstellen. Weitere Informationen zu IPSec finden Sie in den ASA-Konfigurationsanleitungen.

Gruppen und Benutzer sind zentrale Konzepte für das Sicherheitsmanagement von VPNs und für die Konfiguration der Security Appliance. Sie geben Attribute an, die den Zugriff auf das VPN und dessen Nutzung durch die Benutzer bestimmen. Eine Gruppe ist eine Sammlung von Benutzern, die als eine Einheit behandelt werden. Benutzer erhalten ihre Attribute aus Gruppenrichtlinien. Tunnelgruppen identifizieren die Gruppenrichtlinie für bestimmte Verbindungen. Wenn Sie Benutzern keine bestimmte Gruppenrichtlinie zuweisen, gilt die Standardgruppenrichtlinie für die Verbindung.

Eine Tunnelgruppe besteht aus einer Gruppe von Datensätzen, die Tunnelverbindungsrichtlinien bestimmen. Diese Datensätze identifizieren die Server, an die die Tunnelbenutzer authentifiziert werden, sowie gegebenenfalls die Accounting-Server, an die Verbindungsinformationen gesendet werden. Sie identifizieren außerdem eine Standardgruppenrichtlinie für die Verbindungen und enthalten protokollspezifische Verbindungsparameter. Tunnelgruppen enthalten eine kleine Anzahl von Attributen, die die Erstellung des Tunnels selbst betreffen. Tunnelgruppen enthalten einen Zeiger auf eine Gruppenrichtlinie, die benutzerorientierte Attribute definiert.

Hinweis: In der Beispielkonfiguration in diesem Dokument werden lokale Benutzerkonten für die Authentifizierung verwendet. Weitere Informationen zur Verwendung eines anderen Diensts, z. B. LDAP und RADIUS, finden Sie unter Configuring an External RADIUS Server for Authorization and Authentication (Konfigurieren eines externen RADIUS-Servers für Autorisierung und Authentifizierung).

Das Internet Security Association and Key Management Protocol (ISAKMP), auch IKE genannt, ist das Verhandlungsprotokoll, mit dem Hosts vereinbaren, wie eine IPSec-Sicherheitszuordnung erstellt wird. Jede ISAKMP-Verhandlung ist in zwei Abschnitte unterteilt, Phase 1 und Phase 2. Phase1 erstellt den ersten Tunnel, um spätere ISAKMP-Verhandlungsmeldungen zu schützen. Phase 2 erstellt den Tunnel zum Schutz der Daten, die über die sichere Verbindung übertragen werden. Weitere Informationen zu ISAKMP finden Sie unter ISAKMP Policy Keywords for CLI Commands (ISAKMP-Richtlinienschlüsselwörter für CLI-Befehle).

Konfigurationen

Konfigurieren von ASA/PIX als Remote-VPN-Server mit ASDM

Führen Sie die folgenden Schritte aus, um die Cisco ASA mithilfe von ASDM als Remote-VPN-Server zu konfigurieren:

1. Wählen Sie im Hauptfenster die Option Assistenten > VPN-Assistent aus.

   

2. Wählen Sie den Tunneltyp des Remote Access VPN aus, und stellen Sie sicher, dass die VPN-Tunnelschnittstelle wie gewünscht konfiguriert ist.

   

3. Der einzige verfügbare VPN-Client-Typ ist bereits ausgewählt. Klicken Sie auf Next (Weiter).

   

4. Geben Sie einen Namen für den Tunnelgruppennamen ein. Geben Sie die zu verwendenden Authentifizierungsinformationen an.

   Vorinstallierter Schlüssel ist in diesem Beispiel ausgewählt.

   

   Hinweis: Es gibt keine Möglichkeit, den vorinstallierten Schlüssel auf dem ASDM auszublenden/zu verschlüsseln. Der Grund hierfür ist, dass das ASDM nur von Personen verwendet werden sollte, die die ASA konfigurieren, oder von Personen, die den Kunden bei dieser Konfiguration unterstützen.

5. Wählen Sie aus, ob Remote-Benutzer bei der lokalen Benutzerdatenbank oder einer externen AAA-Servergruppe authentifiziert werden sollen.

   Hinweis: In Schritt 6 fügen Sie der lokalen Benutzerdatenbank Benutzer hinzu.

   Hinweis: Informationen zur Konfiguration einer externen AAA-Servergruppe über ASDM finden Sie unter PIX/ASA 7.x Authentication and Authorization Server Groups for VPN Users via ASDM Configuration Example.

   

6. Fügen Sie der lokalen Datenbank bei Bedarf Benutzer hinzu.

   Hinweis: Entfernen Sie keine vorhandenen Benutzer aus diesem Fenster. Wählen Sie Configuration > Device Administration > Administration > User Accounts im ASDM-Hauptfenster aus, um vorhandene Einträge in der Datenbank zu bearbeiten oder aus der Datenbank zu entfernen.

   

7. Definieren Sie einen Pool lokaler Adressen, die Remote-VPN-Clients bei der Verbindung dynamisch zugewiesen werden.

   

8. Optional: Geben Sie die DNS- und WINS-Serverinformationen sowie einen Standard-Domänennamen an, der an Remote-VPN-Clients übertragen werden soll.

   

9. Geben Sie die Parameter für IKE an, die auch als IKE Phase 1 bezeichnet werden.

   Die Konfigurationen auf beiden Seiten des Tunnels müssen exakt übereinstimmen. Der Cisco VPN Client wählt jedoch automatisch die richtige Konfiguration für sich aus. Daher ist auf dem Client-PC keine IKE-Konfiguration erforderlich.

   

10. Geben Sie die Parameter für IPSec an, auch bekannt als IKE Phase 2.

    Die Konfigurationen auf beiden Seiten des Tunnels müssen exakt übereinstimmen. Der Cisco VPN Client wählt jedoch automatisch die richtige Konfiguration für sich aus. Daher ist auf dem Client-PC keine IKE-Konfiguration erforderlich.

    

11. Legen Sie fest, welche internen Hosts oder Netzwerke Remote-VPN-Benutzern ausgesetzt werden sollen (falls vorhanden).

    Wenn Sie diese Liste leer lassen, können Remote-VPN-Benutzer auf das gesamte interne Netzwerk der ASA zugreifen.

    Sie können in diesem Fenster auch Split-Tunneling aktivieren. Split-Tunneling verschlüsselt den Datenverkehr zu den zuvor in diesem Verfahren definierten Ressourcen und bietet unverschlüsselten Zugriff auf das Internet im Allgemeinen, indem dieser Datenverkehr nicht getunnelt wird. Wenn Split-Tunneling nicht aktiviert ist, wird der gesamte Datenverkehr von Remote-VPN-Benutzern über Tunnel an die ASA weitergeleitet. Je nach Konfiguration kann dies sehr bandbreiten- und prozessorintensiv werden.

    

12. Dieses Fenster zeigt eine Zusammenfassung der von Ihnen durchgeführten Aktionen. Klicken Sie auf Beenden, wenn Sie mit Ihrer Konfiguration zufrieden sind.

    

Konfigurieren von ASA/PIX als Remote-VPN-Server mit CLI

Führen Sie diese Schritte aus, um über die Befehlszeile einen Remote-VPN-Zugriffsserver zu konfigurieren. Weitere Informationen zu den einzelnen verwendeten Befehlen finden Sie unter Configuring Remote Access VPNs or Cisco ASA 5500 Series Adaptive Security Appliances-Command References (Konfigurieren von Remote-Access-VPNs oder Cisco Adaptive Security Appliances der Serie 5500 - Befehlsreferenzen).

1. Geben Sie den Befehl ip local pool im globalen Konfigurationsmodus ein, um IP-Adressen-Pools für VPN-Tunnel mit Remote-Zugriff zu konfigurieren. Um Adresspools zu löschen, geben Sie die negative Form dieses Befehls ein.

   Die Sicherheits-Appliance verwendet Adresspools, die auf der Tunnelgruppe für die Verbindung basieren. Wenn Sie mehr als einen Adresspool für eine Tunnelgruppe konfigurieren, verwendet die Sicherheits-Appliance diese in der Reihenfolge ihrer Konfiguration. Führen Sie diesen Befehl aus, um einen Pool lokaler Adressen zu erstellen, mit denen Remote-Access-VPN-Clients dynamische Adressen zugewiesen werden können:

   ASA-AIP-CLI(config)#ip local pool vpnpool 172.16.1.100-172.16.1.199 mask
   		  255.255.255.0
   		 

2. Führen Sie folgenden Befehl aus,

   ASA-AIP-CLI(config)#username marty password 12345678
   

3. Führen Sie diese Befehle aus, um den jeweiligen Tunnel zu konfigurieren:

   • ASA-AIP-CLI(config)#isakmp policy 1 authentication pre-share

   • ASA-AIP-CLI(config)#isakmp-Richtlinie 1 Verschlüsselung, 3 Sekunden

   • ASA-AIP-CLI(config)#isakmp policy 1 hash sha

   • ASA-AIP-CLI(config)#isakmp-Richtlinie 1 Gruppe 2

   • ASA-AIP-CLI(config)#isakmp-Richtlinie 1 Lebensdauer 43200

   • ASA-AIP-CLI(config)#isakmp - Aktivieren außerhalb

   • ASA-AIP-CLI(config)#crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

   • ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set transformation-set ESP-3DES-SHA

   • ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set reverse-route

   • ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000

   • ASA-AIP-CLI(config)#crypto map outside_map 10 ipsec-isakmp dynamic outside_dyn_map

   • ASA-AIP-CLI(config)#crypto map outside_map interface outside

   • ASA-AIP-CLI(config)#crypto isakmp nat-traversal

4. Optional: Wenn die Verbindung die Zugriffsliste umgehen soll, die auf die Schnittstelle angewendet wird, führen Sie den folgenden Befehl aus:

   ASA-AIP-CLI(config)#sysopt connection permit-ipsec
   

   Hinweis: Dieser Befehl funktioniert mit 7.x-Images vor 7.2(2). Wenn Sie Image 7.2(2) verwenden, geben Sie den Befehl ASA-AIP-CLI(config)#sysopt connection permit-vpn ein.

5. Führen Sie folgenden Befehl aus,

   ASA-AIP-CLI(config)#group-policy hillvalleyvpn internal
   

6. Geben Sie die folgenden Befehle ein, um die Einstellungen für die Clientverbindung zu konfigurieren:

   • ASA-AIP-CLI(config)#group-policy hillvalleyvpn-Attribute

   • ASA-AIP-CLI(config)#(config-group-policy)#dns-server-Wert 172.16.1.11

   • ASA-AIP-CLI(config)#(config-group-policy)#vpn-tunnel-protocol IPSec

   • ASA-AIP-CLI(config)#(config-group-policy)#default-domain-Wert test.com

7. Führen Sie folgenden Befehl aus,

   ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn ipsec-ra
   

8. Führen Sie folgenden Befehl aus,

   ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn ipsec-attributes
   

9. Führen Sie folgenden Befehl aus,

   ASA-AIP-CLI(config-tunnel-ipsec)#pre-shared-key cisco123
   

10. Führen Sie folgenden Befehl aus,

    ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn general-attributes
    

11. Geben Sie diesen Befehl ein, um die lokale Benutzerdatenbank für die Authentifizierung zu verwenden.

    ASA-AIP-CLI(config-tunnel-general)#authentication-server-group LOCAL
    

12. Ordnen Sie die Gruppenrichtlinie der Tunnelgruppe zu

    ASA-AIP-CLI(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
    

13. Führen Sie diesen Befehl aus, während Sie sich im allgemeinen Attributmodus der hillvalleyvpn tunnel-group befinden, um den in Schritt 1 erstellten vpnpool der hillvalleyvpn-Gruppe zuzuweisen.

    ASA-AIP-CLI(config-tunnel-general)#address-pool vpnpool
    

ASA-AIP-CLI(config)#show running-config 
ASA Version 7.2(2) 
!
hostname ASAwAIP-CLI
domain-name corp.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 10.10.10.2 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0 
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp.com
pager lines 24
mtu outside 1500
mtu inside 1500
ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy hillvalleyvpn1 internal
group-policy hillvalleyvpn1 attributes
 dns-server value 172.16.1.11
 vpn-tunnel-protocol IPSec 
 default-domain value test.com
username marty password 6XmYwQOO9tiYnUDN encrypted
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000
crypto map outside_map 10 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha     
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group hillvalleyvpn type ipsec-ra
tunnel-group hillvalleyvpn general-attributes
 address-pool vpnpool
 default-group-policy hillvalleyvpn
tunnel-group hillvalleyvpn ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:0f78ee7ef3c196a683ae7a4804ce1192
: end
ASA-AIP-CLI(config)#

Kennwortspeicherkonfiguration für den Cisco VPN-Client

Wenn Sie über zahlreiche Cisco VPN Clients verfügen, ist es sehr schwierig, sich alle Benutzernamen und Kennwörter für den VPN Client zu merken. Um die Kennwörter auf dem VPN Client-Computer zu speichern, konfigurieren Sie die ASA/PIX- und die VPN Client-Version wie in diesem Abschnitt beschrieben.

ASA/PIX

Verwenden Sie den Befehl group-policy attribute im globalen Konfigurationsmodus:

group-policy VPNusers attributes
  password-storage enable 

Cisco VPN-Client

Bearbeiten Sie die .pcf-Datei, und ändern Sie die folgenden Parameter:

SaveUserPassword=1
UserPassword= 
      
      

Deaktivieren der erweiterten Authentifizierung

Geben Sie im Tunnelgruppenmodus diesen Befehl ein, um die erweiterte Authentifizierung zu deaktivieren, die standardmäßig auf dem PIX/ASA 7.x aktiviert ist:

asa(config)#tunnel-group client ipsec-attributes
asa(config-tunnel-ipsec)#isakmp ikev1-user-authentication none

Nachdem Sie die erweiterte Authentifizierung deaktiviert haben, wird auf den VPN-Clients kein Benutzername/Kennwort für die Authentifizierung angezeigt (Xauth). Daher erfordert die ASA/PIX-Lösung keine Konfiguration von Benutzername und Kennwort zur Authentifizierung der VPN-Clients.

Überprüfung

Versuchen Sie, über den Cisco VPN Client eine Verbindung zur Cisco ASA herzustellen, um sicherzustellen, dass die ASA erfolgreich konfiguriert wurde.

1. Wählen Sie Verbindungseinträge > Neu aus.

   

2. Geben Sie die Details Ihrer neuen Verbindung ein.

   Das Feld Host sollte die IP-Adresse oder den Hostnamen der zuvor konfigurierten Cisco ASA enthalten. Die Informationen zur Gruppenauthentifizierung müssen denen entsprechen, die in Schritt 4 verwendet werden. Klicken Sie abschließend auf Speichern.

   

3. Wählen Sie die neu erstellte Verbindung aus, und klicken Sie auf Verbinden.

   

4. Geben Sie einen Benutzernamen und ein Kennwort für die erweiterte Authentifizierung ein. Diese Informationen müssen mit den Angaben in den Schritten 5 und 6 übereinstimmen.

   

5. Wenn die Verbindung erfolgreich hergestellt wurde, wählen Sie im Menü Status die Option Statistics (Statistiken) aus, um die Details des Tunnels zu überprüfen.

   In diesem Fenster werden Daten zum Datenverkehr und zur Verschlüsselung angezeigt:

   

   Dieses Fenster zeigt Informationen zum Split-Tunneling an:

   

Fehlerbehebung

Verwenden Sie diesen Abschnitt, um Probleme mit Ihrer Konfiguration zu beheben.

Falsche Krypto-ACL

ASDM 5.0(2) ist dafür bekannt, eine Krypto-Zugriffskontrollliste (ACL) zu erstellen und anzuwenden, die Probleme für VPN-Clients mit Split-Tunneling sowie für Hardware-Clients im Netzwerkerweiterungsmodus verursachen kann. Verwenden Sie ASDM Version 5.0(4.3) oder höher, um dieses Problem zu vermeiden. Weitere Informationen finden Sie unter Cisco Bug ID CSCsc10806 (nur für registrierte Kunden).

Zugehörige Informationen

• Cisco Adaptive Security Appliances der Serie ASA 5500
• Gängigste Lösungen für die Behebung von Problemen mit L2L- und Remote Access IPSec VPN
• Cisco Adaptive Security Appliances der Serie ASA 5500 - Fehlerbehebung und Warnmeldungen
• Technischer Support und Dokumentation für Cisco Systeme