ASA 7.2(2) : exemple de configuration d'un client VPN SSL (SVC) pour VPN Internet public sur un stick

Introduction

Ce document décrit comment configurer un dispositif de sécurité adaptatif (ASA) 7.2.2 pour effectuer un VPN SSL sur une clé. Cette configuration s'applique à un cas spécifique dans lequel l'ASA n'autorise pas la transmission tunnel partagée et où les utilisateurs se connectent directement à l'ASA avant d'être autorisés à accéder à Internet.

Remarque : dans ASA version 7.2.2, le intra-interface mot clé de la commande de mode de configuration same-security-traffic permit permet à tout le trafic d'entrer et de sortir de la même interface (pas seulement le trafic IPsec).

Conditions préalables

Exigences

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

• L'appliance de sécurité ASA du concentrateur doit exécuter la version 7.2.2

• Client VPN SSL (SVC) Cisco 1.x

  Remarque : téléchargez le package client VPN SSL (sslclient-win*.pkg) à partir de Cisco Software Download (clients enregistrés uniquement) . Copiez le circuit virtuel commuté dans la mémoire flash de l'ASA. Le SVC doit être téléchargé sur les ordinateurs des utilisateurs distants afin d'établir la connexion VPN SSL avec l'ASA. Référez-vous à la section Installation du logiciel SVC du Guide de configuration de la ligne de commande du dispositif de sécurité Cisco, version 7.2 pour plus d'informations.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Appareil de sécurité adaptatif (ASA) de la gamme Cisco 5500 qui exécute la version logicielle 7.2(2)

• Client VPN SSL Cisco version pour Windows 1.1.4.179

• PC exécutant Windows 2000 Professionnel ou Windows XP

• Cisco Adaptive Security Device Manager (ASDM) version 5.2(2)

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Informations générales

Le client VPN SSL (SVC) est une technologie de tunnellisation VPN qui offre aux utilisateurs distants les avantages d'un client VPN IPSec sans que les administrateurs réseau aient besoin d'installer et de configurer des clients VPN IPSec sur des ordinateurs distants. Le SVC utilise le chiffrement SSL déjà présent sur l'ordinateur distant, ainsi que la connexion et l'authentification WebVPN de l'appliance de sécurité.

Pour établir une session SVC, l'utilisateur distant entre l'adresse IP d'une interface WebVPN du dispositif de sécurité dans le navigateur, et le navigateur se connecte à cette interface et affiche l'écran de connexion WebVPN. Si l'utilisateur satisfait aux conditions de connexion et d'authentification et que le dispositif de sécurité identifie l'utilisateur comme nécessitant le circuit virtuel commuté, le dispositif de sécurité télécharge le circuit virtuel commuté sur l'ordinateur distant. Si le dispositif de sécurité identifie l'utilisateur comme ayant la possibilité d'utiliser le SVC, il télécharge le SVC sur l'ordinateur distant tout en présentant un lien sur l'écran de l'utilisateur pour ignorer l'installation du SVC.

Après le téléchargement, le circuit virtuel commuté s'installe et se configure, puis il reste ou se désinstalle (selon la configuration) de l'ordinateur distant lorsque la connexion est interrompue.

Configurer

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Remarque : les schémas d'adressage IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisés dans un environnement de laboratoire.

Configurations ASA 7.2(2) avec ASDM 5.2(2)

Ce document suppose que les configurations de base, telles que la configuration d'interface, sont déjà faites et fonctionnent correctement.

Remarque : référez-vous à Autoriser l'accès HTTPS pour ASDM afin de permettre à l'ASA d'être configuré par l'ASDM.

Remarque : WebVPN et ASDM ne peuvent pas être activés sur la même interface ASA à moins que vous ne changiez les numéros de port. Référez-vous à ASDM et WebVPN activés sur la même interface d'ASA pour plus d'informations.

Complétez ces étapes afin de configurer le VPN SSL sur une clé dans ASA :

1. Choisissez Configuration > Interfaces, et cochez la case Enable traffic between two or more hosts connected to the same interface afin d'autoriser le trafic VPN SSL à entrer et sortir de la même interface.

2. Cliquez sur Apply.

   

   Remarque : voici la commande de configuration CLI équivalente :

   Cisco ASA 7.2(2)
   ciscoasa(config)#same-security-traffic permit intra-interface

3. Choisissez Configuration > VPN > IP Address Management > IP Pools > Add afin de créer un pool d'adresses IP nommé vpnpool.

   

4. Cliquez sur Apply.

   Remarque : voici la commande de configuration CLI équivalente :

   Cisco ASA 7.2(2)
   ciscoasa(config)#ip local pool vpnpool 192.168.10.1-192.168.10.254

5. Activez WebVPN:

   1. Choisissez Configuration > VPN > WebVPN > WebVPN Access, et sélectionnez l'interface externe.

   2. Cliquez sur Activer.

   3. Cochez la case Enable Tunnel Group Drop-down List on WebVPN Login Page afin de permettre aux utilisateurs de choisir leurs groupes respectifs à partir de la page Login.

      

   4. Cliquez sur Apply.

   5. Choisissez Configuration > VPN > WebVPN > SSL VPN Client > Add afin d'ajouter l'image du client VPN SSL à partir de la mémoire flash d'ASA.

      

   6. Click OK.

      

   7. Click OK.

   8. Cochez la case SSL VPN Client.

      

   Remarque : voici les commandes de configuration CLI équivalentes :

   Cisco ASA 7.2(2)
   ciscoasa(config)#webvpn ciscoasa(config-webvpn)#enable outside ciscoasa(config-webvpn)#svc image disk0:/sslclient-win-1.1.4.179.pkg 1 ciscoasa(config-webvpn)#tunnel-group-list enable ciscoasa(config-webvpn)#svc enable

6. Configurez la stratégie de groupe :

   1. Choisissez Configuration > VPN > General > Group Policy > Add (Internal Group Policy) afin de créer une stratégie de groupe interne nommée clientgroup.

   2. Cliquez sur l'onglet General, et activez la case à cocher WebVPN afin d'activer le WebVPN en tant que protocole de tunneling.

      

   3. Cliquez sur l'onglet Client Configuration, puis sur l'onglet General Client Parameters.

   4. Choisissez Tunnel All Networks dans la liste déroulante Split Tunnel Policy afin de faire voyager tous les paquets depuis le PC distant à travers un tunnel sécurisé.

      

   5. Cliquez sur l'onglet WebVPN > SSLVPN Client, et choisissez ces options :

      1. Pour l'option Use SSL VPN Client, désélectionnez la case à cocher Inherit, puis cliquez sur la case d'option Optional.

         Cette option permet au client distant de choisir de télécharger ou non le circuit virtuel commuté. Le choix Always permet de s'assurer que le SVC est téléchargé sur le poste de travail distant pendant chaque connexion VPN SSL.

      2. Pour l'option Keep Installer on Client System, décochez la case à cocher Inherit et cliquez sur la case d'option Yes

         Cette option permet au logiciel SVC de rester sur l'ordinateur client. Par conséquent, il n'est pas nécessaire que l'ASA télécharge le logiciel SVC sur le client chaque fois qu'une connexion est établie. Cette option est un bon choix pour les utilisateurs distants qui accèdent souvent au réseau de l'entreprise.

      3. Pour l'option Renegotiation Interval, décochez la case Inherit, décochez la case à cocher Unlimited et saisissez le nombre de minutes jusqu'à une nouvelle saisie.

         Remarque : la sécurité est renforcée par la définition de limites de durée de validité d'une clé.

      4. Pour l'option Renegotiation Method, décochez la case à cocher Inherit et cliquez sur la case d'option SSL.

         Remarque : la renégociation peut utiliser le tunnel SSL actuel ou un nouveau tunnel créé spécifiquement pour la renégociation.

      Vos attributs client VPN SSL doivent être configurés tel qu´indiqué sur cette image :

      

   6. Cliquez sur OK, puis sur Apply.

      

   Remarque : voici les commandes de configuration CLI équivalentes :

   Cisco ASA 7.2(2)

   ciscoasa(config)#group-policy clientgroup internal ciscoasa(config)#group-policyclientgroup attributes ciscoasa(config-group-policy)#vpn-tunnel-protocol webvpn ciscoasa(config-group-policy)#split-tunnel-policy tunnelall ciscoasa(config-group-policy)#webvpn ciscoasa(config-group-webvpn)#svc required ciscoasa(config-group-webvpn)#svc keep-installer installed ciscoasa(config-group-webvpn)#svc rekey time 30 ciscoasa(config-group-webvpn)#svc rekey method ssl

7. Choisissez Configuration > VPN > General > Users > Add afin de créer un nouveau compte d'utilisateur ssluser1.

8. Cliquez sur OK, puis sur Apply.

   

   Remarque : voici la commande CLI équivalente :

   Cisco ASA 7.2(2)
   ciscoasa(config)#username ssluser1 password asdmASA@

9. Choisissez Configuration > Properties > AAA Setup > AAA Servers Groups > Edit.

10. Sélectionnez le groupe de serveurs par défaut LOCAL, puis cliquez sur Edit.

11. Dans la boîte de dialogue Edit LOCAL Server Group, cliquez sur la case à cocher Enable Local User Lockout, et entrez 16 dans la zone de texte Maximum Attempts.

12. Click OK.

    

    Remarque : voici la commande CLI équivalente :

    Cisco ASA 7.2(2)
    ciscoasa(config)#aaa local authentication attempts max-fail 16

13. Configurez le groupe de tunnels :

    1. Choisissez Configuration > VPN > General > Tunnel Group > Add(WebVPN access) afin de créer un nouveau groupe de tunnel nommé sslgroup.

    2. Cliquez sur l'onglet Général, puis sur l'onglet De base.

    3. Sélectionnez clientgroup dans la liste déroulante Group Policy.

       

    4. Cliquez sur l'onglet Client Address Assignment, puis cliquez sur Add afin d'attribuer le pool d'adresses disponibles vpnpool.

       

    5. Cliquez sur l'onglet WebVPN, puis sur l'onglet Group Aliases and URL.

    6. Tapez le nom d'alias dans la zone de paramètre, et cliquez sur Add afin de l'ajouter à la liste des noms de groupe sur la page Login.

       

    7. Cliquez sur OK, puis sur Apply.

    Remarque : voici les commandes de configuration CLI équivalentes :

    Cisco ASA 7.2(2)
    ciscoasa(config)#tunnel-group sslgroup type webvpn ciscoasa(config)#tunnel-group sslgroup general-attributes ciscoasa(config-tunnel-general)#address-pool vpnpool ciscoasa(config-tunnel-general)#default-group-policy clientgroup ciscoasa(config-tunnel-general)#exit ciscoasa(config)#tunnel-group sslgroup webvpn-attributes ciscoasa(config-tunnel-webvpn)#group-alias sslgroup_users enable

14. Configurez NAT:

    1. Choisissez Configuration > NAT > Add > Add Dynamic NAT Rule pour permettre au trafic qui vient du réseau interne d'être traduit avec l'utilisation de l'adresse IP externe 172.16.1.5.

       

    2. Click OK.

    3. Choisissez Configuration > NAT > Add > Add Dynamic NAT Rule pour permettre au trafic qui vient du réseau externe 192.168.10.0 d'être traduit avec l'utilisation de l'adresse IP externe 172.16.1.5.

       

    4. Click OK.

       

    5. Cliquez sur Apply.

    Remarque : voici les commandes de configuration CLI équivalentes :

    Cisco ASA 7.2(2)
    ciscoasa(config)#global (outside) 1 172.16.1.5 ciscoasa(config)#nat (inside) 1 0.0.0.0 0.0.0.0 ciscoasa(config)#nat (outside) 1 192.168.10.0 255.255.255.0

Configuration CLI ASA 7.2(2)

ciscoasa#show running-config
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 10.77.241.142 255.255.255.192
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit intra-interface


!--- Command that permits the SSL VPN traffic to enter !--- and exit the same interface.


access-list 100 extended permit icmp any any
pager lines 24
mtu inside 1500
mtu outside 1500

ip local pool vpnpool 192.168.10.1-192.168.10.254


!--- The address pool for the SSL VPN Clients.


no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 172.16.1.5


!--- The global address for Internet access used by VPN Clients. !--- Note: Uses an RFC 1918 range for lab setup. !--- Apply an address from your public range provided by your ISP.


nat (inside) 1 0.0.0.0 0.0.0.0


!--- The NAT statement to define what to encrypt !--- (the addresses from vpn-pool).


nat (outside) 1 192.168.10.0 255.255.255.0

access-group 100 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:0
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:
timeout uauth 0:05:00 absolute
group-policy clientgroup internal


!--- Create an internal group policy "clientgroup."


group-policy clientgroup attributes
 vpn-tunnel-protocol webvpn


!--- Enable webvpn as tunneling protocol.


 split-tunnel-policy tunnelall


!--- Encrypt all the traffic coming from the SSL VPN Clients.


 webvpn
  svc required
  

!--- Activate the SVC under webvpn mode


svc keep-installer installed


!--- When the security appliance and the SVC perform a rekey, they renegotiate !--- the crypto keys and initialization vectors, increasing the security of !--- the connection.


svc rekey time 30


--- Command that specifies the number of minutes from the start of the !--- session until the rekey takes place, from 1 to 10080 (1 week).


 svc rekey method ssl


!--- Command that specifies that SSL renegotiation takes place during SVC rekey. 


username ssluser1 password ZRhW85jZqEaVd5P. encrypted


!--- Create an user account "ssluser1."


aaa local authentication attempts max-fail 16


!--- Enable the AAA local authentication.


http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
tunnel-group sslgroup type webvpn


!--- Create a tunnel group "sslgroup" with type as WebVPN.


tunnel-group sslgroup general-attributes
 address-pool vpnpool


!--- Associate the address pool vpnpool created.


 default-group-policy clientgroup


!--- Associate the group policy "clientgroup" created.


tunnel-group sslgroup webvpn-attributes

 group-alias sslgroup_users enable


!--- Configure the group alias as sslgroup-users.


telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
webvpn
 enable outside


!--- Enable WebVPN on the outside interface.


 svc image disk0:/sslclient-win-1.1.4.179.pkg 1


!--- Assign an order to the SVC image.


 svc enable


!--- Enable the security appliance to download SVC images to remote computers.


 tunnel-group-list enable


!--- Enable the display of the tunnel-group list on the WebVPN Login page.


prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa#

Établir la connexion VPN SSL avec SVC

Exécutez ces étapes afin d'établir une connexion VPN SSL avec l'ASA .

1. Saisissez dans le champ Address (Adresse) de votre navigateur Web l'URL ou l'adresse IP de l'interface WebVPN de l'ASA.

   Exemple :

   https://<IP address of the ASA WebVPN interface>

   

2. Saisissez votre nom d'utilisateur et votre mot de passe, puis choisissez votre groupe respectif dans la liste déroulante Groupe.

   

   Remarque : le logiciel ActiveX doit être installé sur votre ordinateur avant de télécharger le client VPN SSL.

   

   Cette boîte de dialogue apparaît lorsque la connexion est établie :

   

   Ce message apparaît une fois la connexion établie :

   

3. Une fois la connexion établie, double-cliquez sur l'icône représentant une touche jaune qui apparaît dans la barre des tâches de votre ordinateur.

   La boîte de dialogue Client VPN SSL de Cisco Systems affiche des informations sur la connexion SSL.

   

   

   

Vérifier

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

• show webvpn svc — Affiche les images de SVC enregistrées dans la mémoire flash de l'ASA.

  ciscoasa#show webvpn svc
  1. disk0:/sslclient-win-1.1.4.179.pkg 1
    CISCO STC win2k+ 1.0.0
    1,1,4,179
    Fri 01/18/2008 15:19:49.43
  
  1 SSL VPN Client(s) installed
  

• show vpn-sessiondb svc — Affiche les informations sur les connexions SSL actuelles.

  ciscoasa#show vpn-sessiondb svc
  
  Session Type: SVC
  
  Username     : ssluser1
  Index        : 1
  Assigned IP  : 192.168.10.1           Public IP    : 192.168.1.1
  Protocol     : SVC                    Encryption   : 3DES
  Hashing      : SHA1
  Bytes Tx     : 131813                 Bytes Rx     : 5082
  Client Type  : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
  Client Ver   : Cisco Systems SSL VPN Client 1, 1, 4, 179
  Group Policy : clientgroup
  Tunnel Group : sslgroup
  Login Time   : 12:38:47 UTC Mon Mar 17 2008
  Duration     : 0h:00m:53s
  Filter Name  :

• show webvpn group-alias — Affiche l'alias configuré pour différents groupes.

  ciscoasa#show webvpn group-alias
  Tunnel Group: sslgroup   Group Alias: sslgroup_users enabled
  

• Dans ASDM, choisissez Monitoring > VPN > VPN Statistics > Sessions afin d'afficher des informations sur les sessions WebVPN actuelles dans l'ASA.

  

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

• vpn-sessiondb logoff name <username> : permet de fermer la session VPN SSL pour le nom d'utilisateur spécifié.

  ciscoasa#vpn-sessiondb logoff name ssluser1
  Called vpn_remove_uauIth: success!
  webvpn_svc_np_tear_down: no ACL
  NFO: Number of sessions with name "ssluser1" logged off : 1
  
  

  De même, vous pouvez utiliser la commande vpn-sessiondb logoff svc afin de terminer toutes les sessions SVC.

  Remarque : si le PC passe en mode veille ou veille prolongée, la connexion VPN SSL peut être interrompue.

  webvpn_rx_data_cstp
  webvpn_rx_data_cstp: got message
  SVC message: t/s=5/16: Client PC is going into suspend mode (Sleep, Hibernate, etc)
  Called vpn_remove_uauth: success!
  webvpn_svc_np_tear_down: no ACL
  

  ciscoasa#show vpn-sessiondb svc
  INFO: There are presently no active sessions

• Debug webvpn svc <1-255> : fournit les événements WebVPN en temps réel afin d'établir la session.

  Ciscoasa#debug webvpn svc 7 
  
  ATTR_CISCO_AV_PAIR: got SVC ACL: -1
  webvpn_rx_data_tunnel_connect
  CSTP state = HEADER_PROCESSING
  http_parse_cstp_method()
  ...input: 'CONNECT /CSCOSSLC/tunnel HTTP/1.1'
  webvpn_cstp_parse_request_field()
  ...input: 'Host: 172.16.1.1'
  Processing CSTP header line: 'Host: 172.16.1.1'
  webvpn_cstp_parse_request_field()
  ...input: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4, 179'
  Processing CSTP header line: 'User-Agent: Cisco Systems SSL VPN Client 1, 1, 4,
  179'
  Setting user-agent to: 'Cisco Systems SSL VPN Client 1, 1, 4, 179'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Version: 1'
  Processing CSTP header line: 'X-CSTP-Version: 1'
  Setting version to '1'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Hostname: tacweb'
  Processing CSTP header line: 'X-CSTP-Hostname: tacweb'
  Setting hostname to: 'tacweb'
  webvpn_cstp_parse_request_field()
  ...input: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
  Processing CSTP header line: 'X-CSTP-Accept-Encoding: deflate;q=1.0'
  webvpn_cstp_parse_request_field()
  ...input: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486
  D5BC554D2'
  Processing CSTP header line: 'Cookie: webvpn=16885952@10@1205757506@D4886D33FBF1
  CF236DB5E8BE70B1486D5BC554D2'
  Found WebVPN cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1
  486D5BC554D2'
  WebVPN Cookie: 'webvpn=16885952@10@1205757506@D4886D33FBF1CF236DB5E8BE70B1486D5B
  C554D2'
  Validating address: 0.0.0.0
  CSTP state = WAIT_FOR_ADDRESS
  webvpn_cstp_accept_address: 192.168.10.1/0.0.0.0
  CSTP state = HAVE_ADDRESS
  No subnetmask... must calculate it
  SVC: NP setup
  webvpn_svc_np_setup
  SVC ACL Name: NULL
  SVC ACL ID: -1
  SVC ACL ID: -1
  vpn_put_uauth success!
  SVC: adding to sessmgmt
  SVC: Sending response
  CSTP state = CONNECTED
  

• Dans ASDM, choisissez Monitoring > Logging > Real-time Log Viewer > View afin de visualiser les événements en temps réel. Ces exemples montrent les informations de session entre le SVC 192.168.10.1 et le serveur Web 10.2.2.2 sur Internet via ASA 172.16.1.5.

  

Informations connexes

• Page de support pour appliances de sécurité adaptables de la gamme Cisco 5500
• PIX/ASA 7.x et client VPN pour le VPN d'Internet public sur un exemple de configuration de bâton
• Exemple de configuration d'un client VPN SSL (SVC) sur ASA avec ASDM
• Assistance et documentation techniques - Cisco Systems