Exemplo de Configuração do PIX/ASA como um Servidor VPN Remoto com Autenticação Estendida Usando CLI e ASDM

Introdução

Este documento descreve como configurar o Adaptive Security Appliance (ASA) da Cisco 5500 Series para atuar como um servidor de VPN remoto usando o Adaptive Security Device Manager (ASDM) ou a CLI. O ASDM oferece gerenciamento de segurança de nível mundial e monitoramento através de uma interface de gerenciamento baseada na Web intuitiva e fácil de usar. Quando a configuração de roteador Cisco estiver concluída, ela pode ser verificada usando o Cisco VPN Client.

Consulte Exemplo de Configuração de Autenticação do PIX/ASA 7.x e do Cisco VPN Client 4.x com IAS RADIUS (Contra o Ative Diretory) do Windows 2003 para configurar a conexão VPN de acesso remoto entre um Cisco VPN Client (4.x para Windows) e o PIX 500 Series Security Appliance 7.x. O usuário remoto do VPN Client autentica no Ative Diretory usando um servidor RADIUS do Microsoft Windows 2003 Internet Authentication Service (IAS).

Consulte Exemplo de Configuração do PIX/ASA 7.x e do Cisco VPN Client 4.x for Cisco Secure ACS Authentication para configurar uma conexão VPN de acesso remoto entre um Cisco VPN Client (4.x para Windows) e o PIX 500 Series Security Appliance 7.x usando um Cisco Secure Access Control Server (ACS versão 3.2) para autenticação estendida (Xauth).

Pré-requisitos

Requisitos

Este documento pressupõe que o ASA esteja totalmente operacional e configurado para permitir que o Cisco ASDM ou CLI faça alterações de configuração.

Observação: Consulte Permitindo o Acesso HTTPS para ASDM ou o PIX/ASA 7.x: Exemplo de Configuração de SSH na Interface Interna e Externa para permitir que o dispositivo seja configurado remotamente pelo ASDM ou Secure Shell (SSH).

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Software Cisco Adaptive Security Appliance versão 7.x ou posterior

• Adaptive Security Device Manager versão 5.x e posterior

• Cisco VPN Client versão 4.x e posterior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Essa configuração também pode ser usada com o Cisco PIX Security Appliance Versão 7.x ou posterior.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

As configurações de acesso remoto fornecem acesso remoto seguro para clientes Cisco VPN, como usuários móveis. Uma VPN de acesso remoto permite que os usuários remotos acessem com segurança recursos de rede centralizados. O Cisco VPN Client está em conformidade com o protocolo IPSec e foi projetado especificamente para trabalhar com o Security Appliance. No entanto, o Security Appliance pode estabelecer conexões IPSec com muitos clientes compatíveis com o protocolo. Consulte os Guias de configuração do ASA para obter mais informações sobre IPSec.

Grupos e usuários são conceitos centrais no gerenciamento da segurança de VPNs e na configuração do dispositivo de segurança. Eles especificam atributos que determinam o acesso dos usuários à VPN e o uso da mesma. Um grupo é uma coleção de usuários tratados como uma entidade única. Os usuários obtêm seus atributos das políticas de grupo. Os grupos de túnel identificam a política de grupo para conexões específicas. Se você não atribuir uma determinada política de grupo a usuários, a política de grupo padrão para a conexão será aplicada.

Um grupo de túneis consiste em um conjunto de registros que determina as políticas de conexão do túnel. Esses registros identificam os servidores para os quais os usuários do túnel são autenticados, bem como os servidores de contabilidade, se houver, para os quais as informações de conexão são enviadas. Eles também identificam uma política de grupo padrão para as conexões e contêm parâmetros de conexão específicos do protocolo. Os grupos de túneis incluem um pequeno número de atributos que pertencem à criação do próprio túnel. Os grupos de túnel incluem um ponteiro para uma política de grupo que define atributos orientados ao usuário.

Observação: no exemplo de configuração neste documento, as contas de usuário local são usadas para autenticação. Se quiser usar outro serviço, como LDAP e RADIUS, consulte Configuração de um Servidor RADIUS Externo para Autorização e Autenticação.

O Internet Security Association and Key Management Protocol (ISAKMP), também chamado de IKE, é o protocolo de negociação que os hosts concordam sobre como criar uma associação de segurança IPSec. Cada negociação de ISAKMP é dividida em duas seções, Fase1 e Fase2. A Fase 1 cria o primeiro túnel para proteger as mensagens de negociação de ISAKMP posteriores. A Fase 2 cria o túnel que protege os dados que trafegam pela conexão segura. Consulte Palavras-chave de política ISAKMP para comandos CLI para obter mais informações sobre ISAKMP.

Configurações

Configurar o ASA/PIX como um Servidor VPN Remoto usando o ASDM

Conclua estas etapas para configurar o Cisco ASA como um servidor VPN remoto usando o ASDM:

1. Selecione Wizards > VPN Wizard na janela Home.

   

2. Selecione o tipo de túnel VPN de acesso remoto e verifique se a interface de túnel VPN está definida como desejado.

   

3. O único tipo de cliente VPN disponível já está selecionado. Clique em Next.

   

4. Digite um nome para o nome do grupo de túneis. Forneça as informações de autenticação a serem usadas.

   A chave pré-compartilhada é selecionada neste exemplo.

   

   Observação: Não há uma maneira de ocultar/criptografar a chave pré-compartilhada no ASDM. O motivo é que o ASDM deve ser usado somente por pessoas que configuram o ASA ou por pessoas que estão ajudando o cliente com essa configuração.

5. Escolha se você deseja que os usuários remotos sejam autenticados no banco de dados de usuário local ou em um grupo de servidores AAA externo.

   Observação: Você adiciona usuários ao banco de dados de usuários locais na etapa 6.

   Observação: consulte PIX/ASA 7.x Authentication and Authorization Server Groups for VPN Users via ASDM Configuration Example para obter informações sobre como configurar um grupo de servidor AAA externo via ASDM.

   

6. Adicione usuários ao banco de dados local, se necessário.

   Observação: Não remova usuários existentes desta janela. Selecione Configuration > Device Administration > Administration > User Accounts na janela principal do ASDM para editar entradas existentes no banco de dados ou para removê-las do banco de dados.

   

7. Defina um pool de endereços locais a serem atribuídos dinamicamente a Clientes VPN remotos quando eles se conectarem.

   

8. Opcional: Especifique as informações de servidor DNS e WINS e um nome de domínio padrão a ser enviado para clientes VPN remotos.

   

9. Especifique os parâmetros para IKE, também conhecido como Fase 1 do IKE.

   As configurações em ambos os lados do túnel devem corresponder exatamente. No entanto, o Cisco VPN Client seleciona automaticamente a configuração apropriada para ele mesmo. Portanto, nenhuma configuração de IKE é necessária no PC cliente.

   

10. Especifique os parâmetros para IPSec, também conhecido como Fase 2 do IKE.

    As configurações em ambos os lados do túnel devem corresponder exatamente. No entanto, o Cisco VPN Client seleciona automaticamente a configuração apropriada para ele mesmo. Portanto, nenhuma configuração de IKE é necessária no PC cliente.

    

11. Especifique quais hosts internos ou redes, se houver, devem ser expostos aos usuários remotos da VPN.

    Se você deixar essa lista vazia, ela permitirá que os usuários remotos de VPN acessem toda a rede interna do ASA.

    Você também pode ativar o tunelamento dividido nessa janela. O tunelamento dividido criptografa o tráfego para os recursos definidos anteriormente neste procedimento e fornece acesso não criptografado à Internet em geral, não encapsulando esse tráfego. Se o tunelamento dividido não estiver habilitado, todo o tráfego dos usuários remotos da VPN será tunelado para o ASA. Com base na sua configuração, isso pode consumir muita largura de banda e processamento.

    

12. Essa janela mostra um resumo das ações que você realizou. Clique em Finish se estiver satisfeito com a configuração.

    

Configurar o ASA/PIX como um Servidor VPN Remoto usando CLI

Conclua estes passos para configurar um Servidor de Acesso VPN remoto a partir da linha de comando. Consulte Configuração de VPNs de Acesso Remoto ou Cisco ASA 5500 Series Adaptive Security Appliances - Referências de Comandos para obter mais informações sobre cada comando usado.

1. Insira o comando ip local pool no modo de configuração global para configurar pools de endereços IP para usar em túneis de acesso remoto VPN. Para excluir pools de endereços, insira a forma no desse comando.

   O Security Appliance usa pools de endereços com base no grupo de túneis para a conexão. Se você configurar mais de um pool de endereços para um grupo de túneis, o Security Appliance os usará na ordem em que estão configurados. Execute este comando para criar um pool de endereços locais que podem ser usados para atribuir endereços dinâmicos a Clientes VPN de acesso remoto:

   ASA-AIP-CLI(config)#ip local pool vpnpool 172.16.1.100-172.16.1.199 mask
   		  255.255.255.0
   		 

2. Emita este comando:

   ASA-AIP-CLI(config)#username marty password 12345678
   

3. Execute este conjunto de comandos para configurar o túnel específico:

   • ASA-AIP-CLI(config)#isakmp policy 1 autenticação pré-compartilhamento

   • ASA-AIP-CLI(config)#isakmp policy 1 encryption 3des

   • ASA-AIP-CLI(config)#isakmp policy 1 hash sha

   • ASA-AIP-CLI(config)#isakmp policy 1 group 2

   • ASA-AIP-CLI(config)#isakmp policy 1 43200 de vida útil

   • ASA-AIP-CLI(config)#isakmp enable outside

   • ASA-AIP-CLI(config)#crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

   • ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA

   • ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set reverse-route

   • ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000

   • ASA-AIP-CLI(config)#crypto map outside_map 10 ipsec-isakmp dynamic outside_dyn_map

   • ASA-AIP-CLI(config)#crypto map outside_map interface outside

   • ASA-AIP-CLI(config)#crypto isakmp nat-traversal

4. Opcional: se desejar que a conexão ignore a lista de acesso aplicada à interface, emita este comando:

   ASA-AIP-CLI(config)#sysopt connection permit-ipsec
   

   Observação: esse comando funciona em imagens 7.x antes do 7.2(2). Se você usar a imagem 7.2(2), execute o comando ASA-AIP-CLI(config)#sysopt connection permit-vpn.

5. Emita este comando:

   ASA-AIP-CLI(config)#group-policy hillvalleyvpn internal
   

6. Execute estes comandos para definir as configurações de conexão do cliente:

   • ASA-AIP-CLI(config)#group-policy hillvalleyvpn attributes

   • ASA-AIP-CLI(config)#(config-group-policy)#dns-server value 172.16.1.11

   • ASA-AIP-CLI(config)#(config-group-policy)#vpn-tunnel-protocol IPSec

   • ASA-AIP-CLI(config)#(config-group-policy)#default-domain value test.com

7. Emita este comando:

   ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn ipsec-ra
   

8. Emita este comando:

   ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn ipsec-attributes
   

9. Emita este comando:

   ASA-AIP-CLI(config-tunnel-ipsec)#pre-shared-key cisco123
   

10. Emita este comando:

    ASA-AIP-CLI(config)#tunnel-group hillvalleyvpn general-attributes
    

11. Execute este comando para consultar o banco de dados de usuário local para autenticação.

    ASA-AIP-CLI(config-tunnel-general)#authentication-server-group LOCAL
    

12. Associe a política do grupo ao grupo do túnel.

    ASA-AIP-CLI(config-tunnel-ipsec)# default-group-policy hillvalleyvpn
    

13. Emita este comando no modo de atributos gerais do grupo de túneis hillvalleyvpn para atribuir o vpnpool criado na etapa 1 ao grupo hillvalleyvpn.

    ASA-AIP-CLI(config-tunnel-general)#address-pool vpnpool
    

ASA-AIP-CLI(config)#show running-config 
ASA Version 7.2(2) 
!
hostname ASAwAIP-CLI
domain-name corp.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 10.10.10.2 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.16.1.2 255.255.255.0 
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp.com
pager lines 24
mtu outside 1500
mtu inside 1500
ip local pool vpnpool 172.16.1.100-172.16.1.199 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy hillvalleyvpn1 internal
group-policy hillvalleyvpn1 attributes
 dns-server value 172.16.1.11
 vpn-tunnel-protocol IPSec 
 default-domain value test.com
username marty password 6XmYwQOO9tiYnUDN encrypted
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000
crypto map outside_map 10 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha     
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
tunnel-group hillvalleyvpn type ipsec-ra
tunnel-group hillvalleyvpn general-attributes
 address-pool vpnpool
 default-group-policy hillvalleyvpn
tunnel-group hillvalleyvpn ipsec-attributes
 pre-shared-key *
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:0f78ee7ef3c196a683ae7a4804ce1192
: end
ASA-AIP-CLI(config)#

Configuração de armazenamento de senha do Cisco VPN Client

Se você tem vários Cisco VPN Clients, é muito difícil lembrar todos os nomes de usuário e senhas do VPN Client. Para armazenar as senhas na máquina do VPN Client, configure o ASA/PIX e o VPN Client conforme descrito nesta seção.

ASA/PIX

Use o comando group-policy attributes no modo de configuração global:

group-policy VPNusers attributes
  password-storage enable 

Cisco VPN Client

Edite o arquivo .pcf e modifique estes parâmetros:

SaveUserPassword=1
UserPassword= 
      
      

Desativar a autenticação estendida

No modo de grupo de túneis, insira este comando para desabilitar a autenticação estendida, que é habilitada por padrão, no PIX/ASA 7.x:

asa(config)#tunnel-group client ipsec-attributes
asa(config-tunnel-ipsec)#isakmp ikev1-user-authentication none

Depois de desabilitar a autenticação estendida, os VPN Clients não exibem um nome de usuário/senha para uma autenticação (Xauth). Portanto, o ASA/PIX não exige a configuração de nome de usuário e senha para autenticar os VPN Clients.

Verificar

Tente se conectar ao Cisco ASA usando o Cisco VPN Client para verificar se o ASA foi configurado com êxito.

1. Selecione Connection Entries > New.

   

2. Preencha os detalhes da nova conexão.

   O campo Host deve conter o endereço IP ou o nome de host do Cisco ASA configurado anteriormente. As informações de autenticação de grupo devem corresponder às usadas na etapa 4. Clique em Save quando terminar.

   

3. Selecione a conexão recém-criada e clique em Connect.

   

4. Insira um nome de usuário e uma senha para a autenticação estendida. Essas informações devem corresponder às especificadas nas etapas 5 e 6.

   

5. Depois que a conexão for estabelecida com êxito, selecione Statistics no menu Status para verificar os detalhes do túnel.

   Essa janela mostra informações de tráfego e criptografia:

   

   Essa janela mostra informações de separação de túneis:

   

Troubleshooting

Use esta seção para resolver problemas de configuração.

ACL criptografada incorreta

O ASDM 5.0(2) é conhecido por criar e aplicar uma lista de controle de acesso de criptografia (ACL) que pode causar problemas para Clientes VPN que usam tunelamento dividido, bem como para clientes de hardware no modo de extensão de rede. Use o ASDM versão 5.0(4.3) ou posterior para evitar esse problema. Consulte o bug da Cisco ID CSCsc10806 (somente clientes registrados) para obter mais detalhes.

Informações Relacionadas

• Dispositivos de segurança adaptáveis Cisco ASA 5500 Series
• Soluções de problemas mais comuns para VPN IPsec de acesso remoto e L2L
• Solução de problemas e alertas dos dispositivos de segurança adaptáveis Cisco ASA 5500 Series
• Suporte Técnico e Documentação - Cisco Systems