Clientless SSL VPN (WebVPN) en el ejemplo de configuración ASA
Anuncio
Clientless SSL VPN (WebVPN) en el ejemplo de configuración ASA Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Convenciones Configurar Diagrama de la red Procedimiento Configuración Sustituciones Macro de Clientless SSL VPN (WEBVPN) Verificación Troubleshooting Procedimientos Usados para Troubleshooting Comandos Usados para Troubleshooting Problema - No se puede Conectar a Más de Tres usuarios de VPN WEB con PIX/ASA Problema - Los clientes de VPNsWEB No Pueden Ejecutar los Marcadores y están Atenuados Problema - Conexión del Citrix con el WEBVPN Problema: Cómo evitar la necesidad de una segunda autenticación para los usuarios Información Relacionada Introducción Clientless SSL VPN (WebVPN) permite acceso seguro limitado pero valioso a la red corporativa desde cualquier ubicación. Los usuarios pueden alcanzar el acceso basado en buscador seguro a los recursos corporativos en cualquier momento. Este documento proporciona una configuración directa para que Cisco Adaptive Security Appliance 5500 series (ASA) permita el acceso de Clientless SSL VPN a los recursos de red interna. La tecnología VPN SSL se puede utilizar de tres maneras: Clientless SSL VPN, Thin-Client SSL VPN (Port Forwarding), y SSL VPN Client (SVC Tunnel Mode). Cada una tiene sus propias ventajas y acceso único a los recursos. 1. Clientless SSL VPN Un cliente remoto necesita solamente un buscador Web habilitado por SSL para acceder a los servidores Web http o https en la LAN corporativa. El acceso está también disponible para buscar archivos de Windows con el sistema Común de Archivos de Internet (CIFS). Un buen ejemplo del acceso http es el cliente de Outlook Web Access (OWA). 2. Cliente liviano SSL VPN (expedición del puerto) Un cliente remoto debe descargar un pequeño subprograma Java para el acceso seguro de las aplicaciones TCP que utilizan los números del puerto estático. El UDP no se soporta. Los ejemplos incluyen el acceso a POP3, S TP, IMAP, SSH, y a Telnet. El usuario necesita privilegios administrativos locales porque los cambios se realizan a los archivos en el equipo local. Este método de SSL VPN no funciona con las aplicaciones que utilizan las asignaciones de puerto dinámico, por ejemplo, varias aplicaciones FTP. Consulte Ejemplo de Configuración de Thin-Client SSL VPN (WebVPN) en ASA con ASDM para obtener más información sobre Thin-Client SSL VPN. 3. Cliente VPN SSL (modo del SVC-túnel) El SSL VPN Client descarga a un pequeño cliente a la estación de trabajo remota y permite por completo, acceso seguro a los recursos en la red corporativa interna. El SVC se puede descargar permanentemente a la estación remota, o puede ser quitado una vez que finaliza la sesión segura. El clientless SSL VPN se puede configurar en el Concentrador VPN de Cisco 3000 y el Routers específico del del Cisco IOS con la versión 12.4(6)T y posterior. El acceso de Clientless SSL VPN también se puede configurar en Cisco ASA en la interfaz de línea de comando (CLI) o con el Adaptive Security Device Manager (ASDM). El uso de ASDM hace que las configuraciones sean más directas. Clientless SSL VPN y ASDM no deben habilitarse en la misma interfaz ASA . Es posible que las dos tecnologías coexistan en la misma interfaz si los cambios se realizan a los números del puerto. Se recomienda encarecidamente que el ASDM esté habilitado en la interfaz interior, así que el WebVPN se puede habilitar en la interfaz exterior. Consulte el Ejemplo de Configuración de SSL VPN Client (SVC) en ASA Using ASDM para obtener más información sobre SSL VPN Client. El Clientless SSL VPN habilita el acceso seguro a estos recursos en la LAN corporativa: OWA/Exchange HTTP y HTTPS a servidores Web internos Acceso a archivos y Búsqueda en Windows Servidores Citrix con el cliente thin de Citrix El Cisco ASA adopta la función de un proxy seguro para equipos de clientes que pueden acceder a recursos preseleccionados en la LAN corporativa. Este documento demuestra una configuración simple con el ASDM para habilitar el uso del Clientless SSL VPN en el Cisco ASA. La configuración del cliente no es necesaria si el cliente tiene ya un buscador Web con SS habilitado. La mayoría de los buscadores Web ya tiene la capacidad de invocar las sesiones SSL/TLS. Las líneas de comando resultantes de Cisco ASA también se muestran en este documento. prerrequisitos Requisitos Asegúrese de cumplir estos requisitos antes de intentar esta configuración: Buscador con Client-SSL habilitado, por ejemplo, Internet Explorer, Netscape, y Mozilla ASA con la versión 7.1 o posterior Puerto TCP 443, que no se debe bloquear a lo largo de la trayectoria del cliente al ASA Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. Cisco ASA Software Version 7.2(1) Cisco ASDM 5.2(1) Nota: Consulte Cómo Permitir el Acceso HTTPS para el ASDM para que el ASA sea configurado por el ASDM. Cisco ASA 5510 series La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos usados en este documento comenzaron con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Convenciones Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos. Configurar En esta etapa, puede ejecutar https://inside _IP Address buscador Web para acceder a la aplicación ASDM. Una vez cargado ASDM, comienza la configuración para el WebVPN. Esta sección contiene la información necesaria para configurar las características descritas dentro de este documento. Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección. Diagrama de la red En este documento, se utiliza esta configuración de red: Procedimiento Configure la el WebVPN en el ASA con cuatro pasos principales: Habilite el WebVPN en una interfaz ASA. Cree una lista de servidores o de URL para el acceso del WebVPN. Cree una política de grupo para los usuarios de WebVPN. Aplique la nueva política del grupo a un grupo de túnel. 1. En ASDM, elija Configuration > VPN > WebVPN > WebVPN Access. Elija la interfaz para cerrar usuarios WebVPN > Enable > Apply. 2. Elija Servers y URLs > Add. Ingrese un nombre para la lista de servidores accesibles por el WebVPN. ‘Haga clic en el botón Add (Agregar).’ Se muestra el cuadro de diálogo Agregar Servidor o URL . Ingrese el nombre de cada servidor. Éste es el nombre que el cliente ve. Elija el menú desplegable URL para cada servidor y elija el protocolo apropiado. Agregue los servidores a su lista del cuadro de diálogo Agregar Servidor o URL y haga clic en Aceptar. Haga clic en Apply > Save. 3. Expanda General en el menú izquierdo de ASDM. Elija Group Policy > Add. Elija Agregar Política de Grupo Interna. Desmarque los Tunneling Protocols: Desmarque la casilla de verificación Inherit. Active la casilla de verificación WebVPN. Elija la pestaña WebVPN. Desmarque la casilla de verificación Inherit. Elija de la lista de funciones. Haga clic en OK> Apply. 4. Elija al Grupo de Túnel en la columna izquierda. Haga clic en el botón Editar. Haga clic en el menú desplegable Política de Grupo. Elija la política creada en el paso 3. Es importante observar que si no se crean las nuevas Políticas de Grupos y los Grupos de Túnel, los valores predeterminados son GroupPolicy 1 y DefaultWEBVPNGroup. Haga clic en la pestaña WebVPN. Elija los Servidores de NetBIOS. ‘Haga clic en el botón Add (Agregar).’ Complete la dirección IP del servidor WINS/NBNS. Haga clic en OK > ACEPTABLE. Siga los prompts Apply > Save > Yes para escribir la configuración. Configuración Esta configuración refleja los cambios realizados en ASDM para habilitar el WebVPN: Ciscoasa ciscoasa#show running-config Building configuration... ASA Version 7.2(1) hostname ciscoasa domain-name cisco.com enable password 9jNfZuG3TC5tCVH0 encrypted names dns-guard interface Ethernet0/0 nameif outside security-level 0 ip address 172.22.1.160 255.255.255.0 interface Ethernet0/1 nameif inside security-level 100 ip address 10.2.2.1 255.255.255.0 interface Ethernet0/2 nameif DMZ1 security-level 50 no ip address interface Management0/0 description For Mgt only shutdown nameif Mgt security-level 0 ip address 10.10.10.1 255.255.255.0 management-only passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name cisco.com pager lines 24 logging enable logging asdm informational mtu outside 1500 mtu inside 1500 mtu DMZ1 1500 mtu Mgt 1500 icmp permit any outside asdm image disk0:/asdm521.bin no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 10.2.2.0 255.255.255.0 route outside 0.0.0.0 0.0.0.0 172.22.1.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute ! !--- group policy configurations ! group-policy GroupPolicy1 internal group-policy GroupPolicy1 attributes vpn-tunnel-protocol IPSec l2tp-ipsec webvpn webvpn functions url-entry file-access file-entry file-browsing mapi port-forward filter http-proxy auto-download citrix username cisco password 53QNetqK.Kqqfshe encrypted ! !--- asdm configurations ! http server enable http 10.2.2.0 255.255.255.0 inside ! no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart ! !--- tunnel group configurations ! tunnel-group DefaultWEBVPNGroup general-attributes default-group-policy GroupPolicy1 tunnel-group DefaultWEBVPNGroup webvpn-attributes nbns-server 10.2.2.2 master timeout 2 retry 2 ! telnet timeout 5 ssh 172.22.1.0 255.255.255.0 outside ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global ! !--- webvpn configurations ! webvpn enable outside url-list ServerList "WSHAWLAP" cifs://10.2.2.2 1 url-list ServerList "FOCUS_SRV_1" https://10.2.2.3 2 url-list ServerList "FOCUS_SRV_2" http://10.2.2.4 3 ! prompt hostname context ! end Sustituciones Macro de Clientless SSL VPN (WEBVPN) Las substituciones macro de Clientless SSL VPN le permiten configurar los usuarios para el acceso a los recursos personalizados que contienen la identificación del usuario y la contraseña u otros parámetros de entrada. Los ejemplos de tales recursos incluyen las entradas de la dirección de Internet, las listas url, y las partes de archivos. Nota: Por razones de seguridad, las substituciones de la contraseña se inhabilitan para el acceso al archivo URL (cifs://). Nota: También por motivos de seguridad, tenga cuidado cuando ingresa la contraseña de las sustituciones para links Web, especialmente para instancias que no pertenecen a SSL. Se soportan estas substituciones macro: CSCO_WEBVPN_USERNAME - ID de inicio de sesión de usuario de SSL VPN CSCO_WEBVPN_PASSWORD - Contraseña de inicio de sesión del usuario de VPN SSL CSCO_WEBVPN_INTERNAL_PASSWORD - Contraseña de los recursos internos del usuario de VPN SSL CSCO_WEBVPN_CONNECTION_PROFILE - Descenso-abajo del grupo del login del usuario de VPN SSL, un grupo alias dentro del perfil de la conexión 5. CSCO_WEBVPN_MACRO1 - Fije con el atributo específico del proveedor RADIUS/LDAP 6. CSCO_WEBVPN_MACRO2 - Fije con el atributo específico del proveedor RADIUS/LDAP 1. 2. 3. 4. Para conocer más sobre las substituciones macro, consulte substituciones macro de Clientless SSL VPN. Verificación Use esta sección para confirmar que su configuración funciona correctamente. Establezca una conexión a su dispositivo ASA de un cliente exterior para probar esto: https://ASA_outside_IP_Address El cliente recibe una página de Cisco WebVPN que permite el acceso a la LAN corporativa en una manera segura. El cliente solamente cuenta con el acceso que se enumera en la política creada recientemente del grupo. Autenticación: Un simple inicio de sesión y contraseña fueron creados en el ASA para esta prueba de concepto del laboratorio. Si un prefiere un sencillo inicio de sesión continuo al dominio para los usuarios de WebVPN, consulte esta URL: Ejemplo de Configuración de ASA con WebVPN y Single Sign-on con ASDM y NTLMv1 Troubleshooting En esta sección encontrará información que puede utilizar para solucionar problemas de configuración. Nota: No interrumpa el comando Copy File to Server ni pase a otra pantalla cuando el proceso de copiado está en curso. Si se interrumpe la operación, puede hacer que se guarde un archivo incompleto en el servidor. Nota: Los usuarios pueden cargar y descargar los nuevos archivos con el cliente del WEBVPN, pero no se permite al usuario sobregrabar los archivos en CIFS en el WEB VPN con el comando Copy de la copia al File to Server. Cuando el usuario intenta substituir un archivo en el servidor, el usuario recibe este mensaje: “No fue posible añadir el archivo.” Procedimientos Usados para Troubleshooting Sigue estas instrucciones de resolver problemas su configuración. 1. En ASDM, elija Monitoring > Logging > Real-time Log Viewer > View. Cuando un cliente conecta con el ASA, observe el establecimiento y el fin de sesión de SSL y TLS en los registros en tiempo real. 2. En ASDM, elija Monitoring > VPN > VPN Statistics > Sessions. Busque la nueva sesión WebVPN. Asegúrese de elegir el filtro de WebVPN y haga clic enFiltro. Si ocurre un problema, desvíe temporalmente el dispositivo ASA para asegurarse de que los clientes pueden acceder a los recursos de red deseados. Revisa los pasos para la configuración enumerados en este documento. Comandos Usados para Troubleshooting La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show. Nota: Consulte información importante en los comandos del debug antes del uso de los comandos del debug. ¿muestra el webvpn? - Hay muchos comandos show asociados al WebVPN. Para ver el uso de los comandos show detalladamente, consulte la sección de referencia de comandos de la aplicación del Cisco Security. ¿haga el debug del webvpn? — El uso de los comandos debug puede afectar al contrario el ASA. Para ver el uso de los comandos debug más detalladamente, consulte la sección de referencia de comandos de la aplicación del Cisco Security. Problema - No se puede Conectar a Más de Tres usuarios de VPN WEB con PIX/ASA Problema: Solamente tres clientes VPN del WEB pueden conectar con ASA/PIX; la conexión para el cuarto cliente falla. Solución: En la mayoría de los casos, este problema se relaciona con una configuración simultánea del login dentro de la política del grupo. Utiliza este ejemplo para configurar el número deseado de inicios de sesión simultáneos. En este ejemplo, el valor deseado era 20. ciscoasa(config)# group-policy Bryan attributes ciscoasa(config-group-policy)# vpn-simultaneous-logins 20 Problema - Los clientes de VPNsWEB No Pueden Ejecutar los Marcadores y están Atenuados Problema: Si estas direcciones de Internet fueron configuradas para que a los usuarios firmen dentro de VPN sin cliente, pero, en la pantalla principal bajo “aplicaciones de Web” aparecen atenuados, ¿ cómo puedo habilitar estas conexiones HTTP de modo que los usuarios puedan hacer clic y entrar el URL determinado? Solución: Primero debe asegurarse de que el ASA pueda resolver los sitios Web con DNS. Intente hacer ping en los sitios web por nombre. Si el ASA no puede resolver el nombre, la conexión se atenuará. Si los servidores DNS son internos a su red, configure la interfaz privada de dominio de búsqueda DNS. Problema - Conexión del Citrix con el WEBVPN Problema Aparece el mensaje de error “ the ica client received a corrupt icafile.” para el Citrix en WEBVPN. Solución Si utiliza el modo seguro de gateway para la conexión del Citrix con WebVPN, el archivo ICA puede dañarse. Como el ASA no es compatible con este modo de operación, cree un nuevo archivo ICA en el modo directo (modo NON-seguro). Problema: Cómo evitar la necesidad de una segunda autenticación para los usuarios Problema Cuando acceder CIFS conecta en el portal del WebVPN del clientless, los usuarios se indica para las credenciales después de hacer clic el marcador. El LDAP se utiliza para autenticar los recursos y los usuarios han ingresado ya las credenciales del LDAP para iniciar sesión a la sesión de VPN. Solución Usted puede utilizar la característica del auto-anuncio del comienzo de las emisiones en este caso. Bajo grupo-directiva específica que es utilizada y bajo sus atributos del WebVPN, configure esto: auto-signon allow uri cifs://X.X.X.X/* auth-type all donde X.X.X.X=IP del servidor y del *=restof CIFS la trayectoria para alcanzar el archivo/la carpeta de la parte en la pregunta. Un snippet del ejemplo de configuración se muestra aquí: hostname(config)# group-policy ExamplePolicy attributes hostname(config-group-policy)# webvpn hostname(config-group-webvpn)# auto-signon allow uri https://*.example.com/* auth-type all Para más información sobre esto, refiera a configurar el SSO con el HTTP básico o la autenticación NTLM. Información Relacionada Ejemplos de Configuración y Lista de Notas Técnicas © 1992-2015 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 18 Octubre 2015 http://www.cisco.com/cisco/web/support/LA/103/1030/1030113_webvpnasa.html
