WebVPN базиран на Cisco IOS

Категория: Мрежи / Мрежи

ИВАН ПАНИН, инженер по техническа сигурност на информацията. Сфера на интереси: мрежови технологии, информационна сигурност

WebVPN базиран на Cisco IOS

Технологията WebVPN позволява ефективна VPN комуникация, която позволява на мобилните работници да имат достъп до корпоративни ресурси.

VPN (Virtual Private Network - виртуална частна мрежа) - логическа мрежа, създадена върху друга мрежа. Криптирането създава затворени канали. Технологията е съвместима с всеки браузър, който поддържа SSL. В днешната бизнес среда VPN е незаменимо решение по отношение на ефективността на мобилния достъп, сигурността и икономическата осъществимост.

На фиг. 1 показва диаграма на свързване на мобилни работници към корпоративни ресурси. За организиране на защитена връзка се използват протоколът Secure Socket Layer (SSL) и Transport Layer Security (SSL/TLS1). Можете да използвате Cisco IOS, Cisco VPN 3000 Concentrator или Cisco ASA като WebVPN [2] шлюз. Процесът използва сертификат, за разлика от обмена на ключове, използван в IPSec.

Фигура 1. WebVPN топология

Модели за отдалечен достъп

Има три модела за отдалечен достъп:

  • SSL VPN без клиент (WebVPN);
  • Тънък клиент SSL VPN (пренасочване на порт);
  • SSL VPN клиент (SVC-режим на пълен тунел).

SSL VPN без клиент (WebVPN)

Обща интернет файлова система (CIFS). Позволява на отдалечени потребители да преглеждат и осъществяват достъп до файлове, разположени на базирани на Windows сървъри в корпоративната мрежа.

Тънък клиент SSL VPN (пренасочване на портове)

Позволяваотдалечени потребители да стартират клиентски приложения на своя компютър чрез криптирана връзка в корпоративната мрежа.

SSL VPN клиент (SVC-режим на пълен тунел)

С инсталирането на WebVPN клиента, отдалеченият компютър става част от корпоративната мрежа.

Cisco Secure Desktop. В допълнение към SSL VPN (Full Tunnel) е инсталиран клиентът Secure Desktop.

Първа стъпка от конфигурирането на IOS WebVPN Gateway: Подготовка

! Активиране на модела за контрол на достъпа AAA

! Създайте потребителски акаунт в локалната база данни

! данни, можете също да използвате външно удостоверяване,

! например TACACS или RADIUS сървър

потребителско име user01 привилегия 0 тайна 0 cisco221

! Активиране на удостоверяване за локални потребители

aaa удостоверяване влизане по подразбиране локално

! DNS настройки за WebVPN шлюз: име на хост, домейн

ip име на домейн company.ru

ip сървър за имена 192.168.1.3

Създайте доверен сертификат

! Обявяване на удостоверяващия орган

! (Сертифициращ орган, Калифорния)

cryptopki trustpoint router01.company.ru

! Обща информация, основното тук е каноничното име:

! CN, който съответства на запис A на DNS сървъра

крипто pki регистрирайте router01.company.ru

Сега сертификатът е готов, можете да го видите с командата:

#покажи крипто pki сертификати

ip локален пул ssl-vpn-клиент-dynpool 10.10.1.5 10.10.1.20

Стъпка втора: Настройка на WebVPN

На фиг. Фигура 2 изобразява концепцията на WebVPN, която се състои от три градивни елемента. Контекстът по същество е контейнер, съдържащ всички настройки за свързване на клиенти.

Фигура 2. Концепция на WebVPN

Шлюзът работи като прокси за защитакорпоративни ресурси.

webvpn шлюз WebVPNGateway

ip адрес 172.16.1.1 порт 443

http пренасочване порт 80

ssl trustpoint router01.company.ru

! Ние дефинираме алгоритъма за криптиране за SSL протокола,

! aes-sha1 и rc4-md5 също са налични

ssl криптиране 3des-sha1

! Регистриране на грешки и събития

Копирайте AnyConnect или SSLClient клиент и Secure Desktop към рутера, например, като използвате TFTP сървър и инсталирайте. Могат да бъдат инсталирани до 9 клиента, например за поддръжка на различни операционни системи. Редът на зареждане се определя от параметъра за последователност.

При свързване клиентът се избира автоматично в зависимост от типа на ОС.

webvpn инсталирайте svc flash:/anyconnect-win-2.x.pkg последователност 1

webvpn инсталирайте svc flash:/anyconnect-macosx-i386-2.x.pkg последователност 2

! Клиент за Windows CE, подходящ за Mobile, т.к те са базирани на CE

webvpn инсталирайте svc flash:/anyconnect-wince-ARMv4I-2.x.pkg последователност 3

webvpn инсталирайте svc flash:/anyconnect-linux-2.x-k9.pkg последователност 4

webvpn инсталирайте csd флаш:/securedesktop-ios-3.x-k9.pkg

! След това в конфигурацията ще се появят следните редове:

webvpn инсталирайте svc flash:/webvpn/svc_1.pkg последователност 1

webvpn инсталирайте svc flash:/webvpn/svc_2.pkg последователност 2

webvpn инсталирайте svc flash:/webvpn/svc_3.pkg последователност 3

webvpn инсталирайте svc flash:/webvpn/svc_4.pkg последователност 4

webvpn инсталирайте csd флаш:/webvpn/sdesktop.pkg

! За бързо превключване на IP пакети трябва да активирате

! С isco Express Forwarding (CEF)

След това се създава WebVPN контекст, който е необходим за асоциирането на шлюза и индивидуалните настройки, тъй като възможно е да се създадат множество контексти с различни нива на достъпв зависимост от посочения домейн.

webvpn контекст SSLVPN

! Заглавие и съобщение на страницата за удостоверяване

заглавие "Router01 Web-VPN страница Добре дошли!"

файл с лого flash:/company.gif

login-message "Моля, въведете вашите идентификационни данни.."

! Ограничение на броя едновременни WebVPN сесии

! Режим на проверка на сертификата

ssl удостоверяване, проверка на всички

! Тук можете да използвате Cisco Security Desktop

Създайте списък с HTTP връзки, налични в портала (ако е позволено от правилата на групата).

url-текст "WebMail" url-стойност "mail.company.ru"

url-текст "SharePoint" url-стойност "wss.company.ru"

url-текст "CRM" url-стойност "crm.company.ru"

nbns-сървър 192.168.1.4 главен

nbns-сървър 192.168.1.5 таймаут 10 повторни опита 5

Създайте списък с връзки към мрежови папки:

url-текст "Public_on_Server01" url-стойност \\server01\public

url-текст "Sales_on_Server01" url-стойност \\server01\sales

Конфигурация на тънък клиент (пренасочване на порт)

Списък с портове за приложения, които са свързани с локални портове на клиентския хост.

локален порт 30025 отдалечен сървър "192.168.1.2" отдалечен порт 25 описание "SMTP"

локален порт 30143 отдалечен сървър "192.168.1.2" отдалечен порт 143 описание "IMAP"

локален порт 30022 отдалечен сървър "192.168.1.3" отдалечен порт 3389 описание "RDP"

Груповата политика се конфигурира отделно за всяко копие на WebVPN, съдържа набор от параметри, свързани с контекста. Това определя дали достъпът до файлове чрез CIFS, защитен работен плот, режим на тънък клиент и пълен тунелен режим са разрешени.

политическа група

! Свържете създадения преди това набор от връзки „Връзки“

!с групаполитика

! Бутон за стартиране на тънък клиент (в портала), също

! можете да настроите Java аплета да се стартира автоматично веднага след това

! успешно удостоверяване чрез добавяне на ключ

! Разрешаваме достъп до списъка с файлови сървъри с указанието

! Свържете създадения преди това набор от връзки на мрежови папки

! "CIFS-списък" с групови правила

! Бутон за тунел (в портала)

! Съобщение след успешно удостоверяване на портала

банер "АД Компания, подкрепа: "

! Време на неактивност и продължителност на сесията в секунди

таймаут неактивен 1800

сесия за изчакване 36000

! Мрежови настройки за VPN клиенти

svc адрес-пул "ssl-vpn-клиентска група-dynpool"

svc домейн по подразбиране "company.ru"

svc dns-сървър основен 192.168.1.4

svc печели първичен сървър 192.168.1.4

svc домейн по подразбиране company.ru

! Запазваме инсталирания SVC клиент на компютъра

! потребител, в противен случай след завършване

! сесията ще бъде деинсталирана автоматично

Асоцииране на групова политика с контекст

Тази политика ще се използва по подразбиране, докато AAA атрибутите на сървъра не бъдат конфигурирани да изискват различна политика.

! Свързване на Gateway с контекст

! Активирайте контекстната конфигурация

Настройката на WebVPN е завършена. Информацията за контекста и шлюза може да се види с помощта на командите:

#sh webvpn контекст

#sh webvpn шлюз

Свързване на мобилен потребител

На фиг. 3 показва главната страница на портала, на която трябва да се удостоверите. На фиг. 4 показва началната страница: навигация. Когато в съответствие с политиката на групата са налични „бързи“ връзки към корпоративни ресурси,достъп до файлове чрез CIFS (по време на достъп се изискват името и паролата на домейн акаунт), режим на тънък клиент и режим на пълен тунел.

Фигура 3. Удостоверяване

Фигура 4. Навигация

Когато изберете тунелен режим, ще бъдете подканени да приемете сертификата и да изтеглите VPN клиента, след което връзката ще бъде установена, иконата за състояние се намира в трея.

Когато изберете режим "Тънък клиент", ще се зареди Java аплет и ще се покаже таблица за картографиране на портове на отдалечени услуги към локалния компютър. Отдалеченият клиент трябва да има инсталирана Java Runtime Environment (JRE) версия 1.4 или по-нова. Също така искам да отбележа, че нито тънките, нито дебелите клиенти работеха на Windows XP и Vista (инсталирани от маркови дискове), докато не се актуализира OC.

SSLClient или AnyConnect-Client

Таблица 1. Сравнителни характеристики на режимите на работа на WebVPN

Споделяне на файлове през CIFS

Карта на TCP портове: Telnet, електронна поща, приложения на статични портове

Работи като IPsec VPN

Зарежда се чрез Java или ActiveX

Поддържат се всички IP приложения

Инсталирането на клиента изисква администраторски права, не е необходимо рестартиране на компютъра

Защитен работен плот

Характеристика на решението в сравнение с алтернативния EasyVPN (описан в статия [1]) е работата по HTTPS протокола, който е винаги наличен, за разлика от специфичните портове, използвани за свързване на EasyVPN. WebVPN ви позволява да контролирате достъпа, като например посочване на URL или услуга, до която потребителят може да има достъп. Това намалява риска от достъп до вътрешни мрежови ресурси от незащитени клиенти или ненадеждни мрежи.