antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 16 Апрель , 2010

Для удаленного доступа к сети через шифрованный туннель cisco предлагает 2 решения: Easy VPN, основанный на технологии IPSec, а также технологию, которая использует протокол HTTPS (SSL) – SSLVPN

У данной технологии удаленного доступа есть несколько приятных моментов:
1.  Можно организовать защищенный доступ к корпоративным ресурсам с использованием только лишь браузера. Т.к. браузер как правило установлен на любой машине, значит и доступ можно получить с любой машины, будь то интернет кафе, КПК или ноутбук случайного соседа.
2.  Подключение использует протокол HTTPS (SSL), а значит это подключение легко пробросить через прокси-сервер, промежуточно аутентифицировать и при необходимости (только тссс, я вам этого не говорил:)) на этой проксе расшифровать и зашифровать.
3.  Для полного туннелирования есть специальное приложение (anyconnect vpn client), которое можно установить на компьютер и получить туннель в корпоративную сеть с использованием всех преимуществ полного туннелирования: split-tunneling, split-dns, authorization и т.д. Правда для установки этого клиента надо иметь административные права, поэтому на части компьютеров (например, в инет-кафе) так сделать не удастся. Поэтому полное туннелирование как правило используется на корпоративных ноутбуках, которым необходим полный удаленный доступ к корпоративной сети.
4.  Возможно более гибкое использование сертификатов для аутентификации и авторизации. Т.к. механизмы проверки сертификатов уже встроены в браузер, проверять взаимная проверка пользователя и сервера делается еще на этапе подключения. Можно даже аутентифицировать только сертификатом (смарт-картой, токеном)
5.  На ASA также возможно применение технологии Single Sign-On (SSO) при интеграции с Windows Active Directory

Минус существенный только один: за эти лицензии надо платить. По умолчанию cisco дает только 2 лицензии.

Для настройки этой удобной технологии проще всего воспользоваться web-gui (ASDM) и для начала выбрать Wizard->SSLVPN

В визарде есть 2 варианта: clientless – создать профиль для подключения только с использованием браузера, и full tunnel – создать профиль для подключения при помощи anyconnect.

В результате работы этого визарда вы получите работающий портал, к которому можно подключиться соединиться с теми ресурсами, которые вам разрешил администратор SSLVPN сервера.

В случае подключения без клиента (только с использованием браузера) вы увидите картинку примерно такого типа (её можно поменять)
https://195.68.153.13/guest

Сюда можно зайти, ввести логин/пароль: guest/guest
И попасть внутрь портала. Там вы увидите возможности SSLVPN: протоколы, которые можно использовать. Главное, что нужно запомнить: все сессии, которые вы захотите открыть, будут открываться от адреса интерфейса ASA, ближайшего к сети назначения (ко внутреннему ресурсу). К примеру, вы можете там внутри набрать

https://192.168.0.135:8443

и попасть на панель управления модулем CSC-SSM. Сессия будет открыта от адреса внутреннего интерфейса ASA.

Просьба: на этой ASA всего 2 SSLVPN лицензии. Я настроил коротенькие таймауты на сессии и на бездействие, чтобы много желающих могло ознакомиться с интерфейсом. Если вас сейчас не пускает, подождите немного.

Про настройку через консоль читайте во второй части

Предыдущая статья SNAF <<< >>> Следующая статья SNAF

 

Метки: , ,
Опубликовано: Безопасность cisco

 

3 комментария “ASA. Статья 12. SSLVPN — что это и как настроить. Часть 1: как выглядит.”

comment rss - Trackback

  1. m0ps:

    >>5. На ASA также возможно применение технологии Single Sign-On (SSO) при интеграции с Windows Active Directory
    У меня есть такая просьба, если не сложно, могли бы Вы написать как-нибудь по свободе статью про интеграцию Cisco ASA с Active Directory? Интересует возможность аутентификации администраторов на устройствах (ASDM, CLI), пользователей удаленного доступа IPSEC, SSLVPN. Также интересно почитать об SSO при использовании SSLVPN.

  2. Ilya:

    О. а насчет п.2 с момента «только тссс…» поподробнее можно?

    • На хабре было не так давно: если заставить пользователя поверить, что присланный сертификат — сертификат АСЫ (ВПН-сервера), то далее ничего сложного: на проксе делаем классический Man-in-the-middle, клиенту отдаем ключ прокси вместо АСЫ, серверу — тоже свой ключ, закрытым расшифровываем и вуа-ля.

» Оставить комментарий

Вы должны войти чтобы прокомментировать.