antiCisco blogs » SSLVPN

antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Публикации помечены ‘SSLVPN’

Опубликовано 21 Апрель , 2010

Бесклиентское подключение (только с использованием браузера) — популярная топология. Это удобно, красиво и безопасно для внутренней сети. Но через браузер возможно обеспечить только связь протоколов, которые могут работать через него: HTTP(S), CIFS. Дополнительно можно пробросить и другие приложения (тонкий клиент), но только работающие по ТСР. Для этого используется Java.

Вообще говоря, настроить базово SSL VPN на ASA можно 2 командами

webvpn
  enable {INTERFACE}

При этом для аутентификации будет использоваться локальная база данных пользователей, попадать вы будете в туннельную группу DefaultRAGroup, а групповые настройки применятся из групповой политики DfltGrpPolicy (все эти смешные названия можно увидеть, только через sh run all). При включении SSL VPN шлюз будет использовать порт TCP/443 и самоподписанный сертификат для удостоверения «личности». Понятно, что все браузеры будут ругаться на самоподписанный сертификат, ибо ему нет доверия. Если на указанном интерфейсе также используется управление по ASDM на том же порту, то оно «переедет» на зарезервированный URL
https://{IP}/admin
Читать продолжение записи »

 

Метки: , , , , ,
Опубликовано: Безопасность cisco | 1 комментарий »

Опубликовано 16 Апрель , 2010

Для удаленного доступа к сети через шифрованный туннель cisco предлагает 2 решения: Easy VPN, основанный на технологии IPSec, а также технологию, которая использует протокол HTTPS (SSL) – SSLVPN

У данной технологии удаленного доступа есть несколько приятных моментов:
1.  Можно организовать защищенный доступ к корпоративным ресурсам с использованием только лишь браузера. Т.к. браузер как правило установлен на любой машине, значит и доступ можно получить с любой машины, будь то интернет кафе, КПК или ноутбук случайного соседа.
2.  Подключение использует протокол HTTPS (SSL), а значит это подключение легко пробросить через прокси-сервер, промежуточно аутентифицировать и при необходимости (только тссс, я вам этого не говорил:)) на этой проксе расшифровать и зашифровать.
3.  Для полного туннелирования есть специальное приложение (anyconnect vpn client), которое можно установить на компьютер и получить туннель в корпоративную сеть с использованием всех преимуществ полного туннелирования: split-tunneling, split-dns, authorization и т.д. Правда для установки этого клиента надо иметь административные права, поэтому на части компьютеров (например, в инет-кафе) так сделать не удастся. Поэтому полное туннелирование как правило используется на корпоративных ноутбуках, которым необходим полный удаленный доступ к корпоративной сети.
4.  Возможно более гибкое использование сертификатов для аутентификации и авторизации. Т.к. механизмы проверки сертификатов уже встроены в браузер, проверять взаимная проверка пользователя и сервера делается еще на этапе подключения. Можно даже аутентифицировать только сертификатом (смарт-картой, токеном)
5.  На ASA также возможно применение технологии Single Sign-On (SSO) при интеграции с Windows Active Directory

Минус существенный только один: за эти лицензии надо платить. По умолчанию cisco дает только 2 лицензии.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco | 3 комментария »