Firewall Cisco ASA - Configurando uma VPN IPsec Site-to-Site

Para a configuração de uma VPN Site-to-Site utilizando o IPsec é necessário cumprirmos algumas etapas. Você precisará criar um perfil de conexão onde serão definidos os parâmetros para o estabelecimento do túnel VPN. Serão indicados os algoritmos de criptografia e hash, os endereços dos dispositivos envolvidos, entre outros. Para a autenticação dos equipamentos nós utilizaremos uma chave pré-compartilhada (PSK).

ETAPAS

1. Criação de uma política ISAKMP (Definição dos parâmetros da fase 1);
2. Habilitar a ISAKMP Policy na interface outside;
3. Criação do IPsec Transform (Definição dos parâmetros da fase 2);
4. Criação de um Tunnel Group;
5. Criação de uma accessACL (Definição do tráfego de interesse);
6. Configuração do Crypto Map;

......................................................

CONFIGURAÇÃO

1. Criação da política ISAKMP (Fase 1)

 #  crypto isakmp policy  <priority>

Na criação de uma política ISAKMP são definidos os parâmetros de criptografia, hash, autenticação, Diffie-Hellman e lifetime. Uma vez criada a política ela poderá ser utilizada em outros perfis de conexão VPN.

 # authentication pre-share 

Esse comando indica que o política criada utilizará uma chave pré-compartilhada (PSK).

 # encryption [3des | aes | aes-192 | aes-256 | des]

Você deve especificar um algoritmo de criptografia entre as opções disponíveis para a proteção dos dados.

 # hash [md5 | sha]

Nesse ponto é preciso especificar um algoritmo de hash que será utilizado pelos pares para garantir que as mensagens não tenham sido modificadas durante a transmissão.

 # group [1 | 2 | 5]

Você deve especificar o ID do grupo Diffie-Hellman entre as opções disponíveis. O Firewall ASA utiliza esse algoritmo para derivar as chaves de criptografia e hash.

 # lifetime <valor em segundos>

Você deve especificar o valor do lifetime para a Secure Association. Esse valor corresponde ao período de tempo para o uso das chaves de criptografia. Ao término desse período a chave é substituída. Se os valores definidos não forem correspondentes entre os dispositivos envolvidos, será escolhido o menor valor.

EXEMPLO
(config)# crypto isakmp policy 1
(config-isakmp-policy)# authentication pre-share
(config-isakmp-policy)# encryption aes-256
(config-isakmp-policy)# hash sha
(config-isakmp-policy)# group 2
(config-isakmp-policy)# lifetime 28800


2. Habilitar a ISAKMP Policy na interface outside

 # crypto isakmp enable  <nome da interface outside>

O comando permite habilitar o ISAKMP na interface de saída do firewall.


3. Criação do IPsec Transform (Fase 2)

 # crypto ipsec transform-set  <Nome do IPsec> [Opção de criptografia] [Opção de hash]

O transform-set é utilizado pelos pares durante as negociações de uma associação de segurança para o estabelecimento de uma VPN IPsec. Você precisará indicar um nome para a identificação do transform-set e definir os algoritmos de criptografia e hash utilizados para esse túnel.

Opções:
esp-3des - esp 3des encryption
esp-aes - esp aes 128 encryption
esp-aes-192 - esp aes 192 encryption
esp-aes-256 - esp aes 256 encryption
esp-des - esp des encryption
esp-md5-hmac - esp md5 authentication
esp-sha-hmac - esp sha authentication

EXEMPLO
(config)# crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac


4. Criação de um Tunnel Group 

 # tunnel-group   <endereço IP do peer> type ipsec-l2l
 # tunnel-group   <endereço IP do peer> ipsec-attributes
 # pre-shared-key  <chave compartilhada>

Nessa etapa é realizada a configuração do Tunnel Group onde você informará o endereço IP do dispositivo remoto definindo um nome para a conexão e indicará a chave pré-compartilhada utilizada para o estabelecimento da VPN.


5. Criação de uma Access-list ( Utilizada pra a identificação do tráfego de interesse)

 # access-list <nome da ACL> line <número> extended permit <protocolo> <endereço de origem> <endereço de destino>

Nessa etapa é criada uma access-list para a definição do tráfego que será encriptado no túnel VPN. No firewall ASA podem ser criados grupos de objetos para auxiliar nessa atividade. Essa access-list será vinculada na Crypto Map que será configurada na etapa seguinte.

EXEMPLO
access-list ACL_CryptoMap_1 line 1 extended permit ip object-group Rede-Local object-group Rede-Remota


6. Configuração do Crypto Map

 # crypto map <Nome do Crypto Map> <número/id> set peer <endereço ip do peer>

Nessa etapa você configurará o Crypto Map, definirá um nome, o ID e informará o endereço IP do par remoto.

 # crypto map <Nome do Crypto Map> <número/id> set transform-set <Nome do transform-set>

Nesse comando você indicará o nome do perfil do ipsec transform-set configurado anteriormente (Passo 3).

 # crypto map <Nome do Crypto Map> <número/id> match address <Nome da access-list>

Aqui você indicará o nome da access-list criada anteriormente (Passo 5).

 # crypto map <Nome do Crypto Map> interface <interface outside>

Nesse comando você informará a interface de saída utilizada para o estabelecimento da VPN.

EXEMPLO
crypto map crypto_map 1 set peer <endereço ip do peer>
crypto map crypto_map 1 set transform-set ESP-AES-256-SHA
crypto map crypto_map 1 match address ACL_CryptoMap_1
crypto map crypto_map interface outside

________________________________________________

As informações contidas acima foram baseadas em documentos oficiais publicados no site da Cisco Systems e obtidas através da experiência com o próprio equipamento. Para o exemplo mostrado foi utilizado um Firewall ASA modelo 5510 com versão de IOS 8.2 (5).

Firewall Cisco ASA - Configurando SSL VPN Clientless (Wizard)

Este artigo descreve como configurar o firewall Cisco ASA para estabelecer conexões SSL através do serviço SSL VPN Clientless. O SSL VPN Clientless utiliza protocolos SSL (Secure Socket Layer) e TLS (Transport Layer Security) para oferecer comunicações seguras através da Internet. Essa funcionalidade permite que usuários remotos possam acessar os recursos da rede corporativa diretamente de seus navegadores web,  sem a necessidade de instalação de um software client.


Configurando o Firewall ASA para SSL VPN Clientless

Para a ativação do serviço utilizaremos o Wizard disponível no appliance que facilitará bastante nessa atividade. Antes de partir para a configuração do equipamento é necessário levantar algumas informações referentes à  interface que será utilizada, certificado digital, grupo de usuários e a lista de portais/websites internos disponíveis. Seguem abaixo mais detalhes dessas informações.

1 - Nome da Interface - Definir o nome da interface a qual o serviço de acesso remoto estará disponível. Quando os usuários estabelecerem uma conexão SSL VPN através dessa interface uma página/portal será disponibilizada.

2 - Certificado Digital - (Self-signed ou Trusted CA certificate). O firewall gera um certificado auto-assinado por padrão, mas nada impede que você adicione um certificado de uma autoridade certificadora. Além de impor mais credibilidade e segurança, um certificado assinado por uma CA elimina aquelas indesejáveis mensagens de erro de certificado no browser.

3 - Lista de usuários ou grupos de usuários que serão clientes do serviço de acesso remoto. Estes serão autenticados através de uma base de dados local ou através da utilização de um servidor AAA (Authentication Authorization Accounting). Se for utilizar a base de dados local, basta cadastrar os clientes/usuários no próprio ASA. Caso utilize um AAA Server, você precisará definir alguns dados adicionais. São eles:

• Nome do grupo de servidores de autenticação (AAA Server Group);
• Protocolo de autenticação utilizado (TACACS+, RADIUS, SDI, NT, Kerberos e LDAP);
• Endereço IP do AAA Server;
• Interface do firewall ASA que será utilizada para autenticação;
• Secret Key / Shared Secret utilizada para autenticação com o AAA Server.

4 - Lista de páginas internas que estarão disponíveis para os usuários de acesso remoto. Serão os links para os serviços / recursos internos da empresa visíveis através de um portal.

Para a configuração acesse o firewall via ASDM, clique no menu Wizards e em seguida selecione SSL VPN Wizard. Na tela inicial, SSL VPN Connection Type, marque a check box Clientless SSL VPN Access e clique em Next.

Na tela seguinte, SSL VPN Interface, defina um nome para identificar o perfil de conexão, selecione a interface a qual os usuários remotos irão conectar, informe o certificado digital que o ASA enviará para os clientes e, por fim, define a forma de acesso ao perfil especificando uma URL. Clique em Next.

Na tela seguinte, User Authentication, você irá definir se utilizará servidores AAA ou utilizará a base de dados local para autenticação dos clientes. Caso opte por utilizar os servidores marque a opção Authenticate using a AAA server group.

Clique em New para adicionar novos servidores. Na tela New Authentication Server Group defina um nome para o grupo de servidores, o protocolo de autenticação (TACACS+, RADIUS, SDI, NT, Kerberos e LDAP), o endereço IP do(s) servidor(es), a interface utilizada pelo firewall para alcançar o AAA server e a secret key. Em seguida clique em OK.

Caso opte pela autenticação de usuários utilizando a base de dados local selecione Authenticate using the local user database. Insira o Username e Password de cada usuário. Após finalizar o cadastro clique em Next.

O próximo passo será determinar uma política de grupo, na tela Group Policy, onde você definirá atributos aos usuários para acesso a SSL VPN. O grupo é um conjunto de usuários tratado como uma entidade única. Por padrão, todos os usuários são membros do grupo DfltGrpPolicy. Clique em Create new group policy e especifique um nome para o grupo. Clique em Next.

A próxima tela, Bookmark List é aplicada apenas à conexões do tipo Clientless, nela você criará uma portal onde ficarão disponíveis listas de URLs que darão acesso aos recursos e serviços da rede corporativa. Esta tela será mostrada quando os usuários remotos estabelecerem uma conexão SSL VPN através do browser.

Clique em Manage para criar uma nova lista ou gerenciar as existentes. Será mostrada a caixa de diálogo Configure GUI Customization Objects.

Clique em Add e em seguida na tela Add Bookmark List especifique um nome para o grupo de endereços e em seguida cadastre as URLs conforme desejar.

 

 Quando finalizar o cadastro dos endereços a nova lista ficará disponível como uma das opções na tela inicial do Bookmark List, basta selecioná-la e clicar em Next.

No próximo passo do SSL VPN Wizard serão mostradas todas as configurações realizadas até o momento. Clique em Finish para aplicar as alterações.

________________________________________________

As informações contidas acima foram baseadas em documentos oficiais publicados no site da Cisco Systems e obtidas através da experiência com o próprio equipamento. Para o exemplo mostrado foi utilizado um Firewall ASA modelo 5540 com versão de IOS 8.2 (5) e ASDM 6.4 (1).

Firewall Cisco ASA - Configurando AnyConnect VPN Client (Wizard)

Este artigo descreve como configurar o firewall ASA para estabelecer conexões SSL utilizando o Cisco AnyConnect VPN Client. O ASA suporta conexões tanto de clientes rodando o AnyConnect quanto através de um browser (VPN Clientless). Como premissa os clientes de acesso remoto precisam conectar ao serviço SSL VPN para realizarem o login e obterem o software AnyConnect disponibilizado pelo firewall ASA, isso tudo realizado através do browser. O ASA identificará o sistema operacional utilizado pelo usuário e enviará a versão do client apropriada.

Depois de realizado o download do AnyConnect VPN Client este é instalado e configurado automaticamente e então tentará estabelecer uma conexão SSL segura. Após estabelecida a conexão, os usuários terão total acesso aos recursos oferecidos na rede corporativa. No final da conexão este client poderá ser mantido ou removido dependendo da configuração definida no firewall. Para os casos em que client/software permaneça na máquina após a desconexão o ASA examinará a versão atual e enviará uma atualização, se necessário, no momento de uma nova tentativa de acesso/conexão.


Configurando o Firewall ASA para o Cisco AnyConnect VPN Client

Para a configuração do firewall é necessário ter disponível algumas informações referentes à configuração de interface, faixas de endereçamento IP, certificado digital, entre outros. Seguem abaixo mais detalhes dessas informações.

1 - Definir o nome da interface a qual o serviço de acesso remoto estará disponível. Essa será a interface onde os clientes irão conectar.

2 - Certificado Digital - (self-signed ou trusted CA certificate). O firewall gera um certificado auto-assinado por padrão, mas nada impede que você adicione um certificado de uma autoridade certificadora.

3 - Range de IPs para uso dos clientes. Definição de uma faixa de endereços para serem utilizados por clientes conectados via SSL VPN.

4 - Lista de usuários ou grupos de usuários que serão clientes do serviço de acesso remoto. Estes serão autenticados através de uma base de dados local ou através da utilização de um servidor AAA (Authentication Authorization Accounting). Se for utilizar a base de dados local, basta cadastrar os clientes/usuários no próprio ASA. Caso utilize um AAA Server, você precisará definir alguns dados adicionais. São eles:

• Nome do grupo de servidores de autenticação (AAA Server Group);
• Protocolo de autenticação utilizado (TACACS+, RADIUS, SDI, NT, Kerberos e LDAP);
• Endereço IP do AAA Server;
• Interface do firewall ASA que será utilizada para autenticação;
• Secret Key / Shared Secret utilizada para autenticação com o AAA Server.

Para a configuração da SSL VPN faremos uso do Wizard. Acesse o menu Wizards e selecione SSL VPN Wizard. Na tela que surge marque a check box Cisco SSL VPN Cliente (AnyConnect VPN Client) e clique em Next.

Na tela seguinte, SSL VPN Interface, você define um nome para identificar o perfil de conexão, seleciona a interface a qual os usuários remotos irão conectar, informa o certificado digital que o ASA enviará para os clientes e, por fim, define a forma de acesso ao perfil especificando uma URL. Clique em Next.

Na próxima tela, a User Authentication, você irá definir se utilizará servidores AAA ou utilizará a base de dados local para autenticação dos clientes. Caso opte por utilizar os servidores marque a opção Authenticate using a AAA server group.

Clique em New para abri a tela New Authentication Server Group e defina um nome para o grupo de servidores, o protocolo de autenticação (TACACS+, RADIUS, SDI, NT, Kerberos e LDAP), o endereço IP do servidor, a interface utilizada pelo firewall para alcançar o AAA server e a secret key. Em seguida clique em OK.

Se você optar pela autenticação de usuários utilizando a base de dados local selecione Authenticate using the local user database. Insira o Username e Password de cada usuário. Após finalizar o cadastro clique em Next.

O próximo passo será determinar uma política de grupo, onde você definirá atributos aos usuários para acesso a SSL VPN. O grupo é um conjunto de usuários tratado como uma entidade única. Por padrão, todos os usuários são membros do grupo DfltGrpPolicy. Clique em Create new group policy e especifique um nome para o grupo. Você também pode alterar um grupo de políticas existentes clicando em Modify an existing group policy. Clique em Next.

A próxima tela, Bookmark List é aplicada apenas a conexões do tipo Clientless, não sendo utilizada para esse exemplo. Clique em Next novamente. 

O próximo passo será a configuração dos atributos para o AnyConnect VPN Client. Aqui é definido o pool de endereços IP que será utilizado pelos clientes remotos quando tiverem estabelecido uma conexão. Nessa tela também é definida a localização do software, AnyConnect, que o ASA enviará aos usuários. O software é disponibilizado baseado na política de grupo ou de atributos relacionados ao cadastro do cliente. Crie um nome para o Pool, especifique a faixa de IP e a localização do software. Nessa tela também é possível baixar a versão mais atual do aplicativo diretamente do site da Cisco. Depois disso, clique em Next.

No próximo passo do SSL VPN Wizard serão mostradas todas as configurações realizadas até o momento. Clique em Finish para aplicar as alterações. 

________________________________________________

As informações contidas acima foram baseadas em documentos oficiais publicados no site da Cisco Systems e obtidas através da experiência com o próprio equipamento. Para o exemplo mostrado foi utilizado um Firewall ASA modelo 5540 com versão de IOS 8.2 (5) e ASDM 6.4 (1).