Este artigo descreve como configurar o firewall ASA para estabelecer conexões SSL utilizando o Cisco AnyConnect VPN Client. O ASA suporta conexões tanto de clientes rodando o AnyConnect quanto através de um browser (VPN Clientless). Como premissa os clientes de acesso remoto precisam conectar ao serviço SSL VPN para realizarem o login e obterem o software AnyConnect disponibilizado pelo firewall ASA, isso tudo realizado através do browser. O ASA identificará o sistema operacional utilizado pelo usuário e enviará a versão do client apropriada.
Depois de realizado o download do AnyConnect VPN Client este é instalado e configurado automaticamente e então tentará estabelecer uma conexão SSL segura. Após estabelecida a conexão, os usuários terão total acesso aos recursos oferecidos na rede corporativa. No final da conexão este client poderá ser mantido ou removido dependendo da configuração definida no firewall. Para os casos em que client/software permaneça na máquina após a desconexão o ASA examinará a versão atual e enviará uma atualização, se necessário, no momento de uma nova tentativa de acesso/conexão.
Configurando o Firewall ASA para o Cisco AnyConnect VPN Client
Para a configuração do firewall é necessário ter disponível algumas informações referentes à configuração de interface, faixas de endereçamento IP, certificado digital, entre outros. Seguem abaixo mais detalhes dessas informações.
1 - Definir o nome da interface a qual o serviço de acesso remoto estará disponível. Essa será a interface onde os clientes irão conectar.
2 - Certificado Digital - (self-signed ou trusted CA certificate). O firewall gera um certificado auto-assinado por padrão, mas nada impede que você adicione um certificado de uma autoridade certificadora.
3 - Range de IPs para uso dos clientes. Definição de uma faixa de endereços para serem utilizados por clientes conectados via SSL VPN.
4 - Lista de usuários ou grupos de usuários que serão clientes do serviço de acesso remoto. Estes serão autenticados através de uma base de dados local ou através da utilização de um servidor AAA (Authentication Authorization Accounting). Se for utilizar a base de dados local, basta cadastrar os clientes/usuários no próprio ASA. Caso utilize um AAA Server, você precisará definir alguns dados adicionais. São eles:
- Nome do grupo de servidores de autenticação (AAA Server Group);
- Protocolo de autenticação utilizado (TACACS+, RADIUS, SDI, NT, Kerberos e LDAP);
- Endereço IP do AAA Server;
- Interface do firewall ASA que será utilizada para autenticação;
- Secret Key / Shared Secret utilizada para autenticação com o AAA Server.
Para a configuração da SSL VPN faremos uso do Wizard. Acesse o menu Wizards e selecione SSL VPN Wizard. Na tela que surge marque a check box Cisco SSL VPN Cliente (AnyConnect VPN Client) e clique em Next.
Na tela seguinte, SSL VPN Interface, você define um nome para identificar o perfil de conexão, seleciona a interface a qual os usuários remotos irão conectar, informa o certificado digital que o ASA enviará para os clientes e, por fim, define a forma de acesso ao perfil especificando uma URL. Clique em Next.
Na próxima tela, a User Authentication, você irá definir se utilizará servidores AAA ou utilizará a base de dados local para autenticação dos clientes. Caso opte por utilizar os servidores marque a opção Authenticate using a AAA server group.
Clique em New para abri a tela New Authentication Server Group e defina um nome para o grupo de servidores, o protocolo de autenticação (TACACS+, RADIUS, SDI, NT, Kerberos e LDAP), o endereço IP do servidor, a interface utilizada pelo firewall para alcançar o AAA server e a secret key. Em seguida clique em OK.
Se você optar pela autenticação de usuários utilizando a base de dados local selecione Authenticate using the local user database. Insira o Username e Password de cada usuário. Após finalizar o cadastro clique em Next.
O próximo passo será determinar uma política de grupo, onde você definirá atributos aos usuários para acesso a SSL VPN. O grupo é um conjunto de usuários tratado como uma entidade única. Por padrão, todos os usuários são membros do grupo DfltGrpPolicy. Clique em Create new group policy e especifique um nome para o grupo. Você também pode alterar um grupo de políticas existentes clicando em Modify an existing group policy. Clique em Next.
A próxima tela, Bookmark List é aplicada apenas a conexões do tipo Clientless, não sendo utilizada para esse exemplo. Clique em Next novamente.
O próximo passo será a configuração dos atributos para o AnyConnect VPN Client. Aqui é definido o pool de endereços IP que será utilizado pelos clientes remotos quando tiverem estabelecido uma conexão. Nessa tela também é definida a localização do software, AnyConnect, que o ASA enviará aos usuários. O software é disponibilizado baseado na política de grupo ou de atributos relacionados ao cadastro do cliente. Crie um nome para o Pool, especifique a faixa de IP e a localização do software. Nessa tela também é possível baixar a versão mais atual do aplicativo diretamente do site da Cisco. Depois disso, clique em Next.
No próximo passo do SSL VPN Wizard serão mostradas todas as configurações realizadas até o momento. Clique em Finish para aplicar as alterações.
________________________________________________
As informações contidas acima foram baseadas em documentos oficiais publicados no site da Cisco Systems e obtidas através da experiência com o próprio equipamento. Para o exemplo mostrado foi utilizado um Firewall ASA modelo 5540 com versão de IOS 8.2 (5) e ASDM 6.4 (1).
Nenhum comentário:
Postar um comentário