Este artigo descreve como configurar o firewall Cisco ASA para estabelecer conexões SSL através do serviço SSL VPN Clientless. O SSL VPN Clientless utiliza protocolos SSL (Secure Socket Layer) e TLS (Transport Layer Security) para oferecer comunicações seguras através da Internet. Essa funcionalidade permite que usuários remotos possam acessar os recursos da rede corporativa diretamente de seus navegadores web, sem a necessidade de instalação de um software client.
Configurando o Firewall ASA para SSL VPN Clientless
Para a ativação do serviço utilizaremos o Wizard disponível no appliance que facilitará bastante nessa atividade. Antes de partir para a configuração do equipamento é necessário levantar algumas informações referentes à interface que será utilizada, certificado digital, grupo de usuários e a lista de portais/websites internos disponíveis. Seguem abaixo mais detalhes dessas informações.
1 - Nome da Interface - Definir o nome da interface a qual o serviço de acesso remoto estará disponível. Quando os usuários estabelecerem uma conexão SSL VPN através dessa interface uma página/portal será disponibilizada.
2 - Certificado Digital - (Self-signed ou Trusted CA certificate). O firewall gera um certificado auto-assinado por padrão, mas nada impede que você adicione um certificado de uma autoridade certificadora. Além de impor mais credibilidade e segurança, um certificado assinado por uma CA elimina aquelas indesejáveis mensagens de erro de certificado no browser.
3 - Lista de usuários ou grupos de usuários que serão clientes do serviço de acesso remoto. Estes serão autenticados através de uma base de dados local ou através da utilização de um servidor AAA (Authentication Authorization Accounting). Se for utilizar a base de dados local, basta cadastrar os clientes/usuários no próprio ASA. Caso utilize um AAA Server, você precisará definir alguns dados adicionais. São eles:
- Nome do grupo de servidores de autenticação (AAA Server Group);
- Protocolo de autenticação utilizado (TACACS+, RADIUS, SDI, NT, Kerberos e LDAP);
- Endereço IP do AAA Server;
- Interface do firewall ASA que será utilizada para autenticação;
- Secret Key / Shared Secret utilizada para autenticação com o AAA Server.
Para a configuração acesse o firewall via ASDM, clique no menu Wizards e em seguida selecione SSL VPN Wizard. Na tela inicial, SSL VPN Connection Type, marque a check box Clientless SSL VPN Access e clique em Next.
Na tela seguinte, SSL VPN Interface, defina um nome para identificar o perfil de conexão, selecione a interface a qual os usuários remotos irão conectar, informe o certificado digital que o ASA enviará para os clientes e, por fim, define a forma de acesso ao perfil especificando uma URL. Clique em Next.
Na tela seguinte, User Authentication, você irá definir se utilizará servidores AAA ou utilizará a base de dados local para autenticação dos clientes. Caso opte por utilizar os servidores marque a opção Authenticate using a AAA server group.
Clique em New para adicionar novos servidores. Na tela New Authentication Server Group defina um nome para o grupo de servidores, o protocolo de autenticação (TACACS+, RADIUS, SDI, NT, Kerberos e LDAP), o endereço IP do(s) servidor(es), a interface utilizada pelo firewall para alcançar o AAA server e a secret key. Em seguida clique em OK.
Caso opte pela autenticação de usuários utilizando a base de dados local selecione Authenticate using the local user database. Insira o Username e Password de cada usuário. Após finalizar o cadastro clique em Next.
O próximo passo será determinar uma política de grupo, na tela Group Policy, onde você definirá atributos aos usuários para acesso a SSL VPN. O grupo é um conjunto de usuários tratado como uma entidade única. Por padrão, todos os usuários são membros do grupo DfltGrpPolicy. Clique em Create new group policy e especifique um nome para o grupo. Clique em Next.
A próxima tela, Bookmark List é aplicada apenas à conexões do tipo Clientless, nela você criará uma portal onde ficarão disponíveis listas de URLs que darão acesso aos recursos e serviços da rede corporativa. Esta tela será mostrada quando os usuários remotos estabelecerem uma conexão SSL VPN através do browser.
Clique em Manage para criar uma nova lista ou gerenciar as existentes. Será mostrada a caixa de diálogo Configure GUI Customization Objects.
Clique em Add e em seguida na tela Add Bookmark List especifique um nome para o grupo de endereços e em seguida cadastre as URLs conforme desejar.
No próximo passo do SSL VPN Wizard serão mostradas todas as configurações realizadas até o momento. Clique em Finish para aplicar as alterações.
________________________________________________
As informações contidas acima foram baseadas em documentos oficiais publicados no site da Cisco Systems e obtidas através da experiência com o próprio equipamento. Para o exemplo mostrado foi utilizado um Firewall ASA modelo 5540 com versão de IOS 8.2 (5) e ASDM 6.4 (1).
Nenhum comentário:
Postar um comentário