Для удаленного доступа к сети через шифрованный туннель cisco предлагает 2 решения: Easy VPN, основанный на технологии IPSec, а также технологию, которая использует протокол HTTPS (SSL) – SSLVPN
У данной технологии удаленного доступа есть несколько приятных моментов:
1. Можно организовать защищенный доступ к корпоративным ресурсам с использованием только лишь браузера. Т.к. браузер как правило установлен на любой машине, значит и доступ можно получить с любой машины, будь то интернет кафе, КПК или ноутбук случайного соседа.
2. Подключение использует протокол HTTPS (SSL), а значит это подключение легко пробросить через прокси-сервер, промежуточно аутентифицировать и при необходимости (только тссс, я вам этого не говорил:)) на этой проксе расшифровать и зашифровать.
3. Для полного туннелирования есть специальное приложение (anyconnect vpn client), которое можно установить на компьютер и получить туннель в корпоративную сеть с использованием всех преимуществ полного туннелирования: split-tunneling, split-dns, authorization и т.д. Правда для установки этого клиента надо иметь административные права, поэтому на части компьютеров (например, в инет-кафе) так сделать не удастся. Поэтому полное туннелирование как правило используется на корпоративных ноутбуках, которым необходим полный удаленный доступ к корпоративной сети.
4. Возможно более гибкое использование сертификатов для аутентификации и авторизации. Т.к. механизмы проверки сертификатов уже встроены в браузер, проверять взаимная проверка пользователя и сервера делается еще на этапе подключения. Можно даже аутентифицировать только сертификатом (смарт-картой, токеном)
5. На ASA также возможно применение технологии Single Sign-On (SSO) при интеграции с Windows Active Directory
1. Можно организовать защищенный доступ к корпоративным ресурсам с использованием только лишь браузера. Т.к. браузер как правило установлен на любой машине, значит и доступ можно получить с любой машины, будь то интернет кафе, КПК или ноутбук случайного соседа.
2. Подключение использует протокол HTTPS (SSL), а значит это подключение легко пробросить через прокси-сервер, промежуточно аутентифицировать и при необходимости (только тссс, я вам этого не говорил:)) на этой проксе расшифровать и зашифровать.
3. Для полного туннелирования есть специальное приложение (anyconnect vpn client), которое можно установить на компьютер и получить туннель в корпоративную сеть с использованием всех преимуществ полного туннелирования: split-tunneling, split-dns, authorization и т.д. Правда для установки этого клиента надо иметь административные права, поэтому на части компьютеров (например, в инет-кафе) так сделать не удастся. Поэтому полное туннелирование как правило используется на корпоративных ноутбуках, которым необходим полный удаленный доступ к корпоративной сети.
4. Возможно более гибкое использование сертификатов для аутентификации и авторизации. Т.к. механизмы проверки сертификатов уже встроены в браузер, проверять взаимная проверка пользователя и сервера делается еще на этапе подключения. Можно даже аутентифицировать только сертификатом (смарт-картой, токеном)
5. На ASA также возможно применение технологии Single Sign-On (SSO) при интеграции с Windows Active Directory
Минус существенный только один: за эти лицензии надо платить. По умолчанию cisco дает только 2 лицензии.
Для настройки этой удобной технологии проще всего воспользоваться web-gui (ASDM) и для начала выбрать Wizard->SSLVPN
В визарде есть 2 варианта: clientless – создать профиль для подключения только с использованием браузера, и full tunnel – создать профиль для подключения при помощи anyconnect.
В результате работы этого визарда вы получите работающий портал, к которому можно подключиться соединиться с теми ресурсами, которые вам разрешил администратор SSLVPN сервера.
В случае подключения без клиента (только с использованием браузера) вы увидите картинку примерно такого типа (её можно поменять)
https://195.68.153.13/guest
https://195.68.153.13/guest
Сюда можно зайти, ввести логин/пароль: guest/guest
И попасть внутрь портала. Там вы увидите возможности SSLVPN: протоколы, которые можно использовать. Главное, что нужно запомнить: все сессии, которые вы захотите открыть, будут открываться от адреса интерфейса ASA, ближайшего к сети назначения (ко внутреннему ресурсу). К примеру, вы можете там внутри набрать
И попасть внутрь портала. Там вы увидите возможности SSLVPN: протоколы, которые можно использовать. Главное, что нужно запомнить: все сессии, которые вы захотите открыть, будут открываться от адреса интерфейса ASA, ближайшего к сети назначения (ко внутреннему ресурсу). К примеру, вы можете там внутри набрать
https://192.168.0.135:8443
и попасть на панель управления модулем CSC-SSM. Сессия будет открыта от адреса внутреннего интерфейса ASA.
Просьба: на этой ASA всего 2 SSLVPN лицензии. Я настроил коротенькие таймауты на сессии и на бездействие, чтобы много желающих могло ознакомиться с интерфейсом. Если вас сейчас не пускает, подождите немного.
Про настройку через консоль читайте во второй части
Источник: anticisco.ru/blogs/2010/04/asa-статья-12-sslvpn-что-это-и-как-настроить-част/
Комментариев нет:
Отправить комментарий