Thiết kế và bảo mật web server

8 262 2
Thiết kế và bảo mật web server

Đang tải... (xem toàn văn)

Thông tin tài liệu

SSL VPN với Clientless I. Mô tả: SSL VPN cung cấp giải pháp truy cập từ xa, cho phép người dùng bên ngoài có thể sử dụng tài nguyên được bảo vệ một cách bảo mật thông qua SSL. Giải pháp này cho phép truy cập tài nguyên từ nhiều vị trí mà không cần sử dụng tiện ích VPN Client. SSL VPN hay còn gọi là WEBVPN cho phép sử dụng những dịch vụ VPN thông qua giao diện WEB. Và router sẽ đóng vai trò như proxy để chuyển những kết nối từ bên ngoài vào tài nguyên bên trong. WEBVPN có 3 mode hoạt động: Clientless: Những dịch vụ bao gồn HTTP và chia sẽ file Thin Client: Với tính năng port-forwarding cho phép những dịch vụ TCP (với port không thay đổi) như: http, smtp, pop3, imap, telnet Tunnel mode: Hoạt động tương tự như IPSec VPN với việc thiết lập tunnel cho phép tất cả dịch vụ có thể được sử dụng. Trong bài tập này sử dụng Clientless để thực hiện SSL VPN đảm bảo người dùng bên ngoài có thể sử dụng được dịch vụ http và chia sẽ file II. Cấu hình Xác định phương thức xác thực GATEWAY(config)#aaa new-model GATEWAY(config)#aaa authentication login SSL local Cấu hình Webvpn Gateway (hoạt động tương tự như proxy cho những kết nối đến tài nguyên được bảo vệ) GATEWAY(config)#webvpn gateway SSLVPN % Generating 1024 bit RSA keys, keys will be non-exportable [OK] Địa chỉ mà có thể truy cập từ bên ngoài GATEWAY(config-webvpn-gateway)#ip address 150.1.1.1 Kích hoạt dịch vụ GATEWAY(config-webvpn-gateway)#inservice Cấu hình Webvpn Context ( Tương tự như profile cho việc xác định chính sách) GATEWAY(config)#webvpn context WEBVPN GATEWAY(config-webvpn-context)#aaa authentication list SSL Kích hoạt dịch vụ GATEWAY(config-webvpn-context)#inservice GATEWAY(config-webvpn-context)#gateway SSLVPN Cấu hình url-list ( sử dụng dịch http) GATEWAY(config-webvpn-context)#url-list WEB_URL GATEWAY(config-webvpn-url)#url-text Internal_Website url-value http://192.168.1.2 Cấu hình cifs-url-list (sử dụng dịch chia sẽ file) GATEWAY(config-webvpn-context)#cifs-url-list FILE_URL GATEWAY(config-webvpn-cifs-url)#url-text Internal_File url-value cifs://192.168.1.2 Xác định NBNS GATEWAY(config-webvpn-context)#nbns-list NBNS GATEWAY(config-webvpn-nbnslist)#nbns-server 192.168.1.2 Cấu hình chính sách nhóm GATEWAY(config-webvpn-context)#policy group ADMIN GATEWAY(config-webvpn-group)#url-list WEB_URL GATEWAY(config-webvpn-group)#cifs-url-list FILE_URL Xác định chức năng cho chia sẽ file GATEWAY(config-webvpn-group)#functions file-access GATEWAY(config-webvpn-group)#functions file-browse GATEWAY(config-webvpn-group)#nbns-list NBNS Mặc định ta sẽ có phần “textbox” để nhập đường link cho web, tuy nhiên vì lý do bảo mật, phần “textbox” này có thể được ẩn đi. GATEWAY(config-webvpn-group)#hide-url-bar Gán chính sách nhóm vào Context GATEWAY(config-webvpn-context)#default-group-policy ADMIN III. Cấu hình đầy đủ GATEWAY Building configuration Current configuration : 3200 bytes ! hostname GATEWAY ! aaa new-model ! aaa authentication login SSL local ! crypto pki trustpoint TP-self-signed-1769152701 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-1769152701 revocation-check none rsakeypair TP-self-signed-1769152701 ! crypto pki certificate chain TP-self-signed-1769152701 certificate self-signed 01 3082023F 308201A8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 quit ! username ssix password 0 ssix ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 150.1.1.1 255.255.255.0 duplex auto speed auto ! interface Serial0/3/0 no ip address shutdown no fair-queue clock rate 2000000 ! ip route 0.0.0.0 0.0.0.0 150.1.1.2 ! webvpn gateway SSLVPN ip address 150.1.1.1 port 443 ssl trustpoint TP-self-signed-1769152701 inservice ! webvpn context WEBVPN ssl authenticate verify all ! url-list "WEB_URL" url-text "Internal_Website" url-value "http://192.168.1.2" ! nbns-list "NBNS" nbns-server 192.168.1.2 ! cifs-url-list "FILE_URL" url-text "Internal_File" url-value "cifs://192.168.1.2" ! policy group ADMIN url-list "WEB_URL" cifs-url-list "FILE_URL" nbns-list "NBNS" functions file-access functions file-browse hide-url-bar default-group-policy ADMIN aaa authentication list SSL gateway SSLVPN inservice ! ! End IV. Kiểm tra Đảm bảo trạng thái của Gateway và Context được UP GATEWAY#sh webvpn gateway Gateway Name Admin Operation SSLVPN up up GATEWAY#sh webvpn context Codes: AS - Admin Status, OS - Operation Status VHost - Virtual Host Context Name Gateway Domain/VHost VRF AS OS WEBVPN SSLVPN - - up up Dùng trình duyệt WEB thực hiện kết nối. Do hoạt động trên nền SSL nên sẽ yêu cầu chứng chỉ để thực hiện việc xác thực. Tuy nhiên ở PC chưa có chứng chỉ nên yêu cầu sự chấp nhận để cài đạt chúng chỉ. Nhập thông tin người dùng được khai báo trên router thông qua aaa. Lúc này có thể sử dụng được dịch vụ http hoặc chia sẽ file Truy cập Web nội bộ thành công Truy cập ứng dụng chia sẽ file. Với thông tin người dùng được khai báo trên máy chủ mà thực hiện việc chia sẽ file Truy cập thành công thư mục chia sẽ Có thể thực hiện những mọi thao tác với thư mục và file được chia sẽ . GATEWAY(config)#webvpn context WEBVPN GATEWAY(config-webvpn-context)#aaa authentication list SSL Kích hoạt dịch vụ GATEWAY(config-webvpn-context)#inservice GATEWAY(config-webvpn-context)#gateway SSLVPN. ! webvpn gateway SSLVPN ip address 150.1.1.1 port 443 ssl trustpoint TP-self-signed-1769152701 inservice ! webvpn context WEBVPN ssl authenticate verify all ! url-list " ;WEB_ URL". GATEWAY(config-webvpn-nbnslist)#nbns-server 192.168.1.2 Cấu hình chính sách nhóm GATEWAY(config-webvpn-context)#policy group ADMIN GATEWAY(config-webvpn-group)#url-list WEB_ URL GATEWAY(config-webvpn-group)#cifs-url-list

Ngày đăng: 18/07/2014, 17:35

Từ khóa liên quan

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan