SSL VPN (WEB VPN) Định nghĩa: SSL VPN, hay còn gọi là Web VPN cung cấp một sự hỗ trợ về phần mềm cisco cho việc truy cập từ xa tới mạng công ty từ bất cứ nơi đâu trên internet. Truy cập từ xa được cung cấp thông qua SSL (Secure Socket Layer) được enable trên VPN Gateway.Cho phép user thiết lập kết nối thông qua trình duyệt web do đó những user từ bất cứ hệ điều hành nào như Unix, Window, MAC hay tới những user từ quán Internet cũng có thể truy cập đến công ty mà không phải cài bất cứ soft nào như Cisco-vpn-client chẳng hạn. Ứng dụng sẽ được cài thẳng vào router, khi người dùng dù ở bất kì nơi đâu miễn có một đường truyền Internet thì khi người dùng truy cập vào địa chỉ bên ngoài của Gateway VPN [outside interface], router này sẽ đổ soft VPN-client xuống cho người dùng cài đặt. Hầu hết cống việc của người dùng chỉ nhấn yes, hay ok. SSL-VPN của CISCO có 3 mode: + Clientless: người dùng chỉ có thể truy cập HTTP, Share file, tất cả truy cập đều thông qua giao diện web. Vd: Người dùng sẽ truy cập tới http://192.1.1.2 [IP của router hoặc firewall] + Thin client: người dùng có thể remote desktop, telnet, POP3, SMTP, SSH, IMAP, các ứng dụng port tĩnh. Dùng cơ chế TCP port forwarding, nhưng nhớ client phải cài java. Port forwarding java applet. + Tunnel mode: Truy cập tất cả các tài nguyên qua kết nối nhưng ta cũng có thể hạn chế quyền của người dùng, vd: FTP mode passive, active, SQLnet, voice, … Khi đăng nhập web VPN, client sẽ tải về soft, gói cài đặt nằm trong flash hoặc disk của router. Quá trình cài đặt hầu như dễ dàng, chỉ yes và OK. Phải cài Java hoặc ActiveX Default mã hóa của trình duyệt là 3DES hoặc RC4. Các IOS nào hỗ trợ SSL VPN: Các router hỗ trợ: 877, 1811, 1841, 2801, 2811, 2821, 2851, 3725, 3745, 3825, 3845, 7200 7301. Nói chung là IOS 1800, 2800, 3700, 3800, 7200, and 7301 IOS: Advantage Security image- 12.4(6)T hoặc lớn hơn. Nếu cấu hình bằng SDM thì dùng bản 2.3 trở lên. Cisco IOS SSL VPN có các bản licence cho 10, 25, 100 user kết nối đồng thời. Đối với ASA là 2 mặc định. Nếu router thì không hạn chế, chỉ phụ thuộc vào performance nhưng thiếu các tính năng cao cấp hơn. SSL- VPN của ASA nếu có liscence thì có thêm chức năng CSD (Cisco Secure Desktop). User logon vào sẽ kiểm tra trojan, virus, service pack. Nếu thỏa thì cho vào, còn không thì Drop. Ngoài ra nó còn tạo profile làm việc mới cho user. Do đó khi người dùng đăng nhập bị lấy pass thì cũng không xem được vì thông tin của người dùng đã được mã hóa. Sau khi disconnect thì file cache sẽ được xóa hết, thông tin xóa hết. Cấu Hình SSL VPN Tunnel mode. Bài này mình sẽ cấu hình với IOS 7200. Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2006 by Cisco Systems, Inc. Bước 1: format disk0: GatewayVPN#format disk0: Format operation may take a while. Continue? [confirm] Format operation will destroy all data in "disk0:". Continue? [confirm] Format: Drive communication & 1st Sector Write OK Writing Monlib sectors. Monlib write complete Format: All system sectors written. OK Format: Total sectors in formatted partition: 130883 Format: Total bytes in formatted partition: 67012096 Format: Operation completed successfully. Format of disk0 complete Bước 2: Bỏ phần mềm client vào Disk0: hoặc vào flash. GatewayVPN#ping 192.168.10.50 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.50, timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 4/14/36 ms Nếu dùng Flash để lưu SSL-client GatewayVPN#copy tftp: flash: Address or name of remote host []? 192.168.10.50 Source filename []? sslclient-win-1.1.4.176.pkg Destination filename [sslclient-win-1.1.4.176.pkg]? sslclient-win-1.1.4.176.pkg Accessing tftp://192.168.10.50/sslclient-win-1.1.4.176.pkg Loading sslclient-win-1.1.4.176.pkg from 192.168.10.50 (via FastEthernet0/0): ! Nếu dùng Disk0: để lưu SSL-client, trong bài này mình sẽ dùng disk0: lưu SSL-client. GatewayVPN#copy tftp: disk0: Address or name of remote host [192.168.10.50]? Source filename [sslclient-win-1.1.4.176.pkg]? Destination filename [sslclient-win-1.1.4.176.pkg]? Accessing tftp://192.168.10.50/sslclient-win-1.1.4.176.pkg Loading sslclient-win-1.1.4.176.pkg from 192.168.10.50 (via FastEthernet0/0): !! [OK - 415956 bytes] 415956 bytes copied in 4.052 secs (102654 bytes/sec) Bước 3:cài đặt soft SSL-Client vào Flash hoặc Disk của router. Đối với Disk0: GatewayVPN(config)#webvpn install svc disk0:/sslclient-win-1.1.4.176.pkg SSLVPN Package SSL-VPN-Client : installed successfully Đối với Flash. GatewayVPN(config)#webvpn install svc flash:sslclient-win-1.1.4.176.pkg SSLVPN Package SSL-VPN-Client : installed successfully Bước 4: Cấu hình SSL VPN (Web VPN) 1. Cấu hình cơ bản: GatewayVPN(config)#ip http server GatewayVPN(config)#ip http secure-server % Generating 1024 bit RSA keys, keys will be non-exportable [OK] GatewayVPN(config)#aaa new-model GatewayVPN(config)#aaa authentication login default local #Tránh việc console timeout dẫn đến thiếu quyền truy cập đến Exec. GatewayVPN(config)#aaa authentication login webvpn local # tạo danh sách chứng thực bằng local cho client, ở đây ta có thể dùng chứng thực bằng RADIUS. GatewayVPN(config)#ip local pool pool-ssl 10.1.1.50 10.1.1.254 # Pool cung cấp IP cho WEB-VPN-client GatewayVPN(config)#username tuan password 123456 # định nghĩa webvpn chứng thực username, password. 2. Cấu hình SSL. a. Cấu hình gateway GatewayVPN(config)#webvpn gateway gateway-vpn # định nghĩa interface mà WEBVPN theo dõi, khi này IOS sẽ sinh tự động certificate từ chính bản thân nó. GatewayVPN(config-webvpn-gateway)#ip address 192.1.1.2 port 443 # Virtual Gateway Ipaddr, địa chỉ client sẽ kết nối tới web VPN server GatewayVPN(config-webvpn-gateway)#inservice # Enable webvpn gateway b.Cấu hình webcontext và policy: GatewayVPN(config)#webvpn ? context Specify webvpn context GatewayVPN(config)#webvpn context ssl-client # định nghĩa những cấu hình liên quan tới webvpn, tương đương với tunnel group của ASA. GatewayVPN(config-webvpn-context)#gateway gateway-vpn # kết hợp context và gateway. GatewayVPN(config-webvpn-context)#aaa authentication list webvpn # chứng thực aaa, local đã tạo ở trên. GatewayVPN(config-webvpn-context)#inservice #Bring context to inservice *Apr 27 11:22:55.523: %SSLVPN-5-UPDOWN: sslvpn context : ssl-client changed state to UP c.Cấu hình chính sách nhóm: GatewayVPN(config-webvpn-context)#policy group CLIENT #svc-enabled Enabled to run tunnel-mode GatewayVPN(config-webvpn-group)#functions svc-enabled #Kích hoạt chức năng SVC GatewayVPN(config-webvpn-group)#svc address-pool pool-ssl # Phân phối địa chỉ của pool-ssl để sử dụng SVC GatewayVPN(config-webvpn-group)#svc split ? #dns Domain resolved via the tunnel #include Traffic to be sent over SSLVPN tunnel GatewayVPN(config-webvpn-group)#svc split include 192.168.20.0 255.255.255.0 # định nghĩa mạng cần được bảo vệ, nếu không cấu hình mặc định là 0.0.0.0, đồng nghĩa với việc tất cả các mạng đều được bảo vệ. GatewayVPN(config-webvpn-context)#default-group-policy CLIENT # áp policy này vào context. Chú ý: Tạo một connected vào router cho pool-ssl cung cấp cho Client. Nếu không có connected nào cho pool-sll thì client kết nối đến sẽ GatewayVPN sẽ không đẩy soft xuống cho client được. Ở đây ta dùng loopback. GatewayVPN(config)#int loopback 10 GatewayVPN(config-if)#ip add 10.1.1.1 255.255.255.0 SSL-client và show run. http://www.4shared.com/file/10197298 _show_run.html Soft SSL-VPN. http://www.4shared.com/file/10197320 t-SSL-VPN.html Tài liệu đọc thêm và cấu hình SSL-VPN bằng SDM. http://www.4shared.com/file/10197373 18/WebVPN.html Link của IOS 7200 dùng được SSL VPN đây. http://rapidshare.com/files/17035078 z.124-11.T.bin . Flash. GatewayVPN(config)#webvpn install svc flash:sslclient-win-1.1.4.176.pkg SSLVPN Package SSL- VPN- Client : installed successfully Bước 4: Cấu hình SSL VPN (Web VPN) 1. Cấu hình cơ bản: GatewayVPN(config)#ip. bytes/sec) Bước 3:cài đặt soft SSL- Client vào Flash hoặc Disk của router. Đối với Disk0: GatewayVPN(config)#webvpn install svc disk0:/sslclient-win-1.1.4.176.pkg SSLVPN Package SSL- VPN- Client : installed. SSL VPN (WEB VPN) Định nghĩa: SSL VPN, hay còn gọi là Web VPN cung cấp một sự hỗ trợ về phần mềm cisco cho việc truy cập từ