jeudi 5 octobre 2017

Cisco ASA – VPN AnyConnect

Dans cet article nous verrons comment configurer un VPN AnyConnect, permettant à des clients de se connecter à distance au réseau local de l’ASA. Le VPN AnyConnect est la solution la plus mise en avant par Cisco en ce moment. Elle a l’avantage d’être simple est légère pour le client. Voyons tout de suite la configuration.

Configuration du VPN AnyConnect

Comme toujours pour les VPN sur l’ASA, le plus simple est de recourir au Wizard. Vous verrez que celui-ci est très simple.
Dans l’écran suivant il convient de renseigner le chemin vers les images AnyConnect. Ces images serviront à installer AnyConnect sur les postes des clients. Ici, l’image Windows a été upploadée.
Il convient ensuite de choisir la méthode d’authentification. Ici une authentification locale a été choisie. Si une méthode d’authentification sur un serveur a été configurée, vous pouvez la choisir ici.
Un pool d’IP doit ensuite être choisi. Vous pouvez créer un nouveau sous-réseau.
Il faut ensuite activer le NAT exempt. Choisir l’interface et le réseau auquel le client doit avoir accès.

Test et Troubleshooting du VPN

Il est maintenant possible de tester le VPN.
En accédant à l’IP publique de l’ASA à l’aide d’un navigateur WEB, il est possible de télécharger le client AnyConnect.
La connexion est ensuite très simple.
Comme pour le VPN Site-to-Site, si la connexion de monte pas, la première chose à faire est de regarder les logs depuis la page Home.
Vous pouvez ensuite vérifier que la règle de NAT exempte est bien placée avant les autres règles.
Aussi, vous pouvez vérifier que la Policy Rule autorise le trafic voulu à traverser l’ASA.
Si ces investigations ne vous ont toujours pas permis de solutionner le problème, il convient d’examiner la configuration du VPN en détail.
Pour cela, différents écrans sont disponibles dans la section Remote Access VPN.

Paramètres additionnels

Lors du Wizard, nous avons configuré du NAT Exempt. Cela permet d’empêcher le trafic allant du réseau local vers le VPN d’être NATé. Mais le Wizard n’autorise la création que d’une seule règle. Si les utilisateurs du VPN doivent avoir accès à plusieurs sous-réseaux locaux, il convient de rajouter des règles.
Vous pouvez vous baser sur la règle existante. Il suffit de la reproduire et de spécifier un autre réseau local.
Enfin, il est une option intéressante qui n’est pas activée par défaut : le Split Tunneling.
Sans Split Tunneling, tout le trafic du client est envoyé dans le VPN. C’est-à-dire que même le trafic à destination d’internet remonte dans le VPN, pour ressortir par l’ASA.
Cela peut être intéressant pour sécuriser la connexion.
Pour activer le Split Tunneling, la configuration est la suivante.
L’ACL représente les réseaux de destination (pour le client) qui nécessitent d’emprunter le VPN pour être joints.

Cisco ASA – VPN Clientless

Le VPN Clientless de l’ASA propose de se connecter à distance à une interface WEB permettant d’accéder à des ressources internes.
Simplement à l’aide d’un navigateur WEB, il est possible d’exploiter un certain nombre de ressources.
Voici comment mettre en place un VPN Clientless basique.

Configuration

Comme toujours pour les VPN, le plus simple est de recourir au Wizard.
Dans cet écran il faut choisir un nom de profile, l’interface pointant vers l’extérieur et l’alias pour accéder à l’interface WEB du VPN Clientless.
Il convient ensuite de choisir la méthode d’authentification. Ici des utilisateurs locaux seront utilisés. Bien entendu il est possible d’utiliser une configuration AAA.
Enfin, il est possible de configurer les ressources auxquelles il sera possible d’accéder via l’interface WEB.

Test et configuration avancée


Si la configuration est bonne, il est à présent possible d’accéder à l’interface WEB.
Ici, un client accédant à l’interface WEB depuis l’extérieur peut se rendre sur la page WEB du serveur intranet en cliquant sur le lien qui a été ajouté précédemment à l’étape Bookmark List.
Depuis l’onglet Remote Access VPN, il est possible de modifier la configuration du VPN Clientless.
 Dans l’écran Connection Profile nous retrouvons les paramètres généraux.
Il est possible de rajouter ou modifier des Bookmarks.
L’interface WEB est modifiable. Cela peut être pratique pour respecter la charte graphique de l’entreprise. Il est aussi possible de passer l’interface en Français, de modifier le titre, de modifier l’intitulé de certains champs, etc…

Port-Forwarding

Le Port Forwarding permet aux clients du VPN Clientless d’accéder à certaines ressources internes sur une IP et un port bien précis.
Par exemple, il est possible de mettre en place une configuration permettant à un client d’accéder à l’IP 10.0.10.10 sur le port 3389 lors d’une connexion sur 127.0.0.1:1234.
De cette manière, si le client qui utilise le VPN Clientless veut se connecter en RDP sur l’IP 10.0.10.10, il n’a qu’à lancer une connexion sur l’IP 127.0.0.1 (son IP localhost) sur le port 1234 (ou tout autre port choisi).
Voici comment réaliser la configuration.
Il convient ensuite de cliquer sur Assign et d’assigner la redirection de port au GroupPolicy voulu et ou aux utilisateurs concernés.
A présent, le client peut se connecter à l’interface WEB du VPN Clientless et cliquer sur Application Access -> Start Applications.
Une fenêtre s’ouvre alors indiquant les redirections existantes.
Attention, JAVA est utilisée pour faire fonctionner la redirection de port. Si cela ne fonctionne pas, JAVA est la première piste à explorer.
A présent, une connexion RDP sur 127.0.0.1:1234 pointe sur 10.0.10.10:3389


mardi 26 septembre 2017

Cisco ASA – Site-to-Site VPN

La création de tunnels VPN est l’une des fonctionnalités principales de l’ASA Cisco. Il est possible de réaliser des VPN site à site, mais aussi des VPN pour un accès distant. Dans cet article nous verrons comment configurer un VPN site à site entre deux ASA.
Etant donné la quantité de paramètre pour la mise en place d’un VPN, la configuration n’est pas toujours aisée. Heureusement, l’ASA propose un Wizard facilitant grandement le paramétrage.

Infrastructure de test


Pour cet exemple, deux ASAs sont utilisés. Ils possèdent un paramétrage basique : un réseau local, un accès internet, du Dynamique PAT vers internet et du filtrage (firewall) sur le trafic venant de l’extérieur.
Voici un schéma de l’installation.
Sur les captures ci-dessous, vous verrez apparaitre un réseau 10.0.1.0 /24 présent sur les deux ASA. Il s’agit du réseau utilisé pour le management. Il n’entre pas en compte pour la configuration du VPN.

Configuration de l’ASA No 1

La configuration des deux ASA sera relativement similaire. Le Wizard sera utilisé pour réaliser une première configuration. Il sera toujours possible de modifier cette dernière par la suite.

Configuration des Objets

Il convient ici de créer deux objets. Un qui représente le réseau local de l’ASA 1 (Vlan 10 : 10.0.10.0 /24) et un autre qui représente le réseau local de l’ASA 2 (Vlan 20 : 10.0.20.0 /24).

Configuration du VPN de l’ASA 1 vers l’ASA 2

Nous pouvons à présent commencer la configuration du VPN sur l’ASA 1. Pour cela, lancer le Wizard pour le VPN Site-to-Site.
Dans l’écran suivant, vous avez le choix entre la configuration rapide ou la configuration avancée. Pour monter un VPN entre deux ASAs, la configuration rapide peut être suffisante. Les paramètres peuvent être édités par la suite, même si cela peut entrainer des erreurs de configuration.
La configuration rapide propose une authentification par clé partagée et accepte de nombreuses méthodes de sécurité.
La configuration avancée permet l’authentification par certificat et permet de choisir les méthodes de sécurité autorisées ainsi que l’activation du PFS – Perfect Forward Secrecy (nouvel échange Diffie Hellman à chaque négociation de phase 2).
L’option suivante correspond au NAT Exempt. Cela permet d’éviter que le trafic venant du réseau choisi ne soit NATé lors de son passage dans le VPN. Il est donc important d’activer cette option pour tous les réseaux locaux concernés par le VPN (ici seulement le Vlan 10).
Le Wizard est terminé. Vous pouvez voir que par défaut l’ASA accepte de très nombreux paramètres pour le VPN.

Configuration de l’ASA No 2

Configuration des objets

Comme pour l’ASA 1, il convient de créer deux objets. L’un pour le réseau local de l’ASA 2 (Vlan 20 : 10.0.20.0 /24) l’autre pour le réseau local de l’ASA 1 (Vlan 10 : 10.0.10.0 /24).

Configuration du VPN de l’ASA 2 vers l’ASA 1




Initialisation, Test, Troubleshooting et personnalisation du VPN

A présent, vous pouvez envoyer du trafic dans le VPN pour l’initier. Un Ping d’un client du côté A vers un client du côté B fera l’affaire.
Attention tout de même, selon comment votre ASA est paramétré, les Ping peuvent ne pas passer. D’autres tests peuvent être plus révélateurs. Par exemple, il est possible de lancer un mini serveur Web sur un client et de tenter de s’y connecter à l’aide d’un navigateur WEB (attention au FW des postes).
Une fois l’initialisation faite, il est possible de consulter l’état du VPN et le protocole de chiffrement utilisé. Le bouton Details permet d’obtenir plus d’information.
Si la session n’est pas montée, la première chose à faire est de consulter les logs depuis la page home.
Si la session n’est pas montée, une nouvelle tentative sera réalisée de manière régulière.
Vous pourrez alors voir si un message d’erreur apparait.
Si le tunnel est monté, mais qu’un test de connexion de bout en bout (entre deux clients) ne donne rien, c’est qu’il faut chercher dans les paramétrages des ASA.
Il convient de vérifier la configuration NAT de chaque ASA. En effet, dans un scénario classique, les deux réseaux locaux sont placés derrière un NAT. Si la fonction NAT Exempt a été activée durant le Wizard, la configuration devrait être de ce type.
Vous constaterez que la règle NAT Exempt du VPN est placée en première. La deuxième règle est la règle de Dynamic PAT pour internet. Si cette dernière était placée avant la règle NAT Exempt du VPN, le trafic à destination du VPN serait NATé.
Il convient ensuite de vérifier que la règle Policy Rule autorise le trafic voulu à passer (ICMP, http, etc…).
Ensuite, il est possible de vérifier l’ACL créée par le Wizard. Celle-ci doit autoriser le réseau local à joindre le réseau distant.
Sinon, il est possible de consulter les écrans de configuration du VPN en lui-même.
Cela peut aussi être l’occasion de modifier certains paramètres (clé partagée, sous-réseaux concernés, paramètres IKE et IPsec, PFS, NAT Exempt, etc…).
Le menu Advenced propose des écrans de configuration importants.