Úvodní díl seriálu, který se věnuje technologii VPN. Naleznete zde stručný popis VPN a jejich typů. Dále se více popisuje VPN založená na protokolu IPsec, primárně typ Remote Access VPN. Celý popis je obecný, ale do budoucna se zaměřuje na nasazení na Cisco zařízeních, primárně Cisco ASA. Na konci jsou zmíněny parametry, které podporují klienti Cisco VPN Client, integrovaný klient na Google Android a ve Windows XP/Vista/7.

Po prvním teoretickém dílu se podíváme, opravdu jen lehce, na bezpečnostní appliance Cisco ASA, kterou budeme v dalších dílech používat pro konfiguraci různých VPN. Zmíníme i několik důležitých bodů, které využijeme příště při konfiguraci IPsec Remote Access VPN. U Cisco ASA se budeme dívat pouze na vlastnosti, které se týkají VPN. ASA v současnosti znamená řada ASA 5500 (já pracuji s ASA 5510). VPN ale můžeme provozovat i na většině routerů.

Máme za sebou teoretický popis celé problematiky IPsec Remote Access VPN i základní úvod (řekněme úvodní konfiguraci) Cisco ASA. Dnes se budeme věnovat praktické konfiguraci zmíněného rozšířeného typu VPN pro přístup uživatelů do firemního prostředí. V první části článku si popíšeme jednotlivé stavební bloky, které budeme na Cisco ASA konfigurovat, a jejich vzájemné vazby. V druhé části jsou již odkazy na jednotlivé položky v ASDM, které musíme nastavit.

SSL VPN se dnes považují za moderní typ VPN připojení. Mají řadu výhod, hlavně oproti tradičnímu IPsec protokolu. U Cisca si ale nejprve musíme zjistit informace o licencování, protože AnyConnect licence jsou dost drahé. Clientless SSL VPN je speciální typ VPN, kdy nepotřebujeme klienta (na to nám poslouží webový prohlížeč). Nemá úplně stejné možnosti jako standardní VPN, ale může být vhodná pro řadu situací. Základní funkce nám bezpečně zprostředkuje interní webové a souborové servery. Na to se podíváme dnes. Dále je možné využít různé pluginy, které například umožní přístup přes SSH či RDP. A objevují se další rozšířené funkce, jako je například Smart Tunnel.

Minule jsme se věnovali základním funkcím Clientless SSL VPN na Cisco ASA. Ta nám umožňuje přistupovat na některé firemní zdroje z internetu z počítače, na kterém nepotřebujeme administrátorská práva a stačí nám webový prohlížeč a Java nebo ActiveX. Nyní se podíváme na moderní funkce, které nám přidají další vlastnosti z oblasti přístupu (Port Forwarding a Smart Tunnels) a bezpečnosti (Cisco Secure Desktop). Popis jednotlivých funkcí je stručný a nevěnuje se všem možnostem.

Cisco již v podstatě nepodporuje klasickou IPsec VPN pro vzdálené připojení uživatelů (a klienta VPN Client). Místo toho používá nového klienta AnyConnect a k němu (moderní) SSL VPN nebo IPsec IKEv2. V tomto článku se podíváme na princip SSL VPN v podání firmy Cisco a ukážeme si konfiguraci pomocí ASDM.

Tento článek navazuje na minulý díl, kde jsme vytvářeli SSL VPN. Nyní si ukážeme možnosti, jak zvýšit bezpečnost připojení nebo lépe řečeno určit, za jakých podmínek se může uživatel připojit. Když má uživatel povoleno přihlášení do VPN, tak po korektní autentizaci je připojen. Popíšeme si možnosti, jak kontrolovat různé parametry připojovaného zařízení a podle nich povolit, omezit nebo úplně zakázat připojení. Využívat budeme Cisco Secure Desktop komponentu Host Scan a Dynamic Access Policies.

Cisco ASA nabízí řadu možných způsobů autentizace klienta, který se připojuje do VPN. Nejčastěji se využívá autentizace uživatele pomocí jména a hesla vůči různým zdrojům (lokálně, LDAP, RADIUS). Můžeme použít i dvou fázovou autentizaci (Double Authentication), kdy se uživatel ověřuje vůči dvěma různým zdrojům. Také můžeme provést autentizaci pomocí certifikátu a kombinovat do více faktorové autentizace. V článku se nejprve podíváme na trochu teorie a v druhé polovině se budeme věnovat autentizaci certifikátem a zároveň jménem a heslem.