CZ 
14.09.2024 Radka VÍTEJTE V MÉM SVĚTĚ

VPN 2 - Úvod do Cisco ASA a možnosti VPN

| Petr Bouška - Samuraj |
Po prvním teoretickém dílu se podíváme, opravdu jen lehce, na bezpečnostní appliance Cisco ASA, kterou budeme v dalších dílech používat pro konfiguraci různých VPN. Zmíníme i několik důležitých bodů, které využijeme příště při konfiguraci IPsec Remote Access VPN. U Cisco ASA se budeme dívat pouze na vlastnosti, které se týkají VPN. ASA v současnosti znamená řada ASA 5500 (já pracuji s ASA 5510). VPN ale můžeme provozovat i na většině routerů.
zobrazeno: 27 066x | Komentáře [7]

Modely začínají od malého 5505 a 5510 (který může dostačovat řadě firem v ČR) přes výkonnější modely 5520, 5540, 5550 až po výkonné 5580 a 5585. Cisco ASA v sobě spojuje několik typů zařízení (která se dříve prodávala samostatně). Mezi jeho vlastnosti patří Firewall, Intrusion Prevention System (IPS), VPN Concentrator, antivirus (content security), síťové služby (routing). Některé vlastnosti jsou licencované samostatně (musí se dokupovat). Pro většinu modelů je podporováno zapojení v clusteru a tedy vysoká dostupnost.

Cisco ASA 5510

Pro konfiguraci se používá Java aplikace Cisco Adaptive Security Device Manager (ASDM), kterou můžeme stáhnout přímo z ASA přes webové rozhraní (nebo rovnou spustit). Nebo standardně přes příkazovou řádku - CLI (Command Line Interface). ASDM nabízí slušné grafické rozhraní, kde můžeme nakonfigurovat většinu vlastností. I když jsem zastáncem využívání CLI (IOSu) u switchů, tak u ASA (zatím) upřednostňuji ASDM.

V oblasti VPN nabízí ASA IPsec site-to-site nebo remote access VPN, kde značný počet klientů je v základní ceně. Dále modernější SSL VPN a IPsec IKEv2 VPN, pro oboje jsou potřeba speciální licence a klient AnyConnect. Clientless SSL VPN (jinak řečeno Web VPN) a mobile VPN (podpora mobilních klientů), opět potřebujeme licenci. U SSL VPN existuje technologie Cisco Secure Desktop, otestuje klientskou stanici, vytvoří virtuální prostředí (šifrovaný desktop) v kterém se pracuji při připojení do VPN, při odpojení přepíše (důkladné smazání) všechna dočasná data. Podporuje také různé kontroly klienta (AV, FW, aktualizace) před připojením do VPN a politiky (ACL, omezení přístupu) po připojení.

Závěrem je, že Cisco se soustředí primárně na AnyConnect klienta, který nabízí velkou funkcionalitu, ale je samostatně licencovaný a jeho použití je drahé.

Verze ASA a ASDM

Operační systém u Cisco ASA se neoznačuje jako IOS, ale prostě jako ASA software. Není ani úplně stejný jako IOS, ale je mu docela podobný.

V poslední době byla rozšířená ASA verze 8.2, s příchodem verze 8.3 došlo k řadě rozsáhlých změn a verze 8.4 (v současnosti poslední) přidala ještě několik dalších. Například novinkou je podpora IPsec VPN přes klienta AnyConnect 3.0, ale je tu finta, že se musí použít IKEv2 a spotřebovává se SSL licence (AnyConnect licence) a ne IPsec licence (kterých máme hodně). V nových verzích se hodně změnilo i umístění položek v ASDM, k ASA verzi 8.4 je ASDM verze 6.4, které má dost špatnou nápovědu (nefungují odkazy, umístění menu, apod.). Pro určitou verzi ASA potřebujeme vždy odpovídající verzi ASDM.

Změna verze ASA, ASDM

Stejně jako u switche můžeme mít uložených několik verzí IOSu a určitou verzi startovat, tak u ASA můžeme mít několik verzí ASA i ASDM. Volba defaultního obrazu ASA se provede následně (disk0: se v tomto případě rovná flash:).

ASA(config)#boot system disk0:/asa841-k8.bin

Volba defaultního ASDM je podobná.

ASA(config)#asdm image disk0:/asdm-641.bin

První přistup na ASA

  • v továrním nastavení má ASA IP adresu 192.168.1.1, připojíme se síťově přes MGMT interface, na kterém běží DHCP
  • defaultní adresa je https://192.168.1.1/admin/public/index.html
  • výchozí username a password je prázdné
  • potom nainstalujeme ASDM a připojíme se přes něj
  • úvodní konfigurace pomocí ASDM – menu Wizards – Startup wizard

Zobrazování příkazů před odesláním

ASDM má hezkou vlastnost, že když ukládáme změny provedené v grafickém prostředí, tak nám může zobrazit příkazy, které provede. Jde o nastavení ASDM a nachází se v menu Tools > Preferences, zde je položka:

Preview commands before sending them to the device

Povolení SSH

Jako úvodní krok konfigurace je dobré si nastavit možnosti, jak se na ASA připojit. Standardně není povoleno ani SSH. Konfigurace přístupu se nachází:

Configuration > Device management > Management Access > ASDM/HTPS/SSH/Telnet

Defaultní SSH username je asa a heslo cisco. Defaultní enable password je prázdné. Nastavení uživatelů pro autentizaci:

Configuration > Device Management > Users/AAA > AAA Access > Authentication

Uživatelé

Pro zabezpečení musíme nastavit heslo do privilegovaného režimu (enable password):

Configuration > Device Setup > Device Name/Password

A administrátorský účet pro přihlášení na ASA (můžeme samozřejmě nastavit autentizaci přes RADIUS, ale pro problémy s komunikací je dobré mít jeden účet lokální):

Configuration > Device Management > Users/AAA > User Accounts

Routing na ASA a VPN

Ještě se podíváme na pár pokročilejších vlastností, které využijeme příště, až budeme vytvářet IPsec VPN.

Při směrování paketu na Cisco ASA s připojeným klientem přes VPN, se postupuje následovně:

  • prvně se hledá naučená routa (přímo připojené rozhraní) nebo statická routa
  • pokud se nenalezne, tak
    • pokud přijde provoz šifrovaný (tedy VPN), tak se pošle na Default Tunnel Gateway (DTGW)
    • v opačném případě se pošle na Default Gateway (DGW)

Statické routy se konfigurují v

Configuration > Device Setup > Routing > Static Routes

Management interface

Speciální rozhraní pro správu není routované s jinými interface, ale routovací tabulka se počítá i s ním. Když přijde požadavek, který by měl projít na management interface, tak je zahozen.

Příkazy

Zobrazení routovací tabulky je malinko jiné, než na switchi.

ASA#show route

Pro testování můžeme použít rozšíření základních příkazů, jako je ping s určením interface.

ASA#ping management 10.0.0.10

Nebo zobrazení routy pro určitou adresu a interface.

OKVPN#show route inside 10.0.0.10
Gateway of last resort is 86.55.13.254 to network 0.0.0.0
S    10.0.0.0 255.255.255.0 [1/0] via 192.168.10.254, inside
C    192.168.10.0 255.255.255.0 is directly connected, inside
S    0.0.0.0 0.0.0.0 [255/0] via 192.168.10.254, inside tunneled

VPN autentizace pomocí certifikátu a RADIUS serveru

V dalším díle se budeme věnovat konfiguraci IPsec Remote Access VPN, kde počítač se bude autentizovat pomocí certifikátu a uživatel přes RADIUS pomocí účtu v AD. Zde se podíváme na související problémy.

Certifikát pro klientský počítač

první fázi IKE se použije zabezpečení komunikace šifrováním pomocí serverového a klientského certifikátu. Zároveň to pro nás znamená, že se klient autentizuje tímto certifikátem (pokud nesplní definované podmínky, tak je komunikace odmítnuta). Pro vydání certifikátu použijeme MS CA, která je součástí Windows Serveru.

V Microsoft Certification Authority (CA) se vytváří certifikát pro IPsec s účelem (Intended Purposes), nebo jinak řečeno použitím (Enhanced Key Usage), IP Security IKE Intermediate (OID 1.3.6.1.5.5.8.2.2). Ale Cisco vyžaduje účel IP Security Tunnel Endpoint (OID 1.3.6.1.5.5.7.3.6). Pokud máme účel certifikátu nesprávný, tak se při použití certifikátu loguje chyba na ASA:

ERROR: Certificate validation failed. Peer certificate key usage is invalid, serial number: 

Na ASA můžeme tuto kontrolu vypnout, ale lepší je vystavit certifikát s požadovaným účelem (což na MS CA není problém, zadáme Type of Certificate Needed: Other a vyplníme OID: 1.3.6.1.5.5.7.3.6).

ASA(config)#crypto ca trustpoint MOJE_CA
ASA(config-ca-trustpoint)#ignore-ipsec-keyusage

Autentizace uživatelů přes MS RADIUS - NPS

V dalším kroku IKE se využije rozšíření XAUTH a to nám dovolí provést autentizaci uživatele vůči RADIUS serveru a díky tomu vůči Active Directory. Možné nastavení je následující. Jako RADIUS server využijeme Network Policy and Access Services (NPS) z Windows Server 2008. ASA je klient a pro spojení nastavíme shared secret. Na NPS vytvoříme Network Policy, kde nastavíme Grant access  a Ignore user account dial-in properties. Podmínky jsou: podle klienta ASA a Windows Group G VPN (tak můžeme řídit, kteří klienti se mohou do VPN připojit). Autentizaci povolíme pomocí MS-CHAP-v2. Šifrování pouze Strongest encryption.

Související články:

Cisco VPN - Virtual Private Network

Série článků, která začíná obecným popisem technologie VPN a rozebírá jednotlivé typy VPN. Dále se řeší různé konfigurace VPN na zařízeních Cisco, primárně na Cisco ASA.

VPN - Virtual Private Network

Série článků, která obsahuje obecný popis technologie VPN. Rozebírá jednotlivé typy VPN, jako je Site to Site VPN a Remote Access VPN. A popisuje konfigurace na různých zařízeních.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře
  1. [1] fero

    Dakujem, velmi mi pomohlo. Len jedna otazocka, neviete niekto kde najdem navod ako nastavit IPSec VPN Site-to-Site medzi dvoma Cisco ASA?? Dakujem

    Čtvrtek, 12.05.2011 10:46 | odpovědět
  2. [2] Pavel

    Chtěl bych zmínit k AnyConnect klientovi. Existuje licence Anyconnect Essentials, která umožňuje připojení pouze klientem ( neumožňuje clientless a Cisco Secure Desktop ), ale cena nízká.

    Pátek, 24.06.2011 11:17 | odpovědět
  3. [3] PetrS

    Dobrý den,

    zlobím se s ASA 5510 (asa843-k8.bin a asdm-647.bin). Po počátečních potížích jsem rozjel SSH přístup dle návodu www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/access_management.html#wp1186644.

    SSH v podstatě funguje, ale...

    ... funguje jen občas (někdy ASA nereaguje na výměnu klíčů). A zarazila mě extrémní doba ICMP echo reply (na jediný zkonfigurovaný outside iface).

    8ms

    731ms

    18ms

    312ms

    840ms

    atd.

    Napadlo by někoho v čem je chyba?

    Zbytek konfigurace je default, routa je v pořádku, doba opakování ICMP echo request nehraje roli. Jiná ASA ze stejné dodávky se chová stejně.

    Díky Petr

    Neděle, 21.10.2012 16:34 | odpovědět
  4. [4] Samuraj

    Popis upgradu www.cisco.com/c/en/us/td/docs/security/asa/asa93/upgrade/upgrade93.html

    Úterý, 17.02.2015 16:38 | odpovědět
  5. [5] Samuraj

    Důležité informace při upgradu ASDM na verzi 7.3(x), je podporována pouze Java 7 (na 6 to opravdu nechodí) a může být problém s certifikátem na management rozhraní.

    www.cisco.com/c/en/us/td/docs/security/asdm/7_3/release/notes/rn73.html

    Středa, 18.02.2015 14:08 | odpovědět
  6. [6] motor

    Dobrý den, řeším s asou dva problémy. První nevím jak se do ní dostat? Přes webové rozhraní to asi nejde a ten program MGMT nevím kde stáhnout.

    Druhý problém proč do asa chci, je změna poskytovatele internetu. Vše jede jak má až na vzdálenou správu. DO teď vše jelo přes Cisco any connet. Předpokládám, že v asa musím někde změnit IP. Nebo je to nesmysl?

    Díky všem za nápady. Jinak IP i heslo od asa mám..

    Pátek, 30.12.2016 13:49 | odpovědět
  7. [7] motor

    odpověď na [6]motor:

    Do ASA jsem se dostal, teď už jen ta druhá otázka. Proč nejde po změně poskytovatele VPN. Jak opravit(přenastavit) VPN?

    Sobota, 31.12.2016 14:23 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách