Cisco Secure Desktop (CSD) améliore la sécurité de la technologie VPN SSL. CSD fournit une partition distincte sur le poste de travail d'un utilisateur pour l'activité de session. Cette voûte est chiffrée pendant les sessions et complètement retirée à la fin d'une session VPN SSL. Windows peut être configuré avec tous les avantages de sécurité du CSD. Macintosh, Linux, et Windows CE donnent seulement accès aux fonctionnalités de nettoyage de cache, de navigation Web et d'accès aux fichiers. CSD peut être configuré pour les périphériques Windows, Macintosh, Windows CE et Linux sur les plates-formes suivantes :
Appliance de sécurité adaptatif Cisco (ASA) 5500
Routeurs Cisco qui exécutent le logiciel Cisco IOS® versions 12.4(6)T et ultérieures
Concentrateurs de la gamme Cisco VPN 3000 versions 4.7 et ultérieures
Module Cisco WebVPN sur les routeurs des gammes Catalyst 6500 et 7600
Remarque : CSD version 3.3 vous permet désormais de configurer Cisco Secure Desktop pour qu'il s'exécute sur des ordinateurs distants exécutant Microsoft Windows Vista. Auparavant, Cisco Secure Desktop était limité aux ordinateurs exécutant Windows XP ou 2000. Référez-vous à la section Nouvelle amélioration des fonctionnalités - Secure Desktop sur Vista des Notes de version pour Cisco Secure Desktop, version 3.3, pour plus d'informations.
Cet exemple couvre principalement l'installation et la configuration de CSD sur les clients ASA 5500 pour Windows. Des configurations facultatives pour les clients Windows CE, Mac et Linux sont ajoutées pour compléter.
CSD est utilisé en association avec la technologie VPN SSL (VPN SSL sans client, VPN SSL client léger ou client VPN SSL (SVC)). CSD ajoute de la valeur aux sessions sécurisées de la technologie VPN SSL.
Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :
Configuration requise pour le périphérique ASA
Cisco CSD version 3.1 ou ultérieure
Logiciel Cisco ASA version 7.1.1 ou ultérieure
Cisco Adaptive Security Device Manager (ASDM) version 5.1.1 ou ultérieure
Remarque : CSD version 3.2 prend en charge uniquement ASA version 8.x
Remarque : référez-vous à Autoriser l'accès HTTPS pour ASDM afin de permettre à l'ASA d'être configuré par l'ASDM.
Configuration requise pour les ordinateurs clients
Les clients distants doivent disposer de privilèges d'administration locale ; cela n'est pas obligatoire, mais c'est fortement recommandé.
Les clients distants doivent disposer de Java Runtime Environment (JRE) Version 1.4 ou ultérieure.
Navigateurs clients distants : Internet Explorer 6.0, Netscape 7.1, Mozilla 1.7, Safari 1.2.2 ou Firefox 1.0
Cookies activés et fenêtres publicitaires intempestives autorisées sur les clients distants
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Cisco ASDM version 5.2(1)
Cisco ASA version 7.2(1)
Cisco CSD Version-securedesktop-asa-3.1.1.32-k9.pkg
The information in this document was created from the devices in a specific lab environment. Tous les périphériques utilisés dans ce document ont commencé par une configuration effacée (par défaut). If your network is live, make sure that you understand the potential impact of any command. Les adresses IP utilisées dans cette configuration sont des adresses RFC 1918. Ces adresses IP ne sont pas autorisées sur Internet et ne doivent être utilisées que dans un environnement de laboratoire de test.
Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.
CSD fonctionne avec la technologie VPN SSL, de sorte que le client sans client, le client léger ou le SVC doit être activé avant la configuration du CSD.
Différents emplacements Windows peuvent être configurés avec les aspects de sécurité complets de CSD. Macintosh, Linux et Windows CE n'ont accès qu'au Cache Cleaner et/ou à la navigation Web et à l'accès aux fichiers.
Ce document utilise la configuration réseau suivante :
Configurez CSD sur l'ASA pour les clients Windows en cinq étapes principales :
Obtenez, installez et activez le logiciel CSD sur Cisco ASA.
Configuration facultative pour les clients Windows CE, Macintosh et Linux.
Suivez ces étapes pour obtenir, installer et activer le logiciel CSD sur Cisco ASA.
Téléchargez les fichiers securedesktop-asa*.pkg et readme du logiciel CSD sur votre poste de gestion à partir du site Web de téléchargement de logiciels Cisco.
Connectez-vous à ASDM et cliquez sur le bouton Configuration. Dans le menu de gauche, cliquez sur le bouton CSD Manager, puis cliquez sur le lien Cisco Secure Desktop.
Cliquez sur Upload pour afficher la fenêtre Upload Image.
Entrez le chemin d'accès du nouveau fichier .pkg sur la station de gestion ou cliquez sur Browse Local Files pour localiser le fichier.
Entrez l'emplacement sur la mémoire flash dans lequel placer le fichier ou cliquez sur Browse Flash.
Cliquez sur Upload File.
Lorsque vous y êtes invité, cliquez sur OK > Close > OK.
Une fois l'image client téléchargée sur flash, cochez la case Enable SSL VPN Client, puis cliquez sur Apply.
Cliquez sur Save, puis sur Yes pour accepter les modifications.
Suivez ces étapes pour définir les emplacements Windows.
Cliquez sur le bouton Configuration.
Dans le menu de gauche, cliquez sur le bouton CSD Manager, puis cliquez sur le lien Cisco Secure Desktop.
Dans le volet de navigation, cliquez sur Paramètres d'emplacement Windows.
Tapez un nom d'emplacement dans le champ Emplacement à ajouter et cliquez sur Ajouter.
Notez les trois emplacements de cet exemple : Bureau, Domicile et Autres.
Office représente les stations de travail situées à l'intérieur de la limite de sécurité de l'entreprise.
Accueil représente les utilisateurs qui travaillent à domicile.
Autre représente tout emplacement autre que les deux emplacements mentionnés.
Créez vos propres sites en fonction de la configuration de votre architecture réseau pour les commerciaux, les invités, les partenaires et autres.
Lorsque vous créez des emplacements Windows, le volet de navigation se développe avec des modules configurables pour chaque nouvel emplacement. Cliquez sur Apply All.
Cliquez sur Save, puis sur Yes pour accepter les modifications.
Suivez ces étapes pour définir l'identification d'emplacement Windows.
Identifiez les emplacements créés dans Définir des emplacements Windows.
Pour identifier l'emplacement Office, cliquez sur Office dans le volet de navigation.
Désélectionnez Secure Desktop et Cache Cleaner car il s'agit d'ordinateurs internes.
Cochez Enable identification using IP Criteria.
Saisissez les plages d'adresses IP de vos ordinateurs internes.
Cochez Activer l'identification à l'aide des critères de registre ou de fichier. Cela différencie les employés internes des invités occasionnels sur le réseau.
Cliquez sur Configurer les critères. Un exemple simple de fichier "DoNotDelete.txt" est configuré. Ce fichier doit exister sur vos ordinateurs Windows internes et n'est qu'un espace réservé. Vous pouvez également configurer une clé de registre Windows pour identifier les ordinateurs internes du bureau. Cliquez sur OK dans la fenêtre Ajouter un critère de fichier. Cliquez sur OK dans la fenêtre Critères de registre et de fichier.
Cliquez sur Apply All dans la fenêtre Identification for Office. Cliquez sur Save, puis sur Yes pour accepter les modifications.
Pour identifier l'emplacement Accueil, cliquez sur Accueil dans le volet de navigation.
Cochez Activer l'identification à l'aide des critères de registre ou de fichier.
Cliquez sur Configurer les critères.
Les clients de l'ordinateur personnel doivent avoir été configurés avec cette clé de Registre par un administrateur. Cliquez sur OK dans la fenêtre Ajouter un critère de registre. Cliquez sur OK dans la fenêtre Critères de registre et de fichier.
Sous Module de localisation, cochez Secure Desktop. Cliquez sur Apply All dans la fenêtre Identification for Home. Cliquez sur Save, puis sur Yes pour accepter les modifications.
Pour identifier l'emplacement Other, cliquez sur Other dans le volet de navigation.
Cochez uniquement la case Nettoyeur de cache et décochez toutes les autres cases.
Cliquez sur Apply All dans la fenêtre Identification for Other.
Cliquez sur Save, puis sur Yes pour accepter les modifications.
Suivez ces étapes pour configurer les modules sous chacun des trois emplacements que vous avez créés.
Pour les clients Office, n'effectuez aucune action, car Secure Desktop et Cache Cleaner n'ont pas été sélectionnés dans les étapes précédentes. L'application ASDM vous permet de configurer le Cache Cleaner même s'il n'a pas été choisi dans une étape précédente. Conservez les paramètres par défaut des emplacements Office.
Remarque : la stratégie de fonctionnalité VPN n'est pas abordée dans cette étape, mais elle le sera dans une étape ultérieure pour tous les emplacements.
Pour les clients Home, cliquez sur Home et Keystroke Logger dans le volet de navigation.
Dans la fenêtre Enregistreur de frappe, cochez la case Vérifier les enregistreurs de frappe.
Cliquez sur Apply All dans la fenêtre Enregistreur de frappe.
Cliquez sur Save, puis sur Yes pour accepter les modifications.
Sous Accueil, choisissez Nettoyeur de cache et les paramètres adaptés à votre environnement.
Sous Accueil, choisissez Secure Desktop General et les paramètres adaptés à votre environnement.
Sous Accueil, sélectionnez Paramètres du Bureau sécurisé.
Cochez la case Allow email applications to work transparent, et configurez les autres paramètres en fonction de votre environnement.
Cliquez sur Apply All.
Cliquez sur Save, puis sur Yes pour accepter les modifications.
Configurez la stratégie de fonctionnalité VPN pour chacun des emplacements que vous avez créés.
Dans le volet de navigation, cliquez sur Office, puis sur VPN Feature Policy.
Cliquez sur l'onglet Group-Based Policy.
Activez la case d'option Toujours utiliser la stratégie de groupe Réussite.
Cliquez sur l'onglet Navigation Web et cochez la case d'option Toujours activé.
Suivez la même procédure pour les onglets File access, Port forwarding et Full tunneling.
Cliquez sur Apply All.
Cliquez sur Save, puis sur Yes pour accepter les modifications.
Pour les particuliers, chaque entreprise peut exiger des politiques spécifiques avant d'autoriser l'accès. Dans le volet de navigation, cliquez sur Home, puis sur VPN Feature Policy.
Cliquez sur l'onglet Group-Based Policy.
Cliquez sur la case d'option Utiliser la stratégie de groupe de réussite si les critères préconfigurés correspondent, tels qu'une clé de Registre spécifique, un nom de fichier connu ou un certificat numérique.
Cochez la case Location Module et choisissez Secure Desktop.
Choisissez les zones Anti-Virus, Anti-Spyware, Firewall et OS conformément à la politique de sécurité de votre entreprise. Les utilisateurs à domicile ne seront pas autorisés à accéder au réseau à moins que leurs ordinateurs ne répondent à vos critères configurés.
Dans le volet de navigation, cliquez sur Other, puis sur VPN Feature Policy.
Cliquez sur l'onglet Group-Based Policy.
Activez la case d'option Toujours utiliser la stratégie de groupe Réussite.
Pour les clients de cet emplacement de stratégie de fonctionnalité VPN, cliquez sur l'onglet Web Browsing, puis sur la numérotation radio Always Enabled.
Cliquez sur l'onglet File Access, puis sur la case d'option Disable.
Répétez l'étape avec les onglets Port Forwarding et Full Tunneling.
Cliquez sur Apply All.
Cliquez sur Save, puis sur Yes pour accepter les modifications.
Ces configurations sont facultatives.
Si vous choisissez Windows CE dans le volet de navigation, cochez la case Navigation Web.
Si vous choisissez Mac and Linux Cache Cleaner dans le volet de navigation, cochez la case Launch cleanup upon global timeout radio dial.
Modifiez le délai d'attente en fonction de vos spécifications.
Dans la zone VPN Feature Policy, vérifiez les numéros radio de navigation Web, d'accès aux fichiers et de transfert de port pour ces clients.
Que vous choisissiez Windows CE ou Mac et Linux Cache Cleaner, cliquez sur Apply All.
Cliquez sur Save, puis sur Yes pour accepter les modifications.
Cette configuration reflète les modifications apportées par l'ASDM pour activer CSD : la plupart des configurations CSD sont conservées dans un fichier distinct sur la mémoire flash.
Ciscoasa |
---|
ciscoasa#show running-config Building configuration... ASA Version 7.2(1) ! hostname ciscoasa domain-name cisco.com enable password 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 172.22.1.160 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.2.2.1 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address management-only ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns server-group DefaultDNS domain-name cisco.com no pager logging enable logging asdm informational mtu outside 1500 mtu inside 1500 !--- ASDM location on disk0 asdm image disk0:/asdm521.bin no asdm history enable arp timeout 14400 nat-control timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute !--- some group policy attributes group-policy GroupPolicy1 internal group-policy GroupPolicy1 attributes vpn-tunnel-protocol IPSec l2tp-ipsec webvpn webvpn functions url-entry file-access file-entry file-browsing username user1 password mbO2jYs13AXlIAGa encrypted privilege 15 username user1 attributes vpn-group-policy GroupPolicy1 username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15 username cisco attributes vpn-group-policy DfltGrpPolicy webvpn port-forward none port-forward-name value Application Access http server enable http 10.2.2.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart !--- tunnel group information tunnel-group DefaultWEBVPNGroup general-attributes default-group-policy GroupPolicy1 tunnel-group DefaultWEBVPNGroup webvpn-attributes hic-fail-group-policy GroupPolicy1 nbns-server 10.2.2.30 timeout 2 retry 2 telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global !--- webvpn parameters webvpn port 1443 enable outside enable inside !--- csd location csd image disk0:/securedesktop-asa-3.1.1.32-k9.pkg csd enable customization DfltCustomization title text YOUR-COMPANY SSL VPN Services title style background-color: rgb(204,204,255);color: rgb(51,0,255); border-bottom:5px groove #669999;font-size:larger;vertical-align:middle;text-align: left;font-weight:bold url-list ServerList "Windows Shares" cifs://10.2.2.30 1 url-list ServerList "Tacacs Server" http://10.2.2.69:2002 2 tunnel-group-list enable prompt hostname context Cryptochecksum:a840d81f0af21d869db4fa559e83d6d0 : end ! end |
Utilisez cette section pour confirmer que vos configurations pour le VPN SSL sans client, le VPN SSL client léger ou le client VPN SSL (SVC) fonctionnent correctement.
Testez CSD avec un PC qui a été configuré avec différents emplacements Windows. Chaque test doit fournir un accès différent conformément aux stratégies que vous avez configurées dans l'exemple ci-dessus.
Vous pouvez modifier le numéro de port et l'interface sur laquelle Cisco ASA écoute les connexions WebVPN.
Le port par défaut est 443. Si vous utilisez le port par défaut, l'accès est https://ASA IP Address.
L'utilisation d'un port différent modifie l'accès à https://ASA IP Address:newportnumber.
Plusieurs commandes show sont associées à WebVPN. Vous pouvez exécuter ces commandes dans l’interface de ligne de commande (CLI) afin d’afficher les statistiques et autres informations. Pour voir l'utilisation des commandes show en détail, référez-vous à Vérification de la configuration de WebVPN.
Remarque : l'outil Output Interpreter Tool (réservé aux clients enregistrés) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Si vous rencontrez des problèmes avec le client distant, vérifiez les points suivants :
Les fenêtres publicitaires intempestives, Java et/ou ActiveX sont-elles activées dans le navigateur Web ? Il peut être nécessaire de les activer en fonction du type de connexion VPN SSL utilisée.
Le client doit accepter les certificats numériques présentés au début de la session.
Plusieurs commandes debug sont associées à WebVPN. Pour des informations détaillées sur ces commandes, référez-vous à Utilisation des commandes de débogage WebVPN..
Remarque : l'utilisation des commandes debug peut avoir un impact négatif sur votre périphérique Cisco. Avant d'utiliser les commandes debug , référez-vous à la section Informations importantes sur les commandes Debug.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
07-Jul-2006 |
Première publication |