Exemple de configuration de Cisco Secure Desktop (CSD 3.1.x) sur ASA 7.2.x pour Windows à l'aide d'ASDM

Introduction

Cisco Secure Desktop (CSD) améliore la sécurité de la technologie VPN SSL. CSD fournit une partition distincte sur le poste de travail d'un utilisateur pour l'activité de session. Cette voûte est chiffrée pendant les sessions et complètement retirée à la fin d'une session VPN SSL. Windows peut être configuré avec tous les avantages de sécurité du CSD. Macintosh, Linux, et Windows CE donnent seulement accès aux fonctionnalités de nettoyage de cache, de navigation Web et d'accès aux fichiers. CSD peut être configuré pour les périphériques Windows, Macintosh, Windows CE et Linux sur les plates-formes suivantes :

• Appliance de sécurité adaptatif Cisco (ASA) 5500

• Routeurs Cisco qui exécutent le logiciel Cisco IOS^® versions 12.4(6)T et ultérieures

• Concentrateurs de la gamme Cisco VPN 3000 versions 4.7 et ultérieures

• Module Cisco WebVPN sur les routeurs des gammes Catalyst 6500 et 7600

Remarque : CSD version 3.3 vous permet désormais de configurer Cisco Secure Desktop pour qu'il s'exécute sur des ordinateurs distants exécutant Microsoft Windows Vista. Auparavant, Cisco Secure Desktop était limité aux ordinateurs exécutant Windows XP ou 2000. Référez-vous à la section Nouvelle amélioration des fonctionnalités - Secure Desktop sur Vista des Notes de version pour Cisco Secure Desktop, version 3.3, pour plus d'informations.

Cet exemple couvre principalement l'installation et la configuration de CSD sur les clients ASA 5500 pour Windows. Des configurations facultatives pour les clients Windows CE, Mac et Linux sont ajoutées pour compléter.

CSD est utilisé en association avec la technologie VPN SSL (VPN SSL sans client, VPN SSL client léger ou client VPN SSL (SVC)). CSD ajoute de la valeur aux sessions sécurisées de la technologie VPN SSL.

Conditions préalables

Exigences

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

Configuration requise pour le périphérique ASA

• Cisco CSD version 3.1 ou ultérieure

• Logiciel Cisco ASA version 7.1.1 ou ultérieure

• Cisco Adaptive Security Device Manager (ASDM) version 5.1.1 ou ultérieure

  Remarque : CSD version 3.2 prend en charge uniquement ASA version 8.x

  Remarque : référez-vous à Autoriser l'accès HTTPS pour ASDM afin de permettre à l'ASA d'être configuré par l'ASDM.

Configuration requise pour les ordinateurs clients

• Les clients distants doivent disposer de privilèges d'administration locale ; cela n'est pas obligatoire, mais c'est fortement recommandé.

• Les clients distants doivent disposer de Java Runtime Environment (JRE) Version 1.4 ou ultérieure.

• Navigateurs clients distants : Internet Explorer 6.0, Netscape 7.1, Mozilla 1.7, Safari 1.2.2 ou Firefox 1.0

• Cookies activés et fenêtres publicitaires intempestives autorisées sur les clients distants

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Cisco ASDM version 5.2(1)

• Cisco ASA version 7.2(1)

• Cisco CSD Version-securedesktop-asa-3.1.1.32-k9.pkg

The information in this document was created from the devices in a specific lab environment. Tous les périphériques utilisés dans ce document ont commencé par une configuration effacée (par défaut). If your network is live, make sure that you understand the potential impact of any command. Les adresses IP utilisées dans cette configuration sont des adresses RFC 1918. Ces adresses IP ne sont pas autorisées sur Internet et ne doivent être utilisées que dans un environnement de laboratoire de test.

Conventions

Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Informations générales

CSD fonctionne avec la technologie VPN SSL, de sorte que le client sans client, le client léger ou le SVC doit être activé avant la configuration du CSD.

Diagramme du réseau

Différents emplacements Windows peuvent être configurés avec les aspects de sécurité complets de CSD. Macintosh, Linux et Windows CE n'ont accès qu'au Cache Cleaner et/ou à la navigation Web et à l'accès aux fichiers.

Ce document utilise la configuration réseau suivante :

Configurer CSD sur l'ASA pour les clients Windows

Configurez CSD sur l'ASA pour les clients Windows en cinq étapes principales :

• Obtenez, installez et activez le logiciel CSD sur Cisco ASA.

• Définissez les emplacements Windows.

• Définissez l'identification des emplacements Windows.

• Configurer les modules d'emplacement Windows

• Configurer les fonctionnalités d'emplacement Windows

• Configuration facultative pour les clients Windows CE, Macintosh et Linux.

Obtenir, installer et activer le logiciel CSD

Suivez ces étapes pour obtenir, installer et activer le logiciel CSD sur Cisco ASA.

1. Téléchargez les fichiers securedesktop-asa*.pkg et readme du logiciel CSD sur votre poste de gestion à partir du site Web de téléchargement de logiciels Cisco.

2. Connectez-vous à ASDM et cliquez sur le bouton Configuration. Dans le menu de gauche, cliquez sur le bouton CSD Manager, puis cliquez sur le lien Cisco Secure Desktop.

   

3. Cliquez sur Upload pour afficher la fenêtre Upload Image.

   1. Entrez le chemin d'accès du nouveau fichier .pkg sur la station de gestion ou cliquez sur Browse Local Files pour localiser le fichier.

   2. Entrez l'emplacement sur la mémoire flash dans lequel placer le fichier ou cliquez sur Browse Flash.

   3. Cliquez sur Upload File.

   4. Lorsque vous y êtes invité, cliquez sur OK > Close > OK.

   

4. Une fois l'image client téléchargée sur flash, cochez la case Enable SSL VPN Client, puis cliquez sur Apply.

5. Cliquez sur Save, puis sur Yes pour accepter les modifications.

Définir des emplacements Windows

Suivez ces étapes pour définir les emplacements Windows.

1. Cliquez sur le bouton Configuration.

2. Dans le menu de gauche, cliquez sur le bouton CSD Manager, puis cliquez sur le lien Cisco Secure Desktop.

3. Dans le volet de navigation, cliquez sur Paramètres d'emplacement Windows.

4. Tapez un nom d'emplacement dans le champ Emplacement à ajouter et cliquez sur Ajouter.

   Notez les trois emplacements de cet exemple : Bureau, Domicile et Autres.

   • Office représente les stations de travail situées à l'intérieur de la limite de sécurité de l'entreprise.

   • Accueil représente les utilisateurs qui travaillent à domicile.

   • Autre représente tout emplacement autre que les deux emplacements mentionnés.

   

5. Créez vos propres sites en fonction de la configuration de votre architecture réseau pour les commerciaux, les invités, les partenaires et autres.

6. Lorsque vous créez des emplacements Windows, le volet de navigation se développe avec des modules configurables pour chaque nouvel emplacement. Cliquez sur Apply All.

7. Cliquez sur Save, puis sur Yes pour accepter les modifications.

Identification de l'emplacement Windows

Suivez ces étapes pour définir l'identification d'emplacement Windows.

1. Identifiez les emplacements créés dans Définir des emplacements Windows.

   

2. Pour identifier l'emplacement Office, cliquez sur Office dans le volet de navigation.

   1. Désélectionnez Secure Desktop et Cache Cleaner car il s'agit d'ordinateurs internes.

   2. Cochez Enable identification using IP Criteria.

   3. Saisissez les plages d'adresses IP de vos ordinateurs internes.

   4. Cochez Activer l'identification à l'aide des critères de registre ou de fichier. Cela différencie les employés internes des invités occasionnels sur le réseau.

   

3. Cliquez sur Configurer les critères. Un exemple simple de fichier "DoNotDelete.txt" est configuré. Ce fichier doit exister sur vos ordinateurs Windows internes et n'est qu'un espace réservé. Vous pouvez également configurer une clé de registre Windows pour identifier les ordinateurs internes du bureau. Cliquez sur OK dans la fenêtre Ajouter un critère de fichier. Cliquez sur OK dans la fenêtre Critères de registre et de fichier.

   

4. Cliquez sur Apply All dans la fenêtre Identification for Office. Cliquez sur Save, puis sur Yes pour accepter les modifications.

5. Pour identifier l'emplacement Accueil, cliquez sur Accueil dans le volet de navigation.

   1. Cochez Activer l'identification à l'aide des critères de registre ou de fichier.

   2. Cliquez sur Configurer les critères.

   

6. Les clients de l'ordinateur personnel doivent avoir été configurés avec cette clé de Registre par un administrateur. Cliquez sur OK dans la fenêtre Ajouter un critère de registre. Cliquez sur OK dans la fenêtre Critères de registre et de fichier.

   

7. Sous Module de localisation, cochez Secure Desktop. Cliquez sur Apply All dans la fenêtre Identification for Home. Cliquez sur Save, puis sur Yes pour accepter les modifications.

8. Pour identifier l'emplacement Other, cliquez sur Other dans le volet de navigation.

   1. Cochez uniquement la case Nettoyeur de cache et décochez toutes les autres cases.

   2. Cliquez sur Apply All dans la fenêtre Identification for Other.

   3. Cliquez sur Save, puis sur Yes pour accepter les modifications.

   

Configurer le module Emplacement Windows

Suivez ces étapes pour configurer les modules sous chacun des trois emplacements que vous avez créés.

1. Pour les clients Office, n'effectuez aucune action, car Secure Desktop et Cache Cleaner n'ont pas été sélectionnés dans les étapes précédentes. L'application ASDM vous permet de configurer le Cache Cleaner même s'il n'a pas été choisi dans une étape précédente. Conservez les paramètres par défaut des emplacements Office.

   Remarque : la stratégie de fonctionnalité VPN n'est pas abordée dans cette étape, mais elle le sera dans une étape ultérieure pour tous les emplacements.

2. Pour les clients Home, cliquez sur Home et Keystroke Logger dans le volet de navigation.

   1. Dans la fenêtre Enregistreur de frappe, cochez la case Vérifier les enregistreurs de frappe.

   2. Cliquez sur Apply All dans la fenêtre Enregistreur de frappe.

   3. Cliquez sur Save, puis sur Yes pour accepter les modifications.

   

3. Sous Accueil, choisissez Nettoyeur de cache et les paramètres adaptés à votre environnement.

   

4. Sous Accueil, choisissez Secure Desktop General et les paramètres adaptés à votre environnement.

   

5. Sous Accueil, sélectionnez Paramètres du Bureau sécurisé.

   1. Cochez la case Allow email applications to work transparent, et configurez les autres paramètres en fonction de votre environnement.

   2. Cliquez sur Apply All.

   3. Cliquez sur Save, puis sur Yes pour accepter les modifications.

   

Configuration des fonctionnalités d'emplacement Windows

Configurez la stratégie de fonctionnalité VPN pour chacun des emplacements que vous avez créés.

1. Dans le volet de navigation, cliquez sur Office, puis sur VPN Feature Policy.

2. Cliquez sur l'onglet Group-Based Policy.

   1. Activez la case d'option Toujours utiliser la stratégie de groupe Réussite.

   2. Cliquez sur l'onglet Navigation Web et cochez la case d'option Toujours activé.

   3. Suivez la même procédure pour les onglets File access, Port forwarding et Full tunneling.

   4. Cliquez sur Apply All.

   5. Cliquez sur Save, puis sur Yes pour accepter les modifications.

   

3. Pour les particuliers, chaque entreprise peut exiger des politiques spécifiques avant d'autoriser l'accès. Dans le volet de navigation, cliquez sur Home, puis sur VPN Feature Policy.

   1. Cliquez sur l'onglet Group-Based Policy.

   2. Cliquez sur la case d'option Utiliser la stratégie de groupe de réussite si les critères préconfigurés correspondent, tels qu'une clé de Registre spécifique, un nom de fichier connu ou un certificat numérique.

   3. Cochez la case Location Module et choisissez Secure Desktop.

   4. Choisissez les zones Anti-Virus, Anti-Spyware, Firewall et OS conformément à la politique de sécurité de votre entreprise. Les utilisateurs à domicile ne seront pas autorisés à accéder au réseau à moins que leurs ordinateurs ne répondent à vos critères configurés.

   

4. Dans le volet de navigation, cliquez sur Other, puis sur VPN Feature Policy.

   1. Cliquez sur l'onglet Group-Based Policy.

   2. Activez la case d'option Toujours utiliser la stratégie de groupe Réussite.

   

5. Pour les clients de cet emplacement de stratégie de fonctionnalité VPN, cliquez sur l'onglet Web Browsing, puis sur la numérotation radio Always Enabled.

   1. Cliquez sur l'onglet File Access, puis sur la case d'option Disable.

   2. Répétez l'étape avec les onglets Port Forwarding et Full Tunneling.

   3. Cliquez sur Apply All.

   4. Cliquez sur Save, puis sur Yes pour accepter les modifications.

   

Configurations facultatives pour les clients Windows CE, Macintosh et Linux

Ces configurations sont facultatives.

1. Si vous choisissez Windows CE dans le volet de navigation, cochez la case Navigation Web.

   

2. Si vous choisissez Mac and Linux Cache Cleaner dans le volet de navigation, cochez la case Launch cleanup upon global timeout radio dial.

   1. Modifiez le délai d'attente en fonction de vos spécifications.

   2. Dans la zone VPN Feature Policy, vérifiez les numéros radio de navigation Web, d'accès aux fichiers et de transfert de port pour ces clients.

   

3. Que vous choisissiez Windows CE ou Mac et Linux Cache Cleaner, cliquez sur Apply All.

4. Cliquez sur Save, puis sur Yes pour accepter les modifications.

Configurer

Configuration

Cette configuration reflète les modifications apportées par l'ASDM pour activer CSD : la plupart des configurations CSD sont conservées dans un fichier distinct sur la mémoire flash.

ciscoasa#show running-config 
 Building configuration...
ASA Version 7.2(1) 

!

hostname ciscoasa

domain-name cisco.com

enable password 2KFQnbNIdI.2KYOU encrypted

names

!

interface Ethernet0/0

 nameif outside

 security-level 0

 ip address 172.22.1.160 255.255.255.0 

!

interface Ethernet0/1

 nameif inside

 security-level 100

 ip address 10.2.2.1 255.255.255.0 

!

interface Ethernet0/2

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Management0/0

 shutdown

 no nameif

 no security-level

 no ip address

 management-only

!

passwd 2KFQnbNIdI.2KYOU encrypted

ftp mode passive

dns server-group DefaultDNS

 domain-name cisco.com

no pager

logging enable

logging asdm informational

mtu outside 1500

mtu inside 1500


!--- ASDM location on disk0


asdm image disk0:/asdm521.bin

no asdm history enable

arp timeout 14400

nat-control

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout uauth 0:05:00 absolute

!--- some group policy attributes

group-policy GroupPolicy1 internal

group-policy GroupPolicy1 attributes

 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn

 webvpn

  functions url-entry file-access file-entry file-browsing

username user1 password mbO2jYs13AXlIAGa encrypted privilege 15

username user1 attributes

 vpn-group-policy GroupPolicy1

username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15

username cisco attributes

 vpn-group-policy DfltGrpPolicy

 webvpn

  port-forward none

  port-forward-name value Application Access

http server enable

http 10.2.2.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

!--- tunnel group information

tunnel-group DefaultWEBVPNGroup general-attributes

 default-group-policy GroupPolicy1

tunnel-group DefaultWEBVPNGroup webvpn-attributes

 hic-fail-group-policy GroupPolicy1

 nbns-server 10.2.2.30 timeout 2 retry 2

telnet timeout 5

ssh timeout 5

console timeout 0

!

class-map inspection_default

 match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

 parameters

  message-length maximum 512

policy-map global_policy

 class inspection_default

  inspect dns preset_dns_map 

  inspect ftp 

  inspect h323 h225 

  inspect h323 ras 

  inspect netbios 

  inspect rsh 

  inspect rtsp 

  inspect skinny 

  inspect esmtp 

  inspect sqlnet 

  inspect sunrpc 

  inspect tftp 

  inspect sip 

  inspect xdmcp 

!

service-policy global_policy global

!--- webvpn parameters

webvpn

 port 1443

 enable outside

 enable inside

!--- csd location

 csd image disk0:/securedesktop-asa-3.1.1.32-k9.pkg

 csd enable

 customization DfltCustomization

  title text YOUR-COMPANY SSL VPN Services

  title style background-color: rgb(204,204,255);color: rgb(51,0,255);

  border-bottom:5px groove #669999;font-size:larger;vertical-align:middle;text-align:

  left;font-weight:bold

 url-list ServerList "Windows Shares" cifs://10.2.2.30 1

 url-list ServerList "Tacacs Server" http://10.2.2.69:2002 2

 tunnel-group-list enable

prompt hostname context 

Cryptochecksum:a840d81f0af21d869db4fa559e83d6d0

: end
 !
 end

Vérifier

Utilisez cette section pour confirmer que vos configurations pour le VPN SSL sans client, le VPN SSL client léger ou le client VPN SSL (SVC) fonctionnent correctement.

Testez CSD avec un PC qui a été configuré avec différents emplacements Windows. Chaque test doit fournir un accès différent conformément aux stratégies que vous avez configurées dans l'exemple ci-dessus.

Vous pouvez modifier le numéro de port et l'interface sur laquelle Cisco ASA écoute les connexions WebVPN.

• Le port par défaut est 443. Si vous utilisez le port par défaut, l'accès est https://ASA IP Address.

• L'utilisation d'un port différent modifie l'accès à https://ASA IP Address:newportnumber.

Commandes

Plusieurs commandes show sont associées à WebVPN. Vous pouvez exécuter ces commandes dans l’interface de ligne de commande (CLI) afin d’afficher les statistiques et autres informations. Pour voir l'utilisation des commandes show en détail, référez-vous à Vérification de la configuration de WebVPN.

Remarque : l'outil Output Interpreter Tool (réservé aux clients enregistrés) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Si vous rencontrez des problèmes avec le client distant, vérifiez les points suivants :

1. Les fenêtres publicitaires intempestives, Java et/ou ActiveX sont-elles activées dans le navigateur Web ? Il peut être nécessaire de les activer en fonction du type de connexion VPN SSL utilisée.

2. Le client doit accepter les certificats numériques présentés au début de la session.

Commandes

Plusieurs commandes debug sont associées à WebVPN. Pour des informations détaillées sur ces commandes, référez-vous à Utilisation des commandes de débogage WebVPN..

Remarque : l'utilisation des commandes debug peut avoir un impact négatif sur votre périphérique Cisco. Avant d'utiliser les commandes debug , référez-vous à la section Informations importantes sur les commandes Debug.

Informations connexes

• Dispositifs de sécurité adaptatifs de la gamme Cisco ASA 5500
• Exemple de configuration d'ASA avec WebVPN et authentification unique à l'aide d'ASDM et de NTLMv1
• Assistance et documentation techniques - Cisco Systems