Cấu hình Cisco AnyConnect SSL VPN trên thiết bị tường lửa Firewall Cisco ASA

Các mạng riêng ảo và các dịch vụ VPN có nhiều loại, giống nhau về chức năng nhưng khác nhau về cách thiết lập. Trong bài viết này, chúng ta sẽ tìm hiểu về chức năng chung của công nghệ vpn truy cập từ xa mới, AnyConnect SSL VPN client của Cisco.

Cisco AnyConnect VPN được hỗ trợ trên phần mềm ASA 8.x mới và phiên bản mới hơn cung cấp quyền truy cập từ xa cho người dùng chỉ bằng một Trình duyệt web an toàn (https).

Phần mềm máy khách AnyConnect hỗ trợ Windows, MAC OS và Linux. Ứng dụng client có thể được cài đặt sẵn vào PC của người dùng từ xa hoặc có thể tải lên ASA flash và tải lên PC của người dùng từ xa khi họ kết nối với ASA. Bạn cũng có tùy chọn gỡ cài đặt ứng dụng client khỏi người dùng từ xa khi họ ngắt kết nối khỏi ASA.

Bài viết sẽ giải thích các chi tiết kỹ thuật để định cấu hình AnyConnect SSL VPN trên Firewal Cisco ASA . Giả sử rằng chúng ta sử dụng phiên bản máy khách AnyConnect 2.0 sẽ được lưu trữ trên ASA flash và được tải lên người dùng từ xa theo yêu cầu.

Cấu hình tương tự áp dụng cho các phiên bản mới hơn của AnyConnect. Người dùng từ xa, sau khi xác thực thành công, sẽ nhận được địa chỉ IP từ nhóm ASA cục bộ 192.168.100.1-50. Mạng ASA nội bộ sẽ sử dụng dải mạng con 192.168.5.0/24

Do đó, sau khi người dùng từ xa xác thực thành công trên Cisco ASA với máy khách AnyConnect, anh ta sẽ nhận được địa chỉ IP trong dải 192.168.100.1 đến 50 và anh ta sẽ có thể truy cập tài nguyên trong mạng LAN nội bộ 192.168.5.0/24.

​

Tải AnyConnect lên ASA (Upload AnyConnect to ASA)

Bước đầu tiên là tải phần mềm máy khách AnyConnect từ Trang web Cisco. Bạn sẽ cần tải xuống phiên bản phần mềm thích hợp theo Hệ điều hành mà người dùng của bạn có trên máy tính của họ.

Giả sử tệp khách hàng vpn của phần mềm là “anyconnect-win-2.0.0343-k9.pkg”.

ASA-TGM(config)# copy tftp flash
Address or name of remote host ? 192.168.5.10
Source filename ? anyconnect-win-2.0.0343-k9.pkg
Destination filename [anyconnect-win-2.0.0343-k9.pkg]?

Accessing tftp://192.168.5.10/anyconnect-win-2.0.0343-k9.pkg…!!!!!!!!!!!!!
Writing file disk0:/anyconnect-win-2.0.0343-k9.pkg…
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Cấu hình AnyConnect SSL VPN trên Firewall Cisco ASA (Configuring the Cisco ASA)

! Chỉ định phần mềm AnyConnect được người dùng tải xuống
ASA-TGM(config)#webvpn
ASA-TGM(config-webvpn)#anyconnect image disk0:/anyconnect-win-2.0.0343-k9.pkg 1

! Bật quyền truy cập AnyConnect trên giao diện ASA bên ngoài
ASA-TGM(config-webvpn)#enable outside
ASA-TGM(config-webvpn)#anyconnect enable
ASA-TGM(config-webvpn)#exit

! Tạo nhóm địa chỉ IP cục bộ để gán cho người dùng từ xa
ASA-TGM(config)# ip local pool SSLClientPool 192.168.100.1-192.168.100.50 mask 255.255.255.0

! Cấu hình miễn NAT cho lưu lượng giữa mạng LAN nội bộ và người dùng từ xa

Đối với Phiên bản ASA trước 8.3(cũ)

ASA-TGM(config)#access-list NONAT extended permit ip 192.168.5.0 255.255.255.0 192.168.100.0 255.255.255.0

ASA-TGM(config)# nat (inside) 0 access-list NONAT

Đối với ASA Phiên bản 8.3 trở lên (mới)

object network INSIDE-HOSTS
subnet 192.168.5.0 255.255.255.0
!
object network VPN-HOSTS
subnet 192.168.100.0 255.255.255.0
!
nat (inside,outside) source static INSIDE-HOSTS INSIDE-HOSTS destination static VPN-HOSTS VPN-HOSTS

! Tạo tên người dùng sẽ chỉ sử dụng quyền truy cập từ xa với AnyConnect
ASA-TGM(config)#username TGM1 password thegioimang123
ASA-TGM(config)#username TGM1 attributes
ASA-TGM(config-username)# service-type remote-access

ASA-TGM(config)#username TGM2 password thegioimang12345
ASA-TGM(config)#username TGM2 attributes
ASA-TGM(config-username)# service-type remote-access

! Tạo chính sách nhóm với các thông số cấu hình sẽ được áp dụng cho máy khách (có hai tùy chọn có sẵn ở đây theo phiên bản ASA bạn đang chạy)

OPTION 1
ASA-TGM(config)# group-policy SSLCLientPolicy internal
ASA-TGM(config)# group-policy SSLCLientPolicy attributes
ASA-TGM(config-group-policy)# dns-server value 192.168.5.100
ASA-TGM(config-group-policy)# vpn-tunnel-protocol svc
ASA-TGM(config-group-policy)# address-pools value SSLClientPool

OPTION 2
ASA-TGM(config)# group-policy SSLCLientPolicy internal
ASA-TGM(config)# group-policy SSLCLientPolicy attributes
ASA-TGM(config-group-policy)# dns-server value 192.168.5.100
ASA-TGM(config-group-policy)# address-pools value SSLClientPool
ASA-TGM(config-group-policy)# webvpn
ASA-TGM(config-group-webvpn))#vpn-tunnel-protocol svc

! Cho phép lưu lượng truy cập AnyConnect bỏ qua danh sách truy cập (ACL)
ASA-TGM(config)# sysopt connection permit-vpn

! Tạo profile nhóm đường hầm để xác định các thông số kết nối
ASA-TGM(config)# tunnel-group SSLClientProfile type remote-access
ASA-TGM(config)# tunnel-group SSLClientProfile general-attributes
ASA-TGM(config-tunnel-general)# default-group-policy SSLCLientPolicy
ASA-TGM(config-tunnel-general)# tunnel-group SSLClientProfile webvpn-attributes
ASA-TGM(config-tunnel-webvpn)# group-alias SSLVPNClient enable
ASA-TGM(config-tunnel-webvpn)# webvpn
ASA-TGM(config-webvpn)#tunnel-group-list enable

Kết nối AnConnect VPN từ người dùng

Người dùng chỉ cần mở trình duyệt và truy cập https: // [địa chỉ IP mặt ngoài ASA]

Màn hình đăng nhập được hiển thị như dưới đây:

​

Tong trường “Group”, nhập tên của nhóm đường hầm SSLClientProfile hoặc SSLVPNClient (tên bí danh của nhóm).

Trong trường " Username " và " Password ", hãy nhập thông tin đăng nhập của người dùng (ví dụ: TGM1, thegioimang123).

Cisco AnyConnect SSL VPN Client trên Firewall Cisco ASA

Sự tiện lợi và lợi thế an toàn của VPN đã thúc đẩy công nghệ phát triển liên tục.

Vài năm trước, chúng ta chỉ có IPSec VPN chuẩn hóa (vẫn tồn tại mạnh mẽ cho đến ngày nay). IPSec là một công nghệ VPN mạng IP thuần túy để kết nối các mạng LAN ở xa qua các đường dẫn không an toàn. Ngoài ra, IPSec được sử dụng cho các VPN máy khách kết nối nhân viên làm việc từ xa với mạng trang trung tâm của họ.

Đặc điểm của IPSec VPN là nó cung cấp kết nối mạng ĐẦY ĐỦ giữa các VPN ngang hàng. Nghĩa là, IPSec VPN client truy cập từ xa sẽ kết nối người dùng từ xa với mạng trung tâm giống như người dùng được kết nối cục bộ (LAN).

Sau IPsec, Web SSL VPN xuất hiện. Người dùng từ xa chỉ cần một Trình duyệt Web có HTTP để kết nối với mạng trung tâm. Sau khi xác thực, người dùng được hiển thị một cổng Web với các liên kết đến các ứng dụng mà anh ta được phép chạy.

Nghĩa là, Web SSL VPN không cung cấp khả năng hiển thị mạng đầy đủ cho người dùng từ xa. Người dùng chỉ có quyền truy cập vào các ứng dụng cụ thể (như email nội bộ, tệp nội bộ, v.v.). Cả IPSec VPN và SSL VPN đều được hỗ trợ bởi tường lửa Cisco ASA.

Thế hệ VPN truy cập từ xa mới nhất được cung cấp từ ứng dụng Cisco AnyConnect SSL VPN client. Điều này được hỗ trợ bởi Cisco ASA 8.x.

AnyConnect SSL VPN cung cấp các tính năng tốt nhất từ cả hai công nghệ VPN (IPSec và Web SSL).

Với AnyConnect, người dùng từ xa có đầy đủ kết nối mạng với site trung tâm. Ngoài ra, nó cung cấp sự tiện lợi của Web SSL vì không cần phải cài đặt vĩnh viễn ứng dụng IPSec VPN vào máy tính của người dùng.

Thay vào đó, có một ứng dụng SSL client được lưu trữ trong bộ nhớ flash ASA được tải xuống máy tính của người dùng từ xa theo yêu cầu.

Cách hoạt động của AnyConnect SSL VPN Client

Đối với kết nối người dùng lần đầu tiên, nhân viên làm việc từ xa chỉ mở trình duyệt trỏ tới https: // <địa chỉ IP public_mặt ngoài_ASA>.

Trình duyệt kết nối với tường lửa ASA và hiển thị cho người dùng một màn hình đăng nhập. Người dùng nhập thông tin đăng nhập của mình (username/password) và ASA xác định rằng người dùng chưa cài đặt ứng dụng khách SSL.

Do đó, nó đẩy ứng dụng SSL client đến máy tính của người dùng. Máy client tự cài đặt vào PC từ xa và thiết lập kết nối SSL VPN an toàn giữa người dùng từ xa và ASA.

Người dùng cũng được chỉ định một địa chỉ IP từ một nhóm địa chỉ được cấu hình trên ASA và có toàn quyền truy cập mạng vào site trung tâm. Khi kết nối SSL bị dừng, máy khách SSL sẽ tự gỡ cài đặt hoặc vẫn còn trên PC của người dùng (tùy thuộc vào cấu hình trên ASA).

Trong trường hợp máy client đã cài đặt trước đó, khi người dùng xác thực, công cụ bảo mật sẽ kiểm tra bản cài đặt của máy client và nâng cấp máy client nếu cần.

Ứng dụng AnyConnect SSL client có thể được tải xuống từ thiết bị bảo mật hoặc có thể được cài đặt thủ công trên PC từ xa bởi quản trị viên hệ thống.

Chúc các bạn thành công!

 

Cấu hình VPN SSL bằng ASDM trên Firewall Cisco ASA

Bài viết được thực hiện trên thiết bị Firewall Cisco ASA 5520

- Bước 1 : Cấu hình địa chỉ IP

Thiết lập IP DHCP cho máy tính và kết nối với Port MGMT của ASA

​

Vào trình duyệt web, nhập địa chỉ https://192.168.1.1/admin để vào trang chạy ASDM và chọn Install ASDM
Lưu ý : Nên cài Java JRE, JDK version 6, sử dụng trình duyệt IE bật compitibility view

​

Sau khi cài đặt, mở ASDM lên điền địa chỉ IP 192.168.1.1 và click OK (không cần username, password)

​

Đặt địa chỉ IP cho các cổng LAN và WAN

​

- Bước 2 : VPN SSL Wizard
Tạo VPN SSL bằng cách vào Menu Wizards-> SSL VPN Wizard

​

Chọn loại VPN SSL muốn tạo

​

Điền tên, và chọn cổng cho phép VPN SSL kết nối đến

​

Tạo User/Pass hoặc Group để người dùng có thể đăng nhập khi kết nối VPN

​

Điền tên để tạo Group Policy mới

​

Bạn có thể tạo các Bookmark để người dùng khi đang nhập vào sẽ dể dàng sư dụng các dịch vụ mà bạn tạo sẵn

​

Chọn Pool IP để cấp cho các User VPN truy cập từ xa

​

- Bước 3 : Kiểm tra

Kết nối máy tính với Port WAN của ASA, dùng trình duyệt web điền địa chỉ IP cổng WAN của ASA để đăng nhập VPN SSL (như ở ví dụ này là http://31.5.94.2 )

​

Đăng nhập thành công, xuất hiện các Bookmark đã tạo sẵn ta có thể click vào để dùng.

Các bước cấu hình của VPN SSL trên Firewall Cisco ASA đã xong, chúc các bạn cấu hình thành công !