ssl-vpn solutions cisco -...

SSL VPNSSL-VPNSolutions Cisco

Christophe Sarrazini@ [email protected]

© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1

Agenda:g

Introduction

Offre Cisco et architectures

Les différents modes d’accès

Mode Clientless

Port Forwarding et smart tunnel

Mode Tunnel

Securiser le poste de travail

Group Policy

Administration


Introduction à Secure Sockets Layer (SSL)( )

Protocole développé par Netscape pour protéger le commerce électroniquepp p p p p g q

Création d’un tunnel entre le navigateur et le serveur WEB.– le tunnel est authentifié et encrypté (DES, 3DES, AES)yp ( , , )– Intégré depuis 1994 dans les navigateurs

Il existe plusieurs versions: – La version 2.0 développée par Netscapepp p p– La version 3.0 qui est actuellement la plus répandue– La version 3.1 baptisée TLS (transport Layer Security, RFC 2246)

https://pUtilise normalement les ports :443, :80, ou :8080Un cadenas fermé sur le navigateur indique l’utilisation d’une session SSL


Fonctionnement de SSL

Définie pour:Définie pour:

Authentifier le serveur vis-à-vis du client

Sélectionner un algorithme de cryptage

A th tifi l li tAuthentifier le client vis-à-vis du serveur (optionnel)

Générer un secretGénérer un « secret partagé »

Établir une connexion SSL encryptéeSSL encryptée


SSL VPN et IPsec

Flexibilité de déploiement Flexibilité de déploiement -- solution simple à mettre en placesolution simple à mettre en place

SSL VPNSSL VPN IPSec VPNIPSec VPN

pp p pp p

Accès de n’importe ou à une liste d’applications définies en utilisant un navigateur WEB

Système de connexion robuste qui permet l’accès à toutes les applications de l’entreprise à partir d’un site distant

Traversée facile des FirewallPortail WEB pour l’accès aux applicationsPas de client à installer

Accès à toutes les applications et au type de traficLe client VPN permet un accès transparents aux applications

Les applications client/serveur nécessitent une applet spécifique.Accès transparent aux applications en mode tunnel

Fonctionnalités maximales pour les postes concernés

Transport sécurisé voix et données

HTTP (TCP 80)HTTPS (TCP443)

ESP (Prot 50)IKE (UDP 500)ESP/UDP (UDP 4500)


HTTPS (TCP443)ou (TCP xxx)

ESP/UDP (UDP 4500)IPSec/TCP (TCP xxx)

Agenda:g

Introduction



Mode Clientless


Mode Tunnel


Group Policy

Administration


Les solutions VPN SSL Cisco

Concentrateurs VPN 3000 (50-500 clients)Gamme ASAGamme ASA(25-5000 clients)

Blade SSL-VPN Catalyst 65xx Equipements IOS (10-200 clients)Blade SSL VPN Catalyst 65xx(8000 clients)

q p ( )


Gamme ISR et modules AIM-VPN/SSL

M d l / Ci Ci Ci 2811 Ci Ci Ci CiModules / ISR

Cisco 1841

Cisco 2801

Cisco 2811 Cisco 2821

Cisco 2851

Cisco 3825

Cisco 3845

AIM-VPN/SSL1

50 users / 5 Mbps

- - - - - -p

AIM-VPN/SSL2

- 50 users / 5 Mbps

75 users / 5 Mbps

100 users / 10 Mbps

150 users / 14 Mbps

- -

AIM- - - - - - 175 users / 200 users / VPN/SSL3 20 Mbps 26 Mbps


Gamme ASA / VPN

ASA 5505 ASA 5510 ASA 5520 ASA 5540 ASA 5550

Débit VPN 100 Mbps 170 Mbps 225 Mbps 325 Mbps 425 Mbps

Sessions IPSec max

25 250 750 5 000 5 000IPSec max

Sessions SSL max

25 250 750 2 500 5 000


Architectures d’accès traditionnelle

IPSec VPN Cluster

IPSec Remote Access

Firewall Dedicated to VPN Traffic

SSL VPN Remote Access

SSL VPN Cl t IPS D di t d t

Load Balancer

Extranet: BusinessPartner Access

SSL VPN Cluster IPS Dedicated to VPN Traffic

Remote Office Site-to-Site VPN

Extranet Partner Remote Access

Site-to-Site Remote Access


Mise en place d’un cluster : load balancingg

10.10.1.X

.1

124.118.24.X

.31

Le client demande une connexion IPSec ou SSL au 124.118.24.50

Le Master du Cluster répond avec 124.118.24.33 (Concentrateur le moins chargé)

Le Client se connecte en IPSec ou SSL au 124 118 24 33

.2

3

.32

33

Le Client se connecte en IPSec ou SSL au 124.118.24.33

Internet.3

.4

.33

.34

Internet

Adresse IP virtuelle du cluster = 124.118.24.50

Master du clusterMaster du cluster

• Le Master est sélectionné en fonction :• Premier à démarrer• Priorité ( 1 à 10 )


Priorité ( 1 à 10 )• Adresse IP la plus basse

Agenda:g

Introduction



Mode Clientless


Mode Tunnel


Group Policy

Administration


Des besoins d’accès variés

EmployésAccès comme au bureau

Travailleurs mobilesAccès à partir de différents équipements(PDA, Cyber café, Hotel, bornes internet …)

PartenairesAccès requis vers desApplications spécifiquesApplications spécifiques

Consultants, Temporaires Grande variation

des besoins

Home OfficeAccès comme sur le LAN

Les besoins de déploiement VPN varient énormément


en fonction des utilisateurs, de la location, du poste de travail et de divers critères

Adapter les moyens d’accès aux utilisateursp y

EmployésPoste standard maitrisé

travailleurs mobilesEquipements & locations variés,

Problème de sécurité

PartenairesPoste non maitrisé, Accès limité,

Poste standard maitrisé

,ProblématiqueDe supportConsutants, Temporaires

Poste maitrisé ou pas, accès limité

Home OfficePoste standard maitrisé

accès limité


Les différents mode d’accèsASA

ServeurIntranet

Utilisateurdistant Intranetdistant

Connexion 1 PC -> ASA Connexion 2 ASA->applicatifs HTTP HTTPSFTPSSL

Parsing des pages pour sa présentation par l’ASA

Clie

ntle

ss FTPCIFSSMTP,POP3IMAP4Citrixtelnet, SSHParsing des pages pour sa présentation par l ASA ,RDP, VNC

Tunnel SSL Accès aux applications TCP (port fixe)java applet

war

ding

ApplicationsTCPpp (p )

Loopback Déclaration des serveurs / applisPort

For

w TCP….

Tunnel SSL Accès directe aux applications

Client complet

de T

unne

l

Illimité…..


@ip du réseau interneMod

Gestion des modes d’accès (1/2)( )

Vlan x

Poste de l’entreprise

Mode Tunnel

Vlan y

EmployéDe

L’Entreprisep

Mode clientless

Poste Externe


Gestion des modes d’accès (1/2)( )

Vlan x

Poste de l’entreprise

Mode Tunnel

Vlan y

Partenaire, externe

Mode clientless

Poste Externe


Agenda:g

Introduction



Mode Clientless


Mode Tunnel


Group Policy

Administration


Mode Clientless (proxy)(p y)

ASA 5500

• Interface Web pour un accès complet aux ressources du réseau de l’entreprise• Compatibilité avec les pages HTML complexes, y compris avec ActiveX, Java• Support de navigateurs multiples• Portail customizable par groupe d’utilisateurs• Protocoles supportés : HTTP HTTPS CIFS FTP SMTP POP3 IMAP


Protocoles supportés : HTTP, HTTPS, CIFS, FTP, SMTP, POP3, IMAP• Et avec les plugins : Remote Desktop, VNC, Citrix, Telnet, SSH

Clavier graphique8.0g p q

Option de clavier graphique pour la page deOption de clavier graphique pour la page de login et les diverses authentification.

Protection contre les keyloggers


Portail utilisateur personnalisablep

Titre

Menu

Liens

Images, Flux RSS, Code


HTML, Texte …

Portail d’accès8.0

Les droits d’accès aux ressources changent en fonction des utilisateurs et des groupes de policyListe de liens http https ftp cifsListe de liens http, https, ftp, cifsAccès aux fichiers de l’intranet avec drag and dropApplet pour l’accès telnet, SSH, RDP, VNC, CitrixFlux RSS

Logo personnalisable

Titre personnalisable

Accès aux f ti

Saisie des liens

fonctions

Liens pré-définis


Accès aux applis supplémentaires

“plugins”

Personalisation du portail8.0p

Le Portail Web est entièrement personnalisable par groupes ou p p g putilisateurs

Les droits d’accès aux ressources changent en fonction des tili tutilisateurs

Zone d’édition

Sélection de la zone à

personnaliser

Pré-visualisation


Liste des serveurs

Chaque groupe dispose d’une liste de lien qui serontChaque groupe dispose d une liste de lien qui seront présentés aux utilisateurs :


Barre d’outils8.0

HomeHome

Nouveau lien

DéconnexionDéplacerbarre


Application Proxy pour HTTP/HTTPSApplication Proxy pour HTTP/HTTPS

La connexion client est protégée par SSL le serveur est utilisé en p g pproxy applicatif

Deux connexion TCP et http sont utilisées seule la connexion client-concentrateur est protégée par SSLLe flux HTML est inspecté et modifié à la voléeLe flux HTML est inspecté et modifié à la volée

ServeurIntranet http

Utilisateurdistant

ASA

Intranet http

IP : 1 2 3 4

HTMLInspectionHTML HTML

IP : 1.2.3.4

HTTPSSL

TCP/IP

HTTPSSL

TCP/IP TCP/IP TCP/IP

HTTP HTTP


http://www.cisco.frhttps://1.2.3.4/http/0/www.cisco.fr

Accès aux Email via le WEB OWA/Inotes


Accès aux serveurs FTP8.0


Application Proxy CIFSpp y


Deux connexion TCP sont utilisées seule la connexion client-concentrateur est protégée par SSLLe concentrateur effectue une conversion entre le flux HTML et le flux

Serveur de Fichierde l’Intranet

Utilisateurdistant

Le concentrateur effectue une conversion entre le flux HTML et le flux CIFS utilisé pour le dialogue avec le serveur de fichier

ASA

de l Intranet

IP : 1 2 3 4

Convertisseur

HTML <-> CIFSHTML CIFS

IP : 1.2.3.4

HTTPSSL

TCP/IP

HTTPSSL

TCP/IP

SMB

TCP/IP

SMB

TCP/IP

© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 29SMB : Server Message BlockCIFS : Common Internet File System

Accès aux Fichiers : CIFS


Les PluginsgSupport de plugins java

Cit i M t f (i )- Citrix Metraframe (ica)- VNC

Remote Desktop- Remote Desktop- Telnet- SSHSSH


Telnet/SSH8.0


RDP / VNC8.0


Accès aux Emails en mode proxy


La connection SSL est établie directement entre le client email (Eudora, Outlook ….) et le concentrateur.A la première connexion le logiciel lient doit accepter le certificat du

Serveur de messagerie

Utilisateurdistant

A la première connexion le logiciel lient doit accepter le certificat du concentrateur

Concentrateur

IP : 1 2 3 4

Convertisseur

HTML <-> CIFSHTML

SMTPS

CIFS

IP : 1.2.3.4

SMTPSPOP3SIMAP4S

TCP/IP

SMTPSPOP3SIMAP4S

TCP/IP

SMTPPOP3IMAP4

TCP/IP

SMTPPOP3IMAP4

TCP/IP

© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 34SMB : Server Message BlockCIFS : Common Internet File System

Accès aux Emails en mode Proxyy


Accès aux Emails en mode proxyp y

Une reconfiguration du client est nécéssaire pour le support de ssl et l’utilisation de l’ASA en proxyl utilisation de l ASA en proxy

Adresse Email de l’utilisateur

Adresse IP de l’ASA

Login name = concentrateur_username:email_user_name

@server_name*

Adresse IP de l’ASA


* Si l’username pour Email et concentrateur est identique en saisir un seulexemple avec Eudora

Accès aux Emails en mode proxySSL pour la connexion vers le concentrateurp

Utiliser SSLOutlook Express

Eudora


Utiliser SSL

Agenda:g

Introduction



Mode Clientless


Mode Tunnel


Group Policy

Administration


Exemple : telnet vers un host interne

Poste clientC t t

Connexion SSL jusqu’au Concentrateur

Javaapplet

Concentrateur

Loopback

Telnet A.B.C.D

net S

erve

ur_1

127.0.0.x serveur 1

Programmeclient

Teln

_

Telnet Serveur_1 (@IP : A.B.C.D)

clientServeur_1 (@IP:A.B.C.D)

L’applet java :1 Modifie le fichier hosts pour ajouter le serveur avec comme @IP 127 0 0 x


1. Modifie le fichier hosts pour ajouter le serveur avec comme @IP 127.0.0.x2. Redirige les connexions vers les @IP 127.0.0.x vers le tunnel le tunnel SSL

Redirection de ports : lancement de l’appletpp

Fichier Host local127.0.0.1 localhost1 – L’applet n’est pas démarré, le fichier host est intact

2 – L’applet est lancée, le fichier host est sauvegardédans host.webvpn, le fichier host est modifié

127.0.0.1 localhost127.0.0.2 test-win2003127.0.0.3 win2000-serveur127.0.0.4 linux

Nom du servicePort local Port distant

Octets in/out


127.0.0.1 localhost1 – L’applet est stoppée, le fichier host restitué

Configuration du port Forwardingg p g

Liste de services

Port tcp coté utilisateur

Nom du serveur

utilisateur

Port tcp coté serveur

Nom du service


Smart Tunnel8.0

Connexion Client less des applications TCP windock2Connexion Client-less des applications TCP windock2

L’’ASA est en mode proxy

Identification des application son nom sur le poste de travail et viaIdentification des application son nom sur le poste de travail et via un checksum (sha-1)

Exemple pour outlook, outlook express, Lotus sametime ….p p , p ,

Pas de droits administrateurs nécéssaires

Windows 2000 ou WIndowsXP avec un navigateur avec java et/ouWindows 2000 ou WIndowsXP avec un navigateur avec java et/ou activex.


Utilisation du Smart Tunnel8.0

Accès aux applications

ActivationDu

Smart tunnel


Utilisation du Smart Tunnel8.0

Liste des applications

Le smart tunnelEst activé


Mode Proxy : Contrôler les accèsyPermit http://intranet.cisco.com/publicPermit rdp://serveur.intra1.cisco.comLimiter les accès aux liens du portail pDeny http://intranet.cisco.com/privateDeny ica://metaframe1.cisco.com

Limiter les accès aux liens du portail

UtilisateurFiltrage niveau 7Filtrage niveau 7

• On peut limiter les accès aux liens présents sur le portailp p p• Si l’utilisateur peut saisir ces propres liens dans le portail, la mise en place d’un filtrage de niveau 7 permet de limiter ses accès


Agenda:g

Introduction



Mode Clientless


Mode Tunnel


Group Policy

Administration


VPN-SSL en mode Tunnel

Résultat de l’expérience Cisco dans le domaine du VPN et de

Fonctions Bénéfices

Résultat de l expérience Cisco dans le domaine du VPN et de l’encryption : Client léger, stable et simple à supporter

Permet un accès complet aux applications “comme en SEC” Moins de 250 Ko à télécharger sous la forme d’une applet Java, Active X ou .EXE

Téléchargement rapide du client

Plusieurs méthodes d’installation pour une meilleure compatibilité

Pas de reboot = utilisateur contentPas de reboot nécessaireLe client peut-être supprimé à la fin de la session ou installé de manière permanenteCompatible avec le Softphone Cisco pour le

Pas de reboot = utilisateur content

Aucune trace du client après la session pour plus de sécurité

Support des applications multimédiasp p psupport de la téléphonie sur IPCompatible Windows 2000 et XPCompression des données

pp pp

Administration centralisée

ASA 5500


VPN-SSL en mode TunnelL’interface

Statistiques

Le tunnel est monté

© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 48Téléchargements

Utilisation du split tunnelingp g

SiègeTunnel IPSEC

Siège

InternetPas de Split Tunneling:

Tout est envoyé dans le tunnel, plus d’accès local

ou direct à Internet

www.voila.fr Tunnel SEC ou SSL

Trafic en clair



SiègeTunnel IPSEC

Siège

InternetSplit tunneling limité :Accès au réseau local

Mais pas d’accès direct à internet

Tunnel SEC ou SSLwww.google.fr

direct à internet

Trafic en clair



SiègeTunnel IPSEC

InternetSplit Tunneling complet :Le trafic pour le siège est encrypté le reste passe en

clair

www.google.frTunnel IPSEC

Trafic en clairTrafic en clair


Mode tunnel : Contrôler les accès

Vlan x

UtilisateurFW, IPS, Antix

Vlan y

FW, IPS, AntixVlan z

Mapping VLAN

• L’utilisateur est associé à un groupe policy• L’asa permet de limiter les accès aux réseau (FW, IPS, Antix)


p ( )

Cisco Anyconnect VPN client8.0y

Cisco VPN Client (IPSec Client)SSL VPN Cli t (SVC)SSL VPN Client (SVC)Cisco AnyConnect VPN Client

– Mac OS X 10 4 ou + (power PC et Intel)– Mac OS X 10.4 ou + (power PC et Intel)– Win 2000 SP4, XP SP2, VISTA– Linux RedHat Version 6.2 ou + (Intel), ou libraries compatibles glibc 2 1 1 6 ou + avec kernel 2 2 12 ou + avec support TUNTAP2.1.1-6 ou +, avec kernel 2.2.12 ou + avec support TUNTAP.– Windows Mobile 5 pocket PC edition (Beta)–Optimized transport (DTLS)– Standalone mode (sans navigateur Web)– Start Before Login (SBL) pour Windows– Mise à disposition d’APIMise à disposition d API– Installation MSI– Accès aux ressources internes IPv6 (dans un tunnel IPv4)

S t d DTLS ( ti i ti l fl ibl à l l t )


– Support de DTLS (optimisation pour les flux sensibles à la latence) auto-dtection à la connexion (le protocole utilise UDP)

Cisco Anyconnect client8.0y


Cisco Anyconnect clienty


Agenda:g

Introduction



Mode Clientless


Mode Tunnel


Group Policy

Administration


Sécurisation du poste de travail pour les connexions WEB VPN

La technologie : VIRTUAL SECURE DESKTOPProtège les informations sécurisées

supprime : cookies, cache du navigateur / historique fichier en attachement des emails, etc. à la fin de la connexion SSL/VPN

Protège contre l’exploitation de ces informations et contre la pénétration du système

Le bureau virtuel sécurisé est transparent pour l’utilisateur et crée automatiquement un environnement sécurisé sous windows 2000 ou XPCisco Secure DesktopWindows 2000 or XP

L’utilisateur a toujours accès à l’ensemble des ressources de son PCToutes les applications et process qui tournent dans le bureau virtuel

Original User Desktop Temporary CSD Desktop

qsécurisé sont contrôlésLe bureau virtuel crée un file system encrypté à la volée et rien n’est écrit en clair sur le disque.


Cisco Secure DesktopPrincipe de fonctionnementp

SSL

SSL-VPNConcentrateur

1. Un utilisateur se connecte en SSL au concentrateur, Cisco Secure Desktop est alorsautomatiquement poussé sur le pc.

2. Secure Desktop contrôle l’environnement pour savoir si il doit démarrer ou pas. La présence de keylogger est testée.

3. Secure Desktop démarre et l’environnement sécurisé est créé.4. L’utilisateur se connecte dans l’environnement sécurisé5. L’accès aux ressources Web-VPN est activé en fonction des droits de l’utilisateur.


6. L’utilisateur se déconnecte le secure desktop détruit les données bit à bit, il se désinstalle.

Cisco Secure DesktopL’interface utilisateur


Définition des conditions de lancement

Poste du bureau

Poste d’un partenairePoste d un partenaire

Certificat présent ?

fichier présent ? Poste externe

Tests possiblesFichierClé de registreCertificatVersion de Windows


Adresse IP du réseau

Secure Desktop8.0p


Host assessment

Il existe plusieurs méthodes pour contrôler la conformité à la liti d é ité d’ t d t ilpolitique de sécurité d’un poste de travail.- NAC (network Access Control)- Host assessment intégré au secure Desktop

Methodes de contrôle

Ce qui est inspecté

Host assessment intégré au secure Desktop

Mode clientless Host assessment du Secure Destop

Politique NAC ou SD

Mode Tunnel IPSEC NAC Politique NACMode Tunnel IPSEC NAC Politique NAC

Mode Tunnel SSL NAC ou Host t d

OS, Antivirus, tiassessment du

Secure Destopantispyware, firewall, …

Pour avoir la liste des antivirus, antispyware et firewall supportés http://www.opswat.com/


, py pp p p

Advanced AssessmentModification des droits de l’utilisateur en fonction des éléments présents sur le

tposte :• Anti-spyware• Anti-virus• Application

Fi hi• Fichier• Politique NAC• OS• FW personnel

P é i• Process en mémoire• Base de registre


Agenda:g

Introduction



Mode Clientless


Mode Tunnel


Group Policy

Administration


Politique de sécuritéq

User policy Group policy DefaultGroup policy

• La policy la plus spécifique est prioritaire :• User > Group > Default

• Si aucune policy définie la default policy est active• Si aucune policy définie, la default policy est active

policy :Type de tunnels (IPSec WebVPN SSL tunnel L2TP IPSec)Type de tunnels (IPSec, WebVPN, SSL tunnel, L2TP-IPSec)Limites de connexions (nbr de tunnels, heures)Serveurs pour le mode tunnel : DNS, Netbios Configuration ipsec


Configuration client ipsecConfiguration WebVPN (modes, et paramètres)

Dynamic Access policyy p y

Policy prioritaire par rapport à toutes les autresPolicy prioritaire par rapport à toutes les autres.Host Assessment

Attributs de sélectionLDAP Radius CiscoLDAP, Radius, Cisco

Policy à appliquer


AAA : Authentification externe

RadiusTACACS+NT D iNT DomainEtrust Secure IDKerberosKerberosGénérique LDAP (Open LDAP, AD, …)HTTP


AAA autorisation : annuaire LDAPSolution traditionnelle :

- Importer le schéma Cisco dans l’annuairedn:

CN=cVPN3000-Access-Hours,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=comchangetype: addadminDisplayName: cVPN3000-Access-HoursattributeID: 1 2 840 113556 1 8000 795 2 1attributeID: 1.2.840.113556.1.8000.795.2.1attributeSyntax: 2.5.5.3cn: cVPN3000-Access-HoursinstanceType: 4isSingleValued: TRUElDAPDisplayName: cVPN3000-Access-HourslDAPDisplayName: cVPN3000 Access HoursdistinguishedName:CN=cVPN3000-Access-Hours,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=comobjectCategory:CN=Attribute-Schema,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=comobjectClass: attributeSchemajoMSyntax: 27name: cVPN3000-Access-HoursshowInAdvancedViewOnly: TRUE.....

- Utilisation des attributs Cisco pour paramétrer la politique de sécurité

- Un utilisateur externe est associé au groupe par l’attribut « vpn-group-policy »


- En cas d’utilisation d’un serveur Radius par l’attribut Radius CLASS attribut (25) dans le format « OU=GroupName »

Mapping des Attributs LDAPpp g

Mapping des attributs LDAP de l’entreprise sur les attributs CiCisco


Agenda:g

Introduction



Mode Clientless


Mode Tunnel


Group Policy

Administration


ASDM 6.0 : SSL VPN WizardASDM 6.0 : SSL VPN Wizard


ssl-vpn solutions cisco -...

Documents