Mô tả: SSL VPN cung cấp giải pháp truy cập từ xa, cho phép người dùng bên ngoài có thể sử dụng tài nguyên được bảo vệ một cách bảo mật thông qua SSL.. WEBVPN có 3 mode hoạt động: Client
Trang 1SSL VPN với Clientless
I Mô tả:
SSL VPN cung cấp giải pháp truy cập từ xa, cho phép người dùng bên ngoài có thể sử dụng tài nguyên được bảo vệ một cách bảo mật thông qua SSL Giải pháp này cho phép truy cập tài nguyên từ nhiều vị trí mà không cần sử dụng tiện ích VPN Client SSL VPN hay còn gọi là WEBVPN cho phép sử dụng những dịch vụ VPN thông qua giao diện WEB Và router sẽ đóng vai trò như proxy để chuyển những kết nối từ bên ngoài vào tài nguyên bên trong
WEBVPN có 3 mode hoạt động:
Clientless: Những dịch vụ bao gồn HTTP và chia sẽ file
Thin Client: Với tính năng port-forwarding cho phép những dịch vụ TCP (với port không thay
đổi) như: http, smtp, pop3, imap, telnet
Tunnel mode: Hoạt động tương tự như IPSec VPN với việc thiết lập tunnel cho phép tất cả dịch
vụ có thể được sử dụng
Trong bài tập này sử dụng Clientless để thực hiện SSL VPN đảm bảo người dùng bên ngoài có
thể sử dụng được dịch vụ http và chia sẽ file
II Cấu hình
Xác định phương thức xác thực
GATEWAY(config)#aaa new-model
GATEWAY(config)#aaa authentication login SSL local
Cấu hình Webvpn Gateway (hoạt động tương tự như proxy cho những kết nối đến tài nguyên được bảo vệ)
GATEWAY(config)#webvpn gateway SSLVPN
% Generating 1024 bit RSA keys, keys will be non-exportable [OK]
Địa chỉ mà có thể truy cập từ bên ngoài
GATEWAY(config-webvpn-gateway)#ip address 150.1.1.1
Kích hoạt dịch vụ
GATEWAY(config-webvpn-gateway)#inservice
Cấu hình Webvpn Context ( Tương tự như profile cho việc xác định chính sách)
GATEWAY(config)#webvpn context WEBVPN
GATEWAY(config-webvpn-context)#aaa authentication list SSL
Kích hoạt dịch vụ
GATEWAY(config-webvpn-context)#inservice
Trang 2GATEWAY(config-webvpn-context)#gateway SSLVPN
Cấu hình url-list ( sử dụng dịch http)
GATEWAY(config-webvpn-context)#url-list WEB_URL
GATEWAY(config-webvpn-url)#url-text Internal_Website url-value http://192.168.1.2
Cấu hình cifs-url-list (sử dụng dịch chia sẽ file)
GATEWAY(config-webvpn-context)#cifs-url-list FILE_URL
GATEWAY(config-webvpn-cifs-url)#url-text Internal_File url-value cifs://192.168.1.2
Xác định NBNS
GATEWAY(config-webvpn-context)#nbns-list NBNS
GATEWAY(config-webvpn-nbnslist)#nbns-server 192.168.1.2
Cấu hình chính sách nhóm
GATEWAY(config-webvpn-context)#policy group ADMIN
GATEWAY(config-webvpn-group)#url-list WEB_URL
GATEWAY(config-webvpn-group)#cifs-url-list FILE_URL
Xác định chức năng cho chia sẽ file
GATEWAY(config-webvpn-group)#functions file-access
GATEWAY(config-webvpn-group)#functions file-browse
GATEWAY(config-webvpn-group)#nbns-list NBNS
Mặc định ta sẽ có phần “textbox” để nhập đường link cho web, tuy nhiên vì lý do bảo mật, phần
“textbox” này có thể được ẩn đi
GATEWAY(config-webvpn-group)#hide-url-bar
Gán chính sách nhóm vào Context
GATEWAY(config-webvpn-context)#default-group-policy ADMIN
III Cấu hình đầy đủ
GATEWAY
Building configuration
Current configuration : 3200 bytes
!
hostname GATEWAY
!
aaa new-model
!
aaa authentication login SSL local
!
crypto pki trustpoint TP-self-signed-1769152701
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1769152701
Trang 3revocation-check none
rsakeypair TP-self-signed-1769152701
!
crypto pki certificate chain TP-self-signed-1769152701
certificate self-signed 01
3082023F 308201A8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
quit
!
username ssix password 0 ssix
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 150.1.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/3/0
no ip address
shutdown
no fair-queue
clock rate 2000000
!
ip route 0.0.0.0 0.0.0.0 150.1.1.2
!
webvpn gateway SSLVPN
ip address 150.1.1.1 port 443
ssl trustpoint TP-self-signed-1769152701
inservice
!
webvpn context WEBVPN
ssl authenticate verify all
!
url-list "WEB_URL"
url-text "Internal_Website" url-value "http://192.168.1.2"
!
nbns-list "NBNS"
nbns-server 192.168.1.2
!
cifs-url-list "FILE_URL"
url-text "Internal_File" url-value "cifs://192.168.1.2"
Trang 4!
policy group ADMIN
url-list "WEB_URL"
cifs-url-list "FILE_URL"
nbns-list "NBNS"
functions file-access
functions file-browse
hide-url-bar
default-group-policy ADMIN
aaa authentication list SSL
gateway SSLVPN
inservice
!
!
End
IV Kiểm tra
Đảm bảo trạng thái của Gateway và Context được UP
GATEWAY#sh webvpn gateway
Gateway Name Admin Operation
- - -
SSLVPN up up
GATEWAY#sh webvpn context
Codes: AS - Admin Status, OS - Operation Status
VHost - Virtual Host
Context Name Gateway Domain/VHost VRF AS OS
- - - - -
WEBVPN SSLVPN - - up up
Dùng trình duyệt WEB thực hiện kết nối Do hoạt động trên nền SSL nên sẽ yêu cầu chứng chỉ
để thực hiện việc xác thực Tuy nhiên ở PC chưa có chứng chỉ nên yêu cầu sự chấp nhận để cài đạt chúng chỉ
Trang 5Nhập thông tin người dùng được khai báo trên router thông qua aaa
Trang 6Lúc này có thể sử dụng được dịch vụ http hoặc chia sẽ file
Truy cập Web nội bộ thành công
Truy cập ứng dụng chia sẽ file Với thông tin người dùng được khai báo trên máy chủ mà thực hiện việc chia sẽ file
Trang 7Truy cập thành công thư mục chia sẽ
Có thể thực hiện những mọi thao tác với thư mục và file được chia sẽ