Invest-currency.ru

Как обезопасить себя в кризис?
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Securepoint ssl vpn

SSL VPN – шаг вперед в технологии VPN сетей

VPN сети вошли в нашу жизнь очень серьезно, и я думаю, надолго. Данная технология используется как в организациях для объединения офисов в единую подсеть или для обеспечения доступа к внутренней информации мобильных пользователей, так и дома при выходе в интернет через провайдера. Можно с уверенностью сказать, что каждый из администраторов обязательно занимался настройкой VPN, как и каждый пользователь компьютера с выходом в интернет использовал данную технологию.

Фактически, в настоящий момент, очень сильно распространена технология IPSec VPN. Про нее написано много различных статей как технических, так и обзорно-аналитических. Но сравнительно недавно появилась технология SSL VPN, которая сейчас очень популярна в западных компаниях, но в России на нее пока не обратили пристального внимания. В этой статье я постараюсь описать, чем отличается IPSec VPN от SSL VPN и какие преимущества дает применение SSL VPN в рамках организации.

IPSec VPN — его преимущества и недостатки

В первую очер едь хотелось бы обратить внимание на определение VPN, наиболее распространенное – «VPN — это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, которым нет доверия» (©Check Point Software Technologies).

И действительно, в случае доверенных узлов применение IPsec VPN – это наиболее экономичный путь. Например, для соединения сетей удаленных офисов в единую корпоративную сеть не требуется прокладка или аренда выделенных линий, а используется сеть Интернет. В результате построения защищенных туннелей между доверяемыми сетями образуется единое IP-пространство.

А вот при организации удаленного доступа сотрудников IPsec-решения используются для ограниченного количества только доверенных устройств, например для ноутбуков корпоративных пользователей. Для применения IPsec VPN ИТ-служба должна установить и настроить на каждое доверенное устройство (с которого требуется обеспечить удаленный доступ) VPN-клиент, и поддерживать работу этого приложения. При инсталляции IPsec-решений необходимо учитывать их «скрытую» стоимость, связанную с поддержкой и сопровождением, так как для каждого типа мобильного клиента (ноутбук, PDA и др.) и каждого типа сетевого окружения (доступ через интернет-провайдера, доступ из сети компании-клиента, доступ с использованием адресной трансляции) требуется оригинальная конфигурация IPsec-клиента.

Помимо поддержки есть несколько очень важных проблем:

  • Не для всех доверенных мобильных устройств, используемых в компании есть VPN клиенты;
  • В различных подсетях, из которых производится доступ (например, корпоративная сеть партнера или заказчика) необходимые порты могут быть закрыты и требуется дополнительное согласование их открытия.

Таких проблем не возникает при использовании SSL VPN.

SSL VPN – алгоритм работы пользователя

Чтобы нете хническому специалисту было интересно читать дальше, опишу процесс использования SSL VPN обычным пользователем.

Предположим, вы находитесь в командировке, в вашей компании вам не смогли предоставить на время командировки ноутбук. Но вам необходимо:

  • Во время вашего отсутствия в офисе не выпадать из рабочего процесса;
  • Передавать и получать электронную почту;
  • Использовать данные из каких-либо бизнес систем, которые функционирую в вашей компании.

У вас под рукой в лучшем случае компьютер в сети организации, куда вы приехали в командировку, с доступом в Интернет только по протоколу http/https, в худшем случае – обычное Интернет-кафе в вашей гостинице.

SSL VPN успешно решает все эти задачи, причем уровень обеспечения безопасности будет достаточным, для работы с критичной информацией из Интернет кафе…
Фактически вы выполняете следующие действия:

  • Вам нужен только Интернет-обозреватель (Internet Explorer, FireFox и т.п.);
  • В Интернет-обозревателе набираете адрес SSL VPN устройства;
  • Далее автоматически скачивается и запускается Java апплет или ActiveX компонент, который предлагает вам аутентифицироваться;
  • После аутентификации автоматически применяются соответствующие политики безопасности:
    • выполняется проверка на вредоносный код (в случае обнаружения который блокируется);
    • создается замкнутая среда обработки информации – все данные (включая временные файлы), переданные из внутренней сети, после завершения сеанса будут удалены с компьютера, с которого осуществлялся доступ;
    • Также в процессе сеанса используются дополнительные средства защиты и контроля;
  • После успешного прохождения процедур безопасности вам становятся доступны все необходимые ссылки «в один клик мышкой»:
    • Доступ к файловым серверам с возможностью передачи файлов на сервер;
    • Доступ к Web-приложениям компании (например, внутренний портал, Outlook Web Access и т.п.);
    • Терминальный доступ (MS, Citrix);
    • Инструменты для администраторов (например, ssh консоль);
    • И, конечно, возможность полноценного VPN через https протокол (без необходимости предварительной установки и настройки VPN клиента) – конфигурация передается напрямую из офиса, в соответствии с аутентификационными данными.

Таким образом, применение SSL VPN решает несколько задач:

  • Значительное упрощение процесса администрирования и поддержки пользователей;
  • Организация защищенного доступа к критичной информации с недоверенных узлов;
  • Возможность применения на любых мобильных устройствах, а так же на любых компьютерах (включая интернет киоски) с выходом в Интернет (без предварительных установок и настроек специального программного обеспечения).

SSL VPN – производители и возможности

На рынке SSL VPN доминируют аппаратные решения. Среди поставщиков решений SSL VPN – все известные производители активного сетевого оборудования:

Среди программных реализаций специалисты компании «Алатус» выделяют решение на базе SSL Explorer компании 3SP Ltd, которое наиболее точно соответствует требованиям заказчиков.

Так же хотелось бы привести таблицу сравнения возможностей IPSec VPN и SSL VPN:

Securepoint SSL VPN Client

Professional

Client based on SSL-VPN. Manage complex encryption and authentication methods simply and clearly.

Free of charge

The Securepoint SSL VPN client is free of charge and is available with every Securepoint VPN and UTM product.

Premium-quality VPN-Clients are expensive — especially if the company network contains a large number of users. Securepoint has therefore developed a professional and free of charge openVPN-Client based on SSL-VPN for Windows. Over 30,000 downloads in the meantime also show the popularity of the Securepoint SSL VPN client. All Securepoint VPN and UTM-Gateways can of course be operated with the SSL VPN client easily. The complex encryption and authentication methods can be managed in a very simple and clear manner in combination with the Securepoint SSL VPN Client and the Securepoint UTM systems. Securepoint VPN and UTM solutions are of course compatible with all current VPN servers and VPN clients from third-parties such as NCP, Greenbow etc. and can be run with these fee-based VPN clients. Securepoint VPN and UTM products support the protocols: L2TP/PPTP, IPSec via X.509 certificate/IKE and preshared keys, SSL VPN (OpenVPN) and are Windows 7-ready with IKEv1 and IKEv2 support. With Securepoint you can order any type of VPN client and also use the Securepoint SSL VPN client.

Securepoint SSL VPN client is free

The Securepoint SSL VPN client is free of charge and is available on every Securepoint VPN and UTM product! The Securepoint SSL VPN client is easy to operate and can also be used with the competition’s VPN servers! Securepoint has for a long time advocated OpenVPN as a flexible alternative to IPSec-VPNs which are sometimes complex and characterised by interoperability issues. OpenVPN connections require just one freely selectable port (UDP or TCP), can be tunnelled by Internet proxies and firewalls without a problem and can be used for bug-proof communication against all Internet censorship, too.

Overview of the Securepoint SSL VPN client

The new, professional VPN-Client from Securepoint is free:

  • Configuration assistant, enables the simple creation of VPN connections
  • Automatic configuration in conjunction with Securepoint VPN-/UTM-Gateways; out-of-the-box VPN-Client can be downloaded from the VPN-/UTM-Gateway user website.
  • Administrator rights are not required on the computer
  • Clear user interface for managing large number of VPN connections
  • Multiple simultaneous VPN connections are possible
  • Start connection: An automatic dial-up is possible in combination with saving the user data
  • Automatic execution of programs if VPN tunnels are established
  • Log window to analyse traffic data / depending on the connection
  • Integration into system tray with status display
  • Importing configurations incl. Certificate Authority (CA), certificate, key and script file
  • Simple import of third-party openVPN configurations
  • Encrypted export of configurations
  • Saving user data (user name, password, PKCS12 password, HTTP proxy user, HTTP proxy password) AES encrypted
  • HTTP proxy with authentication (NTLM etc.)
  • PKCS12 handling and Windows path in the GUI
  • 32bit and 64bit TAP adapter installation and deinstallation from client
Читать еще:  Местозаполнитель в powerpoint 2020

VPN with OpenVPN

OpenVPN is a VPN solution that is based on SSL/TLS. OpenVPN uses the tried and tested — and classified as very secure — openSSL for encryption and authentication. This ensures that the highest security requirements can be realised. OpenVPN uses the robust User Datagram Protocol (UDP) as a transport protocol. The protocol overhead is very low and therefore has a very positive impact on VPN data throughput and performance. Securepoint OpenVPN uses the very secure authentication method with X.509 client certificates, which has been supported for years as standard by the Securepoint UTM solutions. The Securepoint OpenVPN-Client only requires a valid certificate to log on to the gateway here. The complex encryption and authentication methods can be managed in a very simple and clear manner in combination with the Securepoint OpenVPN-Client and the Securepoint UTM systems.

Securepoint supports the OpenVPN association and is a company member.

Download, Install, and Connect the Mobile VPN with SSL Client

The Mobile VPN with SSL software enables users to connect, disconnect, gather more information about the connection, and to exit or quit the client. The Mobile VPN with SSL client adds an icon to the system tray on the Windows operating system, or an icon in the menu bar on macOS. You can use this icon to control the client software.

To use Mobile VPN with SSL, you must:

The WatchGuard Mobile VPN with SSL client v11.10.4 or higher is a 64-bit application.

If you are unable to connect to the Firebox, or cannot download the installer from the Firebox, you can Manually Distribute and Install the Mobile VPN with SSL Client Software and Configuration File.

Client Computer Requirements

For information about which operating systems are compatible with your Mobile VPN with SSL Client, see the Operating System Compatibility list in the Fireware Release Notes.

To use the Mobile VPN with SSL client to connect, your computer must support TLS 1.1 or higher.

To upgrade the Mobile VPN with SSL Windows client, you must have administrator privileges.

  • If a minor version update is available, but you cannot update the client version, you can still connect to the VPN tunnel.
  • If a major version update is available, but you cannot update the client version, you cannot connect to the VPN tunnel.

In Fireware v12.5.3 or higher, if the client automatically detects that an upgrade is available, but you do not have administrator privileges, a message appears that tells you to contact your system administrator for assistance. If a minor version update is available, you can select the Don’t show this message again check box. This check box does not appear if a major version update is available.

In Fireware v12.5.2 or lower, if the client automatically detects that an upgrade is available, a message appears that asks you to upgrade. However, if you do not have administrator privileges, you cannot upgrade the client.

To install the Mobile VPN with SSL client on macOS, you must have administrator privileges.

In macOS 10.15 (Catalina) or higher, you must install v12.5.2 or higher of the WatchGuard Mobile VPN with SSL client. For more compatibility information, see the Fireware Release Notes.

Download the Client Software

You can download the client in from the Software Downloads page or from the Firebox.

  1. Go to the Software Downloads page.
  2. Do one of the following:
    1. From the Select a device drop-down list, select the hardware model of the Firebox.
    2. In the text box, type the first four digits of the Firebox serial number.
  3. In the WatchGuard Mobile VPN with SSL Software section, click the Mobile VPN with SSL for Windows link or the Mobile VPN with SSL for macOS link.
    The installation file downloads to your computer.
  1. Authenticate to the Firebox with an HTTPS connection over the port specified by the administrator. The default port is 443.

Over a custom port number

The authentication web page appears.

  1. Type your Username and Password.
  2. If Mobile VPN with SSL is configured to use more than one authentication method, select the authentication server from the Domain drop-down list.
    The Mobile VPN with SSL download page appears.

  1. Click the Download button for the correct installer for your operating system: Windows (WG-MVPN-SSL.exe) or macOS (WG-MVPN-SSL.dmg).
  2. Save the file to your computer.

From this page, you can also download the Mobile VPN with SSL client profile for connections from any SSL VPN client that supports .OVPN configuration files. For more information about the Mobile VPN with SSL client profile, see Use Mobile VPN with SSL with an OpenVPN Client.

Install the Client Software

  1. Double-click WG-MVPN-SSL.exe.
    The Mobile VPN with SSL client Setup Wizard starts.
  2. Accept the default settings on each screen of the wizard.
  3. (Optional) To add a desktop icon or a Quick Launch icon, select the check box in the wizard that matches the option.
  4. Finish and exit the wizard.
  1. Make sure that the System Preferences > Security and Privacy settings on your Mac allow apps downloaded from Mac App Store and identified developers. This is the default setting.
  2. Double-click WG-MVPN-SSL.dmg.
    A volume named WatchGuard Mobile VPN is created on your desktop.
  3. In the WatchGuard Mobile VPN volume, double-click WatchGuard Mobile VPN with SSL Installer .mpkg.
    The client installer starts.
  4. Accept the default settings on each screen of the installer.
  5. Finish and exit the installer.

After you download and install the client software, the Mobile VPN client software automatically connects to the Firebox. Each time you connect to the Firebox, the client software verifies whether any configuration updates are available.

Connect to Your Private Network

  • From the Start Menu, select All Programs > WatchGuard > Mobile VPN with SSL client > Mobile VPN with SSL client.
  • Double-click the Mobile VPN with SSL shortcut on your desktop.
  • Click the Mobile VPN with SSL icon in the Quick Launch toolbar.

  1. Open a Finder window.
  2. Select Applications > WatchGuard.
  3. Double-click the WatchGuard Mobile VPN with SSL application.

Specify the Client Connection Settings

After you start the Mobile VPN with SSL Client, to start the VPN connection, you must specify the authentication server and user account credentials. Mobile VPN with SSL does not support Single Sign-On (SSO).

Читать еще:  Attribute points перевод

The Server is the IP address of the primary external interface of a Firebox, or an FQDN that resolves to that IP address. If Mobile VPN with SSL on the Firebox is configured to use a port other than the default port 443, in the Server text box, you must type the IP address or FQDN followed by a colon and the port number. For example, if Mobile VPN with SSL is configured to use port 444, and the primary external IP address is 203.0.113.2 , the Server is 203.0.113.2:444 .

The User name format depends on which authentication server the user authenticates to. For example, if the Firebox configuration includes multiple authentication servers, you must specify the authentication server in the User name text box. The User name must be formatted in one of these ways:

To use the default authentication server

Type the user name. Example: j_smith

To use another authentication server

Type the authentication server name or domain name, and then type a backlash () followed by the user name. Example: .

Active Directory — ad1_example.comj_smith

Firebox-DB — Firebox-DBj_smith

RADIUS (Fireware v12.5 or higher) — rad1.example.comj_smith or RADIUSj_smith . You must type the domain name specified in the RADIUS settings on Firebox.

RADIUS (Fireware v12.4.1 or lower) — RADIUSj_smith . You must always type RADIUS .

If your configuration includes a RADIUS server, and you upgrade from Fireware v12.4.1 or lower to Fireware v12.5 or higher, the Firebox automatically uses RADIUS as the domain name for that server. To authenticate to that server, you must type RADIUS as the domain name. In this case, if you type a domain name other than RADIUS, authentication fails.

To connect to your private network from the Mobile VPN with SSL client:

  1. In the Server text box, type or select the IP address or name of the Firebox to connect to.
    The IP address or name of the server you most recently connected to is selected by default.
  2. In the User name text box, type the user name.
    If Mobile VPN with SSL on the Firebox is configured to use multiple authentication methods, specify the authentication server or domain name before the user name. For example, ad1_example.comj_smith .
  3. In the Password text box, type the password for your user account.
    The client remembers the password if the administrator configured the authentication settings to allow it.
  4. Click Connect.

If the connection between the SSL client and the Firebox is temporarily lost, the SSL client tries to establish the connection again.

To troubleshoot connection issues, see Troubleshoot Mobile VPN with SSL.

Other Connection Options

Two other connection options are available in the client only if the administrator has enabled them on the device you connect to.

Select the Automatically reconnect check box if you want the Mobile VPN with SSL client to automatically reconnect when the connection is lost.

Select the Remember password check box if you want the Mobile VPN with SSL client to remember the password you typed for the next time you connect.

Mobile VPN with SSL Client Controls

When the Mobile VPN with SSL client runs, the WatchGuard Mobile VPN with SSL icon appears in the system tray (Windows) or on the right side of the menu bar (macOS). The type of magnifying glass icon that appears shows the VPN connection status.

  • — The VPN connection is not established.
  • — The VPN connection is established. You can securely connect to resources behind the Firebox.
  • — The client is in the process of connecting or disconnecting. The «W» letter in the icon pulsates.
  • — The client cannot connect to the server. Verify that the server IP address, user name, and password are correct. To troubleshoot further, check the client logs for Mobile VPN with SSL.
  • — The VPN connection is not established.
  • — The VPN connection is established. You can securely connect to resources behind the Firebox.
  • — The client is in the process of connecting or disconnecting. The «W» letter in the icon pulsates.
  • — The client cannot connect to the server. Verify that the server IP address, user name, and password are correct. To troubleshoot further, check the client logs for Mobile VPN with SSL.

macOS (Dark Mode):

  • — The VPN connection is not established.
  • — The VPN connection is established. You can securely connect to resources behind the Firebox.
  • — The client is in the process of connecting or disconnecting. The «W» letter in the icon pulsates.
  • — The client cannot connect to the server. Verify that the server IP address, user name, and password are correct. To troubleshoot further, check the client logs for Mobile VPN with SSL.

To see the client controls list, right-click the Mobile VPN with SSL icon in the system tray (Windows), or click the Mobile VPN with SSL icon in the menu bar (macOS). You can select from these actions:

Start or stop the Mobile VPN with SSL connection.

See the status of the Mobile VPN with SSL connection.

Open the connection log file.

Windows — Select Launch program on startup to start the client when Windows starts. Type a number for Log level to change the level of detail included in the logs.

macOS — Shows detailed information about the Mobile VPN with SSL connection. You can also set the log level.

Show Time Connected (macOS only)

Select to show the elapsed connection time on the macOS menu bar.

Show Status While Connecting (macOS only)

Select to show the connection status on the macOS menu bar.

The WatchGuard Mobile VPN dialog box opens with information about the client software.

Exit (Windows) or Quit (macOS)

Disconnect from the Firebox and shut down the client.

See Also

В© 2020 WatchGuard Technologies, Inc. All rights reserved. WatchGuard and the WatchGuard logo are registered trademarks or trademarks of WatchGuard Technologies in the United States and/or other countries. All other tradenames are the property of their respective owners.

Information Security Squad

stay tune stay secure

Как подключиться к VPN-серверу с OpenConnect SSL VPN Client в Linux

OpenConnect — это клиент SSL VPN, первоначально созданный для поддержки Cisco AnyConnect SSL VPN.

С тех пор он был перенесен на поддержку Juniper SSL VPN, который теперь известен как Pulse Connect Secure.

В этом руководстве мы рассмотрим установку и использование клиента OpenConnect SSL VPN для подключения к Cisco AnyConnect VPN VPN и Cisco Juniper Pulse Connect Secure.

Возможности OpenConnect SSL Client

С официального сайта OpenConnect SSL Client имеет следующие функции:

  • Подключение через HTTP-прокси, включая поддержку libproxy для автоматической настройки прокси-сервера.
  • Подключение через прокси-сервер SOCKS5.
  • Автоматическое обнаружение адресов IPv4 и IPv6, маршрутов.
  • Аутентификация через HTTP-формы.
  • Аутентификация с использованием сертификатов SSL — из локального файла, доверенного платформенного модуля и смарт-карт PKCS # 11.
  • Аутентификация с использованием токенов программного обеспечения SecurID (при построении с помощью libstoken)
  • Аутентификация с использованием токенов программного обеспечения OATH TOTP или HOTP.
  • Аутентификация с использованием токенов Yubikey OATH (при построении с помощью libpcsclite)
  • UserGroup поддерживает выбор между несколькими конфигурациями на одном VPN-сервере.
  • Передача данных по TCP (HTTPS) или UDP (DTLS или ESP).
  • Keepalive и Dead Peer Detection на HTTPS и DTLS.
  • Автоматическое обновление списка / конфигурации VPN-сервера.
  • Поддержка роуминга, позволяющая повторно подключаться при изменении локального IP-адреса.
  • Может работать без привилегий root
  • Поддержка «Cisco Secure Desktop” и GlobalProtect HIP report.
Читать еще:  Single point of failure

Установка клиента OpenConnect SSL в Linux

Давайте теперь посмотрим на различные способы установки OpenConnect SSL Client на ваш любимый дистрибутив Linux:

Установка клиента OpenConnect SSL на Arch Linux

Для пользователей Arch Linux и их производных дистрибутивов вы можете установить openconnect из официальных репозиториев Pacman.

То же самое можно сделать и с помощью yaourt:

Установка клиента OpenConnect SSL на Debian / Ubuntu

Для Debian и его производных установите пакет openconnect с помощью диспетчера пакетов apt.

Установка клиента OpenConnect SSL на CentOS / RHEL

Для CentOS и RHEL пакет openconnect доступен в репозитории epel.

Добавьте репозиторий, затем установите пакет openconnect:

Установка клиента OpenConnect SSL на Fedora

Для Fedora пакет также доступен от epel.

Дело только в том, что имя менеджера пакетов изменяется:

Установка клиента OpenConnect SSL на macOS

Для пользователей MacOS установите пакет openconnect с использованием brew

Как подключиться к SSL VPN Server с помощью Openconnect ( Вручную )

После того, как пакет openconnect был успешно установлен в вашей операционной системе, вы должны быть готовы к подключению к серверу SSL VPN, который может использовать Cisco AnyConnect SSL VPN и Juniper Pulse Connect Secure.

Простое соединение следует за синтаксисом:

Вам будет предложено ввести пароль, см. Пример ниже:

Как подключиться к SSL VPN Server с помощью Openconnect с помощью скрипта Bash

Я написал скрипт bash, чтобы упростить подключение к серверу SSL Autoconnect SSL VPN.

Поместите его в

/ .bashrc в зависимости от вашей оболочки.

Предоставьте правильные переменные и сохраните файл.

Теперь каждый раз, когда вы хотите подключиться к VPN, вызовите функцию по имени:

Juniper Pulse Client

Чтобы подключиться к серверу Pulse Connect Secure, вам необходимо знать SHA-1 своего сертификата.

В этом руководстве вы узнали, как установить и использовать клиент OpenConnect SSL на Linux и macOS.

Дайте мне знать в разделе комментариев, если вы столкнулись с какой-либо ошибкой.

Безопасность. Начало 08. SSL VPN

В настоящее время существует два типа пользовательских VPN:
SSL VPN и IPSec VPN и каждая из них имеет свои преимущества и недостатки.

Основное преимущество SSL VPN есть простота его внедрения: все браузеры поддерживают SSL, все провайдеры пропускают и не ограничивают SSL.
Некоторые виды доступа через SSL VPN можно осуществить буквально любым браузером и на любой платформе.

IPSec VPN считается более безопасным протоколом.

SSL и TLS

Очень часто в технической литературе можно встретить понятия SSL и TLS.

Оба протокола являются cryptographic protocols, обеспечивающие безопасную передачу данных поверх интернет(e-mail, web browsing, instant messaging).
Протоколы обеспечивают confidentiality, integrity, authentication services.
SSL и TLS работают на уровне Session Layer модели OSI или выше.
Протоколы могут использовать public key infrastructure (PKI) а также сертификаты для аутентификации и передачи друг другу симметричных ключей.
Также как и IPSec для шифрования данных они используют симметричные ключи.

Большинство безопасных передач на браузере производятся через SSL или TLS.
Изначально появился SSL, его разработала компания Netscape.
TLS является дальнейшим развитием SSL, а также стандартом, разработанным Internet Engineering Task Force (IETF).
Например TLS 1.0 основан на SSL3.0.
Что конкретно использовать SSL или TLS решают сами браузеры: предпочтителен TLS но возможно переключение и на SSL.

Таким образом, важно понимать, что используя термин SSL мы подразумеваем SSL или TLS.
К примеру Cisco SSL VPN реально использует TLS.

Операции SSL

Итак, SSL используется в большинстве онлайновых сервисах, требующих безопасности.
Давайте рассмотрим пошагово, что происходит когда клиент подключается к банковскому серверу, использующему SSL:

  • Клиент инициализирует подключение к серверу на его IP адрес и порт 443. В качестве источника используется соответственно IP клиента и порт выше чем 1023
  • Происходит стандартный процесс TCP подключения, использующий three-way handshake
  • Клиент запращивает подключение по SSL и сервер отвечает высылая свой digital certificate, который содержит public key этого сервера.
  • Получив сертификат, клиент должен решить: доверять этому сертификату или нет.
    Здесь начинают работать механизмы PKI.
    Если digital certificate подписан CA, которой клиент доверяет + сертификат валидный по дате + серийник сертификата не числится в certificate revocation list (CRL) — клиент может доверять сертификату и использовать public key этого сертификата.
  • Клиент генерирует симметричный ключ shared secret, который будет использоваться для шифрования данных между клиентом и сервером. Далее клиент шифрует shared secret с использованием public key и передает это серверу.
  • Сервер, используя свой private key, расшифровывает полученный симметричный ключ shared secret.
  • Обе стороны теперь знают shared secret и могут шифровать SSL Session.

Типы SSL VPN

SSL VPN можно разделить на два вида:

  • Clientless SSL VPN — также называется Web VPN. Не требует установки клиента. Ограниченные возможности.
  • Full Cisco AnyConnect Secure Mobility Client SSL VPN Client — полноценный SSL клиент, требующий установки на клиента ПО, обеспечивающее полноценный доступ к корпоративной сети

Настройка SSL VPN

  1. Копируем файл Anyconnect PKG.
    В нашем случае это anyconnect-win-3.1.08009-k9.pkg
  2. Указываем на файл pkg, и включаем сервис Webvpn Anyconnect service.
  3. Исключаем (exempt) трафик SSL WebVPN от проверок на outside interface ACL. Нам нужно либо сделать в ACL правила permit, либо использовать команду:
  4. Для удобства настроим перенаправление с 80 на 443:
  5. Создадим IP address pool. Эти адреса будут выдаваться удалённым пользователям.
  6. Создаём NAT exemption для трафика между LAN Network и сетью vpnpool. Мы делаем данное исключение, поскольку шифрованный трафик не должен проходить через NAT. Данный шаг необходим в случае если на ASA настроен этот NAT.
    object network vpnpool_obj
  7. Создаём Split-Tunnel ACL, данная настройка позволит пользователям при подключении по VPN одновременно пользоваться интернетом. Без этой настройки в туннель будет заворачиваться весь трафик.

Данная настройка будет заворачивать в туннель только трафик в сети той же RFC1918.

  • Создаём Group Policy.
    Мы можем создать несколько Group Policy, и в каждой настроить сетевые атрибуты типа DNS server addresses, split-tunneling settings, default domain, протокол(SSL или IPSec) и т.д.
  • Создадим Tunnel Group.
    Tunnel Group в интерфейсе ASDM называется как Connection Profile.
    Tunnel Group должна в себя включать только что нами настроенную Group Policy и объединяет её с IP address pool.
    Мы можем создать несколько таких групп, а пользователь при логине может выбрать для себя нужную Tunnel Group со всеми нужными характеристиками: наследуемые параметры из Group Policy + address-pool

    Последняя команда позволяет пользователям выбирать для себя tunnel-group.
    Для пользователей данная группа будет выглядеть с именем «vpn_users-alias»

    Anyconnect уже должно заработать, — можно заходить под админской учёткой.

  • Ссылка на основную публикацию
    ВсеИнструменты 220 Вольт
    Adblock
    detector
    ×
    ×