Lab 21.2 WEBVPN với Portforwding và Smart Tunnel ASA 8.2

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
Bài lab này sử dụng trên ASA 8.3 trở về trước nhé. Tuy nhiên vẫn áp dụng được cho các ASA có version mới hơn nếu bạn biết biến đổi 1 chút. Tuy nhiên đã có 1 bài lab cho ASA 8.4 sử dụng ASDM bạn có thể tham khảo thêm

I. Mô hình

1. Mô hình triển khai




2. Yêu cầu:

- Khi client dùng trình duyệt web và quay VPN về ASA client có thể truy cập các ứng dụng Windows server 2003 như sau, theo 2 cách sau:
- Cách 1: Port Forwarding:
  • Remote Desktop: 127.0.0.1:4000
  • Telnet: 127.0.0.1:4023
  • WWW: 127.0.0.1:4080
- Cách 2: Smart Tunnel:
  • Remote Desktop: 192.168.56.10
  • Telnet: 192.168.56.10
  • WWW: 192.168.56.10
II. Yêu cầu:
1. Cấu hình IP
- Cấu hình IP trên ASA
// interface outside kết nối ra internet
ciscoasa(config)# int e0/0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip add 151.1.1.1 255.255.255.0
ciscoasa(config-if)# no shutdown

// interface inside kết nối với WIndows server 2003
ciscoasa(config-if)# int e0/1
ciscoasa(config-if)# ip add 192.168.56.254 255.255.255.0
ciscoasa(config-if)# no shut

// interface DMZ để kết nối với TFTP server
ciscoasa(config-if)# int e0/2
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# ip add 192.168.80.131 255.255.255.0
ciscoasa(config-if)# no shut

// tạo username/password cho client VPN
ciscoasa(config-if)# username svuit password svuit.vn

- Kiểm tra kết nối giữa ASA và TFTP server

Code:
ciscoasa(config-if)#[COLOR=#ff0000][B] ping 192.168.80.1[/B][/COLOR]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.80.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms


3. Cấu hình Port Forwarding
- Cấu hình port forwarding với các port là các ứng dụng mà server inside mở để client ngoài internet khi VPN có thể kết nối vào. Ở đây mình sẽ mở 3 ứng dụng
  • Remote Desktop
  • Web
  • Telnet
ciscoasa(config-webvpn)# enable outside
ciscoasa(config-webvpn)# port-forward APPLICATION 4000 192.168.56.10 3389 REMOTE-DESKTOP
ciscoasa(config-webvpn)# port-forward APPLICATION 4023 192.168.56.10 23 TELNET
ciscoasa(config-webvpn)# port-forward APPLICATION 4080 192.168.56.10 80 WWW

4. Cấu hình Plug-in
- Plug-in là chương trình Java hoạt động trên trình duyệt web. Cho phép sử dụng các ứng dụng Java thông qua các plug-in được Import. Hỗ trợ các ứng dụng đã được định nghĩa sắn như: SSH, Telnet, VNC, RDP...
- Các bạn có thể download plug-in RDP tại đây: https://docs.google.com/file/d/0B6-...Zi00OGNlLTlkMDEtNGU5MzAxNmFmNDI4/edit?ddrp=1#
- Sau khi Download plugin trên các bạn cho file đó vào TFTP server. Và bật TFTP lên
- Các bạn xác định giao thức và đường dẫn của plug-in mà các bạn đã download ở trên và import vào như hình

ciscoasa# import webvpn plug-in protocol rdp tftp://192.168.80.1/rdp-plugin.090203.jar

- Quá trình import thành công



5. Cấu hình Smart-Tunnel
- Smart-Tunnel hỗ trợ các ứng dụng chạy trên nền TCP. Các bạn cần xác định trước chương trình thực thi cho ứng dụng
Ví du: mstsc.exe là chương trình thực thi cho ứng dụng Remote Desktop

ciscoasa(config-webvpn)# tunnel-group-list enable
ciscoasa(config-webvpn)# smart-tunnel list REMOTE_DESKTOP RDP "mstsc.exe"

6. Cấu hình Group policy
- Cấu hình group policy để áp các chính sách cho client khi VPN

ciscoasa(config-webvpn)# group-policy WEBVPN internal
ciscoasa(config)# group-policy WEBVPN attributes
ciscoasa(config-group-webvpn)# port-forward name APPLICATION
ciscoasa(config-group-webvpn)# port-forward enable APPLICATION
ciscoasa(config-group-webvpn)# smart-tunnel enable REMOTE_DESKTOP

7. Cấu hình Connect Profile
- Định nghĩa Alias và thực hiện kết hợp với Connection Profile.
- Kích hợp Webvpn trên interface outside của ASA

ciscoasa(config-group-webvpn)# tunnel-group WEBVPN type remote-access
ciscoasa(config)# tunnel-group WEBVPN general-attributes
ciscoasa(config-tunnel-general)# default-group-policy WEBVPN
ciscoasa(config-tunnel-general)# tunnel-group WEBVPN webvpn-attributes
ciscoasa(config-tunnel-webvpn)# group-alias APPLICATION enable
 
III. Kiểm tra
- Client ngoài internet truy sử dụng trình duyệt web và quay VPN với IP cổng outside của ASA: https://151.1.1.1
- Các bạn login vào với username: svuit đã tạo ở trên nhé



1. Port Forwarding
- Bây giờ chúng ta sẽ truy cập vào các ứng dụng bằng cách 1 trước nhé


- Nó sẽ yêu cầu các bạn cài đặt Java





- Sau khi cài đặt Java xong các bạn sẽ thấy nó hiện ra bảng thông tin các ứng dụng và các port để client VPN có thể thực hiện truy cập



- Chúng ta sẽ thực hiện Remote Desktop trước với địa chi là 127.0.0.1 và port là 4000. Khi remote thành công các bạn sẽ thấy trên bảng thông tin port có bytes out và bytes in sẽ tăng lên





- Tiếp theo chúng ta sẽ kiểm tra telnet với địa chi là 127.0.0.1 và port là 4023. Và như hình dưới mình đã telnet vào server 2003 trong inside của ASA thành công



- Sau đó chúng ta sẽ kiểm tra truy cập web với địa chỉ là 127.0.0.1 và port là 4080. Như hình dưới đây cho thấy mình đã truy cập thành công



 
2. Smart-Tunnel
- Quay lai chỗ trình duyệt web các bạn chọn qua Smart-Tunnel để thực hiện tiếp các kiểm tra nhé


- Khi sử dụng lựa chọn này các bạn sẽ thấy trên trình duyệt web các thông số bytes sent, bytes receive... ngay tại đây


- Khác với port forwarding khi các bạn muốn truy cập Remote Desktop các bạn sử dụng IP của server đó: 192.168.56.10
- Và khi bạn thực hiện Remote Desktop thành công, các bạn sẽ thấy các byte Sent và Receive... sẽ nhảy


- Tương tự khi các bạn thực hiện telnet với IP: 192.168.56.10




- Tiếp theo là kiểm tra truy cập web

 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu