VPN D’ACCES AVEC CISCO ASA ET CLIENT
ANYCONNECT
Réalisé par: Prof:
Manassé Achim KPAYA MASSAMBA LO
M2 RSI kparmel123@gmail...
PLAN
I-INTRODUCTION
II-PRESENTATION DES VPN SSL
III-PRESENTATION DE CISCO ASA
IV-OBJECTIF
V-TOPOLOGIE
VI-IMPLEMENTATION
VI...
I-INTRODUCTION
De nos jours, la majorité des entreprises déploient des réseaux
privés virtuels pour permettre aux employés...
II-PRESENTATION DES VPN SSL
SSL VPN (Secure Sockets Layer Virtual Private Network) est un
type de VPN qui fonctionne au-de...
III-PRESENTATION DE CISCO ASA
ASA: Adaptative Security Appliance ou Appareils de Sécurité Adaptatifs;
équipements dédiés à...
IV-OBJECTIF
L’objectif de ce projet est de mettre en place un vpn nomade avec
client Cisco anyconnect, un client web et ci...
V-TOPOLOGIE
Notre travail sera basé sur la topologie suivante:
VI-IMPLEMENTATION
 PREREQUIS:
Il faut disposer de quatre fichiers:
asa842-initrd: initrd est une image d'un système minim...
 Dans GNS3:
• Aller dans l’onglet « Editer »;
• Sélectionner « Préférences »;
• Dans la liste située à gauche, choisir « ...
Une fois que les précédentes étapes ont été correctement effectuées, on réalise la topologie
suivante:
 Configuration de ASA
on configure le firewall comme suit:
 Configuration de routeur INTERNET
Configurons un routage par défaut entre les deux routeur
 On a nommé l’interface GigaEthernet 0 « Outside » car c’est cette
interface qui est connectée à l’extérieur et l’interfa...
DE L’EXTERIEUR VERS L’INTERFACE OUTSIDE D’ASA
 Transférons maintenant le asdm dans ASA
Prérequis:
• Avoir paramétré un dossier partagé entre les machines virtuelles et...
 – On active le serveur http,
– On attribue une adresse réseau(adresse du LAN), un masque et
une interface au serveur htt...
Dans la machine virtuelle windows, lancer TFTP32 et entrer l’adresse ip de
la machine virtuelle windows en indiquant le ré...
 Connexion au firewall avec asdm:
Nous présentons le premier lancement de sdm asur la machine virtuelle
windows. On saisi...
 Nous voila à l’interface de notre ASA:
On clique sur Install ASDM Launcher and Run ASDM
On entre les paramètres de l’utilisateur précédemment créé dans ASA
On lance l’installation de « dm-launcher »
Après l’installation, on saisie de nouveau « https://172.16.1.1 » dans le navigateur et on
clique sur le nouveau bouton « ...
Il est fort possible qu’on obtienne cette fenêtre nous disant «Impossible
de lancer l’application»; c’est un problème de n...
On saisit de nouveau l’adresse Ip de notre firewall ASA, on clique sur « Run ASDM
»,
on entre les paramètres d’authentific...
On est sur la page principale du firewall on peut configurer maintenant notre vpn:
 CONFIGURATION DE VPN SSL
après avoir accéder à ASDM, allons dans wizards-VPNWizards puis
AnyconnectVPNWizards pour créer...
 Ecrivons le nom de profil de connexion qui est dans notre cas
SSLClient puis choisissons l’interface sur laquelle le VPN...
Cocher la case ssl enfin de l’activer puis cliquer sur Manage pour
générer le certificat
Cliquer sur Add:
Introduisons un nom approprié dans la zone d’identification de point de
confiance et cliquer sur new afin de générer une p...
Cliquer sur la case d’option de nom de paires de clé par défaut
d’utilisation ou cliquer sur la nouvelle case d’option de ...
Apre le paire de clés RSA générée, choisissons la clé et chocher la case
de certificat auto-signé Generate. Ecrivons le no...
Une fois que l’inscription est complète, cliquer sur ok et ensuite next:
Maintenant on doit transférer l’image de anyconnect anyconnect-win-
3.1.03103-k9 depuis la machine client vers la mémoire ...
Transfère depuis windows:
Fonctionnement:
maintenant allons sur notre client nomade pour accéder à notre réseau.
Pour ce faire, entre l’URL suivant:...
On renseigne le login et le mot de passe d’utilisateur créé precedemment
dans ASA:
Si tout va bien, on devrai accéder directement accéder au téléchargement
du client anyconnect depuis ASA comme suit:
L’installation du client en cours:
On click sur l’icone du client anyconnect en bas de notre ecran et on
renseigne l’adresse outside de notre parfeu:
On entre le login et le mot de passe d’utilisateur nomade:
Maintenant notre client nomade est bel et bien connecter sur le site à
distance vial e client anyconnect
Ici l’adresse ip que ASA a attribué à la machine cliente. 172.16.0.5
Configuration du client nomade 2
 Au niveau de configuration on choisit:
Configuration>Remote Access VPN>Clientless SSL V...
Maintenant on crée la stratégie de group en cliquant sur:
On clique sur Configuration>Remote Access VPN>Clientless SSL
VPN...
Maintenant on crée une autorité de certificat pour le client:
Allez sur Configuration >Remote Access VPN>Certificat Manage...
On doit créer le compte d’utilisateur nomade.
Configuration >Remote Access VPN >AAA/LocalUsers >LocalUsers puis
sur Add
Test
allons sur la machine nomade et on entre l’url de l’interface outside
https://172.16.0.1 On entre le login et le mot ...
Si tout se passe bien on doit accéder à ça:
VI-CONCLUSION
Le VPN basé sur le protocole SSL/TLS offre une simplement et
une sécurité pour l’accès aux ressources web de...
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Prochain SlideShare
Chargement dans…5
×

Vpn d’acces avec cisco asa 5500 et client

279 vues

Publié le

VPN D'ACCES

Publié dans : Ingénierie
0 commentaire
4 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
279
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
4
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Vpn d’acces avec cisco asa 5500 et client

  1. 1. VPN D’ACCES AVEC CISCO ASA ET CLIENT ANYCONNECT Réalisé par: Prof: Manassé Achim KPAYA MASSAMBA LO M2 RSI kparmel123@gmail.com INSTITUT SUPERIEUR I INFORMATIQUE
  2. 2. PLAN I-INTRODUCTION II-PRESENTATION DES VPN SSL III-PRESENTATION DE CISCO ASA IV-OBJECTIF V-TOPOLOGIE VI-IMPLEMENTATION VI-CONCLUSION
  3. 3. I-INTRODUCTION De nos jours, la majorité des entreprises déploient des réseaux privés virtuels pour permettre aux employés d’accéder à distance au réseau d’entreprise partout ou ils vont. Ces réseaux virtuels appelés vpn, permettent de relier plusieurs ordinateurs entre eux, même s'ils se trouvent à plusieurs milliers de kilomètres de distance. Ils bénéficient d'une liaison privée, privilégiée et capable d'absorber et de charger de grandes quantités de données. Les VPN à Très Haut Débit permettent de faire fonctionner des sociétés à larges envergures. il existe deux types de vpn; nomade et site to site. Notre projet sera basé sur un vpn nomade appelé aussi vpn d’accès où l’administrateur se connecte sur le réseau d’entreprise en distance tout en connectant à l’internet et avoir une ligne d’accès sécurisé.
  4. 4. II-PRESENTATION DES VPN SSL SSL VPN (Secure Sockets Layer Virtual Private Network) est un type de VPN qui fonctionne au-dessus de Transport Layer Security (TLS) et qui est accessible avec un navigateur web via https. Il permet aux utilisateurs d'établir une connexion sécurisée au réseau intranet depuis n'importe quel navigateur Web. Plusieurs fournisseurs proposent des solutions VPN SSL.
  5. 5. III-PRESENTATION DE CISCO ASA ASA: Adaptative Security Appliance ou Appareils de Sécurité Adaptatifs; équipements dédiés à la protection du réseau informatique C’est la gamme de firewall de Cisco permettant d’assurer la protection des petites moyennes et grandes entreprises. La gamme ASA succède au PIX (boitier firewall et VPN de Cisco le plus vendu au monde. Les firewall ASA 5500 sont spécifiquement conçus pour le pare-feu, la prévention des intrusions, la protection des contenus et les VPN.
  6. 6. IV-OBJECTIF L’objectif de ce projet est de mettre en place un vpn nomade avec client Cisco anyconnect, un client web et cisco ASA. L ’administrateur doit se connecter sur le réseau d’entreprise en distance à travers un client cisco anyconnect où un client web. Le trafic doit être sécurisé par un firewall cisco ASA.
  7. 7. V-TOPOLOGIE Notre travail sera basé sur la topologie suivante:
  8. 8. VI-IMPLEMENTATION  PREREQUIS: Il faut disposer de quatre fichiers: asa842-initrd: initrd est une image d'un système minimal initialisé au démarrage du système(en même temps que le noyau); • asa842-vmlinuz: vmlinuz est une image compressée du noyau(kernel). • Lignes de commandes du kernel: commandes destinées au noyau. • asdm-641.bin: image d’une version de l’asdm Cisco pour le firewall. anyconnect-win-3.1.13015-pre-deploy-k9: client cisco anyconnect à télécharger sur le site www.cisco.com.
  9. 9.  Dans GNS3: • Aller dans l’onglet « Editer »; • Sélectionner « Préférences »; • Dans la liste située à gauche, choisir « Qemu »; • Dans la nouvelle fenêtre ouverte par Qemu, choisir l’onglet ASA; • Entrer les informations demandées concernant ASA; – Nom – RAM=1024MiB – Cartes réseaux 6 • Dans Réglages spécifiques à ASA, mettre le chemin correspondant à chacun des fichiers pré cités ( sans oublié « Ligne de commande pour le kernel); Puis cliquez sur « Appliquer » puis « OK » et sortir.
  10. 10. Une fois que les précédentes étapes ont été correctement effectuées, on réalise la topologie suivante:
  11. 11.  Configuration de ASA on configure le firewall comme suit:
  12. 12.  Configuration de routeur INTERNET
  13. 13. Configurons un routage par défaut entre les deux routeur
  14. 14.  On a nommé l’interface GigaEthernet 0 « Outside » car c’est cette interface qui est connectée à l’extérieur et l’interface GigaEthernet 1 « Inside » car elle est reliée au LAN, comme on peut le voir, un niveau de sécurité par défaut est prévu selon que l’interface est « Inside » ou « Outside.  Testons la connectivité entre le firewall 1 et les interfaces du routeur DE ASA VERS L’EXTERIEUR
  15. 15. DE L’EXTERIEUR VERS L’INTERFACE OUTSIDE D’ASA
  16. 16.  Transférons maintenant le asdm dans ASA Prérequis: • Avoir paramétré un dossier partagé entre les machines virtuelles et la machine physique; dossier dans lequel on mettra l’image asdm-641.bin et l’outil TFPT32 (pour l’uploading du fichier). • Posséder et installer le JRE de java sur les machines virtuelles afin de faire fonctionner asdm.  • Configuration des firewall: – Activons le serveur http sur les firewall afin d’avoir accès à l’outil asdm une fois installé sur les firewall. Sur le firewall ASA1.
  17. 17.  – On active le serveur http, – On attribue une adresse réseau(adresse du LAN), un masque et une interface au serveur http, – On crée un utilisateur « kpaya » avec le password « cisco » et le « privilege 15 »  On possède un dossier partagé avec la machine physique sur les machines virtuelles, ce dossier partagé se nomme ASA et est accessible en allant dur Poste de travail des machines virtuelles. Dans ce dossier nous avons: – Asdm-641.bin – Le jre(java runtime environnement) – TFTP 32 pour le transfert de fichier
  18. 18. Dans la machine virtuelle windows, lancer TFTP32 et entrer l’adresse ip de la machine virtuelle windows en indiquant le répertoire dans lequel se situe l’image asdm-641.bin (nous avons mis asdm-641.bin sur le bureau de windows). On copie le fichier « asdm-642.bin » situé sur windows vers la mémoire flash de ASA, on peut voir le transfert en cours du coté de ASA et de windows.
  19. 19.  Connexion au firewall avec asdm: Nous présentons le premier lancement de sdm asur la machine virtuelle windows. On saisie l’adresse ip de l’interface « inside » dans notre navigateur préféré.
  20. 20.  Nous voila à l’interface de notre ASA:
  21. 21. On clique sur Install ASDM Launcher and Run ASDM On entre les paramètres de l’utilisateur précédemment créé dans ASA
  22. 22. On lance l’installation de « dm-launcher »
  23. 23. Après l’installation, on saisie de nouveau « https://172.16.1.1 » dans le navigateur et on clique sur le nouveau bouton « Run ASDM ». On click sur executer:
  24. 24. Il est fort possible qu’on obtienne cette fenêtre nous disant «Impossible de lancer l’application»; c’est un problème de niveau de sécurité dans java, il faut modifier la configuration de java afin d’abaisser le niveau de sécurité. On va dans le dossier de java puis on choisit « configure java » , on choisit l’ongle securité et on le met en « moyenne »
  25. 25. On saisit de nouveau l’adresse Ip de notre firewall ASA, on clique sur « Run ASDM », on entre les paramètres d’authentification…l’application charge les données du firewall…
  26. 26. On est sur la page principale du firewall on peut configurer maintenant notre vpn:
  27. 27.  CONFIGURATION DE VPN SSL après avoir accéder à ASDM, allons dans wizards-VPNWizards puis AnyconnectVPNWizards pour créer ntre VPN:
  28. 28.  Ecrivons le nom de profil de connexion qui est dans notre cas SSLClient puis choisissons l’interface sur laquelle le VPN sera terminé de l’interface d’accès VPN relacher vers le bas le menu et cliquer sur next:
  29. 29. Cocher la case ssl enfin de l’activer puis cliquer sur Manage pour générer le certificat
  30. 30. Cliquer sur Add:
  31. 31. Introduisons un nom approprié dans la zone d’identification de point de confiance et cliquer sur new afin de générer une pair de clé
  32. 32. Cliquer sur la case d’option de nom de paires de clé par défaut d’utilisation ou cliquer sur la nouvelle case d’option de nom de paire de clé d’entrer et donner lui un nom, sélectionner la taille( dans notre cas 2048)
  33. 33. Apre le paire de clés RSA générée, choisissons la clé et chocher la case de certificat auto-signé Generate. Ecrivons le nom de domaine soumis (DN) dans le gisement de DN de sujet de certificat et cliquer sur generate certificat
  34. 34. Une fois que l’inscription est complète, cliquer sur ok et ensuite next:
  35. 35. Maintenant on doit transférer l’image de anyconnect anyconnect-win- 3.1.03103-k9 depuis la machine client vers la mémoire flash de ASA: voila le transfere en cours coté ASA:
  36. 36. Transfère depuis windows:
  37. 37. Fonctionnement: maintenant allons sur notre client nomade pour accéder à notre réseau. Pour ce faire, entre l’URL suivant: https://172.16.0.1
  38. 38. On renseigne le login et le mot de passe d’utilisateur créé precedemment dans ASA:
  39. 39. Si tout va bien, on devrai accéder directement accéder au téléchargement du client anyconnect depuis ASA comme suit:
  40. 40. L’installation du client en cours:
  41. 41. On click sur l’icone du client anyconnect en bas de notre ecran et on renseigne l’adresse outside de notre parfeu:
  42. 42. On entre le login et le mot de passe d’utilisateur nomade:
  43. 43. Maintenant notre client nomade est bel et bien connecter sur le site à distance vial e client anyconnect
  44. 44. Ici l’adresse ip que ASA a attribué à la machine cliente. 172.16.0.5
  45. 45. Configuration du client nomade 2  Au niveau de configuration on choisit: Configuration>Remote Access VPN>Clientless SSL VPN Access on click sur portal pour créer un group
  46. 46. Maintenant on crée la stratégie de group en cliquant sur: On clique sur Configuration>Remote Access VPN>Clientless SSL VPN Access>Group Policies puis on décoche la partie Bockmark List:
  47. 47. Maintenant on crée une autorité de certificat pour le client: Allez sur Configuration >Remote Access VPN>Certificat Management> Local Certificate Authority>CA server et renseigner les paramètre sur la capture
  48. 48. On doit créer le compte d’utilisateur nomade. Configuration >Remote Access VPN >AAA/LocalUsers >LocalUsers puis sur Add
  49. 49. Test allons sur la machine nomade et on entre l’url de l’interface outside https://172.16.0.1 On entre le login et le mot de passe de l’utilisateur distant
  50. 50. Si tout se passe bien on doit accéder à ça:
  51. 51. VI-CONCLUSION Le VPN basé sur le protocole SSL/TLS offre une simplement et une sécurité pour l’accès aux ressources web de l’entreprise pour un utilisateur en déplacement. Le VPN SSL permet donc le nomadisme des employés de l’entreprise, l’accès à des services qui requiert de la sécurité sur internet.

×