1. VPN D’ACCES AVEC CISCO ASA ET CLIENT
ANYCONNECT
Réalisé par: Prof:
Manassé Achim KPAYA MASSAMBA LO
M2 RSI kparmel123@gmail.com
INSTITUT SUPERIEUR
I INFORMATIQUE

2. PLAN
I-INTRODUCTION
II-PRESENTATION DES VPN SSL
III-PRESENTATION DE CISCO ASA
IV-OBJECTIF
V-TOPOLOGIE
VI-IMPLEMENTATION
VI-CONCLUSION

3. I-INTRODUCTION
De nos jours, la majorité des entreprises déploient des réseaux
privés virtuels pour permettre aux employés d’accéder à distance au
réseau d’entreprise partout ou ils vont.
Ces réseaux virtuels appelés vpn, permettent de relier plusieurs
ordinateurs entre eux, même s'ils se trouvent à plusieurs milliers de
kilomètres de distance. Ils bénéficient d'une liaison privée, privilégiée
et capable d'absorber et de charger de grandes quantités de données.
Les VPN à Très Haut Débit permettent de faire fonctionner des sociétés
à larges envergures.
il existe deux types de vpn; nomade et site to site.
Notre projet sera basé sur un vpn nomade appelé aussi vpn d’accès où
l’administrateur se connecte sur le réseau d’entreprise en distance tout
en connectant à l’internet et avoir une ligne d’accès sécurisé.

4. II-PRESENTATION DES VPN SSL
SSL VPN (Secure Sockets Layer Virtual Private Network) est un
type de VPN qui fonctionne au-dessus de Transport Layer
Security (TLS) et qui est accessible avec un navigateur
web via https. Il permet aux utilisateurs d'établir une connexion
sécurisée au réseau intranet depuis n'importe quel navigateur Web.
Plusieurs fournisseurs proposent des solutions VPN SSL.

5. III-PRESENTATION DE CISCO ASA
ASA: Adaptative Security Appliance ou Appareils de Sécurité Adaptatifs;
équipements dédiés à la protection du réseau informatique C’est la gamme
de firewall de Cisco permettant d’assurer la protection des petites moyennes
et grandes entreprises. La gamme ASA succède au PIX (boitier firewall et
VPN de Cisco le plus vendu au monde. Les firewall ASA 5500 sont
spécifiquement conçus pour le pare-feu, la prévention des intrusions, la
protection des contenus et les VPN.

6. IV-OBJECTIF
L’objectif de ce projet est de mettre en place un vpn nomade avec
client Cisco anyconnect, un client web et cisco ASA. L ’administrateur
doit se connecter sur le réseau d’entreprise en distance à travers un
client cisco anyconnect où un client web. Le trafic doit être sécurisé par
un firewall cisco ASA.

7. V-TOPOLOGIE
Notre travail sera basé sur la topologie suivante:

8. VI-IMPLEMENTATION
 PREREQUIS:
Il faut disposer de quatre fichiers:
asa842-initrd: initrd est une image d'un système minimal initialisé au
démarrage du système(en même temps que le noyau);
• asa842-vmlinuz: vmlinuz est une image compressée du noyau(kernel).
• Lignes de commandes du kernel: commandes destinées au noyau.
• asdm-641.bin: image d’une version de l’asdm Cisco pour le firewall.
anyconnect-win-3.1.13015-pre-deploy-k9: client cisco anyconnect à
télécharger sur le site www.cisco.com.

9.  Dans GNS3:
• Aller dans l’onglet « Editer »;
• Sélectionner « Préférences »;
• Dans la liste située à gauche, choisir « Qemu »;
• Dans la nouvelle fenêtre ouverte par Qemu, choisir
l’onglet ASA;
• Entrer les informations demandées concernant
ASA;
– Nom
– RAM=1024MiB
– Cartes réseaux 6
• Dans Réglages spécifiques à ASA, mettre le chemin
correspondant à chacun des fichiers pré cités (
sans oublié « Ligne de commande pour le kernel);
Puis cliquez sur « Appliquer » puis « OK » et sortir.

11. Une fois que les précédentes étapes ont été correctement effectuées, on réalise la topologie
suivante:

12.  Configuration de ASA
on configure le firewall comme suit:

13.  Configuration de routeur INTERNET

14. Configurons un routage par défaut entre les deux routeur

15.  On a nommé l’interface GigaEthernet 0 « Outside » car c’est cette
interface qui est connectée à l’extérieur et l’interface GigaEthernet 1
« Inside » car elle est reliée au LAN, comme on peut le voir, un
niveau de sécurité par défaut est prévu selon que l’interface est «
Inside » ou « Outside.
 Testons la connectivité entre le firewall 1 et les interfaces du routeur
DE ASA VERS L’EXTERIEUR

16. DE L’EXTERIEUR VERS L’INTERFACE OUTSIDE D’ASA

17.  Transférons maintenant le asdm dans ASA
Prérequis:
• Avoir paramétré un dossier partagé entre les machines virtuelles et la
machine physique; dossier dans lequel on mettra l’image asdm-641.bin
et l’outil TFPT32 (pour l’uploading du fichier).
• Posséder et installer le JRE de java sur les machines virtuelles afin de
faire fonctionner asdm.
 • Configuration des firewall:
– Activons le serveur http sur les firewall afin d’avoir accès à l’outil
asdm une fois installé sur les firewall. Sur le firewall ASA1.

18.  – On active le serveur http,
– On attribue une adresse réseau(adresse du LAN), un masque et
une interface au serveur http,
– On crée un utilisateur « kpaya » avec le password « cisco » et le «
privilege 15 »
 On possède un dossier partagé avec la machine physique sur les
machines virtuelles, ce dossier partagé se nomme ASA et est
accessible en allant
dur Poste de travail des machines virtuelles. Dans ce dossier nous
avons:
– Asdm-641.bin
– Le jre(java runtime environnement)
– TFTP 32 pour le transfert de fichier

19. Dans la machine virtuelle windows, lancer TFTP32 et entrer l’adresse ip de
la machine virtuelle windows en indiquant le répertoire dans lequel se situe
l’image asdm-641.bin (nous avons mis asdm-641.bin sur le bureau de
windows).
On copie le fichier « asdm-642.bin » situé sur windows vers la mémoire
flash de ASA, on peut voir le transfert en cours du coté de ASA et de
windows.

21.  Connexion au firewall avec asdm:
Nous présentons le premier lancement de sdm asur la machine virtuelle
windows. On saisie l’adresse ip de l’interface « inside » dans notre
navigateur préféré.

22.  Nous voila à l’interface de notre ASA:

23. On clique sur Install ASDM Launcher and Run ASDM
On entre les paramètres de l’utilisateur précédemment créé dans ASA

24. On lance l’installation de « dm-launcher »

25. Après l’installation, on saisie de nouveau « https://172.16.1.1 » dans le navigateur et on
clique sur le nouveau bouton « Run ASDM ». On click sur executer:

26. Il est fort possible qu’on obtienne cette fenêtre nous disant «Impossible
de lancer l’application»; c’est un problème de niveau de sécurité dans
java, il faut modifier la configuration de java afin d’abaisser le niveau
de sécurité. On va dans le dossier de java puis on choisit « configure
java » , on choisit l’ongle securité et on le met en « moyenne »

27. On saisit de nouveau l’adresse Ip de notre firewall ASA, on clique sur « Run ASDM
»,
on entre les paramètres d’authentification…l’application charge les données du
firewall…

28. On est sur la page principale du firewall on peut configurer maintenant notre vpn:

29.  CONFIGURATION DE VPN SSL
après avoir accéder à ASDM, allons dans wizards-VPNWizards puis
AnyconnectVPNWizards pour créer ntre VPN:

31.  Ecrivons le nom de profil de connexion qui est dans notre cas
SSLClient puis choisissons l’interface sur laquelle le VPN sera
terminé de l’interface d’accès VPN relacher vers le bas le menu et
cliquer sur next:

32. Cocher la case ssl enfin de l’activer puis cliquer sur Manage pour
générer le certificat

33. Cliquer sur Add:

34. Introduisons un nom approprié dans la zone d’identification de point de
confiance et cliquer sur new afin de générer une pair de clé

35. Cliquer sur la case d’option de nom de paires de clé par défaut
d’utilisation ou cliquer sur la nouvelle case d’option de nom de
paire de clé d’entrer et donner lui un nom, sélectionner la taille( dans
notre cas 2048)

36. Apre le paire de clés RSA générée, choisissons la clé et chocher la case
de certificat auto-signé Generate. Ecrivons le nom de domaine
soumis (DN) dans le gisement de DN de sujet de certificat et cliquer
sur generate certificat

37. Une fois que l’inscription est complète, cliquer sur ok et ensuite next:

38. Maintenant on doit transférer l’image de anyconnect anyconnect-win-
3.1.03103-k9 depuis la machine client vers la mémoire flash de ASA:
voila le transfere en cours coté ASA:

39. Transfère depuis windows:

40. Fonctionnement:
maintenant allons sur notre client nomade pour accéder à notre réseau.
Pour ce faire, entre l’URL suivant: https://172.16.0.1

41. On renseigne le login et le mot de passe d’utilisateur créé precedemment
dans ASA:

42. Si tout va bien, on devrai accéder directement accéder au téléchargement
du client anyconnect depuis ASA comme suit:

43. L’installation du client en cours:

45. On click sur l’icone du client anyconnect en bas de notre ecran et on
renseigne l’adresse outside de notre parfeu:

46. On entre le login et le mot de passe d’utilisateur nomade:

47. Maintenant notre client nomade est bel et bien connecter sur le site à
distance vial e client anyconnect

48. Ici l’adresse ip que ASA a attribué à la machine cliente. 172.16.0.5

49. Configuration du client nomade 2
 Au niveau de configuration on choisit:
Configuration>Remote Access VPN>Clientless SSL VPN Access on click sur
portal pour créer un group

52. Maintenant on crée la stratégie de group en cliquant sur:
On clique sur Configuration>Remote Access VPN>Clientless SSL
VPN Access>Group Policies puis on décoche la partie Bockmark List:

53. Maintenant on crée une autorité de certificat pour le client:
Allez sur Configuration >Remote Access VPN>Certificat Management>
Local Certificate Authority>CA server et renseigner les paramètre sur la capture

54. On doit créer le compte d’utilisateur nomade.
Configuration >Remote Access VPN >AAA/LocalUsers >LocalUsers puis
sur Add

55. Test
allons sur la machine nomade et on entre l’url de l’interface outside
https://172.16.0.1 On entre le login et le mot de passe de l’utilisateur distant

56. Si tout se passe bien on doit accéder à ça:

57. VI-CONCLUSION
Le VPN basé sur le protocole SSL/TLS offre une simplement et
une sécurité pour l’accès aux ressources web de l’entreprise pour un
utilisateur en déplacement. Le VPN SSL permet donc le nomadisme
des employés de l’entreprise, l’accès à des services qui requiert de la
sécurité sur internet.