SSL-VPN Solutions Cisco -...
Transcript of SSL-VPN Solutions Cisco -...
![Page 1: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/1.jpg)
SSL VPNSSL-VPNSolutions Cisco
Christophe Sarrazini@ [email protected]
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1
![Page 2: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/2.jpg)
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2
![Page 3: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/3.jpg)
Introduction à Secure Sockets Layer (SSL)( )
Protocole développé par Netscape pour protéger le commerce électroniquepp p p p p g q
Création d’un tunnel entre le navigateur et le serveur WEB.– le tunnel est authentifié et encrypté (DES, 3DES, AES)yp ( , , )– Intégré depuis 1994 dans les navigateurs
Il existe plusieurs versions: – La version 2.0 développée par Netscapepp p p– La version 3.0 qui est actuellement la plus répandue– La version 3.1 baptisée TLS (transport Layer Security, RFC 2246)
https://pUtilise normalement les ports :443, :80, ou :8080Un cadenas fermé sur le navigateur indique l’utilisation d’une session SSL
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3
![Page 4: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/4.jpg)
Fonctionnement de SSL
Définie pour:Définie pour:
Authentifier le serveur vis-à-vis du client
Sélectionner un algorithme de cryptage
A th tifi l li tAuthentifier le client vis-à-vis du serveur (optionnel)
Générer un secretGénérer un « secret partagé »
Établir une connexion SSL encryptéeSSL encryptée
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4
![Page 5: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/5.jpg)
SSL VPN et IPsec
Flexibilité de déploiement Flexibilité de déploiement -- solution simple à mettre en placesolution simple à mettre en place
SSL VPNSSL VPN IPSec VPNIPSec VPN
pp p pp p
Accès de n’importe ou à une liste d’applications définies en utilisant un navigateur WEB
Système de connexion robuste qui permet l’accès à toutes les applications de l’entreprise à partir d’un site distant
Traversée facile des FirewallPortail WEB pour l’accès aux applicationsPas de client à installer
Accès à toutes les applications et au type de traficLe client VPN permet un accès transparents aux applications
Les applications client/serveur nécessitent une applet spécifique.Accès transparent aux applications en mode tunnel
Fonctionnalités maximales pour les postes concernés
Transport sécurisé voix et données
HTTP (TCP 80)HTTPS (TCP443)
ESP (Prot 50)IKE (UDP 500)ESP/UDP (UDP 4500)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5
HTTPS (TCP443)ou (TCP xxx)
ESP/UDP (UDP 4500)IPSec/TCP (TCP xxx)
![Page 6: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/6.jpg)
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6
![Page 7: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/7.jpg)
Les solutions VPN SSL Cisco
Concentrateurs VPN 3000 (50-500 clients)Gamme ASAGamme ASA(25-5000 clients)
Blade SSL-VPN Catalyst 65xx Equipements IOS (10-200 clients)Blade SSL VPN Catalyst 65xx(8000 clients)
q p ( )
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 7
![Page 8: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/8.jpg)
Gamme ISR et modules AIM-VPN/SSL
M d l / Ci Ci Ci 2811 Ci Ci Ci CiModules / ISR
Cisco 1841
Cisco 2801
Cisco 2811 Cisco 2821
Cisco 2851
Cisco 3825
Cisco 3845
AIM-VPN/SSL1
50 users / 5 Mbps
- - - - - -p
AIM-VPN/SSL2
- 50 users / 5 Mbps
75 users / 5 Mbps
100 users / 10 Mbps
150 users / 14 Mbps
- -
AIM- - - - - - 175 users / 200 users / VPN/SSL3 20 Mbps 26 Mbps
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 8
![Page 9: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/9.jpg)
Gamme ASA / VPN
ASA 5505 ASA 5510 ASA 5520 ASA 5540 ASA 5550
Débit VPN 100 Mbps 170 Mbps 225 Mbps 325 Mbps 425 Mbps
Sessions IPSec max
25 250 750 5 000 5 000IPSec max
Sessions SSL max
25 250 750 2 500 5 000
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 9
![Page 10: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/10.jpg)
Architectures d’accès traditionnelle
IPSec VPN Cluster
IPSec Remote Access
Firewall Dedicated to VPN Traffic
SSL VPN Remote Access
SSL VPN Cl t IPS D di t d t
Load Balancer
Extranet: BusinessPartner Access
SSL VPN Cluster IPS Dedicated to VPN Traffic
Remote Office Site-to-Site VPN
Extranet Partner Remote Access
Site-to-Site Remote Access
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 10
![Page 11: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/11.jpg)
Mise en place d’un cluster : load balancingg
10.10.1.X
.1
124.118.24.X
.31
Le client demande une connexion IPSec ou SSL au 124.118.24.50
Le Master du Cluster répond avec 124.118.24.33 (Concentrateur le moins chargé)
Le Client se connecte en IPSec ou SSL au 124 118 24 33
.2
3
.32
33
Le Client se connecte en IPSec ou SSL au 124.118.24.33
Internet.3
.4
.33
.34
Internet
Adresse IP virtuelle du cluster = 124.118.24.50
Master du clusterMaster du cluster
• Le Master est sélectionné en fonction :• Premier à démarrer• Priorité ( 1 à 10 )
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 11
Priorité ( 1 à 10 )• Adresse IP la plus basse
![Page 12: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/12.jpg)
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 12
![Page 13: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/13.jpg)
Des besoins d’accès variés
EmployésAccès comme au bureau
Travailleurs mobilesAccès à partir de différents équipements(PDA, Cyber café, Hotel, bornes internet …)
PartenairesAccès requis vers desApplications spécifiquesApplications spécifiques
Consultants, Temporaires Grande variation
des besoins
Home OfficeAccès comme sur le LAN
Les besoins de déploiement VPN varient énormément
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 13
en fonction des utilisateurs, de la location, du poste de travail et de divers critères
![Page 14: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/14.jpg)
Adapter les moyens d’accès aux utilisateursp y
EmployésPoste standard maitrisé
travailleurs mobilesEquipements & locations variés,
Problème de sécurité
PartenairesPoste non maitrisé, Accès limité,
Poste standard maitrisé
,ProblématiqueDe supportConsutants, Temporaires
Poste maitrisé ou pas, accès limité
Home OfficePoste standard maitrisé
accès limité
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 14
![Page 15: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/15.jpg)
Les différents mode d’accèsASA
ServeurIntranet
Utilisateurdistant Intranetdistant
Connexion 1 PC -> ASA Connexion 2 ASA->applicatifs HTTP HTTPSFTPSSL
Parsing des pages pour sa présentation par l’ASA
Clie
ntle
ss FTPCIFSSMTP,POP3IMAP4Citrixtelnet, SSHParsing des pages pour sa présentation par l ASA ,RDP, VNC
Tunnel SSL Accès aux applications TCP (port fixe)java applet
war
ding
ApplicationsTCPpp (p )
Loopback Déclaration des serveurs / applisPort
For
w TCP….
Tunnel SSL Accès directe aux applications
Client complet
de T
unne
l
Illimité…..
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 15
@ip du réseau interneMod
![Page 16: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/16.jpg)
Gestion des modes d’accès (1/2)( )
Vlan x
Poste de l’entreprise
Mode Tunnel
Vlan y
EmployéDe
L’Entreprisep
Mode clientless
Poste Externe
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 16
![Page 17: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/17.jpg)
Gestion des modes d’accès (1/2)( )
Vlan x
Poste de l’entreprise
Mode Tunnel
Vlan y
Partenaire, externe
Mode clientless
Poste Externe
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 17
![Page 18: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/18.jpg)
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 18
![Page 19: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/19.jpg)
Mode Clientless (proxy)(p y)
ASA 5500
• Interface Web pour un accès complet aux ressources du réseau de l’entreprise• Compatibilité avec les pages HTML complexes, y compris avec ActiveX, Java• Support de navigateurs multiples• Portail customizable par groupe d’utilisateurs• Protocoles supportés : HTTP HTTPS CIFS FTP SMTP POP3 IMAP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 19
Protocoles supportés : HTTP, HTTPS, CIFS, FTP, SMTP, POP3, IMAP• Et avec les plugins : Remote Desktop, VNC, Citrix, Telnet, SSH
![Page 20: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/20.jpg)
Clavier graphique8.0g p q
Option de clavier graphique pour la page deOption de clavier graphique pour la page de login et les diverses authentification.
Protection contre les keyloggers
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 20
![Page 21: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/21.jpg)
Portail utilisateur personnalisablep
Titre
Menu
Liens
Images, Flux RSS, Code
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 21
HTML, Texte …
![Page 22: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/22.jpg)
Portail d’accès8.0
Les droits d’accès aux ressources changent en fonction des utilisateurs et des groupes de policyListe de liens http https ftp cifsListe de liens http, https, ftp, cifsAccès aux fichiers de l’intranet avec drag and dropApplet pour l’accès telnet, SSH, RDP, VNC, CitrixFlux RSS
Logo personnalisable
Titre personnalisable
Accès aux f ti
Saisie des liens
fonctions
Liens pré-définis
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 22
Accès aux applis supplémentaires
“plugins”
![Page 23: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/23.jpg)
Personalisation du portail8.0p
Le Portail Web est entièrement personnalisable par groupes ou p p g putilisateurs
Les droits d’accès aux ressources changent en fonction des tili tutilisateurs
Zone d’édition
Sélection de la zone à
personnaliser
Pré-visualisation
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 23
![Page 24: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/24.jpg)
Liste des serveurs
Chaque groupe dispose d’une liste de lien qui serontChaque groupe dispose d une liste de lien qui seront présentés aux utilisateurs :
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 24
![Page 25: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/25.jpg)
Barre d’outils8.0
HomeHome
Nouveau lien
DéconnexionDéplacerbarre
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 25
![Page 26: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/26.jpg)
Application Proxy pour HTTP/HTTPSApplication Proxy pour HTTP/HTTPS
La connexion client est protégée par SSL le serveur est utilisé en p g pproxy applicatif
Deux connexion TCP et http sont utilisées seule la connexion client-concentrateur est protégée par SSLLe flux HTML est inspecté et modifié à la voléeLe flux HTML est inspecté et modifié à la volée
ServeurIntranet http
Utilisateurdistant
ASA
Intranet http
IP : 1 2 3 4
HTMLInspectionHTML HTML
IP : 1.2.3.4
HTTPSSL
TCP/IP
HTTPSSL
TCP/IP TCP/IP TCP/IP
HTTP HTTP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 26
http://www.cisco.frhttps://1.2.3.4/http/0/www.cisco.fr
![Page 27: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/27.jpg)
Accès aux Email via le WEB OWA/Inotes
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 27
![Page 28: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/28.jpg)
Accès aux serveurs FTP8.0
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 28
![Page 29: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/29.jpg)
Application Proxy CIFSpp y
La connexion client est protégée par SSL le serveur est utilisé en p g pproxy applicatif
Deux connexion TCP sont utilisées seule la connexion client-concentrateur est protégée par SSLLe concentrateur effectue une conversion entre le flux HTML et le flux
Serveur de Fichierde l’Intranet
Utilisateurdistant
Le concentrateur effectue une conversion entre le flux HTML et le flux CIFS utilisé pour le dialogue avec le serveur de fichier
ASA
de l Intranet
IP : 1 2 3 4
Convertisseur
HTML <-> CIFSHTML CIFS
IP : 1.2.3.4
HTTPSSL
TCP/IP
HTTPSSL
TCP/IP
SMB
TCP/IP
SMB
TCP/IP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 29SMB : Server Message BlockCIFS : Common Internet File System
![Page 30: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/30.jpg)
Accès aux Fichiers : CIFS
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 30
![Page 31: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/31.jpg)
Les PluginsgSupport de plugins java
Cit i M t f (i )- Citrix Metraframe (ica)- VNC
Remote Desktop- Remote Desktop- Telnet- SSHSSH
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 31
![Page 32: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/32.jpg)
Telnet/SSH8.0
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 32
![Page 33: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/33.jpg)
RDP / VNC8.0
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 33
![Page 34: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/34.jpg)
Accès aux Emails en mode proxy
La connexion client est protégée par SSL le serveur est utilisé en p g pproxy applicatif
La connection SSL est établie directement entre le client email (Eudora, Outlook ….) et le concentrateur.A la première connexion le logiciel lient doit accepter le certificat du
Serveur de messagerie
Utilisateurdistant
A la première connexion le logiciel lient doit accepter le certificat du concentrateur
Concentrateur
IP : 1 2 3 4
Convertisseur
HTML <-> CIFSHTML
SMTPS
CIFS
IP : 1.2.3.4
SMTPSPOP3SIMAP4S
TCP/IP
SMTPSPOP3SIMAP4S
TCP/IP
SMTPPOP3IMAP4
TCP/IP
SMTPPOP3IMAP4
TCP/IP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 34SMB : Server Message BlockCIFS : Common Internet File System
![Page 35: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/35.jpg)
Accès aux Emails en mode Proxyy
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 35
![Page 36: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/36.jpg)
Accès aux Emails en mode proxyp y
Une reconfiguration du client est nécéssaire pour le support de ssl et l’utilisation de l’ASA en proxyl utilisation de l ASA en proxy
Adresse Email de l’utilisateur
Adresse IP de l’ASA
Login name = concentrateur_username:email_user_name
@server_name*
Adresse IP de l’ASA
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 36
* Si l’username pour Email et concentrateur est identique en saisir un seulexemple avec Eudora
![Page 37: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/37.jpg)
Accès aux Emails en mode proxySSL pour la connexion vers le concentrateurp
Utiliser SSLOutlook Express
Eudora
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 37
Utiliser SSL
![Page 38: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/38.jpg)
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 38
![Page 39: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/39.jpg)
Exemple : telnet vers un host interne
Poste clientC t t
Connexion SSL jusqu’au Concentrateur
Javaapplet
Concentrateur
Loopback
Telnet A.B.C.D
net S
erve
ur_1
127.0.0.x serveur 1
Programmeclient
Teln
_
Telnet Serveur_1 (@IP : A.B.C.D)
clientServeur_1 (@IP:A.B.C.D)
L’applet java :1 Modifie le fichier hosts pour ajouter le serveur avec comme @IP 127 0 0 x
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 39
1. Modifie le fichier hosts pour ajouter le serveur avec comme @IP 127.0.0.x2. Redirige les connexions vers les @IP 127.0.0.x vers le tunnel le tunnel SSL
![Page 40: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/40.jpg)
Redirection de ports : lancement de l’appletpp
Fichier Host local127.0.0.1 localhost1 – L’applet n’est pas démarré, le fichier host est intact
2 – L’applet est lancée, le fichier host est sauvegardédans host.webvpn, le fichier host est modifié
127.0.0.1 localhost127.0.0.2 test-win2003127.0.0.3 win2000-serveur127.0.0.4 linux
Nom du servicePort local Port distant
Octets in/out
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 40
127.0.0.1 localhost1 – L’applet est stoppée, le fichier host restitué
![Page 41: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/41.jpg)
Configuration du port Forwardingg p g
Liste de services
Port tcp coté utilisateur
Nom du serveur
utilisateur
Port tcp coté serveur
Nom du service
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 41
![Page 42: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/42.jpg)
Smart Tunnel8.0
Connexion Client less des applications TCP windock2Connexion Client-less des applications TCP windock2
L’’ASA est en mode proxy
Identification des application son nom sur le poste de travail et viaIdentification des application son nom sur le poste de travail et via un checksum (sha-1)
Exemple pour outlook, outlook express, Lotus sametime ….p p , p ,
Pas de droits administrateurs nécéssaires
Windows 2000 ou WIndowsXP avec un navigateur avec java et/ouWindows 2000 ou WIndowsXP avec un navigateur avec java et/ou activex.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 42
![Page 43: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/43.jpg)
Utilisation du Smart Tunnel8.0
Accès aux applications
ActivationDu
Smart tunnel
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 43
![Page 44: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/44.jpg)
Utilisation du Smart Tunnel8.0
Liste des applications
Le smart tunnelEst activé
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 44
![Page 45: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/45.jpg)
Mode Proxy : Contrôler les accèsyPermit http://intranet.cisco.com/publicPermit rdp://serveur.intra1.cisco.comLimiter les accès aux liens du portail pDeny http://intranet.cisco.com/privateDeny ica://metaframe1.cisco.com
Limiter les accès aux liens du portail
UtilisateurFiltrage niveau 7Filtrage niveau 7
• On peut limiter les accès aux liens présents sur le portailp p p• Si l’utilisateur peut saisir ces propres liens dans le portail, la mise en place d’un filtrage de niveau 7 permet de limiter ses accès
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 45
![Page 46: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/46.jpg)
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 46
![Page 47: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/47.jpg)
VPN-SSL en mode Tunnel
Résultat de l’expérience Cisco dans le domaine du VPN et de
Fonctions Bénéfices
Résultat de l expérience Cisco dans le domaine du VPN et de l’encryption : Client léger, stable et simple à supporter
Permet un accès complet aux applications “comme en SEC” Moins de 250 Ko à télécharger sous la forme d’une applet Java, Active X ou .EXE
Téléchargement rapide du client
Plusieurs méthodes d’installation pour une meilleure compatibilité
Pas de reboot = utilisateur contentPas de reboot nécessaireLe client peut-être supprimé à la fin de la session ou installé de manière permanenteCompatible avec le Softphone Cisco pour le
Pas de reboot = utilisateur content
Aucune trace du client après la session pour plus de sécurité
Support des applications multimédiasp p psupport de la téléphonie sur IPCompatible Windows 2000 et XPCompression des données
pp pp
Administration centralisée
ASA 5500
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 47
![Page 48: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/48.jpg)
VPN-SSL en mode TunnelL’interface
Statistiques
Le tunnel est monté
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 48Téléchargements
![Page 49: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/49.jpg)
Utilisation du split tunnelingp g
SiègeTunnel IPSEC
Siège
InternetPas de Split Tunneling:
Tout est envoyé dans le tunnel, plus d’accès local
ou direct à Internet
www.voila.fr Tunnel SEC ou SSL
Trafic en clair
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 49
![Page 50: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/50.jpg)
Utilisation du split tunnelingp g
SiègeTunnel IPSEC
Siège
InternetSplit tunneling limité :Accès au réseau local
Mais pas d’accès direct à internet
Tunnel SEC ou SSLwww.google.fr
direct à internet
Trafic en clair
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 50
![Page 51: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/51.jpg)
Utilisation du split tunnelingp g
SiègeTunnel IPSEC
InternetSplit Tunneling complet :Le trafic pour le siège est encrypté le reste passe en
clair
www.google.frTunnel IPSEC
Trafic en clairTrafic en clair
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 51
![Page 52: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/52.jpg)
Mode tunnel : Contrôler les accès
Vlan x
UtilisateurFW, IPS, Antix
Vlan y
FW, IPS, AntixVlan z
Mapping VLAN
• L’utilisateur est associé à un groupe policy• L’asa permet de limiter les accès aux réseau (FW, IPS, Antix)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 52
p ( )
![Page 53: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/53.jpg)
Cisco Anyconnect VPN client8.0y
Cisco VPN Client (IPSec Client)SSL VPN Cli t (SVC)SSL VPN Client (SVC)Cisco AnyConnect VPN Client
– Mac OS X 10 4 ou + (power PC et Intel)– Mac OS X 10.4 ou + (power PC et Intel)– Win 2000 SP4, XP SP2, VISTA– Linux RedHat Version 6.2 ou + (Intel), ou libraries compatibles glibc 2 1 1 6 ou + avec kernel 2 2 12 ou + avec support TUNTAP2.1.1-6 ou +, avec kernel 2.2.12 ou + avec support TUNTAP.– Windows Mobile 5 pocket PC edition (Beta)–Optimized transport (DTLS)– Standalone mode (sans navigateur Web)– Start Before Login (SBL) pour Windows– Mise à disposition d’APIMise à disposition d API– Installation MSI– Accès aux ressources internes IPv6 (dans un tunnel IPv4)
S t d DTLS ( ti i ti l fl ibl à l l t )
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 53
– Support de DTLS (optimisation pour les flux sensibles à la latence) auto-dtection à la connexion (le protocole utilise UDP)
![Page 54: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/54.jpg)
Cisco Anyconnect client8.0y
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 54
![Page 55: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/55.jpg)
Cisco Anyconnect clienty
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 55
![Page 56: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/56.jpg)
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 56
![Page 57: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/57.jpg)
Sécurisation du poste de travail pour les connexions WEB VPN
La technologie : VIRTUAL SECURE DESKTOPProtège les informations sécurisées
supprime : cookies, cache du navigateur / historique fichier en attachement des emails, etc. à la fin de la connexion SSL/VPN
Protège contre l’exploitation de ces informations et contre la pénétration du système
Le bureau virtuel sécurisé est transparent pour l’utilisateur et crée automatiquement un environnement sécurisé sous windows 2000 ou XPCisco Secure DesktopWindows 2000 or XP
L’utilisateur a toujours accès à l’ensemble des ressources de son PCToutes les applications et process qui tournent dans le bureau virtuel
Original User Desktop Temporary CSD Desktop
qsécurisé sont contrôlésLe bureau virtuel crée un file system encrypté à la volée et rien n’est écrit en clair sur le disque.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 57
![Page 58: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/58.jpg)
Cisco Secure DesktopPrincipe de fonctionnementp
SSL
SSL-VPNConcentrateur
1. Un utilisateur se connecte en SSL au concentrateur, Cisco Secure Desktop est alorsautomatiquement poussé sur le pc.
2. Secure Desktop contrôle l’environnement pour savoir si il doit démarrer ou pas. La présence de keylogger est testée.
3. Secure Desktop démarre et l’environnement sécurisé est créé.4. L’utilisateur se connecte dans l’environnement sécurisé5. L’accès aux ressources Web-VPN est activé en fonction des droits de l’utilisateur.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 58
6. L’utilisateur se déconnecte le secure desktop détruit les données bit à bit, il se désinstalle.
![Page 59: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/59.jpg)
Cisco Secure DesktopL’interface utilisateur
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 59
![Page 60: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/60.jpg)
Définition des conditions de lancement
Poste du bureau
Poste d’un partenairePoste d un partenaire
Certificat présent ?
fichier présent ? Poste externe
Tests possiblesFichierClé de registreCertificatVersion de Windows
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 60
Adresse IP du réseau
![Page 61: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/61.jpg)
Secure Desktop8.0p
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 61
![Page 62: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/62.jpg)
Host assessment
Il existe plusieurs méthodes pour contrôler la conformité à la liti d é ité d’ t d t ilpolitique de sécurité d’un poste de travail.- NAC (network Access Control)- Host assessment intégré au secure Desktop
Methodes de contrôle
Ce qui est inspecté
Host assessment intégré au secure Desktop
Mode clientless Host assessment du Secure Destop
Politique NAC ou SD
Mode Tunnel IPSEC NAC Politique NACMode Tunnel IPSEC NAC Politique NAC
Mode Tunnel SSL NAC ou Host t d
OS, Antivirus, tiassessment du
Secure Destopantispyware, firewall, …
Pour avoir la liste des antivirus, antispyware et firewall supportés http://www.opswat.com/
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 62
, py pp p p
![Page 63: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/63.jpg)
Advanced AssessmentModification des droits de l’utilisateur en fonction des éléments présents sur le
tposte :• Anti-spyware• Anti-virus• Application
Fi hi• Fichier• Politique NAC• OS• FW personnel
P é i• Process en mémoire• Base de registre
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 63
![Page 64: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/64.jpg)
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 64
![Page 65: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/65.jpg)
Politique de sécuritéq
User policy Group policy DefaultGroup policy
• La policy la plus spécifique est prioritaire :• User > Group > Default
• Si aucune policy définie la default policy est active• Si aucune policy définie, la default policy est active
policy :Type de tunnels (IPSec WebVPN SSL tunnel L2TP IPSec)Type de tunnels (IPSec, WebVPN, SSL tunnel, L2TP-IPSec)Limites de connexions (nbr de tunnels, heures)Serveurs pour le mode tunnel : DNS, Netbios Configuration ipsec
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 65
Configuration client ipsecConfiguration WebVPN (modes, et paramètres)
![Page 66: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/66.jpg)
Dynamic Access policyy p y
Policy prioritaire par rapport à toutes les autresPolicy prioritaire par rapport à toutes les autres.Host Assessment
Attributs de sélectionLDAP Radius CiscoLDAP, Radius, Cisco
Policy à appliquer
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 66
![Page 67: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/67.jpg)
AAA : Authentification externe
RadiusTACACS+NT D iNT DomainEtrust Secure IDKerberosKerberosGénérique LDAP (Open LDAP, AD, …)HTTP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 67
![Page 68: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/68.jpg)
AAA autorisation : annuaire LDAPSolution traditionnelle :
- Importer le schéma Cisco dans l’annuairedn:
CN=cVPN3000-Access-Hours,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=comchangetype: addadminDisplayName: cVPN3000-Access-HoursattributeID: 1 2 840 113556 1 8000 795 2 1attributeID: 1.2.840.113556.1.8000.795.2.1attributeSyntax: 2.5.5.3cn: cVPN3000-Access-HoursinstanceType: 4isSingleValued: TRUElDAPDisplayName: cVPN3000-Access-HourslDAPDisplayName: cVPN3000 Access HoursdistinguishedName:CN=cVPN3000-Access-Hours,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=comobjectCategory:CN=Attribute-Schema,CN=Schema,CN=Configuration,OU=People,DC=ExampleCorporation,DC=comobjectClass: attributeSchemajoMSyntax: 27name: cVPN3000-Access-HoursshowInAdvancedViewOnly: TRUE.....
- Utilisation des attributs Cisco pour paramétrer la politique de sécurité
- Un utilisateur externe est associé au groupe par l’attribut « vpn-group-policy »
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 68
- En cas d’utilisation d’un serveur Radius par l’attribut Radius CLASS attribut (25) dans le format « OU=GroupName »
![Page 69: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/69.jpg)
Mapping des Attributs LDAPpp g
Mapping des attributs LDAP de l’entreprise sur les attributs CiCisco
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 69
![Page 70: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/70.jpg)
Agenda:g
Introduction
Offre Cisco et architectures
Les différents modes d’accès
Mode Clientless
Port Forwarding et smart tunnel
Mode Tunnel
Securiser le poste de travail
Group Policy
Administration
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 70
![Page 71: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/71.jpg)
ASDM 6.0 : SSL VPN WizardASDM 6.0 : SSL VPN Wizard
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 71
![Page 72: SSL-VPN Solutions Cisco - Freefoxclan69.free.fr/eBook/Cisco/Cisco_Expo_2007/03_30_14_30_3_ssl_vpn.pdfAccès à toutes les applications et au type de trafic Le client VPN permet un](https://reader033.fdocuments.in/reader033/viewer/2022060300/5f082a2e7e708231d420a908/html5/thumbnails/72.jpg)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 727272