Cisco Remote VPN – The king is dead long live the king
Primesc zilele astea o veste , Cisco anunta End of Life-End of support pentru vechiul,mult prea iubitul si folositul client VPN IPsec pe care il avem cu totii. Link-ul care ne aduce aceasta veste trista este
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5743/ps5699/ps2308/end_of_life_c51-680819.html
Pe undeva era iminenta aceaste veste dupa ce Cisco in ultima perioada a facut eforturi pe toate planurile spre a impinge noul client de vpn Anyconnect. Problema e ca din cate inteleg Anyconnectul va costa ceva banuti,desi in momentul de fata nimeni nu poate sa imi spuna care sunt licentele ce trebuie cumparate pentru a fi implementate pe routere. O alta problema cu acest client este ca pe routerele ISR nu se pot implementa featurile avansate si nivelul extrem de ridicat de stabilitate disponibil pentru deployment-urile de pe Cisco ASA.
Anyconnectul e facut sa stea in sanul unei ASA.Se poate si pe routere,am reusit dar optiunile sunt mult mai limitate.
Inainte sa intru in paine povestindu-va experienta ultimelor zile legat de acest subiect pot sa va spun ca licenta pe ASA pentru obscur de ieftina ajungand o licenta de anyconnect essentials pentru 250 useri sa coste cca 250 dolari,pret luat de pe google,fara discount-uri.
Comparativ cu alti vendori licenta este nesimtzit de ieftina,comparativ cu competitia care cere mult peste 10000$ pentru 100 de useri.
Problema de care m-am lovit aceste zile a fost ca trebuia sa fac un concentrator de VPN-uri pentru o companie care avea multi clienti.
Device-ul folosit a fost o ASA 5510 cu licenta de Anyconnect essentials cumparata special pentru acest lucru,nu face nimic altceva decat concentrator de VPN-uri Remote prin Anyconnect 3.0 Secure Mobility Client.
Zis si facut,inarmat cu experienta anterioara in instalarea Anyconnectulul,am pus pe picioare in cateva minute device-ul.
Totusi exista o problema,nu tehnica ci mai mult cerinta de bussines,la conectare anyconnect-ul incercand sa usureze viata utilizatorului afisa toate grupurile (nume client ). Problema era ca nu doream ca acest clienti sa se vada unii pe altii,nu vroiam ca firma x sa ma intrebe ce e cu firma y,nu vroiam ca acesti clienti sa se vada unii pe altii,utilizatorii unei companii sa poate alege alt grup.Vroiam ca totul sa fie invizibil pentru user.Am cautat aceste raspunsuri pe google pe forumuri,dar nimic,se pare ca acest anyconnect fiind destul de noi,multa lume folosindu-l in interiorul companiilor si nu ca si concentrator nu aveau problema ca grupurile internet gen contabilitate sau vanzari sa se vada la faza de selectie oricum trebuind a fi introdusa o parola,aceasta selectie fiind facuta doar pentru a alege departamentul.
Situatia fiind grava am recurs la ceva de neconceput pentru multa lume.Am deschis cartea. Cisco Certified Security Profesional official guide partea de VPN-uri. (815 pagini) .Mi-am facut curaj si am inceput sa citesc.3 zile a durat sa ma iluminez si am sa va povestesc la ce am ajuns.Fiti pregatiti ca urmeaza chestii grele.
Optiunea 1
Group URL`s
In conenction profile,pe profilul respectiv specificam un group URL.
Group-ul url este ceva de genul
https://<IP ASA sau FQDN>/FirmaConstructii
Scoate bifa de la connection Aliases in asa fel incat daca cineva acceseaza direct ip-ul ASA-ei nu va mai aparea group-ul FirmaConstructii la selectie,acest group putand fii accesat doar prin introducerea in browser a adresei de mai sus sau direct in clientul de anyconnect folosind <ip ASA sau FQDN>/Firmaconstructii. Click pe imagini pentru a le marii.
Problema rezolvata !!! Am deschis o sticla de Jack,dar problema nu era nici pe departe rezolvata de partea clientului.Pana acum am rezolvat doar remote-vpn-ul pentru clientii care erau firme hostate acolo.Acei clienti se autentificau utilizand radius-urile proprii.
Problema era ca trebuie si pentru alti clienti facute solutii de remote VPN pe baza de certificate iar clientul trebuia sa primeasca certificatul automat pe mail,sa il instaleze fara bataie de cap plus automat ASA-ul sa vada a cui este certificatul respectiv si sa-l introduca automat in profilul respectiv.
Inapoi cu mana pe carte.
Citesc,citesc din dintr-o data EVRIKA !!!!!
ASA poate sa fie server de certificate (CA),mai presus configurarea acestui lucru este foarte simpla.Din pacate device-ul fiind deja configurat nu pot sa pun screenshot,dar promit ca vom configura unul poate in weekendul asta si va arat de unde si cum.
La CA in submeniul manage user database se adauga username-ul si odata cu creearea user-ului si implicit certificatului se poate specifica atributele precum O=organization name.Acest lucru este foarte important si o sa vedeti imediat de ce.
Odata creat userul se foloseste butonul EMAIL OTP
Email-ul ajunge la userul respectiv aratand cam asa (superb)
Din acest email user-ul dand click pe link-ul respectiv va fi directionat spre adresa care se afla pe ASA pentru a downloada certificatul
Site-ul respectiv arata cam asa
Se introduce la One-time Password parola primita in mail.Parola este valabil doar odata si daca nu este utilizata expira in 24 de ore (cat de cool)
Daca ce ati introdus e ok,se genereaza certificatul si apare la download.Dati save sau run si urmati wizardul din windows.Next-Next-Finish. 🙂
Acum aveti instalat certificatul in Certificate Store in Windows.Anyconnect cand se va conecta stie ce certificate aveti instalate in CertStore.
Cand am spus ca e foarte important la creearea user-lui sa asignam niste atribute gen O=FIRMACONSTRUCTII ne este de folos pentru ca exista un concept care ASA vazand ca in certificat exista firma x poate sa introduca userul respectiv direct in grupul dorit.Conceptul se numeste certificate to conection profile map.
Va dau un screenshot si de aici.
In toate cazurile cu certificate autentificarea se face atat pe baza de certificate cat si pe baza de username si parola.
Nu lasati doar pe baza de certificate pt ca odata avand certificatul nu va mai cere parola,ci folositi certificatul pentru ca acel user sau grup de useri sa aiba access la a introduce parola.Fara certificate chiar daca stiti username-ul si parola sunteti intampinat cu eroarea de mai jos utilizand clientul anyconnect.
In browser arata eroarea
Cam astea sunt optiunile pe care le-am implementat pe ASA si Anyconnect.Un ultim task este crearea unui User suprem folosind Token-uri cu one time password dar asta intr-un episod viitor (ca sa citez din Teleenciclopedia)
Imi cer scuze ca acest post nu este un tutorial este doar o prezentare partiala a featureurilor pe care eu le-am implementat pe o ASA.Sunt doar concepte de care m-am lovit in practica si a trebuit sa gasesc solutii,solutii pe care vreau sa le impartasesc cu voi.
Parerea mea ca Anyconnect este un client foarte complex si ceea ce am prezentat eu aici este doar o fractiune din ce poate sa faca si ce am facut in practica cu o ASA 5510 (entry level) si o licenta ce costa doar 250$ pret de lista.
Odata cu aceasta implementare am mai avut o revelatie cum ca retelista a depasit stadiul de “hai ca mutam biti dintr-o parte in alta” ,ai ping si merge netul, in concepte complicate ce necestita mult studiu,rabdare dar toate astea aduc de la sine bucuria cand totul merge atat de simplu si elegant pentru user dar atat de complicat in spatele cortinei.
Nu pot decat rezuma parafrazand o reclama la mezeluri 🙂
Matache Retelaru : Retelista asta nu e asa simpla cum crede lumea.