Cisco Secure Desktop (CSD 3.1.x) auf ASA 7.2.x für Windows - Konfigurationsbeispiel mit ASDM

Einleitung

Cisco Secure Desktop (CSD) erweitert die Sicherheit der SSL VPN-Technologie. Der CSD stellt auf der Workstation eines Benutzers eine separate Partition für die Sitzungsaktivität bereit. Dieser Vault-Bereich wird während der Sitzungen verschlüsselt und am Ende einer SSL VPN-Sitzung vollständig entfernt. Windows kann mit allen Sicherheitsvorteilen von CSD konfiguriert werden. Macintosh, Linux und Windows CE haben nur Zugriff auf die Funktionen Cache Cleaner, Web Browsing und Dateizugriff. CSD kann für Windows-, Macintosh-, Windows CE- und Linux-Geräte auf folgenden Plattformen konfiguriert werden:

• Cisco Adaptive Security Appliance (ASA) der Serie 5500

• Cisco Router mit Cisco IOS^® Software Version 12.4(6)T und höher

• Cisco VPN Concentrators der Serie 3000, Version 4.7 und höher

• Cisco WebVPN-Modul für Catalyst Router der Serien 6500 und 7600

Hinweis: Mit CSD Version 3.3 können Sie Cisco Secure Desktop jetzt für die Ausführung auf Remotecomputern konfigurieren, auf denen Microsoft Windows Vista ausgeführt wird. Bisher war Cisco Secure Desktop auf Computer mit Windows XP oder 2000 beschränkt. Weitere Informationen finden Sie in den Versionshinweisen für Cisco Secure Desktop, Version 3.3, im Abschnitt Neue Funktionsverbesserungen - Sicherer Desktop unter Vista.

In diesem Beispiel wird in erster Linie die Installation und Konfiguration von CSD auf der ASA 5500 Serie für Windows-Clients behandelt. Optionale Konfigurationen für Windows CE-, Mac- und Linux-Clients werden zur Vervollständigung hinzugefügt.

Der CSD wird in Verbindung mit der SSL VPN-Technologie (Clientless SSL VPN, Thin-Client SSL VPN oder SSL VPN Client (SVC)) verwendet. CSD steigert den Wert sicherer Sitzungen der SSL VPN-Technologie.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie diese Konfiguration ausprobieren:

Anforderungen an das ASA-Gerät

• Cisco CSD Version 3.1 oder höher

• Cisco ASA Softwareversion 7.1.1 oder höher

• Cisco Adaptive Security Device Manager (ASDM) Version 5.1.1 oder höher

  Hinweis: CSD Version 3.2 unterstützt nur ASA Version 8.x

  Hinweis: Weitere Informationen dazu, wie die ASA vom ASDM konfiguriert werden kann, finden Sie unter Zulassen des HTTPS-Zugriffs für ASDM.

Anforderungen für Client-Computer

• Remote-Clients sollten über lokale Administratorberechtigungen verfügen. Dies ist nicht erforderlich, wird aber dringend empfohlen.

• Remote-Clients müssen Java Runtime Environment (JRE) Version 1.4 oder höher aufweisen.

• Remote-Client-Browser: Internet Explorer 6.0, Netscape 7.1, Mozilla 1.7, Safari 1.2.2 oder Firefox 1.0

• Cookies aktiviert und Popups auf Remote-Clients zugelassen

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco ASDM Version 5.2(1)

• Cisco ASA Version 7.2(1)

• Cisco CSD Version-securedesktop-asa-3.1.1.32-k9.pkg

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle in diesem Dokument verwendeten Geräte begannen mit einer gelöschten (Standard-)Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen. Die in dieser Konfiguration verwendeten IP-Adressen sind RFC 1918-Adressen. Diese IP-Adressen sind im Internet nicht zulässig und dürfen nur in Testlabor-Umgebungen verwendet werden.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Hintergrundinformationen

CSD nutzt SSL VPN-Technologie, daher sollte Client-los, Thin-Client oder SVC vor der Konfiguration von CSD aktiviert werden.

Netzwerkdiagramm

Verschiedene Windows-Standorte können mit den vollständigen Sicherheitsaspekten von CSD konfiguriert werden. Macintosh, Linux und Windows CE haben nur Zugriff auf den Cache Cleaner und/oder das Web-Browsing und den Dateizugriff.

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

Konfigurieren des CSD auf der ASA für Windows-Clients

Konfigurieren Sie die CSD auf der ASA für Windows-Clients mit fünf Hauptschritten:

• Erwerben, installieren und aktivieren Sie die CSD-Software auf der Cisco ASA.

• Definieren von Windows-Speicherorten.

• Definieren der Windows-Standortidentifizierung

• Windows-Standortmodule konfigurieren

• Konfigurieren der Windows-Standortfunktionen

• Optionale Konfiguration für Windows CE-, Macintosh- und Linux-Clients

Erwerb, Installation und Aktivierung der CSD-Software

Führen Sie die folgenden Schritte aus, um die CSD-Software auf der Cisco ASA herunterzuladen, zu installieren und zu aktivieren.

1. Laden Sie die CSD-Software securedesktop-asa*.pkg und die Readme-Dateien von der Cisco Software Download-Website auf Ihre Managementkonsole herunter.

2. Melden Sie sich bei ASDM an, und klicken Sie auf die Schaltfläche "Konfiguration". Klicken Sie im linken Menü auf die Schaltfläche CSD Manager, und klicken Sie auf den Link Cisco Secure Desktop.

   

3. Klicken Sie auf Hochladen, um das Fenster Bild hochladen anzuzeigen.

   1. Geben Sie entweder den Pfad der neuen .pkg-Datei auf der Verwaltungsstation ein, oder klicken Sie auf Lokale Dateien durchsuchen, um die Datei zu suchen.

   2. Geben Sie entweder den Speicherort im Flash-Speicher ein, an dem die Datei gespeichert werden soll, oder klicken Sie auf Flash durchsuchen.

   3. Klicken Sie auf Datei hochladen.

   4. Wenn Sie dazu aufgefordert werden, klicken Sie auf OK > Schließen > OK.

   

4. Wenn das Client-Image in Flash geladen wurde, aktivieren Sie das Kontrollkästchen SSL VPN Client aktivieren, und klicken Sie dann auf Anwenden.

5. Klicken Sie auf Speichern und dann auf Ja, um die Änderungen zu übernehmen.

Definieren von Windows-Speicherorten

Führen Sie diese Schritte aus, um Windows-Speicherorte zu definieren.

1. Klicken Sie auf die Schaltfläche Konfiguration.

2. Klicken Sie im linken Menü auf die Schaltfläche CSD Manager, und klicken Sie auf den Link Cisco Secure Desktop.

3. Klicken Sie im Navigationsbereich auf Windows-Standorteinstellungen.

4. Geben Sie einen Standortnamen in das Feld Hinzuzufügender Standort ein, und klicken Sie auf Hinzufügen.

   Beachten Sie die drei Standorte in diesem Beispiel: Office, Home und andere.

   • Office stellt Workstations dar, die sich innerhalb der Sicherheitsgrenze des Unternehmens befinden.

   • Home steht für Benutzer, die von zu Hause aus arbeiten.

   • Other steht für einen beliebigen anderen Ort als die beiden genannten.

   

5. Erstellung eigener Standorte je nach Layout der Netzwerkarchitektur für Vertrieb, Gäste, Partner usw.

6. Während der Erstellung von Windows-Speicherorten wird der Navigationsbereich um konfigurierbare Module für jeden neuen Speicherort erweitert. Klicken Sie auf Alle übernehmen.

7. Klicken Sie auf Speichern und dann auf Ja, um die Änderungen zu übernehmen.

Windows-Standortidentifizierung

Führen Sie diese Schritte aus, um die Windows-Standortidentifizierung zu definieren.

1. Identifizieren Sie die unter Windows-Speicherorte definieren erstellten Speicherorte.

   

2. Um den Speicherort Office zu identifizieren, klicken Sie im Navigationsbereich auf Office.

   1. Deaktivieren Sie Sicherer Desktop und Cache-Bereinigung, da es sich um interne Computer handelt.

   2. Aktivieren Sie Identifikation anhand von IP-Kriterien aktivieren.

   3. Geben Sie die IP-Adressbereiche der internen Computer ein.

   4. Aktivieren Sie Identifikation anhand von Registrierungs- oder Dateikriterien aktivieren. Dadurch werden interne Mitarbeiter von gelegentlichen Gästen im Netzwerk unterschieden.

   

3. Klicken Sie auf Kriterien konfigurieren. Es wird ein einfaches Beispiel für eine Datei "DoNotDelete.txt" konfiguriert. Diese Datei muss auf Ihren internen Windows-Computern vorhanden sein und ist lediglich ein Platzhalter. Sie können auch einen Windows-Registrierungsschlüssel konfigurieren, um interne Bürocomputer zu identifizieren. Klicken Sie im Fenster Dateikriterium hinzufügen auf OK. Klicken Sie im Fenster Registrierungs- und Dateikriterien auf OK.

   

4. Klicken Sie im Fenster Identifikation für Office auf Alle übernehmen. Klicken Sie auf Speichern und dann auf Ja, um die Änderungen zu übernehmen.

5. Klicken Sie im Navigationsbereich auf Home (Startseite), um den Speicherort zu identifizieren.

   1. Aktivieren Sie Identifikation anhand von Registrierungs- oder Dateikriterien aktivieren.

   2. Klicken Sie auf Kriterien konfigurieren.

   

6. Heimcomputer-Clients müssen von einem Administrator mit diesem Registrierungsschlüssel konfiguriert worden sein. Klicken Sie im Fenster Registrierungskriterium hinzufügen auf OK. Klicken Sie im Fenster Registrierungs- und Dateikriterien auf OK.

   

7. Aktivieren Sie unter Location Module das Kontrollkästchen Secure Desktop. Klicken Sie im Fenster Identifikation für Startseite auf Alle übernehmen. Klicken Sie auf Speichern und dann auf Ja, um die Änderungen zu übernehmen.

8. Um den Speicherort Andere zu identifizieren, klicken Sie im Navigationsbereich auf Andere.

   1. Aktivieren Sie nur das Kontrollkästchen Cache Cleaner, und deaktivieren Sie alle anderen Kontrollkästchen.

   2. Klicken Sie im Fenster "Identifizierung für andere" auf Alle übernehmen.

   3. Klicken Sie auf Speichern und dann auf Ja, um die Änderungen zu übernehmen.

   

Windows-Standortmodul konfigurieren

Führen Sie diese Schritte aus, um die Module an jedem der drei von Ihnen erstellten Standorte zu konfigurieren.

1. Für Office-Clients sollten Sie nichts tun, da Secure Desktop und Cache Cleaner in den vorherigen Schritten nicht ausgewählt wurden. Mit der ASDM-Anwendung können Sie den Cache Cleaner konfigurieren, auch wenn er in einem vorherigen Schritt nicht ausgewählt wurde. Behalten Sie die Standardeinstellungen für die Office-Speicherorte bei.

   Hinweis: Die VPN-Funktionsrichtlinie wird in diesem Schritt nicht behandelt, sondern in einem nachfolgenden Schritt für alle Standorte.

2. Klicken Sie für Home-Clients im Navigationsbereich auf Home and Keystroke Logger (Startseite und Tastenanschlagsprotokollierung).

   1. Aktivieren Sie im Fenster "Keystroke Logger" die Option Check for keystroke loggers.

   2. Klicken Sie im Fenster "Keystroke Logger" auf Apply All (Alle übernehmen).

   3. Klicken Sie auf Speichern und dann auf Ja, um die Änderungen zu übernehmen.

   

3. Wählen Sie unter Home (Startseite) Cache Cleaner (Cache-Reiniger) und die Parameter für Ihre Umgebung aus.

   

4. Wählen Sie unter Home (Startseite) Secure Desktop General (Sicherer Desktop - Allgemein) und die Parameter für Ihre Umgebung aus.

   

5. Wählen Sie unter Home (Startseite) Secure Desktop Settings (Sichere Desktopeinstellungen).

   1. Aktivieren Sie das Kontrollkästchen E-Mail-Anwendungen transparent arbeiten lassen, und konfigurieren Sie die anderen Einstellungen entsprechend Ihrer Umgebung.

   2. Klicken Sie auf Alle übernehmen.

   3. Klicken Sie auf Speichern und dann auf Ja, um die Änderungen zu übernehmen.

   

Konfigurieren von Windows-Standortfunktionen

Konfigurieren Sie die VPN-Funktionsrichtlinie für jeden von Ihnen erstellten Standort.

1. Klicken Sie im Navigationsbereich auf Office und dann auf VPN Feature Policy.

2. Klicken Sie auf die Registerkarte "Gruppenbasierte Richtlinie".

   1. Klicken Sie auf das Optionsfeld Gruppenrichtlinie immer verwenden.

   2. Klicken Sie auf die Registerkarte Web-Browsing, und aktivieren Sie das Optionsfeld Immer aktiviert.

   3. Befolgen Sie die gleichen Verfahren für die Registerkarten Dateizugriff, Portweiterleitung und Vollständiges Tunneling.

   4. Klicken Sie auf Alle übernehmen.

   5. Klicken Sie auf Speichern und dann auf Ja, um die Änderungen zu übernehmen.

   

3. Für Privatanwender kann jedes Unternehmen bestimmte Richtlinien anfordern, bevor der Zugriff erlaubt wird. Klicken Sie im Navigationsfenster auf Home (Startseite), und klicken Sie auf VPN Feature Policy (VPN-Funktionsrichtlinie).

   1. Klicken Sie auf die Registerkarte "Gruppenbasierte Richtlinie".

   2. Klicken Sie auf das Optionsfeld Use Success Group Policy (Erfolgreiche Gruppenrichtlinie verwenden), wenn vorkonfigurierte Kriterien übereinstimmen, z. B. ein bestimmter Registrierungsschlüssel, ein bekannter Dateiname oder ein digitales Zertifikat.

   3. Aktivieren Sie das Kontrollkästchen Standortmodul, und wählen Sie Sicherer Desktop aus.

   4. Wählen Sie die Bereiche Anti-Virus, Anti-Spyware, Firewall und Betriebssystem gemäß Ihrer Sicherheitsrichtlinie aus. Privatbenutzer dürfen nur dann auf das Netzwerk zugreifen, wenn ihre Computer die konfigurierten Kriterien erfüllen.

   

4. Klicken Sie im Navigationsfenster auf Andere und dann auf VPN-Funktionsrichtlinie.

   1. Klicken Sie auf die Registerkarte "Gruppenbasierte Richtlinie".

   2. Klicken Sie auf das Optionsfeld Gruppenrichtlinie immer verwenden.

   

5. Für Clients an diesem Speicherort der VPN-Funktionsrichtlinie klicken Sie auf die Registerkarte Web Browsing (Webbrowsen), und klicken Sie auf das Optionsfeld Always Enabled (Immer aktiviert).

   1. Klicken Sie auf die Registerkarte Dateizugriff, und klicken Sie auf das Optionsfeld Deaktivieren.

   2. Wiederholen Sie den Schritt mit den Registerkarten Port Forwarding und Full Tunneling.

   3. Klicken Sie auf Alle übernehmen.

   4. Klicken Sie auf Speichern und dann auf Ja, um die Änderungen zu übernehmen.

   

Optionale Konfigurationen für Windows CE-, Macintosh- und Linux-Clients

Diese Konfigurationen sind optional.

1. Wenn Sie Windows CE im Navigationsbereich auswählen, aktivieren Sie das Kontrollkästchen Webbrowsing.

   

2. Wenn Sie Mac und Linux Cache Cleaner aus dem Navigationsfenster wählen, aktivieren Sie das Kontrollkästchen Launch cleanup upon global timeout radio dial (Säuberung bei globalem Timeout starten).

   1. Ändern Sie die Zeitüberschreitung in Ihre Spezifikation.

   2. Überprüfen Sie im Bereich VPN Feature Policy (VPN-Funktionsrichtlinie) die Funknummern für Webbrowsing, Dateizugriff und Port Forwarding für diese Clients.

   

3. Ob Sie Windows CE oder Mac und Linux Cache Cleaner auswählen, klicken Sie auf Alle übernehmen.

4. Klicken Sie auf Speichern und dann auf Ja, um die Änderungen zu übernehmen.

Konfigurieren

Konfiguration

Diese Konfiguration spiegelt die Änderungen wider, die ASDM vorgenommen hat, um CSD zu aktivieren: Die meisten CSD-Konfigurationen werden im Flash-Speicher in einer separaten Datei gespeichert.

ciscoasa#show running-config 
 Building configuration...
ASA Version 7.2(1) 

!

hostname ciscoasa

domain-name cisco.com

enable password 2KFQnbNIdI.2KYOU encrypted

names

!

interface Ethernet0/0

 nameif outside

 security-level 0

 ip address 172.22.1.160 255.255.255.0 

!

interface Ethernet0/1

 nameif inside

 security-level 100

 ip address 10.2.2.1 255.255.255.0 

!

interface Ethernet0/2

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Management0/0

 shutdown

 no nameif

 no security-level

 no ip address

 management-only

!

passwd 2KFQnbNIdI.2KYOU encrypted

ftp mode passive

dns server-group DefaultDNS

 domain-name cisco.com

no pager

logging enable

logging asdm informational

mtu outside 1500

mtu inside 1500


!--- ASDM location on disk0


asdm image disk0:/asdm521.bin

no asdm history enable

arp timeout 14400

nat-control

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout uauth 0:05:00 absolute

!--- some group policy attributes

group-policy GroupPolicy1 internal

group-policy GroupPolicy1 attributes

 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn

 webvpn

  functions url-entry file-access file-entry file-browsing

username user1 password mbO2jYs13AXlIAGa encrypted privilege 15

username user1 attributes

 vpn-group-policy GroupPolicy1

username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15

username cisco attributes

 vpn-group-policy DfltGrpPolicy

 webvpn

  port-forward none

  port-forward-name value Application Access

http server enable

http 10.2.2.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

!--- tunnel group information

tunnel-group DefaultWEBVPNGroup general-attributes

 default-group-policy GroupPolicy1

tunnel-group DefaultWEBVPNGroup webvpn-attributes

 hic-fail-group-policy GroupPolicy1

 nbns-server 10.2.2.30 timeout 2 retry 2

telnet timeout 5

ssh timeout 5

console timeout 0

!

class-map inspection_default

 match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

 parameters

  message-length maximum 512

policy-map global_policy

 class inspection_default

  inspect dns preset_dns_map 

  inspect ftp 

  inspect h323 h225 

  inspect h323 ras 

  inspect netbios 

  inspect rsh 

  inspect rtsp 

  inspect skinny 

  inspect esmtp 

  inspect sqlnet 

  inspect sunrpc 

  inspect tftp 

  inspect sip 

  inspect xdmcp 

!

service-policy global_policy global

!--- webvpn parameters

webvpn

 port 1443

 enable outside

 enable inside

!--- csd location

 csd image disk0:/securedesktop-asa-3.1.1.32-k9.pkg

 csd enable

 customization DfltCustomization

  title text YOUR-COMPANY SSL VPN Services

  title style background-color: rgb(204,204,255);color: rgb(51,0,255);

  border-bottom:5px groove #669999;font-size:larger;vertical-align:middle;text-align:

  left;font-weight:bold

 url-list ServerList "Windows Shares" cifs://10.2.2.30 1

 url-list ServerList "Tacacs Server" http://10.2.2.69:2002 2

 tunnel-group-list enable

prompt hostname context 

Cryptochecksum:a840d81f0af21d869db4fa559e83d6d0

: end
 !
 end

Überprüfung

Verwenden Sie diesen Abschnitt, um zu bestätigen, dass Ihre Konfigurationen für Clientless SSL VPN, Thin-Client SSL VPN oder SSL VPN Client (SVC) ordnungsgemäß funktionieren.

Testen Sie den CSD mit einem PC, der mit verschiedenen Windows-Speicherorten konfiguriert wurde. Jeder Test sollte einen anderen Zugriff gemäß den Richtlinien bereitstellen, die Sie im obigen Beispiel konfiguriert haben.

Sie können die Portnummer und die Schnittstelle ändern, auf der die Cisco ASA WebVPN-Verbindungen abhört.

• Der Standardport ist 443. Wenn Sie den Standardport verwenden, ist der Zugriff auf die IP-Adresse https://ASA.

• Wenn Sie einen anderen Port verwenden, ändert sich der Zugriff auf https://ASA IP Address:newportnumber.

Befehle

Mit WebVPN sind mehrere Befehle zum Anzeigen verknüpft. Sie können diese Befehle über die Kommandozeile ausführen, um Statistiken und andere Informationen anzuzeigen. Weitere Informationen zur Verwendung der Befehle show finden Sie unter Verifying WebVPN Configuration (Überprüfen der WebVPN-Konfiguration).

Hinweis: Das Output Interpreter Tool (nur für registrierte Kunden) (OIT) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen.

Fehlerbehebung

In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

Wenn Sie Probleme mit dem Remoteclient haben, überprüfen Sie Folgendes:

1. Sind Pop-ups, Java und/oder ActiveX im Webbrowser aktiviert? Diese müssen je nach verwendeter SSL VPN-Verbindung möglicherweise aktiviert werden.

2. Der Client muss die digitalen Zertifikate akzeptieren, die zu Beginn der Sitzung vorgelegt werden.

Befehle

Mit WebVPN sind mehrere Debug-Befehle verknüpft. Ausführliche Informationen zu diesen Befehlen finden Sie unter Verwenden von WebVPN-Debugbefehlen..

Hinweis: Die Verwendung von Debug-Befehlen kann sich negativ auf das Cisco Gerät auswirken. Lesen Sie den Artikel Important Information on Debug Commands (Wichtige Informationen zu Debug-Befehlen), bevor Sie debug-Befehle verwenden.

Zugehörige Informationen

• Cisco Adaptive Security Appliances der Serie ASA 5500
• ASA mit WebVPN und einmaliger Anmeldung unter Verwendung von ASDM und NTLMv1 - Konfigurationsbeispiel
• Technischer Support und Dokumentation für Cisco Systeme