ASA Clientless SSL VPN (WebVPN)

ClientLess SSL VPN permite un acceso seguro pero limitado a la red corportiva desde cualquier ubicación utilizando para ello un navegador Web. La tecnologia SSL VPN puede ser utilizada de tres maneras posibles: Clientless SSL VPN, Thin-Client SSL VPN (Port Forwarding), and SSL VPN Client (SVC Tunnel Mode).Aqui nos centramos en la primera de ellas

Diagrama de Red

En este documento se utiliza esta configuración de la red:

webvpnasa1-1.gif

Continue reading “ASA Clientless SSL VPN (WebVPN)”

CISCO ASA VPN sitio a sitio con PSK

La conexión VPN sitio a sitio con ASA no es muy distinta a la de un PIX o un router.
Pasos a dar:
1-Politica ISAKMP o IKE Phase1:

Authentication:PSK
Hash: MD5 oSHA
Encryption: DES,3DES,AES
Group: 1,2 o 5

2-IPSEC Transform set

3-Crypto ACL : Definicion de trafico interesante o iniciadores del tunel.

4-Definicion del Crypto Map

5-Aplicacion del Crypto Map al interfaz

Ejemplo:

asaConfiguracion del ASA A

 

Politica ISAKMP (IKE Phase1) 

ASA-A(config)#crypto isakmp policy 10

ASA-A(config-isakmp)#encryption des 

ASA-A(config-isakmp)#hash md5

ASA-A(config-isakmp)#authentication pre-share

ASA-A(config-isakmp)#group 2   

ASA-A(config-isakmp)#exit  

Clave compartida PSK

ASA-A(config)#crypto isakmp key office address 20.1.1.20

Lista de Acceso definiendo el trafico interesante

ASA-A(config)#access-list 100 permit ip host 20.1.1.10 host 20.1.1.20

Creacion del TransfromSet (IKE Phase2)

ASA-A(config)#crypto ipsec transform-set ts2 esp-des esp-md5-hmac

Creacion del Crypto Map

ASA-A(config)#crypto map imap 10 ipsec-isakmp 

ASA-A(config)# crypto map imap 10 match address 100   

ASA-A(config)# crypto map imap 10 set transform-set ts2

ASA-A(config)# crypto map imap 10 set peer 20.1.1.20 

Aplicamos el CryptoMap alinterfaz externo

ASA-A(config)# crypto map imap interface outside

 (Apply crypto map on outside interface)

ASA-A(config)# crypto isakmp enable outside

Configuration of ASA on side B 

ASA-B(config)#crypto isakmp policy 10

ASA-B(config-isakmp)#encryption des 

ASA-B(config-isakmp)#hash md5

ASA-B(config-isakmp)#authentication pre-share

ASA-B(config-isakmp)#group 2   

ASA-B(config-isakmp)#exit  

ASA-B(config)#crypto isakmp key office address 20.1.1.10

ASA-B(config)#access-list 100 permit ip host 20.1.1.20 host 20.1.1.10

ASA-B(config)#crypto ipsec transform-set ts2 esp-des esp-md5-hmac

ASA-B(config)#crypto map imap 10 ipsec-isakmp 

ASA-B(config)# crypto map imap 10 match address 100   

ASA-B(config)# crypto map imap 10 set transform-set ts2

ASA-B(config)# crypto map imap 10 set peer 20.1.1.10 

ASA-B(config)# crypto map imap interface outside 

ASA-B(config)# crypto isakmp enable outside

ASA-B(config)# ping 20.1.1.10