SSL VPN (WEB VPN)
Định nghĩa:
SSL VPN, hay còn gọi là Web VPN cung cấp một sự hỗ trợ về phần mềm cisco cho việc
truy cập từ xa tới mạng công ty từ bất cứ nơi đâu trên internet. Truy cập từ xa được cung
cấp thông qua SSL (Secure Socket Layer) được enable trên VPN Gateway.Cho phép user
thiết lập kết nối thông qua trình duyệt web do đó những user từ bất cứ hệ điều hành nào
như Unix, Window, MAC hay tới những user từ quán Internet cũng có thể truy cập đến
công ty mà không phải cài bất cứ soft nào như Cisco-vpn-client chẳng hạn. Ứng dụng sẽ
được cài thẳng vào router, khi người dùng dù ở bất kì nơi đâu miễn có một đường truyền
Internet thì khi người dùng truy cập vào địa chỉ bên ngoài của Gateway VPN [outside
interface], router này sẽ đổ soft VPN-client xuống cho người dùng cài đặt. Hầu hết cống
việc của người dùng chỉ nhấn yes, hay ok.
SSL-VPN của CISCO có 3 mode:
+ Clientless: người dùng chỉ có thể truy cập HTTP, Share file, tất cả truy cập đều thông
qua giao diện web.
Vd: Người dùng sẽ truy cập tới http://192.1.1.2 [IP của router hoặc firewall]
+ Thin client: người dùng có thể remote desktop, telnet, POP3, SMTP, SSH, IMAP, các
ứng dụng port tĩnh.
Dùng cơ chế TCP port forwarding, nhưng nhớ client phải cài java. Port forwarding java
applet.
+ Tunnel mode: Truy cập tất cả các tài nguyên qua kết nối nhưng ta cũng có thể hạn chế
quyền của người dùng, vd: FTP mode passive, active, SQLnet, voice, …
Khi đăng nhập web VPN, client sẽ tải về soft, gói cài đặt nằm trong flash hoặc disk của
router. Quá trình cài đặt hầu như dễ dàng, chỉ yes và OK.
Phải cài Java hoặc ActiveX
Default mã hóa của trình duyệt là 3DES hoặc RC4.
Các IOS nào hỗ trợ SSL VPN:
Các router hỗ trợ: 877, 1811, 1841, 2801, 2811, 2821, 2851, 3725, 3745, 3825, 3845,
7200 7301.
Nói chung là IOS 1800, 2800, 3700, 3800, 7200, and 7301
IOS: Advantage Security image- 12.4(6)T hoặc lớn hơn.

Nếu cấu hình bằng SDM thì dùng bản 2.3 trở lên.
Cisco IOS SSL VPN có các bản licence cho 10, 25, 100 user kết nối đồng thời. Đối với
ASA là 2 mặc định. Nếu router thì không hạn chế, chỉ phụ thuộc vào performance nhưng
thiếu các tính năng cao cấp hơn.
SSL- VPN của ASA nếu có liscence thì có thêm chức năng CSD (Cisco Secure Desktop).
User logon vào sẽ kiểm tra trojan, virus, service pack. Nếu thỏa thì cho vào, còn không
thì Drop.
Ngoài ra nó còn tạo profile làm việc mới cho user. Do đó khi người dùng đăng nhập bị
lấy pass thì cũng không xem được vì thông tin của người dùng đã được mã hóa. Sau khi
disconnect thì file cache sẽ được xóa hết, thông tin xóa hết.
Cấu Hình SSL VPN Tunnel mode.
Bài này mình sẽ cấu hình với IOS 7200.
Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T,
RELEASE SOFTWARE (fc2)
Technical Support: />Copyright (c) 1986-2006 by Cisco Systems, Inc.
Bước 1: format disk0:
GatewayVPN#format disk0:
Format operation may take a while. Continue? [confirm]
Format operation will destroy all data in "disk0:". Continue? [confirm]
Format: Drive communication & 1st Sector Write OK
Writing Monlib sectors.


Monlib write complete
Format: All system sectors written. OK
Format: Total sectors in formatted partition: 130883
Format: Total bytes in formatted partition: 67012096
Format: Operation completed successfully.
Format of disk0 complete
Bước 2: Bỏ phần mềm client vào Disk0: hoặc vào flash.

GatewayVPN#ping 192.168.10.50
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.50, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 4/14/36 ms
Nếu dùng Flash để lưu SSL-client
GatewayVPN#copy tftp: flash:
Address or name of remote host []? 192.168.10.50
Source filename []? sslclient-win-1.1.4.176.pkg
Destination filename [sslclient-win-1.1.4.176.pkg]? sslclient-win-1.1.4.176.pkg
Accessing tftp://192.168.10.50/sslclient-win-1.1.4.176.pkg
Loading sslclient-win-1.1.4.176.pkg from 192.168.10.50 (via FastEthernet0/0): !
Nếu dùng Disk0: để lưu SSL-client, trong bài này mình sẽ dùng disk0: lưu SSL-client.
GatewayVPN#copy tftp: disk0:
Address or name of remote host [192.168.10.50]?
Source filename [sslclient-win-1.1.4.176.pkg]?
Destination filename [sslclient-win-1.1.4.176.pkg]?
Accessing tftp://192.168.10.50/sslclient-win-1.1.4.176.pkg
Loading sslclient-win-1.1.4.176.pkg from 192.168.10.50 (via FastEthernet0/0): !!
[OK - 415956 bytes]
415956 bytes copied in 4.052 secs (102654 bytes/sec)
Bước 3:cài đặt soft SSL-Client vào Flash hoặc Disk của router.
Đối với Disk0:
GatewayVPN(config)#webvpn install svc disk0:/sslclient-win-1.1.4.176.pkg
SSLVPN Package SSL-VPN-Client : installed successfully
Đối với Flash.
GatewayVPN(config)#webvpn install svc flash:sslclient-win-1.1.4.176.pkg
SSLVPN Package SSL-VPN-Client : installed successfully
Bước 4: Cấu hình SSL VPN (Web VPN)
1. Cấu hình cơ bản:

GatewayVPN(config)#ip http server
GatewayVPN(config)#ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable [OK]
GatewayVPN(config)#aaa new-model
GatewayVPN(config)#aaa authentication login default local #Tránh việc console timeout
dẫn đến thiếu quyền truy cập đến Exec.
GatewayVPN(config)#aaa authentication login webvpn local # tạo danh sách chứng thực
bằng local cho client, ở đây ta có thể dùng chứng thực bằng RADIUS.
GatewayVPN(config)#ip local pool pool-ssl 10.1.1.50 10.1.1.254 # Pool cung cấp IP
cho WEB-VPN-client
GatewayVPN(config)#username tuan password 123456 # định nghĩa webvpn chứng thực
username, password.
2. Cấu hình SSL.
a. Cấu hình gateway
GatewayVPN(config)#webvpn gateway gateway-vpn # định nghĩa interface mà
WEBVPN theo dõi, khi này IOS sẽ sinh tự động certificate từ chính bản thân nó.
GatewayVPN(config-webvpn-gateway)#ip address 192.1.1.2 port 443 # Virtual
Gateway Ipaddr, địa chỉ client sẽ kết nối tới web VPN server
GatewayVPN(config-webvpn-gateway)#inservice # Enable webvpn gateway
b.Cấu hình webcontext và policy:
GatewayVPN(config)#webvpn ?
context Specify webvpn context
GatewayVPN(config)#webvpn context ssl-client # định nghĩa những cấu hình liên
quan tới webvpn, tương đương với tunnel group của ASA.
GatewayVPN(config-webvpn-context)#gateway gateway-vpn # kết hợp context và
gateway.
GatewayVPN(config-webvpn-context)#aaa authentication list webvpn # chứng thực
aaa, local đã tạo ở trên.
GatewayVPN(config-webvpn-context)#inservice #Bring context to inservice
*Apr 27 11:22:55.523: %SSLVPN-5-UPDOWN: sslvpn context : ssl-client changed state

to UP
c.Cấu hình chính sách nhóm:
GatewayVPN(config-webvpn-context)#policy group CLIENT
#svc-enabled Enabled to run tunnel-mode
GatewayVPN(config-webvpn-group)#functions svc-enabled #Kích hoạt chức năng
SVC
GatewayVPN(config-webvpn-group)#svc address-pool pool-ssl # Phân phối địa chỉ
của pool-ssl để sử dụng SVC
GatewayVPN(config-webvpn-group)#svc split ?
#dns Domain resolved via the tunnel
#include Traffic to be sent over SSLVPN tunnel
GatewayVPN(config-webvpn-group)#svc split include 192.168.20.0 255.255.255.0 #
định nghĩa mạng cần được bảo vệ, nếu không cấu hình mặc định là 0.0.0.0, đồng
nghĩa với việc tất cả các mạng đều được bảo vệ.
GatewayVPN(config-webvpn-context)#default-group-policy CLIENT # áp policy
này vào context.
Chú ý:
Tạo một connected vào router cho pool-ssl cung cấp cho Client. Nếu không có connected
nào cho pool-sll thì client kết nối đến sẽ GatewayVPN sẽ không đẩy soft xuống cho client
được. Ở đây ta dùng loopback.
GatewayVPN(config)#int loopback 10
GatewayVPN(config-if)#ip add 10.1.1.1 255.255.255.0
SSL-client và show run.
_show_run.html
Soft SSL-VPN.
t-SSL-VPN.html
Tài liệu đọc thêm và cấu hình SSL-VPN bằng SDM.
18/WebVPN.html
Link của IOS 7200 dùng được SSL VPN đây.
z.124-11.T.bin