Seja o primeiro a comentar

Por André Ortega, 23/11/2011 13:50

Quando criamos uma VPN remote access, onde os usuários usam um cliente para realizar o acesso remoto, o mais comum é que cada usuário tenha suas credenciais (usuário e senha/token/certificado).

Mas eventualmente é necessário o uso de credenciais compartilhadas. Ou seja, pessoas diferentes realizam o acesso utilizando o mesmo usuário e senha, simultaneamente.

Por padrão o ASA permite que até 3 conexões VPN sejam estabelecidas com o mesmo usuário. Mas podemos aumentar (ou diminuir) este número de acordo com a necessidade.

Com a configuração default, caso um quarto usuário tente se logar na VPN usando o username vpnuser1, um dos usuários será desconectado.

Para mudar este parâmetro, basta usar o comando vpn-simultaneous-logins, dentro do group-policy em uso.

Aumentando o número de logins simultâneos na VPN, com o mesmo usuário:

group-policy BRAIN attributes

vpn-simultaneous-logins 5

Mais informação sobre este comando aqui.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 08/03/2010 10:52

Um dos post mais lidos do ano é o Client VPN para Windows 64, onde sugiro a utilização do client da Shrew (Soft VPN Access Manager) para computadores com Windows 64, já que a Cisco não disponibiliza um.

Mas devido aos pedidos, imagino (ou reclamações…),  a Cisco decidiu lançar uma versão para o Windows 7 64 bits.

O client 5.0.7 ainda está na versão beta, mas quem tiver um CCO com Smartnet associado pode baixar no site. Do lado direito, clique em All Releases e depois em 5.BETA. Tem duas opções: o normal (para Windows 200/XP/Vista/7, todos 32 bits e a versão para Windows 7 64 bits.

Para os demais sistemas operacionais 64, o jeito é continuar com Soft VPN Access Manager.

Até a próxima.

(3) Comentários

Por André Ortega, 11/02/2010 10:22

Quem utiliza VPN Remote Access com terminação em gateways Cisco sofre com um problema: O client IPSec Cisco não suporta instalação no Windows 64 bits, como podemos ver neste link.

Para contornar este problema podemos utilizar o Shrew Soft VPN Access Manager, desenvolvido pela Shrew, que é gratuíto e conta com versões para toda a família Windows, 32 e 64 bits.

Após fazer o download no site do desenvolvedor (menos de 3 MB) e instalar o aplicativo (Next, next, finish), vamos configurá-lo.

1°) Clique em Add, para criar um novo profile, e na aba General informe o IP do concentrador VPN, no campo Host Name or Ip Address.

2°) Depois vá para a aba Authentication, e em Authentication Method selecione Mutual PSK + XAuth (se for assim que seu equipamento – roteador/firewall ou outro concentrador VPN – estiver configurado. No Campo Key ID String coloque o nome do grupo (VPN_Group_Name, no exemplo), também configurado no Gateway VPN.

3°) Ainda na aba Authentication, selecione a sub-aba Credentials e especifique a mesma Pre Shared Key que foi configurada no concentrador VPN.

4°) Configuração finalizada. Você pode renomear o profile, colocando o nome do local onde a conexão será realizada, por exemplo.

Para conectar à VPN basta selecionar o ícone e clicar em Connect. Quando forem solicitadas as credenciais informe o usuário e senha.

O Shrew Soft VPN também permite a importação de profile criado no client da Cisco (.pfc).

Até a próxima.

(5) Comentários

Por Rafael Leão, 08/07/2009 06:00

Continuando nossa série de posts sobre VPN IPSec, segue um exemplo da configuração passo-a-passo de uma Site-to-Site VPN, usando a CLI de 2 Cisco Routers, modelo 1721. O objetivo deste cenário é possibilitar o tráfego seguro (criptografado) entre as redes 10.1.1.0/24 e 192.168.0.0/24.

Topologia:

Configuração do BrainRT01

! Primeiramente configuraremos os parâmetros ISAKMP
BrainRT01#conf t
! O número 1 é apenas o identificador da política (podemos ter mais que uma)
BrainRT01(config)#crypto isakmp policy 1
! Método de autenticação
BrainRT01(config-isakmp)#authentication pre-share
! Algoritmo de hash SHA (neste exemplo)
BrainRT01(config-isakmp)#hash sha
! Algoritmo de criptografia; neste caso, AES-128
BrainRT01(config-isakmp)#encryption aes 128
! Troca de chaves Diffie-Hellman
BrainRT01(config-isakmp)#group 2
! Tempo de vida do Security Association em segundos
BrainRT01(config-isakmp)#lifetime 86400
BrainRT01(config-isakmp)#exit
! Chave compartilhada para comunicação com o outro peer
BrainRT01(config)#crypto isakmp key Brainwork address 200.20.20.2
BrainRT01(config)#exit

! Definição dos parâmetros IKE fase 2
BrainRT01#conf t

! Criando o transform-set, onde são definidos os parâmetros usados pelo túnel IPSec, sendo ESP-AES para criptografia
! e ESP-SHA-HMAC para hash (MYSET é o nome do transform-set)
BrainRT01(config)#crypto ipsec transform-set MYSET esp-aes esp-sha-hmac
BrainRT01(cfg-crypto-trans)#exit
! ACL definindo qual será o tráfego protegido pelo túnel IPSec
BrainRT01(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255
! Criando o Crypto Map, que é o agrupamento das regras para construção do túnel (BrainRT01_to_BrainRT02 é o nome
! do crypto map e 10 é o identificador)
BrainRT01(config)#crypto map BrainRT01_to_BrainRT02 10 ipsec-isakmp
! Dentro dele, apontamos o peer remoto
BrainRT01(config-crypto-map)#set peer 200.20.20.2
! Aplicamos a ACL…
BrainRT01(config-crypto-map)#match address 101
! … e o Transform Set
BrainRT01(config-crypto-map)#set transform-set MYSET
BrainRT01(config-crypto-map)#exit
BrainRT01(config)#

! Aplicando na interface WAN de BrainRT01
BrainRT01(config)#interface Serial0
BrainRT01(config-if)#crypto map BrainRT01_to_BrainRT02
*Mar  1 01:14:25.519: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
BrainRT01(config-if)#exit
BrainRT01(config)#

Importante: As configurações acima postadas, devem ser aplicadas em BrainRT02 da mesma forma. As principais alterações serão nas regras da ACL e nos parâmetros que apontam BrainRT01 como peer IPSec.

Agora devemos conferir o resultado de nossa configuração. Seguem alguns comandos úteis para verificarmos o status de nosso trabalho, ou seja, o túnel IPSec “Up”:

BrainRT01#show crypto engine connections active

    ID Interface            IP-Address      State  Algorithm                Encrypt  Decrypt 
     1 Serial0              200.10.10.2     set    HMAC_SHA+AES_CBC          0        0
2001 Serial0              200.10.10.2     set    AES+SHA                            0      208
2002 Serial0              200.10.10.2     set    AES+SHA                        207        0

BrainRT01#

BrainRT01#show crypto session
Crypto session current status

Interface: Serial0
Session status: UP-ACTIVE
Peer: 200.20.20.2 port 500
  IKE SA: local 200.10.10.2/500 remote 200.20.20.2/500 Active
  IPSEC FLOW: permit ip 10.1.1.0/255.255.255.0 192.168.0.0/255.255.255.0
        Active SAs: 2, origin: crypto map

BrainRT01#

Espero que ajude. Até breve!

Só um comentário

Por André Ortega, 06/07/2009 06:11

No segundo post sobre VPN, vamos identificar como ela funciona.
Uma VPN IPSec tem 5 fases: Identificação do tráfego interessante, IKE fase 1, IKE fase 2, transferência de dados e fim do túnel IPSec.

1) Tráfego interessante: É o tráfego que deve ser criptografado, geralmente identificado através de Access-lists.

2) IKE fase 1: Basicamente tem a função de negociar as políticas que serão utilizadas, autenticar os peers e fechar um túnel seguro, por onde serão configurados os demais parâmetros. Pode trabalhar em Main Mode ou Agressive Mode. Podemos dizer que é um “primeiro túnel”, para proteger as mensagens de negociação para o túnel principal.

• Main Mode: utiliza 6 troca de mensagens, e por isso é mais lento que o Agressive Mode.
  Mensagem 1 e 2: Usadas para garantir a segurança do meio e verificar se os peers estão de acordo.
  Mensagem 3 e 4: Utilizam o DH para gerar uma shared secret que é enviado para o outro peers, que devolve com sua identidade. Esta chave é usada para gerar outras chaves do processo.
  Mensagem 4 e 5: Faz a verificação da identidade do peer remoto.
• Agressive Mode: Utiliza apenas 3 trocas de mensagens, fazendo a identificação do peer antes de criar um canal seguro. É o modo de operação padrão.

• Opções do IKE fase 1:
       Algoritmo de criptografia: DES, 3DES, AES
       Algoritmo Hash: MD5, SHA-1
       Método de autenticação: Pré Share, RSA Signature
       Key Exchange: DH group 1, group 2, group 5
       IKE SA lifetime: até 86400 segundos

3) IKE fase 2: É a negociação do “segundo túnel”. São definidos os parâmetros do IPSec e transform sets, são estabelecidos IPSecs SAs, que são renegociados de tempos em tempos e pode também ocorrer a troca do DH (opcional).

O Security Association (SA) é uma conexão entre os dois peers que determina quais serviços do IPSec estão disponíveis naquela conexão (tipo de algoritmo de criptografia e autenticação utilizada, enderço IP, tempo de vida da key e outros…). São unidirecionais e assim, para um túnel VPN são criados dois SAs.

O IPSec pode trabalhar de duas madeiras: Túnel e Transporte. O modo túnel é o padrão, e com ele o pacote inteiro é criptografado e um novo cabeçalho é criado. Já no modo transporte o cabeçalho não é alterado, sendo criptografado apenas os dados.

• Opções do IKE fase 2:
      Algoritmo de criptografia: DES, 3DES, AES
     Authentication: MD5, SHA-1
      SA lifetime: até 28.000 segundos

4) Transferência de dados: Após finalizada o IKE fase 2 o tráfego começa a ser enviado pelo túnel, de forma segura (criptografado).

5) Fim do túnel IPSec: O túnel é finalizado quando a SA é deletada (manualmente) ou ocorre o timeout, que pode ser configurado para ocorrer após um determinado espaço de tempo sem transmissão de dados ou após uma quantidade específica de dados transmitidos.

Até a próxima.