Home

Clientless VPN Configuration on Cisco ASDM

January 19, 2014

Miftah Rahman Security , , , , , , , Leave a comment

Clientless VPN adalah VPN yang disediakan untuk orang2 diluar network kita (Outside), dengan hanya bermodalkan Device yang bisa internetan dengan Web Browser-nya, jadi kita kasi akses untuk karyawan kita (yang lagi diluar kantor) untuk akses resource network kita di

Now how do we do that?!? Let’s jump in (uda mulai ikut2an Keith Barker ini gw)

  • The First One…Create Group Policies for User
    • Intinya disini kita define apa aja yang bole diakses dan tidak bole diakses (ACL-nya ASA) dari HTTP, CIFS, sampe FTP

      *CIFS = Common Internet File System (native file sharing protocol for Windows 2000)

  • The Second One…Create Connection Profile
    • Kita Assign Group yang uda kita buat kedalam suatu set of rules (contoh: VPN ini hanya bole diakses lewat mana)
  • The Third One…Create User and Assign Them to Group Policies and Connection Profile (jadi bisa aja user A misalkan, hanya bole akses web tertentu, tapi metode koneksinya bisa pake macem2)

Here is the topology

Sebenernya bisa aja si pake wizard…tapi gw pengen bahas detil2nya

Create a Group Policies for User

Biasa…masuk ke ASDM (cara installnya ada di post gw yang kemaren2), ke Configuration > Remote Access VPN > Group Policies > add

Kasi nama…trus kasi Banner (kaya “banner motd” yang biasa kita buat)

gw pengen user yang masuk ga bole akses web ini tapi bole akses web itu“, centang Web ACL di-uncheck, click Manage > Add > Add ACL

Gw pilih IPv4 Only (bebas lo pilih yang mana), trus kasi nama, klik OK

Nah, kalo sudah klik ACE (Access-list Control Entry)

Disini kita bisa bikin…user yang masuk VPN XXX ga bole masuk ke Web 192.168.1.1 dan 192.168.1.2 (liat…ada Regular Expression disana…REGEX lagi !?!?!, dimana2 REGEX @_@ )

Trus kita bisa bikin Time Based ACL nya…jadi di izinkan/diblok dari kapan sampe kapan

Setelah di create…pilih ACL yang kita buat tadi untuk Web ACL option-nya

(Optional) “gw pengen user yang masuk VPN XXX uda dikasi list Web2 apa aja yang bisa dimasukkin“, ya kita kasi bookmark

Uncheck Bookmark List, klik Manage

Klik tombol Add dan isi sendiri dah

Notice gw bikin 2 bookmark…192.168.1.1 dan 1.3 (koneksi ke 1.1 kita akan liat hasilnya nanti pas di verifikasi test nya)

Masuk ke Portal (di Page yang sama), uncheck
Inherit, trus klik enable untuk enable bookmark url nya

Setelah selesai…jangan lupa Apply & Save

Next…Connection Profile

Tambahin 1 Connection Profile (jangan pake default…default itu last resort yang dipake ASA klo semuanya fail)

Name dan Alias itu sebenernya sama…Cuma “Name” itu pas kita setting ASDM, sedangkan “Alias” itu nama connection yang User akan liat (jadi user akan konek VPN pake XXX-Alias)

DNS itu optional (gw isi ngasal aja, soalnya klo ga disini rewel…rewel kenapa? Check it yourself haha)

Jangan lupa abis di basic configuration, trus klik Clientless SSL VPN

Nah, di bagian Group URLs, kita bisa setting URL alamat tempat user bisa konek ke Network kita via browser (jadi kita harus ketik alamat ini untuk konek VPN via browser)

Trus untuk bisa User dari Outside Network bisa akses Clientless SSL VPN, kita harus centang/checkallow access” untuk Interface dengan label Outside

Dan, centang “Allow user to select profile” biar bisa milih dia mau masuk ke profile mana

Create VPN User

Masuk ke Remote Access VPN > AAA/Local Users > Local Users > Add

Jgn lupa pilih No ASDM, SSH, Telnet Acess untuk user ini

Trus masuk ke VPN Policy-nya

Uncheck
Group Policy dan Connection Profile, ganti dengan yang uda kita buat tadi…jadi si user pake Policy ini dan Profile itu

LETS TEST IT

Cara pertama…masuk ke web browser, trus ketik https: //[ip outside ASA], tampilannya akan menjadi dibawah ini

Klo kita ga centang “allow user to select connection profile“, itu Group DropDown Box ga ada

Cara kedua…langsung aja ketik full URL nya, “https:// [ip]/xxx

Noh…”welcome to XXX Network“, kek masuk VPN SITUS PORNO ini mah HAHAHA

Setelah masuk…isinya Web2 yang sudah di “pre-defined” alias di bookmark ama kita buat si client

Coba liat…karena ada Web ACL…yang atas (disini isi title bla bla bla…) ga bisa dimasukin, yang bisa adalah website “ABC”

====================================
Monitoring VPN

Masuk ke Monitoring > VPN Statistics > Sessions > filter by Clientless SSL VPN

Nah tu….ada yang make VPN kita…dengan klik Logout, maka user itu tidak lagi terkoneksi ke VPN kita

MARI KITA TENDANG ITU BEDEBAH, NONTON GA BAYAR *ups* !!!

================================

Dah, segitu dulu…

Configuring Cisco ASA with ASDM

January 19, 2014

Miftah Rahman Security , , , , , , , , 12 Comments

Berawal dari salah satu “material subject untuk nomer cantik v5.0”, ada GetVPN…gw coba ngubek2 VPN dari dasar…alhasil ujung2nya gw nyasar ke track Security (as expected T_T )

Karena uda terlanjur basah…nyemplung sekalian aja dah hahaha

==================================

Konfigurasi ASA bisa via CLI, bisa via GUI (yaitu ASDM)

Tapi gw saranin pake GUI, ngapalin command routing switching aja uda mabok

Nah, Bahan2 masak yang dibutuhkan adalah:

  • ASA (ato GNS3 with IOS ASA “asa-initrd.gz” dan “asa-vmlinuz”, download aja)

    Gw pake ASA 5510

  • ASDM (asdm.bin, download aja)
  • TFTP Server (PC, pake software TFTP Server, gw pake Tftp32, donlot aja)
  • Java (sdk ato jdk, klo ga ASDM-nya ga jalan, again…donlot aja)

(cara setting pake GNS)

Wokeh…CLI dalam ASA ini pretty much the same…perbedaan2nya paling di command “do” yang di ASA ga ada (jadi kita bisa ketik show di mana pun), lalu show int ip br (klo IOS biasa show ip int br), trus cara routing-nya juga rada beda (klo kita bikin ini Firewall jadi Routed Mode bukan Bridged Mode)

*Routed Mode = ini ASA ikut dalam routing process (interface-nya kita kasi IP)…lumayan daripada lumanyun *maap* deteksi/scanning L3 traffic, default mode

*Bridged Mode (Transparent Mode) = Native Firewall…ga ikut routing process, lumayan ngurangin beban ASA (Layer 2 ASA) dan meminimalisir IP re-addressing

Default password untuk masuk ke privilege mode nya BLANK (teken ENTER aja)

Untuk error-reporting…skip aja (klo mau munculin lagi…ketik call-home reporting anonymous)

Di ASA semua interface disebut ETHERNET (ga ngaruh mau FastEthernet, GigaEthernet, atau yang lain)

Tetapi ketika mau masuk sub-interface…ASA defaultnya adalah GigaEthernet (untuk ASA tipe terbaru, just look at my configuration “int gi0“)

Dalam ASA ada 4 macam tipe interface (untuk nandain Zona…if you recall the “ZBF” thing):

  • Management (buat management OOB)
  • Inside (interface yang mengarah kearea AMAN…biasanya ke Inside network kita ato LAN)
  • Outside (interface yang mengarah ke WAN…ga aman)
  • Custom…nah untuk custom ini kita bisa kasi nama sendiri dengan security level sendiri

*OOB = Out-of-band, terminology untuk link yang dipakai untuk manajemen device, OOB link tidak termasuk main link (jadi kek bikin link tersendiri buat managemen device aja, bukan buat routing2an)

**Security Level…ini yang di liat ASA ketika mau nganterin paket…security level 100 (maximum, default dari Inside) bisa kirim paket ke semua Zone, sedangkan security level 0 hanya bisa nerima dan reply paket, ga bisa inisialisasi transfer data/session (minimum, default dari Outside dan Management), semakin tinggi security level dari suatu interface, semakin dipercaya zona tempat interface itu untuk inisialisasi transfer data/session

Nah, saatnya jalanin TFTP server (gw pake Tftp32), buat apa?? Buat naro ASDM.BIN kita kedalam flash-nya ASA (klo di show flash uda ada..skip bagian ini)

setting folder tempat ASA mau ngambil file (gw di desktop), berikut IP nya (ip computer kita)

Ping dulu dari ASA ke PC/TFTP Server kita (ato sebaliknya…dari PC), klo berhasil…saatnya copy tftp flash

Klo uda ada, cek show flash dulu, trus setting path ASDM nya > asdm image flash:asdm.bin

Karena ASDM ini web based, kita juga harus enable ASA untuk accept web traffic (jadiin web server, klo di IOS biasa commandnya ip http server, klo disini http server enable)

Trus kita define…siapa yang boleh manage ASA via ASDM ini, kebetulan ip komputer gw 10.1.1.2 (dan hanya komputer gw aja yang bole manage…look at /32 prefix mask)

Trus bikin USER ADMIN buat manage ASA pake ASDM (jgn lupa privilege-nya level 15 ya…maksimum)

And then…go to our browser…type HTTPS (yes..HTTP with S, secure http) and then enter the IP of Our ASA

Nanti ada security no trusted bla bla bla gitu…cuekin aja

Ini tampilan nya, klik Install ASDM launcher (save as ya…), nanti di desktop ada tampilan dibawah ini klo uda selesai

Sebelum install ditanya username dan password, isi user dan pass kita tadi (yg di konfig di ASA)

Save-as…trus next2 aja kek dibawah ini

Klo uda selesai..akan ada aplikasi Java bernama Cisco ASDM-IDM Launcher

Input username password kita

Hasilnya dibawah ini klo uda selesai semua…

And then you’re ready to go…oprek2 dah tu ASA ampe rusak (jgn de…ntar kaya temen gw lagi ngerusakin ASA hahaha)