Connexion à Cisco AnyConnect VPN sans certificat stocké ni secret partagé

19

De nombreuses personnes ont discuté de la configuration du client VPN intégré à OS X pour se connecter aux VPN Cisco à la place du client AnyConnect. Cependant, toutes les discussions se concentrent sur la copie des informations de configuration critiques (secret partagé ou certificat, en particulier) à partir d'un fichier PCF ou Profile.xml inclus dans un programme d'installation AnyConnect spécifique au site.

Le programme d'installation d'AnyConnect où je suis maintenant (version 4.2.01035) ne semble déployer aucune information de profil. /opt/cisco/anyconnect/profilecontient uniquement AnyConnectProfile.xsd(une définition de schéma standard, rien de spécifique à cette configuration). Il n'y a aucun signe de XML de profil ou des fichiers PCF que je peux trouver dans /opt/cisco, /Libraryou $HOME/Library.

Cela correspond à l'expérience de l'interface utilisateur: il ne semble pas y avoir de profils préconfigurés. Au lieu de cela, au premier lancement, j'obtiens simplement un champ VPN vide dans lequel j'entre simplement un nom d'hôte à la main (dans ce cas, ucbvpn.berkeley.edu) et je me connecte. Cela donne une invite de connexion comprenant une liste déroulante de sélection de groupe et des champs de nom d'utilisateur et de mot de passe. La simple saisie d'un nom d'utilisateur et d'un mot de passe lance la connexion dans le mode spécifié par le «groupe» donné, et tout fonctionne correctement.

Cependant, je ne peux pas comprendre comment cette configuration peut être entièrement transférée vers le client VPN natif OS X. Le transfert d'un nom de groupe choisi à partir de la liste semble être découvert automatiquement par le client AnyConnect, mais la configuration VPN OS X semble également nécessiter la saisie explicite d'un secret partagé ou d'un certificat.

Ma meilleure supposition est que le client Cisco fonctionne dans un mode peut-être nouveau où il peut négocier directement avec le serveur pour découvrir automatiquement toutes les informations de configuration nécessaires et qu'il n'est stocké sur disque nulle part. Quelqu'un a-t-il une expérience avec une configuration comme celle-ci ou a-t-il des suggestions sur quoi d'autre essayer?

jrk
la source
Malheureusement, je ne trouve pas non plus le fichier de configuration. Il semble vraiment que le client récupère simplement les informations du serveur. Peut-être qu'il est en quelque sorte possible de renifler le trafic? Avez-vous des nouvelles à ce sujet?
Benjamin Herzog
Il y a deux demandes POST lors de la connexion au serveur vpn. Le premier contient les informations du formulaire affiché, le second après l'envoi de ce formulaire. Il crée une session- [id | token], mais je n'y vois aucun fichier / information de configuration VPN: /
Benjamin Herzog
3
Des mises à jour intéressantes?
flindeberg
Dans mon cas, j'ai un répertoire plein de profils et d'autres fichiers .xml, et je ne sais pas quoi choisir - mon objectif est le même - pour pouvoir me débarrasser du client Cisco Anyconnect. C'est horrible et harcelant, et son intégration avec le système d'exploitation est vraiment mauvaise. J'aimerais vraiment utiliser le client natif du système d'exploitation si possible. Avez-vous une idée de ce qu'il faut rechercher? Je connais le "groupe d'utilisateurs", mais encore une fois - je ne connais pas le "secret partagé" ou le "certificat" et comment les obtenir
Motti Shneor

Réponses:

3

Je crois que le client AnyConnect peut être utilisé pour se connecter à un certain nombre de types de VPN différents offerts par Cisco. Le processus que vous décrivez ci-dessus me porte à croire que vous vous connectez à un SSL-VPN. SSL-VPN ne nécessite pas l'utilisation d'un secret partagé pour la première couche de cryptage. Au lieu de cela, le client et le serveur négocient automatiquement ce cryptage de première couche à l'aide de SSL. On vous demande ensuite des informations d'identification et une appartenance à un groupe. Le reste de votre session VPN est crypté de manière unique après l'authentification.

Vous pouvez créer un script pour la connexion afin qu'au lieu d'avoir à saisir vos informations d'identification à chaque fois, vous pouvez les stocker dans votre trousseau de clés et simplement lancer la connexion à partir du shell ou d'un autre script. Je l'ai fait il y a quelques années ici: http://www.wellingtonnet.net/code/2014-02-04/cisco_anyconnect_client_mac.html

J'ai remarqué qu'à chaque mise à jour d'AnyConnect, je devais modifier ce script, alors utilisez-le comme exemple et continuez à partir de là. Cela fait environ un an que j'ai eu besoin de me connecter via AnyConnect pour la dernière fois.

TheWellington
la source
3
J'étais en fait le plus intéressé parce que j'espérais configurer une connexion en utilisant uniquement l'implémentation native de macOS VPN, et ne pas avoir à installer ou exécuter AnyConnect du tout. Mais merci pour l'entrée.
jrk
@jrk same, et TheWellington your like is dead
Max Coplan