Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment utiliser la fonctionnalité mise en oeuvre dans l'appliance de sécurité adaptative (ASA) version 9.3.1 - Étiquetage en ligne TrustSec. Cette fonctionnalité permet à ASA de recevoir des trames TrustSec et de les envoyer. De cette façon, ASA peut être facilement intégré dans le domaine TrustSec sans avoir besoin d'utiliser le protocole SXP (TrustSec SGT Exchange Protocol).
Cet exemple présente un utilisateur VPN distant qui s'est vu attribuer une balise SGT (Security Group Tag) = 3 (Marketing) et un utilisateur 802.1x qui s'est vu attribuer une balise SGT = 2 (Finance). L'application du trafic est effectuée par ASA avec l'utilisation de la liste de contrôle d'accès de groupe de sécurité (SGACL) définie localement et du commutateur Cisco IOS® à l'aide de la liste de contrôle d'accès basée sur les rôles (RBACL) téléchargée à partir d'Identity Services Engine (ISE).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :
Note: Utilisez l'Outil de recherche de commande (clients inscrits seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.
La connexion entre ASA et 3750X est configurée pour les câbles manuels. Cela signifie que les deux périphériques peuvent envoyer et recevoir des trames Ethernet modifiées avec le champ de métadonnées Cisco (CMD). Ce champ inclut Security Group Tag (SGT) qui décrit la source du paquet.
L'utilisateur VPN distant termine la session SSL sur ASA et se voit attribuer la balise SGT 3 (Marketing).
L'utilisateur local 802.1x d'entreprise après authentification réussie s'est vu attribuer la balise SGT 2 (Finance).
ASA a une SGACL configurée sur l'interface interne qui permet le trafic ICMP initié de Finance à Marketing.
ASA autorise tout le trafic initié à partir de l'utilisateur VPN supprimé (en raison de la configuration sysopt connection permit-vpn).
La SGACL sur ASA est dynamique, ce qui signifie qu'une fois le flux créé, le paquet de retour est accepté automatiquement (en fonction de l'inspection).
Le commutateur 3750 utilise RBACL afin de contrôler le trafic reçu de Marketing à Finance.
RBACL est sans état, ce qui signifie que chaque paquet est vérifié mais que l'application TrustSec sur la plate-forme 3750X est effectuée à la destination. De cette manière, le commutateur est responsable de l'application du trafic du marketing au financement.
Note: Pour le pare-feu dynamique Trustsec sur le pare-feu Cisco IOS® Zone Based Firewall peut être utilisé, par exemple, référez-vous à :
Note: ASA pourrait avoir SGACL contrôlant le trafic provenant d'un utilisateur VPN distant. Afin de simplifier le scénario, il n'a pas été présenté dans cet article. Par exemple, référez-vous à Exemple de configuration de la classification et de l'application des balises de sécurité VPN ASA version 9.2
Naviguez jusqu'à Stratégie > Résultats > Accès aux groupes de sécurité > Groupes de sécurité et créez des balises de groupe de sécurité pour Finance et Marketing comme illustré dans cette image.
Naviguez jusqu'à Stratégie > Résultats > Accès au groupe de sécurité > Liste de contrôle d'accès du groupe de sécurité et créez une liste de contrôle d'accès utilisée pour contrôler le trafic de Marketing à Finance. Seul tcp/445 est autorisé, comme illustré dans cette image.
Accédez à Stratégie > Stratégie de sortie > Matrix bind ACL configuré pour la source : Marketing et destination : Finances. Associez également Deny IP en tant que dernière liste de contrôle d’accès à abandonner tout autre trafic, comme illustré dans l’image. (sans cette stratégie par défaut, la valeur par défaut est permit any)
Accédez à Policy > Authorization et créez une règle pour l'accès VPN distant. Toutes les connexions VPN établies via le client AnyConnect 4.x bénéficieront d'un accès complet (PermitAccess) et se verront attribuer la balise 3 SGT (Marketing). La condition est d'utiliser les extensions d'identité AnyConnect (ACIDEX) :
Rule name: VPN
Condition: Cisco:cisco-av-pair CONTAINS mdm-tlv=ac-user-agent=AnyConnect Windows 4
Permissions: PermitAccess AND Marketing
Accédez à Policy > Authorization et créez une règle pour l'accès 802.1x. Le demandeur qui termine la session 802.1x sur le commutateur 3750 avec le nom d'utilisateur cisco obtiendra un accès complet (PermitAccess) et se verra attribuer la balise SGT 2 (Finance).
Rule name: 802.1x
Condition: Radius:User-Name EQUALS cisco AND Radius:NAS-IP-Address EQUALS 192.168.1.10
Permissions: PermitAccess ANDFinance
Pour ajouter ASA au domaine TrustSec, il est nécessaire de générer manuellement le fichier PAC. Ce fichier est importé sur ASA.
Il peut être configuré à partir de : Administration > Network Devices. Après l'ajout d'ASA, faites défiler jusqu'aux paramètres TrustSec et générez PAC comme indiqué dans cette image.
Les commutateurs (3750X) prennent en charge le provisionnement PAC automatique, de sorte que les étapes doivent être exécutées uniquement pour ASA qui ne prend en charge que le provisionnement PAC manuel.
Pour le commutateur qui utilise le provisionnement PAC automatique, un secret correct doit être défini, comme illustré dans cette image.
Note: PAC est utilisé pour authentifier ISE et télécharger des données d'environnement (ex. SGT) ainsi que la stratégie (ACL). ASA prend uniquement en charge les données d'environnement, les stratégies doivent être configurées manuellement sur ASA. Cisco IOS® prend en charge les deux, afin que les stratégies puissent être téléchargées à partir de ISE.
Configurez l'accès VPN SSL de base pour AnyConnect en utilisant ISE pour l'authentification.
aaa-server ISE protocol radius
aaa-server ISE (inside) host 10.62.145.41
key cisco
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
tunnel-group TAC type remote-access
tunnel-group TAC general-attributes
address-pool (outside) POOL
authentication-server-group ISE
default-group-policy TAC
tunnel-group TAC webvpn-attributes
group-alias TAC enable
ip local pool POOL 192.168.100.50-192.168.100.60 mask 255.255.255.0
Importer un PAC généré pour ASA (à partir de l'étape 6 de la configuration ISE). Utilisez la même clé de chiffrement :
BSNS-ASA5512-4# cts import-pac http://10.229.20.86/asa5512.pac password ciscocisco
PAC Imported Successfully
Afin de vérifier :
BSNS-ASA5512-4# show cts pac
PAC-Info:
Valid until: Apr 11 2016 10:16:41
AID: c2dcb10f6e5474529815aed11ed981bc
I-ID: asa5512
A-ID-Info: Identity Services Engine
PAC-type: Cisco Trustsec
PAC-Opaque:
000200b00003000100040010c2dcb10f6e5474529815aed11ed981bc00060094000301
007915dcb81032f2fdf04bfe938547fad2000000135523ecb300093a8089ee0193bb2c
8bc5cfabf8bc7b9543161e6886ac27e5ba1208ce445018a6b07cc17688baf379d2f1f3
25301fffa98935ae5d219b9588bcb6656799917d2ade088c0a7e653ea1dca530e24274
4366ed375488c4ccc3d64c78a7fc8c62c148ceb58fad0b07d7222a2c02549179dbf2a7
4d4013e8fe
Activer cts :
cts server-group ISE
Une fois que vous avez activé cts, ASA doit télécharger les données d'environnement à partir de ISE :
BSNS-ASA5512-4# show cts environment-data
CTS Environment Data
====================
Status: Active
Last download attempt: Successful
Environment Data Lifetime: 86400 secs
Last update time: 10:21:41 UTC Apr 11 2015
Env-data expires in: 0:00:37:31 (dd:hr:mm:sec)
Env-data refreshes in: 0:00:27:31 (dd:hr:mm:sec)
Configurez SGACL sur l'interface interne. La liste de contrôle d’accès permet d’initier uniquement le trafic ICMP de Finance à Marketing.
access-list inside extended permit icmp security-group name Finance any security-group name Marketing any
access-group inside in interface inside
ASA doit étendre le nom de la balise au numéro :
BSNS-ASA5512-4(config)# show access-list inside
access-list inside line 1 extended permit icmp security-group name Finance(tag=2) any security-group name Marketing(tag=3) any (hitcnt=47) 0x5633b153
Après avoir activé les fonctions sur l'interface interne d'ASA :
interface GigabitEthernet0/1
nameif inside
cts manual
policy static sgt 100 trusted
security-level 100
ip address 192.168.1.100 255.255.255.0
ASA peut envoyer et recevoir des trames TrustSec (trames Ethernet avec champ CMD). ASA suppose que toutes les trames d'entrée sans balise doivent être traitées comme avec la balise 100. Toutes les trames d'entrée qui incluent déjà la balise seront approuvées.
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
interface GigabitEthernet1/0/2
description windows7
switchport access vlan 10
switchport mode access
authentication host-mode multi-domain
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
radius-server host 10.48.66.74 pac key cisco
Avec cette configuration, après une autorisation 802.1x réussie, l'utilisateur (autorisé via ISE) doit se voir attribuer la balise 2 (Finance).
De même, en ce qui concerne ASA, cts est configuré et pointe vers ISE :
aaa authorization network ise group radius
cts authorization list ise
En outre, l’application est activée pour les couches 3 et 2 (tous les VLAN) :
cts role-based enforcement
cts role-based enforcement vlan-list 1-1005,1008-4094
Afin de provisionner automatiquement PAC :
bsns-3750-5#cts credentials id 3750-5 password ciscocisco
Encore une fois, le mot de passe doit correspondre à la configuration correspondante sur ISE (Network Device > Switch > TrustSec). Actuellement, Cisco IOS® lance une session EAP-FAST avec ISE afin d'obtenir le PAC. Vous trouverez plus de détails sur ce processus ici :
Afin de vérifier si PAC est installé :
bsns-3750-5#show cts pacs
AID: EA48096688D96EF7B94C679A17BDAD6F
PAC-Info:
PAC-type = Cisco Trustsec
AID: EA48096688D96EF7B94C679A17BDAD6F
I-ID: 3750-5
A-ID-Info: Identity Services Engine
Credential Lifetime: 14:41:24 CEST Jul 10 2015
PAC-Opaque: 000200B00003000100040010EA48096688D96EF7B94C679A17BDAD6F0006009400030100365AB3133998C86C1BA1B418968C60690000001355261CCC00093A808F8A81F3F8C99A7CB83A8C3BFC4D573212C61CDCEB37ED279D683EE0DA60D86D5904C41701ACF07BE98B3B73C4275C98C19A1DD7E1D65E679F3E9D40662B409E58A9F139BAA3BA3818553152F28AE04B089E5B7CBB22A0D4BCEEF80F826A180B5227EAACBD07709DBDCD3CB42AA9F996829AE46F
Refresh timer is set for 4y14w
interface GigabitEthernet1/0/39
switchport access vlan 10
switchport mode access
cts manual
policy static sgt 101 trusted
À partir de maintenant, le commutateur doit être prêt à traiter et envoyer des trames TrustSec et à appliquer les stratégies téléchargées à partir d'ISE.
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
La vérification est traitée dans les différentes sections de ce document.
Une fois la session VPN à ASA établie, l'affectation SGT correcte doit être confirmée :
BSNS-ASA5512-4# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 13
Assigned IP : 192.168.100.50 Public IP : 10.229.20.86
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 DTLS-Tunnel: (1)SHA1
Bytes Tx : 10308 Bytes Rx : 10772
Group Policy : TAC Tunnel Group : TAC
Login Time : 15:00:13 UTC Mon Apr 13 2015
Duration : 0h:00m:25s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : c0a801640000d000552bd9fd
Security Grp : 3:Marketing
Conformément aux règles d'autorisation d'ISE, tous les utilisateurs d'AnyConnect4 ont été affectés à la balise Marketing.
La même chose avec la session 802.1x sur le commutateur. Une fois AnyConnect Network Analysis Module (NAM) terminé, le commutateur d'authentification appliquera la balise correcte retournée par ISE :
bsns-3750-5#show authentication sessions interface g1/0/2 details
Interface: GigabitEthernet1/0/2
MAC Address: 0050.5699.36ce
IPv6 Address: Unknown
IPv4 Address: 192.168.1.203
User-Name: cisco
Status: Authorized
Domain: DATA
Oper host mode: multi-domain
Oper control dir: both
Session timeout: N/A
Common Session ID: 0A30426D000000130001B278
Acct Session ID: Unknown
Handle: 0x53000002
Current Policy: POLICY_Gi1/0/2
Local Policies:
Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Security Policy: Should Secure
Security Status: Link Unsecure
Server Policies:
SGT Value: 2
Method status list:
Method State
dot1x Authc Success
mab Stopped
Conformément aux règles d'autorisation sur ISE, tous les utilisateurs connectés à ce commutateur doivent être affectés à SGT = 2 (Finance).
Lorsque vous essayez d'envoyer un trafic de Finance (192.168.1.203) vers Marketing (192.168.100.50), il atteint l'interface interne d'ASA. Pour la requête d'écho ICMP, il crée la session :
Built outbound ICMP connection for faddr 192.168.100.50/0(LOCAL\cisco, 3:Marketing) gaddr 192.168.1.203/1 laddr 192.168.1.203/1(2)
et augmente les compteurs ACL :
BSNS-ASA5512-4(config)# sh access-list
access-list inside line 1 extended permit icmp security-group name Finance(tag=2) any security-group name Marketing(tag=3) any (hitcnt=138)
Cela peut également être confirmé en examinant les captures de paquets. Notez que les balises correctes sont affichées :
BSNS-ASA5512-4(config)# capture CAP interface inside
BSNS-ASA5512-4(config)# show capture CAP
1: 15:13:05.736793 INLINE-TAG 2 192.168.1.203 > 192.168.100.50: icmp: echo request
2: 15:13:05.772237 INLINE-TAG 3 192.168.100.50 > 192.168.1.203: icmp: echo reply
3: 15:13:10.737236 INLINE-TAG 2 192.168.1.203 > 192.168.100.50: icmp: echo request
4: 15:13:10.772726 INLINE-TAG 3 192.168.100.50 > 192.168.1.203: icmp: echo reply
Une requête d'écho ICMP entrante est balisée avec SGT = 2 (Finance), puis une réponse de l'utilisateur VPN est balisée par ASA avec SGT = 3 (Marketing). Un autre outil de dépannage, packet-tracer, est également compatible TrustSec.
Malheureusement, le PC 802.1x ne voit pas cette réponse car elle est bloquée par RBACL sans état sur le commutateur (explication dans la section suivante).
Un autre outil de dépannage, packet-tracer, est également compatible TrustSec. Confirmons si le paquet ICMP entrant de Finance sera accepté :
BSNS-ASA5512-4# packet-tracer input inside icmp inline-tag 2 192.168.1.203 8 0 192.168.100.50
Mapping security-group 3:Marketing to IP address 192.168.100.50
Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list
Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 3
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 10.48.66.1 using egress ifc outside
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside in interface inside
access-list inside extended permit icmp security-group name Finance any security-group name Marketing any
Additional Information:
<some output omitted for clarity>
Phase: 13
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 4830, packet dispatched to next module
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: allow
Essayons également d'initier une connexion TCP de Finance à Marketing, qui doit être bloquée par l'ASA :
Deny tcp src inside:192.168.1.203/49236 dst outside:192.168.100.50/445(LOCAL\cisco, 3:Marketing) by access-group "inside" [0x0, 0x0]
Vérifions si le commutateur a téléchargé correctement les stratégies à partir d'ISE :
bsns-3750-5#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 2:Finance to group Unknown:
test_deny-30
IPv4 Role-based permissions from group 8 to group Unknown:
permit_icmp-10
IPv4 Role-based permissions from group Unknown to group 2:Finance:
test_deny-30
Permit IP-00
IPv4 Role-based permissions from group 3:Marketing to group 2:Finance:
telnet445-60
Deny IP-00
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE
La stratégie qui contrôle le trafic entre Marketing et Finance est installée correctement. Seul tcp/445 est autorisé conformément à RBACL :
bsns-3750-5#show cts rbacl telnet445
CTS RBACL Policy
================
RBACL IP Version Supported: IPv4
name = telnet445-60
IP protocol version = IPV4
refcnt = 2
flag = 0x41000000
stale = FALSE
RBACL ACEs:
permit tcp dst eq 445
C'est la raison pour laquelle la réponse d'écho ICMP provenant de Marketing à Finance a été abandonnée. Cela peut être confirmé en vérifiant les compteurs pour le trafic de SGT 3 à SGT 2 :
bsns-3750-5#show cts role-based counters
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical policies
From To SW-Denied HW-Denied SW-Permitted HW-Permitted
* * 0 0 223613 3645233
0 2 0 0 0 122
3 2 0 65 0 0
2 0 0 0 179 0
8 0 0 0 0 0
Les paquets ont été supprimés par le matériel (le compteur actuel est de 65 et augmente toutes les 1 secondes).
Que se passe-t-il si la connexion tcp/445 est initiée à partir de Marketing ?
ASA autorise cela (accepte tout le trafic VPN en raison de « sysopt connection permit-vpn ») :
Built inbound TCP connection 4773 for outside:192.168.100.50/49181 (192.168.100.50/49181)(LOCAL\cisco, 3:Marketing) to inside:192.168.1.203/445 (192.168.1.203/445) (cisco)
La session correcte est créée :
BSNS-ASA5512-4(config)# show conn all | i 192.168.100.50
TCP outside 192.168.100.50:49181 inside 192.168.1.203:445, idle 0:00:51, bytes 0, flags UB
De plus, Cisco IOS® l'accepte car il correspond à telnet445 RBACL. Les compteurs corrects augmentent :
bsns-3750-5#show cts role-based counters from 3 to 2
3 2 0 65 0 3
(la dernière colonne est le trafic autorisé par le matériel). La session est autorisée.
Cet exemple est présenté exprès afin de montrer la différence dans la configuration et l'application des stratégies TrustSec sur ASA et Cisco IOS®. Connaître les différences entre les stratégies Cisco IOS® téléchargées depuis ISE (RBACL sans état) et TrustSec avec le pare-feu basé sur une zone dynamique.