Segurança : Cisco Adaptive Security Appliance (ASA) Software

Exemplo de configuração da classificação e da aplicação da versão ASA 9.2 VPN SGT

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como usar uns novos recursos na liberação adaptável 9.2.1 da ferramenta de segurança (ASA), classificação da etiqueta do grupo de segurança de TrustSec (SGT) para usuários VPN. Este exemplo apresenta dois usuários VPN que foram atribuídos um Firewall diferente SGT e de grupo de segurança (SGFW), que filtrasse o tráfego entre os usuários VPN.

Contribuído por Michal Garcarz, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conhecimento básico da configuração de CLI ASA e da configuração de VPN do Secure Socket Layer (SSL)
  • Conhecimento básico da configuração do acesso remoto VPN no ASA
  • Conhecimento básico de serviços do Identity Services Engine (ISE) e do TrustSec

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software:

  • Software de Cisco ASA, versão 9.2 e mais recente
  • Windows 7 com Cliente de mobilidade Cisco AnyConnect Secure, liberação 3.1
  • Cisco ISE, libera 1.2 e mais atrasado

Configurar

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

O usuário “Cisco” VPN é atribuído à equipe da finança, que é permitida iniciar uma conexão do Internet Control Message Protocol (ICMP) à equipe do mercado. O usuário 'cisco2 VPN é atribuído à equipe do mercado, que não é permitida iniciar nenhuma conexões.

Configuração ISE

  1. Escolha a administração > o Gerenciamento de identidades > as identidades a fim adicionar e configurar o usuário “Cisco” (da finança) e 'cisco2 (do mercado).
  2. Escolha a administração > recursos de rede > dispositivos de rede a fim adicionar e configurar o ASA como um dispositivo de rede.
  3. Escolha a política > os resultados > a autorização > os perfis da autorização a fim adicionar e configurar perfis da autorização da finança e de mercado.

    Ambos os perfis incluem apenas um atributo, o Access Control List carregável (DACL), que permite todo o tráfego. Um exemplo para a finança é mostrado aqui:

    Cada perfil poderia ter um DACL específico, restritivo, mas para esta encenação todo o tráfego é permitido. A aplicação é executada pelo SGFW, não o DACL atribuído a cada sessão de VPN. Trafique que é filtrado com um SGFW permite o uso apenas de SGTs em vez dos endereços IP de Um ou Mais Servidores Cisco ICM NT usados por DACL.

  4. Escolha grupos do > segurança do acesso do grupo do > segurança da política > dos resultados a fim adicionar e configurar a finança e os grupos de mercado SGT.

  5. Escolha a política > a autorização a fim configurar as duas regras da autorização. A primeira regra atribui o Finance_profile (DACL que permite o tráfego inteiro) junto com a finança do grupo SGT ao usuário de “Cisco”.  A segunda regra atribui o Marketing_profile (DACL que permite o tráfego inteiro) junto com o grupo SGT que introduz no mercado ao usuário 'cisco2. 

Configuração ASA

  1. Termine a configuração de VPN básica.
    webvpn
     enable outside
     anyconnect-essentials
     anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1
     anyconnect enable
     tunnel-group-list enable

    group-policy GP-SSL internal
    group-policy GP-SSL attributes
     vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless

    tunnel-group RA type remote-access
    tunnel-group RA general-attributes
     address-pool POOL
     authentication-server-group ISE
     accounting-server-group ISE
     default-group-policy GP-SSL
    tunnel-group RA webvpn-attributes
     group-alias RA enable

    ip local pool POOL 10.10.10.10-10.10.10.100 mask 255.255.255.0
  2. Termine o ASA AAA e a configuração de TrustSec.
    aaa-server ISE protocol radius
    aaa-server ISE (outside) host 10.48.66.74
     key *****
    cts server-group ISE

    A fim juntar-se à nuvem de TrustSec, o ASA precisa de autenticar com as credenciais protegidas do acesso (PAC). O ASA não apoia o abastecimento automático PAC, que é porque esse arquivo precisa de ser gerado manualmente no ISE e de ser importado ao ASA.

  3. Escolha a administração > recursos de rede > dispositivos de rede > ASA > avançou ajustes de TrustSec a fim gerar um PAC no ISE. Escolha fora do abastecimento da faixa (OOB) PAC a fim gerar o arquivo.

  4. Importe o PAC ao ASA.

    O arquivo gerado podia ser posto sobre um servidor FTP HTTP. Os usos ASA que importar o arquivo.

    ASA# cts import-pac http://192.168.111.1/ASA-CTS-2.pac password 12345678
    !PAC Imported Successfully
    ASA#
    ASA# show cts pac

      PAC-Info:
        Valid until: Mar 16 2015 17:40:25
        AID:         ea48096688d96ef7b94c679a17bdad6f
        I-ID:        ASA-CTS-2
        A-ID-Info:   Identity Services Engine
        PAC-type:    Cisco Trustsec
      PAC-Opaque:
        000200b80003000100040010ea48096688d96ef7b94c679a17bdad6f0006009c000301
        0015e3473e728ae73cc905887bdc8d3cee00000013532150cc00093a8064f7ec374555
        e7b1fd5abccb17de31b9049066f1a791e87275b9dd10602a9cb4f841f2a7d98486b2cb
        2b5dc3449f67c17f64d12d481be6627e4076a2a63d642323b759234ab747735a03e01b
        99be241bb1f38a9a47a466ea64ea334bf51917bd9aa9ee3cf8d401dc39135919396223
        11d8378829cc007b91ced9117a

    Quando você tem o PAC correto, o ASA executa automaticamente um ambiente refresca. Isto transfere a informação do ISE sobre grupos atuais SGT.

    ASA# show cts environment-data sg-table 

    Security Group Table:
    Valid until: 17:48:12 CET Mar 17 2014
    Showing 4 of 4 entries

    SG Name                          SG Tag     Type
    -------                          ------     -------------
    ANY                               65535     unicast
    Unknown                               0     unicast
    Finance                              2     unicast
    Marketing                           3     unicast
  5. Configurar o SGFW. A última etapa é configurar o ACL na interface externa que permite o tráfego ICMP da finança ao mercado.
    access-list outside extended permit icmp security-group tag 2 any security-group
    tag 3 any

    access-group outside in interface outside

    Também, o nome de grupo de segurança podia ser usado em vez da etiqueta.

    access-list outside extended permit icmp security-group name Finance any
    security-group name Marketing
    any

    A fim assegurar-se de que a relação ACL processe o tráfego VPN, é necessário desabilitar a opção que permite à revelia o tráfego VPN sem validação através da relação ACL.

    no sysopt connection permit-vpn

Agora o ASA deve estar pronto para classificar usuários VPN e para executar a aplicação baseada em SGTs.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

Depois que o VPN é estabelecido, o ASA apresenta um SGT aplicado a cada sessão.

ASA(config)# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : cisco                  Index        : 1
Assigned IP  : 10.10.10.10            Public IP    : 192.168.10.68
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 35934                  Bytes Rx     : 79714
Group Policy : GP-SSL                 Tunnel Group : RA
Login Time   : 17:49:15 CET Sun Mar 16 2014
Duration     : 0h:22m:57s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : c0a8700a000010005325d60b
Security Grp : 2:Finance

Username     : cisco2                 Index        : 2
Assigned IP  : 10.10.10.11            Public IP    : 192.168.10.80
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 86171                  Bytes Rx     : 122480
Group Policy : GP-SSL                 Tunnel Group : RA
Login Time   : 17:52:27 CET Sun Mar 16 2014
Duration     : 0h:19m:45s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : c0a8700a000020005325d6cb
Security Grp : 3:Marketing

O SGFW permite o tráfego ICMP da finança (SGT=2) ao mercado (SGT=3). É por isso o usuário “Cisco” pode sibilar o usuário 'cisco2.

O aumento dos contadores:

ASA(config)# show access-list outside      
access-list outside; 1 elements; name hash: 0x1a47dec4
access-list outside line 1 extended permit icmp security-group
tag 2(name="Finance") any security-group tag 3(name="Marketing")
any
(hitcnt=4) 0x071f07fc

A conexão foi criada:

Mar 16 2014 18:24:26: %ASA-6-302020: Built inbound ICMP connection for
faddr 10.10.10.10/1(LOCAL\cisco, 2:Finance) gaddr 10.10.10.11/0
laddr 10.10.10.11/0(LOCAL\cisco2, 3:Marketing
) (cisco)

O tráfego de retorno é aceitado automaticamente, porque a inspeção de ICMP é permitida.

Quando você tentar sibilar do mercado (SGT=3) para financiar (SGT=2):

Relatórios ASA:

Mar 16 2014 18:06:36: %ASA-4-106023: Deny icmp src outside:10.10.10.11(LOCAL\cisco2,
3:Marketing) dst outside:10.10.10.10(LOCAL\cisco, 2:Finance)
(type 8, code 0) by
access-group "outside" [0x0, 0x0]

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Veja estes documentos:

Resumo

Este artigo apresenta um exemplo simples em como classificar usuários VPN e executar a aplicação básica. O SGFW igualmente filtra o tráfego entre usuários VPN e o resto da rede. SXP (protocolo de intercâmbio de TrustSec SGT) pode ser usado em um ASA para obter a informação de mapeamento entre o IP e o SGTs. Isso permite que um ASA execute a aplicação para todos os tipos de sessões que foi classificada corretamente (VPN ou LAN).

No software ASA, a versão 9.2 e mais recente, o ASA igualmente apoia a mudança do RAIO da autorização (CoA) (RFC 5176). Um pacote CoA do RAIO enviado do ISE depois que uma postura bem sucedida VPN pode incluir o Cisco-av-pair com um SGT que atribua um usuário complacente a um grupo (mais seguro) diferente. Para mais exemplos, veja os artigos na seção Informação Relacionada.

Informações Relacionadas



Document ID: 117694