Seguridad : Cliente de movilidad Cisco AnyConnect Secure

AnyConnect sobre IKEv2 al ASA con el AAA y la autenticación certificada

31 Julio 2013 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (10 Octubre 2012) | Comentarios


Contenido


Introducción

Este documento proporciona información sobre cómo hacer una conexión de un PC a un Adaptive Security Appliance (ASA) mediante AnyConnect IPsec (IKEv2) y utilizar el certificado y la autenticación AAA.

El ejemplo en este documento no se significa para mostrar una configuración total, sólo los partes pertinentes para obtener la conexión IKEv2 entre el ASA y el AnyConnect. El NAT o la configuración de la lista de acceso no se discute ni se necesita en este documento.

Nota: Contribuido por Marcin Latosiewicz, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • ASA 8,4

  • AnyConnect 3.x

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Qué usted necesitará

Certificados con el EKU apropiado

Aunque en realidad no requerido por la combinación ASA y de AnyConnect, sea importante observar que el RFC requiere los Certificados tener uso dominante ampliado (EKU).

  • Certificado para el ASA (contiene el EKU del servidor-auth)

  • Certificado para el PC (contiene el EKU del cliente-auth)

Nota: Un router del Cisco IOS con la revisión del software reciente puede poner el EKU en los Certificados.

Configuración del lado ASA

Nota: El ASDM permite crear la configuración básica en algunos tecleos. Se recomienda para utilizarlo para evitar los errores.

Configuración de la correspondencia de criptografía:

crypto dynamic-map DYN 1 set pfs group1
crypto dynamic-map DYN 1 set ikev2 ipsec-proposal secure
crypto dynamic-map DYN 1 set reverse-route
crypto map STATIC 65535 ipsec-isakmp dynamic DYN
crypto map STATIC interface outside

Ofertas del IPSec (ejemplo):

crypto ipsec ikev2 ipsec-proposal secure
 protocol esp encryption aes 3des
 protocol esp integrity sha-1
crypto ipsec ikev2 ipsec-proposal AES256-SHA
 protocol esp encryption aes-256
 protocol esp integrity sha-1

Directivas IKEv2 (ejemplo):

crypto ikev2 policy 1
 encryption aes-256
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 policy 20
 encryption aes
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 policy 30
 encryption 3des
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400

crypto ikev2 policy 40

 encryption des
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400

Habilitar los Servicios al cliente y el certificado en la interfaz correcta; en este caso, afuera.

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint OUTSIDE
! You will notice that the same trustpoint is also assigned for SSL, this is intended and required!!!
ssl trust-point OUTSIDE outside

Habilitar AnyConnect y el perfil:

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.5080-k9.pkg 1 regex "Windows NT"
 anyconnect profiles Anyconnect disk0:/anyconnect.xml
 anyconnect enable
 tunnel-group-list enable

Configuración básica del nombre de usuario, de la grupo-directiva y del grupo de túnel.

group-policy GroupPolicy_AC internal
group-policy GroupPolicy_AC attributes

 dns-server value 4.2.2.2
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
 default-domain value cisco.com
 webvpn
 anyconnect profiles value Anyconnect type user

username cisco password 3USUcOPFUiMCO4Jk encrypted
tunnel-group AC type remote-access
tunnel-group AC general-attributes
 address-pool VPN-POOL
 default-group-policy GroupPolicy_AC
tunnel-group AC webvpn-attributes
 authentication aaa certificate
 group-alias AC enable
 group-url https://bsns-asa5520-1.cisco.com/AC enable
 without-csd

Perfil de AnyConnect

Lo que sigue es un perfil del ejemplo, los partes pertinentes en intrépido:

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
	<ClientInitialization>
		<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
		<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
		<ShowPreConnectMessage>false</ShowPreConnectMessage>
		<CertificateStore>All</CertificateStore>
		<CertificateStoreOverride>false</CertificateStoreOverride>
		<ProxySettings>Native</ProxySettings>
		<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
		<AuthenticationTimeout>12</AuthenticationTimeout>
		<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
		<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
		<LocalLanAccess UserControllable="true">false</LocalLanAccess>
		<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
		<AutoReconnect UserControllable="false">true
			<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend</Auto
ReconnectBehavior>
		</AutoReconnect>
		<AutoUpdate UserControllable="false">true</AutoUpdate>
		<RSASecurIDIntegration UserControllable="true">Automatic</RSASecurIDIntegration>
		<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
		<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
		<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
		<PPPExclusion UserControllable="false">Disable
			<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
		</PPPExclusion>
		<EnableScripting UserControllable="false">false</EnableScripting>
		<EnableAutomaticServerSelection UserControllable="false">false
			<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
			<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
		</EnableAutomaticServerSelection>
		<RetainVpnOnLogoff>false
		</RetainVpnOnLogoff>
	</ClientInitialization>
	<ServerList>
		<HostEntry>
			<HostName>bsns-asa5520-1</HostName>
			<HostAddress>bsns-asa5520-1.cisco.com</HostAddress>
			<UserGroup>AC</UserGroup>
		<PrimaryProtocol>IPsec</PrimaryProtocol>
		</HostEntry>
	</ServerList>
</AnyConnectProfile>

Conexión - la perspectiva del usuario

Esta sección muestra la perspectiva del usuario de la conexión cuando el perfil está ya presente.

Es importante observar que la información que el usuario tiene que poner en el GUI para conectar es el valor detrás del <hostname>. En este caso, se ingresa bsns-asa5520-1 (no el FQDN lleno).

Pues el primer paso el gateway indica al usuario que seleccione el certificado (si es automático se inhabilita la selección del certificado).

ac-ikev2-ca-01.gif

Entonces, para el nombre de usuario y contraseña:

ac-ikev2-ca-02.gif

La conexión es acertada y las estadísticas de AnyConnect pueden ser verificadas.

/image/gif/paws/113692/ac-ikev2-ca-03.gif

Verificación en el ASA

Verifique en el ASA que esta conexión esté utilizando IKEv2, y AAA y autenticación certificada.

bsns-asa5520-1# show vpn-sessiondb detail anyconnect filter name cisco
Session Type: AnyConnect Detailed
Username : cisco Index : 6
Assigned IP : 172.16.99.5 Public IP : 1.2.3.4
Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent
License : AnyConnect Premium
Encryption : AES256 AES128 Hashing : none SHA1 SHA1
Bytes Tx : 0 Bytes Rx : 960
Pkts Tx : 0 Pkts Rx : 10
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : GroupPolicy_AC Tunnel Group : AC
Login Time : 15:45:41 UTC Tue Aug 28 2012
Duration : 0h:02m:41s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1
AnyConnect-Parent:
 Tunnel ID : 6.1
 Public IP : 1.2.3.4
 Encryption : none Auth Mode : Certificate and userPassword
 Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
 Client Type : AnyConnect
 Client Ver : 3.0.08057
IKEv2:
 Tunnel ID : 6.2
 UDP Src Port : 60468 UDP Dst Port : 4500
 Rem Auth Mode: Certificate and userPassword
 Loc Auth Mode: rsaCertificate
 Encryption : AES256 Hashing : SHA1

 Rekey Int (T): 86400 Seconds Rekey Left(T): 86238 Seconds
 PRF : SHA1 D/H Group : 5
 Filter Name :
 Client OS : Windows
IPsecOverNatT:
 Tunnel ID : 6.3
 Local Addr : 0.0.0.0/0.0.0.0/0/0
 Remote Addr : 172.16.99.5/255.255.255.255/0/0

 Encryption : AES128 Hashing : SHA1
 Encapsulation: Tunnel
 Rekey Int (T): 28800 Seconds Rekey Left(T): 28638 Seconds
 Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4608000 K-Bytes
 Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
 Bytes Tx : 0 Bytes Rx : 960
 Pkts Tx : 0 Pkts Rx : 10

Advertencias conocidas y problemas

  • El trustpoints IKEv2 y SSL necesita ser lo mismo.

  • Se recomienda para utilizar el FQDN como el CN en los Certificados del lado ASA. Aseegurese para referirse al mismo FQDN al perfil de AnyConnect en el <HostAddress>.

  • En el lado del cliente al conectar, recuerde poner en el valor visible en el perfil de AnyConnect en la sección del <hostname>.

  • Incluso en la configuración IKEv2, AnyConnect que conecta con el ASA descargará el perfil y las actualizaciones binarias sobre el SSL, pero no el IPSec.

  • La conexión de AnyConnect sobre IKEv2 al ASA está utilizando el EAP-AnyConnect, un mecanismo propietario que permita una implementación más simple.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 113692