Seguridad : Software Cisco Adaptive Security Appliance (ASA)

Ejemplo de configuración de la clasificación y de la aplicación de la Versión de ASA 9.2 VPN SGT

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo utilizar una nueva función en la versión adaptante 9.2.1 del dispositivo de seguridad (ASA), clasificación de la etiqueta del grupo de seguridad de TrustSec (SGT) para los usuarios de VPN. Este ejemplo presenta a dos usuarios de VPN que se han asignado un diverso Firewall SGT y del grupo de seguridad (SGFW), que filtra el tráfico entre los usuarios de VPN.

Contribuido por Michal Garcarz, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Conocimiento básico de la configuración CLI ASA y de la configuración VPN del Secure Socket Layer (SSL)
  • Conocimiento básico de la configuración del VPN de acceso remoto en el ASA
  • Conocimiento básico de los servicios del Identity Services Engine (ISE) y de TrustSec

Componentes Utilizados

La información que contiene este documento se basa en estas versiones de software:

  • Software de Cisco ASA, versión 9.2 y posterior
  • Windows 7 con el Cliente de movilidad Cisco AnyConnect Secure, versión 3.1
  • Cisco ISE, libera 1.2 y posterior

Configurar

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

Asignan el usuario de VPN “Cisco” al equipo de las finanzas, que se permite iniciar una conexión del Internet Control Message Protocol (ICMP) al equipo del márketing. Asignan el usuario de VPN 'cisco2 al equipo del márketing, que no se permite iniciar ninguna conexiones.

Configuración ISE

  1. Elija la administración > la Administración de la identidad > las identidades para agregar y configurar al usuario “Cisco” (de las finanzas) y 'cisco2 (del márketing).
  2. Elija la administración > los recursos de red > los dispositivos de red para agregar y configurar el ASA como dispositivo de red.
  3. Elija la directiva > los resultados > la autorización > los perfiles de la autorización para agregar y configurar los perfiles de la autorización de las finanzas y de márketing.

    Ambos perfiles incluyen apenas un atributo, la lista de control de acceso transferible (DACL), que permite todo el tráfico. Un ejemplo para las finanzas se muestra aquí:

    Cada perfil podría tener un DACL específico, restrictivo, pero para este escenario se permite todo el tráfico. La aplicación es realizada por el SGFW, no el DACL asignado a cada sesión de VPN. Trafique que se filtra con un SGFW tiene en cuenta el uso apenas de SGTs en vez de los IP Addresses usados por DACL.

  4. Elija los grupos del > Security (Seguridad) del acceso del grupo del > Security (Seguridad) de la directiva > de los resultados para agregar y configurar las finanzas y a los grupos de comercialización SGT.

  5. Elija la directiva > la autorización para configurar las dos reglas de la autorización. La primera regla asigna el Finance_profile (DACL que permite el tráfico entero) junto con las finanzas del grupo SGT al usuario de “Cisco”.  La segunda regla asigna el Marketing_profile (DACL que permite el tráfico entero) junto con el grupo SGT que comercializa al usuario 'cisco2. 

Configuración ASA

  1. Complete la configuración VPN básica.
    webvpn
     enable outside
     anyconnect-essentials
     anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1
     anyconnect enable
     tunnel-group-list enable

    group-policy GP-SSL internal
    group-policy GP-SSL attributes
     vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless

    tunnel-group RA type remote-access
    tunnel-group RA general-attributes
     address-pool POOL
     authentication-server-group ISE
     accounting-server-group ISE
     default-group-policy GP-SSL
    tunnel-group RA webvpn-attributes
     group-alias RA enable

    ip local pool POOL 10.10.10.10-10.10.10.100 mask 255.255.255.0
  2. Complete el ASA AAA y la configuración de TrustSec.
    aaa-server ISE protocol radius
    aaa-server ISE (outside) host 10.48.66.74
     key *****
    cts server-group ISE

    Para unirse a la nube de TrustSec, el ASA necesita autenticar con los credenciales protegidos del acceso (PAC). El ASA no soporta el aprovisionamiento automático PAC, que es porqué ese archivo necesita ser generado manualmente en el ISE y ser importado al ASA.

  3. Elija la administración > los recursos de red > los dispositivos de red > el ASA > avanzó las configuraciones de TrustSec para generar un PAC en el ISE. Elija fuera del aprovisionamiento de la banda (OOB) PAC para generar el archivo.

  4. Importe el PAC al ASA.

    El archivo generado se podía poner en un servidor FTP HTTP. Las aplicaciones ASA que de importar el archivo.

    ASA# cts import-pac http://192.168.111.1/ASA-CTS-2.pac password 12345678
    !PAC Imported Successfully
    ASA#
    ASA# show cts pac

      PAC-Info:
        Valid until: Mar 16 2015 17:40:25
        AID:         ea48096688d96ef7b94c679a17bdad6f
        I-ID:        ASA-CTS-2
        A-ID-Info:   Identity Services Engine
        PAC-type:    Cisco Trustsec
      PAC-Opaque:
        000200b80003000100040010ea48096688d96ef7b94c679a17bdad6f0006009c000301
        0015e3473e728ae73cc905887bdc8d3cee00000013532150cc00093a8064f7ec374555
        e7b1fd5abccb17de31b9049066f1a791e87275b9dd10602a9cb4f841f2a7d98486b2cb
        2b5dc3449f67c17f64d12d481be6627e4076a2a63d642323b759234ab747735a03e01b
        99be241bb1f38a9a47a466ea64ea334bf51917bd9aa9ee3cf8d401dc39135919396223
        11d8378829cc007b91ced9117a

    Cuando usted tiene el PAC correcto, el ASA realiza automáticamente un entorno restaura. Esto descarga la información del ISE sobre los grupos actuales SGT.

    ASA# show cts environment-data sg-table 

    Security Group Table:
    Valid until: 17:48:12 CET Mar 17 2014
    Showing 4 of 4 entries

    SG Name                          SG Tag     Type
    -------                          ------     -------------
    ANY                               65535     unicast
    Unknown                               0     unicast
    Finance                              2     unicast
    Marketing                           3     unicast
  5. Configure el SGFW. El paso más reciente es configurar el ACL en la interfaz exterior que permite el tráfico ICMP de las finanzas a la comercialización.
    access-list outside extended permit icmp security-group tag 2 any security-group
    tag 3 any

    access-group outside in interface outside

    También, el nombre de grupo de seguridad se podía utilizar en vez de la etiqueta.

    access-list outside extended permit icmp security-group name Finance any
    security-group name Marketing
    any

    Para asegurarse de que la interfaz ACL procese el tráfico VPN, es necesario inhabilitar la opción que por abandono permite el tráfico VPN sin la validación vía la interfaz ACL.

    no sysopt connection permit-vpn

Ahora el ASA debe estar listo para clasificar a los usuarios de VPN y para realizar la aplicación basada en SGTs.

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

Después de que se establezca el VPN, el ASA presenta un SGT aplicado a cada sesión.

ASA(config)# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : cisco                  Index        : 1
Assigned IP  : 10.10.10.10            Public IP    : 192.168.10.68
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 35934                  Bytes Rx     : 79714
Group Policy : GP-SSL                 Tunnel Group : RA
Login Time   : 17:49:15 CET Sun Mar 16 2014
Duration     : 0h:22m:57s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : c0a8700a000010005325d60b
Security Grp : 2:Finance

Username     : cisco2                 Index        : 2
Assigned IP  : 10.10.10.11            Public IP    : 192.168.10.80
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 86171                  Bytes Rx     : 122480
Group Policy : GP-SSL                 Tunnel Group : RA
Login Time   : 17:52:27 CET Sun Mar 16 2014
Duration     : 0h:19m:45s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : c0a8700a000020005325d6cb
Security Grp : 3:Marketing

El SGFW permite el tráfico ICMP de las finanzas (SGT=2) a la comercialización (SGT=3). Por eso el usuario “Cisco” puede hacer ping al usuario 'cisco2.

El aumento de los contadores:

ASA(config)# show access-list outside      
access-list outside; 1 elements; name hash: 0x1a47dec4
access-list outside line 1 extended permit icmp security-group
tag 2(name="Finance") any security-group tag 3(name="Marketing")
any
(hitcnt=4) 0x071f07fc

Se ha creado la conexión:

Mar 16 2014 18:24:26: %ASA-6-302020: Built inbound ICMP connection for
faddr 10.10.10.10/1(LOCAL\cisco, 2:Finance) gaddr 10.10.10.11/0
laddr 10.10.10.11/0(LOCAL\cisco2, 3:Marketing
) (cisco)

El tráfico de retorno se valida automáticamente, porque se habilita la inspección icmp.

Cuando usted intenta hacer ping del márketing (SGT=3) para financiar (SGT=2):

Informes ASA:

Mar 16 2014 18:06:36: %ASA-4-106023: Deny icmp src outside:10.10.10.11(LOCAL\cisco2,
3:Marketing) dst outside:10.10.10.10(LOCAL\cisco, 2:Finance)
(type 8, code 0) by
access-group "outside" [0x0, 0x0]

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Vea estos documentos:

Resumen

Este artículo presenta un ejemplo simple en cómo clasificar a los usuarios de VPN y realizar la aplicación básica. El SGFW también filtra el tráfico entre los usuarios de VPN y el resto de la red. SXP (Exchange Protocol de TrustSec SGT) se puede utilizar en un ASA para obtener la información de mapeo entre el IP y SGTs. Eso permite que un ASA realice la aplicación para todos los tipos de sesiones que se ha clasificado correctamente (VPN o LAN).

En el software ASA, la versión 9.2 y posterior, el ASA también soporta el cambio RADIUS de la autorización (CoA) (RFC 5176). Un paquete CoA RADIUS enviado del ISE después de que una postura acertada VPN pueda incluir el Cisco-av-pair con un SGT que asigne a un usuario obediente a un diverso grupo (más seguro). Por más ejemplos, vea los artículos en la sección de información relacionada.

Información Relacionada



Document ID: 117694