Безопасность : программное обеспечение для адаптивных устройств обеспечения безопасности Cisco ASA

VPN версии ASA 9.2 классификация SGT и пример конфигурации осуществления

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как использовать новую характеристику в Выпуске 9.2.1 Устройства адаптивной защиты (ASA), классификации тегов группы безопасности (SGT) TrustSec для пользователей VPN. Данный пример представляет двух пользователей VPN, которым назначили другой SGT и Межсетевой экран Группы безопасности (SGFW), который фильтрует трафик между пользователями VPN.

Внесенный Михалом Гаркарзом, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Базовые знания о конфигурации VPN Настройки интерфейса командной строки ASA и Протокола SSL
  • Базовые знания о конфигурации VPN для удаленного доступа на ASA
  • Базовые знания о платформе Identity Services Engine (ISE) и сервисах TrustSec

Используемые компоненты

Сведения, содержащиеся в этом документе, касаются следующих версий программного обеспечения:

  • Программное обеспечение Cisco ASA, Версия 9.2 и позже
  • Windows 7 с защищенным мобильным клиентом Cisco AnyConnect Secure Mobility, выпуском 3.1
  •  Cisco ISE, Выпуск 1.2 и позже

Настройка

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

Пользователя VPN 'Cisco' назначают на Финансовую команду, которой разрешают инициировать соединение Протокола ICMP с Торгующей командой. Пользователя VPN 'cisco2' назначают на Торгующую команду, которой не разрешают инициировать соединения.

Конфигурация ISE

  1. Выберите Administration> Identity Management> Identities, чтобы добавить и настроить пользователя 'Cisco' (от Финансов) и 'cisco2' (от Маркетинга).
  2. Выберите Administration> Network Resources> Network Devices, чтобы добавить и настроить ASA как сетевое устройство.
  3. Выберите Policy> Results> Authorization> Authorization Profiles, чтобы добавить и настроить Финансы и Торгующие профили авторизации.

    Оба профиля включают всего один атрибут, Загружаемый список контроля доступа (DACL), который разрешает весь трафик. Пример для Финансов показывают здесь:

    Каждый профиль мог иметь определенный, строгий DACL, но для этого сценария позволен весь трафик. Осуществление выполнено SGFW, не DACL, назначенным на каждый сеанс VPN. Трафик, который фильтруется с SGFW, обеспечивает использование просто SGTs вместо IP-адресов, используемых DACL.

  4. Выберите Policy>> Security Results Группы> Security Группового доступа, чтобы добавить и настроить Финансы и Торгующие группы SGT.

  5. Выберите Policy> Authorization для настройки этих двух правил авторизации. Первое правило назначает Finance_profile (DACL, который разрешает целый трафик) наряду с Финансами группы SGT пользователю 'Cisco'. Второе правило назначает Marketing_profile (DACL, который разрешает целый трафик) наряду с группой SGT, Торгующей 'cisco2' пользователю. 

Конфигурация ASA

  1. Завершите основную конфигурацию VPN.
    webvpn
     enable outside
     anyconnect-essentials
     anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1
     anyconnect enable
     tunnel-group-list enable

    group-policy GP-SSL internal
    group-policy GP-SSL attributes
     vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless

    tunnel-group RA type remote-access
    tunnel-group RA general-attributes
     address-pool POOL
     authentication-server-group ISE
     accounting-server-group ISE
     default-group-policy GP-SSL
    tunnel-group RA webvpn-attributes
     group-alias RA enable

    ip local pool POOL 10.10.10.10-10.10.10.100 mask 255.255.255.0
  2. Завершите AAA ASA и конфигурацию TrustSec.
    aaa-server ISE protocol radius
    aaa-server ISE (outside) host 10.48.66.74
     key *****
    cts server-group ISE

    Для присоединения к облаку TrustSec ASA должен аутентифицироваться с учетными данными для защищенного доступа (PAC). ASA не поддерживает автоматическую инициализацию PAC, которая является, почему тот файл должен вручную генерироваться на ISE и импортироваться в ASA.

  3. Выберите Administration> Network Resources> Network Devices> ASA> Advanced TrustSec Settings для генерации PAC на ISE. Выберите инициализацию Out of Band (OOB) PAC для генерации файла.

  4. Импортируйте PAC к ASA.

    Генерируемый файл мог быть помещен на сервер HTTP/FTP. Использование ASA, что для импорта файла.

    ASA# cts import-pac http://192.168.111.1/ASA-CTS-2.pac password 12345678
    !PAC Imported Successfully
    ASA#
    ASA# show cts pac

     PAC-Info:
       Valid until: Mar 16 2015 17:40:25
       AID:        ea48096688d96ef7b94c679a17bdad6f
       I-ID:       ASA-CTS-2
       A-ID-Info:  Identity Services Engine
       PAC-type:   Cisco Trustsec
     PAC-Opaque:
       000200b80003000100040010ea48096688d96ef7b94c679a17bdad6f0006009c000301
       0015e3473e728ae73cc905887bdc8d3cee00000013532150cc00093a8064f7ec374555
       e7b1fd5abccb17de31b9049066f1a791e87275b9dd10602a9cb4f841f2a7d98486b2cb
       2b5dc3449f67c17f64d12d481be6627e4076a2a63d642323b759234ab747735a03e01b
       99be241bb1f38a9a47a466ea64ea334bf51917bd9aa9ee3cf8d401dc39135919396223
       11d8378829cc007b91ced9117a

    Когда у вас есть корректный PAC, ASA автоматически выполняет обновление среды. Это загружает информацию от ISE о текущих группах SGT.

    ASA# show cts environment-data sg-table 

    Security Group Table:
    Valid until: 17:48:12 CET Mar 17 2014
    Showing 4 of 4 entries

    SG Name                         SG Tag    Type
    -------                         ------    -------------
    ANY                              65535    unicast
    Unknown                              0    unicast
    Finance                           2    unicast
    Marketing                          3    unicast
  5. Настройте SGFW. Последний шаг должен настроить ACL на внешнем интерфейсе, который обеспечивает трафик ICMP от Финансов до Маркетинга.
    access-list outside extended permit icmp security-group tag 2 any security-group
    tag 3 any

    access-group outside in interface outside

    Кроме того, название Группы безопасности могло использоваться вместо метки.

    access-list outside extended permit icmp security-group name Finance any
    security-group name Marketing
    any

    Чтобы гарантировать, что интерфейсный ACL обрабатывает трафик VPN, необходимо отключить опцию это трафиком VPN разрешений по умолчанию без проверки через интерфейсный ACL.

    no sysopt connection permit-vpn

Теперь ASA должен быть готов классифицировать пользователей VPN и выполнить осуществление на основе SGTs .

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

 Средство интерпретации выходных данных (только зарегистрированные клиенты)  поддерживает некоторые команды show . Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show. 

После того, как VPN установлена, подарки ASA, SGT применился к каждому сеансу.

ASA(config)# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username    : cisco                 Index       : 1
Assigned IP : 10.10.10.10           Public IP   : 192.168.10.68
Protocol    : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License     : AnyConnect Essentials
Encryption  : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing     : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx    : 35934                 Bytes Rx    : 79714
Group Policy : GP-SSL                Tunnel Group : RA
Login Time  : 17:49:15 CET Sun Mar 16 2014
Duration    : 0h:22m:57s
Inactivity  : 0h:00m:00s
VLAN Mapping : N/A                   VLAN        : none
Audt Sess ID : c0a8700a000010005325d60b
Security Grp : 2:Finance

Username    : cisco2                Index       : 2
Assigned IP : 10.10.10.11           Public IP   : 192.168.10.80
Protocol    : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License     : AnyConnect Essentials
Encryption  : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing     : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx    : 86171                 Bytes Rx    : 122480
Group Policy : GP-SSL                Tunnel Group : RA
Login Time  : 17:52:27 CET Sun Mar 16 2014
Duration    : 0h:19m:45s
Inactivity  : 0h:00m:00s
VLAN Mapping : N/A                   VLAN        : none
Audt Sess ID : c0a8700a000020005325d6cb
Security Grp : 3:Marketing

SGFW обеспечивает трафик ICMP от Финансов (SGT=2) к Маркетингу (SGT=3). Именно поэтому пользователь 'Cisco' может пропинговать пользователя 'cisco2'.

Увеличение счетчиков:

ASA(config)# show access-list outside     
access-list outside; 1 elements; name hash: 0x1a47dec4
access-list outside line 1 extended permit icmp security-group
tag 2(name="Finance") any security-group tag 3(name="Marketing")
any
(hitcnt=4) 0x071f07fc

Соединение было создано:

Mar 16 2014 18:24:26: %ASA-6-302020: Built inbound ICMP connection for
faddr 10.10.10.10/1(LOCAL\cisco, 2:Finance) gaddr 10.10.10.11/0
laddr 10.10.10.11/0(LOCAL\cisco2, 3:Marketing
) (cisco)

Ответный трафик автоматически принят, потому что включено Инспектирование icmp.

Когда вы пытаетесь пропинговать от Маркетинга (SGT=3) для Финансирования (SGT=2):

Отчёты о ASA:

Mar 16 2014 18:06:36: %ASA-4-106023: Deny icmp src outside:10.10.10.11(LOCAL\cisco2,
3:Marketing) dst outside:10.10.10.10(LOCAL\cisco, 2:Finance)
(type 8, code 0) by
access-group "outside" [0x0, 0x0]

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

См. эти документы:

Сводка

Эта статья представляет простой пример о том, как классифицировать пользователей VPN и выполнить основное осуществление. SGFW также фильтрует трафик между пользователями VPN и остатком сети. SXP (протокол обмена TrustSec SGT) может использоваться на ASA для получения данных сопоставления между IP и SGTs. Это позволяет ASA выполнять осуществление для всех типов сеансов, которое было должным образом классифицировано (VPN или LAN).

В программном обеспечении ASA, Версии 9.2 и позже, ASA также поддерживает изменение авторизации RADIUS (CoA) (RFC 5176). Пакет RADIUS CoA, передаваемый от ISE после успешного положения VPN, может включать Cisco-av-pair с SGT, который назначает совместимого пользователя на другую (более безопасную) группу. Для большего количества примеров см. статьи в Разделе связанных сведений.

Дополнительные сведения



Document ID: 117694