Configuración del VPN de acceso remoto de AnyConnect en FTD

Introducción

Este documento proporciona un ejemplo de configuración para la versión 6.2.2 y posterior de la defensa de la amenaza de FirePOWER (FTD), ése permite que el VPN de acceso remoto utilice Transport Layer Security (TLS) y el intercambio de claves de Internet versión 2 (IKEv2). Como cliente, Cisco AnyConnect será utilizado, que se soporta en las plataformas múltiples.

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• VPN básico, TLS y conocimiento IKEv2
• Autenticación básica, autorización, y estadísticas (AAA) y conocimiento RADIUS
• Experimente con el centro de administración de FirePOWER

Componentes usados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco FTD 6.2.2
• AnyConnect 4.5

Configuración

1. Preresiquites

Para pasar a través del Asisitente del Acceso Remoto en el centro de administración de FirePOWER, primero usted necesitará seguir los siguientes pasos:

• cree un certificado usado para la autenticación de servidor,
• configure el RADIUS o al servidor LDAP para la autenticación de usuario,
• cree a la agrupación de direcciones para los usuarios de VPN,
• cargue las imágenes de AnyConnect para diversas Plataformas.

a) importación del certificado SSL

Los Certificados son esenciales cuando usted configura AnyConnect. Solamente los Certificados basados RSA se soportan en el SSL y el IPSec. Los Certificados elípticos del Digital Signature Algorithm de la curva (ECDSA) se soportan en el IPSec, pero él no son posibles desplegar el nuevo paquete de AnyConnect o el perfil XML cuando se utiliza el certificado basado ECDSA. Significa que usted puede utilizarlo para el IPSec, pero usted tendrá que predesplegar el paquete de AnyConnect y el perfil XML a cada usuario y cualquier cambio en el perfil XML tendrán que ser reflejados manualmente en cada cliente (bug: CSCtx42595 ). Además el certificado debe tener extensión alternativa sujeta del nombre con el nombre DNS y/o la dirección IP para evitar los errores en los buscadores Web.

Hay varios métodos para obtener un certificado en el dispositivo FTD, pero el seguro y fácil es crear un pedido de firma de certificado (CSR), lo firma y entonces Import Certificate (Importar certificado) publicado para la clave pública, que estaba en el CSR. Aquí es cómo hacer eso:

• Vaya a los objetos > a la Administración del objeto > al PKI > a la inscripción CERT, haga clic en agregan la inscripción CERT:

• Seleccione el certificado del Certificate Authority (CA) del tipo y de la goma de la inscripción,
• Entonces vaya a tabular y a seleccionar la aduana FQDN y a llenar en segundo lugar todos los campos necesarios, eg.:

• En la tercera lengueta, el tipo dominante selecto, elige el nombre y el tamaño. Para el RSA, 2048 bytes son mínimos.
• Haga clic la salvaguardia y vaya a los dispositivos > a los Certificados > Add > nuevo certificado. Entonces seleccione el dispositivo, y bajo inscripción CERT seleccione el trustpoint que usted acaba de crear, tecleo agregan:

• Más adelante, al lado del nombre del trustpoint, haga clic enel icono, entonces sí y después esa copia CSR al CA y fírmelo. El certificado debe tener atributos como servidor HTTPS normal.
• Después de recibir el certificado de CA en el formato del base64, selecciónelo del disco y haga clic la importación. Cuando esto tiene éxito, usted debe ver:

b) servidor de RADIUS de la configuración

En el platftorm FTD, la base de datos de usuarios locales no puede ser utilizada, así que usted necesita el RADIUS o al servidor LDAP para la autenticación de usuario. Para configurar el RADIUS:

• Vaya a los objetos > a la Administración del objeto > al grupo de servidor de RADIUS del grupo de servidor de RADIUS > Add.
• Llene el nombre y agregue la dirección IP junto con el secreto compartido, salvaguardia del tecleo:

• Después que usted debe ver el servidor en la lista:

c) crear a la agrupación de direcciones para los usuarios de VPN

• Vaya a los objetos > a la Administración del objeto > a los pools del IPv4 de las agrupaciones de direcciones > Add:
• Ponga el nombre y el rango, máscara no es necesario:

d) crear el perfil XML

• Descargue el editor del perfil del sitio de Cisco y ábralo.
• Vaya a la lista de servidores > Add…
• Ponga el nombre de la visualización y el FQDN. Usted debe ver las entradas en la lista de servidores:

• Haga Click en OK y File (Archivo) > Save as (Guardar como)… 

e) cargar las imágenes de AnyConnect

• Imágenes del paquete de la descarga del sitio de Cisco.
• Va a los objetos > a la Administración del objeto > el archivo de AnyConnect al archivo VPN > de AnyConnect > Add.
• Teclee el nombre y el archivo de paquete selecto del disco, salvaguardia del tecleo:

• Agregue más paquetes dependiendo de sus requisitos.

2. Asisitente del Acceso Remoto

• Va a los dispositivos > al VPN > al Acceso Remoto > Add una nueva configuración.
• Nombre el perfil según sus necesidades, dispositivo selecto FTD:

• En el perfil de la conexión del paso, el nombre del perfil de la conexión del tipo, selecciona el servidor de autenticación y a las agrupaciones de direcciones que usted ha creado anterior:

• Haga clic en editan la directiva del grupo y en la lengueta AnyConnect, perfil selecto del cliente, después hacen clic la salvaguardia:

• En la página siguiente, las imágenes selectas y el tecleo de AnyConnect después:

• En la siguiente pantalla, seleccione la interfaz de la red y DeviceCertificates:

• Cuando todo se configura correctamente, usted puede clic en Finalizar y entonces desplegar:

• Esto copiará la configuración entera junto con los Certificados y los paquetes de AnyConnect al dispositivo FTD.

Conexión

Para conectar con FTD que usted necesita abrir a un navegador, el nombre DNS del tipo o la dirección IP señalando a la interfaz exterior, en este ejemplo https://vpn.cisco.com. Usted entonces tendrá que iniciar sesión usando las credenciales salvadas en el servidor de RADIUS y seguir las instrucciones en la pantalla. Una vez que AnyConnect instala, usted entonces necesita poner el mismo direccionamiento en la ventana de AnyConnect y el tecleo conecta.

Limitaciones

Actualmente sin apoyo en FTD, pero disponible en el ASA:

• Autenticación AAA doble
• Directiva del acceso dinámico
• Exploración del host
• Postura ISE
• CoA RADIUS
• Carga-balanceador VPN
• Autenticación local (mejora: CSCvf92680 )
• Correspondencia del atributo LDAP
• Arreglo para requisitos particulares de AnyConnect
• Scripts de AnyConnect
• Localización de AnyConnect
• Por-APP VPN
• Proxy SCEP
• Integración WSA
• SAML SSO
• Correspondencia cifrada dinámica simultánea IKEv2 para RA y L2L VPN
• Los módulos de AnyConnect (NAM, Hostscan, Enabler etc. AMP) – DARDO están instalados por abandono
• TACACS, Kerberos (autenticación KCD y SDI RSA)
• Proxy del navegador

Observaciones de seguridad

Usted necesita recordar eso por abandono, opción de permiso-VPN de la conexión del sysopt se inhabilita. Este medios, eso que usted necesita permitir el tráfico que viene de la agrupación de direcciones en la interfaz exterior vía la directiva del control de acceso. Aunque la regla del PRE-filtro o del control de acceso sea el preponerse agregado permitir el tráfico VPN solamente, si el tráfico del texto claro sucede hacer juego los criterios de regla, se permite erróneamente.

Hay dos acercamientos a este problema. Primero, TAC recomendó la opción, está habilitar contra spoofing (en el ASA conocido como Unicast Reverse Path Forwarding - uRPF) para la interfaz exterior, y el segundo es permitir a la conexión permiso-VPN del sysopt para desviar el examen del Snort totalmente. La primera opción permite examinar normalmente el tráfico que va a y desde los usuarios de VPN.

a) Habilitar el uRPF

• cree una ruta nula para la red usada para los usuarios de acceso remoto, definido en la sección C. Apenas va a los dispositivos > a la Administración de dispositivos > edita > la ruta de la encaminamiento > de la Static ruta > Add:

• en segundo lugar, usted necesita habilitar el uRPF en la interfaz que está terminando las conexiones VPN. Usted puede encontrar que en los dispositivos > Administración de dispositivos > editar > las interfaces > edita > que avanzó la configuración del > Security (Seguridad) > habilita el spoofing anti:

Cuando el usuario está conectado, la ruta de 32 bits está instalada para ese usuario en la tabla de ruteo. El tráfico del texto claro originado de otro, los IP Addresses inusitados del pool es caído por el uRFP. Contra spoofing se ha descrito en esta página:

Fije los parámetros de la Configuración de seguridad en la defensa de la amenaza de FirePOWER

b) Habilitar la opción de permiso-VPN de la conexión del sysopt

• Si usted tiene versión 6.2.3 o posterior, hay una opción para hacerla durante el Asisitente o bajo los dispositivos > el VPN > el Acceso Remoto > el perfil > interfaces de acceso VPN:

• Para las versiones antes de 6.2.3, vaya a los objetos > a la Administración del objeto > a FlexConfig > al objeto del texto del objeto del texto > Add.
• Cree un variable object del texto, por ejemplo: vpnSysVar una sola entrada con el valor “sysopt”
• Vaya a los objetos > a la Administración del objeto > al objeto de FlexConfig de FlexConfig > del objeto de FlexConfig > Add.
• Cree el objeto de FlexConfig con CLI “conexión permiso-VPN”:
• Inserte el variable object del texto en el objeto del flexconfig al inicio del CLI como “conexión permiso-VPN $vpnSysVar”, salvaguardia del tecleo:
  
  
  
  
• Aplique el objeto de FlexConfig como añaden al final del fichero y seleccione el despliegue a cada vez:
  
  
  
  
• Vaya a los dispositivos > a FlexConfig y edite la política existente o cree un nuevo con el nuevo botón de la directiva.
• Agregue apenas FlexConfig creado, salvaguardia del tecleo.
• Despliegue la configuración para provision “el comando de permiso-VPN de la conexión del sysopt” en el dispositivo.

Esto sin embargo, quitará la posibilidad para utilizar la directiva del control de acceso para examinar el tráfico que viene de los usuarios. Usted puede todavía utilizar el filtro VPN o ACL descargable filtrar el tráfico de usuarios.

Si usted ve los problemas con los paquetes de caída del Snort de los usuarios de VPN, entre en contacto TAC que se refiere a CSCvg91399 .