Configuración de VPN de acceso remoto AnyConnect en FTD

Introducción

Este documento proporciona un ejemplo de configuración para Firepower Threat Defense (FTD) versión 6.2.2 y posteriores, que permite que la VPN de acceso remoto utilice Transport Layer Security (TLS) e Internet Key Exchange versión 2 (IKEv2). Como cliente, se utilizará Cisco AnyConnect, que es compatible con varias plataformas.

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Conocimiento básico de VPN, TLS e IKEv2
• Conocimiento básico de autenticación, autorización y contabilidad (AAA) y RADIUS
• Experiencia con Firepower Management Center

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco FTD 6.2.2
• AnyConnect 4.5

Configuración

1. Preresiquitas

Para pasar por el asistente de acceso remoto en Firepower Management Center, primero deberá seguir estos pasos:

• crear un certificado utilizado para la autenticación del servidor,
• configure el servidor RADIUS o LDAP para la autenticación de usuario,
• crear conjunto de direcciones para usuarios de VPN,
• cargue imágenes de AnyConnect para diferentes plataformas.

a) importación del certificado SSL

Los certificados son esenciales cuando se configura AnyConnect. Solamente los certificados basados en RSA se soportan en SSL e IPSec. Los certificados de algoritmo de firma digital de curva elíptica (ECDSA) son compatibles con IPSec, pero no es posible implementar un nuevo paquete de AnyConnect o un perfil XML cuando se utiliza un certificado basado en ECDSA. Esto significa que puede utilizarlo para IPSec, pero tendrá que implementar previamente el paquete AnyConnect y el perfil XML para cada usuario y cualquier cambio en el perfil XML tendrá que reflejarse manualmente en cada cliente (error: CSCtx42595 ). Además, el certificado debe tener una extensión de nombre alternativo de asunto con nombre DNS o dirección IP para evitar errores en los navegadores web.

Hay varios métodos para obtener un certificado en el dispositivo FTD, pero el más fácil y seguro es crear una solicitud de firma de certificado (CSR), firmarla y después importar un certificado emitido para clave pública, que estaba en CSR. A continuación se explica cómo hacerlo:

• Vaya a Objects > Object Management > PKI > Cert Enrollment, haga clic en Add Cert Enrollment:

• Seleccione Tipo de inscripción y pegue el certificado de Autoridad de Certificación (CA),
• A continuación, vaya a la segunda ficha y seleccione FQDN personalizado y rellene todos los campos necesarios, por ejemplo:

• En la tercera ficha, seleccione el tipo de clave, elija el nombre y el tamaño. Para RSA, 2048 bytes es mínimo.
• Haga clic en Guardar y vaya a Dispositivos > Certificados > Agregar > Nuevo Certificado. A continuación, seleccione Device y, en Cert Enrollment, seleccione el punto de confianza que acaba de crear, haga clic en Add:

• Más adelante, junto al nombre del punto de confianza, haga clic en  , luego Sí y después de esa copia CSR a CA y firmarla. El certificado debe tener atributos como servidor HTTPS normal.
• Después de recibir el certificado de CA en formato base64, selecciónelo del disco y haga clic en Importar. Cuando esto tenga éxito, debería ver:

b) configurar el servidor RADIUS

En la plataforma FTD, no se puede utilizar la base de datos de usuario local, por lo que necesita un servidor RADIUS o LDAP para la autenticación de usuario. Para configurar RADIUS:

• Vaya a Objetos > Administración de Objetos > Grupo de Servidores RADIUS > Agregar Grupo de Servidores RADIUS.
• Rellene el nombre y agregue la dirección IP junto con el secreto compartido, haga clic en Guardar:

• Después de eso, debería ver el servidor en la lista:

c) creación de conjunto de direcciones para usuarios de VPN

• Vaya a Objetos > Administración de Objetos > Conjuntos de Direcciones > Agregar Conjuntos IPv4:
• Coloque el nombre y el intervalo, la máscara no es necesaria:

d) creación del perfil XML

• Descargue Profile Editor desde el sitio de Cisco y ábralo.
• Vaya a Lista de servidores > Agregar...
• Coloque Nombre de visualización y FQDN. Debería ver las entradas en Lista de servidores:

• Haga clic en Aceptar y Archivo > Guardar como... 

e) carga de imágenes de AnyConnect

• Descargue imágenes de pkg del sitio de Cisco.
• Vaya a Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
• Escriba el nombre y seleccione el archivo PKG del disco, haga clic en Guardar:

• Añada más paquetes según sus necesidades.

2. Asistente de acceso remoto

• Vaya a Devices > VPN > Remote Access > Add a new configuration.
• Asigne un nombre al perfil según sus necesidades, seleccione el dispositivo FTD:

• En el paso Perfil de conexión, escriba Nombre de perfil de conexión, seleccione Servidor de autenticación y Grupos de direcciones que haya creado anteriormente:

• Haga clic en Editar política de grupo y, en la pestaña AnyConnect, seleccione Perfil de cliente y luego haga clic en Guardar :

• En la página siguiente, seleccione las imágenes de AnyConnect y haga clic en Siguiente:

• En la siguiente pantalla, seleccione Interfaz de red y Certificados de dispositivo:

• Cuando todo está configurado correctamente, puede hacer clic en Finalizar y, a continuación, Implementar:

• Esto copiará la configuración completa junto con los certificados y los paquetes de AnyConnect en el dispositivo FTD.

Conexión

Para conectarse a FTD debe abrir un navegador, escribir el nombre DNS o la dirección IP que apunte a la interfaz externa, en este ejemplo, https://vpn.cisco.com. Usted a continuación, tendrá que iniciar sesión con las credenciales almacenadas en el servidor RADIUS y seguir las instrucciones de la pantalla. Una vez que se instala AnyConnect, debe colocar la misma dirección en la ventana de AnyConnect y hacer clic en Connect.

Limitaciones

Actualmente no se admite en FTD, pero está disponible en ASA:

• Autenticación AAA doble
• Política de acceso dinámico
• Análisis de host
• postura de ISE
• RADIUS CoA
• equilibrador de carga VPN
• Autenticación local (mejora: CSCvf92680 )
• mapa de atributos LDAP
• Personalización de AnyConnect
• Guiones de AnyConnect
• Localización de AnyConnect
• VPN por aplicación
• proxy SCEP
• integración WSA
• SAML SSO
• Mapa criptográfico dinámico IKEv2 simultáneo para RA y VPN L2L
• Módulos AnyConnect (NAM, HostScan, AMP Enabler, etc.): DART se instala de forma predeterminada
• TACACS, Kerberos (Autenticación KCD y SDI RSA)
• Proxy del explorador

Observaciones de seguridad

Debe recordar que, de forma predeterminada, la opción permit-vpn de la conexión sysopt está desactivada. Esto significa que debe permitir el tráfico proveniente del conjunto de direcciones en la interfaz externa a través de la política de control de acceso. Aunque la regla de pre-filtro o control de acceso se agrega con la intención de permitir solamente el tráfico VPN, si el tráfico de texto sin cifrar coincide con los criterios de la regla, se permite erróneamente.

Hay dos enfoques para este problema. En primer lugar, la opción recomendada del TAC es habilitar la antisimulación (en ASA, conocida como Unicast Reverse Path Forwarding - uRPF) para la interfaz externa, y en segundo lugar, habilitar sysopt connection permit-vpn para que omita la inspección de Snort completamente. La primera opción permite inspeccionar normalmente el tráfico que entra y sale de los usuarios de VPN.

a) Habilitación de uRPF

• cree una ruta nula para la red utilizada para los usuarios de acceso remoto, definida en la sección c. Simplemente vaya a Devices > Device Management > Edit > Routing > Static Route > Add route:

• en segundo lugar, debe habilitar uRPF en la interfaz que está terminando las conexiones VPN. Puede encontrarlo en Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing:

Cuando el usuario está conectado, la ruta de 32 bits se instala para ese usuario en la tabla de ruteo. El uRFP descarta el tráfico de texto despejado originado en otras direcciones IP no utilizadas del conjunto. En esta página se ha descrito Anti-Spoofing:

Establecer parámetros de configuración de seguridad en Firepower Threat Defense

b) Habilitación de la opción sysopt connection permit-vpn

• Si tiene la versión 6.2.3 o superior, existe la opción de hacerlo durante el asistente o en Dispositivos > VPN > Acceso Remoto > Perfil VPN > Interfaces de Acceso:

• Para las versiones anteriores a la 6.2.3, vaya a Objetos > Administración de Objetos > FlexConfig > Objeto de Texto> Agregar Objeto de Texto.
• Cree una variable de objeto de texto, por ejemplo: vpnSysVar una sola entrada con el valor "sysopt"
• Vaya a Objects > Object Management > FlexConfig > FlexConfig Object > Add FlexConfig Object.
• Cree el objeto FlexConfig con la CLI "connection permit-vpn":
• Inserte la variable de objeto de texto en el objeto flexconfig al principio de CLI como "$vpnSysVar connection permit-vpn", haga clic en Guardar:
  
  
  
  
• Aplique el objeto FlexConfig como Append y seleccione la implementación en Everytime:
  
  
  
  
• Vaya a Devices > FlexConfig y edite la política existente o cree una nueva con el botón New Policy.
• Agregue FlexConfig recién creado, haga clic en Guardar.
• Implemente la configuración para aprovisionar el comando "sysopt connection permit-vpn" en el dispositivo.

Esto, sin embargo, eliminará la posibilidad de utilizar la política de control de acceso para inspeccionar el tráfico proveniente de los usuarios. Todavía puede utilizar el filtro VPN o la ACL descargable para filtrar el tráfico del usuario.

Si ve problemas con la caída de paquetes de Snort de los usuarios de VPN, póngase en contacto con el TAC que hace referencia a CSCvg91399 .