El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo utilizar la función implementada en Adaptive Security Appliance (ASA) Versión 9.3.1 - Etiquetado en línea TrustSec. Esta función permite que ASA reciba tramas TrustSec y que las envíe. De esta manera, ASA se puede integrar fácilmente en el dominio TrustSec sin necesidad de utilizar TrustSec SGT Exchange Protocol (SXP).
Este ejemplo presenta al usuario VPN remoto al que se ha asignado la etiqueta Security Group Tag (SGT) = 3 (Marketing) y 802.1x al usuario a los que se ha asignado la etiqueta SGT = 2 (Finanzas). La aplicación del tráfico es realizada tanto por ASA con el uso de la lista de control de acceso de grupo de seguridad (SGACL) definida localmente como por el switch Cisco IOS® mediante la lista de control de acceso basado en roles (RBACL) descargada de Identity Services Engine (ISE).
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en estas versiones de software:
La conexión entre ASA y 3750X está configurada para cts manuales. Esto significa que ambos dispositivos pueden enviar y recibir tramas Ethernet modificadas con el campo de metadatos de Cisco (CMD). Ese campo incluye Security Group Tag (SGT) que describe el origen del paquete.
El usuario de VPN remota finaliza la sesión SSL en ASA y se le asigna la etiqueta SGT 3 (Marketing).
Usuario 802.1x corporativo local después de que se haya asignado la autenticación correcta a la etiqueta SGT 2 (Finanzas).
ASA tiene SGACL configurado en la interfaz interna que permite el tráfico ICMP iniciado desde Finanzas a Marketing.
ASA permite todo el tráfico iniciado desde el usuario de VPN de eliminación (debido a la configuración "sysopt connection permit-vpn").
SGACL en ASA es stateful, lo que significa que una vez que se crea el flujo, el paquete devuelto se acepta automáticamente (según la inspección).
El switch 3750 utiliza RBACL para controlar el tráfico recibido de Marketing a Finanzas.
RBACL es sin información de estado, lo que significa que todos los paquetes se comprueban, pero la aplicación de TrustSec en la plataforma 3750X se realiza en el destino. De esta manera, el switch es responsable de la aplicación del tráfico de marketing a finanzas.
Nota: Para el firewall con información de estado de Trustsec en Cisco IOS® se puede utilizar el firewall basado en zona, por ejemplo, consulte:
Nota: ASA podría tener SGACL controlando el tráfico que proviene del usuario VPN remoto. Para simplificar el escenario, no se ha presentado en este artículo. Por ejemplo, consulte Ejemplo de Configuración de Clasificación y Aplicación de ASA Versión 9.2 VPN SGT
Vaya a Policy > Results > Security Group Access > Security Groups y cree SGT para Finance and Marketing como se muestra en esta imagen.
Navegue hasta Policy > Results > Security Group Access > Security Group ACL y cree ACL que se utiliza para controlar el tráfico de Marketing a Finanzas. Solo se permite tcp/445 como se muestra en esta imagen.
Navegue hasta Política > Política de Salida > enlace de matriz para ACL configurada para el origen: Marketing y destino: Finanzas. También adjunte Deny IP como la última ACL en descartar el resto del tráfico como se muestra en la imagen. (sin esa política predeterminada, el valor predeterminado es permit any)
Navegue hasta Política > Autorización y cree una regla para acceso VPN remoto. Todas las conexiones VPN establecidas a través del cliente AnyConnect 4.x tendrán acceso completo (PermitAccess) y se les asignará la etiqueta SGT 3 (Marketing). La condición es utilizar las Extensiones de identidad de AnyConnect (ACIDEX):
Rule name: VPN
Condition: Cisco:cisco-av-pair CONTAINS mdm-tlv=ac-user-agent=AnyConnect Windows 4
Permissions: PermitAccess AND Marketing
Navegue hasta Política > Autorización y cree una regla para el acceso 802.1x. El solicitante que finalice la sesión 802.1x en el switch 3750 con el nombre de usuario cisco obtendrá acceso completo (PermitAccess) y se le asignará la etiqueta SGT 2 (Finanzas).
Rule name: 802.1x
Condition: Radius:User-Name EQUALS cisco AND Radius:NAS-IP-Address EQUALS 192.168.1.10
Permissions: PermitAccess ANDFinance
Para agregar ASA al dominio TrustSec, es necesario generar el archivo PAC manualmente. Ese archivo se importa en ASA.
Se puede configurar desde Administration (Administración) > Network Devices (Dispositivos de red). Después de agregar ASA, desplácese hacia abajo hasta TrustSec settings y Generate PAC como se muestra en esta imagen.
Los switches (3750X) admiten el aprovisionamiento automático de PAC, por lo que los pasos deben ejecutarse solo para ASA, que solo admite el aprovisionamiento manual de PAC.
Para el switch que utiliza aprovisionamiento PAC automático, se debe establecer un secreto correcto, como se muestra en esta imagen.
Nota: PAC se utiliza para autenticar ISE y descargar datos del entorno (p. ej. SGT) junto con la política (ACL). ASA sólo admite datos de entorno; las políticas deben configurarse manualmente en ASA. Cisco IOS® admite ambos, por lo que las políticas se pueden descargar de ISE.
Configure el acceso SSL VPN básico para AnyConnect mediante ISE para la autenticación.
aaa-server ISE protocol radius
aaa-server ISE (inside) host 10.62.145.41
key cisco
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
tunnel-group TAC type remote-access
tunnel-group TAC general-attributes
address-pool (outside) POOL
authentication-server-group ISE
default-group-policy TAC
tunnel-group TAC webvpn-attributes
group-alias TAC enable
ip local pool POOL 192.168.100.50-192.168.100.60 mask 255.255.255.0
Importe PAC generado para ASA (desde el paso 6 de la configuración de ISE). Utilice la misma clave de cifrado:
BSNS-ASA5512-4# cts import-pac http://10.229.20.86/asa5512.pac password ciscocisco
PAC Imported Successfully
Para verificar:
BSNS-ASA5512-4# show cts pac
PAC-Info:
Valid until: Apr 11 2016 10:16:41
AID: c2dcb10f6e5474529815aed11ed981bc
I-ID: asa5512
A-ID-Info: Identity Services Engine
PAC-type: Cisco Trustsec
PAC-Opaque:
000200b00003000100040010c2dcb10f6e5474529815aed11ed981bc00060094000301
007915dcb81032f2fdf04bfe938547fad2000000135523ecb300093a8089ee0193bb2c
8bc5cfabf8bc7b9543161e6886ac27e5ba1208ce445018a6b07cc17688baf379d2f1f3
25301fffa98935ae5d219b9588bcb6656799917d2ade088c0a7e653ea1dca530e24274
4366ed375488c4ccc3d64c78a7fc8c62c148ceb58fad0b07d7222a2c02549179dbf2a7
4d4013e8fe
Habilitar cts:
cts server-group ISE
Después de habilitar cts, ASA debe descargar los datos del entorno de ISE:
BSNS-ASA5512-4# show cts environment-data
CTS Environment Data
====================
Status: Active
Last download attempt: Successful
Environment Data Lifetime: 86400 secs
Last update time: 10:21:41 UTC Apr 11 2015
Env-data expires in: 0:00:37:31 (dd:hr:mm:sec)
Env-data refreshes in: 0:00:27:31 (dd:hr:mm:sec)
Configure SGACL en la interfaz interna. La ACL permite iniciar solamente el tráfico ICMP de Finanzas a Marketing.
access-list inside extended permit icmp security-group name Finance any security-group name Marketing any
access-group inside in interface inside
ASA debe expandir el nombre de la etiqueta a un número:
BSNS-ASA5512-4(config)# show access-list inside
access-list inside line 1 extended permit icmp security-group name Finance(tag=2) any security-group name Marketing(tag=3) any (hitcnt=47) 0x5633b153
Después de habilitar cts en la interfaz interna de ASA:
interface GigabitEthernet0/1
nameif inside
cts manual
policy static sgt 100 trusted
security-level 100
ip address 192.168.1.100 255.255.255.0
ASA puede enviar y recibir tramas TrustSec (tramas Ethernet con campo CMD). ASA asume que todas las tramas de ingreso sin etiqueta deben tratarse como con la etiqueta 100. Se confiarán en todas las tramas de ingreso que ya incluyen la etiqueta.
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
interface GigabitEthernet1/0/2
description windows7
switchport access vlan 10
switchport mode access
authentication host-mode multi-domain
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
radius-server host 10.48.66.74 pac key cisco
Con esa configuración, después de una autorización 802.1x exitosa, al usuario (autorizado a través de ISE) se le debe asignar la etiqueta 2 (Finanzas).
Del mismo modo, en el caso de ASA, cts se configura y señala a ISE:
aaa authorization network ise group radius
cts authorization list ise
Además, la aplicación está habilitada tanto para la capa 3 como para la capa 2 (todas las vlan):
cts role-based enforcement
cts role-based enforcement vlan-list 1-1005,1008-4094
Para aprovisionar PAC automáticamente:
bsns-3750-5#cts credentials id 3750-5 password ciscocisco
Una vez más, la contraseña debe coincidir con la configuración correspondiente en ISE (Dispositivo de red > Switch > TrustSec). Ahora mismo, Cisco IOS® inicia la sesión EAP-FAST con ISE para obtener la PAC. Puede encontrar más detalles sobre este proceso aquí:
Para verificar si PAC está instalado:
bsns-3750-5#show cts pacs
AID: EA48096688D96EF7B94C679A17BDAD6F
PAC-Info:
PAC-type = Cisco Trustsec
AID: EA48096688D96EF7B94C679A17BDAD6F
I-ID: 3750-5
A-ID-Info: Identity Services Engine
Credential Lifetime: 14:41:24 CEST Jul 10 2015
PAC-Opaque: 000200B00003000100040010EA48096688D96EF7B94C679A17BDAD6F0006009400030100365AB3133998C86C1BA1B418968C60690000001355261CCC00093A808F8A81F3F8C99A7CB83A8C3BFC4D573212C61CDCEB37ED279D683EE0DA60D86D5904C41701ACF07BE98B3B73C4275C98C19A1DD7E1D65E679F3E9D40662B409E58A9F139BAA3BA3818553152F28AE04B089E5B7CBB22A0D4BCEEF80F826A180B5227EAACBD07709DBDCD3CB42AA9F996829AE46F
Refresh timer is set for 4y14w
interface GigabitEthernet1/0/39
switchport access vlan 10
switchport mode access
cts manual
policy static sgt 101 trusted
A partir de ahora, el switch debe estar preparado para procesar y enviar tramas TrustSec y aplicar las políticas descargadas de ISE.
Utilize esta sección para confirmar que su configuración funcione correctamente.
La verificación se trata en secciones individuales de este documento.
Después de establecer la sesión VPN a ASA, se debe confirmar la asignación SGT correcta:
BSNS-ASA5512-4# show vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : cisco Index : 13
Assigned IP : 192.168.100.50 Public IP : 10.229.20.86
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Essentials
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 DTLS-Tunnel: (1)SHA1
Bytes Tx : 10308 Bytes Rx : 10772
Group Policy : TAC Tunnel Group : TAC
Login Time : 15:00:13 UTC Mon Apr 13 2015
Duration : 0h:00m:25s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : c0a801640000d000552bd9fd
Security Grp : 3:Marketing
Según las reglas de autorización de ISE, todos los usuarios de AnyConnect4 se han asignado a la etiqueta de marketing.
Lo mismo con la sesión 802.1x en el switch. Después de que finalice AnyConnect Network Analysis Module (NAM), el switch de autenticación aplicará la etiqueta correcta devuelta desde ISE:
bsns-3750-5#show authentication sessions interface g1/0/2 details
Interface: GigabitEthernet1/0/2
MAC Address: 0050.5699.36ce
IPv6 Address: Unknown
IPv4 Address: 192.168.1.203
User-Name: cisco
Status: Authorized
Domain: DATA
Oper host mode: multi-domain
Oper control dir: both
Session timeout: N/A
Common Session ID: 0A30426D000000130001B278
Acct Session ID: Unknown
Handle: 0x53000002
Current Policy: POLICY_Gi1/0/2
Local Policies:
Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Security Policy: Should Secure
Security Status: Link Unsecure
Server Policies:
SGT Value: 2
Method status list:
Method State
dot1x Authc Success
mab Stopped
Según las reglas de autorización de ISE, todos los usuarios conectados a ese switch deben asignarse a SGT = 2 (Finanzas).
Cuando intenta enviar un tráfico desde Finance (192.168.1.203) a Marketing (192.168.100.50), se encuentra en la interfaz interna de ASA. Para la solicitud de eco ICMP, crea la sesión:
Built outbound ICMP connection for faddr 192.168.100.50/0(LOCAL\cisco, 3:Marketing) gaddr 192.168.1.203/1 laddr 192.168.1.203/1(2)
y aumenta los contadores ACL:
BSNS-ASA5512-4(config)# sh access-list
access-list inside line 1 extended permit icmp security-group name Finance(tag=2) any security-group name Marketing(tag=3) any (hitcnt=138)
Esto también se puede confirmar mirando las capturas de paquetes. Tenga en cuenta que se muestran las etiquetas correctas:
BSNS-ASA5512-4(config)# capture CAP interface inside
BSNS-ASA5512-4(config)# show capture CAP
1: 15:13:05.736793 INLINE-TAG 2 192.168.1.203 > 192.168.100.50: icmp: echo request
2: 15:13:05.772237 INLINE-TAG 3 192.168.100.50 > 192.168.1.203: icmp: echo reply
3: 15:13:10.737236 INLINE-TAG 2 192.168.1.203 > 192.168.100.50: icmp: echo request
4: 15:13:10.772726 INLINE-TAG 3 192.168.100.50 > 192.168.1.203: icmp: echo reply
Hay una solicitud de eco ICMP entrante etiquetada con SGT = 2 (Finanzas) y luego una respuesta del usuario VPN que es etiquetada por ASA con SGT = 3 (Marketing). Otra herramienta de solución de problemas, packet-tracer también está preparada para TrustSec.
Desafortunadamente, el PC 802.1x no ve esa respuesta porque está bloqueado por RBACL sin estado en el switch (explicación en la siguiente sección).
Otra herramienta de solución de problemas, packet-tracer también está preparada para TrustSec. Confirmemos si se aceptará el paquete ICMP entrante de Finanzas:
BSNS-ASA5512-4# packet-tracer input inside icmp inline-tag 2 192.168.1.203 8 0 192.168.100.50
Mapping security-group 3:Marketing to IP address 192.168.100.50
Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list
Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 3
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 10.48.66.1 using egress ifc outside
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside in interface inside
access-list inside extended permit icmp security-group name Finance any security-group name Marketing any
Additional Information:
<some output omitted for clarity>
Phase: 13
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 4830, packet dispatched to next module
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: allow
Intentemos también iniciar cualquier conexión TCP de Finanzas a Marketing, que debe ser bloqueada por el ASA:
Deny tcp src inside:192.168.1.203/49236 dst outside:192.168.100.50/445(LOCAL\cisco, 3:Marketing) by access-group "inside" [0x0, 0x0]
Verifiquemos si el switch ha descargado las políticas de ISE correctamente:
bsns-3750-5#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 2:Finance to group Unknown:
test_deny-30
IPv4 Role-based permissions from group 8 to group Unknown:
permit_icmp-10
IPv4 Role-based permissions from group Unknown to group 2:Finance:
test_deny-30
Permit IP-00
IPv4 Role-based permissions from group 3:Marketing to group 2:Finance:
telnet445-60
Deny IP-00
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE
La política que controla el tráfico de marketing a finanzas se instala correctamente. Solo se permite tcp/445 según RBACL:
bsns-3750-5#show cts rbacl telnet445
CTS RBACL Policy
================
RBACL IP Version Supported: IPv4
name = telnet445-60
IP protocol version = IPV4
refcnt = 2
flag = 0x41000000
stale = FALSE
RBACL ACEs:
permit tcp dst eq 445
Esta es la razón por la que se ha descartado la respuesta de eco ICMP que proviene de Marketing a Finanzas. Esto puede confirmarse verificando los contadores para el tráfico de SGT 3 a SGT 2:
bsns-3750-5#show cts role-based counters
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical policies
From To SW-Denied HW-Denied SW-Permitted HW-Permitted
* * 0 0 223613 3645233
0 2 0 0 0 122
3 2 0 65 0 0
2 0 0 0 179 0
8 0 0 0 0 0
El hardware ha descartado los paquetes (el contador actual es de 65 y aumenta cada 1 segundo).
¿Qué sucede si la conexión tcp/445 se inicia desde el marketing?
ASA lo permite (acepta todo el tráfico VPN debido a "sysopt connection permit-vpn"):
Built inbound TCP connection 4773 for outside:192.168.100.50/49181 (192.168.100.50/49181)(LOCAL\cisco, 3:Marketing) to inside:192.168.1.203/445 (192.168.1.203/445) (cisco)
Se crea la sesión correcta:
BSNS-ASA5512-4(config)# show conn all | i 192.168.100.50
TCP outside 192.168.100.50:49181 inside 192.168.1.203:445, idle 0:00:51, bytes 0, flags UB
Y Cisco IOS® lo acepta porque coincide con telnet445 RBACL. Los contadores correctos aumentan:
bsns-3750-5#show cts role-based counters from 3 to 2
3 2 0 65 0 3
(la última columna es el tráfico permitido por el hardware). Se permite la sesión.
Este ejemplo se presenta a propósito para mostrar la diferencia en la configuración y aplicación de políticas TrustSec en ASA y Cisco IOS®. Tenga en cuenta las diferencias entre las políticas de Cisco IOS® descargadas de ISE (RBACL sin estado) y el firewall basado en zona con estado TrustSec.