Optimisez le tunnel partagé d'AnyConnect pour la Microsoft Office 365 et le WebEx de Cisco

Introduction

Ce document décrit comment configurer une appliance de sécurité adaptable (ASA) avec des configurations pour exclure le trafic destiné à la Microsoft Office 365 (inclut des équipes de Microsoft) et au WebEx de Cisco d'une connexion VPN. Il incorpore des exclusions d'adresse réseau et (nom de domaine complet (FQDN) basé) des exclusions dynamiques pour les clients d'AnyConnect qui le prennent en charge.

transmission tunnel partagée

L'ASA doit être configurée « excluent » la liste spécifiée de destinations d'ipv4 et d'IPv6 à exclure du tunnel. Malheureusement la liste d'adresses est dynamique et pourrait potentiellement changer. Voyez que la section de configuration pour un script de python et un lien à un python en ligne lu – éval – impriment la boucle (REPL) qui peut être utilisée pour récupérer la liste et pour générer une configuration d'échantillon.

Segmentation de tunnel dynamique

En plus du fractionnement excluez la liste d'adresse réseau, Segmentation de tunnel dynamique a été ajouté dans AnyConnect 4.6 pour Windows et Mac. La Segmentation de tunnel dynamique emploie le FQDN afin de déterminer si la connexion devrait aller au-dessus du tunnel. Le script de python détermine également les FQDN des points finaux pour ajouter aux attributs faits sur commande d'AnyConnect.

Configuration

Exécutez ce script dans un python 3 REPL ou exécutez-le dans un environnement du public REPL tel que https://repl.it/@ministryofjay/AnyConnectO365DynamicExclude.

import urllib.request
import uuid
import json
import re


def print_acl_lines(acl_name, ips, section_comment):
    slash_to_mask = (
        "0.0.0.0",
        "128.0.0.0",
        "192.0.0.0",
        "224.0.0.0",
        "240.0.0.0",
        "248.0.0.0",
        "252.0.0.0",
        "254.0.0.0",
        "255.0.0.0",
        "255.128.0.0",
        "255.192.0.0",
        "255.224.0.0",
        "255.240.0.0",
        "255.248.0.0",
        "255.252.0.0",
        "255.254.0.0",
        "255.255.0.0",
        "255.255.128.0",
        "255.255.192.0",
        "255.255.224.0",
        "255.255.240.0",
        "255.255.248.0",
        "255.255.252.0",
        "255.255.254.0",
        "255.255.255.0",
        "255.255.255.128",
        "255.255.255.192",
        "255.255.255.224",
        "255.255.255.240",
        "255.255.255.248",
        "255.255.255.252",
        "255.255.255.254",
        "255.255.255.255",
    )
    print(
        "access-list {acl_name} remark {comment}".format(
            acl_name=acl_name, comment=section_comment
        )
    )
    for ip in sorted(ips):
        if ":" in ip:
            # IPv6 address
            print(
                "access-list {acl_name} extended permit ip {ip} any6".format(
                    acl_name=acl_name, ip=ip
                )
            )
        else:
            # IPv4 address.  Convert to a mask
            addr, slash = ip.split("/")
            slash_mask = slash_to_mask[int(slash)]
            print(
                "access-list {acl_name} extended permit ip {addr} {mask} any4".format(
                    acl_name=acl_name, addr=addr, mask=slash_mask
                )
            )


# Fetch the current endpoints for O365
http_res = urllib.request.urlopen(
    url="https://endpoints.office.com/endpoints/worldwide?clientrequestid={}".format(
        uuid.uuid4()
    )
)
res = json.loads(http_res.read())
o365_ips = set()
o365_fqdns = set()
for service in res:
    if service["category"] == "Optimize":
        for ip in service.get("ips", []):
            o365_ips.add(ip)
        for fqdn in service.get("urls", []):
            o365_fqdns.add(fqdn)

# Generate an acl for split excluding For instance
print("##### Step 1: Create an access-list to include the split-exclude networks\n")
acl_name = "ExcludeSass"
# O365 networks
print_acl_lines(
    acl_name=acl_name,
    ips=o365_ips,
    section_comment="v4 and v6 networks for Microsoft Office 365",
)
# Microsoft Teams
# https://docs.microsoft.com/en-us/office365/enterprise/office-365-vpn-implement-split-tunnel#configuring-and-securing-teams-media-traffic
print_acl_lines(
  acl_name=acl_name,
  ips=["13.107.60.1/32"],
  section_comment="v4 address for Microsoft Teams"
)
# Cisco Webex - Per https://help.webex.com/en-us/WBX000028782/Network-Requirements-for-Webex-Teams-Services
webex_ips = [
    "64.68.96.0/19",
    "66.114.160.0/20",
    "66.163.32.0/19",
    "170.133.128.0/18",
    "173.39.224.0/19",
    "173.243.0.0/20",
    "207.182.160.0/19",
    "209.197.192.0/19",
    "216.151.128.0/19",
    "114.29.192.0/19",
    "210.4.192.0/20",
    "69.26.176.0/20",
    "62.109.192.0/18",
    "69.26.160.0/19",
]
print_acl_lines(
    acl_name=acl_name,
    ips=webex_ips,
    section_comment="IPv4 and IPv6 destinations for Cisco Webex",
)

# Edited. April 1st 2020
# Per advice from Microsoft they do NOT advise using dynamic split tunneling for their properties related to Office 365
#
print(
    "\n\n##### Step 2: Create an Anyconnect custom attribute for dynamic split excludes\n"
)
print("SKIP.  Per Microsoft as of April 2020 they advise not to dynamically split fqdn related to Office365")
#print(
#    """
#webvpn
#  anyconnect-custom-attr dynamic-split-exclude-domains description dynamic-split-exclude-domains
#
#anyconnect-custom-data dynamic-split-exclude-domains saas {}
#""".format(
#        ",".join([re.sub(r"^\*\.", "", f) for f in o365_fqdns])
#    )
#)
#
print("\n##### Step 3: Configure the split exclude in the group-policy\n")
print(
    """
group-policy GP1 attributes
 split-tunnel-policy excludespecified
 ipv6-split-tunnel-policy excludespecified
 split-tunnel-network-list value {acl_name}
""".format(
        acl_name=acl_name
    )
)

Remarque: Microsoft recommande d'exclure le trafic destiné pour introduire des services du bureau 365 de la portée de la connexion VPN en configurant la Segmentation de tunnel utilisant les chaînes éditées d'ipv4 et d'ipv6 addres. Pour la meilleure performance et l'usage le plus efficace de la capacité VPN, le trafic à ces plages d'adresses IP dédiées associées avec l'échange du bureau 365 en ligne, le SharePoint en ligne, et les équipes de Microsoft (visées comme les optimisent catégorie dans la documentation Microsoft) devraient être conduits directement, en dehors de du tunnel VPN. Référez-vous optimisent la Connectivité du bureau 365 pour des utilisateurs distants utilisant le fractionnement VPN perçant un tunnel pour plus d'informations détaillées sur cette recommandation.

Remarque: À partir de début avril 2020, des équipes de Microsoft a une dépendance que la plage 13.107.60.1/32 IP doit être exclue du tunnel. Voyez configurer et sécuriser le pour en savoir plus du trafic de medias d'équipes.

Vérification

Une fois qu'un utilisateur est connecté ils devraient voir « les artères Non-sécurisées » remplies avec les adresses fournies dans l'ACL aussi bien que la liste « d'exclusion dynamique de tunnel ».