Posture ISE au-dessus de l'Accès à distance VPN d'AnyConnect sur FTD
Contenu
Introduction
Ce document décrit comment configurer la version 6.4.0 de la défense contre des menaces de Cisco FirePOWER (FTD) afin de poser des utilisateurs VPN contre le Logiciel Cisco Identity Services Engine (ISE).
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Accès à distance VPN d'AnyConnect
- Configuration du VPN d'Accès à distance sur le FTD
- Services de Cisco Identity Services Engine et de posture
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :
- Versions de logiciel 6.4.0 de la défense contre des menaces de Cisco FirePOWER (FTD)
- Version de logiciel 6.5.0 de la console de gestion de Cisco FirePOWER (FMC)
- Microsoft Windows 10 avec la version 4.7 de Client à mobilité sécurisé Cisco AnyConnect
- Version 2.6 du Logiciel Cisco Identity Services Engine (ISE) avec le correctif 3
Configurer
Diagramme de réseau et flux de trafic
- L'utilisateur distant utilise Cisco Anyconnect pour l'accès VPN au FTD.
- Le FTD envoie une Access-demande de RADIUS de cet utilisateur à l'ISE.
- Que la demande frappe la stratégie a nommé FTD-VPN-posture-UNKNOWN sur l'ISE. L'ISE envoie RADIUS Access-reçoit avec trois attributs :
- la Cisco-poids du commerce-paire = l'url-redirect-acl=fyusifovredirect- ceci est le nom de liste de contrôle d'accès (ACL) qui est défini localement sur le FTD, qui décide le trafic qui est réorienté.
- Cisco-poids du commerce-paires = url-redirect=https://ip:port/portal/gateway?sessionId=SessionIdValue&portal=27b1bc30-2e58-11e9-98fb-0050568775a3&action=cpp - c'est l'URL auquel l'utilisateur distant est réorienté.
- DACL = PERMIT_ALL_IPV4_TRAFFIC - ACL téléchargeable (cet attribut est facultatif. Dans ce scénario on permet tout le trafic dans DACL)
- Si DACL est envoyé, l'Access-demande/Access-Recevoir de RADIUS est permutée afin de télécharger le contenu du DACL
- Quand le trafic de l'utilisateur VPN apparie l'ACL local-défini, il est réorienté au portail de ravitaillement de client ISE. ISE provisions le module de posture d'AnyConnect et le module de conformité.
- Après que l'agent soit installé sur la machine cliente, il recherche automatiquement ISE en envoyant des sondes. Quand ISE est détecté avec succès, des conditions requises de posture sont vérifiées le point final. Dans cet exemple, l'agent vérifie n'importe quel logiciel installé d'anti-malware. Alors il envoie un état de posture à l'ISE
- Quand ISE reçoit l'état de posture de l'agent, ISE change l'état de posture pour cette session et déclenche le pousser de type CoA de RADIUS avec de nouveaux attributs. Cette fois, l'état de posture est connu et une autre règle est frappée.
- Si l'utilisateur est conforme, alors un nom DACL qui permet l'accès complet est envoyé.
- Si l'utilisateur est non-conforme, alors un nom DACL que les autorisations ont limité l'accès est envoyé.
- Le FTD retire la redirection. FTD envoie l'Access-demande afin de télécharger DACL de l'ISE. La particularité DACL est reliée à la session VPN.
Configurations
FTD/FMC
Étape 1. Créez le groupe d'objet de réseau pour ISE et les serveurs de correction (le cas échéant) sous Objects>Object Management>Network
Étape 2. Créez réorientent l'ACL sous Objects>Object Management>Access List>Extended. Cliquez sur « ajoutent la liste d'accès étendue » et fournissent le nom de l'ACL Redirect. Ce nom devrait être identique que dans le résultat d'autorisation ISE.
Étape 3. Ajoutez réorientent des rubriques de liste ACL en cliquant sur « ajoutent » le bouton. Bloquez le trafic à ISE et aux serveurs de corrections pour l'exclure de la redirection. Permettez le reste du trafic, ceci déclenchera la redirection (les rubriques de liste ACL pourraient être plus spécifiques si nécessaire). 
Étape 4. Ajoutez le noeud/Noeuds RPC ISE sous le groupe de serveurs d'Objects>Object Management>RADIUS. Le clic « ajoutent le groupe de serveurs de RADIUS », puis fournissent le nom, activent le contrôle toutes les cases à cocher et cliquent sur plus l'icône
Étape 5. Dans la fenêtre ouverte, fournissez l'adresse IP RPC ISE, clé de RADIUS, « interface spécifique » choisie et sélectionnez l'interface dont ISE est accessible (cette interface sera utilisée comme source de trafic de RADIUS) sélectionne alors réoriente l'ACL qui a été configuré précédemment.
Étape 6. Créez le pool d'adresses pour des utilisateurs VPN sous des groupes d'Objects>Object Management>Address Pools>IPv4. Cliquez sur « ajoutent des groupes d'ipv4 » et remplissent dans les détails. 
Étape 7. Créez le module d'AnyConnect sous le fichier d'Objects>Object Management>VPN>AnyConnect. Le clic « ajoutent le fichier d'AnyConnect » fournissent le nom du paquet, téléchargent le module du téléchargement logiciel de Cisco et sélectionnent le type de fichier d'image de client d'Anyconnect.
Étape 7. Créez l'inscription d'Objects>Object Management>PKI>Cert de certificat. Le clic « ajoutent l'inscription de CERT », fournissent le nom, choisissent « le certificat signé d'individu » dans le type d'inscription. Cliquez sur les paramètres onglet de certificat et fournissez la NC.
Étape 8. L'assistant de l'Accès à distance VPN de lancement sous Devices>VPN>Remote Access et clic « ajoutent »
Étape 9. Fournissez le nom, SSL de contrôle comme protocole VPN, choisissez FTD qui sera utilisé comme concentrateur et clic VPN « ensuite »
Étape 10. Fournissez le nom de profil de connexion, authentification choisie/serveurs d'autorisation, sélectionnez le pool d'adresses qui a été configuré précédemment et cliquez sur « ensuite »
Étape 11. Sélectionnez le module d'AnyConnect qui a été configuré précédemment et cliquez sur « ensuite »
Étape 12. Interface choisie dont le trafic VPN est prévu, inscription de certificat choisie qui a été configurée précédemment et le clic « ensuite »
Step13. Page récapitulative et clic « finition » de contrôle
Étape 14. Déployez la configuration vers FTD en cliquant sur « se déploient » et en sélectionnant FTD qui sera utilisé comme concentrateur VPN.
ISE
Étape 1. Exécutez les mises à jour de posture sous Administration>System>Settings>Posture>Updates
Étape 2. Module Policy>Policy Elements>Results>Client Provisioning>Resources de conformité de téléchargement. Le clic « ajoutent » et sélectionnent des « ressources en agent de site de Cisco »
Étape 3. Téléchargez AnyConnect de téléchargement logiciel de Cisco, puis téléchargez-le à ISE sous Policy>Policy Elements>Results>Client Provisioning>Resources. Le clic « ajoutent » et sélectionnent des « ressources en agent à partir de disque local ». « Cisco choisi a fourni des modules » sous la catégorie, module choisi d'AnyConnect à partir de disque local et le clic « soumettent ».
Étape 4. Créez le profil de posture d'AnyConnect sous Policy>Policy Elements>Results>Client Provisioning>Resources. Le clic « ajoutent » et sélectionnent « le profil de posture d'AnyConnect ». Complétez le nom et la posture Protocol. Sous le nom du serveur les règles ont mis * et mis n'importe quelle adresse IP factice sous l'hôte de détection
Étape 5. Créez la configuration d'AnyConnect sous Policy>Policy Elements>Results>Client Provisioning>Resources. Le clic « ajoutent » et sélectionnent la « configuration d'AnyConnect ». AnyConnect choisi
Le module, fournissent le nom de configuration, le module choisi de conformité, le diagnostic de contrôle et l'outil de génération de rapports, le profil choisi et le clic « sauvegarde » de posture. 
Étape 6. Créez la stratégie de ravitaillement de client sous le ravitaillement de Policy>Client. Cliquez sur « éditent » alors sélectionnent la « règle d'insertion au-dessus de », fournissent le nom, sélectionnent le SYSTÈME D'EXPLOITATION et choisissent la configuration d'AnyConnect qui a été créée dans l'étape précédente.
Étape 7. Créez l'état de posture dans la condition de Policy>Policy Elements>Conditions>Posture>Anti-Malware. Dans cet exemple nous avons utilisé des prédéfinis « ANY_am_win_inst »
Étape 8. Créez l'action de correction de posture sous des actions de Policy>Policy Elements>Results>Posture>Remediation. Dans cet exemple il est ignoré. L'action de correction est un message texte d'être.
Étape 9. Créez les conditions requises de posture sous Policy>Policy Elements>Results>Posture>Requirements. La condition requise Any_AM_Installation_Win de prédéfinis est utilisée.
Étape 10. Créez les stratégies de posture sous Policies>Posture. La stratégie par défaut de posture pour n'importe quel AntiMalware vérifient le système d'exploitation windows est utilisée. 
Étape 11. Créez DACLs sous Policy>Policy Elements>Results>Authorization>Downlodable ACLS pour différents états de posture. Dans cet exemple :
- La posture DACL inconnu - permet le trafic au trafic de DN, RPC et de HTTP et HTTPS.
- Posez DACL NonCompliant - refuse l'accès aux sous-réseaux privés et permet seulement le trafic sur Internet.
- Permettez tout le DACL - permet tout le trafic pour l'état conforme de posture.
Étape. 12 créez trois profils d'autorisation pour l'inconnu de posture, posture NonCompliant et posez les états conformes sous des profils de Policy>Policy Elements>Results>Authorization>Authorization. Dans la posture choisie DACL inconnu de profil inconnu de posture, la redirection de Web de contrôle, sélectionnent le ravitaillement de client, fournissent réorientent le nom d'ACL (c'est configuré sur FTD) et sélectionnent le portail. 
Dans le profil NonCompliant DACL choisi de posture pour limiter l'accès au réseau
Dans la posture DACL choisi conforme pour permettre l'accès complet au réseau
Étape 13. Créez les stratégies d'autorisation dans le cadre de la stratégie de Policy>Policy Sets>Default>Authorization. Comme l'état de posture de condition et le nom VNP TunnelGroup est utilisé. 
Vérifiez
Sur la vérification ISE premier l'étape est log vivant de RADIUS sous le log vivant d'Operations>RADIUS. Ici l'utilisateur Alice est connecté et la stratégie prévue d'autorisation est sélectionnée.
Le FTD-VPN-posture-UNKNOWN de stratégie d'autorisation est apparié et comme résultat le FTD-VPN-profil est envoyé à FTD
État Pendig de posture
L'exposition de section de résultat qui les attributs sont envoient à FTD. 
Sur FTD pour vérifier la connexion VPN, le SSH dans la case, exécutent la « assistance technique diagnostic-cli » et alors « affichez l'anyconnect de détail de VPN-sessiondb ». De cette sortie vérifiez que les attributs envoyés d'ISE sont appliqués pour cette session VPN.
fyusifov-ftd-64# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : alice@training.example.com Index : 12 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1 Bytes Tx : 15326 Bytes Rx : 13362 Pkts Tx : 10 Pkts Rx : 49 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : DfltGrpPolicy Tunnel Group : EmployeeVPN Login Time : 07:13:30 UTC Mon Feb 3 2020 Duration : 0h:06m:43s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 000000000000c0005e37c81a Security Grp : none Tunnel Zone : 0 AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 12.1 Public IP : 10.229.16.169 Encryption : none Hashing : none TCP Src Port : 56491 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes Client OS : win Client OS Ver: 10.0.18363 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 0 Pkts Tx : 5 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 12.2 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384 Encapsulation: TLSv1.2 TCP Src Port : 56495 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 592 Pkts Tx : 5 Pkts Rx : 7 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PostureUnknown-5e37414d DTLS-Tunnel: Tunnel ID : 12.3 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Encryption : AES256 Hashing : SHA1 Ciphersuite : DHE-RSA-AES256-SHA Encapsulation: DTLSv1.0 UDP Src Port : 59396 UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 0 Bytes Rx : 12770 Pkts Tx : 0 Pkts Rx : 42 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PostureUnknown-5e37414d ISE Posture: Redirect URL : https://fyusifov-26-3.example.com:8443/portal/gateway?sessionId=000000000000c0005e37c81a&portal=27b1bc... Redirect ACL : fyusifovredirect fyusifov-ftd-64#
Des stratégies de ravitaillement de client peuvent être vérifiées sous le ravitaillement d'Operations>Reports>Endpoints et d'Users>Client
L'état de posture envoyé d'AnyConnect peut être vérifié sous l'estimation d'Operations>Reports>Endpoints et d'Users>Posture par point final.
Pour voir plus de détails sur la posture signaler, cliquer sur des « détails »
Après l'état reçu sur ISE, l'état de posture est mis à jour. Dans cet exemple, l'état de posture est conforme et le pousser CoA est déclenché avec le nouvel ensemble d'attributs.
Vérifiez sur FTD que nouveau réorientez l'ACL et réorientez l'URL sont retirés pour la session VPN et PermitAll DACL est appliqué
fyusifov-ftd-64# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : alice@training.example.com Index : 14 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1 Bytes Tx : 53990 Bytes Rx : 23808 Pkts Tx : 73 Pkts Rx : 120 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : DfltGrpPolicy Tunnel Group : EmployeeVPN Login Time : 16:58:26 UTC Mon Feb 3 2020 Duration : 0h:02m:24s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 000000000000e0005e385132 Security Grp : none Tunnel Zone : 0 AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 14.1 Public IP : 10.55.218.19 Encryption : none Hashing : none TCP Src Port : 51965 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Client OS : win Client OS Ver: 10.0.18363 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 0 Pkts Tx : 5 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 14.2 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384 Encapsulation: TLSv1.2 TCP Src Port : 51970 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7715 Bytes Rx : 10157 Pkts Tx : 6 Pkts Rx : 33 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PermitAll-5e384dc0 DTLS-Tunnel: Tunnel ID : 14.3 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Encryption : AES256 Hashing : SHA1 Ciphersuite : DHE-RSA-AES256-SHA Encapsulation: DTLSv1.0 UDP Src Port : 51536 UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 38612 Bytes Rx : 13651 Pkts Tx : 62 Pkts Rx : 87 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PermitAll-5e384dc0 fyusifov-ftd-64#
Dépanner
Pour l'écoulement détaillé et le dépannage de posture d'AnyConnect et d'ISE, vérifiez ce lien : Comparaison de style de posture ISE pour pré et courrier 2.2
- Tunnel renversé
Un des problèmes courants, quand il y a un tunnel de broche est configuré. Dans cette stratégie de groupe par défaut d'exemple utilisée, qui perce un tunnel tout le trafic. Au cas où si seulement le trafic spécifique est percé un tunnel, alors les sondes d'AnyConnect (enroll.cisco.com et hôte de détection) devraient passer par le tunnel en plus du trafic à ISE et à d'autres ressources internes.
Pour vérifier la stratégie de tunnel sur FMD, premier contrôle que la stratégie de groupe est utilisé pour la connexion VPN sous l'Accès à distance de Devicies>VPN
Alors naviguez vers la stratégie d'Objects>Object Management>VPN>Group et cliquez sur en fonction la « stratégie de groupe configurée » pour le VPN
- Identité NAT
Un autre problème courant, quand le trafic de retour des utilisateurs VPN obtient s'est traduit utilisant l'entrée NAT incorrecte. Pour réparer cette question, l'identité NAT devrait être créée dans la commande appropriée.
Les premières règles NAT de contrôle pour ce périphérique sous Devices>NAT et ajoutent alors la nouvelle règle en cliquant sur Add la règle :
Dans la fenêtre ouverte, sous des zones de Sécurité choisies d'onglet « d'objets d'interface ». Dans cet exemple, l'entrée NAT est créée de ZONE-INSIDE à ZONE-OUTSIDE.
Sous l'original choisi d'onglet de « traduction » et les détails traduits de paquet. Car c'est identité NAT, la source et la destination sont maintenues inchangée :
Sous « a avancé » des cases à cocher de contrôle d'onglet comme affiché ci-dessous :
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)