Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer la version 6.4.0 de Cisco Firepower Threat Defense (FTD) afin de positionner les utilisateurs VPN sur Cisco Identity Services Engine (ISE).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
1. L'utilisateur distant utilise Cisco Anyconnect pour l'accès VPN au FTD.
2. Le FTD envoie une demande d'accès RADIUS pour cet utilisateur à l'ISE.
3. Cette demande atteint la stratégie nommée FTD-VPN-Posture-Unknown sur l'ISE. L'ISE envoie un ACCEPT RADIUS avec trois attributs :
4. Si DACL est envoyé, RADIUS Access-Request/Access-Accept est échangé afin de télécharger le contenu de la DACL
5. Lorsque le trafic de l'utilisateur VPN correspond à la liste de contrôle d'accès définie localement, il est redirigé vers le portail de provisionnement du client ISE. ISE fournit le module de posture et le module de conformité AnyConnect.
6. Une fois l'agent installé sur l'ordinateur client, il recherche automatiquement ISE en envoyant des sondes. Lorsque ISE est détecté, les exigences de posture sont vérifiées sur le point d'extrémité. Dans cet exemple, l'agent recherche tout logiciel anti-programme malveillant installé. Ensuite, il envoie un rapport de posture à l'ISE.
7. Lorsque ISE reçoit le rapport de posture de l'agent, ISE modifie l'état de posture pour cette session et déclenche le type RADIUS CoA Push avec de nouveaux attributs. Cette fois, l'état de la position est connu et une autre règle est atteinte.
8. Le FTD supprime la redirection. FTD envoie Access-Request afin de télécharger DACL à partir de l'ISE. La DACL spécifique est connectée à la session VPN.
Étape 1. Créer un groupe d'objets réseau pour les serveurs ISE et de correction (le cas échéant). Accédez à Objets > Gestion des objets > Réseau comme indiqué dans l'image.
Étape 2. Créer une liste de contrôle d'accès de redirection. Accédez à Objets > Gestion des objets > Liste d'accès > Étendu. Cliquez sur Add Extended Access List et indiquez le nom de la liste de contrôle d'accès Redirect. Ce nom doit être identique au résultat de l'autorisation ISE.
Étape 3. Ajouter des entrées de liste de contrôle d'accès Redirect. Cliquez sur le bouton Add. Bloquez le trafic vers DNS, ISE et vers les serveurs de conversion pour les exclure de la redirection. Autoriser le reste du trafic, cela déclenchera une redirection (les entrées de la liste de contrôle d'accès peuvent être plus spécifiques si nécessaire) comme le montre l'image.
Étape 4. Ajouter un noeud/des noeuds ISE PSN. Accédez à Objets > Gestion des objets > Groupe de serveurs RADIUS. Cliquez sur Ajouter un groupe de serveurs RADIUS, puis indiquez son nom, activez toutes les cases à cocher et cliquez sur l'icône plus comme illustré dans l'image.
Étape 5. Dans la fenêtre ouverte, fournissez l'adresse IP PSN ISE, clé RADIUS, sélectionnez Interface spécifique et sélectionnez l'interface à partir de laquelle ISE est accessible (cette interface sera utilisée comme source de trafic RADIUS), puis sélectionnez Rediriger ACL qui a été configurée précédemment comme indiqué dans l'image.
Étape 6. Créez un pool d'adresses pour les utilisateurs VPN. Accédez à Objets > Gestion des objets > Pools d'adresses > Pools IPv4. Cliquez sur Ajouter des pools IPv4 et complétez les détails comme indiqué dans l'image.
Étape 7. Créez un package AnyConnect. Accédez à Objets > Gestion des objets > VPN > Fichier AnyConnect. Cliquez sur Ajouter un fichier AnyConnect, indiquez le nom du package, téléchargez le package à partir du téléchargement de logiciels Cisco et sélectionnez Anyconnect Client Image File Type comme indiqué dans l'image.
Étape 8. Accédez à Objets de certificat > Gestion des objets > PKI > Inscription de certificat. Cliquez sur Ajouter une inscription au certificat, indiquez son nom, choisissez Certificat auto-signé dans le type d'inscription. Cliquez sur l'onglet Certificate Parameters (Paramètres du certificat) et indiquez CN comme indiqué dans les images.
Étape 9. Lancez l'assistant VPN d'accès à distance. Accédez à Devices > VPN > Remote Access et cliquez sur Add comme illustré dans l'image.
Étape 10. Indiquez le nom, cochez SSL as VPN Protocol, choisissez FTD qui sera utilisé comme concentrateur VPN et cliquez sur Next comme illustré dans l'image.
Étape 11. Indiquez le nom du profil de connexion, sélectionnez Serveurs d'authentification/de comptabilité, sélectionnez le pool d'adresses configuré précédemment et cliquez sur Suivant.
Note: Ne sélectionnez pas le serveur d'autorisation. Il déclenchera deux demandes d'accès pour un seul utilisateur (une fois avec le mot de passe de l'utilisateur et la deuxième fois avec le mot de passe cisco).
Étape 12. Sélectionnez le package AnyConnect configuré précédemment et cliquez sur Suivant comme indiqué dans l'image.
Étape 13. Sélectionnez l'interface à partir de laquelle le trafic VPN est attendu, sélectionnez Certificat Enrollment qui a été configuré précédemment et cliquez sur Suivant comme indiqué dans l'image.
Étape 14. Vérifiez la page de résumé et cliquez sur Terminer comme indiqué dans l'image.
Étape 15. Déployez la configuration vers FTD. Cliquez sur Déployer et sélectionnez FTD qui sera utilisé comme concentrateur VPN comme illustré dans l'image.
Étape 1. Exécuter les mises à jour de posture. Accédez à Administration > System > Settings > Posture > Updates comme indiqué dans l'image.
Étape 2. Télécharger le module de conformité. Naviguez jusqu'à Policy > Policy Elements > Results > Client Provisioning > Resources. Cliquez sur Ajouter et sélectionnez Ressources d'agent dans le site Cisco
Étape 3. Téléchargez AnyConnect à partir du téléchargement de logiciels Cisco, puis téléchargez-le sur ISE. Naviguez jusqu'à Policy > Policy Elements > Results > Client Provisioning > Resources. Cliquez sur Ajouter et sélectionnez Ressources d'agent à partir du disque local. Choisissez Cisco Provided Packages sous Category, sélectionnez AnyConnect package sur le disque local et cliquez sur Submit.
Étape 4. Créez un profil de posture AnyConnect. Naviguez jusqu'à Policy > Policy Elements > Results > Client Provisioning > Resources. Cliquez sur Ajouter et sélectionnez Profil de posture AnyConnect. Complétez le nom et le protocole de posture. Sous *Règles de nom de serveur placez * et placez toute adresse IP factice sous Hôte de découverte comme indiqué dans l'image.
Étape 5. Accédez à Policy > Policy Elements > Results > Client Provisioning > Resources et créez AnyConnect Configuration. Cliquez sur Ajouter et sélectionnez Configuration AnyConnect. Sélectionnez AnyConnect Package, indiquez le nom de configuration, sélectionnez Module de conformité, cochez Outil de diagnostic et de rapport, sélectionnez Profil de posture et cliquez sur Enregistrer.
Étape 6. Accédez à Policy > Client Provisioning et créez Client Provisioning Policy. Cliquez sur Modifier puis sélectionnez Insérer une règle ci-dessus, indiquez un nom, sélectionnez OS et choisissez Configuration AnyConnect créée à l'étape précédente.
Étape 7. Créer une condition de posture sous Stratégie > Eléments de stratégie > Conditions > Posture > Anti-Malware Condition. Dans cet exemple, 'ANY_am_win_inst' prédéfini est utilisé comme indiqué dans l'image.
Étape 8. Naviguez jusqu'à Stratégie > Éléments de stratégie > Résultats > Posture > Actions de correction et créez Remediation de posture. Dans cet exemple, il est ignoré. L'action de correction peut être un message texte.
Étape 9. Accédez à Politique > Éléments de politique > Résultats > Posture > Requirements et créez Posture Requirements. Exigence prédéfinie Any_AM_Installation_Win est utilisée.
Étape 10. Créer des stratégies de posture sous Politiques > Posture. La stratégie de posture par défaut pour tout contrôle AntiMalware pour le système d'exploitation Windows est utilisée.
Étape 11. Accédez à Stratégie > Éléments de stratégie > Résultats > Autorisation > Listes de contrôle d'accès téléchargeables et créez des listes de contrôle d'accès pour différents statuts de position.
Dans cet exemple :
Étape 12. Créez trois profils d'autorisation pour les statuts Posture Unknown, Posture NonConforme et Posture Conforme. Pour ce faire, accédez à Policy > Policy Elements > Results > Authorization > Authorization Profiles. Dans le profil Posture Unknown, sélectionnez Posture Unknown DACL, cochez Web Redirection, sélectionnez Client Provisioning, indiquez le nom de la liste de contrôle d'accès Redirect (configuré sur FTD) et sélectionnez le portail comme indiqué dans l'image.
Dans le profil Posture NonConforme, sélectionnez DACL afin de limiter l'accès au réseau comme indiqué dans l'image.
Dans le profil Conformité à la posture, sélectionnez DACL afin de permettre un accès complet au réseau comme illustré dans l'image.
Étape 13. Créer des stratégies d'autorisation sous Stratégie > Jeux de stratégies > Par défaut > Stratégie d'autorisation. Comme condition, l'état Posture et le nom du groupe de tunnels VNP sont utilisés.
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
Sur ISE, la première étape de vérification est RADIUS Live Log. Accédez à Operations > RADIUS Live Log. Ici, l'utilisateur Alice est connecté et la stratégie d'autorisation attendue est sélectionnée comme l'illustre l'image.
La stratégie d'autorisation FTD-VPN-Posture-Unknown est mise en correspondance et, par conséquent, FTD-VPN-Profile est envoyé à FTD comme indiqué sur l'image.
État de la position en attente.
La section Résultat indique quels attributs sont envoyés à FTD.
Sur FTD, afin de vérifier la connexion VPN, SSH à la boîte, exécuter système support diagnostic-cli puis show vpn-sessiondb detail anyconnect. À partir de ce résultat, vérifiez que les attributs envoyés par ISE sont appliqués pour cette session VPN.
fyusifov-ftd-64# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : alice@training.example.com Index : 12 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1 Bytes Tx : 15326 Bytes Rx : 13362 Pkts Tx : 10 Pkts Rx : 49 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : DfltGrpPolicy Tunnel Group : EmployeeVPN Login Time : 07:13:30 UTC Mon Feb 3 2020 Duration : 0h:06m:43s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 000000000000c0005e37c81a Security Grp : none Tunnel Zone : 0 AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 12.1 Public IP : 10.229.16.169 Encryption : none Hashing : none TCP Src Port : 56491 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes Client OS : win Client OS Ver: 10.0.18363 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 0 Pkts Tx : 5 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 12.2 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384 Encapsulation: TLSv1.2 TCP Src Port : 56495 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 592 Pkts Tx : 5 Pkts Rx : 7 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PostureUnknown-5e37414d DTLS-Tunnel: Tunnel ID : 12.3 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Encryption : AES256 Hashing : SHA1 Ciphersuite : DHE-RSA-AES256-SHA Encapsulation: DTLSv1.0 UDP Src Port : 59396 UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 0 Bytes Rx : 12770 Pkts Tx : 0 Pkts Rx : 42 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PostureUnknown-5e37414d ISE Posture: Redirect URL : https://fyusifov-26-3.example.com:8443/portal/gateway?sessionId=000000000000c0005e37c81a&portal=27b1bc... Redirect ACL : fyusifovredirect fyusifov-ftd-64#
Les stratégies d'approvisionnement client peuvent être vérifiées. Accédez à Operations > Reports > Endpoints and Users > Client Provisioning comme illustré dans l'image.
Le rapport de posture envoyé par AnyConnect peut être vérifié. Naviguez jusqu'à Operations > Reports > Endpoints and Users > Posture Assessment by Endpoint.
Pour afficher plus de détails sur le rapport de posture, cliquez sur Détails comme indiqué dans l'image.
Une fois le rapport reçu sur ISE, l'état de la position est mis à jour. Dans cet exemple, l'état de la posture est conforme et CoA Push est déclenché avec un nouvel ensemble d'attributs comme illustré dans l'image.
Vérifiez sur FTD que la nouvelle liste de contrôle d'accès Redirect et la nouvelle URL Redirect sont supprimées pour la session VPN et que PermitAll DACL est appliquée.
fyusifov-ftd-64# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : alice@training.example.com Index : 14 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1 Bytes Tx : 53990 Bytes Rx : 23808 Pkts Tx : 73 Pkts Rx : 120 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : DfltGrpPolicy Tunnel Group : EmployeeVPN Login Time : 16:58:26 UTC Mon Feb 3 2020 Duration : 0h:02m:24s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 000000000000e0005e385132 Security Grp : none Tunnel Zone : 0 AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 14.1 Public IP : 10.55.218.19 Encryption : none Hashing : none TCP Src Port : 51965 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Client OS : win Client OS Ver: 10.0.18363 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 0 Pkts Tx : 5 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 14.2 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384 Encapsulation: TLSv1.2 TCP Src Port : 51970 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7715 Bytes Rx : 10157 Pkts Tx : 6 Pkts Rx : 33 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PermitAll-5e384dc0 DTLS-Tunnel: Tunnel ID : 14.3 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Encryption : AES256 Hashing : SHA1 Ciphersuite : DHE-RSA-AES256-SHA Encapsulation: DTLSv1.0 UDP Src Port : 51536 UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 38612 Bytes Rx : 13651 Pkts Tx : 62 Pkts Rx : 87 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PermitAll-5e384dc0 fyusifov-ftd-64#
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Pour obtenir des informations détaillées sur le flux de position et le dépannage d'AnyConnect et d'ISE, consultez le lien suivant : Comparaison du style de posture ISE pour avant et après 2.2.
L'un des problèmes courants, lorsqu'un tunnel de crachage est configuré. Dans cet exemple, la stratégie de groupe par défaut est utilisée, qui isole tout le trafic. Si seul un trafic spécifique est tunnelisé, les sondes AnyConnect (enroll.cisco.com et l'hôte de découverte) doivent passer par le tunnel en plus du trafic vers ISE et d'autres ressources internes.
Afin de vérifier la stratégie de tunnel sur FMC, commencez par vérifier quelle stratégie de groupe est utilisée pour la connexion VPN. Accédez à Devices > VPN Remote Access comme indiqué dans l'image.
Ensuite, accédez à Objets > Gestion des objets > VPN > Stratégie de groupe et cliquez sur Stratégie de groupe configurée pour VPN comme illustré dans l'image.
Autre problème courant, lorsque le trafic de retour des utilisateurs VPN est traduit par l'utilisation d'une entrée NAT incorrecte. Afin de résoudre ce problème, Identity NAT doit être créé dans un ordre approprié.
Tout d'abord, vérifiez les règles NAT pour ce périphérique. Accédez à Périphériques > NAT, puis cliquez sur Ajouter une règle pour créer une nouvelle règle comme illustré dans l'image.
Dans la fenêtre ouverte, sous l'onglet Objets d'interface, sélectionnez Zones de sécurité. Dans cet exemple, l'entrée NAT est créée de ZONE-INSIDE à ZONE-OUTSIDE comme illustré dans l'image.
Sous l'onglet Traduction, sélectionnez les détails des paquets d'origine et de traduction. Comme il s’agit de la fonction NAT d’identité, la source et la destination restent inchangées :
Sous l'onglet Avancé, cochez les cases comme indiqué dans cette image :
Révision | Date de publication | Commentaires |
---|---|---|
2.0 |
22-Oct-2021 |
Champ d'autorisation supprimé et liste de contrôle d'accès corrigée. |
1.0 |
07-Feb-2020 |
Première publication |