Configurazione di criteri basati sulla georilevazione per la VPN ad accesso remoto su Secure Firewall Threat Defense

Opzioni per il download

  • PDF     (928.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (729.6 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (610.6 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:7 marzo 2025
ID documento:222810

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto il processo per autorizzare o negare le connessioni VPN in base a geolocalizzazioni specifiche in Secure Firewall Threat Defense (FTD).

    Prerequisiti

    Requisiti e limitazioni

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Centro gestione firewall protetto (FMC)
    • RAVPN (Remote Access VPN)
    • Configurazione geolocalizzazione di base

    I requisiti e i limiti attuali per le politiche basate sulla geolocalizzazione sono i seguenti:

    • Supportato solo su FTD versione 7.7.0+, gestito da FMC versione 7.7.0+.

    • Non supportato su FTD gestito da Secure Firewall Device Manager (FDM).

    • Non supportato in modalità cluster

    • Gli indirizzi IP non classificati basati sulla georilevazione non sono classificati in base all'origine geografica. Per questi casi, il CCP applica l'azione predefinita del criterio di accesso ai servizi.

    • I criteri di accesso ai servizi basati sulla georilevazione non si applicano alle pagine WebLaunch, consentendo di scaricare Secure Client senza restrizioni.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software:

    • Secure Firewall versione 7.7.0
    • Secure Firewall Management Center versione 7.7.0

    Per informazioni dettagliate su questa funzionalità, vedere la sezione Gestione dell'accesso VPN di utenti remoti in base alla geolocalizzazione nella guida alla configurazione dei dispositivi di Cisco Secure Firewall Management Center 7.7.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Le policy di accesso basate sulla geolocalizzazione offrono oggi un valore significativo nella sicurezza della rete, consentendo di bloccare il traffico in base alla sua origine geografica. In genere, le organizzazioni possono definire policy di accesso al traffico per il traffico di rete generale che attraversa il firewall. Ora, con l'introduzione di questa funzione, è possibile applicare il controllo dell'accesso basato sulla georilevazione per le richieste di sessioni VPN ad accesso remoto.

    Questa funzione offre i seguenti vantaggi:

    • Regole basate sulla georilevazione: I clienti possono creare regole per autorizzare o negare le richieste RAVPN in base a geolocalizzazioni specifiche, ad esempio paesi o continenti. Ciò consente un controllo preciso su quali posizioni geografiche possono avviare sessioni VPN.
    • Blocco preautenticazione: Le sessioni identificate da queste regole per un'azione di negazione vengono bloccate prima dell'autenticazione e questi tentativi vengono registrati correttamente per motivi di sicurezza. Questa azione preventiva consente di ridurre i tentativi di accesso non autorizzato.
    • Conformità e sicurezza: Questa funzione aiuta a garantire l'aderenza alle politiche organizzative e di governance locali, riducendo al contempo la superficie di attacco del server VPN.

    Dato che i server VPN dispongono di indirizzi IP pubblici accessibili via Internet, l'introduzione di regole basate sulla geolocalizzazione consente alle organizzazioni di limitare in modo efficace le richieste degli utenti da specifiche geolocalizzazioni, riducendo in tal modo la vulnerabilità agli attacchi di forza bruta.

    Feature Diagram

    Configurazione

    Passaggio 1. Creare un oggetto di accesso al servizio

    1. Accedere al centro di gestione Secure Firewall.

    2. Passare a Oggetti > Gestione oggetti > Elenco accessi > Accesso al servizio e fare clic su Aggiungi oggetto accesso al servizio.

    Add Service Access Object

      

    3. Definire il nome della regola, quindi fare clic su Aggiungi regola.

    Configure Service Access Object

    4. Configurare la regola di accesso al servizio:

    • Selezionare l'azione della regola: Consenti o Nega.
    • Da Paesi disponibili, selezionare paesi, continenti o oggetti di geolocalizzazione definiti dall'utente e spostarli nella lista Geolocazione selezionata.
    • Fare clic su Aggiungi per creare la regola.

    Nota: In un oggetto di accesso al servizio, un oggetto di geolocalizzazione (paese, continente o geolocalizzazione personalizzata) può essere utilizzato solo in una regola.

    Nota: assicurarsi di configurare le regole di accesso al servizio nell'ordine corretto, poiché non è possibile riordinarle.

    Configure Service Access Rule

    5. Scegliere l'azione predefinita: Consenti tutti i paesi o Nega tutti i paesi. Questa azione si applica alle connessioni che non corrispondono a nessuna delle regole di accesso al servizio configurate.

    Configure Service Access Object Default Action

    6. Fare clic su Salva.

    Passaggio 2. Applicare la configurazione dell'oggetto assistenza in RAVPN.

    1. Passare alla configurazione RAVPN in Dispositivi > Accesso remoto > Oggetto configurazione RAVPN > Interfaccia di accesso.

    2. Nella sezione Controllo accesso servizio, selezionare l'oggetto Accesso servizio creato in precedenza.

    Add Service Access Object to RAVPN Policy

    3. L'oggetto Accesso al servizio selezionato visualizza il sintetico delle regole e l'azione predefinita. Accertarsi che sia corretto.

    4. Infine, salvare le modifiche e distribuire la configurazione.

    Verifica

    Una volta salvata la configurazione, le regole vengono visualizzate nella sezione Controllo di accesso ai servizi, consentendo di verificare quali gruppi e paesi sono bloccati o autorizzati.

    Verify Service Access Object

    Eseguire il comando show running-config service-access per verificare che le regole di accesso al servizio siano disponibili dalla CLI dell'FTD.

    firepower# show running-config service-access
    service-access deny ra-ssl-client geolocation FMC_GEOLOCATION_146028889448_536980902
    service-access permit ra-ssl-client geolocation any

    firepower# show running-config object-group idFMC_GEOLOCATION_146028889448_536980902
    object-group geolocation FMC_GEOLOCATION_146028889448_536980902
    location "Country X"
    location "Country Y"

    Syslog e monitoraggio

    Secure Firewall introduce nuovi ID syslog per acquisire gli eventi relativi alle connessioni RAVPN bloccate dai criteri basati sulla geolocalizzazione:

    • 761031: indica quando una connessione IKEv2 viene negata da un criterio basato sulla geolocalizzazione. Questo syslog fa parte della classe di registrazione VPN esistente.

    %FTD-6-751031: Sessione di accesso remoto IKEv2 negata per faddr <ip_client> laddr <ip_dispositivo> da una regola geografica (geo=<nome_paese>, id=<codice_paese>)

    • 751031: indica quando una connessione SSL viene negata da un criterio basato sulla geolocalizzazione. Questo syslog fa parte della classe di registrazione WebVPN esistente.

    %FTD-6-71616: Sessione di accesso remoto SSL negata per faddr <ip_client> da una regola geografica (geo=<nome_paese>, id=<codice_paese>)

    Nota: Il livello di gravità predefinito per questi nuovi syslog è informativo se abilitato dalle rispettive classi di log. Tuttavia, è possibile abilitare questi ID syslog singolarmente e personalizzarne la gravità.

    Monitoraggio connessioni bloccate

    Per convalidare le connessioni bloccate, selezionare Dispositivi > Risoluzione dei problemi > Log per la risoluzione dei problemi. In questa pagina vengono visualizzati i log relativi alle connessioni bloccate, incluse le informazioni sulle regole che influiscono sulla connessione e sul tipo di sessione.

    Nota: Syslog deve essere configurato per raccogliere queste informazioni nei log di risoluzione dei problemi.

    Monitor Blocked Connections

    Monitora connessioni consentite

    Le sessioni consentite vengono monitorate in Panoramica > Dashboard VPN ad accesso remoto, in cui vengono visualizzate le informazioni sulla sessione, incluso il paese di origine.

    Nota: In questo dashboard vengono visualizzate solo le connessioni dai paesi consentiti e dagli utenti a cui è consentita la connessione. Le connessioni rifiutate non vengono visualizzate in questo dashboard.

    Monitor Allowed Connections

    Risoluzione dei problemi

    Per la risoluzione dei problemi, eseguire la procedura seguente:

    1. Verificare che le regole siano configurate correttamente nell'oggetto Accesso al servizio.
    2. Controllare se nella sezione Log di risoluzione dei problemi viene visualizzato un syslog di negazione quando una georilevazione consentita richiede una sessione.
    3. Verificare che la configurazione mostrata nel FMC corrisponda a quella presente nella CLI del FTD.
    4. Utilizzare i comandi successivi per raccogliere ulteriori dettagli utili per la risoluzione dei problemi:
    • debug geolocation <1-255>
    • show service-access
    • mostra dettagli di accesso al servizio
    • show service-access interface
    • mostra percorso di accesso al servizio
    • show service-access service
    • show geodb ipv4 location <Paese> detail
    • mostra contatori geodb
    • show geodb ipv4 [ricerca <indirizzo IP>] 
    • show geodb ipv6

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    07-Mar-2025
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Luis Suarez
      Tecnico di consulenza
    • Angel Ortiz Jimenez
      Responsabile tecnico della sicurezza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti