FTD에서 보안 클라이언트(AnyConnect) 원격 액세스 VPN 구성

소개

이 문서에서는 Secure Firewall Threat Defense의 Secure Client(AnyConnect) 원격 액세스 VPN 구성에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• 기본 VPN, TLS 및 IKEv2 지식
• AAA(Basic Authentication, Authorization, and Accounting) 및 RADIUS 지식
• Secure Firewall Management Center 경험

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• SFTD(Secure Firewall Threat Defense) 7.2.5
• SFMC(Secure Firewall Management Center) 7.2.9
• 보안 클라이언트(AnyConnect) 5.1.6 

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

이 문서에서는 원격 액세스 VPN에서 TLS(Transport Layer Security) 및 IKEv2(Internet Key Exchange version 2)를 사용할 수 있도록 하는 FTD(Secure Firewall Threat Defense) 버전 7.2.5 이상의 컨피그레이션 예를 제공합니다. 클라이언트로는 여러 플랫폼에서 지원되는 Secure Client(AnyConnect)를 사용할 수 있습니다.

설정

1. 전제 조건

Secure Firewall Management Center에서 원격 액세스 마법사를 실행하려면

• 서버 인증에 사용되는 인증서를 만듭니다.
• 사용자 인증을 위해 RADIUS 또는 LDAP 서버를 구성합니다.
• VPN 사용자를 위한 주소 풀을 생성합니다.
• 다른 플랫폼에 대한 AnyConnect 이미지를 업로드합니다.

a) SSL 인증서 가져오기

인증서는 Secure Client를 구성할 때 필수적입니다. 웹 브라우저에서 오류를 방지하려면 인증서에 DNS 이름 및/또는 IP 주소의 주체 대체 이름 확장명이 있어야 합니다.

참고: 등록된 Cisco 사용자만 내부 툴 및 버그 정보에 액세스할 수 있습니다.

수동 인증서 등록에는 제한이 있습니다.

• SFTD에서 CSR을 생성하기 전에 CA 인증서가 필요합니다.
• CSR이 외부에서 생성되면 수동 방법이 실패하므로 다른 방법을 사용해야 합니다(PKCS12).

SFTD 어플라이언스에서 인증서를 가져오는 몇 가지 방법이 있지만 안전하고 쉬운 방법은 CSR(Certificate Signing Request)을 생성하고 CA(Certificate Authority)로 서명한 다음 CSR에 있는 공개 키에 대해 발급된 인증서를 가져오는 것입니다.

완료하기 위한 단계:

• Objects(개체) > Object Management(개체 관리) > PKI > Cert Enrollment(인증서 등록)로 이동하여 Add Cert Enrollment(인증서 등록 추가)를 클릭합니다.

• Enrollment Type(등록 유형)을 선택하고 CA(Certificate Authority) 인증서(CSR에 서명하는 데 사용되는 인증서)를 붙여넣습니다.

• 그런 다음 두 번째 탭으로 이동하여 Custom FQDN(맞춤형 FQDN)을 선택하고 다음과 같이 필요한 모든 필드를 채웁니다.

• 세 번째 탭에서 Key Type(키 유형)을 선택하고 name(이름) 및 size(크기)를 선택합니다. RSA의 경우 최소 2048비트입니다.
• Save(저장)를 클릭하고 Devices(디바이스) > Certificates(인증서) > Add(추가)로 이동합니다.
• 그런 다음 Device를 선택하고 Cert Enrollment 아래에서 방금 생성한 신뢰 지점을 선택하고 Add를 클릭합니다.

• 나중에 신뢰 지점 이름 옆에 있는  아이콘을 클릭한 다음 Yes(예)를 클릭합니다. 그런 다음 CSR을 CA에 복사하고 서명합니다. 인증서는 일반 HTTPS 서버와 동일한 특성을 가져야 합니다.
• CA에서 base64 형식으로 인증서를 받은 후 Browse Identity Certificate(ID 인증서 찾아보기)를 선택하고 디스크에서 선택한 후 Import(가져오기)를 클릭합니다. 성공하면 다음이 표시됩니다.

b) RADIUS 서버 구성

• Objects(개체) > Object Management(개체 관리) > RADIUS Server Group(RADIUS 서버 그룹) > Add RADIUS Server Group(RADIUS 서버 그룹 추가) > +로 이동합니다.
• 이름을 입력하고 공유 암호와 함께 IP 주소를 추가한 다음 Save(저장)를 클릭합니다.

• 그런 다음 목록의 서버를 볼 수 있습니다.

c) VPN 사용자를 위한 주소 풀 생성

• Objects(개체) > Object Management(개체 관리) > Address Pools(주소 풀) > IPv4 Pools(IPv4 풀) > Add IPv4 Pools(IPv4 풀 추가)로 이동합니다.
• 이름 및 범위를 입력합니다. 마스크가 필요하지 않습니다. 

d) XML 프로필 만들기

• Cisco 사이트에서 프로파일 편집기를 다운로드하고 엽니다.
• Server List(서버 목록) > Add...(추가...)로 이동합니다. 
• 표시 이름 및 FQDN을 입력합니다. Server List(서버 목록)의 항목을 볼 수 있습니다.

• OK(확인)와 File(파일) > Save as(다른 이름으로 저장)...를 클릭합니다.  

e) AnyConnect 이미지 업로드

• Cisco 사이트에서 pkg 이미지를 다운로드합니다.
• Objects(개체) > Object Management(개체 관리) > VPN > AnyConnect File(AnyConnect 파일) > Add AnyConnect File(AnyConnect 파일 추가)로 이동합니다. Objects(개체 관리) > Object Management(개체 관리) > VPN > AnyConnect File(AnyConnect 파일) > Add AnyConnect File(AnyConnect 파일 추가).
• 이름을 입력하고 디스크에서 PKG 파일을 선택하고 Save(저장)를 클릭합니다.

• 자체 요구 사항에 따라 패키지를 더 추가합니다.

2. 원격 액세스 마법사

• Devices(디바이스) > VPN > Remote Access(원격 액세스) > Add a new configuration(새 컨피그레이션 추가)으로 이동합니다.
• 프로파일 이름을 지정하고 FTD 디바이스를 선택합니다.

• Connection Profile(연결 프로파일) 단계에서 Connection Profile Name(연결 프로파일 이름)을 입력하고 앞서 생성한 인증 서버 및 주소 풀을 선택합니다.

• Edit Group Policy(그룹 정책 수정)를 클릭하고 AnyConnect 탭에서 Client Profile(클라이언트 프로파일)을 선택한 다음 Save(저장)를 클릭합니다.

• 다음 페이지에서 AnyConnect Images(AnyConnect 이미지)를 선택하고 Next(다음)를 클릭합니다.

• 다음 화면에서 Network Interface and Device Certificates를 선택합니다.

• 모든 것이 올바르게 구성되면 Finish(마침)를 클릭한 다음 Deploy(구축)를 클릭할 수 있습니다.

• 이렇게 하면 전체 컨피그레이션이 인증서 및 AnyConnect 패키지와 함께 FTD 어플라이언스에 복사됩니다.

connection

FTD에 연결하려면 브라우저를 열고 외부 인터페이스를 가리키는 DNS 이름 또는 IP 주소를 입력해야 합니다. 그런 다음 RADIUS 서버에 저장된 자격 증명으로 로그인하고 화면의 단계를 수행합니다. AnyConnect가 설치되면 AnyConnect 창에 동일한 주소를 입력하고 Connect를 클릭해야 합니다.

제한 사항

현재 FTD에서 지원되지 않지만 ASA에서 사용 가능:

• FTDposture VPN은 동적 권한 부여 또는 RADIUS CoA(Change of Authorization)를 통한 그룹 정책 변경을 지원하지 않습니다

• AnyConnect 사용자 지정(개선 사항: Cisco 버그 ID CSCvq87631)
• AnyConnect 스크립트(개선 사항: Cisco 버그 ID CSCvt58044)
• AnyConnect 현지화
• WSA 통합
• RA 및 L2L VPN에 대한 동시 IKEv2 동적 암호화 맵(개선 사항: Cisco 버그 ID CSCvr52047)
• TACACS, Kerberos - KCD 인증 및 RSA SDI(개선 사항: Cisco 버그 ID CSCvx55859)
• 브라우저 프록시

보안 고려 사항

기본적으로 sysopt connection permit-vpnoption은 비활성화되어 있습니다. 즉, 액세스 제어 정책을 통해 외부 인터페이스의 주소 풀에서 오는 트래픽을 허용해야 합니다. VPN 트래픽만 허용하기 위해 사전 필터 또는 액세스 제어 규칙이 추가되지만, 일반 텍스트 트래픽이 규칙 기준과 일치하는 경우 잘못 허용됩니다.

이 문제에 대한 두 가지 접근법이 있다. 먼저 외부 인터페이스에 대해 Anti-Spoofing(ASA에서는 Unicast Reverse Path Forwarding - uRPF로 알려짐)을 활성화하는 것이 TAC의 권장 옵션이며, 두 번째로 sysopt connection permit-vpn이 Snort 검사를 완전히 우회하도록 하는 것입니다. 첫 번째 옵션은 VPN 사용자를 오가는 트래픽에 대한 정상적인 검사를 허용합니다.

a) uRPF 활성화

• C 섹션에 정의된 원격 액세스 사용자에 사용되는 네트워크에 대해 null 경로를 생성합니다. Devices(디바이스) > Device Management(디바이스 관리) > Edit(편집) > Routing(라우팅) > Static Route(고정 경로)로 이동하고 Add route(경로 추가)를 선택합니다.

• 다음으로, VPN 연결이 종료되는 인터페이스에서 uRPF를 활성화합니다. 이를 찾으려면 Devices(디바이스) > Device Management(디바이스 관리) > Edit(수정) > Interfaces(인터페이스) > Edit(수정) > Advanced(고급) > Security Configuration(보안 컨피그레이션) > Enable Anti Spoofing(스푸핑 차단 활성화)으로 이동합니다. 

사용자가 연결되면 라우팅 테이블에 해당 사용자에 대한 32비트 경로가 설치됩니다. uRFP에 의해 삭제된 풀에서 사용되지 않은 다른 IP 주소로부터 제공된 일반 텍스트 트래픽. 안티스푸핑에 대한 설명을 보려면 방화벽 위협 방어에서 보안 컨피그레이션 매개변수 설정을 참조하십시오.

b) sysopt connection permit-vpn 옵션 활성화

• 마법사나 Devices(디바이스) > VPN > Remote Access(원격 액세스) > VPN Profile(VPN 프로파일) > Access Interfaces(액세스 인터페이스)에서 완료할 수 있는 옵션이 있습니다있습니다.

관련 정보

• Cisco 기술 지원 및 다운로드

개정 이력

개정	게시 날짜	의견
7.0	16-Jun-2026	맞춤법, 공백, 문법 및 소폭의 변화를 도입했습니다.
6.0	05-Dec-2024	업데이트된 대체 텍스트, 링크 대상, 문법 및 서식.
5.0	25-Nov-2024	변경된 명명 규칙 및 GUI의 변경 사항 반영
4.0	05-Dec-2023	재인증
3.0	16-Dec-2022	다시 쓰세요. 서식을 업데이트합니다. 재인증.
2.0	08-Nov-2022	업데이트된 서식 및 수정된 맞춤법재인증
1.0	07-Nov-2017	최초 릴리스