ASA 9.x Dynamic Access Policies (DAP) implementeren

Inleiding

Dit document beschrijft de implementatie, functies en het gebruik van ASA 9.x Dynamic Access Policies (DAP).

Voorwaarden

Vereisten

Cisco raadt u aan deze onderwerpen te kennen:

• Virtual Private Network (VPN)-gateways
• Dynamisch toegangsbeleid (DAP)

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Virtual Private Network (VPN) gateways werken in dynamische omgevingen. Meerdere variabelen kunnen van invloed zijn op elke VPN-verbinding; bijvoorbeeld intranetconfiguraties die vaak veranderen, de verschillende rollen die elke gebruiker binnen een organisatie kan bewonen en aanmeldingen van externe toegangssites met verschillende configuraties en beveiligingsniveaus. De taak van het autoriseren van gebruikers is veel ingewikkelder in een dynamische VPN-omgeving dan in een netwerk met een statische configuratie.

Dynamic Access Policies (DAP) zijn een functie waarmee u autorisatie kunt configureren die de dynamiek van VPN-omgevingen aanpakt. U maakt een dynamisch toegangsbeleid door een verzameling toegangsbeheerattributen in te stellen die u aan een specifieke gebruikerstunnel of -sessie koppelt. Deze attributen pakken problemen aan met betrekking tot het lidmaatschap van meerdere groepen en de beveiliging van eindpunten.

Het beveiligingstoestel verleent bijvoorbeeld toegang aan een bepaalde gebruiker voor een bepaalde sessie op basis van het beleid dat u definieert. Het genereert een DAP tijdens de gebruikersverificatie door attributen uit een of meer DAP-records te selecteren en/of te aggregeren. Deze DAP-records worden geselecteerd op basis van de beveiligingsinformatie van het eindpuntapparaat en/of de AAA-autorisatiegegevens voor de geverifieerde gebruiker. Vervolgens wordt het DAP-record toegepast op de gebruikerstunnel of -sessie.

Opmerking: Het bestand dap.xml, dat de selectiekenmerken van het DAP-beleid bevat, wordt opgeslagen in de ASA-flash. Hoewel u het dap.xml-bestand off-box kunt exporteren, bewerken (als u weet wat de XML-syntaxis is) en opnieuw importeren, moet u heel voorzichtig zijn, omdat u ervoor kunt zorgen dat ASDM stopt met het verwerken van DAP-records als u iets verkeerd hebt geconfigureerd. Er is geen CLI om dit deel van de configuratie te manipuleren.

Opmerking: Als u probeert de toegangsparameters voor dynamische toegang-beleid-record via de CLI te configureren, kan DAP stoppen met werken, hoewel ASDM hetzelfde correct zou beheren. Vermijd de CLI en gebruik altijd ASDM om het DAP-beleid te beheren.

DAP- en AAA-kenmerken

DAP is een aanvulling op AAA-services en biedt een beperkte reeks autorisatieattributen die de attributen die AAA biedt, kunnen overschrijven. Het beveiligingstoestel kan DAP-records selecteren op basis van de AAA-autorisatiegegevens voor de gebruiker. Het beveiligingstoestel kan afhankelijk van deze informatie meerdere DAP-records selecteren, die vervolgens worden geaggregeerd om DAP-autorisatiekenmerken toe te wijzen.

U kunt AAA-kenmerken opgeven in de Cisco AAA-kenmerkhiërarchie of in de volledige reeks antwoordkenmerken die het beveiligingstoestel ontvangt van een RADIUS- of LDAP-server, zoals weergegeven in afbeelding 1.

Afbeelding 1. DAP AAA Attribuut GUI

DAP- en Endpoint-beveiligingskenmerken

Naast AAA-attributen kan het beveiligingstoestel ook endpoint-beveiligingsattributen verkrijgen door gebruik te maken van de houdingsbeoordelingsmethoden die u configureert. Deze omvatten Basic Host Scan, Secure Desktop, Standard/Advanced Endpoint Assessment en NAC, zoals weergegeven in afbeelding 2. Eindpuntbeoordelingskenmerken worden verkregen en naar het beveiligingstoestel verzonden voordat de gebruikersverificatie wordt uitgevoerd. AAA-kenmerken, waaronder het algemene DAP-record, worden echter gevalideerd tijdens gebruikersverificatie.

Afbeelding 2. Endpoint Attribute GUI

Standaard dynamisch toegangsbeleid

Vóór de introductie en implementatie van DAP werden attributen/waardeparen voor toegangsbeleid die waren gekoppeld aan een specifieke gebruikerstunnel of -sessie lokaal op de ASA gedefinieerd (dat wil zeggen tunnelgroepen en groepsbeleid) of toegewezen via externe AAA-servers.

DAP wordt altijd standaard uitgevoerd. Het afdwingen van toegangscontrole via tunnelgroepen, groepsbeleid en AAA zonder de expliciete handhaving van DAP kan dit gedrag bijvoorbeeld nog steeds verkrijgen. Voor het gedrag van oudere gebruikers zijn geen configuratiewijzigingen in de DAP-functie vereist, waaronder de standaard DAP-record, DelftsAccessPolicy, zoals weergegeven in afbeelding 3.

Afbeelding 3. Standaard dynamisch toegangsbeleid

Als echter een van de standaardwaarden in een DAP-record wordt gewijzigd, bijvoorbeeld wordt de parameter Action: in het Dell AccessPolicy gewijzigd van de standaardwaarde in Beëindigen en worden extra DAP-records niet geconfigureerd, kunnen geverifieerde gebruikers standaard overeenkomen met de DAP-record van DelftAccessPolicy en kan VPN-toegang worden geweigerd.

Daarom moeten een of meer DAP-records worden gemaakt en geconfigureerd om VPN-connectiviteit te autoriseren en te bepalen tot welke netwerkbronnen een geverifieerde gebruiker toegang heeft. DAP kan dus, indien geconfigureerd, voorrang hebben op de handhaving van het beleid van de nalatenschap.

Dynamisch toegangsbeleid configureren

Wanneer u DAP gebruikt om te bepalen tot welke netwerkbronnen een gebruiker toegang heeft, zijn er veel parameters waarmee rekening moet worden gehouden. Als u bijvoorbeeld vaststelt of het verbindingseindpunt afkomstig is uit een beheerde, niet-beheerde of niet-vertrouwde omgeving, bepaalt u de selectiecriteria die nodig zijn om het verbindingseindpunt te identificeren en bepaalt u op basis van eindpuntbeoordeling en/of AAA-referenties tot welke netwerkbronnen de gebruiker die verbinding maakt toegang heeft. Om dit te bereiken, moet u eerst vertrouwd raken met DAP-functies en -functies zoals weergegeven in afbeelding 4.

Afbeelding 4. dynamisch toegangsbeleid

Bij het configureren van een DAP-record moet u rekening houden met twee belangrijke onderdelen:

• Selectiecriteria inclusief geavanceerde opties

• Attributen toegangsbeleid

In het gedeelte Selectiecriteria configureert een beheerder AAA- en Endpoint-kenmerken die worden gebruikt om een specifieke DAP-record te selecteren. Een DAP-record wordt gebruikt wanneer de autorisatieattributen van een gebruiker overeenkomen met de AAA-attribuutcriteria en aan elk endpoint-attribuut is voldaan.

Als bijvoorbeeld het AAA Attribuuttype LDAP (Active Directory) is geselecteerd, de tekenreeks Attribuutnaam lidVan is en de tekenreeks Waarde contractanten is, zoals weergegeven in afbeelding 5a, moet de verificerende gebruiker lid zijn van de Active Directory-groep contractanten om te voldoen aan de criteria voor de AAA-kenmerken.

Naast het voldoen aan de AAA-attribuutcriteria, kan de authenticerende gebruiker ook worden verplicht om te voldoen aan de criteria voor het eindpuntattribuut. Als de beheerder bijvoorbeeld is geconfigureerd om de positie van het verbindingseindpunt te bepalen en op basis van die houdingsbeoordeling, kan de beheerder deze beoordelingsinformatie gebruiken als selectiecriteria voor het eindpuntkenmerk dat wordt weergegeven in figuur 5b.

Figuur 5a. AAA-attribuutcriteria

Figuur 5b. criteria voor eindpuntkenmerken

Afbeelding 6. AAA en eindpuntattribuutcriteria komen overeen

AAA- en Endpoint-kenmerken kunnen worden gemaakt met behulp van de tabellen zoals beschreven in figuur 6 en/of door de optie Geavanceerd uit te vouwen om een logische expressie op te geven zoals weergegeven in figuur 7. Momenteel is de logische expressie opgebouwd met EVAL-functies, bijvoorbeeld EVAL (endpoint.av.McAfeeAV.exists, "EQ", "true", "string") en EVAL (endpoint.av.McAfeeAV.description, "EQ", "McAfee VirusScan Enterprise", "string"), die AAA en/of logische bewerkingen voor de selectie van eindpunten vertegenwoordigen.

Logische expressies zijn handig als u andere selectiecriteria moet toevoegen dan wat mogelijk is in de attribuutgebieden AAA en endpoint, zoals eerder getoond. U kunt bijvoorbeeld de beveiligingsapparaten configureren om AAA-kenmerken te gebruiken die aan alle, alle of geen van de opgegeven criteria voldoen, maar eindpuntkenmerken zijn cumulatief en moeten allemaal worden voldaan. Als u wilt dat het beveiligingstoestel een of ander eindpuntattribuut gebruikt, moet u de juiste logische expressies maken in het gedeelte Geavanceerd van de DAP-record.

Afbeelding 7. Logical Expression GUI voor het maken van geavanceerde kenmerken

In het gedeelte Attributen toegangsbeleid zoals weergegeven in afbeelding 8 configureert een beheerder VPN-toegangsattributen voor een specifieke DAP-record. Wanneer de autorisatiekenmerken van een gebruiker overeenkomen met de criteria voor AAA, Eindpunt en/of Logische expressie, kunnen de waarden van de attributen voor het toegangsbeleid in deze sectie worden afgedwongen. De hier opgegeven waarden van kenmerken kunnen voorrang hebben op de waarden die zijn verkregen uit het AAA-systeem, inclusief de waarden in bestaande gebruikers-, groep-, tunnelgroep- en standaardgroepsrecords.

Een DAP-record heeft een beperkte set attribuutwaarden die kunnen worden geconfigureerd. Deze waarden vallen onder de tabbladen zoals weergegeven in de figuren 8 tot en met 14:

Afbeelding 8. Actie — Specificeert speciale verwerking die van toepassing is op een specifieke verbinding of sessie.

• Doorgaan—(standaard) Klik hierop om de attributen voor het toegangsbeleid toe te passen op de sessie.

• Beëindig—Klik om de sessie te beëindigen.

• Gebruikersbericht—Voer een tekstbericht in dat op de portaalpagina wordt weergegeven wanneer deze DAP-record is geselecteerd. Maximaal 128 tekens. Een gebruikersbericht wordt weergegeven als een gele bol. Wanneer een gebruiker zich aanmeldt, knippert het drie keer om de aandacht te trekken, en dan is het nog steeds. Als er meerdere DAP-records zijn geselecteerd en elk van deze records een gebruikersbericht heeft, worden alle gebruikersberichten weergegeven. Bovendien kunt u in dergelijke berichten URL's of andere ingesloten tekst opnemen, waarvoor u de juiste HTML-tags moet gebruiken.

Afbeelding 9. Tabblad Network ACL Filters — Hiermee kunt u netwerk-ACL's selecteren en configureren om op deze DAP-record toe te passen. Een ACL voor DAP kan vergunnings- of weigeringsregels bevatten, maar niet beide. Als een ACL zowel vergunnings- als weigeringsregels bevat, wijst het beveiligingstoestel de ACL-configuratie af.

• De keuzelijst Network ACL bevat al geconfigureerde netwerk-ACL's om aan deze DAP-record toe te voegen. Alleen ACL's die alle vergunnings- of weigeringsregels hebben, komen in aanmerking en dit zijn de enige ACL's die hier worden weergegeven.

• Beheren—Klik om netwerk-ACL's toe te voegen, te bewerken en te verwijderen.

• Network ACL vermeldt de netwerk-ACL's voor deze DAP-record.

• Toevoegen—Klik om de geselecteerde netwerk-ACL uit de vervolgkeuzelijst toe te voegen aan de lijst met netwerk-ACL's aan de rechterkant.

• Verwijderen—Klik hierop om een gemarkeerde netwerk-ACL te verwijderen uit de lijst met netwerk-ACL's. U kunt een ACL niet verwijderen als deze is toegewezen aan een DAP of een ander record.

Afbeelding 10. Tabblad Webtype ACL-filters — Hiermee kunt u ACL's van het webtype selecteren en configureren om op deze DAP-record toe te passen. Een ACL voor DAP kan alleen vergunnings- of weigeringsregels bevatten. Als een ACL zowel vergunnings- als weigeringsregels bevat, wijst het beveiligingstoestel de ACL-configuratie af.

• Web-Type ACL keuzelijst — Selecteer reeds geconfigureerde web-type ACL's om toe te voegen aan deze DAP-record. Alleen ACL's die alle vergunnings- of weigeringsregels hebben, komen in aanmerking en dit zijn de enige ACL's die hier worden weergegeven.

• Beheren... — Klik hierop om ACL's van het webtype toe te voegen, te bewerken en te verwijderen.

• ACL-lijst van webtype —Hiermee worden de ACL's van webtype voor deze DAP-record weergegeven.

• Toevoegen — Klik hierop om het geselecteerde webtype ACL uit de vervolgkeuzelijst toe te voegen aan de lijst Web-Type ACL's aan de rechterkant.

• Verwijderen — Klik hierop om een ACL van het webtype te verwijderen uit de lijst met ACL's van het webtype. U kunt een ACL niet verwijderen als deze is toegewezen aan een DAP of een ander record.

Afbeelding 11. Tabblad Functies — Hiermee kunt u de invoer en het browsen van de bestandsserver, de HTTP-proxy en de URL voor het DAP-record configureren.

• Bestandsserverbrowsen—Hiermee kunt u CIFS-browsen voor bestandsservers of functies voor delen in- of uitschakelen.

• Bestandsserverinvoer—Hiermee kan of mag een gebruiker geen bestandserverpaden en -namen op de portaalpagina invoeren. Wanneer ingeschakeld, plaatst u de invoerlade voor de bestandsserver op de portaalpagina. Gebruikers kunnen de namen van de paden rechtstreeks invoeren in Windows-bestanden. Ze kunnen bestanden downloaden, bewerken, verwijderen, hernoemen en verplaatsen. Ze kunnen ook bestanden en mappen toevoegen. Aandelen moeten ook worden geconfigureerd voor gebruikerstoegang op de toepasselijke Microsoft Windows-servers. Afhankelijk van de netwerkvereisten kunnen gebruikers worden verplicht zich te verifiëren voordat ze toegang krijgen tot bestanden.

• HTTP-proxy—Heeft invloed op het doorsturen van een HTTP-applet-proxy naar de client. De proxy is handig voor technologieën die de juiste contenttransformatie verstoren, zoals Java, ActiveX en Flash. Het omzeilt het mangling / herschrijfproces en zorgt ervoor dat het beveiligingstoestel continu wordt gebruikt. De doorgestuurde proxy wijzigt de oude proxyconfiguratie van de browser automatisch en leidt alle HTTP- en HTTPS-verzoeken om naar de nieuwe proxyconfiguratie. Het ondersteunt vrijwel alle client-side technologieën, waaronder HTML, CSS, JavaScript, VBScript, ActiveX en Java. De enige browser die het ondersteunt is Microsoft Internet Explorer.

• URL-invoer: hiermee kan of kan een gebruiker geen HTTP-/HTTPS-URL's invoeren op de portaalpagina. Als deze functie is ingeschakeld, kunnen gebruikers webadressen invoeren in het vak URL-invoer en clientloze SSL VPN gebruiken om toegang te krijgen tot die websites.

• Ongewijzigd—(standaard) Klik om waarden te gebruiken uit het groepsbeleid dat op deze sessie van toepassing is.

• Inschakelen/Uitschakelen—Klik om de voorziening in of uit te schakelen.

• Automatisch starten—Klik hierop om HTTP-proxy in te schakelen en de DAP-record automatisch de applets te laten starten die aan deze functies zijn gekoppeld.

Afbeelding 12. Tabblad Poortdoorstuurlijsten — Hiermee kunt u poortdoorstuurlijsten voor gebruikerssessies selecteren en configureren.

• Port Forwarding—Selecteer een optie voor de lijsten voor het doorsturen van poorten die van toepassing zijn op deze DAP-record. De andere kenmerken in dit veld zijn alleen ingeschakeld als u Port Forwarding inschakelt of automatisch start.

• Ongewijzigd — Klik hierop om waarden te gebruiken uit het groepsbeleid dat op deze sessie van toepassing is.

• Inschakelen/Uitschakelen—Klik hierop om het doorsturen van poorten in of uit te schakelen.

• Automatisch starten—Klik hierop om het doorsturen van poorten in te schakelen en de DAP-record automatisch de poortdoorstuurapplets te laten starten die aan de poortdoorstuurlijsten zijn gekoppeld.

• Vervolgkeuzelijst Poortdoorstuurlijst—Selecteer reeds geconfigureerde lijsten voor het doorsturen van poorten om toe te voegen aan de DAP-record.

• Nieuw—Klik om nieuwe doorstuurlijsten voor poorten te configureren.

• Poortforwardinglijsten—Hiermee wordt de lijst voor het doorsturen van poorten voor het DAP-record weergegeven.

• Toevoegen—Klik om de geselecteerde lijst voor doorsturen van poorten toe te voegen aan de lijst voor doorsturen van poorten aan de rechterkant.

• Verwijderen—Klik hierop om de geselecteerde lijst voor doorsturen van poorten te verwijderen uit de lijst voor doorsturen van poorten. U kunt een ACL niet verwijderen als deze is toegewezen aan een DAP of een ander record.

Afbeelding 13. Bladwijzertabblad — hiermee kunt u bladwijzers/URL-lijsten voor gebruikerssessies selecteren en configureren.

• Bladwijzers inschakelen—Klik om deze optie in te schakelen. Als dit vak niet is geselecteerd, worden er geen bladwijzerlijsten weergegeven op de portaalpagina voor de verbinding

• Beheren—Klik om bladwijzerlijsten toe te voegen, te importeren, te exporteren en te verwijderen.

• Bladwijzerlijsten (vervolgkeuzelijst) — Hiermee worden de bladwijzerlijsten voor het DAP-record weergegeven.

• Toevoegen—Klik om de geselecteerde lijst met bladwijzers uit de vervolgkeuzelijst toe te voegen aan de lijst met bladwijzers aan de rechterkant.

• Verwijderen—Klik hierop om de geselecteerde lijst met bladwijzers uit de lijst met bladwijzers te verwijderen. U kunt een lijst met bladwijzers niet verwijderen uit het beveiligingstoestel, tenzij u deze eerst verwijdert uit DAP-records.

Afbeelding 14. Tabblad Methode — Hiermee kunt u het toegestane type externe toegang configureren.

• Ongewijzigd—Ga verder met de huidige methode voor externe toegang die is ingesteld in het groepsbeleid voor de sessie.

• AnyConnect-client—Maak verbinding met de Cisco AnyConnect VPN-client.

• Webportaal—Maak verbinding met een clientloze VPN.

• Zowel standaard-webportaal—Verbinding maken via clientloos of de AnyConnect-client, met standaard clientloos.

• Zowel de standaard AnyConnect-client—Verbinding maken via clientloze verbinding als de AnyConnect-client, met standaard AnyConnect.

Zoals eerder vermeld, heeft een DAP-record een beperkte set standaardattribuutwaarden, alleen als ze worden gewijzigd, hebben ze voorrang op de huidige AAA-, gebruikers-, groep-, tunnelgroep- en standaardgroepsrecords. Als extra attribuutwaarden buiten het bereik van DAP vereist zijn, bijvoorbeeld Split Tunneling Lists, Banners, Smart Tunnels, Portal Customizations, enzovoort, dan moeten deze worden afgedwongen via AAA, gebruiker, groep, tunnelgroep en standaardgroepsrecords. In dit geval kunnen die specifieke attribuutwaarden DAP aanvullen en niet worden overschreven. De gebruiker krijgt dus een cumulatieve set attribuutwaarden over alle records.

Meerdere dynamische toegangsbeleidsregels samenvoegen

Een beheerder kan meerdere DAP-records configureren om veel variabelen aan te pakken. Als gevolg hiervan kan een verificerende gebruiker voldoen aan de AAA- en Endpoint-attribuutcriteria van meerdere DAP-records. Als gevolg hiervan kunnen de kenmerken van het toegangsbeleid consistent of conflicterend zijn in dit beleid. In dit geval kan de geautoriseerde gebruiker het cumulatieve resultaat krijgen voor alle overeenkomende DAP-records.

Dit omvat ook unieke attribuutwaarden die worden afgedwongen via verificatie, autorisatie, gebruikers-, groep-, tunnelgroep- en standaardgroepsrecords. Het cumulatieve resultaat van de kenmerken van het toegangsbeleid maakt het dynamische toegangsbeleid. Voorbeelden van gecombineerde kenmerken van toegangsbeleid worden weergegeven in de volgende tabellen. Deze voorbeelden tonen de resultaten van 3 gecombineerde DAP-records.

Het actiekenmerk in tabel 1 heeft een waarde die Beëindig of Doorgaan is. De geaggregeerde attribuutwaarde is Beëindig als de waarde Beëindig is geconfigureerd in een van de geselecteerde DAP-records en is Doorgaan als de waarde Doorgaan is geconfigureerd in alle geselecteerde DAP-records.

Tabel 1. Actie-attribuut

Het gebruikersberichtattribuut dat in tabel 2 wordt weergegeven, bevat een tekenreekswaarde. De geaggregeerde attribuutwaarde kan een lijn-feed (hex-waarde 0x0A) gescheiden tekenreeks zijn die is gemaakt door de attribuutwaarden van de geselecteerde DAP-records aan elkaar te koppelen. De volgorde van de attribuutwaarden in de gecombineerde string is onbelangrijk.

Tabel 2. gebruiker-berichtattribuut

De clientloze functie die attributen (functies) inschakelt die in tabel 3 worden weergegeven, bevat waarden die Automatisch starten, Inschakelen of Uitschakelen zijn. De geaggregeerde attribuutwaarde kan Auto-start zijn als de Auto-Start-waarde is geconfigureerd in een van de geselecteerde DAP-records.

De geaggregeerde attribuutwaarde kan worden ingeschakeld als er geen automatische startwaarde is geconfigureerd in een van de geselecteerde DAP-records en de waarde Inschakelen is geconfigureerd in ten minste een van de geselecteerde DAP-records.

De geaggregeerde attribuutwaarde kan worden uitgeschakeld als er geen waarde voor automatisch starten of inschakelen is geconfigureerd in een van de geselecteerde DAP-records en de waarde voor "uitschakelen" is geconfigureerd in ten minste een van de geselecteerde DAP-records.

Tabel 3. Functie zonder client die attributen inschakelt (functies)

De URL-lijst en port-forward-kenmerken in tabel 4 bevatten een waarde die een tekenreeks of een tekenreeks met kommascheiding is. De waarde van het geaggregeerde kenmerk kan een tekenreeks zijn die door komma's is gescheiden en die wordt gemaakt wanneer u de waarden van het kenmerk uit de geselecteerde DAP-records aan elkaar koppelt. Elke dubbele attribuutwaarde in de gecombineerde string kan verwijderd worden. De volgorde van de attribuutwaarden in de gecombineerde tekenreeks is onbelangrijk.

Tabel 4. URL-lijst en Port Forward List-kenmerk

De attributen van de toegangsmethode specificeren de clienttoegangsmethode die is toegestaan voor SSL VPN-verbindingen. De clienttoegangsmethode kan alleen AnyConnect-clienttoegang zijn, alleen toegang tot webportalen, AnyConnect-clienttoegang of toegang tot webportalen met webportaaltoegang als standaardtoegang, of AnyConnect-clienttoegang of toegang tot webportalen met AnyConnect-clienttoegang als standaardtoegang. De geaggregeerde attribuutwaarde is samengevat in tabel 5.

Tabel 5. Attributen toegangsmethode

Wanneer u de kenmerken Network (Firewall) en Web-Type (Clientless) ACL Filter combineert, zijn de DAP-prioriteit en DAP ACL twee belangrijke onderdelen om te overwegen.

Het kenmerk Prioriteit zoals weergegeven in figuur 15 is niet geaggregeerd. Het beveiligingstoestel gebruikt deze waarde om de toegangslijsten logisch te rangschikken bij het aggregeren van de netwerk- en webtype-ACL's uit meerdere DAP-records. Het beveiligingstoestel bestelt de records van het hoogste naar het laagste prioriteitsnummer, met het laagste onderaan de tabel. Een DAP-record met een waarde van 4 heeft bijvoorbeeld een hogere prioriteit dan een record met een waarde van 2. Je kunt ze niet handmatig sorteren.

Afbeelding 15. Prioriteit — Hiermee wordt de prioriteit van het DAP-record weergegeven.

• Beleidsnaam — Hier wordt de naam van het DAP-record weergegeven.

• Beschrijving—Beschrijft het doel van het DAP-record.

Het kenmerk DAP ACL ondersteunt alleen toegangslijsten die voldoen aan een strikt ACL-model met een allow-list of een strikt block-list. In een ACL-model met machtigingslijst specificeren de items in de toegangslijst regels die toegang tot gespecificeerde netwerken of hosts "toestaan". In de ACL-modus Bloklijst specificeren de items in de toegangslijst regels die toegang tot gespecificeerde netwerken of hosts weigeren. Een niet-conforme toegangslijst bevat vermeldingen van de toegangslijst met een combinatie van vergunning- en weigeringsregels. Als een niet-conforme toegangslijst is geconfigureerd voor een DAP-record, kan deze worden afgewezen als een configuratiefout wanneer de beheerder probeert de record toe te voegen. Als een toegangslijst die conform is, wordt toegewezen aan een DAP-record, kan elke wijziging in de toegangslijst die de conformiteitskarakteristiek wijzigt, worden afgewezen als een configuratiefout.

Afbeelding 16. DAP ACL — Hiermee kunt u netwerk-ACL's selecteren en configureren die op deze DAP-record van toepassing zijn.

Wanneer meerdere DAP-records zijn geselecteerd, worden de toegangslijstkenmerken die in de ACL Netwerk (Firewall) zijn opgegeven, samengevoegd om een dynamische toegangslijst voor de ACL van DAP Firewall te maken. Op dezelfde manier worden de toegangslijstkenmerken die in de ACL Webtype (Clientless) zijn opgegeven samengevoegd om een dynamische toegangslijst voor de ACL zonder client van DAP te maken. Het volgende voorbeeld richt zich op hoe een dynamische DAP Firewall Access-List specifiek wordt gemaakt. Een dynamische DAP Clientless Access List kan echter ook hetzelfde proces uitvoeren.

Ten eerste creëert de ASA dynamisch een unieke naam voor de DAP Network-ACL zoals weergegeven in tabel 6.

Tabel 6. Dynamische DAP Network-ACL-naam

Ten tweede haalt de ASA het Network-ACL-attribuut op uit de geselecteerde DAP-records zoals weergegeven in tabel 7.

Tabel 7. Netwerk-ACL's

Ten derde herschikt de ASA de Network-ACL eerst met het DAP-record Prioriteitsnummer en vervolgens met de Block-List eerst als de Prioriteitswaarde voor 2 of meer geselecteerde DAP-records hetzelfde is. Hierna kan de ASA vervolgens de Network-ACL-vermeldingen van elk Network-ACL ophalen, zoals weergegeven in tabel 8.

Tabel 8. DAP-recordprioriteit

Ten slotte voegt de ASA de Network-ACL-vermeldingen samen in de dynamisch gegenereerde Network-ACL en retourneert vervolgens de naam van de dynamische Network-ACL als de nieuwe Network-ACL die moet worden afgedwongen, zoals weergegeven in tabel 9.

Tabel 9. Dynamic DAP Network-ACL

DAP-implementatie

Er zijn tal van redenen waarom een beheerder moet overwegen DAP te implementeren. Enkele onderliggende redenen zijn wanneer de beoordeling van de houding op een eindpunt moet worden afgedwongen en/of wanneer meer gedetailleerde AAA- of beleidskenmerken moeten worden overwogen bij het autoriseren van de toegang van gebruikers tot netwerkbronnen. In het volgende voorbeeld kunt u DAP en de componenten ervan configureren om een verbindingseindpunt te identificeren en de toegang van de gebruiker tot verschillende netwerkbronnen te autoriseren.

Testcase – Een client heeft een concepttest aangevraagd met deze VPN-toegangsvereisten:

• De mogelijkheid om een medewerkerseindpunt te detecteren en te identificeren als Beheerd of Onbeheerd. —Als het eindpunt wordt geïdentificeerd als beheerd (werk-pc) maar niet voldoet aan de vereisten voor de houding, moet dat eindpunt vervolgens de toegang worden geweigerd. Aan de andere kant, als het eindpunt van de werknemer wordt geïdentificeerd als onbeheerd (thuis-pc), moet dat eindpunt vervolgens cliëntloze toegang krijgen.

• De mogelijkheid om het opschonen van sessiecookies en cache op te roepen wanneer een clientloze verbinding wordt beëindigd.

• De mogelijkheid om actieve toepassingen op beheerde eindpunten van medewerkers, zoals McAfee AntiVirus, te detecteren en af te dwingen. Als de toepassing niet bestaat, moet dat eindpunt vervolgens Access worden geweigerd.

• De mogelijkheid om AAA-verificatie te gebruiken om te bepalen tot welke netwerkbronnen geautoriseerde gebruikers toegang moeten hebben. De Security Appliance moet Native MS LDAP-verificatie ondersteunen en meerdere LDAP-groepslidmaatschapsrollen ondersteunen.

• De mogelijkheid om lokale LAN-toegang toe te staan tot netwerkbronnen zoals netwerkfaxen en printers wanneer deze zijn verbonden via een client-/netwerkverbinding.

• De mogelijkheid om geautoriseerde gasttoegang te bieden aan aannemers. Contractanten en hun eindpunten moeten clientloze toegang krijgen en hun portaaltoegang tot toepassingen moet beperkt zijn in vergelijking met de toegang van werknemers.

In dit voorbeeld kunt u een reeks configuratiestappen uitvoeren om aan de VPN-toegangsvereisten van de client te voldoen. Er kunnen noodzakelijke configuratiestappen zijn, maar deze zijn niet direct gerelateerd aan DAP, terwijl andere configuraties direct gerelateerd kunnen zijn aan DAP. De ASA is zeer dynamisch en kan zich aanpassen aan vele netwerkomgevingen. Hierdoor kunnen VPN-oplossingen op verschillende manieren worden gedefinieerd en in sommige gevallen dezelfde eindoplossing bieden. De gekozen aanpak wordt echter gedreven door de behoeften van de klant en hun omgeving.

Op basis van de aard van dit artikel en de gedefinieerde clientvereisten kunt u Adaptive Security Device Manager (ASDM) gebruiken en de meeste van onze configuraties richten op DAP. U kunt echter ook lokale groepsbeleidsregels configureren om te laten zien hoe DAP de lokale beleidskenmerken kan aanvullen en/of overschrijven. Op basis van deze testcase kunt u ervan uitgaan dat een LDAP-servergroep, de lijst van gesplitste tunnelnetwerken en de basis-IP-connectiviteit, inclusief IP-pools en de standaard-DNS-servergroep, vooraf zijn geconfigureerd.

Groepsbeleid definiëren: deze configuratie is nodig voor het definiëren van lokale beleidskenmerken. Sommige hier gedefinieerde kenmerken kunnen niet worden geconfigureerd in DAP (bijvoorbeeld Local LAN Access). (Dit beleid kan ook worden gebruikt om clientloze en clientgebaseerde kenmerken te definiëren).

Navigeer naar Configuration > Remote Access VPN > Network (Client) Access > Group Policies, en voeg een Internal Group Policy toe zoals wordt weergegeven:

Afbeelding 17. Groepsbeleid — definieert de specifieke kenmerken van een lokale VPN.

1. Configureer onder de koppeling Algemeen de naam SSLVPN_GP voor het groepsbeleid.
2. Klik ook onder de koppeling Algemeen op Meer opties en configureer alleen het Tunneling Protocol: Clientless SSLVPN. (U kunt DAP configureren om de toegangsmethode te overschrijven en te beheren.)
3. Configureer onder de koppeling Geavanceerd > Tunneling splitsen de volgende stappen:

Afbeelding 18. Split Tunneling — Hiermee kan gespecificeerd verkeer (lokaal netwerk) een niet-gecodeerde tunnel omzeilen tijdens een clientverbinding.

Beleid: Schakel Overerving uit en selecteer Netwerklijst uitsluiten.

Netwerklijst: Schakel Overerving uit en selecteer de lijstnaamLocal_LAN_Access. (Aangenomen dat deze vooraf is geconfigureerd.)

Configureer onder de koppeling Geavanceerd > ANYCONNECT Client de volgende stappen:

Afbeelding 19. SSL VPN Client Installer — Na beëindiging van de VPN kan de SSL-client op het eindpunt blijven of worden verwijderd.

1. Installer op clientsysteem houden: Schakel Overerving uit en selecteer Ja.

2. Klik op OKthenApply.

3. Pas uw configuratiewijzigingen toe.

Een verbindingsprofiel definiëren: deze configuratie is nodig voor het definiëren van onze AAA-verificatiemethode, bijvoorbeeld LDAP, en voor het toepassen van het eerder geconfigureerde groepsbeleid (SSLVPN_GP) op dit verbindingsprofiel. Gebruikers die via dit verbindingsprofiel verbinding maken, kunnen worden onderworpen aan de hier gedefinieerde kenmerken en aan de kenmerken die zijn gedefinieerd in het groepsbeleid van SSLVPN_GP. (Dit profiel kan ook worden gebruikt om zowel clientloze als clientgebaseerde kenmerken te definiëren).

Navigeer naar Configuration > Remote Access VPN > Network (Client) Access > IPsec Remote Access Connection Profile en configureer:

Afbeelding 20. Verbindingsprofiel — Definieert lokaal VPN-specifieke kenmerken.

1. Bewerk onder de sectie Verbindingsprofielen de standaardgroep WEBVPNG en configureer onder de koppeling Basisgegevens de volgende stappen:
   1. Verificatie—Methode:AAA
   2. Verificatie—AAA-servergroep: LDAP (verondersteld vooraf geconfigureerd)
   3. Toewijzing clientadres—Adresgroepen client:IP_Pool(verondersteld vooraf geconfigureerd)
   4. Standaardgroepsbeleid—Groepsbeleid: SelectSSLVPN_GP
2. Pas uw configuratiewijzigingen toe.

Een IP-interface definiëren voor SSL VPN-connectiviteit — Deze configuratie is nodig voor het beëindigen van client- en clientloze SSL-verbindingen op een opgegeven interface.

Voordat u Client/Network-toegang op een interface inschakelt, moet u eerst een SSL VPN-clientimage definiëren.

1. Navigeer naar Configuration > Remote Access VPN > Network (Client)Access > AnyConnect Client Software, en voeg de volgende afbeelding, de SSL VPN Client Image van het ASA Flash-bestandssysteem: (Deze afbeelding kan worden gedownload van CCO, https://www.cisco.com)

Afbeelding 21. Installatie van SSL VPN-clientimage: definieert het AnyConnect-clientimage dat moet worden gepusht om eindpunten te verbinden.

1. AnyConnect-MAC-4.x.xxx-K9.pkg

2. Klik op OK, nogmaals op OK en vervolgens op Toepassen.

1. Navigeer naar Configuratie > Externe toegang > VPN-netwerk (client)toegang > AnyConnect-verbindingsprofielen en gebruik de volgende stappen om dit in te schakelen:

Afbeelding 22. SSL VPN Access Interface: definieert de interface(s) voor het beëindigen van SSL VPN-connectiviteit.

1. Schakel onder het gedeelte Access Interface het volgende in: Schakel Cisco AnyConnect VPN Client of legacy SSL VPN Client-toegang in op de interfaces die in de onderstaande tabel zijn geselecteerd.

2. Schakel ook onder het gedeelte Toegangsinterfaces het selectievakje Toegang toestaan op de externe interface in. (Deze configuratie kan ook SSL VPN Clientless-toegang op de externe interface inschakelen.)

3. Klik op Toepassen.

Bladwijzerlijsten (URL-lijsten) definiëren voor clientloze toegang - Deze configuratie is nodig voor het definiëren van een webgebaseerde toepassing die op het portaal moet worden gepubliceerd. u kunt 2 URL-lijsten definiëren, één voor werknemers en de andere voor aannemers.

1. Navigeer naar Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Bladwijzers, klik op + Toevoegen en configureer de volgende stappen:

Afbeelding 23. Bladwijzerlijst: definieert URL's die moeten worden gepubliceerd en geopend via het webportaal. (Aangepast voor toegang van werknemers).

1. Naam bladwijzerlijst: werknemers, klik vervolgens op Toevoegen.

2. Bladwijzertitel: Bedrijfsintranet

3. URL-waarde: https://company.resource.com

4. Klik op OK en vervolgens nogmaals op OK.

1. Klik op + Toevoegen en configureer als volgt een tweede Bladwijzerlijst (URL-lijst):

Afbeelding 24. Bladwijzerlijst — Aangepast voor gasttoegang.

1. Bladwijzer Lijstnaam: Contractanten, en klik vervolgens op Toevoegen.

2. Bladwijzertitel: Gasttoegang

3. URL-waarde: https://company.contractors.com

4. Klik op OK en vervolgens nogmaals op OK.

5. Klik op Toepassen.

Hostscan configureren:

1. Navigeer naar Configuration > Remote Access VPN > Secure Desktop Manager > HostScan Image en configureer de volgende stappen:

Afbeelding 25. HostScan Image Install—Hiermee wordt gedefinieerd welke HostScan-image moet worden gepusht om eindpunten met elkaar te verbinden.

1. Installeer de disk0:/hostscan_4.xx.xxxx-k9.pkgimage vanaf het bestandssysteem ASA Flash.

2. Controleer HostScan inschakelen.

3. Klik op Toepassen.

Dynamisch toegangsbeleid — Deze configuratie is nodig voor het valideren van verbindende gebruikers en hun eindpunten aan de hand van gedefinieerde AAA- en/of eindpuntbeoordelingscriteria. Als aan de gedefinieerde criteria van een DAP-record is voldaan, kunnen gebruikers die verbinding maken toegang krijgen tot netwerkbronnen die aan die DAP-record of -records zijn gekoppeld. De DAP-autorisatie wordt uitgevoerd tijdens het authenticatieproces.

Om ervoor te zorgen dat een SSL VPN-verbinding in het standaardgeval kan worden beëindigd (bijvoorbeeld wanneer het eindpunt niet overeenkomt met een geconfigureerd Dynamic Access-beleid), kunt u het configureren met de volgende stappen:

Opmerking: wanneer u Dynamic Access Policies voor de eerste keer configureert, wordt een foutbericht van DAP.xml weergegeven dat aangeeft dat er geen DAP-configuratiebestand (DAP.XML) bestaat. Zodra de oorspronkelijke DAP-configuratie is gewijzigd en vervolgens is opgeslagen, kan dit bericht niet meer worden weergegeven.

1. Navigeer naar Configuration > Remote Access VPN > Clientless SSL VPN Access > Dynamic Access Policies, en configureer de volgende stappen:

Afbeelding 30. Standaardbeleid voor dynamische toegang: als er geen vooraf gedefinieerde DAP-records zijn gekoppeld, kan deze DAP-record worden afgedwongen. SSL VPN-toegang kan worden geweigerd.

1. Bewerk het DelftsAccessPolicy en stel de actie in op Beëindigen.

2. Klik op OK.

1. Voeg als volgt een nieuw dynamisch toegangsbeleid met de naam Managed_Endpoints toe:

   1. Beschrijving: Client Access voor werknemers

   2. Voeg een type Eindpuntattribuut (Anti-Virus) toe, zoals weergegeven in afbeelding 31. Klik op OK als u klaar bent.

Afbeelding 31. DAP Endpoint Attribuut—Advanced Endpoint Assessment AntiVirus kan worden gebruikt als een DAP-criterium voor client-/netwerktoegang.

1. 1. Zoals in de vorige afbeelding wordt getoond, selecteert u in de vervolgkeuzelijst van de sectie AAA-kenmerken de optieUser has ALL of the following AAA Attributes Values.

   2. Voeg (rechts van het vak AAA-kenmerk) een type AAA-kenmerk (LDAP) toe, zoals weergegeven in de figuren 33 en 34. Klik op OK als u klaar bent.

Afbeelding 33. DAP AAA Attribuut-AAA Group Membership kan worden gebruikt als een DAP-criterium om een werknemer te identificeren.

Afbeelding 34. DAP AAA Attribuut—AAA Group Membership kan worden gebruikt als een DAP-criterium om mogelijkheden voor externe toegang mogelijk te maken.

1. 1. Controleer onder het tabblad Actie of de Actie is ingesteld op Doorgaan, zoals weergegeven in figuur 35.

Afbeelding 35. Tabblad Actie—Deze configuratie is nodig voor het definiëren van speciale verwerking voor een specifieke verbinding of sessie. VPN-toegang kan worden geweigerd als een DAP-record is gekoppeld en de actie is ingesteld op Beëindigen.

1. 1. Selecteer op het tabblad Toegangsmethode de Access MethodAnyConnect-client, zoals weergegeven in afbeelding 36.

Afbeelding 36. Tabblad Toegangsmethode—Deze configuratie is nodig voor het definiëren van de typen SSL VPN-clientverbindingen.

1. 1. Klik op OK en vervolgens op Toepassen.

1. Voeg een tweede dynamisch toegangsbeleid toe met de naam Unmanaged_Endpoints, zoals beschreven:

   1. Omschrijving: ClientLess Access voor werknemers.

   2. Selecteer in de vervolgkeuzelijst in de vorige afbeelding van de sectie AAA-kenmerken de optie User has ALL of the following AAA Attributes Values.

   3. Voeg (rechts van het AAA-attribuuttype) een AAA-attribuuttype (LDAP) toe, zoals weergegeven in de figuren 38 en 39. Klik op OK als u klaar bent.

Afbeelding 38. DAP AAA Attribuut-AAA Group Lidmaatschap kan worden gebruikt als DAP criteria om een werknemer te identificeren.

Afbeelding 39. DAP AAA Attribuut—AAA Group Membership kan worden gebruikt als een DAP-criterium om mogelijkheden voor externe toegang mogelijk te maken.

1. 1. Controleer onder het tabblad Actie of de Actie is ingesteld op Doorgaan. (Figuur 35)

   2. Selecteer op het tabblad Bladwijzers de naam van de lijst Medewerkers in de vervolgkeuzelijst en klik vervolgens op Toevoegen. Controleer ook of de bladwijzers Inschakelen zijn ingeschakeld, zoals weergegeven in afbeelding 40.

Afbeelding 40. Tabblad Bladwijzers: hiermee kunt u URL-lijsten voor gebruikerssessies selecteren en configureren.

1. 1. Selecteer op het tabblad Toegangsmethode het webportaal Toegangsmethode. (Figuur 36)

2. Klik op OK en vervolgens op Toepassen.
   1. Contractanten kunnen alleen worden geïdentificeerd aan de hand van DAP AAA-kenmerken. Als gevolg hiervan kan Type: (Beleid) van eindpuntkenmerken niet worden geconfigureerd in stap 4. Deze aanpak is alleen bedoeld om veelzijdigheid binnen DAP te laten zien.

3. Voeg een derde dynamisch toegangsbeleid genaamd Guest_Access toe met de volgende inhoud:

1. Beschrijving: Gasttoegang zonder clientless.

2. Voeg (rechts van het vak Eindpuntattribuut) een Type Eindpuntattribuut (Beleid) toe, zoals weergegeven in figuur 37. Klik op OK als u klaar bent.

3. Selecteer in figuur 40 in de vervolgkeuzelijst in de sectie AAA-kenmerken de optieUser has ALL of the following AAA Attributes Values.

4. Voeg (rechts van het vak AAA-kenmerk) een type AAA-kenmerk (LDAP) toe, zoals weergegeven in de figuren 41 en 42. Klik op OK als u klaar bent.

Afbeelding 41. U kunt DAP AAA Attribuut-AAA-groepslidmaatschap gebruiken als een DAP-criterium om een aannemer te identificeren

Afbeelding 42. DAP AAA Attribuut—U kunt het AAA-groepslidmaatschap gebruiken als een DAP-criterium om mogelijkheden voor externe toegang toe te staan

1. 1. Controleer onder het tabblad Actie of de Actie is ingesteld op Doorgaan. (Figuur 35)

   2. Selecteer onder het tabblad Bladwijzers de lijstnaam Contractanten in de vervolgkeuzelijst en klik vervolgens op Toevoegen. Controleer ook of de bladwijzers Inschakelen zijn ingeschakeld. (Referentiefiguur 40.)

   3. Selecteer op het tabblad Toegangsmethode het webportaal Toegangsmethode.  (Figuur 36)

   4. Klik op OK en vervolgens op Toepassen.

Conclusie

Op basis van de client Remote Access SSL VPN-vereisten die in dit voorbeeld worden vermeld, voldoet deze oplossing aan de client Remote Access VPN-vereisten.

Met evoluerende en dynamische VPN-omgevingen bij het samenvoegen, kunnen Dynamic Access Policies worden aangepast en geschaald worden aangepast aan frequente wijzigingen in de internetconfiguratie, verschillende rollen die elke gebruiker binnen een organisatie kan vervullen en aanmeldingen van beheerde en onbeheerde externe toegangssites met verschillende configuraties en beveiligingsniveaus.

Dynamisch toegangsbeleid wordt aangevuld met nieuwe en beproefde oudere technologieën, waaronder Advanced Endpoint Assessment, Host Scan, Secure Desktop, AAA en Local Access Policies. Als gevolg hiervan kunnen organisaties met vertrouwen veilige VPN-toegang leveren tot elke netwerkbron vanaf elke locatie.

Gerelateerde informatie

• Cisco Technical Support en downloads