Inleiding
Dit document beschrijft hoe u Firepower Threat Defence (FTD) versie 6.4.0 moet configureren om VPN-gebruikers aan te stellen tegen Identity Services Engine (ISE).
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- AnyConnect externe toegang tot VPN
- Configuratie van VPN voor externe toegang op de FTD
- Identity Services Engine en postuur
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende softwareversies:
- Software voor Cisco Firepower Threat Defence (FTD), versie 6.4.0
- Software voor Cisco Firepower Management Console (FMC), versie 6.5.0
- Microsoft Windows 10 met Cisco AnyConnect Secure Mobility-client versie 4.7
- Cisco Identity Services Engine (ISE) versie 2.6 met Patch 3
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Netwerkdiagram en verkeersstroom

1. De externe gebruiker gebruikt Cisco AnyConnect voor VPN-toegang tot de FTD.
2. De FTD stuurt een RADIUS-toegangsverzoek voor die gebruiker naar de ISE.
3. Dat verzoek raakt het beleid genaamd FTD-VPN-Posture-Unknown op de ISE. De ISE stuurt een RADIUS-toegangsgoedkeuring met drie kenmerken:
4. Als DACL wordt verzonden, wordt RADIUS-toegangsverzoek/toegangsgoedkeuring uitgewisseld om de inhoud van DACL te downloaden
5. Wanneer het verkeer van de VPN-gebruiker overeenkomt met de lokaal gedefinieerde ACL, wordt het omgeleid naar ISE-clientprovisioningportal. ISE-bepalingen AnyConnect-postermodule en nalevingsmodule.
6. Nadat de agent op de clientmachine is geïnstalleerd, zoekt hij automatisch naar ISE met sondes. Wanneer ISE met succes is gedetecteerd, worden de houdingsvereisten gecontroleerd op het eindpunt. In dit voorbeeld controleert de agent op geïnstalleerde anti-malware software. Vervolgens stuurt het een postuur verslag naar de ISE.
7. Wanneer ISE het postuur rapport van de agent ontvangt, verandert ISE Positie Status voor deze sessie en activeert RADIUS CoA type Push met nieuwe eigenschappen. Ditmaal is de status van de houding bekend en wordt er een andere regel geraakt.
- Als de gebruiker volgzaam is, dan wordt een DACL naam die volledige toegang toelaat verzonden.
- Als de gebruiker niet-compatibel is, wordt een DACL-naam die beperkte toegang toestaat verzonden.
8. Het FTD verwijdert de omleiding. FTD stuurt een toegangsaanvraag om DACL van de ISE te downloaden. De specifieke DACL is gekoppeld aan de VPN-sessie.
Configuraties
FTD/FMC
Stap 1. Maak een netwerkobjectgroep voor ISE- en herstelservers (indien aanwezig). Ga naar Objecten > Objectbeheer > Netwerk.

Stap 2. Maak omleiding van ACL. Navigeer naar Objecten > Objectbeheer > Toegangslijst > Uitgebreid. Klik op Uitgebreide toegangslijst toevoegen en geef de naam op van ACL-omleiding. Deze naam moet dezelfde zijn als in het resultaat van de ISE-autorisatie.

Stap 3. Voeg ACL-vermeldingen toe om te leiden. Klik op de knop Toevoegen. Blokkeer verkeer naar DNS, ISE en de herstelservers om deze uit te sluiten van omleiding. Laat de rest van het verkeer toe, dit activeert omleiding (ACL-vermeldingen kunnen specifieker zijn indien nodig).


Stap 4. Voeg ISE-PSN-knooppunten toe. Ga naar Objecten > Objectbeheer > RADIUS-servergroep. Klik op RADIUS-servergroep toevoegen, geef de naam op, schakel alle selectievakjes in en klik op het pictogram plus.

Stap 5. Voer in het geopende venster ISE-PSN IP-adres, RADIUS-sleutel in, selecteer Specific Interface en selecteer de interface vanwaar ISE bereikbaar is (deze interface wordt gebruikt als bron van RADIUS-verkeer) en selecteer vervolgens ACL-omleiding die eerder is geconfigureerd.

Stap 6. Maak een adrespool voor VPN-gebruikers. Ga naar Objecten > Objectbeheer > Adrespools > IPv4-pools. Klik op IPv4-pools toevoegen en vul de gegevens in.

Stap 7. Maak een AnyConnect-pakket. Navigeer naar Objecten > Objectbeheer > VPN > AnyConnect File. Klik op Add AnyConnect File, geef de pakketnaam op, download het pakket van Cisco Software Download en selecteer AnyConnect Client Image File Type.

Stap 8. Navigeer naar certificaatobjecten > Objectbeheer > PKI > Cert-inschrijving. Klik op Add Cert Inschrijving, geef naam op en kies Self Signed Certificate in Inschrijftype. Klik op het tabblad Certificaatparameters en geef de GN op.


Stap 9. Start de wizard Externe toegang tot VPN. Navigeer naar Apparaten > VPN > Externe toegang en klik op Toevoegen.

Stap 10. Geef de naam, controleer SSL als VPN Protocol, kies FTD die wordt gebruikt als VPN concentrator en klik op Volgende.

Stap 1. Geef de naam van het verbindingsprofiel op, selecteer Verificatie-/boekhoudservers, selecteer de adrespool die eerder is geconfigureerd en klik op Volgende.
Opmerking: Selecteer niet de autorisatieserver. Het brengt twee toegangsaanvragen voor één gebruiker (eenmaal met het gebruikerswachtwoord en de tweede keer met wachtwoord cisco).

Stap 12. Selecteer het AnyConnect-pakket dat eerder is geconfigureerd en klik op Volgende.

Stap 13. Selecteer de interface waarvan VPN-verkeer wordt verwacht, selecteer Certificaatinschrijving die eerder is geconfigureerd en klik op Volgende.

Stap 14. Controleer de overzichtspagina en klik op Voltooien.

Stap 15. Stel configuratie in op FTD. Klik op Implementeren en selecteer FTD die wordt gebruikt als VPN-concentrator.

ISE
Stap 1. Start de aanpassingsupdates. Ga naar Beheer > Systeem > Instellingen > Houding > Updates.

Stap 2. Module voor naleving van uploadstatus. Ga naar Beleid > Beleidselementen > Resultaten > Clientprovisioning > Resources. Klik op Add en selecteer Agent resources vanaf Cisco-site

Stap 3. Download AnyConnect van Cisco Software Download en upload het vervolgens naar ISE. Ga naar Beleid > Beleidselementen > Resultaten > Clientprovisioning > Resources.
Klik op Add en selecteer Agent Resources from Local Disk. Kies Cisco Provided Packages onder Category, selecteer AnyConnect-pakket op de lokale schijf en klik op Indienen.

Stap 4. Maak een AnyConnect-poortprofiel. Ga naar Beleid > Beleidselementen > Resultaten > Clientprovisioning > Resources.
Klik op Add en selecteer AnyConnect Posture Profile. Vul de naam en het Posture Protocol in.
Onder *Server naam regels zet * en zet een dummy IP-adres onder Discovery host.


Stap 5. Navigeer naar Policy > Policy Elements > Results > Client Provisioning > Resources en creëer AnyConnect Configuration. Klik op Add en selecteer AnyConnect Configuration. Selecteer AnyConnect-pakket, geef de configuratienaam op, selecteer compliancemodule, controleer het diagnostische en rapportageprogramma, selecteer Profiel houding en klik op Opslaan.

Stap 6. Navigeer naar Beleid > Clientprovisioning en voer een clientprovisioningbeleid in. Klik op Bewerken en selecteer vervolgens Regel invoegen hierboven, geef naam op, selecteer het besturingssysteem en kies AnyConnect Configuration die in de vorige stap is gemaakt.

Stap 7. Maak een houding aan onder Beleid > Beleidselementen > Voorwaarden > Houding > Anti-Malware Conditie. In dit voorbeeld, wordt "ANY_am_win_inst" vooraf gedefinieerd.
.

Stap 8. Navigeer naar Policy > Policy Elements > Results > Posture > Remediation Actions en creëer Posture Remediation. In dit voorbeeld wordt het overgeslagen. Oplossingsactie kan een tekstbericht zijn.
Stap 9. Navigeer naar Policy > Policy Elements > Results > Posture > Requirements en creëer Posture Requirements. Vooraf gedefinieerde vereiste Any_AM_Installatie_Win wordt gebruikt.

Stap 10. Maak een posteriebeleid onder Beleid > Posterijen. Standaard posterbeleid voor alle AntiMalware Check voor Windows OS wordt gebruikt.

Stap 1. Navigeer naar Beleid > Beleidselementen > Resultaten > Vergunning > Downloadbare ACLS en maak DACL's voor verschillende postuur-statussen.
In dit voorbeeld:
- Posture Unknown DACL - maakt verkeer mogelijk naar DNS-, PSN- en HTTP- en HTTPS-verkeer.
- Posture NonCompliant DACL - ontzegt toegang tot Private Subnets en staat alleen internetverkeer toe.
- Laat Alle DACL toe - staat al verkeer voor Posture Volgzame Status toe.



Stap 12. Maak drie autorisatieprofielen voor de status Onbekend, niet-conform en niet-conform. Hiervoor bladert u naar Policy > Policy Elements > Results > Authorisation > Authorisation Profiles. Selecteer in het profiel Onbekend maken de optie Onbekend DACL, controleer webomleiding, selecteer Client Provisioning, geef Redirect ACL-naam (dat is ingesteld op FTD) en selecteer de portal.



Selecteer in het profiel Posture NonCompliant DACL om de toegang tot het netwerk te beperken.


Selecteer in het profiel Posture Compliant DACL om volledige toegang tot het netwerk mogelijk te maken.


Stap 13. Maak een autorisatiebeleid aan onder Beleid > Beleidssets > Standaard > Autorisatiebeleid. Als conditie Positie Status en VNP TunnelGroup Naam wordt gebruikt.

Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
Op ISE is de eerste verificatiestap RADIUS Live Log. Navigeer naar Operations > RADIUS Live Log. Hier is de gebruiker Alice verbonden en wordt het verwachte autorisatiebeleid geselecteerd.

Het FTD-VPN-Posture-Unknown autorisatiebeleid wordt gematched en als gevolg daarvan wordt het FTD-VPN-Profiel naar FTD verzonden.

Houdbaarheid status in behandeling.

De sectie Resultaat toont welke eigenschappen naar FTD worden verzonden.

Op FTD, om de verbinding van VPN te verifiëren, SSH aan het vakje, voer systeemsteun kenmerkend-cli uit en toon dan vpn-sessiondb detail om het even welk verbinden. Van deze output, verifieer dat de attributen die van ISE worden verzonden voor deze VPN zitting worden toegepast.
fyusifov-ftd-64# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : alice@training.example.com
Index : 12
Assigned IP : 172.16.1.10 Public IP : 10.229.16.169
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 15326 Bytes Rx : 13362
Pkts Tx : 10 Pkts Rx : 49
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy Tunnel Group : EmployeeVPN
Login Time : 07:13:30 UTC Mon Feb 3 2020
Duration : 0h:06m:43s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 000000000000c0005e37c81a
Security Grp : none Tunnel Zone : 0
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 12.1
Public IP : 10.229.16.169
Encryption : none Hashing : none
TCP Src Port : 56491 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes
Client OS : win
Client OS Ver: 10.0.18363
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076
Bytes Tx : 7663 Bytes Rx : 0
Pkts Tx : 5 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 12.2
Assigned IP : 172.16.1.10 Public IP : 10.229.16.169
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 56495
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076
Bytes Tx : 7663 Bytes Rx : 592
Pkts Tx : 5 Pkts Rx : 7
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PostureUnknown-5e37414d
DTLS-Tunnel:
Tunnel ID : 12.3
Assigned IP : 172.16.1.10 Public IP : 10.229.16.169
Encryption : AES256 Hashing : SHA1
Ciphersuite : DHE-RSA-AES256-SHA
Encapsulation: DTLSv1.0 UDP Src Port : 59396
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076
Bytes Tx : 0 Bytes Rx : 12770
Pkts Tx : 0 Pkts Rx : 42
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PostureUnknown-5e37414d
ISE Posture:
Redirect URL : https://fyusifov-26-3.example.com:8443/portal/gateway?sessionId=000000000000c0005e37c81a&portal=27b1bc...
Redirect ACL : fyusifovredirect
fyusifov-ftd-64#
Het beleid voor clientprovisioning kan worden geverifieerd. Ga naar Operations > Rapporten > Endpoints en gebruikers > Clientprovisioning.

Het rapport van de houding dat van AnyConnect wordt verzonden kan worden gecontroleerd. Ga naar Operations > Rapporten > Eindpunten en gebruikers > Posture Assessment by Endpoint.

Klik op Details om meer details te zien in het poortrapport.



Nadat het rapport is ontvangen op ISE, wordt de postuur status bijgewerkt. In dit voorbeeld is de postuur status compatibel en CoA Push wordt geactiveerd met een nieuwe reeks kenmerken.



Controleer op FTD dat nieuwe Redirect ACL en Redirect URL worden verwijderd voor VPN-sessie en PermitAll DACL wordt toegepast.
fyusifov-ftd-64# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : alice@training.example.com
Index : 14
Assigned IP : 172.16.1.10 Public IP : 10.55.218.19
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 53990 Bytes Rx : 23808
Pkts Tx : 73 Pkts Rx : 120
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy Tunnel Group : EmployeeVPN
Login Time : 16:58:26 UTC Mon Feb 3 2020
Duration : 0h:02m:24s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 000000000000e0005e385132
Security Grp : none Tunnel Zone : 0
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 14.1
Public IP : 10.55.218.19
Encryption : none Hashing : none
TCP Src Port : 51965 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
Client OS : win
Client OS Ver: 10.0.18363
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076
Bytes Tx : 7663 Bytes Rx : 0
Pkts Tx : 5 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 14.2
Assigned IP : 172.16.1.10 Public IP : 10.55.218.19
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 51970
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076
Bytes Tx : 7715 Bytes Rx : 10157
Pkts Tx : 6 Pkts Rx : 33
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PermitAll-5e384dc0
DTLS-Tunnel:
Tunnel ID : 14.3
Assigned IP : 172.16.1.10 Public IP : 10.55.218.19
Encryption : AES256 Hashing : SHA1
Ciphersuite : DHE-RSA-AES256-SHA
Encapsulation: DTLSv1.0 UDP Src Port : 51536
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076
Bytes Tx : 38612 Bytes Rx : 13651
Pkts Tx : 62 Pkts Rx : 87
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : #ACSACL#-IP-PermitAll-5e384dc0
fyusifov-ftd-64#
Problemen oplossen
Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.
Controleer deze link voor een gedetailleerde postenstroom en voor het oplossen van problemen met AnyConnect en ISE: ISE-poortstijlvergelijking voor Pre en Post 2.2.
Een van de meest voorkomende problemen, wanneer er een spit tunnel is ingesteld. In dit voorbeeld wordt standaard groepsbeleid gebruikt, dat alle verkeer tunnelt. In het geval dat alleen het specifieke verkeer wordt getunneld, dan moeten AnyConnect-sondes (enroll.cisco.com en discovery host) door de tunnel gaan, naast het verkeer naar ISE en andere interne bronnen.
Om het tunnelbeleid op FMC te controleren, controleer eerst welk groepsbeleid wordt gebruikt voor VPN-verbinding. Navigeer naar Apparaten > VPN Remote Access.

Ga vervolgens naar Objecten > Objectbeheer > VPN > Groepsbeleid en klik op Groepsbeleid geconfigureerd voor VPN.

Een ander veelvoorkomend probleem is wanneer het retourverkeer van VPN-gebruikers wordt vertaald met het gebruik van een onjuiste NAT-ingang. Om dit probleem op te lossen, moet Identity NAT in een juiste volgorde worden gemaakt.
Controleer eerst NAT-regels voor dit apparaat. Navigeer naar Apparaten > NAT en klik vervolgens op Regel toevoegen om een nieuwe regel te maken.

Selecteer in het geopende venster op het tabblad Interfaceobjecten de optie Beveiligingszones. In dit voorbeeld, wordt de NAT ingang gemaakt van streek-BINNENKANT aan streek-buitenkant.

Selecteer onder het tabblad Vertaling de optie oorspronkelijke en vertaalde pakketdetails. Aangezien het Identity NAT is, worden de bron en de bestemming onveranderd gehouden:

Schakel in het tabblad Geavanceerd de selectievakjes in zoals in deze afbeelding:
