Guia de implantação de políticas de acesso dinâmico (DAP) ASA 8.x

Introduction

Os gateways VPN (Virtual Private Network) operam em ambientes dinâmicos. Várias variáveis podem afetar cada conexão VPN; por exemplo, as configurações de intranet que mudam com frequência, as várias funções que cada usuário pode habitar em uma organização e os logins de sites de acesso remoto com configurações e níveis de segurança diferentes. A tarefa de autorizar usuários é muito mais complicada em um ambiente VPN dinâmico do que em uma rede com uma configuração estática.

O DAP (Dynamic Access Policies, Políticas de Acesso Dinâmico), um novo recurso introduzido no código da versão de software v8.0 do ASA (Adaptive Security Appliance, Dispositivo de Segurança Adaptiva), permite que você configure a autorização que lida com a dinâmica dos ambientes VPN. Você cria uma política de acesso dinâmico definindo uma coleção de atributos de controle de acesso que você associa a um túnel ou sessão de usuário específico. Esses atributos tratam de problemas de associação a vários grupos e segurança de endpoint.

Por exemplo, o Security Appliance concede acesso a um usuário específico para uma sessão específica com base nas políticas que você define. Ele gera um DAP durante a autenticação do usuário selecionando e/ou agregando atributos de um ou mais registros de DAP. Ele seleciona esses registros de DAP com base nas informações de segurança do ponto de extremidade do dispositivo remoto e/ou nas informações de autorização de AAA para o usuário autenticado. Em seguida, aplica o registro DAP ao túnel ou sessão do usuário.

Observação: o arquivo dap.xml, que contém os atributos de seleção de políticas DAP, é armazenado na memória flash do ASA. Embora você possa exportar o arquivo dap.xml off-box, editá-lo (se você souber sobre a sintaxe xml) e importá-lo novamente, tenha muito cuidado, pois você pode fazer com que o ASDM pare de processar registros DAP se tiver configurado algo incorretamente. Não há CLI para manipular esta parte da configuração.

Observação: tentar configurar os parâmetros de acesso dinâmico-acesso-política-registro através da CLI pode fazer com que o DAP pare de funcionar, embora o ASDM gerencie corretamente o mesmo. Evite a CLI e sempre use o ASDM para gerenciar políticas de DAP.

Atributos DAP e AAA

O DAP complementa os serviços AAA e fornece um conjunto limitado de atributos de autorização que podem substituir atributos fornecidos pela AAA. O Security Appliance pode selecionar registros de DAP com base nas informações de autorização de AAA para o usuário. O Security Appliance pode selecionar vários registros de DAP dependendo dessas informações, que depois agrega para atribuir atributos de autorização de DAP.

Você pode especificar atributos AAA da hierarquia de atributos do Cisco AAA ou do conjunto completo de atributos de resposta que o Security Appliance recebe de um servidor RADIUS ou LDAP, como mostrado na Figura 1.

Figura 1. GUI do atributo AAA do DAP

Atributos de segurança de DAP e endpoint

Além dos atributos AAA, o Security Appliance também pode obter atributos de segurança de endpoint usando métodos de avaliação de postura configurados. Eles incluem verificação básica de host, desktop seguro, avaliação de endpoint padrão/avançado e NAC, como mostrado na Figura 2. Os atributos de avaliação de endpoint são obtidos e enviados ao dispositivo de segurança antes da autenticação do usuário. No entanto, os atributos AAA, incluindo o registro DAP geral, são validados durante a autenticação do usuário.

Figura 2. GUI do atributo de endpoint

Política de acesso dinâmico padrão

Antes da introdução e implementação do DAP, os pares de atributo/valor da política de acesso associados a um túnel ou sessão de usuário específico foram definidos localmente no ASA, ou seja, (Grupos de Túnel e Políticas de Grupo) ou mapeados através de servidores AAA externos. No entanto, na versão v8.0, o DAP pode ser configurado para complementar ou substituir as políticas de acesso local e externo.

O DAP é sempre aplicado por padrão. No entanto, para administradores que preferem o método de aplicação de política legada, por exemplo, a imposição do controle de acesso através de Grupos de Túnel, Políticas de Grupo e AAA sem a aplicação explícita do DAP ainda pode obter esse comportamento. Para comportamento legado, nenhuma alteração de configuração no recurso DAP, incluindo o registro DAP padrão, DfltAccessPolicy, é necessária, como mostrado na Figura 3.

Figura 3. Política de acesso dinâmico padrão

No entanto, se algum dos valores padrão em um registro DAP for alterado, por exemplo, a Ação: O parâmetro na DfltAccessPolicy é alterado do seu valor padrão para Terminar e os registros DAP adicionais não estão configurados, os utilizadores autenticados, por predefinição, corresponderão ao registro DAP DfltAccessPolicy e o acesso VPN será negado.

Consequentemente, um ou mais registros DAP precisarão ser criados e configurados para autorizar a conectividade VPN e definir quais recursos de rede um usuário autenticado está autorizado a acessar. Assim, o DAP, se configurado, terá precedência sobre a aplicação de políticas legadas.

Configurando políticas de acesso dinâmico

Ao usar o DAP para definir a que recursos de rede um usuário tem acesso, há muitos parâmetros a considerar. Por exemplo, identificar se o endpoint de conexão vem de um ambiente gerenciado, não gerenciado ou não confiável, determinar os critérios de seleção necessários para identificar o endpoint de conexão e com base na avaliação de endpoint e/ou em credenciais AAA, quais recursos de rede o usuário de conexão será autorizado a acessar. Para fazer isso, você primeiro precisará se familiarizar com os recursos e funções do DAP, como mostrado na Figura 4.

Figura 4. Política de acesso dinâmico

Ao configurar um registro DAP, há dois componentes principais a serem considerados:

• Critérios de seleção incluindo opções avançadas

• Atributos da política de acesso

A seção Critérios de seleção é onde um administrador configuraria os atributos AAA e Endpoint usados para selecionar um registro DAP específico. Um registro de DAP é usado quando os atributos de autorização de um usuário correspondem aos critérios de atributo de AAA e cada atributo de endpoint foi satisfeito.

Por exemplo, se o tipo de atributo AAA: O LDAP (Ative Diretory) está selecionado, a cadeia de caracteres Nome do atributo é membroDe e a cadeia de caracteres Valor é Contratante, como mostrado na Figura 5a, o usuário autenticador deve ser um membro do grupo Contratante do Ative Diretory para corresponder aos critérios de atributo AAA.

Além de satisfazer os critérios de atributos AAA, o usuário autenticador também será obrigado a satisfazer os critérios de atributo de ponto final. Por exemplo, se o administrador configurou o Cisco Secure Desktop (CSD) para determinar a postura do endpoint de conexão e, com base nessa avaliação de postura, o endpoint foi colocado no local do CSD não gerenciado, o administrador poderá usar essas informações de avaliação como critérios de seleção para o atributo de endpoint mostrado na Figura 5b.

Figura 5a. Critérios de atributo AAA

Figura 5b. Critérios de atributo de endpoint

Assim, para corresponder ao registro DAP mostrado na Figura 6, o usuário autenticador deve ser um membro do grupo do Ative Diretory do Contratante e seu ponto de extremidade conectado deve satisfazer o valor da política de CSD "Inalterado", para receber o registro de DAP.

Figura 6. Correspondência de critérios de atributos de AAA e de endpoint

Os atributos AAA e Endpoint podem ser criados usando as tabelas descritas na Figura 6 e/ou expandindo a opção Avançado para especificar uma expressão lógica como mostrado na Figura 7. Atualmente, a expressão lógica é construída com funções EVAL, por exemplo, EVAL (endpoint.av.McAfeeAV.exists, "EQ", "true", "string") e EVAL (endpoint.av.McAfeeAV.description,"EQ", "McAfee VirusScan Enterprise", "string"), que representam operações lógicas de AAA e/ou de seleção de endpoint.

As expressões lógicas são úteis para adicionar critérios de seleção diferentes do que é possível nas áreas de atributos AAA e endpoint acima. Por exemplo, enquanto você pode configurar os dispositivos de segurança para usar atributos AAA que atendam a qualquer, todos ou nenhum dos critérios especificados, os atributos de endpoint são cumulativos e devem ser satisfeitos. Para permitir que o Security Appliance empregue um atributo de ponto de extremidade ou outro, você precisa criar expressões lógicas apropriadas na seção Avançado do registro DAP.

Figura 7. GUI Logical Expression para criação de atributos avançados

A seção Atributos da política de acesso, como mostrado na Figura 8, é onde um administrador configuraria atributos de acesso VPN para um registro DAP específico. Quando os atributos de autorização de um usuário correspondem aos critérios AAA, Endpoint e/ou Logical Expression; os valores de atributos da política de acesso configurados nesta seção serão aplicados. Os valores de atributos especificados aqui substituirão os valores obtidos do sistema AAA, incluindo os valores em usuários existentes, grupos, grupos de túneis e registros de grupo padrão.

Um registro DAP tem um conjunto limitado de valores de atributo que podem ser configurados. Esses valores estão abaixo das guias a seguir, como mostrado nas Figuras 8 a 14:

Figura 8. Ação — Especifica o processamento especial a ser aplicado a uma conexão ou sessão específica.

• Continuar—(padrão) Clique para aplicar os atributos da política de acesso à sessão.

• Terminar — Clique para encerrar a sessão.

• Mensagem do usuário—Insira uma mensagem de texto a ser exibida na página do portal quando esse registro DAP estiver selecionado. Máximo de 128 caracteres. Uma mensagem de usuário é exibida como uma órbita amarela. Quando um usuário faz logon, ele pisca três vezes para atrair atenção e, em seguida, continua a piscar. Se vários registros DAP forem selecionados e cada um deles tiver uma mensagem de usuário, todas as mensagens de usuário serão exibidas. Além disso, você pode incluir nessas mensagens URLs ou outro texto incorporado, que exigem que você use as tags HTML corretas.

Figura 9. Guia Filtros da ACL de rede—Permite que você selecione e configure ACLs de rede para aplicar a este registro DAP. Uma ACL para DAP pode conter regras de permissão ou negação, mas não ambas. Se uma ACL contiver regras de permissão e negação, o Security Appliance rejeitará a configuração da ACL.

• Caixa suspensa ACL de rede—Selecione ACLs de rede já configuradas para adicionar a esse registro DAP. Somente ACLs com todas as regras de permissão ou negação são qualificadas, e essas são as únicas ACLs exibidas aqui.

• Gerenciar—Clique para adicionar, editar e excluir ACLs de rede.

• Lista de ACLs de rede—Exibe as ACLs de rede para esse registro de DAP.

• Adicionar—Clique para adicionar a ACL de rede selecionada da caixa suspensa à lista ACLs de rede à direita.

• Excluir—Clique para excluir uma ACL de rede realçada da lista de ACLs de rede. Não é possível excluir uma ACL se ela estiver atribuída a um DAP ou outro registro.

Figura 10. Guia Filtros da ACL do tipo Web—Permite selecionar e configurar ACLs do tipo Web para aplicar a este registro DAP. Uma ACL para DAP pode conter somente regras de permissão ou negação. Se uma ACL contiver regras de permissão e negação, o Security Appliance rejeitará a configuração da ACL.

• Caixa suspensa ACL do tipo Web — Selecione ACLs do tipo Web já configuradas para adicionar a esse registro DAP. Somente ACLs com todas as regras de permissão ou negação são qualificadas, e essas são as únicas ACLs exibidas aqui.

• Gerenciar... —Clique para adicionar, editar e excluir ACLs do tipo Web.

• Lista de ACLs do tipo Web — Exibe as ACLs do tipo Web para este registro de DAP.

• Add — Clique para adicionar a ACL do tipo Web selecionada na caixa suspensa à lista de ACLs do tipo Web à direita.

• Delete — Clique para excluir uma ACL do tipo Web da lista de ACLs do tipo Web. Não é possível excluir uma ACL se ela estiver atribuída a um DAP ou outro registro.

Figura 11. Guia Funções—Permite configurar a entrada e a navegação do servidor de arquivos, o proxy HTTP e a entrada de URL para o registro DAP.

• Navegação no servidor de arquivos—Ativa ou desativa a navegação do CIFS para servidores de arquivos ou recursos de compartilhamento.

• Entrada do servidor de arquivos—Permite ou nega que um usuário insira caminhos e nomes do servidor de arquivos na página do portal. Quando ativada, coloca a alça de entrada do servidor de arquivos na página do portal. Os usuários podem inserir nomes de caminho para arquivos do Windows diretamente. Eles podem baixar, editar, excluir, renomear e mover arquivos. Eles também podem adicionar arquivos e pastas. Os compartilhamentos também devem ser configurados para acesso de usuário nos servidores Microsoft Windows aplicáveis. Os usuários podem precisar ser autenticados antes de acessar arquivos, dependendo dos requisitos de rede.

• Proxy HTTP—Afeta o encaminhamento de um applet proxy HTTP para o cliente. O proxy é útil para tecnologias que interferem na transformação de conteúdo adequada, como Java, AtiveX e Flash. Ele ignora o processo de gerenciamento/regravação enquanto garante o uso contínuo do dispositivo de segurança. O proxy encaminhado modifica automaticamente a antiga configuração de proxy do navegador e redireciona todas as solicitações HTTP e HTTPS para a nova configuração de proxy. Suporta praticamente todas as tecnologias do cliente, incluindo HTML, CSS, JavaScript, VBScript, AtiveX e Java. O único navegador compatível é o Microsoft Internet Explorer.

• Entrada de URL—Permite ou impede que um usuário digite URLs HTTP/HTTPS na página do portal. Se esse recurso estiver ativado, os usuários poderão inserir endereços da Web na caixa de entrada de URL e usar VPN SSL sem cliente para acessar esses sites.

• Inalterado—(padrão) Clique para usar valores da política de grupo que se aplica a esta sessão.

• Habilitar/Desabilitar—Clique para habilitar ou desabilitar o recurso.

• Início automático—Clique para ativar o proxy HTTP e para que o registro DAP inicie automaticamente os miniaplicativos associados a esses recursos.

Figura 12. Guia Listas de encaminhamento de portas — Permite selecionar e configurar listas de encaminhamento de portas para sessões de usuário.

• Encaminhamento de portas—Selecione uma opção para as listas de encaminhamento de portas que se aplicam a esse registro DAP. Os outros atributos neste campo são ativados somente quando você define Port Forwarding como Enable (Ativar encaminhamento de portas) ou Auto start (Iniciar automaticamente).

• Inalterado— Clique para usar valores da política de grupo que se aplica a esta sessão.

• Habilitar/Desabilitar—Clique para habilitar ou desabilitar o encaminhamento de portas.

• Início automático—Clique para ativar o encaminhamento de portas e para que o registro DAP inicie automaticamente os miniaplicativos de encaminhamento de portas associados às suas listas de encaminhamento de portas.

• Caixa suspensa Lista de encaminhamento de portas—Selecione listas de encaminhamento de portas já configuradas para adicionar ao registro DAP.

• Novo—Clique para configurar novas listas de encaminhamento de portas.

• Listas de encaminhamento de portas—Exibe a lista de encaminhamento de portas para o registro DAP.

• Adicionar—Clique para adicionar a lista de encaminhamento de portas selecionada da caixa suspensa à lista de encaminhamento de portas à direita.

• Excluir—Clique para excluir a lista de encaminhamento de portas selecionada da lista de encaminhamento de portas. Não é possível excluir uma ACL se ela estiver atribuída a um DAP ou outro registro.

Figura 13. Guia Favoritos—Permite selecionar e configurar marcadores/listas de URL para sessões de usuário.

• Ativar marcadores—Clique para ativar. quando esta caixa não está selecionada, nenhuma lista de favoritos é exibida na página do portal da conexão

• Gerenciar—Clique para adicionar, importar, exportar e excluir listas de favoritos.

• Listas de marcadores (lista suspensa) — Exibe as listas de marcadores para o registro DAP.

• Adicionar — Clique para adicionar a lista de favoritos selecionada da caixa suspensa à caixa de listagem de favoritos à direita.

• Excluir—Clique para excluir a lista de favoritos selecionada da caixa de lista de favoritos. Não é possível excluir uma lista de favoritos do Security Appliance a menos que você a exclua dos registros DAP.

Figura 14. Guia Método—Permite configurar o tipo de acesso remoto permitido.

• Inalterado — Continue com o método de acesso remoto atual definido na política de grupo da sessão.

• AnyConnect Client — Conecte-se usando o Cisco AnyConnect VPN Client.

• Portal da Web—Conecte-se com VPN sem cliente.

• Portal da Web padrão — Conecte-se via cliente ou cliente AnyConnect, com um padrão de cliente sem cliente.

• Tanto o AnyConnect Client padrão como o AnyConnect Client se conectam por meio do cliente sem cliente ou do AnyConnect, com um padrão do AnyConnect.

Como mencionado anteriormente, um registro DAP tem um conjunto limitado de valores de atributo padrão, somente se forem modificados eles terão precedência sobre AAA, usuário, grupo, grupo de túneis e registros de grupo padrão existentes. Se forem necessários valores de atributo adicionais fora do escopo do DAP, por exemplo, Listas de túneis divididos, Banners, Túneis inteligentes, Personalizações do portal, ...etc., então precisarão ser aplicados através de AAA, usuário, grupo, grupo de túneis e registros de grupo padrão. Nesse caso, esses valores de atributo específicos complementarão o DAP e não substituirão. Assim, o usuário obterá um conjunto cumulativo de valores de atributo em todos os registros.

Agregação de várias políticas de acesso dinâmico

Um administrador pode configurar vários registros DAP para endereçar muitas variáveis. Como resultado, é possível que um usuário de autenticação atenda aos critérios de atributos AAA e Endpoint de vários registros DAP. Consequentemente, os atributos da política de acesso serão consistentes ou entram em conflito em todas essas políticas. Nesse caso, o usuário autorizado obterá o resultado cumulativo em todos os registros DAP correspondentes.

Isso também inclui valores de atributos exclusivos impostos por autenticação, autorização, usuário, grupo, grupo de túneis e registros de grupo padrão. O resultado cumulativo de Atributos da política de acesso cria a política de acesso dinâmico. Exemplos de atributos de política de acesso combinados estão listados nas tabelas abaixo. Esses exemplos descrevem os resultados de 3 registros DAP combinados.

O atributo de ação mostrado na Tabela 1 tem um valor que é Terminar ou Continuar. O valor do atributo agregado será Terminar se o valor Terminar estiver configurado em qualquer um dos registros DAP selecionados e Continuar se o valor Continuar estiver configurado em todos os registros DAP selecionados.

Tabela 1. Atributo de Ação

Nome do atributo	DAP#1	DAP#2	DAP#3	DAP
Ação (Exemplo 1)	continuar	continuar	continuar	continuar
Ação (Exemplo 2)	Terminar	continuar	continuar	terminar

O atributo user-message mostrado na Tabela 2 contém um valor de string. O valor do atributo agregado será uma string separada por feed de linha (valor hexadecimal 0x0A) criada ao vincular os valores do atributo dos registros DAP selecionados. A ordenação dos valores de atributo na cadeia combinada é insignificante.

Tabela 2. Atributo de mensagem de usuário

Nome do atributo	DAP#1	DAP#2	DAP#3	DAP
mensagem de usuário	o	raposa-marrom	Pule sobre	a raposa <LF>marrom<LF>pula sobre

Os atributos de ativação do recurso sem cliente (Funções) mostrados na Tabela 3 contêm valores que são Início automático, Habilitar ou Desabilitar. O valor do atributo agregado será Início automático se o valor de Início automático estiver configurado em qualquer um dos registros DAP selecionados.

O valor do atributo agregado será Ativado se não houver nenhum valor de início automático configurado em qualquer um dos registros DAP selecionados e o valor Ativar estiver configurado em pelo menos um dos registros DAP selecionados.

O valor do atributo agregado será Desabilitado se não houver um valor de Início automático ou Habilitar configurado em qualquer um dos registros DAP selecionados, e o valor de "desabilitar" será configurado em pelo menos um dos registros DAP selecionados.

Tabela 3. Atributos de ativação do recurso sem cliente (funções)

Nome do atributo	DAP#1	DAP#2	DAP#3	DAP
port-forward	enable	disable		enable
navegação de arquivos	disable	enable	disable	enable
entrada de arquivo			disable	disable
http-proxy	disable	início automático	disable	início automático
entrada de url	disable		enable	enable

Os atributos url-list e port-forward mostrados na Tabela 4 contêm um valor que é uma string ou uma string separada por vírgulas. O valor do atributo agregado será uma cadeia separada por vírgulas criada ao vincular os valores do atributo dos registros DAP selecionados. Qualquer valor de atributo duplicado na cadeia combinada será removido. A ordenação dos valores dos atributos na cadeia combinada é insignificante.

Tabela 4. Lista de URLs e atributo de lista de encaminhamento de porta

Nome do atributo	DAP#1	DAP#3	DAP#3	DAP
url-list	a	b,c	a	a, b, c
port-forward		d,e	e,f	d,e,f

Os atributos do Método de Acesso especificam o método de acesso do cliente permitido para conexões VPN SSL. O método de acesso do cliente pode ser somente acesso do AnyConnect Client, acesso somente ao portal Web, acesso do AnyConnect Client ou do portal Web com acesso ao portal Web como padrão ou acesso do AnyConnect Client ou do portal Web com acesso do AnyConnect Client como padrão. O valor dos atributos agregados é resumido no quadro 5.

Tabela 5. Atributos do método de acesso

Valores de atributo selecionados				Resultado da agregação
Cliente AnyConnect	Portal da Web	Portal Web padrão	Cliente AnyConnect ambos padrão
			X	Cliente AnyConnect ambos padrão
		X		Portal da Web padrão
		X	X	Portal da Web padrão
	X			Portal da Web
	X		X	Cliente AnyConnect ambos padrão
	X	X		Portal da Web padrão
	X	X	X	Portal da Web padrão
X				Cliente AnyConnect
X			X	Cliente AnyConnect ambos padrão
X		X		Portal da Web padrão
X		X	X	Portal da Web padrão
X	X			Portal da Web padrão
X	X		X	Cliente AnyConnect ambos padrão
X	X	X		Portal da Web padrão
X	X	X	X	Portal da Web padrão

Ao agregar atributos de filtro de ACL de rede (Firewall) e tipo da Web (sem cliente), a prioridade de DAP e a ACL de DAP são dois componentes principais a serem considerados.

O atributo Priority (Prioridade) como mostrado na Figura 15 não é agregado. O Security Appliance usa esse valor para sequenciar logicamente as listas de acesso ao agregar as ACLs de Rede e Tipo Web de vários registros DAP. O Security Appliance pede os registros do número de prioridade mais alto para o mais baixo, com o mais baixo na parte inferior da tabela. Por exemplo, um registro DAP com um valor de 4 tem uma prioridade mais alta do que um registro com um valor de 2. Não é possível classificá-los manualmente.

Figura 15. Priority — Exibe a prioridade do registro DAP.

• Nome da política — Exibe o nome do registro DAP.

• Descrição — Descreve a finalidade do registro DAP.

O atributo de ACL do DAP suporta apenas listas de acesso que estão em conformidade com um modelo de ACL estrito "White-List" ou "Black-List". Em um modelo de ACL "lista branca", as entradas da lista de acesso especificam regras que "permitem" o acesso a redes ou hosts especificados. Em um modo de ACL da "lista negra", as entradas da lista de acesso especificam regras que "negam" o acesso a redes ou hosts especificados. Uma lista de acesso não conforme contém entradas da lista de acesso com uma mistura de regras "Permitir" e "Negar". Se uma lista de acesso não conforme for configurada para um registro DAP, ela será rejeitada como um erro de configuração quando o administrador tentar adicionar o registro. Se uma lista de acesso em conformidade for atribuída a um registro DAP, qualquer modificação na lista de acesso que altere a característica de conformidade será rejeitada como um erro de configuração.

Figura 16. DAP ACL— Permite selecionar e configurar ACLs de rede para aplicar a este registro DAP.

Quando vários registros de DAP são selecionados, os atributos de listas de acesso especificados na ACL de rede (firewall) são agregados para criar uma lista de acesso dinâmica para a ACL de firewall de DAP. Da mesma forma, os atributos das listas de acesso especificados na ACL do tipo Web (sem cliente) são agregados para criar uma lista de acesso dinâmica para a ACL sem cliente DAP. O exemplo abaixo se concentrará em como uma lista de acesso dinâmica do firewall de DAP é criada especificamente. No entanto, uma lista de acesso sem cliente DAP dinâmica seguirá o mesmo processo.

Primeiro, o ASA criará dinamicamente um nome exclusivo para a Rede-ACL do DAP, como mostrado na Tabela 6.

Tabela 6. Nome da ACL de rede DAP dinâmica

Nome da ACL de rede do DAP
DAP-Network-ACL-X (onde X é um número inteiro que será incrementado para garantir a exclusividade)

Segundo, o ASA recuperará o atributo Network-ACL dos registros DAP selecionados, como mostrado na Tabela 7.

Tabela 7. ACLs de rede

Registros DAP selecionados	Prioridade	ACLs de rede	Entradas de ACL de rede
DAP 1	1	101 e 102	A ACL 101 tem 4 regras de negação e a ACL 102 tem 4 regras de permissão
DAP 2	2	201 e 202	A ACL 201 tem 3 regras de permissão e a ACL 202 tem 3 regras de negação
DAP 3	2	101 e 102	A ACL 101 tem 4 regras de negação e a ACL 102 tem 4 regras de permissão

Em terceiro lugar, o ASA reordenará as ACLs de rede primeiro pelo número de prioridade do registro do DAP e, em seguida, por Black-List primeiro se o valor de prioridade para 2 ou mais registros de DAP selecionados for o mesmo. Depois disso, o ASA recuperará as entradas da ACL de rede de cada ACL de rede, como mostrado na Tabela 8.

Tabela 8. Prioridade de registro DAP

ACLs de rede	Prioridade	Modelo de lista de acesso branco/preto	Entradas de ACL de rede
101	2	Lista Negra	4 Regras de negação (DDDD)
202	2	Lista Negra	3 Regras de negação (DDD)
102	2	Lista branca	4 Regras de permissão (PPPP)
202	2	Lista branca	3 Regras de permissão (PPP)
101	1	Lista Negra	4 Regras de negação (DDDD)
102	1	Lista branca	4 Regras de permissão (PPPP)

Por fim, o ASA mesclará as entradas da ACL de rede na ACL de rede gerada dinamicamente e retornará o nome da ACL de rede dinâmica como a nova ACL de rede a ser aplicada, como mostrado na Tabela 9.

Tabela 9. Rede DAP dinâmica-ACL

Nome da ACL de rede do DAP	Entrada de ACL de rede
DAP-Network-ACL-1	PPPP PPP DDDD DDD PPP PPP

Implementação de DAP

Há uma série de razões pelas quais um administrador deve considerar a implementação do DAP. Algumas razões subjacentes são quando a avaliação de postura em um endpoint deve ser aplicada e/ou quando atributos de política ou AAA mais granulares devem ser considerados ao autorizar o acesso do usuário aos recursos de rede. No exemplo abaixo, configuraremos o DAP e seus componentes para identificar um endpoint de conexão e autorizar o acesso do usuário a vários recursos de rede.

Caso de teste - Um cliente solicitou uma prova de conceito com os seguintes requisitos de acesso VPN:

• A capacidade de detectar e identificar o ponto de extremidade de um funcionário como Gerenciado ou Não Gerenciado. —Se o endpoint for identificado como gerenciado (PC de trabalho), mas falhar nos requisitos de postura, o acesso ao endpoint deverá ser negado. Por outro lado, se o endpoint do funcionário for identificado como não gerenciado (PC residencial), esse endpoint deverá receber acesso sem cliente.

• A capacidade de invocar a limpeza de cookies de sessão e cache quando uma conexão sem cliente termina.

• A capacidade de detectar e aplicar aplicações em execução nos terminais dos funcionários geridos, como o McAfee AntiVirus. Se o aplicativo não existir, esse endpoint deverá ter o acesso negado.

• A capacidade de usar a autenticação AAA para determinar a que recursos de rede os usuários autorizados devem ter acesso. O Security Appliance deve oferecer suporte à autenticação Native MS LDAP e suportar várias funções de associação a grupos LDAP.

• A capacidade de permitir acesso de LAN local a recursos de rede, como fax e impressoras de rede, quando conectados por uma conexão baseada em "cliente/rede".

• A capacidade de fornecer acesso autorizado de convidado aos empreiteiros. Os contratados e seus endpoints devem ter acesso sem cliente e o acesso ao portal para aplicativos deve ser limitado em comparação ao de um funcionário.

Neste exemplo, executaremos uma série de etapas de configuração em um esforço para atender aos requisitos de acesso VPN do cliente. Haverá etapas de configuração necessárias, mas não diretamente relacionadas ao DAP, enquanto outras configurações estarão diretamente relacionadas ao DAP. O ASA é muito dinâmico e pode se adaptar em muitos ambientes de rede. Como resultado, as soluções VPN podem ser definidas de várias maneiras e, em alguns casos, fornecem a mesma solução final. No entanto, a abordagem adotada é orientada pelas necessidades dos clientes e seus ambientes.

Com base na natureza deste documento e nos requisitos definidos do cliente, usaremos o Adaptive Security Device Manager (ASDM) 6.0(x) e concentraremos a maioria de nossas configurações no DAP. No entanto, também configuraremos as políticas de grupo local para mostrar como o DAP pode complementar e/ou substituir atributos de política local. Com base nesse caso de teste, assumiremos que um grupo de servidores LDAP, a lista de rede de tunelamento dividido e a conectividade IP básica, incluindo grupos IP e o grupo de servidores DNS padrão, estão pré-configurados.

Definição de uma Política de Grupo— essa configuração é necessária para definir Atributos de Política Local. Alguns atributos definidos aqui não são configuráveis no DAP para (por exemplo, Local LAN Access). (Essa política também será usada para definir atributos baseados em cliente e cliente).

Navegue até Configuration > Remote Access VPN > Network (Client) Access > Group Policies e Add a Internal Group Policy fazendo o seguinte:

Figura 17. Política de Grupo — Define Atributos Específicos de VPN Local.

1. No link Geral, configure o nome SSLVPN_GP para a Política de Grupo.

2. Além disso, no link Geral, clique em Mais Opções e configure somente o Protocolo de Tunelamento: SSLVPN sem cliente. (Configuraremos o DAP para substituir e gerenciar o Método de Acesso.)

3. No link Advanced > Split Tunneling, configure o seguinte:

   Figura 18. Split Tunneling — permite que o tráfego especificado (Rede Local) ignore um túnel não criptografado durante uma conexão de Cliente.

   

   1. Política: Desmarque Herdar e selecione Excluir lista de rede abaixo.

   2. Lista de rede: Desmarque Herdar e selecione o nome da lista Local_Lan_Access. (Presumido pré-configurado.)

4. No link Advanced > SSL VPN Client, configure o seguinte:

   Figura 19. SSL VPN Client Installer — Após o encerramento da VPN, o SSL Client pode permanecer no endpoint ou ser desinstalado.

   

5. Manter instalador no sistema cliente: Desmarque Herdar e selecione Sim.

6. Clique em OK e em Aplicar.

7. Aplique suas alterações de configuração.

Definindo um perfil de conexão—essa configuração é necessária para definir nosso método de autenticação AAA, por exemplo, LDAP e aplicar a política de grupo (SSLVPN_GP) configurada anteriormente a esse perfil de conexão. Os usuários que se conectam por meio desse perfil de conexão serão sujeitos aos atributos definidos aqui, bem como aos atributos definidos na política de grupo SSLVPN_GP. (Esse perfil também será usado para definir atributos baseados em cliente e cliente).

Navegue até Configuration > Remote Access VPN > Network (Client) Access >SSL VPN Connection Profiles e configure o seguinte:

Figura 20. Perfil de conexão — Define atributos específicos de VPN local.

1. Na seção Perfis de conexão, Edite o grupo DefaultWEBVPNG e, no link Básico, configure o seguinte:

   1. Autenticação—Método: AAA

   2. Autenticação—Grupo de Servidores AAA: LDAP (suposto pré-configurado)

   3. Atribuição de Endereço do Cliente — Pools de Endereços do Cliente: IP_Pool (suposto pré-configurado)

   4. Política de grupo padrão — Política de grupo: Selecione SSLVPN_GP

2. Aplique suas alterações de configuração.

Definição de uma interface IP para conectividade VPN SSL—Esta configuração é necessária para terminar conexões SSL Cliente e Sem Cliente em uma interface especificada.

Antes de habilitar o acesso de cliente/rede em uma interface, você deve primeiro definir uma imagem de cliente VPN SSL.

1. Navegue até Configuration > Remote Access VPN > Network (Client)Access > Advanced > SSL VPN > Client Settings e Add the seguinte SSL VPN Client Image do sistema de arquivos ASA Flash: (Essa imagem pode ser baixada do CCO, www.cisco.com)

   Figura 21. Instalação de imagem do cliente VPN SSL—Define a imagem do cliente SSLVPN (AnyConnect) a ser enviada para os terminais de conexão.

   

   1. anyconnect-win-2.x.xxx-k9.pkg

   2. Clique em OK, OK novamente e Aplicar.

2. Navegue até Configuration > Remote Access VPN > Network (Client)Access > SSL VPN Connection Profiles e ative o seguinte:

   Figura 22. SSL VPN Access Interface—Define a(s) interface(s) para a terminação da conectividade VPN SSL.

   

   1. Na seção Interface de acesso, ative: "Habilite o Cisco AnyConnect VPN Client ou o acesso ao SSL VPN Client legado nas interfaces selecionadas na tabela abaixo."

   2. Também na seção Interfaces de acesso, marque Permitir acesso na interface externa. (Essa configuração também ativará o acesso SSL VPN sem cliente na interface externa.)

   3. Clique em Apply.

Definindo Listas de Favoritos (Listas de URL) para Acesso Sem Cliente—Essa configuração é necessária para definir um aplicativo baseado na Web a ser publicado no Portal. Definiremos 2 listas de URL, uma para funcionários e outra para contratantes.

1. Navegue até Configuration > Remote Access VPN > Clientless SSL VPN Access > Portal > Bookmarks, clique em + Add e configure o seguinte:

   Figura 23. Lista de favoritos—Define URLs a serem publicados e acessados no Portal da Web. (Personalizado para acesso de funcionários).

   

   1. Nome da lista de favoritos: Funcionários e clique em Adicionar.

   2. Título do favorito: Intranet da empresa

   3. Valor do URL: http://company.resource.com

   4. Clique em OK e em OK novamente.

2. Clique em + Adicionar e configure uma segunda lista de favoritos (lista de URLs) da seguinte forma:

   Figura 24. Lista de favoritos — personalizada para acesso de convidado.

   

   1. Nome da lista de favoritos: Contratados e clique em Adicionar.

   2. Título do favorito: Acesso de convidado

   3. Valor do URL: http://company.contractors.com

   4. Clique em OK e em OK novamente.

   5. Clique em Apply.

Cisco Secure Desktop — essa configuração é necessária para definir os atributos de avaliação de endpoint. Com base nos critérios a serem satisfeitos, os terminais de conexão serão classificados como Gerenciados ou Não Gerenciados. As avaliações do Cisco Secure Desktop são executadas antes do processo de autenticação.

Configurando o Cisco Secure Desktop e uma árvore decisória de pré-login para locais do Windows:

1. Navegue até Configuration > Remote Access VPN > Secure Desktop Manager > Setup e configure o seguinte:

   Figura 25. Cisco Secure Desktop Image Install—Define a imagem do Cisco Secure Desktop a ser enviada para os terminais de conexão.

   

   1. Instale a imagem disk0:/securedesktop-asa-3.3.-xxx-k9.pkg do sistema de arquivos Flash do ASA.

   2. Marque Ativar desktop seguro.

   3. Clique em Apply.

2. Navegue até Configuration > Remote Access VPN > Secure Desktop Manager > Prelogin Policy e configure o seguinte:

   Figura 26. Árvore decisória de pré-login—Personalizada através da verificação de arquivo para distinguir entre um endpoint gerenciado e um endpoint não gerenciado.

   

   1. Clique no nó Padrão e renomeie o rótulo Gerenciado (Acesso ao Cliente) e clique em Atualizar.

   2. Clique no símbolo "+" no início do nó Gerenciado.

   3. Para a Verificação, selecione e adicione a Verificação de arquivo a ser inserida.

   4. Digite C:\managed.txt para que o caminho do arquivo "exista" e clique em Atualizar.

   5. Clique no nó Login negado e selecione Subsequência.

   6. Digite Não gerenciado para o rótulo e clique em Atualizar.

   7. Clique no nó Login negado e selecione Local.

   8. Digite Não gerenciado (Acesso sem cliente) para o rótulo e clique em Atualizar.

   9. Clique em Aplicar tudo.

3. Navegue até Configuration > Remote Access VPN > Secure Desktop Manager >Managed (Client Access) e configure o seguinte na seção Location Settings:

   Figura 27. Configurações de proteção de local/privacidade — o Secure Desktop (cofre seguro) e o Cache Cleaner (limpeza do navegador) não são requisitos para acesso baseado em cliente/rede.

   

   1. Módulo de localização: Desmarque Secure Desktop e Cache Cleaner, se habilitado.

   2. Clique em Apply All (Aplicar tudo), se necessário.

4. Navegue até Configuration > Remote Access VPN > Secure Desktop Manager > Unmanaged (Client less Access) e configure o seguinte na seção Location Settings:

   Figura 28. Configurações de local—O Cache Cleaner (limpeza do navegador) é um requisito para o acesso baseado em clientes, no entanto, o Secure Desktop (cofre seguro) não é.

   

   1. Módulo de localização: Desmarque Secure Desktop e marque Cache Cleaner.

   2. Clique em Aplicar tudo.

Avaliação avançada de endpoint — essa configuração é necessária para aplicar o antivírus, o antispyware e o firewall pessoal em um endpoint. Por exemplo, esta avaliação verificará se a McAfee está a ser executada no ponto final de ligação. (A avaliação avançada de endpoint é um recurso licenciado e não pode ser configurada se o recurso Cisco Secure Desktop estiver desativado).

Navegue até Configuration > Remote Access VPN > Secure Desktop Manager > Host Scan e configure o seguinte na seção Host Scan Extensions:

Figura 29. Aplicação de antivírus — personalizada para acesso baseado em cliente/rede.

Na seção Extensões de verificação de host, configure o seguinte:

1. Selecione Advanced Endpoint Assessment ver 2.3.3.1 e, em seguida, Configure.

2. Selecione Aplicar antivírus.

3. Na lista suspensa Aplicar antivírus, selecione McAfee, Inc.

4. Na lista suspensa Versão do antivírus, selecione McAfee VirusScan Enterprise 8.0.0.x.

5. Selecione Forçar proteção do sistema de arquivos e clique em Aplicar tudo.

Políticas de acesso dinâmico—Essa configuração é necessária para validar os usuários de conexão e seus endpoints em relação aos critérios definidos de avaliação de AAA e/ou endpoint. Se os critérios definidos de um registro DAP forem satisfeitos, os usuários conectados terão acesso aos recursos de rede associados a esse registro ou registros DAP. A autorização de DAP é executada durante o processo de autenticação.

Para garantir que uma conexão VPN SSL terminará no caso padrão, por exemplo, quando o endpoint não corresponder a nenhuma política de acesso dinâmico configurada), configuraremos o seguinte:

Observação: ao configurar as Políticas de Acesso Dinâmico pela primeira vez, uma mensagem de erro DAP.xml é exibida indicando que um arquivo de configuração DAP (DAP.XML) não existe. Quando a configuração inicial do DAP for modificada e salva, essa mensagem não será mais exibida.

1. Navegue até Configuration > Remote Access VPN > Clientless SSL VPN Access > Dynamic Access Policies e configure o seguinte:

   Figura 30. Política de acesso dinâmico padrão — se nenhum registro DAP predefinido for correspondido, esse registro DAP será executado. Assim, o acesso VPN SSL será negado.

   

   1. Edite a DfltAccessPolicy e defina a Ação como Terminar.

   2. Click OK.

2. Adicione uma nova política de acesso dinâmico chamada Managed_Endpoints, como a seguir:

   1. Descrição: Acesso do cliente do funcionário

   2. Adicione (à direita de Endpoint Attribute Type) um Endpoint Attribute Type (Policy), como mostrado na Figura 31. Clique em OK quando terminar.

      Figura 31. Atributo de ponto de extremidade do DAP—O local do desktop seguro da Cisco será usado como critério de DAP para acesso de cliente/rede.

      

   3. Adicione um segundo tipo de atributo de endpoint (antivírus), como mostrado na Figura 32. Clique em OK quando terminar.

      Figura 32. Atributo de ponto de extremidade DAP—O antivírus de avaliação de ponto de extremidade avançado será usado como critério de DAP para acesso de cliente/rede.

      

   4. Na lista suspensa acima da seção Atributo AAA, selecione Usuário com TODOS os seguintes Valores de Atributos AAA...

   5. Adicione (à direita da caixa Atributo AAA) um tipo de atributo AAA (LDAP), como mostrado nas figuras 33 e 34. Clique em OK quando terminar.

      Figura 33. Atributo AAA do DAP—A associação do grupo AAA será usada como critério de DAP para identificar um funcionário.

      

      Figura 34. Atributo AAA do DAP—A associação do grupo AAA será usada como um critério de DAP para permitir recursos de acesso remoto.

      

   6. Na guia Ação, verifique se Ação está definida como Continuar, como mostrado na Figura 35.

      Figura 35. Guia Ação—Essa configuração é necessária para definir o processamento especial para uma conexão ou sessão específica. O acesso VPN será negado se um registro DAP for compatível e a Ação for definida como Terminar.

      

   7. Na guia Método de acesso, selecione o Método de acesso AnyConnect Client, como mostrado na Figura 36.

      Figura 36. Guia Método de Acesso—Esta configuração é necessária para definir os tipos de conexão do cliente VPN SSL.

      

   8. Clique em OK e em Aplicar.

3. Adicione uma segunda política de acesso dinâmico chamada Unmanaged_Endpoints, como a seguir:

   1. Descrição: Acesso sem cliente do funcionário.

   2. Adicione (localizado à direita da caixa Atributo do endpoint) um Tipo de atributo de endpoint (Política), como mostrado na Figura 37. Clique em OK quando terminar.

      Figura 37. Atributo de ponto de extremidade DAP—O local do desktop seguro da Cisco será usado como um critério de DAP para acesso sem cliente.

      

   3. Na lista suspensa acima da Seção de Atributo AAA, selecione User has ALL of the Segue AAA Attributes Values...

   4. Adicione (à direita de AAA Attribute Type) um AAA Attribute Type (LDAP), como mostrado nas figuras 38 e 39. Clique em OK quando terminar.

      Figura 38. Atributo AAA do DAP—A associação do grupo AAA será usada como critério de DAP para identificar um funcionário.

      

      Figura 39. Atributo AAA do DAP—A associação do grupo AAA será usada como um critério de DAP para permitir recursos de acesso remoto.

      

   5. Na guia Ação, verifique se Ação está definida como Continuar. (Consulte a Figura 35.)

   6. Na guia Indicadores, selecione o nome da lista Funcionários na lista suspensa e clique em Adicionar. Além disso, verifique se a opção Enable bookmarks (Ativar marcadores) está marcada, conforme mostrado na Figura 40.

      Figura 40. Guia Favoritos—Permite selecionar e configurar listas de URL para sessões de usuário.

      

   7. Na guia Access Method (Método de acesso), selecione o Access Method Web-Portal. (Consulte a Figura 36.)

   8. Clique em OK e em Aplicar.

      Os contratantes serão identificados somente por atributos AAA do DAP. Como resultado, Tipo de Atributos do Ponto Final: (Política) não será configurada na Etapa 4. Essa abordagem serve apenas para mostrar a versatilidade no DAP.

4. Adicione uma terceira política de acesso dinâmico chamada Guest_Access e com o seguinte:

   1. Descrição: Acesso sem cliente convidado.

   2. Adicione (localizado à direita da caixa Atributo do endpoint) um Tipo de atributo de endpoint (Política), como mostrado na Figura 37 acima. Clique em OK quando terminar.

   3. Na lista suspensa acima da Seção de Atributo AAA, selecione User has ALL of the Segue AAA Attributes Values...

   4. Adicione (à direita da caixa Atributo AAA) um tipo de atributo AAA (LDAP), como mostrado nas figuras 41 e 42. Clique em OK quando terminar.

      Figura 41. Atributo AAA do DAP—A associação do grupo AAA será usada como critério de DAP para identificar um contratante.

      

      Figura 42. Atributo AAA do DAP—A associação do grupo AAA será usada como critério de DAP para permitir recursos de acesso remoto.

      

   5. Na guia Ação, verifique se Ação está definida como Continuar. (Consulte a Figura 35.)

   6. Na guia Indicadores, selecione o nome da lista Contratante na lista suspensa e clique em Adicionar. Além disso, verifique se Enable bookmarks está marcado. (Consulte a Figura 40.)

   7. Na guia Access Method (Método de acesso), selecione o Access Method Web-Portal. (Consulte a Figura 36.)

   8. Clique em OK e em Aplicar.

Critérios de seleção de DAP—Com base nos procedimentos de configuração de DAP acima, seus Critérios de seleção para as 4 políticas de DAP definidas devem ser consistentes com as Figuras 43, 44, 45 e 46.

Figura 43. Endpoints gerenciados—Se os critérios deste registro DAP forem satisfeitos, os funcionários terão acesso aos recursos corporativos por meio de uma conexão cliente/rede (AnyConnect Client).

Figura 44. Endpoints não gerenciados—Se os critérios deste registro de DAP forem satisfeitos, os funcionários terão acesso aos recursos corporativos por meio de uma conexão sem cliente (portal). Uma lista de URL para funcionários também é aplicada a esta política.

Figura 45. Acesso para convidado—Se os critérios desse registro DAP forem satisfeitos, os contratados terão acesso aos recursos corporativos por meio de uma conexão sem cliente (portal). Uma lista de URLs para contratantes também é aplicada a esta política.

Figura 46. Política de DAP padrão — Se os critérios para todos os registros de DAP acima não forem satisfeitos, o acesso a funcionários e contratados será negado por padrão.

Conclusão

Com base nos requisitos de VPN SSL de acesso remoto do cliente observados neste exemplo, esta solução atenderá aos requisitos de VPN de acesso remoto.

Com ambientes VPN dinâmicos e em evolução na mesclagem, as Políticas de Acesso Dinâmico podem se adaptar e escalar para alterações frequentes na configuração da Internet, várias funções que cada usuário pode habitar dentro de uma organização e logins de sites de acesso remoto gerenciados e não gerenciados com configurações e níveis de segurança diferentes.

As Políticas de Acesso Dinâmico são complementadas por tecnologias antigas comprovadas, incluindo a Avaliação Avançada de Endpoints, Verificação de Host, Desktop Seguro, AAA e Políticas de Acesso Local. Como resultado, as organizações podem fornecer acesso seguro à VPN para qualquer recurso de rede de qualquer lugar.

Informações Relacionadas

• Suporte Técnico e Documentação - Cisco Systems