Sécurité : Client à mobilité sécurisé Cisco AnyConnect

AnyConnect au-dessus d'IKEv2 à l'ASA avec l'AAA et l'authentification de certificat

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (10 octobre 2012) | Commentaires


Contenu


Introduction

Ce document fournit des renseignements sur la façon de connecter un PC à une appliance de sécurité adaptable (ASA) en utilisant AnyConnect IPsec (IKEv2) ainsi qu’un certificat et l’authentification AAA.

L'exemple dans ce document n'est pas censé pour afficher une configuration complète, seulement des éléments pertinents pour obtenir la connexion IKEv2 entre l'ASA et l'AnyConnect. NAT ou configuration de liste d'accès n'est pas discuté ou est nécessaire dans ce document.

Remarque: Contribué par Marcin Latosiewicz, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • ASA 8,4

  • AnyConnect 3.x

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

De ce que vous aurez besoin

Certificats avec EKU approprié

Bien qu'à proprement parler non requis par combinaison ASA et d'AnyConnect, il soit important de noter que le RFC exige des Certificats d'avoir l'utilisation principale étendue (EKU).

  • Certificat pour l'ASA (contient le serveur-auth EKU)

  • Certificat pour le PC (contient le client-auth EKU)

Remarque: Un routeur Cisco IOS avec la révision de logiciel récente peut mettre EKU sur des Certificats.

Configuration de côté ASA

Remarque: L'ASDM laisse créer la configuration de base dans quelques clics. Il est recommandé pour l'employer afin d'éviter des erreurs.

Configuration de crypto map :

crypto dynamic-map DYN 1 set pfs group1
crypto dynamic-map DYN 1 set ikev2 ipsec-proposal secure
crypto dynamic-map DYN 1 set reverse-route
crypto map STATIC 65535 ipsec-isakmp dynamic DYN
crypto map STATIC interface outside

Propositions d'IPsec (exemple) :

crypto ipsec ikev2 ipsec-proposal secure
 protocol esp encryption aes 3des
 protocol esp integrity sha-1
crypto ipsec ikev2 ipsec-proposal AES256-SHA
 protocol esp encryption aes-256
 protocol esp integrity sha-1

Stratégies IKEv2 (exemple) :

crypto ikev2 policy 1
 encryption aes-256
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400

crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 policy 20
 encryption aes
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 policy 30
 encryption 3des
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400

crypto ikev2 policy 40

 encryption des
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400

Activation des services clientèle et du certificat sur l'interface appropriée ; dans ce cas, dehors.

crypto ikev2 enable outside client-services port 443
crypto ikev2 remote-access trustpoint OUTSIDE
! You will notice that the same trustpoint is also assigned for SSL, this is intended and required!!!
ssl trust-point OUTSIDE outside

Activation d'AnyConnect et de profil :

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-3.0.5080-k9.pkg 1 regex "Windows NT"
 anyconnect profiles Anyconnect disk0:/anyconnect.xml
 anyconnect enable
 tunnel-group-list enable

Configuration de base de nom d'utilisateur, de stratégie de groupe et de groupe de tunnels.

group-policy GroupPolicy_AC internal
group-policy GroupPolicy_AC attributes

 dns-server value 4.2.2.2
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
 default-domain value cisco.com
 webvpn
 anyconnect profiles value Anyconnect type user

username cisco password 3USUcOPFUiMCO4Jk encrypted
tunnel-group AC type remote-access
tunnel-group AC general-attributes
 address-pool VPN-POOL
 default-group-policy GroupPolicy_AC
tunnel-group AC webvpn-attributes
 authentication aaa certificate
 group-alias AC enable
 group-url https://bsns-asa5520-1.cisco.com/AC enable
 without-csd

Profil d'AnyConnect

Ce qui suit est un profil d'exemple, des éléments pertinents en gras :

<?xml version="1.0" encoding="UTF-8"?>
<AnyConnectProfile xmlns="http://schemas.xmlsoap.org/encoding/" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xsi:schemaLocation="http://schemas.xmlsoap.org/encoding/ AnyConnectProfile.xsd">
	<ClientInitialization>
		<UseStartBeforeLogon UserControllable="true">false</UseStartBeforeLogon>
		<AutomaticCertSelection UserControllable="true">false</AutomaticCertSelection>
		<ShowPreConnectMessage>false</ShowPreConnectMessage>
		<CertificateStore>All</CertificateStore>
		<CertificateStoreOverride>false</CertificateStoreOverride>
		<ProxySettings>Native</ProxySettings>
		<AllowLocalProxyConnections>true</AllowLocalProxyConnections>
		<AuthenticationTimeout>12</AuthenticationTimeout>
		<AutoConnectOnStart UserControllable="true">false</AutoConnectOnStart>
		<MinimizeOnConnect UserControllable="true">true</MinimizeOnConnect>
		<LocalLanAccess UserControllable="true">false</LocalLanAccess>
		<ClearSmartcardPin UserControllable="true">true</ClearSmartcardPin>
		<AutoReconnect UserControllable="false">true
			<AutoReconnectBehavior UserControllable="false">DisconnectOnSuspend</Auto
ReconnectBehavior>
		</AutoReconnect>
		<AutoUpdate UserControllable="false">true</AutoUpdate>
		<RSASecurIDIntegration UserControllable="true">Automatic</RSASecurIDIntegration>
		<WindowsLogonEnforcement>SingleLocalLogon</WindowsLogonEnforcement>
		<WindowsVPNEstablishment>LocalUsersOnly</WindowsVPNEstablishment>
		<AutomaticVPNPolicy>false</AutomaticVPNPolicy>
		<PPPExclusion UserControllable="false">Disable
			<PPPExclusionServerIP UserControllable="false"></PPPExclusionServerIP>
		</PPPExclusion>
		<EnableScripting UserControllable="false">false</EnableScripting>
		<EnableAutomaticServerSelection UserControllable="false">false
			<AutoServerSelectionImprovement>20</AutoServerSelectionImprovement>
			<AutoServerSelectionSuspendTime>4</AutoServerSelectionSuspendTime>
		</EnableAutomaticServerSelection>
		<RetainVpnOnLogoff>false
		</RetainVpnOnLogoff>
	</ClientInitialization>
	<ServerList>
		<HostEntry>
			<HostName>bsns-asa5520-1</HostName>
			<HostAddress>bsns-asa5520-1.cisco.com</HostAddress>
			<UserGroup>AC</UserGroup>
		<PrimaryProtocol>IPsec</PrimaryProtocol>
		</HostEntry>
	</ServerList>
</AnyConnectProfile>

Connexion - le point de vue de l'utilisateur

Cette section affiche le point de vue de l'utilisateur de la connexion quand le profil est déjà présent.

Il est important de noter que les informations que l'utilisateur doit mettre dans le GUI pour se connecter sont la valeur derrière le <HostName>. Dans ce cas, bsns-asa5520-1 (pas le plein FQDN) est écrit.

Car la première étape la passerelle incite l'utilisateur à sélectionner le certificat (si automatique la sélection de certificat est désactivée).

ac-ikev2-ca-01.gif

Puis, pour le nom d'utilisateur et mot de passe :

ac-ikev2-ca-02.gif

La connexion est réussie et des statistiques d'AnyConnect peuvent être vérifiées.

/image/gif/paws/113692/ac-ikev2-ca-03.gif

Vérification sur l'ASA

Vérifiez sur l'ASA que cette connexion utilise IKEv2, et AAA et authentification de certificat.

bsns-asa5520-1# show vpn-sessiondb detail anyconnect filter name cisco
Session Type: AnyConnect Detailed
Username : cisco Index : 6
Assigned IP : 172.16.99.5 Public IP : 1.2.3.4
Protocol : IKEv2 IPsecOverNatT AnyConnect-Parent
License : AnyConnect Premium
Encryption : AES256 AES128 Hashing : none SHA1 SHA1
Bytes Tx : 0 Bytes Rx : 960
Pkts Tx : 0 Pkts Rx : 10
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : GroupPolicy_AC Tunnel Group : AC
Login Time : 15:45:41 UTC Tue Aug 28 2012
Duration : 0h:02m:41s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
IKEv2 Tunnels: 1
IPsecOverNatT Tunnels: 1
AnyConnect-Parent Tunnels: 1
AnyConnect-Parent:
 Tunnel ID : 6.1
 Public IP : 1.2.3.4
 Encryption : none Auth Mode : Certificate and userPassword
 Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
 Client Type : AnyConnect
 Client Ver : 3.0.08057
IKEv2:
 Tunnel ID : 6.2
 UDP Src Port : 60468 UDP Dst Port : 4500
 Rem Auth Mode: Certificate and userPassword
 Loc Auth Mode: rsaCertificate
 Encryption : AES256 Hashing : SHA1

 Rekey Int (T): 86400 Seconds Rekey Left(T): 86238 Seconds
 PRF : SHA1 D/H Group : 5
 Filter Name :
 Client OS : Windows
IPsecOverNatT:
 Tunnel ID : 6.3
 Local Addr : 0.0.0.0/0.0.0.0/0/0
 Remote Addr : 172.16.99.5/255.255.255.255/0/0

 Encryption : AES128 Hashing : SHA1
 Encapsulation: Tunnel
 Rekey Int (T): 28800 Seconds Rekey Left(T): 28638 Seconds
 Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4608000 K-Bytes
 Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes
 Bytes Tx : 0 Bytes Rx : 960
 Pkts Tx : 0 Pkts Rx : 10

Mises en garde et questions connues

  • IKEv2 et points de confiance SSL doivent être identiques.

  • Il est recommandé pour utiliser le FQDN comme NC dans des Certificats de côté ASA. Veillez à mettre en référence le même FQDN dans le profil d'AnyConnect dans le <HostAddress>.

  • Sur le côté client en se connectant, souvenez-vous pour mettre en valeur visible dans le profil d'AnyConnect dans la section de <HostName>.

  • Même dans la configuration IKEv2, AnyConnect se connectant à l'ASA téléchargera des mises à jour de profil et de binaire au-dessus de SSL, mais pas IPsec.

  • La connexion d'AnyConnect au-dessus d'IKEv2 à l'ASA utilise l'eap-AnyConnect, un mécanisme de propriété industrielle qui permet une implémentation plus simple.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 113692