المقدمة
يصف هذا المستند تكوين ل AnyConnect Remote Access VPN على FTD.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- معرفة أساسية بالشبكة الخاصة الظاهرية (VPN) و TLS و IKEv2
- المصادقة والتفويض والمحاسبة (AAA) الأساسية ومعرفة RADIUS
- تجربة مع مركز إدارة FirePOWER
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco FTD 7.2.0
- Cisco FMC 7.2.1
- AnyConnect 4.10
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يقدم هذا المستند مثالا للتكوين الخاص بالإصدار 7.2.0 من "الدفاع عن تهديد FirePOWER (FTD)" والإصدارات الأحدث، والذي يسمح لشبكة VPN للوصول عن بعد باستخدام أمان طبقة النقل (TLS) والإصدار 2 من تبادل مفتاح الإنترنت (IKEv2). كعميل، يمكن إستخدام Cisco AnyConnect، وهو مدعوم على أنظمة أساسية متعددة.
التكوين
1 - المتطلبات الأساسية
للانتقال عبر معالج الوصول عن بعد في مركز إدارة Firepower:
- إنشاء شهادة تستخدم لمصادقة الخادم.
- قم بتكوين خادم RADIUS أو LDAP لمصادقة المستخدم.
- قم بإنشاء تجمع من العناوين لمستخدمي VPN.
- تحميل صور AnyConnect لأنظمة أساسية مختلفة.
أ) إستيراد شهادة SSL
الشهادات ضرورية عند تكوين AnyConnect. يجب أن تحتوي الشهادة على ملحق "الاسم البديل للموضوع" مع اسم DNS و/أو عنوان IP لتجنب الأخطاء في مستعرضات الويب.
ملاحظة: يمكن لمستخدمي Cisco المسجلين فقط الوصول إلى الأدوات الداخلية ومعلومات الخطأ.
هناك قيود على التسجيل اليدوي للشهادة:
- في FTD تحتاج إلى شهادة CA قبل إنشاء CSR.
- إذا تم إنشاء CSR خارجيا، فإن الطريقة اليدوية تفشل، فيجب إستخدام طريقة مختلفة (PKCS12).
هناك العديد من الطرق للحصول على شهادة على جهاز FTD، ولكن الخيار الآمن والسهل هو إنشاء طلب توقيع شهادة (CSR)، وتوقيعه باستخدام المرجع المصدق (CA) ثم إستيراد الشهادة الصادرة للمفتاح العام، والتي كانت في CSR. وإليك طريقة القيام بذلك:
- الانتقال إلى
Objects
> Object Management > PKI > Cert Enrollment
، انقر فوق إضافة تسجيل الثقة.
- تحديد
Enrollment Type
ولصق شهادة المرجع المصدق (CA) (الشهادة المستخدمة لتوقيع CSR).
- ثم انتقل إلى علامة التبويب الثانية وحدد
Custom FQDN
وتعبئة كل الحقول الضرورية، على سبيل المثال:
- في علامة التبويب الثالثة، حدد
Key Type
، أختر الاسم والحجم. بالنسبة إلى RSA، تعد وحدات بت 2048 كحد أدنى.
- انقر حفظ وانتقل إلى
Devices > Certificates > Add > New Certificate
.
- ثم حدد
Device
، وتحت Cert Enrollment
حدد TrustPoint التي قمت بإنشائها، انقر فوق Add
:
- فيما بعد، وبجوار اسم TrustPoint، انقر فوق الأيقونة، ثم
Yes
، و بعدين انسخ "csr" لصح و اوقعو. يجب أن تحتوي الشهادة على سمات مماثلة لسمات خادم HTTPS العادية.
- بعد أن تستلم الشهادة من CA بتنسيق base64، حددها من القرص وانقر
Import
. وعندما ينجح ذلك، ترون:
ب) تكوين خادم RADIUS
- الانتقال إلى
Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group
.
- املأ الاسم وأضف عنوان IP مع سر مشترك، انقر
Save
:
- وبعد هيك بتلاقي السيرفر على القائمة:
ج) إنشاء مجموعة من العناوين لمستخدمي VPN
- الانتقال إلى
Objects > Object Management > Address Pools > Add IPv4 Pools.
- وضع الاسم والنطاق، والقناع غير مطلوب:
د) إنشاء ملف تخصيص XML
- قم بتنزيل محرر ملفات التعريف من موقع Cisco وافتحه.
- الانتقال إلى
Server List > Add...
- وضع اسم العرض و FQDN. يمكنك مشاهدة الإدخالات في قائمة الخوادم:
- انقر
OK
و File > Save as...
ه) تحميل صور AnyConnect
- تنزيل صور pkg من موقع Cisco.
- الانتقال إلى
Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File
.
- اكتب الاسم وحدد ملف PKG من القرص، انقر
Save
:
- أضف المزيد من الحزم بناء على متطلباتك الخاصة.
2. معالج الوصول عن بعد
- الانتقال إلى
Devices > VPN > Remote Access > Add a new configuration
.
- قم بتسمية ملف التعريف وتحديد جهاز FTD:
- في خطوة ملف تعريف الاتصال، اكتب
Connection Profile Name
، حدد Authentication Server
و Address Pools
التي قمت بإنشائها سابقا:
- انقر فوق
Edit Group Policy
وعلى علامة التبويب AnyConnect، حدد Client Profile
، ثم انقر Save
:
- في الصفحة التالية، حدد صور AnyConnect وانقر
Next
.
- في الشاشة التالية، حدد
Network Interface and Device Certificates:
- عند تكوين كل شيء بشكل صحيح، يمكنك النقر
Finish
ومن ثم Deploy
:
- يؤدي هذا إلى نسخ التكوين بالكامل مع الشهادات وحزم AnyConnect إلى جهاز FTD.
الاتصال
للاتصال ب FTD تحتاج إلى فتح مستعرض، اكتب اسم DNS أو عنوان IP الذي يشير إلى الواجهة الخارجية. ثم يمكنك تسجيل الدخول باستخدام بيانات الاعتماد المخزنة في خادم RADIUS وتنفيذ التعليمات على الشاشة. بمجرد تثبيت AnyConnect، تحتاج بعد ذلك إلى وضع العنوان نفسه في نافذة AnyConnect وانقر فوق Connect
.
القيود
غير مدعوم حاليا على FTD، ولكنه متوفر على ASA:
اعتبارات أمنية
بشكل افتراضي، فإن sysopt connection permit-vpn
الخيار معطل. وهذا يعني أنك بحاجة إلى السماح بحركة المرور التي تأتي من تجمع العناوين على الواجهة الخارجية عبر نهج التحكم في الوصول. وعلى الرغم من إضافة قاعدة التحكم في الوصول أو ما قبل التصفية للسماح بحركة مرور VPN فقط، إذا حدثت حركة مرور نص واضح لتطابق معايير القاعدة، فإنها مسموح بها بشكل خاطئ.
وهناك نهجان لمعالجة هذه المشكلة. أولا، خيار TAC الموصى به، هو تمكين مكافحة الانتحال (على ASA كان يعرف باسم إعادة توجيه المسار العكسي للبث الأحادي - uRPF) للواجهة الخارجية، وثانيا، هو التمكين sysopt connection permit-vpn
لتجاوز فحص الشخير تماما. يسمح الخيار الأول فحص عادي لحركة المرور التي تنتقل إلى ومن مستخدمي VPN.
أ) تمكين uRPF
- إنشاء مسار فارغ للشبكة المستخدمة لمستخدمي الوصول عن بعد، محدد في القسم C. انتقل إلى
Devices > Device Management > Edit > Routing > Static Route
وحدد Add route
- بعد ذلك، قم بتمكين uRPF على الواجهة التي تنتهي فيها إتصالات VPN. للعثور على هذا، انتقل إلى
Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing
.
عند اتصال مستخدم، يتم تثبيت المسار 32 بت لذلك المستخدم في جدول التوجيه. امسح النص حركة مرور sourced من الآخر، غير مستعمل عنوان من البركة سقطت بواسطة uRFP. للاطلاع على وصف Anti-Spoofing
ارجع إلى تعيين معلمات تكوين الأمان على الحماية ضد تهديد FirePOWER.
ب) تمكين sysopt connection permit-vpn
خيار
- هناك خيار للقيام بذلك باستخدام المعالج أو أقل
Devices > VPN > Remote Access > VPN Profile > Access Interfaces
.
معلومات ذات صلة