Introducción
Este documento describe un ejemplo de configuración de autenticación externa para Secure Firewall Management Center y Firewall Threat Defence.
Prerequisites
Requirements
Se recomienda tener conocimiento de estos temas:
- Configuración inicial de Cisco Secure Firewall Management Center a través de la GUI o el shell.
- Configuración de políticas de autenticación y autorización en ISE.
- Conocimiento básico de RADIUS.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- vFMC 7.2.5
- vFTD 7.2.5.
- ISE 3.2
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Cuando se habilita la autenticación externa para los usuarios administrativos y de gestión del sistema de firewall seguro, el dispositivo comprueba las credenciales del usuario con un protocolo ligero de acceso a directorios (LDAP) o un servidor RADIUS como se especifica en un objeto de autenticación externa.
Los objetos de autenticación externa pueden ser utilizados por los dispositivos FMC y FTD. Puede compartir el mismo objeto entre los distintos tipos de dispositivo o dispositivo, o bien crear objetos independientes.
Autenticación externa para FMC
Puede configurar varios objetos de autenticación externos para el acceso a la interfaz web. Sólo se puede utilizar un objeto de autenticación externo para el acceso a CLI o shell.
Autenticación externa para FTD
Para el FTD, sólo puede activar un objeto de autenticación externo.
Topología de red
Configurar
Configuración de ISE
Nota: hay varias formas de configurar las políticas de autenticación y autorización de ISE para los dispositivos de acceso a la red (NAD), como FMC. El ejemplo descrito en este documento es un punto de referencia en el que creamos dos perfiles (uno con derechos de administrador y el otro de solo lectura) y se puede adaptar para cumplir con las líneas de base para acceder a su red. Se pueden definir una o más políticas de autorización en ISE devolviendo los valores de atributo RADIUS al FMC que, a continuación, se asignan a un grupo de usuarios local definido en la configuración de políticas del sistema FMC.
Paso 1. Agregue un nuevo dispositivo de red. Navegue hasta el icono de la hamburguesa ubicado en la esquina superior izquierda >Administración > Recursos de red > Dispositivos de red > +Agregar.
Paso 2. Asigne un nombre al objeto del dispositivo de red e inserte la dirección IP del CSP.
Marque la casilla de verificación RADIUS y defina un secreto compartido.
La misma clave debe utilizarse más adelante para configurar el FMC.
Una vez hecho esto, haga clic en Guardar.
Paso 2.1. Repita el mismo procedimiento para añadir el FTD.
Asigne un nombre al objeto de dispositivo de red e inserte la dirección IP de FTD.
Marque la casilla de verificación RADIUS y defina un secreto compartido.
Una vez hecho esto, haga clic en Guardar.
Paso 2.3. Validar que ambos dispositivos se muestren en Dispositivos de red.
Paso 3. Cree los grupos de identidad de usuario necesarios. Vaya al icono de la hamburguesa situado en la esquina superior izquierda > Administración > Gestión de identidades > Grupos > Grupos de identidades de usuario > + Agregar
Paso 4. Asigne un nombre a cada grupo y haga clic en Guardar individualmente. En este ejemplo, estamos creando un grupo para usuarios administradores y otro para usuarios de sólo lectura. En primer lugar, cree el grupo para el usuario con derechos de administrador.
Paso 4.1. Cree el segundo grupo para el usuario de ReadOnly.
Paso 4.2. Validar que ambos grupos se muestran en la Lista de grupos de identidades de usuario. Utilice el filtro para encontrarlos fácilmente.
Paso 5. Cree los usuarios locales y agréguelos a su grupo correspondiente. Vaya a > Administración > Gestión de identidad > Identidades > + Agregar.
Paso 5.1. En primer lugar, cree el usuario con derechos de administrador. Asignarle un nombre, una contraseña y los administradores de FMC y FTD del grupo.
Paso 5.2. Agregue el usuario con derechos de sólo lectura. Asigne un nombre, una contraseña y el grupo FMC y FTD ReadOnly.
Paso 6. Cree el perfil de autorización para el usuario administrador.
Vaya a > Política > Elementos de política > Resultados > Autorización > Perfiles de autorización > +Agregar.
Defina un nombre para el perfil de autorización, deje Tipo de acceso como ACCESS_ACCEPT y, en Configuración de atributos avanzados, agregue un Radio > Clase [25] con el valor Administrador y haga clic en Enviar.
Paso 7. Repita el paso anterior para crear el perfil de autorización para el usuario de sólo lectura. Cree la clase Radius con el valor ReadUser en su lugar Administrator esta vez.
Paso 8. Cree un conjunto de políticas que coincida con la dirección IP de FMC. Esto es para evitar que otros dispositivos concedan acceso a los usuarios.
Navegue hasta > Policy > Policy Sets > icono ubicado en la esquina superior izquierda.
Paso 8.1. Se coloca una nueva línea en la parte superior de los conjuntos de políticas.
Asigne un nombre a la nueva política y agregue una condición superior para el atributo RADIUS NAS-IP-Address que coincida con la dirección IP de FMC.
Agregue una segunda condición con OR para incluir la dirección IP del FTD.
Haga clic en Utilizar para mantener los cambios y salir del editor.
Paso 8.2. Una vez finalizado, pulse Guardar.
Consejo: Para este ejercicio hemos permitido la lista Default Network Access Protocols . Puede crear una lista nueva y reducirla según sea necesario.
Paso 9. Para ver el nuevo conjunto de políticas, pulse el icono situado al final de la fila.
Expanda el menú Directiva de autorización y presione el icono para agregar una nueva regla que permita el acceso al usuario con derechos de administrador.
Dale un nombre.
Establezca las condiciones para que el Grupo de Identidad de Diccionario con Nombre de Atributo Equivale a Grupos de Identidad de Usuario: Administradores de FMC y FTD (el nombre de grupo creado en el Paso 4) y haga clic en Usar.
Paso 10. Haga clic en el icono para agregar una segunda regla que permita el acceso al usuario con derechos de sólo lectura.
Dale un nombre.
Establezca las condiciones para que el Grupo de Identidad de Diccionario con Nombre de Atributo sea Igual a Grupos de Identidad de Usuario: FMC y FTD ReadOnly (el nombre de grupo creado en el Paso 4) y haga clic en Usar.
Paso 11. Establezca los perfiles de autorización para cada regla y haga clic en Guardar.
Configuración de FMC
Paso 1. Cree el Objeto de Autenticación Externa en Sistema > Usuarios > Autenticación Externa > + Agregar Objeto de Autenticación Externa.
Paso 2. Seleccione RADIUS como método de autenticación.
En Objeto de autenticación externa, asigne un Nombre al nuevo objeto.
A continuación, en el parámetro Primary Server, inserte la dirección IP de ISE y la misma clave secreta RADIUS que utilizó en el paso 2 de la configuración de ISE.
Paso 3. Inserte los valores de atributos RADIUS Class que se configuraron en los pasos 6 y 7 de la configuración de ISE: Administrator y ReadUser para firewall_admin y firewall_readuser respectivamente.
Nota: El intervalo de tiempo de espera es diferente para el FTD y el FMC, por lo que si comparte un objeto y cambia el valor predeterminado de 30 segundos, asegúrese de no exceder un intervalo de tiempo de espera menor (1-300 segundos) para los dispositivos FTD. Si establece el tiempo de espera en un valor más alto, la configuración RADIUS de defensa contra amenazas no funciona.
Paso 4. Rellene la Lista de usuarios de acceso CLI del administrador en Filtro de acceso CLI con los nombres de usuario permitidos para obtener acceso CLI.
Haga clic en Guardar una vez hecho.
Paso 5. Active el nuevo objeto. Establézcalo como el método de autenticación de shell para FMC y haga clic en Guardar y aplicar.
Configuración de FTD
Paso 1. En la GUI de FMC, navegue hasta Devices > Platform Settings. Edite su política actual o cree una nueva si no tiene ninguna asignada al FTD al que necesita acceder. Habilite el servidor RADIUS bajo Autenticación Externa y haga clic en Guardar.
Paso 2. Asegúrese de que el FTD al que necesita acceder aparezca en Asignaciones de políticas como dispositivo seleccionado.
Paso 3. Implemente los cambios.
Verificación
- Compruebe que la nueva implementación funciona correctamente.
- En la GUI de FMC, navegue hasta los parámetros del servidor RADIUS y desplácese hacia abajo hasta la sección Parámetros de prueba adicionales.
- Introduzca un nombre de usuario y una contraseña para el usuario de ISE y haga clic en Probar.
- Una prueba correcta muestra un mensaje verde Prueba de éxito completada en la parte superior de la ventana del navegador.
- Para obtener más información, puede expandir Detalles en Resultado de la prueba.