Configuration du VPN d'accès à distance Secure Client (AnyConnect) sur FTD

Options de téléchargement

  • PDF     (1.5 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.5 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (960.7 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:25 novembre 2024
ID du document:212424

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit une configuration pour un VPN d'accès à distance Secure Client (AnyConnect) sur la défense contre les menaces de pare-feu sécurisé.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Connaissances de base en VPN, TLS et IKEv2,
    • Connaissances de base en authentification, autorisation et comptabilité (AAA) et RADIUS,
    • Expérience avec Secure Firewall Management Center.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Protection pare-feu contre les menaces (SFTD) 7.2.5
    • Centre de gestion du pare-feu sécurisé (SFMC) 7.2.9
    • Client sécurisé (AnyConnect) 5.1.6 

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Ce document fournit un exemple de configuration pour Secure Firewall Threat Defense (FTD) version 7.2.5 et ultérieure, qui permet au VPN d'accès à distance d'utiliser Transport Layer Security (TLS) et Internet Key Exchange version 2 (IKEv2). En tant que client, Secure Client (AnyConnect) peut être utilisé, qui est pris en charge sur plusieurs plates-formes.

    Configuration

    1. Conditions préalables

    Afin de passer par l'assistant d'accès à distance dans le Centre de gestion du pare-feu sécurisé :

    • Créez un certificat utilisé pour l'authentification du serveur.
    • Configurez le serveur RADIUS ou LDAP pour l'authentification des utilisateurs.
    • Créez un pool d'adresses pour les utilisateurs VPN.
    • Téléchargez des images AnyConnect pour différentes plates-formes.

    a) Importer le certificat SSL


    Les certificats sont essentiels lorsque vous configurez le client sécurisé. Le certificat doit avoir une extension Subject Alternative Name avec un nom DNS et/ou une adresse IP pour éviter des erreurs dans les navigateurs Web.

    Remarque : Seuls les utilisateurs Cisco enregistrés ont accès aux outils internes et aux informations de bogue.

    L'inscription manuelle des certificats comporte des limites :

    - Sur SFTD, vous avez besoin du certificat CA avant de générer le CSR.

    - Si le CSR est généré en externe, la méthode manuelle échoue, une autre méthode doit être utilisée (PKCS12).

    Il existe plusieurs méthodes pour obtenir un certificat sur l'appareil SFTD, mais la plus sûre et la plus simple est de créer une demande de signature de certificat (CSR), de la signer avec une autorité de certification (CA), puis d'importer le certificat émis pour la clé publique, qui était dans CSR. Voici comment procéder :

    • Accédez àObjects > Object Management > PKI > Cert Enrollment, puis cliquez surAdd Cert Enrollment.
    • SélectionnezEnrollment Typeet collez le certificat de l'autorité de certification (le certificat utilisé pour signer le CSR).

    CA certificate import

    • Ensuite, allez dans le deuxième onglet et sélectionnezCustom FQDNet remplissez tous les champs nécessaires, par exemple :

    Certificate parameters

    • Dans le troisième onglet, sélectionnezKey Type, choisissez nom et taille. Pour RSA, 2048 bits est minimum.
    • Cliquez surSaveet passez à l'Devices > Certificates > Add.
    • Sélectionnez ensuiteDevice, puis sousCert Enrollment sélectionnez le point de confiance que vous venez de créer, cliquez surAdd:

    Add new certificate

    • Plus tard, en regard du nom du point de confiance, cliquez sur le bouton ID icon , puisYes, et après cela, copiez CSR dans CA et signez-le. Le certificat doit avoir les mêmes attributs que le serveur HTTPS normal.
    • Après avoir reçu le certificat de CA au format base64, sélectionnez-leBrowse Identity Certificate, sélectionnez-le sur le disque et cliquez surImport. Lorsque cette opération réussit, vous voyez :

    Certificate list


    b) Configurer le serveur RADIUS

    • Allez à Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group > +.
    • Remplissez le nom et ajoutez l'adresse IP avec le secret partagé, cliquez surSave:

    RADIUS server properties

    • Après cela, vous voyez le serveur sur la liste :

    RADIUS server list

    c) Créer un pool d'adresses pour les utilisateurs VPN

    • Aller à Objects > Object Management > Address Pools > IPv4 Pools > Add IPv4 Pools.
    • Mettez le nom et la plage, le masque n'est pas nécessaire : 

    Address pool properties

    d) Créer un profil XML

    • Téléchargez l'Éditeur de profil depuis le site Cisco et ouvrez-le.
    • Aller à Server List > Add...
    • Placez le nom d'affichage et le FQDN. Vous voyez des entrées dans la liste des serveurs :

    Profile editor server list

    • Cliquez surOKet File > Save as... 

    e) Télécharger des images AnyConnect

    • Téléchargez les images du package depuis le site Cisco.
    • Allez àObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
    • Tapez le nom et sélectionnez le fichier PKG sur le disque, puis cliquez surSave:

    Secure Client image import form

    • Ajoutez d'autres packages en fonction de vos propres besoins.

    2. Assistant Accès à distance

    • Allez àDevices > VPN > Remote Access > Add a new configuration.
    • Nommez le profil et sélectionnez le périphérique FTD :

    Remote access wizard step 1

    • Dans l'étape Profil de connexion, tapezConnection Profile Name, sélectionnez le Authentication Server et que vous avezAddress Poolscréé précédemment :

    Remote access wizard step 2

    Client address assignment and group policy selection

    • Cliquez sur Edit Group Policy et sur l'onglet AnyConnect, sélectionnezClient Profile, puis cliquez surSave:

    Profile selection in group policy properties

    • Sur la page suivante, sélectionnez Images AnyConnect et cliquez surNext.

    Secure Endpoint image

    • Dans l'écran suivant, sélectionnez Network Interface and Device Certificates:

    Network interface selection

    • Lorsque tout est correctement configuré, vous pouvez cliquer surFinish, puisDeploy:

    The last step in Remote Access wizard

    • Cette opération copie l'intégralité de la configuration avec les certificats et les packages AnyConnect vers l'appliance FTD.

    Connexion

    Pour vous connecter à FTD, vous devez ouvrir un navigateur, tapez le nom DNS ou l'adresse IP qui pointe vers l'interface externe. Vous vous connectez ensuite avec les informations d’identification stockées sur le serveur RADIUS et suivez les instructions à l’écran. Une fois qu’AnyConnect est installé, vous devez placer la même adresse dans la fenêtre AnyConnect et cliquer surConnect.

    Limites

    Actuellement non pris en charge sur FTD, mais disponible sur ASA :

    • Le VPN FTDposture ne prend pas en charge la modification de stratégie de groupe via l'autorisation dynamique ou la modification d'autorisation RADIUS (CoA).

    • Personnalisation AnyConnect (amélioration : ID de bogue Cisco CSCvq87631)
    • scripts AnyConnect (amélioration : ID de bogue Cisco CSCvt58044).
    • Localisation AnyConnect.
    • Intégration WSA.
    • Carte de cryptage dynamique IKEv2 simultanée pour les réseaux privés virtuels RA et L2L (amélioration : ID de bogue Cisco CSCvr52047).
    • TACACS, Kerberos - Authentification KCD et RSA SDI (amélioration : ID de bogue Cisco CSCvx55859).
    • Proxy du navigateur.

    Considérations de sécurité

    Par défaut, le sysopt connection permit-vpnest désactivée. Cela signifie que vous devez autoriser le trafic provenant du pool d'adresses sur l'interface externe via la politique de contrôle d'accès. Bien que la règle de préfiltrage ou de contrôle d'accès soit ajoutée pour autoriser uniquement le trafic VPN, si le trafic en texte clair correspond aux critères de la règle, il est autorisé par erreur.

    Il y a deux approches à ce problème. Premièrement, l'option recommandée par le TAC est d'activer l'anti-usurpation (sur ASA, il était connu sous le nom de Unicast Reverse Path Forwarding - uRPF) pour l'interface externe, et deuxièmement, est de permettre sysopt connection permit-vpnde contourner complètement l'inspection Snort. La première option permet une inspection normale du trafic qui va vers et depuis les utilisateurs VPN.

    a) Activer uRPF

    • Créez une route Null pour le réseau utilisé pour les utilisateurs d'accès à distance, défini dans la section C. Accédez àDevices > Device Management > Edit > Routing > Static Route et sélectionnez Add route

    New static route properties

    • Activez ensuite uRPF sur l'interface où se terminent les connexions VPN. Pour le trouver, accédez à Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing

    Edit physical interface

    Lorsqu’un utilisateur est connecté, la route 32 bits est installée pour cet utilisateur dans la table de routage. Le trafic en texte clair provenant des autres adresses IP inutilisées du pool est abandonné par uRFP. Pour voir une description de, Anti-Spoofing référez-vous à Définir les paramètres de configuration de sécurité sur la défense contre les menaces de pare-feu.

    b) Option Enable (Activersysopt connection permit-vpn)

    • Il existe une option pour le faire avec l'assistant ou sous Devices > VPN > Remote Access > VPN Profile > Access Interfaces.

    Bypass Access Control policy option selected

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    5.0
    25-Nov-2024
    Modification de la convention d'attribution de noms et modifications reflétées dans la GUI
    4.0
    05-Dec-2023
    Recertification
    3.0
    16-Dec-2022
    Réécrire. Mettre à jour le formatage Recertification.
    2.0
    08-Nov-2022
    Mise en forme et correction orthographiqueRecertification
    1.0
    07-Nov-2017
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Radoslaw Olszowy
      Ingénieur-conseil technique Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits