Introduction
Ce document décrit le processus de configuration du VPN d'accès à distance sur Firepower Threat Defense (FTD) géré par Firepower Management Center (FMC) avec l'authentification de certificat.
Contribution de Dolly Jain et Rishabh Aggarwal, Ingénieur du centre d'assistance technique Cisco.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
· Inscription manuelle des certificats et notions de base de SSL
· FMC
· Connaissances de base en authentification pour VPN d'accès à distance
· Autorité de certification (AC) tierce comme Entrust, Geotrust, GoDaddy, Thawte et VeriSign
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :
· Défense contre les menaces Secure Firepower version 7.4.1
· Firepower Management Center (FMC) version 7.4.1
· Client sécurisé version 5.0.05040
· Microsoft Windows Server 2019 en tant que serveur AC
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Configurer
Diagramme du réseau
Diagramme du réseau
Configurations
a. Créer/importer un certificat utilisé pour l'authentification du serveur
Remarque : sur FMC, un certificat CA est nécessaire avant de pouvoir générer le CSR. Si CSR est généré à partir d'une source externe (OpenSSL ou tierce partie), la méthode manuelle échoue et le format de certificat PKCS12 doit être utilisé.
Étape 1. Accédez à Devices > Certificateset cliquez sur Add. Sélectionnez Périphérique et cliquez sur le signe plus (+) sous Inscription au certificat.
Ajouter une inscription de certificat
Étape 2. Sous l'CA Information, sélectionnez le type d'inscription comme Manual et collez le certificat d'autorité de certification (CA) utilisé pour signer le CSR.
Ajouter des informations CA
Étape 3. Pour Utilisation de la validation, sélectionnez IPsec Client, SSL Client et Skip Check for CA flag in basic constraints of the CA Certificate.
Étape 4. SousCertificate Parameters, renseignez les détails du nom de l'objet.
Ajouter des paramètres de certificat
Étape 5. Sous Keysélectionnez le type de clé RSA avec un nom et une taille de clé. Cliquez sur Save.
Remarque : pour le type de clé RSA, la taille de clé minimale est de 2 048 bits.
Ajouter une clé RSA
Étape 6. SousCert Enrollment, sélectionnez le point de confiance dans la liste déroulante qui vient d'être créé et cliquez sur Add.
Ajouter un nouveau certificat
Étape 7. Cliquez sur ID, puis sur Yes une autre invite pour générer le CSR.
Générer CSR
Étape 8. Copiez le CSR et faites-le signer par l'autorité de certification. Une fois le certificat d'identité émis par l'autorité de certification, importez-le en cliquant sur Browse Identity Certificate et cliquez sur Import .
Importer le certificat ID
Remarque : si l'émission du certificat d'ID prend du temps, vous pouvez répéter l'étape 7 ultérieurement. Cela générera le même CSR et nous pourrons importer le certificat d'ID.
b. Ajouter un certificat CA approuvé/interne
Remarque : si l'autorité de certification utilisée à l'étape (a), « Créer/importer un certificat utilisé pour l'authentification du serveur » émet également des certificats utilisateur, vous pouvez ignorer l'étape (b), « Ajouter un certificat CA approuvé/interne ». Il n'est pas nécessaire d'ajouter à nouveau le même certificat d'autorité de certification et il doit également être évité. Si le même certificat CA est ajouté à nouveau, trustpoint est configuré avec « validation-usage none », ce qui peut avoir un impact sur l'authentification de certificat pour RAVPN.
Étape 1. Accédez à Devices > Certificates et cliquez sur Add.
Sélectionnez Périphérique et cliquez sur le signe plus (+) sous Inscription au certificat.
Ici, « auth-risaggar-ca » est utilisé pour émettre des certificats d'identité/d'utilisateur.
auth-risaggar-ca
Étape 2. Entrez un nom de point de confiance et sélectionnezManual comme type d'inscription sous CA information.
Étape 3. Vérifiez CA Onlyet collez le certificat CA approuvé/interne au format pem.
Étape 4. Cochez Skip Check for CA flag in basic constraints of the CA Certificateet cliquez sur Save.
Ajouter un point de confiance
Étape 5. Sous Cert Enrollment, sélectionnez le point de confiance dans la liste déroulante qui vient d'être créée et cliquez sur Add.
Ajouter une autorité de certification interne
Étape 6. Le certificat ajouté précédemment s'affiche comme suit :
Certificat ajouté
c. Configurer le pool d'adresses pour les utilisateurs VPN
Étape 1. Accédez à Objects > Object Management > Address Pools > IPv4 Pools .
Étape 2. Entrez le nom et la plage d'adresses IPv4 avec un masque.
Ajouter un pool IPv4
d. Télécharger des images client sécurisées
Étape 1. Téléchargez des images client sécurisées WebDéploiement conformément au système d'exploitation à partir du site Cisco Software.
Étape 2. Accédez à Objects > Object Management > VPN > Secure Client File > Add Secure Client File .
Étape 3. Entrez le nom et sélectionnez le fichier Secure Client sur le disque.
Étape 4. Sélectionnez le type de fichier comme Secure Client Image et cliquez sur Save.
Ajouter une image de client sécurisé
e. Créer et télécharger un profil XML
Étape 1. Téléchargez et installez le client sécurisé Profile Editor à partir du site Cisco Software.
Étape 2. Créez un nouveau profil et sélectionnez-leAll dans la liste déroulante Sélection de certificat client. Il contrôle principalement quel(s) magasin(s) de certificats Secure Client peut utiliser pour stocker et lire des certificats.
Deux autres options sont disponibles :
- Ordinateur - Le client sécurisé est limité à la recherche de certificats sur le magasin de certificats de l'ordinateur local Windows.
- Utilisateur - Le client sécurisé est limité à la recherche de certificats sur le magasin de certificats d'utilisateur Windows local.
Définir le remplacement du magasin de certificats comme True .
Cela permet à un administrateur d'indiquer au client sécurisé d'utiliser les certificats dans le magasin de certificats de l'ordinateur Windows (système local) pour l'authentification du certificat client. Le remplacement du magasin de certificats s'applique uniquement à SSL, où la connexion est initiée, par défaut, par le processus de l'interface utilisateur. Lorsque vous utilisez IPSec/IKEv2, cette fonctionnalité du profil client sécurisé n'est pas applicable.
Ajouter des préférences (Partie 1)
Étape 3. (Facultatif) Désactivez la case à cocher Disable Automatic Certificate Selection, car l’utilisateur n’est pas invité à sélectionner le certificat d’authentification.
Ajouter des préférences (Partie 2)
Étape 4. Créez un Server List Entry pour configurer un profil dans Secure Client VPN en fournissant group-alias et group-url sous la Liste des serveurs et enregistrez le profil XML.
Ajouter une liste de serveurs
Étape 5. Enfin, le profil XML est prêt à être utilisé.
Profil XML
Emplacement des profils XML pour différents systèmes d'exploitation :
- Windows - C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profile
- MacOS - /opt/cisco/anyconnect/profile
- Linux - /opt/cisco/anyconnect/profile
Étape 6. Accédez à Objects > Object Management > VPN > Secure Client File > Add Secure Client Profile .
Entrez le nom du fichier et cliquez sur Browse pour sélectionner le profil XML. Cliquez sur Save.
Ajouter un profil VPN client sécurisé
Configuration VPN d'accès à distance
Étape 1. Créez une liste de contrôle d’accès en fonction des besoins pour autoriser l’accès aux ressources internes.
Accédez à Objects > Object Management > Access List > Standard et cliquez sur Add Standard Access List.
Ajouter une ACL standard
Remarque : cette liste de contrôle d'accès est utilisée par le client sécurisé pour ajouter des routes sécurisées aux ressources internes.
Étape 2. Accédez à Devices > VPN > Remote Access et cliquez sur Add.
Étape 3. Saisissez le nom du profil, puis sélectionnez le périphérique FTD et cliquez sur Next (Suivant).
Ajouter un nom de profil
Étape 4. Saisissez le Connection Profile Nameet sélectionnez la méthode d'authentification comme Client Certificate Only sous Authentication, Authorization and Accounting (AAA).
Sélectionner une méthode d'authentification
Étape 5. Cliquez sur Use IP Address Pools sous Client Address Assignment et sélectionnez le pool d'adresses IPv4 créé précédemment.
Sélectionner l'affectation d'adresses client
Étape 6. Modifiez la stratégie de groupe.
Modifier la stratégie de groupe
Étape 7. Accédez à General > Split Tunneling , sélectionnez Tunnel networks specified below et sélectionnez Standard Access List sous Split Tunnel Network List Type.
Sélectionnez la liste de contrôle d’accès créée précédemment.
Ajouter une tunnellisation partagée
Étape 8. Accédez à Secure Client > Profile , sélectionnez le Client Profile et cliquez sur Save.
Ajouter un profil client sécurisé
Étape 9. Cliquez sur Next, puis sélectionnez le Secure Client Image et cliquez sur Next.
Ajouter une image de client sécurisé
Étape 10. Sélectionnez l'interface réseau pour l'accès VPN, choisissez le Device Certificates et cochez sysopt permit-vpn et cliquez sur Next.
Ajouter un contrôle d'accès pour le trafic VPN
Étape 11. Enfin, passez en revue toutes les configurations et cliquez sur Finish.
Configuration de la stratégie VPN d'accès à distance
Étape 12. Une fois la configuration initiale du VPN d'accès à distance terminée, modifiez le profil de connexion créé et accédez à Aliases.
Étape 13. Configurez group-alias en cliquant sur l'icône plus (+).
Modifier un alias de groupe
Étape 14. Configurez group-url en cliquant sur l'icône plus (+). Utilisez la même URL de groupe que celle configurée précédemment dans le profil client.
Modifier l'URL du groupe
Étape 15. Accédez à Access Interfaces. Sélectionnez les Interface Truspoint et les SSL Global Identity Certificate sous les paramètres SSL.
Modifier les interfaces d'accès
Étape 16. CliquezSave sur et déployez ces modifications.
Vérifier
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
1. Le certificat doit être installé sur le PC client sécurisé avec une date, un objet et une UKE valides sur le PC de l'utilisateur. Ce certificat doit être émis par l'autorité de certification dont le certificat est installé sur le FTD, comme indiqué précédemment. Ici, le certificat d'identité ou d'utilisateur est émis par "auth-risaggar-ca".
Points saillants du certificat
Remarque : le certificat client doit avoir l'utilisation améliorée de la clé (EKU) « Authentification client ».
2. Le client sécurisé doit établir la connexion.
Connexion client sécurisée réussie
3. Exécutez show vpn-sessiondb anyconnect pour confirmer les détails de connexion de l'utilisateur actif dans le groupe de tunnels utilisé.
firepower# show vpn-sessiondb anyconnect Session Type: AnyConnect Username : dolljain.cisco.com Index : 8 Assigned IP : 10.20.20.1 Public IP : 72.163.X.X Protocol : AnyConnect-Parent SSL-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 Bytes Tx : 14402 Bytes Rx : 9652 Group Policy : DfltGrpPolicy Tunnel Group : RAVPN-CertAuth Login Time : 08:32:22 UTC Mon Mar 18 2024 Duration : 0h:03m:59s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0ac5de050000800065f7fc16 Security Grp : none Tunnel Zone : 0
Dépannage
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
1. Les débogages peuvent être exécutés à partir de l'interface de ligne de commande de diagnostic du FTD :
debug crypto ca 14
debug webvpn anyconnect 255
debug crypto ike-common 255
2. Reportez-vous à ce guide pour les problèmes courants.