Inleiding
Dit document beschrijft een configuratie voor AnyConnect Remote Access VPN op FTD.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Basis VPN-, TLS- en IKEv2-kennis
- Basisverificatie, autorisatie en accounting (AAA) en RADIUS-kennis
- Ervaring met Firepower Management Center
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco FTD 7.2.0
- Cisco VCC 7.2.1
- AnyConnect 4.10
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Dit document biedt een configuratievoorbeeld voor Firepower Threat Defence (FTD), versie 7.2.0 en hoger, waarmee externe toegang tot VPN mogelijk is om Transport Layer Security (TLS) en Internet Key Exchange versie 2 (IKEv2) te gebruiken. Als client kan Cisco AnyConnect worden gebruikt, wat op meerdere platforms wordt ondersteund.
Configuratie
1. Voorwaarden
Zo gaat u door de wizard Externe toegang in Firepower Management Center:
- Maak een certificaat aan dat wordt gebruikt voor serververificatie.
- Configureer RADIUS- of LDAP-server voor gebruikersverificatie.
- Maak een pool van adressen voor VPN-gebruikers.
- Upload AnyConnect-afbeeldingen voor verschillende platforms.
a) Het SSL-certificaat invoeren
Certificaten zijn essentieel wanneer u AnyConnect configureert. Het certificaat moet de extensie Alternatieve Naam hebben met DNS-naam en/of IP-adres om fouten in webbrowsers te voorkomen.
Opmerking: alleen geregistreerde Cisco-gebruikers hebben toegang tot interne tools en buginformatie.
Er zijn beperkingen voor handmatige inschrijving van certificaten:
- Op FTD hebt u het CA-certificaat nodig voordat u de CSR genereert.
- Indien de MVO extern wordt gegenereerd, kan de handmatige methode niet werken, maar moet een andere methode worden gebruikt (PKCS12).
Er zijn verschillende methoden om een certificaat op FTD-apparaat te verkrijgen, maar de veilige en makkelijke manier is om een Certificate Signing Verzoek (CSR) te maken, het te ondertekenen met een Certificate Authority (CA) en vervolgens een geïmporteerd certificaat afgegeven voor publieke sleutel, die in CSR was. Dit is de manier om dat te doen:
- Ga naar veld
Objects
> Object Management > PKI > Cert Enrollment
, klik op Cert-inschrijving toevoegen.
- Kiezen
Enrollment Type
certificaat van de certificeringsinstantie (CA) (het certificaat dat wordt gebruikt om de CSR te ondertekenen).
- Ga vervolgens naar het tweede tabblad en selecteer
Custom FQDN
en vul alle nodige velden in, bijvoorbeeld:
- Selecteer in het derde tabblad de optie
Key Type
Kies naam en grootte. Voor RSA zijn minimaal 2048 bits vereist.
- Klik op Opslaan en ga naar
Devices > Certificates > Add > New Certificate
.
- Selecteer vervolgens
Device
, en Cert Enrollment
selecteer het trustpoint dat u zojuist hebt gemaakt, klik op Add
:
- Later, naast de trustpoint naam, klikt u op de pictogram, gevolgd
Yes
, en daarna CSR naar CA kopiëren en ondertekenen. Certificaat moet dezelfde kenmerken hebben als een HTTPS-server.
- Nadat u het certificaat van CA in base64-formaat hebt ontvangen, selecteert u het van de schijf en klikt u op
Import
. Als dit lukt, zie je:
b) RADIUS-server configureren
- Ga naar veld
Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group
.
- Vul de naam in en voeg IP-adres toe samen met gedeeld geheim, klik op
Save
:
- Daarna ziet u de server in de lijst:
c) Maak een pool van adressen voor VPN-gebruikers
- Ga naar veld
Objects > Object Management > Address Pools > Add IPv4 Pools.
- Zet de naam en bereik, masker is niet nodig:
d) XML-profiel maken
- Download de Profile Editor van de Cisco-site en open deze.
- Ga naar veld
Server List > Add...
- Zet de naam en FQDN van het display. U ziet vermeldingen in de serverlijst:
- Klik op de knop
OK
en File > Save as...
e) AnyConnect-afbeeldingen uploaden
- Download pkg-afbeeldingen van de Cisco-site.
- Ga naar veld
Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File
.
- Typ de naam en selecteer PKG-bestand vanaf schijf, klik op
Save
:
- Voeg meer pakketten toe op basis van uw eigen vereisten.
2. Wizard Externe toegang
- Ga naar veld
Devices > VPN > Remote Access > Add a new configuration
.
- Geef het profiel een naam en selecteer FTD-apparaat:
- Typ in de stap Verbindingsprofiel het volgende:
Connection Profile Name
, selecteert u de Authentication Server
en Address Pools
die u eerder hebt gemaakt:
- Klik op
Edit Group Policy
en selecteer op het tabblad AnyConnect de optie Client Profile
klikt u vervolgens op Save
:
- Selecteer op de volgende pagina de optie AnyConnect-afbeeldingen en klik op
Next
.
- Selecteer in het volgende scherm de optie
Network Interface and Device Certificates:
- Als alles goed is ingesteld, kunt u op
Finish
en vervolgens Deploy
:
- Hierdoor wordt de gehele configuratie gekopieerd, samen met certificaten en AnyConnect-pakketten naar FTD-applicatie.
Connection
Om verbinding te maken met FTD moet u een browser, type DNS naam of IP-adres dat naar de buiteninterface wijst openen. U logt vervolgens in met referenties die zijn opgeslagen in een RADIUS-server en voert de instructies uit op het scherm. Nadat AnyConnect is geïnstalleerd, moet u hetzelfde adres in het AnyConnect-venster plaatsen en op Connect
.
Beperkingen
Momenteel niet ondersteund op FTD, maar beschikbaar op ASA:
Beveiligingsoverwegingen
Standaard wordt de sysopt connection permit-vpn
optie is uitgeschakeld. Dit betekent dat u het verkeer moet toestaan dat afkomstig is van de pool van adressen op buiteninterface via Access Control Policy. Hoewel de voorfilter- of toegangscontroleregel wordt toegevoegd om alleen VPN-verkeer toe te staan, wordt deze bij vergissing toegestaan als er clear-text verkeer gebeurt om aan de regelcriteria te voldoen.
Dit probleem wordt op twee manieren benaderd. Ten eerste, TAC aanbevolen optie, is anti-Spoofing inschakelen (op ASA was het bekend als Unicast Reverse Path Forwarding - uRPF) voor buiteninterface, en ten tweede, moet inschakelen sysopt connection permit-vpn
om de inspectie van de snort volledig te omzeilen. De eerste optie staat een normale inspectie van het verkeer toe dat naar en van VPN-gebruikers gaat.
a) uRPF inschakelen
- Maak een nulroute voor het netwerk dat wordt gebruikt voor gebruikers van externe toegang, zoals gedefinieerd in sectie C. Ga naar
Devices > Device Management > Edit > Routing > Static Route
en selecteer Add route
- Schakel vervolgens uRPF in op de interface waar de VPN-verbindingen eindigen. Om dit te vinden, navigeer naar
Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing
.
Wanneer een gebruiker is verbonden, wordt de 32-bits route voor die gebruiker in de routeringstabel geïnstalleerd. Wis het tekstverkeer dat afkomstig is van de andere, ongebruikte IP-adressen uit de pool wordt door uRFP verwijderd. Om een beschrijving te zien van Anti-Spoofing
Raadpleeg Beveiligingsconfiguratieparameters instellen bij Firepower Threat Defence.
b) Inschakelen Oysopt connection permit-vpn
Optioneel
- Er is een optie om dit te doen met de wizard of onder
Devices > VPN > Remote Access > VPN Profile > Access Interfaces
.
Gerelateerde informatie