De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft de integratie van SSL VPN in Firepower Threat Defence met behulp van Cisco ISE en DUO Security voor AAA.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
In onze voorgestelde oplossing is Cisco ISE een cruciale RADIUS-serverproxy. In plaats van een directe evaluatie van het verificatie- of autorisatiebeleid, is ISE geconfigureerd om de RADIUS-pakketten van de FTD naar de DUO-verificatieproxy te sturen.
De DUO-verificatieproxy fungeert als een speciale intermediair binnen deze verificatiestroom. Het is op een Windows-server geïnstalleerd en overbrugt de kloof tussen Cisco ISE en de DUO-cloud. De proxy primaire functie is het verzenden van verificatieverzoeken - ingekapseld in RADIUS-pakketten - naar de DUO Cloud. De DUO Cloud staat uiteindelijk netwerktoegang toe of ontkent op basis van de tweevoudige verificatieconfiguraties.
1. De gebruiker start het VPN-verificatieproces door hun unieke gebruikersnaam en wachtwoord in te voeren.
2. De Firewall Threat Defence (FTD) stuurt het verificatieverzoek naar Cisco Identity Services Engine (ISE).
3. Het Policy Services Node (PSN) stuurt het verificatieverzoek door naar de DUO-verificatieproxyserver. Vervolgens valideert de DUO-verificatieserver de referenties via de DUO Cloud-service.
4. De DUO Cloud valideert de gebruikersnaam en het wachtwoord tegen zijn gesynchroniseerde database.
5. Na een succesvolle verificatie start de DUO Cloud een DUO Push naar de gebruikers die geregistreerd zijn op een mobiel apparaat via een beveiligde, versleutelde push-melding. De gebruiker moet dan de DUO Push goedkeuren om hun identiteit te bevestigen en verder te gaan.
6. Zodra de gebruiker de DUO Push goedkeurt, stuurt de DUO-verificatieproxy-server een bevestiging terug naar de PSN om aan te geven dat de verificatieaanvraag door de gebruiker is geaccepteerd.
7. Het PSN-knooppunt stuurt de bevestiging naar het FTD om te informeren dat de gebruiker is geauthentiseerd.
8. Het FTD ontvangt de verificatiebevestiging en stelt de VPN-verbinding met het eindpunt in met de juiste beveiligingsmaatregelen.
9. De FTD registreert de details van de succesvolle VPN-verbinding en stuurt de boekhoudgegevens veilig terug naar het ISE-knooppunt voor het bijhouden van gegevens en audits.
10. Het ISE-knooppunt registreert de boekhoudinformatie in zijn levensonderhoud en zorgt ervoor dat alle gegevens veilig worden opgeslagen en toegankelijk zijn voor toekomstige audits of nalevingscontroles.
Opmerking:
Voor de installatie in deze handleiding worden de volgende netwerkparameters gebruikt:
- IP-knooppunt voor primaire netwerkserver (PNS): 10.4.23.21
- FTD (Firepower Threat Defence) IP voor peer VPN: 10.4.23.53
- DUO-verificatieproxy voor IP: 10.31.126.2007
- Domeinnaam: testlab.local
1. Open het VCC door uw webbrowser te starten en het IP-adres van het VCC in te voeren om de grafische gebruikersinterface (GUI) te openen.
2. Ga naar het menu Objecten, selecteer AAA-server en ga verder naar de optie RADIUS-servergroep.
3. Klik op de knop RADIUS-servergroep toevoegen om een nieuwe groep voor RADIUS-servers te maken.
4. Voer een beschrijvende naam in voor de nieuwe AAA RADIUS-servergroep om een duidelijke identificatie binnen uw netwerkinfrastructuur te garanderen.
5. Voeg vervolgens een nieuwe RADIUS-server toe door de juiste optie te selecteren binnen de groepsconfiguratie.
6. Specificeer het IP-adres van RADIUS-servers en voer de gedeelde geheime sleutel in.
Opmerking: het is van essentieel belang dat deze geheime sleutel veilig wordt gedeeld met de ISE-server om een succesvolle RADIUS-verbinding tot stand te brengen.
7. Klik na het configureren van de RADIUS-servergegevens op Save om de instellingen voor de RADIUS-servergroep te bewaren.
8. Als u de AAA-serverconfiguratie in uw netwerk wilt voltooien en implementeren, navigeert u naar het menu Implementeren en vervolgens selecteert u Alles implementeren om de instellingen toe te passen.
1. Ga naar Apparaten > VPN > Externe toegang in de FMC GUI om het VPN-configuratieproces te starten.
2. Klik op de knop Add om een nieuw VPN-verbindingsprofiel te maken.
3. Voer een unieke en beschrijvende naam voor VPN in om de VPN binnen uw netwerkinstellingen te helpen identificeren.
4. Kies de SSL-optie om een beveiligde verbinding te garanderen met behulp van het SSL VPN-protocol.
5. Selecteer het specifieke FTD-apparaat in de lijst met apparaten.
6. Configureer de AAA-methode om de PSN-knooppunt in de verificatie-instellingen te gebruiken.
7. Stel dynamische IP-adrestoewijzing in voor VPN.
Waarschuwing: bijvoorbeeld is de DHCP VPN-pool geselecteerd.
8. Ga verder met het creëren van een nieuw groepsbeleid.
9. Controleer of in de instellingen Groepsbeleid het SSL-protocol is geselecteerd.
10. Maak een nieuwe VPN-pool of selecteer een bestaande om de reeks IP-adressen te definiëren die beschikbaar zijn voor VPN-clients.
1. Specificeer de DNS-servergegevens voor de VPN-verbinding.
Waarschuwing: extra functies zoals Banner, Split Tunneling, AnyConnect en Geavanceerde opties worden als optioneel beschouwd voor deze configuratie.
12. Klik na het configureren van de benodigde gegevens op Volgende om verder te gaan naar de volgende fase van de installatie.
13. Selecteer het juiste AnyConnect-pakket voor de VPN-gebruikers. Als het vereiste pakket niet wordt vermeld, hebt u de optie om het benodigde pakket in deze fase toe te voegen.
14. Kies de netwerkinterface op het FTD-apparaat waarin u de externe functie van VPN wilt inschakelen.
15. Voer een certificaatinschrijvingsproces in door een van de beschikbare methoden te selecteren om het certificaat op de firewall te maken en te installeren, wat essentieel is voor beveiligde VPN-verbindingen.
Waarschuwing: in deze handleiding is bijvoorbeeld een zelfondertekend certificaat geselecteerd.
16. Klik op Volgende zodra de certificaatinschrijving is geconfigureerd.
17. Bekijk de samenvatting van al uw configuraties om er zeker van te zijn dat ze nauwkeurig zijn en uw beoogde instellingen weergeven.
18. Om de configuratie van de externe VPN-toegang toe te passen en te activeren, navigeer om alles te implementeren > implementeren en voer de implementatie uit op het geselecteerde FTD-apparaat.
1. Navigeer naar Beheer > Netwerkbronnen > Externe RADIUS-servers in de Cisco ISE-beheerinterface.
2. Klik op de knop Add om een nieuwe externe RADIUS-server te configureren.
3. Voer een naam in voor de Proxy DUO Server.
4. Voer het juiste IP-adres in voor de Proxy DUO Server om een juiste communicatie tussen de ISE en de DUO-server te waarborgen.
5. Stel de gedeelde geheime sleutel in.
Opmerking: deze gedeelde geheime sleutel moet in de Proxy DUO Server worden geconfigureerd om een RADIUS-verbinding tot stand te brengen.
6. Zodra alle details correct zijn ingevoerd, klikt u op Indienen om de nieuwe Proxy DUO Server-configuratie op te slaan.
7. Ga verder naar Beheer > RADIUS-serverreeks.
8. Klik op Add om een nieuwe RADIUS-serverreeks te maken.
9. Geef een duidelijke naam voor de RADIUS-serverreeks voor eenvoudige identificatie.
10. Zoek de eerder geconfigureerde DUO RADIUS-server, DUO_Server genoemd in deze handleiding, en verplaats deze naar de geselecteerde lijst rechts om deze in de reeks op te nemen.
11. Klik op Indienen om de configuratie van de RADIUS-serverreeks te voltooien en op te slaan.
1. Navigeer naar het gedeelte Beheer in uw systeeminterface en selecteer vervolgens Network Resources om toegang te krijgen tot het configuratiegebied voor netwerkapparaten.
2. Zoek en klik in het gedeelte Network Resources eenmaal op de knop Add om het proces voor het toevoegen van een nieuw netwerktoegangsapparaat te starten.
3. Voer in de daarvoor bestemde velden de naam van het netwerktoegangsapparaat in om het apparaat in uw netwerk te identificeren.
4. Specificeer vervolgens het IP-adres van het FTD-apparaat (Firepower Threat Defence).
5. Voer de sleutel in die eerder is ingesteld tijdens de installatie van het VCC (Firepower Management Center). Deze sleutel is essentieel voor veilige communicatie tussen apparaten.
6. Voltooi de procedure door op de knop Indienen te klikken.
Toegang tot de DUO Proxy Download en Installatie Gids door te klikken op de volgende link:
https://duo.com/docs/authproxy-reference
1. Log in op de DUO Security website op https://duo.com/ met behulp van uw referenties.
2. Navigeer naar het gedeelte Toepassingen en selecteer Bescherm een toepassing om door te gaan.
3. Zoek naar de "Cisco ISE RADIUS"-optie in de lijst en klik op Protect om deze aan uw toepassingen toe te voegen.
4. Als de toevoeging succesvol is, zult u de details van de DUO-applicatie zien. Blader naar beneden en klik op Opslaan.
5. Kopieer de meegeleverde integratiesleutel, geheime sleutel en API hostname; deze zijn cruciaal voor de komende stappen.
6. Start de DUO Proxy Manager op uw systeem om door te gaan met de setup.
7. (Optioneel) Als uw DUO Proxy Server een proxy-configuratie nodig heeft om verbinding te maken met de DUO Cloud, voert u de volgende parameters in:
[main]
http_proxy_host=<Proxy IP Address or FQDN >
http_proxy_port=<port>
Waarschuwing: Zorg ervoor dat u vervangt en met uw daadwerkelijke volmachtsdetails.
8. Gebruik nu de informatie die u eerder hebt gekopieerd om de integratieconfiguratie te voltooien.
[radius_server_auto]
ikey=<integration key>
skey=<secret key>
api_host=<API hostname>
radius_ip_1=<ISE IP address>
radius_secret_1=<secret key configured in the external RADIUS server section>
failmode=safe
port=1812
client=ad_client
Tip: De lijn client=ad_client is een indicatie dat de DUO Proxy authenticeert met behulp van een Active Directory-account. Zorg ervoor dat deze informatie correct is om de synchronisatie met de Active Directory te voltooien.
1. Integreer de DUO-verificatieproxy met uw Active Directory.
[ad_client]
host=<AD IP Address>
service_account_username=<service_account_username>
service_account_password=<service_account_password>
search_dn=DC=<domain>,DC=<TLD>
2. Sluit je aan bij je Active Directory met DUO cloud services. Log in op https://duo.com/.
3. Navigeer naar "Gebruikers" en selecteer "Directory Sync" om de synchronisatie-instellingen te beheren.
4. Klik op "Add New Sync" en kies "Active Directory" in de geboden opties.
5. Selecteer Nieuwe verbinding toevoegen en klik op Doorgaan.
6. Kopieer de gegenereerde integratiesleutel, geheime sleutel en API-hostnaam.
7. Ga terug naar de configuratie van de DUO-verificatieproxy en configureer de sectie [cloud] met de nieuwe parameters die u hebt verkregen, evenals de referenties van de serviceaccount voor een Active Directory-beheerder:
[cloud]
ikey=<integration key>
skey=<secret key>
api_host=<API hostname>
service_account_username=<your domain>\<service_account_username>
service_account_password=<service_account_password>
8. Valideer uw configuratie door de optie "valideren" te selecteren om er zeker van te zijn dat alle instellingen correct zijn.
9. Na validatie slaat u uw configuratie op en start u de DUO-verificatieproxy opnieuw om wijzigingen toe te passen.
10. Terug in het DUO-beheerdashboard, voer het IP-adres van uw Active Directory-server in samen met de Base-DN voor gebruikerssynchronisatie.
1. Selecteer de optie Laagbaar maken om het systeem te configureren voor niet-NTLMv2-verificatie.
12. Sla uw nieuwe instellingen op om er zeker van te zijn dat de configuratie wordt bijgewerkt.
13. Gebruik de "testverbinding"-functie om te verifiëren dat de DUO Cloud-service kan communiceren met uw Active Directory.
14. Bevestig dat de status van de Active Directory wordt weergegeven als "Connected", wat wijst op een geslaagde integratie.
1. Navigeer naar Gebruikers > Directory Sync binnen het Duo Admin Panel om de instellingen te vinden die betrekking hebben op directory synchronisatie met Active Directory.
2. Selecteer de Active Directory-configuratie die u wilt beheren.
3. Identificeer en kies binnen de configuratie-instellingen de specifieke groepen in Active Directory die u wilt synchroniseren met de Duo Cloud. Overweeg de filteropties voor uw selectie te gebruiken.
4. Klik op Complete Setup.
5. Klik op Nu synchroniseren om de synchronisatie te starten. Dit exporteert de gebruikersaccounts van de opgegeven groepen in Active Directory naar de Duo Cloud, zodat ze kunnen worden beheerd binnen de Duo Security omgeving.
Door gebruikers in te schrijven, kan identiteit worden geverifieerd via verschillende methoden, zoals code toegang, DUO push, SMS codes en tokens.
1. Navigeer naar de sectie Gebruikers in het Cisco Cloud-dashboard.
2. Zoek en selecteer de account van de gebruiker die u wilt inschrijven.
3. Klik op de knop Email inschrijving verzenden om het inschrijvingsproces te starten.
4. Controleer de e-mail inbox en open de inschrijvingsuitnodiging om het authenticatieproces te voltooien.
Voor extra details betreffende het inschrijvingsproces, gelieve te verwijzen naar deze middelen:
Om ervoor te zorgen dat uw configuraties nauwkeurig en operationeel zijn, valideert u de volgende stappen:
1. Start een webbrowser en voer het IP-adres van het FTD-apparaat (Firepower Threat Defence) in om toegang te krijgen tot de VPN-interface.
2. Voer uw gebruikersnaam en wachtwoord in als hierom wordt gevraagd.
Opmerking: de referenties maken deel uit van de Active Directory-accounts.
3. Wanneer u een DUO Push-melding ontvangt, keurt u deze goed met behulp van de DUO Mobile-software om verder te gaan met het validatieproces.
4. Zoek en download het Cisco AnyConnect VPN-clientpakket dat geschikt is voor Windows-systemen.
5. Voer het gedownloade AnyConnect-installatiebestand uit en ga verder met de instructies die het installatieprogramma op uw Windows-apparaat heeft gegeven.
6. Open de Cisco AnyConnect Secure Mobility-clientsoftware. Maak verbinding met VPN door het IP-adres van het FTD-apparaat in te voeren.
7. Voer, wanneer hierom wordt gevraagd, uw VPN-toegangsreferenties in en autoriseer nogmaals het DUO Push-bericht om uw verbinding te verifiëren.
8. Ga naar Operations > RADIUS > Livelogen om realtime-activiteit te controleren en de juiste connectiviteit te verifiëren, toegang te krijgen tot de live logs in de Cisco Identity Services Engine (ISE).
9. Ga naar Rapporten > Verificatielogboeken om de verificatielogboeken in het DUO Admin Panel te bekijken om te bevestigen dat de verificaties zijn geslaagd.
Alvorens u specifieke fouten in verband met deze integratie onderzoekt, is het van cruciaal belang om het algemene werkscenario te begrijpen.
In de ISE-livelogs kunnen we bevestigen dat ISE de RADIUS-pakketten doorstuurde naar de DUO Proxy, en zodra de gebruiker de DUO Push accepteerde, werd de RADIUS Access Accept ontvangen van de DUO Proxy Server.
Een pakketopname van de ISE-kant toont de volgende informatie:
Fout11368 Controleer de logbestanden op de externe RADIUS-server om de precieze reden van de fout te bepalen.
Probleemoplossing:
- Controleer of de RADIUS gedeelde geheime sleutel in ISE dezelfde is als de ingestelde sleutel in het VCC.
1. Open de ISE-GUI.
2. Beheer > Netwerkbronnen > Netwerkapparaten.
3. Kies de DUO Proxy Server.
4. Klik naast het gedeelde geheim op "Weergeven" om de toets in onbewerkte tekst weer te geven.
5. Open de GUI van het VCC.
6. Objecten > Objectbeheer > AAA-server > RADIUS-servergroep.
7. Kies de ISE-server.
8. Voer de geheime sleutel opnieuw in.
- Controleer de Active Directory-integratie in DUO.
1. Open de DUO-verificatieproxy Manager.
2. Bevestig de gebruiker en het wachtwoord onder de sectie [ad_client].
3. Klik op Valideren om te bevestigen dat de huidige referenties correct zijn.
Probleemoplossing:
- Controleer of de RADIUS gedeelde geheime sleutel in ISE dezelfde is als de ingestelde sleutel in de DUO Proxy Server.
1. Open de ISE-GUI.
2. Beheer > Netwerkbronnen > Netwerkapparaten.
3. Kies de DUO Proxy Server.
4. Klik naast het gedeelde geheim op "Weergeven" om de toets in onbewerkte tekst weer te geven.
5. Open de DUO-verificatieproxy Manager.
6. Controleer de sectie [radius_server_auto] en vergelijk de gedeelde geheime sleutel.
Probleemoplossing:
- Controleer de DUO-configuratie.
1. Open de DUO-verificatieproxy Manager.
2. Controleer het ISE-IP-adres in het gedeelte [radius_server_auto]
- de configuratie van het VCC controleren.
1. Open de GUI van het VCC.
2. Ga naar Objecten > Objectbeheer > AAA-server > RADIUS-servergroep.
3. Kies de ISE-server.
4. Controleer het IP-adres van de ISE.
1. Ga naar Operations > Probleemoplossing > Diagnostische tools > TCP-pomp
- Schakel de volgende componenten in het PSN in als debug:
Beleidsmachine
Prt-JNI
runtime-AAA
Voor verdere probleemoplossing in de DUO-verificatieproxy Manager, controleer dan de volgende link:
https://help.duo.com/s/article/1126?language=en_US
U kunt de volgende sjabloon gebruiken om de configuratie in uw DUO Proxy Server te voltooien.
[main] <--- OPTIONAL
http_proxy_host=<Proxy IP address or FQDN>
http_proxy_port=<Proxy port>
[radius_server_auto]
ikey=xxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=xxxxxxxxxxxxxxxxxxx
radius_ip_1=<PSN IP Address>
radius_secret_1=xxxxxxxxx
failmode=safe
port=1812
client=ad_client
[ad_client]
host=<AD IP Address>
service_account_username=xxxxxxxx
service_account_password=xxxxxxxxxx
search_dn=DC=xxxxxx,DC=xxxx
[cloud]
ikey=xxxxxxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=xxxxxxxxxxxxxxxxxx
service_account_username=<your domain\username>
service_account_password=xxxxxxxxxxxxx
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
25-Jul-2024 |
Eerste vrijgave |
1.0 |
25-Jul-2024 |
Eerste vrijgave |