Configurar a VPN de acesso remoto do Secure Client (AnyConnect) no FTD

Opções de download

  • PDF     (1.5 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.5 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (959.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:25 de novembro de 2024
ID do documento:212424

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve uma configuração para VPN de Acesso Remoto de Cliente Seguro (AnyConnect) no Secure Firewall Threat Defense.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Conhecimento básico de VPN, TLS e IKEv2,
    • conhecimento de Autenticação, Autorização e Contabilização Básica (AAA - Basic Authentication, Authorization, and Accounting) e RADIUS;
    • Experiência com o Secure Firewall Management Center.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Secure Firewall Threat Defense (SFTD) 7.2.5
    • Secure Firewall Management Center (SFMC) 7.2.9
    • Secure Client (AnyConnect) 5.1.6 

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Este documento fornece um exemplo de configuração para Secure Firewall Threat Defense (FTD) versão 7.2.5 e posterior, que permite que a VPN de acesso remoto use Transport Layer Security (TLS) e Internet Key Exchange versão 2 (IKEv2). Como um cliente, o Secure Client (AnyConnect) pode ser usado, que é suportado em várias plataformas.

    Configuração

    1. Pré-requisitos

    Para passar pelo assistente de Acesso Remoto no Secure Firewall Management Center:

    • Crie um certificado usado para autenticação de servidor.
    • Configure o servidor RADIUS ou LDAP para autenticação de usuário.
    • Crie um pool de endereços para usuários VPN.
    • Carregue imagens do AnyConnect para plataformas diferentes.

    a) Importar o certificado SSL


    Os certificados são essenciais quando você configura o Secure Client. O certificado deve ter a extensão de Nome Alternativo da Entidade com o nome DNS e/ou endereço IP para evitar erros em navegadores da Web.

    Note: Somente usuários registrados da Cisco têm acesso a ferramentas internas e informações de bug.

    Há limitações para o registro manual de certificados:

    - No SFTD, você precisa do certificado CA antes de gerar o CSR.

    - Se o CSR for gerado externamente, o método manual falhará, um método diferente deverá ser usado (PKCS12).

    Há vários métodos para obter um certificado no dispositivo SFTD, mas o seguro e fácil é criar uma CSR (Certificate Signing Request, Solicitação de assinatura de certificado), assiná-la com uma CA (Certificate Authority, Autoridade de certificado) e importar o certificado emitido para a chave pública, que estava em CSR. Veja como fazer isso:

    • Vá paraObjects > Object Management > PKI > Cert Enrollmente clique emAdd Cert Enrollment.
    • SelecioneEnrollment Typee cole o certificado da Autoridade de certificação (CA) (o certificado usado para assinar o CSR).

    CA certificate import

    • Em seguida, vá para a segunda guia e selecioneCustom FQDNe preencha todos os campos necessários, por exemplo:

    Certificate parameters

    • Na terceira guia, selecioneKey Type, escolha nome e tamanho. Para RSA, 2048 bits são no mínimo.
    • CliqueSavee vá paraDevices > Certificates > Add.
    • Em seguida, selecioneDevicee, emCert Enrollment selecione o ponto confiável que você acabou de criar, clique emAdd:

    Add new certificate

    • Depois, ao lado do nome do ponto de confiança, clique no ID icon e, em seguidaYese depois, copie CSR para CA e assine-o. O certificado deve ter atributos iguais aos do servidor HTTPS normal.
    • Depois de receber o certificado da CA no formato base64, selecioneBrowse Identity Certificate, selecione-o no disco e clique emImport. Quando isso for bem-sucedido, você verá:

    Certificate list


    b) Configurar o servidor RADIUS

    • Ir para.Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group > +
    • Preencha o nome e adicione o endereço IP junto com o segredo compartilhado, clique emSave:

    RADIUS server properties

    • Depois disso, você verá o servidor na lista:

    RADIUS server list

    c) Crie um pool de endereços para usuários de VPN

    • Ir para Objects > Object Management > Address Pools > IPv4 Pools > Add IPv4 Pools.
    • Coloque o nome e o intervalo, a máscara não é necessária: 

    Address pool properties

    d) Criar perfil XML

    • Faça o download do Editor de perfis no site da Cisco e abra-o.
    • Ir para Server List > Add...
    • Coloque o Nome para Exibição e o FQDN. Você verá entradas na Lista de servidores:

    Profile editor server list

    • Clique emOKe File > Save as... 

    e) Carregar imagens do AnyConnect

    • Faça o download de imagens de pacotes do site da Cisco.
    • Ir para.Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File
    • Digite o nome e selecione o arquivo PKG do disco e clique emSave:

    Secure Client image import form

    • Adicione mais pacotes com base em seus próprios requisitos.

    2. Assistente de Acesso Remoto

    • Ir para.Devices > VPN > Remote Access > Add a new configuration
    • Nomeie o perfil e selecione o dispositivo FTD:

    Remote access wizard step 1

    • Na etapa Perfil de Conexão, digiteConnection Profile Name, selecione o Authentication Server eAddress Poolsque você criou anteriormente:

    Remote access wizard step 2

    Client address assignment and group policy selection

    • Clique em Edit Group Policy e na guia AnyConnect, selecioneClient Profilee clique emSave:

    Profile selection in group policy properties

    • Na próxima página, selecione as imagens do AnyConnect e clique emNext.

    Secure Endpoint image

    • Na próxima tela, selecione Network Interface and Device Certificates:

    Network interface selection

    • Quando tudo estiver configurado corretamente, você poderá clicar emFinishe depois emDeploy:

    The last step in Remote Access wizard

    • Isso copia toda a configuração junto com os certificados e os pacotes do AnyConnect para o dispositivo FTD.

    Conexão

    Para se conectar ao FTD, você precisa abrir um navegador, digitar o nome DNS ou o endereço IP que aponta para a interface externa. Em seguida, faça login com as credenciais armazenadas no servidor RADIUS e siga as instruções na tela. Depois que o AnyConnect for instalado, você precisará colocar o mesmo endereço na janela do AnyConnect e clicar emConnect.

    Limitações

    Atualmente sem suporte no FTD, mas disponível no ASA:

    • A VPN FTDposture não oferece suporte à alteração de política de grupo por meio de autorização dinâmica ou alteração de autorização (CoA) RADIUS.

    • Personalização do AnyConnect (Aprimoramento: ID de bug da Cisco CSCvq87631)
    • Scripts do AnyConnect (Aprimoramento: ID de bug da Cisco CSCvt58044).
    • Localização do AnyConnect.
    • Integração com WSA.
    • Mapa de criptografia dinâmica IKEv2 simultâneo para RA e VPN L2L (Aprimoramento: ID de bug Cisco CSCvr52047).
    • TACACS, Kerberos - Autenticação KCD e RSA SDI (Aprimoramento: ID de bug da Cisco CSCvx55859).
    • Proxy do navegador.

    Considerações sobre segurança

    Por padrão, o sysopt connection permit-vpnestá desativada. Isso significa que você precisa permitir o tráfego que vem do pool de endereços na interface externa através da Política de Controle de Acesso. Embora a regra de pré-filtro ou de controle de acesso seja adicionada para permitir somente o tráfego VPN, se o tráfego de texto simples corresponder aos critérios da regra, ele será permitido erroneamente.

    Há duas abordagens para esse problema. Primeiro, a opção recomendada do TAC é ativar o Anti-Spoofing (no ASA, era conhecido como Unicast Reverse Path Forwarding - uRPF) para a interface externa e, segundo, permitir sysopt connection permit-vpnignorar completamente a inspeção Snort. A primeira opção permite uma inspeção normal do tráfego que vai para e de usuários de VPN.

    a) Habilitar uRPF

    • Crie uma rota nula para a rede usada para usuários de acesso remoto, definida na seção C. Vá paraDevices > Device Management > Edit > Routing > Static Route e selecione Add route

    New static route properties

    • Em seguida, habilite o uRPF na interface onde as conexões VPN terminam. Para localizar isso, navegue até Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing

    Edit physical interface

    Quando um usuário está conectado, a rota de 32 bits é instalada para esse usuário na tabela de roteamento. O tráfego de texto simples originado de outros endereços IP não utilizados do pool é descartado pelo uRFP. Para ver uma descrição de Anti-Spoofing , consulte Definir parâmetros de configuração de segurança no Firewall Threat Defense.

    b) Ativarsysopt connection permit-vpnopção

    • Há uma opção para fazer isso com o assistente ou sob Devices > VPN > Remote Access > VPN Profile > Access Interfaces.

    Bypass Access Control policy option selected

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    5.0
    25-Nov-2024
    Convenção de nomenclatura alterada e alterações refletidas na GUI
    4.0
    05-Dec-2023
    Recertificação
    3.0
    16-Dec-2022
    Reescrever. Atualizar Formatação. Recertificação.
    2.0
    08-Nov-2022
    Formatação atualizada e nova certificação ortográfica corrigida
    1.0
    07-Nov-2017
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Radoslaw Olszowy
      Engenheiro de consultoria técnica da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos