تكوين شفرات TLS و DTLS الحديثة ل RAPN
المحتويات
المقدمة
يصف هذا المستند إجراء تكوين شفرات أمان طبقة النقل الحديثة (TLS) وأمان طبقة نقل مخططات البيانات (DTLS).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- معرفة شبكة VPN الأساسية للوصول عن بعد (RAVPN) وطبقة مآخذ التوصيل الآمنة (SSL)
- تم إختبار تكوين RAVPN على جدار الحماية الآمن وتشغيله
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco Secure Firewall Management Center 7.2
- برنامج الدفاع ضد تهديد جدار الحماية من Cisco 7.2
- Secure Client، الإصدار 5.0
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
تكوين إعدادات النظام الأساسي لجدار الحماية الآمن
مقدمة عن إعدادات النظام الأساسي
نهج إعدادات النظام الأساسي هو مجموعة مشتركة من الميزات أو المعلمات التي تحدد جوانب الجهاز المدار التي من المحتمل أن تكون مماثلة للأجهزة الأخرى المدارة في عملية النشر الخاصة بك، مثل إعدادات الوقت والمصادقة الخارجية. تتيح لك السياسة المشتركة إمكانية تكوين أجهزة مدارة متعددة في آن واحد، مما يوفر التناسق في عملية النشر لديك ويبسط جهود الإدارة لديك. تؤثر أي تغييرات على نهج إعدادات النظام الأساسي على جميع الأجهزة التي تمت إدارتها حيث قمت بتطبيق النهج. تفضل بقراءة المزيد حول إعدادات النظام الأساسي هنا.
لتغيير إعدادات النظام الأساسي، قم بإنشاء نهج إذا لم يكن مكتملا بالفعل. في حالة الاكتمال، تخطي تكوين شفرات TLS / DTLS.
انتقل إلى أجهزة > إعدادات النظام الأساسي وحدد سياسة جديدة للبدء.
قم بتعيين جهاز الدفاع ضد تهديد جدار الحماية إلى السياسة.
تكوين شفرات TLS / DTLS
انتقل إلى علامة تبويب SSL للوصول إلى تكوين TLS / DTLS. قم بإنشاء قائمة تشفير مخصصة عن طريق تحديد الزر إضافة.
قم بتغيير إصدارات TLS / DTLS باستخدام قيم المنحنى البيضاوي / مجموعة Diffie-hellman المناسبة لتلائم إحتياجات الأمان لديك.
ملاحظة: يمكنك إنشاء قائمتك المخصصة بسمة معتمدة مخصصة أو تحديد من المستويات المختلفة للشفرات المدعومة. الرجاء تحديد القائمة والشفرة التي تدعم إحتياجات الأمان لديك على أفضل وجه.
حدد مستوى البروتوكول والتشفير.
كرر نفس العملية ل DTLS.
تم إكمال التكوين في مركز إدارة جدار الحماية الآمن.
حفظ التكوين ونشر التغييرات في FTD.
ملاحظة: يمكن تطبيق هذه التغييرات أثناء اتصال المستخدمين. تحدث شفرات TLS / DTLS التي تم التفاوض عليها لجلسة عمل العميل الآمن فقط في بداية الجلسة. إذا كان المستخدمون متصلين وكنت ترغب في إجراء تغيير، فلن يتم قطع اتصال الاتصالات الموجودة. يجب أن تستخدم الاتصالات الجديدة بجدار الحماية الآمن التشفير الآمن الجديد.
التحقق من الصحة
بعد قيام "مركز إدارة جدار الحماية الآمن" بنشر التكوين على جهاز الدفاع عن التهديد، يلزمك التحقق من وجود المشفعات في واجهة سطر الأوامر (CLI) ل FTD. افتح وحدة طرفية / جلسة عمل لوحدة التحكم إلى الجهاز وأصدر أوامر show المدرجة وراجع مخرجاتها.
التحقق من تكوين واجهة سطر الأوامر (CLI) ل FTD
تأكد من عرض قائمة TLS / DTLS المحددة باستخدام show run ssl.
FTD72# show run ssl
ssl cipher tlsv1.2 high
ssl cipher dtlsv1.2 high
ssl ecdh-group group21تأكد من تفاوض إصدار TLS المحدد مع إصدارات Diffie-Hellman باستخدام show ssl.
FTD72# show ssl
Accept connections using SSLv3 or greater and negotiate to TLSv1.2 or greater
Start connections using TLSv1.2 and negotiate to TLSv1.2 or greater
SSL DH Group: group14 (2048-bit modulus, FIPS)
SSL ECDH Group: group21 (521-bit EC)
SSL trust-points:
Self-signed (RSA 2048 bits RSA-SHA256) certificate available
Self-signed (EC 256 bits ecdsa-with-SHA256) certificate available
Certificate authentication is not enabledالتحقق من واجهة سطر الأوامر (CLI) ل FTD باستخدام اتصال العميل الآمن النشط
اتصال جلسة عمل العميل الآمنة ومراجعة الإخراج من واجهة سطر الأوامر (CLI) في برنامج FTD. للتحقق من التشفير المتبادل قم بتشغيل الأمر show show vpn-sessionDB detail anyConnect filter name username.
FTD72# show vpn-sessiondb detail anyconnect filter name trconner
Session Type: AnyConnect Detailed
Username : trconner Index : 75
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 24350 Bytes Rx : 20451
Pkts Tx : 53 Pkts Rx : 254
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : Split Tunnel Group : Split-4-CCIE
Login Time : 08:59:34 UTC Fri Sep 9 2022
Duration : 0h:01m:26s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : c0a805810004b000631b0076
Security Grp : none
---Output Condensed-----
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 75.1
TCP Src Port : 55581 TCP Dst Port : 443
SSL-Tunnel:
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 55588
DTLS-Tunnel:
Tunnel ID : 75.3
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 64386
التحقق من العميل باستخدام اتصال العميل الآمن النشط
التحقق من التشفير الذي تم التفاوض عليه على تطبيق العميل الآمن.
افتح تطبيق Secure Client.
انتقل إلى الإحصائيات > AnyConnect VPN > إحصائيات للتحقيق. يجب التحقق من الشفرة المدرجة مقابل حماية تهديد جدار الحماية للتأكيد.
استكشاف الأخطاء وإصلاحها
تصحيح الأخطاء من FTD CLI
يمكن التحقق من أخطاء الاتصال في "العميل الآمن" المتعلقة بمبادلات تشفير TLS / DTLS من واجهة سطر الأوامر (CLI) الخاصة بالدفاع عن تهديد جدار الحماية باستخدام أوامر تصحيح الأخطاء هذه.
debug ssl
debug ssl cipher
debug ssl state
debug ssl device
debug ssl packet تجميع DART من العميل الآمن
افتح تطبيق DART الخاص بالعميل الآمن وحدد تشغيل.
ملاحظة: إذا طلب منك إدخال بيانات الاعتماد، فالرجاء إدخال بيانات الاعتماد على مستوى المسؤول للمتابعة.
تجمع DART وتصحيح الأخطاء لإشراك Cisco TAC.
إذا كان التكوين الذي تم نشره كما هو موضح من مركز إدارة جدار الحماية الآمن و Firewall Threat Defense CLI غير مطابق. يرجى فتح حالة جديدة باستخدام Cisco TAC.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
21-Jul-2023 |
الإصدار الأولي |
التعليقات