Konfiguration eines Secure Client (AnyConnect) Remote Access VPN über FTD

Einleitung

Dieses Dokument beschreibt eine Konfiguration für Secure Client (AnyConnect) Remote Access VPN auf Secure Firewall Threat Defense.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Grundlegendes VPN-, TLS- und IKEv2-Wissen
• AAA- (Basic Authentication, Authorization, and Accounting) und RADIUS-Kenntnisse
• Erfahrung mit Secure Firewall Management Center

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Secure Firewall Threat Defense (SFTD) 7.2.5
• Secure Firewall Management Center (SFMC) 7.2.9
• Secure Client (AnyConnect) 5.1.6 

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Dieses Dokument enthält ein Konfigurationsbeispiel für die Secure Firewall Threat Defense (FTD) Version 7.2.5 und höher, mit der das Remote-Access-VPN Transport Layer Security (TLS) und Internet Key Exchange Version 2 (IKEv2) verwenden kann. Als Client kann Secure Client (AnyConnect) verwendet werden, der auf mehreren Plattformen unterstützt wird.

Konfiguration

1. Voraussetzungen

So wechseln Sie durch den Remote Access-Assistenten im Secure Firewall Management Center:

• Erstellen Sie ein Zertifikat, das für die Serverauthentifizierung verwendet wird.
• Konfigurieren Sie den RADIUS- oder LDAP-Server für die Benutzerauthentifizierung.
• Erstellen Sie einen Adresspool für VPN-Benutzer.
• Laden Sie AnyConnect-Images für verschiedene Plattformen hoch.

a) SSL-Zertifikat importieren

Zertifikate sind für die Konfiguration von Secure Client unerlässlich. Um Fehler in Webbrowsern zu vermeiden, muss das Zertifikat über eine Erweiterung für den alternativen Antragstellernamen mit dem DNS-Namen und/oder der IP-Adresse verfügen.

Anmerkung: Nur registrierte Cisco Benutzer haben Zugriff auf interne Tools und Fehlerinformationen.

Die manuelle Zertifikatregistrierung unterliegt folgenden Einschränkungen:

- Auf SFTD benötigen Sie das CA-Zertifikat, bevor Sie den CSR generieren.

- Wenn der CSR extern generiert wird, schlägt die manuelle Methode fehl, daher muss eine andere Methode verwendet werden (PKCS12).

Es gibt verschiedene Methoden, um ein Zertifikat auf der SFTD-Appliance zu erhalten. Die sichere und einfache Methode besteht jedoch darin, eine Zertifikatsanforderung (Certificate Signing Request, CSR) zu erstellen, sie mit einer Zertifizierungsstelle (Certificate Authority, CA) zu signieren und dann ein Zertifikat zu importieren, das für einen öffentlichen Schlüssel ausgestellt wurde, der in der CSR enthalten war.

So gehen Sie vor:

• Navigieren Sie zu,Objects > Object Management > PKI > Cert Enrollmentund klicken Sie aufAdd Cert Enrollment.

• Wählen Sie ein Zertifikat der Zertifizierungsstelle (Certificate Authority, CA) ausEnrollment Typeund fügen Sie es ein (das Zertifikat, das zum Signieren des CSR verwendet wird).

• Gehen Sie dann zur zweiten Registerkarte, wählen Sie alle erforderlichen Felder ausCustom FQDN, und füllen Sie diese aus, z. B.:

• Wählen Sie auf der dritten Registerkarte Key TypeName und Größe aus. Für RSA sind mindestens 2048 Bit erforderlich.
• Klicken Sie aufSave, und navigieren Sie zuDevices > Certificates > Add.
• Wählen Sie dannDevice, undCert Enrollment, wählen Sie den soeben erstellten Vertrauenspunkt aus, und klicken Sie aufAdd:

• Klicken Sie später neben dem Namen des Vertrauenspunkts auf  kopieren Sie dannYesden CSR in die Zertifizierungsstelle und signieren Sie. Das Zertifikat muss dieselben Attribute wie ein normaler HTTPS-Server haben.
• Nachdem Sie das Zertifikat von CA im Base64-Format erhalten haben, wählen Sie es aus,Browse Identity Certificatewählen Sie es auf der Festplatte aus, und klicken Sie aufImport. Wenn dies erfolgreich ist, sehen Sie Folgendes:

b) Konfigurieren des RADIUS-Servers

• Navigieren Sie zu .Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group > +
• Geben Sie den Namen ein, und fügen Sie die IP-Adresse zusammen mit dem geheimen Schlüssel hinzu. Klicken Sie aufSave:

• Danach sehen Sie den Server auf der Liste:

c) Erstellen eines Adresspools für VPN-Benutzer

• Navigieren Sie zu Objects > Object Management > Address Pools > IPv4 Pools > Add IPv4 Pools.
• Geben Sie den Namen und den Bereich ein. Die Maske wird nicht benötigt: 

d) XML-Profil erstellen

• Laden Sie den Profil-Editor von der Cisco Website herunter, und öffnen Sie ihn.
• Navigieren Sie zu Server List > Add...
• Geben Sie den Anzeigenamen und den FQDN ein. Einträge werden in der Serverliste angezeigt:

• KlickenOKund File > Save as... 

e) AnyConnect-Images hochladen

• Laden Sie Paketbilder von der Cisco Website herunter.
• Navigieren Sie zu .Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File
• Geben Sie den Namen ein, und wählen Sie PKG-Datei von der Festplatte aus, klicken Sie aufSave:

• Fügen Sie weitere Pakete entsprechend Ihrer Anforderungen hinzu.

2. Assistent für den Remotezugriff

• Navigieren Sie zu .Devices > VPN > Remote Access > Add a new configuration
• Nennen Sie das Profil, und wählen Sie FTD-Gerät aus:

• Geben Sie im Schritt "Verbindungsprofil"Connection Profile Nameein, und wählen Sie das Authentication Server undAddress Poolsaus, das Sie zuvor erstellt haben:

• Klicken Sie auf Edit Group Policy und auf der Registerkarte AnyConnect, wählen SieClient Profileaus, und klicken Sie dann aufSave:

• Wählen Sie auf der nächsten Seite AnyConnect Images aus, und klicken Sie aufNext.

• Wählen Sie auf dem nächsten Bildschirm Network Interface and Device Certificates:

• Wenn alles richtig konfiguriert ist, können Sie auf klickenFinishund dannDeploy:

• Dadurch wird die gesamte Konfiguration zusammen mit Zertifikaten und AnyConnect-Paketen in die FTD-Appliance kopiert.

Verbindung

Um eine Verbindung mit FTD herzustellen, müssen Sie einen Browser öffnen, DNS-Namen oder IP-Adresse eingeben, die auf die externe Schnittstelle verweist. Anschließend melden Sie sich mit Anmeldeinformationen an, die auf dem RADIUS-Server gespeichert sind, und folgen den Anweisungen auf dem Bildschirm. Nach der Installation von AnyConnect müssen Sie dieselbe Adresse in das AnyConnect-Fenster eingeben und auf klickenConnect.

Einschränkungen

Derzeit nicht unterstützt auf FTD, aber verfügbar auf ASA:

• FTDposture VPN unterstützt keine Gruppenrichtlinienänderungen durch dynamische Autorisierung oder RADIUS-Autorisierungsänderung (CoA).

• AnyConnect-Anpassung (Erweiterung: Cisco Bug-ID CSCvq87631)
• AnyConnect-Skripts (Erweiterung: Cisco Bug-ID CSCvt58044)
• AnyConnect-Lokalisierung
• WSA-Integration
• Gleichzeitige dynamische IKEv2-Kryptografiezuordnung für RA und L2L VPN (Erweiterung: Cisco Bug-ID CSCvr52047)
• TACACS, Kerberos - KCD-Authentifizierung und RSA SDI (Erweiterung: Cisco Bug-ID CSCvx55859)
• Browser-Proxy

Sicherheitsüberlegungen

Standardmäßig wird das sysopt connection permit-vpnist deaktiviert. Das bedeutet, dass Sie den Datenverkehr, der aus dem Adresspool an einer externen Schnittstelle stammt, über die Zugriffskontrollrichtlinie zulassen müssen. Obwohl die Vorfilter- oder Zugriffskontrollregel hinzugefügt wird, um nur VPN-Datenverkehr zuzulassen, wird dieser irrtümlicherweise zugelassen, wenn der Klartextdatenverkehr den Regelkriterien entspricht.

Für dieses Problem gibt es zwei Ansätze. Die empfohlene Option für das TAC besteht zum einen darin, Anti-Spoofing (auf ASA wurde es als Unicast Reverse Path Forwarding - uRPF bezeichnet) für externe Schnittstellen zu aktivieren, und zum anderen darin, die Snort-Inspektion vollständig zu umgehen zu ermöglichen sysopt connection permit-vpn. Die erste Option ermöglicht eine normale Überprüfung des Datenverkehrs von und zu VPN-Benutzern.

a) uRPF aktivieren

• Erstellen Sie eine Nullroute für das Netzwerk, das für RAS-Benutzer verwendet wird, wie in Abschnitt C definiert. Navigieren Sie zu,Devices > Device Management > Edit > Routing > Static Route und wählen Sie Add route.

• Aktivieren Sie anschließend uRPF an der Schnittstelle, an der die VPN-Verbindungen enden. Navigieren Sie zu Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing, um nach diesem Element zu suchen. 

Wenn ein Benutzer verbunden ist, wird die 32-Bit-Route für diesen Benutzer in der Routing-Tabelle installiert. Clear Text-Datenverkehr, der von den anderen, nicht verwendeten IP-Adressen aus dem Pool stammt, wird von uRFP verworfen. Eine Beschreibung von finden Sie Anti-Spoofing unter Konfigurationsparameter für die Sicherheit auf der Firewall-Bedrohungsabwehr festlegen.

b) Option aktivierensysopt connection permit-vpn:

• Es gibt eine Option, um es mit dem Assistenten oder unterDevices > VPN > Remote Access > VPN Profile > Access Interfaces.

Zugehörige Informationen

• Technischer Support und Downloads von Cisco