Konfigurieren moderner TLS- und DTLS-Chiffren für RAVPN
Inhalt
Einleitung
In diesem Dokument wird das Verfahren zur Konfiguration moderner TLS- (Transport Layer Security) und DTLS-Chiffren (Datagram Transport Layer Security) beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Grundlegendes Wissen über RAVPN (Remote Access VPN) und SSL (Secure Sockets Layer)
- RAVPN-Konfiguration auf einer sicheren Firewall getestet und betriebsbereit
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco Secure Firewall Management Center 7.2
- Cisco Firewall Threat Defense 7.2
- Sicherer Client 5.0
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Konfigurieren der Plattformeinstellungen für eine sichere Firewall
Einführung in die Plattformeinstellungen
Eine Plattformeinstellungsrichtlinie besteht aus einem freigegebenen Satz von Funktionen oder Parametern, die die Aspekte eines verwalteten Geräts definieren, die anderen verwalteten Geräten in Ihrer Bereitstellung wahrscheinlich ähnlich sind, z. B. Zeiteinstellungen und externe Authentifizierung. Eine gemeinsam genutzte Richtlinie ermöglicht die gleichzeitige Konfiguration mehrerer verwalteter Geräte, was für eine konsistente Bereitstellung sorgt und den Verwaltungsaufwand verringert. Alle Änderungen an einer Plattformeinstellungsrichtlinie wirken sich auf alle verwalteten Geräte aus, auf die Sie die Richtlinie angewendet haben. Weitere Informationen zu den Plattformeinstellungen finden Sie hier.
Erstellen Sie zum Ändern der Plattformeinstellungen eine Richtlinie, falls diese noch nicht abgeschlossen ist. Fahren Sie abschließend mit TLS-/DTLS-Chiffren konfigurieren fort.
Navigieren Sie zu Devices (Geräte) > Platform Settings (Plattformeinstellungen), und wählen Sie New Policy (Neue Richtlinie) aus.
Weisen Sie der Richtlinie das Firewall Threat Defense-Gerät zu.
TLS-/DTLS-Chiffren konfigurieren
Navigieren Sie zur Registerkarte SSL, um auf die TLS-/DTLS-Konfiguration zuzugreifen. Erstellen Sie eine benutzerdefinierte Verschlüsselungsliste, indem Sie auf die Schaltfläche Hinzufügen klicken.
Ändern Sie die TLS-/DTLS-Versionen zusammen mit den entsprechenden Werten für die elliptische Kurve/Diffie-Hellman-Gruppe, um Ihre Sicherheitsanforderungen zu erfüllen.
Hinweis: Sie können Ihre eigene benutzerdefinierte Liste mit benutzerdefinierten unterstützten Attributen erstellen oder aus den verschiedenen Ebenen unterstützter Chiffren auswählen. Wählen Sie die Liste und den Verschlüsselungscode aus, die Ihre Sicherheitsanforderungen am besten unterstützen.
Wählen Sie das Protokoll und die Verschlüsselungsebene aus.
Wiederholen Sie den gleichen Vorgang für DTLS.
Konfiguration im Secure Firewall Management Center abgeschlossen.
Speichern Sie die Konfiguration, und stellen Sie Änderungen im FTD bereit.
Hinweis: Diese Änderungen können angewendet werden, während die Benutzer verbunden sind. Die für die Secure Client-Sitzung ausgehandelten TLS/DTLS-Chiffren erfolgen nur zu Beginn der Sitzung. Wenn Benutzer verbunden sind und Sie eine Änderung vornehmen möchten, dürfen bestehende Verbindungen nicht getrennt werden. Neue Verbindungen zur sicheren Firewall müssen die neuen sicheren Verschlüsselungsmethoden verwenden.
Überprüfung
Nachdem Secure Firewall Management Center die Konfiguration auf dem Threat Defense-Gerät bereitgestellt hat, müssen Sie überprüfen, ob die Chiffren in der FTD-CLI vorhanden sind. Öffnen Sie ein Terminal bzw. eine Konsolensitzung mit dem Gerät, geben Sie die aufgeführten Befehle ein, und überprüfen Sie die Ausgabe.
Von FTD-CLI-Konfiguration überprüfen
Stellen Sie sicher, dass die ausgewählte TLS-/DTLS-Liste mit einem show run ssl angezeigt wird.
FTD72# show run ssl
ssl cipher tlsv1.2 high
ssl cipher dtlsv1.2 high
ssl ecdh-group group21Stellen Sie sicher, dass die ausgewählte TLS-Version zusammen mit den Diffie-Hellman-Versionen mit show ssl ausgehandelt wird.
FTD72# show ssl
Accept connections using SSLv3 or greater and negotiate to TLSv1.2 or greater
Start connections using TLSv1.2 and negotiate to TLSv1.2 or greater
SSL DH Group: group14 (2048-bit modulus, FIPS)
SSL ECDH Group: group21 (521-bit EC)
SSL trust-points:
Self-signed (RSA 2048 bits RSA-SHA256) certificate available
Self-signed (EC 256 bits ecdsa-with-SHA256) certificate available
Certificate authentication is not enabledÜberprüfung von FTD CLI mit Active Secure Client Connection
Sichere Client-Sitzung verbinden und Ausgabe von FTD CLI überprüfen Führen Sie den Befehl show vpn-sessiondb detail anyconnect filter name username aus, um die ausgetauschten Chiffren zu überprüfen.
FTD72# show vpn-sessiondb detail anyconnect filter name trconner
Session Type: AnyConnect Detailed
Username : trconner Index : 75
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 24350 Bytes Rx : 20451
Pkts Tx : 53 Pkts Rx : 254
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : Split Tunnel Group : Split-4-CCIE
Login Time : 08:59:34 UTC Fri Sep 9 2022
Duration : 0h:01m:26s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : c0a805810004b000631b0076
Security Grp : none
---Output Condensed-----
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 75.1
TCP Src Port : 55581 TCP Dst Port : 443
SSL-Tunnel:
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 55588
DTLS-Tunnel:
Tunnel ID : 75.3
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 64386
Überprüfung vom Client mit aktiver sicherer Client-Verbindung
Verifizierung ausgehandelter Chiffren in der Secure Client-Anwendung
Öffnen Sie die Anwendung Secure Client.
Navigieren Sie zu Statistics > AnyConnect VPN > Statistics, um die Analyse durchzuführen. Der aufgelistete Verschlüsselungscode muss mit dem Firewall-Bedrohungsschutz abgeglichen werden, um die Bestätigung zu erhalten.
Fehlerbehebung
Fehlerbehebung über FTD CLI
Verbindungsfehler auf dem Secure Client, die sich auf TLS-/DTLS-Verschlüsselungsaustausch beziehen, können mit diesen Debug-Befehlen über die Firewall Threat Defense CLI untersucht werden.
debug ssl
debug ssl cipher
debug ssl state
debug ssl device
debug ssl packet Erfassen Sie DART vom sicheren Client
Öffnen Sie die Secure Client DART-Anwendung, und wählen Sie Ausführen aus.
Hinweis: Wenn Sie zur Eingabe der Anmeldeinformationen aufgefordert werden, geben Sie die Anmeldeinformationen auf Administratorebene ein, um fortzufahren.
Erfassen Sie eine DART, und führen Sie Debug-Tests durch, um das Cisco TAC einzubinden.
Wenn die vom Secure Firewall Management Center und der Firewall Threat Defense CLI bereitgestellte Konfiguration nicht übereinstimmt. Öffnen Sie ein neues Ticket beim Cisco TAC.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
21-Jul-2023 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)