Configuración de FTD Remote Access VPN con MSCHAPv2 sobre RADIUS

Opciones de descarga

  • PDF     (905.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (735.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (573.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:6 de octubre de 2021
ID del documento:217437

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo habilitar Microsoft Challenge Handshake Authentication Protocol versión 2 (MS-CHAPv2) como el método de autenticación a través de Firepower Management Center (FMC) para clientes VPN de acceso remoto con autenticación RADIUS (servicio de usuario de acceso telefónico de autenticación remota).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Firepower Threat Defense (FTD)
    • Firepower Management Center (FMC)
    • Identity Services Engine (ISE)
    • Cisco AnyConnect Secure Mobility Client
    • protocolo RADIUS

    Componentes Utilizados

    La información que contiene este documento se basa en estas versiones de software:

    • FMCv - 7.0.0 (compilación 94)
    • FTDv - 7.0.0 (Compilación 94)
    • ISE - 2.7.0.356
    • AnyConnect: 4.10.02086
    • Windows 10 Pro

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    De forma predeterminada, FTD utiliza el protocolo de autenticación de contraseña (PAP) como método de autenticación con los servidores RADIUS para las conexiones VPN de AnyConnect.

    PAP proporciona un método sencillo para que los usuarios establezcan su identidad con un intercambio de señales bidireccional. La contraseña PAP se cifra con un secreto compartido y es el protocolo de autenticación menos sofisticado. PAP no es un método de autenticación sólido porque ofrece poca protección contra los repetidos ataques de prueba y error.

    La autenticación MS-CHAPv2 introduce la autenticación mutua entre pares y una función de cambio de contraseña.

    Para habilitar MS-CHAPv2 como el protocolo utilizado entre el ASA y el servidor RADIUS para una conexión VPN, la administración de contraseñas debe estar habilitada en el perfil de conexión. Al habilitar la administración de contraseñas, se genera una solicitud de autenticación MS-CHAPv2 desde el FTD al servidor RADIUS.

    Configurar

    Diagrama de la red

    TZ_ISE_Authentication_Authorization_AnyConnect

    Configuración de RA VPN con autenticación AAA/RADIUS a través de FMC

    Para ver un procedimiento paso a paso, consulte este documento y este vídeo:

    Paso 1. Una vez configurada la VPN de acceso remoto, navegue hasta Dispositivos > Acceso remoto, edite el perfil de conexión recién creado y luego navegue a la pestaña AAA.

    TZ_MSCHAPv2_RADIUS_FTD_01

    Expanda la sección Advanced Settings y haga clic en la casilla de verificación Enable Password Management . Click Save.

    TZ_MSCHAPv2_RADIUS_FTD_02

    Guardar e implementar.

    TZ_MSCHAPv2_RADIUS_FTD_03

    La configuración de VPN de acceso remoto en la CLI de FTD es:

    ip local pool AC_Pool 10.0.50.1-10.0.50.100 mask 255.255.255.0

    interface GigabitEthernet0/0
     nameif Outside_Int
     security-level 0
     ip address 192.168.0.100 255.255.255.0

    aaa-server ISE_Server protocol radius
    aaa-server ISE_Server host 172.16.0.8
     key *****
     authentication-port 1812
     accounting-port 1813

    crypto ca trustpoint RAVPN_Self-Signed_Cert
     enrollment self
     fqdn none
     subject-name CN=192.168.0.100
     keypair <Default-RSA-Key>
     crl configure

    ssl trust-point RAVPN_Self-Signed_Cert

    webvpn
     enable Outside_Int
     http-headers
      hsts-server
       enable
       max-age 31536000
       include-sub-domains
       no preload
      hsts-client
       enable
      x-content-type-options
      x-xss-protection
      content-security-policy
     anyconnect image disk0:/csm/anyconnect-win-4.10.02086-webdeploy-k9.pkg 1 regex "Windows"
     anyconnect enable
     tunnel-group-list enable
     cache
      no disable
     error-recovery disable

    group-policy DfltGrpPolicy attributes
     vpn-tunnel-protocol ikev2 ssl-client
     user-authentication-idle-timeout none
     webvpn
      anyconnect keep-installer none
      anyconnect modules value none
      anyconnect ask none default anyconnect
      http-comp none
      activex-relay disable
      file-entry disable
      file-browsing disable
      url-entry disable
      deny-message none

    tunnel-group RA_VPN type remote-access
    tunnel-group RA_VPN general-attributes
     address-pool AC_Pool
     authentication-server-group ISE_Server
     password-management
    tunnel-group RA_VPN webvpn-attributes
     group-alias RA_VPN enable

    Configuración de ISE para Soportar MS-CHAPv2 como protocolo de autenticación

    Se supone que:

    1. El FTD ya se agrega como dispositivo de red en ISE para que pueda procesar las solicitudes de acceso RADIUS desde el FTD.
    2. ISE dispone de al menos un usuario para autenticar el cliente AnyConnect.

    Paso 2. Navegue hasta Política > Conjuntos de políticas y busque la política de Protocolos permitidos asociada al Conjunto de políticas donde se autentican los usuarios de AnyConnect. En este ejemplo, sólo hay un conjunto de políticas, por lo que la política en cuestión es Acceso de red predeterminado.

    TZ_MSCHAPv2_RADIUS_FTD_04

    TZ_MSCHAPv2_RADIUS_FTD_05

    Paso 3. Vaya a Política > Elementos de política > Resultados. En Authentication > Allowed Protocols elija y edite Default Network Access.

    TZ_MSCHAPv2_RADIUS_FTD_06

    TZ_MSCHAPv2_RADIUS_FTD_07

    Asegúrese de que la casilla de verificación Allow MS-CHAPv2 esté marcada. Desplácese hasta abajo y guárdelo.

    TZ_MSCHAPv2_RADIUS_FTD_08

    Verificación

    Desplácese hasta el equipo cliente en el que está instalado el cliente Cisco AnyConnect Secure Mobility. Conéctese a la cabecera FTD (en este ejemplo se utiliza una máquina Windows) y escriba las credenciales del usuario.

    TZ_MSCHAPv2_RADIUS_FTD_09

    Los registros en directo de RADIUS en ISE muestran:

    TZ_MSCHAPv2_RADIUS_FTD_10

    TZ_MSCHAPv2_RADIUS_FTD_11

    TZ_MSCHAPv2_RADIUS_FTD_12

    Nota: El comando test aaa-server authentication siempre utiliza PAP para enviar solicitudes de autenticación al servidor RADIUS, no hay forma de forzar al firewall a utilizar MS-CHAPv2 con este comando.

    firepower# test aaa-server authentication ISE_Server host 172.16.0.8 username user1 password XXXXXX
    INFO: Intentando la prueba de autenticación a la dirección IP (172.16.0.8) (tiempo de espera: 12 segundos)
    INFO: Authentication Successful (Autenticación exitosa)

    Nota: No modifique los atributos ppp del grupo de túnel mediante Flex-config, ya que esto no tiene efecto en los protocolos de autenticación negociados sobre RADIUS para las conexiones VPN de AnyConnect (SSL e IPSec).

    tunnel-group RA_VPN ppp-Attributes
     no authentication pap
     authentication chap
     authentication ms-chap-v1
     no authentication ms-chap-v2
     no authentication eap-proxy

    Troubleshoot

    Esta sección proporciona la información que puede utilizar para resolver problemas de su configuración.

    On FTD:

    • debug radius all

    En ISE:

    • Registros activos RADIUS

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    06-Oct-2021
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • David Rivera Perez
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos