Configurer ASA avec les règles de contrôle d'accès des services FirePOWER pour filtrer le trafic client VPN AnyConnect vers Internet

Introduction

Ce document décrit comment configurer les règles de politique de contrôle d'accès (ACP) pour inspecter le trafic qui provient des tunnels VPN (Virtual Private Network) ou des utilisateurs d'accès à distance (Remote Access) et utiliser un appareil de sécurité adaptatif Cisco (ASA) avec les services FirePOWER comme passerelle Internet.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• VPN AnyConnect, d'accès à distance et/ou VPN IPSec poste à poste.
• Configuration de Firepower ACP. 
• Cadre de politique modulaire ASA (MPF). 

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Exemple ASA5506W version 9.6(2.7) pour ASDM
• Exemple de module FirePOWER version 6.1.0-330 pour ASDM.
• Exemple ASA5506W version 9.7(1) pour FMC.
• Exemple FirePOWER version 6.2.0 pour FMC.
• Firepower Management Center (FMC) version 6.2.0 

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Problème

ASA5500-X avec les fonctionnalités FirePOWER ne peut pas filtrer et/ou inspecter le trafic des utilisateurs AnyConnect de la même manière que le trafic provenant d'autres emplacements connectés par des tunnels IPSec qui utilisent un point unique de sécurité du contenu périphérique. 

Un autre symptôme de cette solution est d'être incapable de définir des règles ACP spécifiques aux sources mentionnées sans affectation d'autres sources. 

Ce scénario est très courant pour voir quand la conception TunnelAll est utilisée pour les solutions VPN terminées sur un ASA. 

Solution

Cela peut être réalisé de plusieurs manières. Cependant, ce scénario couvre l'inspection par zones. 

Configuration ASA

Étape 1 : identification des interfaces auxquelles les utilisateurs AnyConnect ou les tunnels VPN se connectent à l’ASA 

Tunnels d'égal à égal

Il s'agit d'un fragment de la sortie de show run crypto map.

crypto map outside_map interface outside

Utilisateurs AnyConnect

La commande show run webvpn montre où l'accès AnyConnect est activé. 

webvpn
 enable outside
 hostscan image disk0:/hostscan_4.3.05019-k9.pkg
 hostscan enable
 anyconnect image disk0:/anyconnect-win-4.4.01054-webdeploy-k9.pkg 1
 anyconnect image disk0:/anyconnect-macos-4.4.01054-webdeploy-k9.pkg 2
 anyconnect enable

Dans ce scénario, l'interface externe reçoit, à la fois, les utilisateurs RA et les tunnels Peer to Peer. 

Étape 2. Rediriger le trafic de l'ASA vers le module FirePOWER avec une stratégie globale 

Elle peut être effectuée avec une condition match any ou une liste de contrôle d'accès (ACL) définie pour la redirection du trafic. 

Exemple avec match any match.

class-map SFR
 match any

policy-map global_policy
 class SFR
   sfr fail-open

service-policy global_policy global

Exemple avec correspondance ACL. 

access-list sfr-acl extended permit ip any any

class-map SFR
 match access-list sfr-acl

policy-map global_policy
 class SFR
   sfr fail-open

service-policy global_policy global

Dans un scénario moins courant, une stratégie de service peut être utilisée pour l'interface externe. Cet exemple n'est pas traité dans ce document. 

Module ASA FirePOWER géré par configuration ASDM

Étape 1. Attribuez une zone à l'interface externe dans Configuration > ASA FirePOWER Configuration > Device Management. Dans ce cas, cette zone est appelée extérieur.

Étape 2. Sélectionnez Add Rule at Configuration > ASA FirePOWER Configuration > Policies > Access Control Policy.

Étape 3. Dans l'onglet Zones, sélectionnez outside zone as source and destination for your rule.

Étape 4. Sélectionnez l'action, le titre et toute autre condition souhaitée pour définir cette règle. 

Plusieurs règles peuvent être créées pour ce flux de trafic. Il est important de garder à l'esprit que les zones source et de destination doivent être la zone attribuée aux sources VPN et à Internet.

Assurez-vous qu'il n'existe aucune autre stratégie plus générale qui puisse correspondre avant ces règles. Il est préférable d'avoir ces règles au-dessus de celles définies à toute zone. 

Étape 5. Cliquez sur Stocker les modifications FirePOWER ASA, puis sur Déployer les modifications FirePOWER pour que ces modifications prennent effet. 

Module ASA FirePOWER géré par configuration FMC

Étape 1. Attribuez une zone à l'interface externe au niveau des périphériques > Gestion > Interfaces. Dans ce cas, cette zone est appelée zone extérieure.

Étape 2. Sélectionnez Add Rule dans Policies > Access Control > Edit.

Étape 3. Dans l'onglet Zones, sélectionnez outside-zone comme source et destination pour votre règle.

Étape 4. Sélectionnez l'action, le titre et toute autre condition souhaitée pour définir cette règle. 

Plusieurs règles peuvent être créées pour ce flux de trafic. Il est important de garder à l'esprit que les zones source et de destination doivent être la zone attribuée aux sources VPN et à Internet.

Assurez-vous qu'il n'existe aucune autre stratégie plus générale qui puisse correspondre avant ces règles. Il est préférable d'avoir ces règles au-dessus de celles définies à toute zone. 

Étape 5. Cliquez sur Enregistrer, puis sur Déployer pour que ces modifications prennent effet. 

Résultat

Une fois le déploiement terminé, le trafic AnyConnect est filtré/inspecté par les règles ACP appliquées. Dans cet exemple, une URL a été correctement bloquée.