Configuration des chiffrements TLS et DTLS modernes pour RAVPN

Mis à jour:20 juillet 2023
ID du document:220609

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la procédure pour configurer les chiffrements TLS (Transport Layer Security) et DTLS (Datagram Transport Layer Security) modernes.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Connaissances de base en matière de VPN d'accès à distance (RAVPN) et de SSL (Secure Sockets Layer)
    • Configuration RAVPN testée et opérationnelle sur Secure Firewall

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cisco Secure Firewall Management Center 7.2
    • Cisco Firewall Threat Defense 7.2
    • Client sécurisé 5.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configuration des paramètres de plate-forme pour Secure Firewall

    Présentation des paramètres de plate-forme

    Une stratégie de paramètres de plate-forme est un ensemble partagé de fonctionnalités ou de paramètres qui définissent les aspects d'un périphérique géré susceptibles d'être similaires à d'autres périphériques gérés dans votre déploiement, tels que les paramètres d'heure et l'authentification externe. Une stratégie partagée permet de configurer plusieurs périphériques gérés à la fois, ce qui garantit la cohérence de votre déploiement et rationalise vos efforts de gestion. Toute modification apportée à une stratégie de paramètres de plate-forme affecte tous les périphériques gérés sur lesquels vous avez appliqué la stratégie. Pour en savoir plus sur les paramètres de plate-forme, cliquez ici.

    Pour modifier les paramètres de la plate-forme, créez une stratégie si ce n'est pas déjà fait. Si vous avez terminé, passez à Configurer les chiffrements TLS / DTLS.

    Accédez à Devices > Platform Settings et sélectionnez New Policy pour commencer.

    Platform settings policy menu

    Attribuez le périphérique Firewall Threat Defense à la stratégie.

    New policy

    Configurer les chiffrements TLS / DTLS

    Accédez à l'onglet SSL pour accéder à la configuration TLS / DTLS. Créez une liste de chiffrement personnalisée en cliquant sur le bouton Ajouter.

    SSL Secure Configuration

    Modifiez les versions TLS / DTLS ainsi que les valeurs de groupe Elliptical Curve / Diffie-Hellman appropriées pour répondre à vos besoins de sécurité.

    Cipher Version Configuration

    note-icon

    Remarque : vous pouvez créer votre propre liste personnalisée avec un attribut personnalisé ou sélectionner parmi les différents niveaux de chiffrement pris en charge. Sélectionnez la liste et le chiffrement qui répondent le mieux à vos besoins en matière de sécurité.

    Sélectionnez le protocole et le niveau de chiffrement.

    Select TLSV1.2

    Security Level High

    Répétez le même processus pour DTLS.

    Select DTLSv1.2 Protocol

    DTLS Security Level High

    Configuration terminée dans Secure Firewall Management Center.

    Completed configuration example

    Enregistrez la configuration et déployez les modifications sur le FTD.

    note-icon

    Remarque : ces modifications peuvent être appliquées lorsque les utilisateurs sont connectés. Les chiffrements TLS / DTLS négociés pour la session Secure Client ne se produisent qu'au début de la session. Si des utilisateurs sont connectés et que vous souhaitez apporter une modification, les connexions existantes ne doivent pas être déconnectées. Les nouvelles connexions au pare-feu sécurisé doivent utiliser les nouveaux chiffrements sécurisés.

    Deployed to firewall

    Vérifier

    Une fois que Secure Firewall Management Center a déployé la configuration sur le périphérique Threat Defense, vous devez vérifier que les chiffres sont présents dans l'interface de ligne de commande FTD. Ouvrez une session de terminal/console sur le périphérique et exécutez les commandes show répertoriées et examinez leur résultat.

    Vérification de la configuration CLI FTD

    Assurez-vous que la liste TLS / DTLS sélectionnée est affichée avec un show run ssl.

    FTD72# show run ssl     
ssl cipher tlsv1.2 high
ssl cipher dtlsv1.2 high
ssl ecdh-group group21

    Assurez-vous que la version TLS sélectionnée doit être négociée avec les versions Diffie-Hellman avec une commande show ssl.

    FTD72# show ssl
Accept connections using SSLv3 or greater and negotiate to TLSv1.2 or greater
Start connections using TLSv1.2 and negotiate to TLSv1.2 or greater
SSL DH Group: group14 (2048-bit modulus, FIPS)
SSL ECDH Group: group21 (521-bit EC)

SSL trust-points:
  Self-signed (RSA 2048 bits RSA-SHA256) certificate available
  Self-signed (EC 256 bits ecdsa-with-SHA256) certificate available
Certificate authentication is not enabled

    Vérification à partir de l'interface CLI FTD avec la connexion client sécurisée active

    Connectez une session client sécurisée et examinez le résultat de l'interface CLI FTD. Pour vérifier les chiffrements échangés, exécutez cette commande show show vpn-sessiondb detail anyconnect filter name username.

    AnyConnect VPN Connected

    FTD72# show vpn-sessiondb detail anyconnect filter name trconner

Session Type: AnyConnect Detailed

Username     : trconner               Index        : 75
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES-GCM-256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA384
Bytes Tx     : 24350                  Bytes Rx     : 20451
Pkts Tx      : 53                     Pkts Rx      : 254
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : Split                  Tunnel Group : Split-4-CCIE
Login Time   : 08:59:34 UTC Fri Sep 9 2022
Duration     : 0h:01m:26s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : c0a805810004b000631b0076
Security Grp : none                   

---Output Condensed-----

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 75.1             
  TCP Src Port : 55581                  TCP Dst Port : 443                                       
  
SSL-Tunnel:
  Encryption   : AES-GCM-256            Hashing      : SHA384                 
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384                       
  Encapsulation: TLSv1.2                TCP Src Port : 55588                  

DTLS-Tunnel:
  Tunnel ID    : 75.3
  Encryption   : AES-GCM-256            Hashing      : SHA384                 
  Ciphersuite  : ECDHE-ECDSA-AES256-GCM-SHA384                     
  Encapsulation: DTLSv1.2               UDP Src Port : 64386

    Vérification à partir du client avec une connexion client sécurisée active

    Vérification des chiffrements négociés sur l'application Secure Client.

    Ouvrez l'application Secure Client.

    Accédez à Statistics > AnyConnect VPN > Statistics pour en savoir plus. Le chiffre indiqué doit être comparé au pare-feu de défense contre les menaces pour le confirmer.

    AnyConnect VPN statistics

    Dépannage

    Débogage depuis CLI FTD

    Les erreurs de connexion sur le client sécurisé liées aux échanges de chiffrement TLS / DTLS peuvent être analysées à partir de l'interface de ligne de commande Firewall Threat Defense à l'aide de ces commandes debug.

    debug ssl
debug ssl cipher 
debug ssl state 
debug ssl device 
debug ssl packet

    Collecter le DART à partir du client sécurisé

    Ouvrez l'application Secure Client DART et sélectionnez Exécuter.

    note-icon

    Remarque : si vous êtes invité à saisir des informations d'identification, saisissez celles de niveau administrateur pour continuer.

    Secure Client Dart Module

    Rassemblez un DART et des débogages pour impliquer le TAC Cisco.

    Si la configuration déployée, telle qu'elle apparaît dans Secure Firewall Management Center et Firewall Threat Defense CLI, ne correspond pas. Veuillez ouvrir un nouveau dossier auprès du TAC Cisco.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    21-Jul-2023
    Première publication

    Contribution de

    • Tristan Conner
      ingénieur de la sécurité des systèmes d'information

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits