Configurazione della VPN ad accesso remoto Secure Client (AnyConnect) su FTD

Opzioni per il download

  • PDF     (1.5 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.5 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (960.9 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:5 dicembre 2024
ID documento:212424

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritta una configurazione per la VPN ad accesso remoto Secure Client (AnyConnect) su Secure Firewall Threat Defense.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Conoscenze base di VPN, TLS e IKEv2
    • Autenticazione di base, autorizzazione e accounting (AAA) e conoscenza RADIUS
    • Esperienza con Centro gestione firewall protetto

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Secure Firewall Threat Defense (SFTD) 7.2.5
    • Secure Firewall Management Center (SFMC) 7.2.9
    • Secure Client (AnyConnect) 5.1.6 

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Questo documento offre un esempio di configurazione per Secure Firewall Threat Defense (FTD) versione 7.2.5 e successive, che consente alla VPN ad accesso remoto di utilizzare Transport Layer Security (TLS) e Internet Key Exchange versione 2 (IKEv2). Come client, è possibile usare Secure Client (AnyConnect), supportato su più piattaforme.

    Configurazione

    1. Prerequisiti

    Per eseguire la procedura guidata Accesso remoto in Centro gestione firewall protetto:

    • Crea un certificato utilizzato per l'autenticazione del server.
    • Configurare il server RADIUS o LDAP per l'autenticazione utente.
    • Crea pool di indirizzi per gli utenti VPN.
    • Caricare immagini AnyConnect per piattaforme diverse.

    a) Importare il certificato SSL


    I certificati sono essenziali quando si configura Secure Client. Il certificato deve avere l'estensione Nome alternativo soggetto con nome DNS e/o indirizzo IP per evitare errori nei browser Web.

    Nota: Solo gli utenti Cisco registrati possono accedere agli strumenti interni e alle informazioni sui bug.

    Esistono limitazioni per la registrazione manuale dei certificati:

    - In SFTD, è necessario il certificato CA prima di generare il CSR.

    - Se la CSR viene generata esternamente, il metodo manuale non funziona, pertanto è necessario utilizzare un metodo diverso (PKCS12).

    Esistono diversi metodi per ottenere un certificato su un accessorio SFTD, ma quello più semplice e sicuro consiste nel creare una richiesta di firma del certificato (CSR), firmarla con un'Autorità di certificazione (CA) e quindi importare un certificato rilasciato per la chiave pubblica, presente in CSR.

    A tale scopo, eseguire la procedura seguente:

    • Passare allaObjects > Object Management > PKI > Cert Enrollmente fare clic suAdd Cert Enrollment.
    • SelezionareEnrollment Typee incollare il certificato dell'Autorità di certificazione (il certificato utilizzato per firmare il CSR).

    CA Certificate Import

    • Passare quindi alla seconda scheda e selezionareCustom FQDNe compilare tutti i campi necessari, ad esempio:

    Certificate Parameters

    • Nella terza scheda, selezionareKey Type, scegliere nome e dimensioni. Per RSA, il valore minimo è 2048 bit.
    • Fare clic suSavee passare aDevices > Certificates > Add.
    • Quindi selezionareDevicee inCert Enrollment, selezionare il trust point appena creato e fare clic suAdd:

    Add New Certificate

    • In seguito, accanto al nome del trust point, fare clic sul collegamento ID Icon , quindiYes, e successivamente, copiare CSR in CA e firmare. I certificati devono avere gli stessi attributi di un normale server HTTPS.
    • Dopo aver ricevuto il certificato da CA in formato base64, selezionareBrowse Identity Certificate, selezionarlo dal disco e fare clic suImport. Se l'operazione ha esito positivo, sarà possibile visualizzare:

    Certificate List


    b) Configurazione del server RADIUS

    • Passare a Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group > +.
    • Specificare il nome e aggiungere l'indirizzo IP insieme al segreto condiviso, quindi fare clic suSave:

    RADIUS Server Properties

    • Il server verrà quindi visualizzato nell'elenco:

    RADIUS Server List

    c) Creare un pool di indirizzi per gli utenti VPN

    • Passa a Objects > Object Management > Address Pools > IPv4 Pools > Add IPv4 Pools.
    • Immettere il nome e l'intervallo, maschera non è necessaria: 

    Address Pool Properties

    d) Crea profilo XML

    • Scaricare l'Editor di profili dal sito Cisco e aprirlo.
    • Passa a Server List > Add...
    • Immettere il nome visualizzato e il nome di dominio completo. Nell'elenco dei server sono visualizzate le voci seguenti:

    Profile Editor Server List

    • Fare clic suOKe File > Save as... 

    e) Caricamento di immagini AnyConnect

    • Scaricare le immagini pkg dal sito Cisco.
    • Passare aObjects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
    • Digitare il nome e selezionare PKG file dal disco, quindi fare clic suSave:

    Secure Client Image Import Form

    • Aggiungi altri pacchetti in base alle tue esigenze.

    2. Configurazione guidata Accesso remoto

    • Passare aDevices > VPN > Remote Access > Add a new configuration.
    • Assegnare un nome al profilo e selezionare il dispositivo FTD:

    Remote Access Wizard Step 1

    • Nel passo Profilo di connessione digitareConnection Profile Name, selezionare l'Authentication Serverelemento e l'elementoAddress Poolscreato in precedenza:

    Remote Access Wizard Step 2

    Client Address Assignment and Group Policy Selection

    • Fare clic su Edit Group Policy e nella scheda AnyConnect, selezionareClient Profile, quindi fare clic suSave:

    Profile Selection in Group Policy Properties

    • Nella pagina successiva, selezionare AnyConnect images (Immagini AnyConnect), quindi fare clic suNext.

    Secure Endpoint Image

    • Nella schermata successiva, selezionare Network Interface and Device Certificates:

    Network Interface Selection

    • Quando tutti gli elementi sono configurati correttamente, è possibile fare clic suFinish, quindiDeploy:

    The Last Step in Remote Access Wizard

    • Questa opzione copia l'intera configurazione con i certificati e i pacchetti AnyConnect sull'accessorio FTD.

    Connessione

    Per connettersi a FTD, è necessario aprire un browser, digitare nome DNS o indirizzo IP che punti all'interfaccia esterna. È quindi possibile accedere con le credenziali archiviate nel server RADIUS e seguire le istruzioni visualizzate. Dopo aver installato AnyConnect, è necessario inserire lo stesso indirizzo nella finestra di AnyConnect e fare clic suConnect.

    Limitazioni

    Al momento, non è supportato sull'FTD, ma è disponibile sull'ASA:

    • La VPN FTDposture non supporta la modifica dei criteri di gruppo tramite l'autorizzazione dinamica o la modifica dell'autorizzazione RADIUS (CoA).

    • Personalizzazione AnyConnect (miglioramento: Cisco bug ID CSCvq87631)
    • Script AnyConnect (miglioramento: Cisco bug ID CSCvt58044)
    • Localizzazione AnyConnect
    • Integrazione WSA
    • Mappa crittografica dinamica IKEv2 simultanea per RA e VPN L2L (miglioramento: Cisco bug ID CSCvr52047)
    • TACACS, Kerberos - Autenticazione KCD e RSA SDI (versione migliorata: Cisco bug ID CSCvx5859)
    • Proxy browser

    Considerazioni sulla sicurezza

    Per impostazione predefinita, il sysopt connection permit-vpnè disattivata. Ciò significa che è necessario autorizzare il traffico proveniente dal pool di indirizzi sull'interfaccia esterna tramite i criteri di controllo di accesso. Anche se la regola di prefiltro o di controllo dell'accesso viene aggiunta per consentire solo il traffico VPN, se il traffico in chiaro corrisponde ai criteri della regola, è erroneamente consentito.

    Ci sono due approcci a questo problema. In primo luogo, l'opzione TAC consigliata è quella di abilitare l'anti-spoofing (sull'appliance ASA era nota come Unicast Reverse Path Forwarding - uRPF) per l'interfaccia esterna e, in secondo luogo, quella di abilitare sysopt connection permit-vpndi ignorare completamente l'ispezione Snort. La prima opzione consente una normale ispezione del traffico che va a e da utenti VPN.

    a) Attivare uRPF

    • Creare un percorso nullo per la rete utilizzata per gli utenti di accesso remoto, definito nella sezione C. IndividuareDevices > Device Management > Edit > Routing > Static Route e selezionare Add route.

    New Static Route Properties

    • Quindi, abilitare uRPF sull'interfaccia a cui terminano le connessioni VPN. Per individuare questa condizione, passare a Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing

    Edit Physical Interface

    Quando un utente è connesso, il percorso a 32 bit viene installato per tale utente nella tabella di routing. Il traffico in chiaro proveniente dagli altri indirizzi IP inutilizzati del pool viene eliminato da uRFP. Per visualizzare una descrizione di Anti-Spoofing fare riferimento a Impostazione dei parametri di configurazione della sicurezza su Firewall Threat Defense.

    b) Abilitasysopt connection permit-vpnopzione

    • È possibile utilizzare la procedura guidata oppure utilizzare il comandoDevices > VPN > Remote Access > VPN Profile > Access Interfaces.

    Bypass Access Control Policy Option Selected

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    6.0
    05-Dec-2024
    Testo alternativo, destinazioni link, grammatica e formattazione aggiornati.
    5.0
    25-Nov-2024
    Convenzione di denominazione modificata e modifiche riflesse nella GUI
    4.0
    05-Dec-2023
    Certificazione
    3.0
    16-Dec-2022
    Riscrivi. Aggiorna formattazione. Certificazione.
    2.0
    08-Nov-2022
    Formattazione aggiornata e correzione ortografica
    1.0
    07-Nov-2017
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Radoslaw Olszowy
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci