Configurazione della VPN ad accesso remoto AnyConnect su FTD

Opzioni per il download

  • PDF     (1.3 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.1 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:5 dicembre 2023
ID documento:212424

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive una configurazione per AnyConnect Remote Access VPN su FTD.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Conoscenze base di VPN, TLS e IKEv2
    • Autenticazione di base, autorizzazione e accounting (AAA) e conoscenza RADIUS
    • Esperienza con Firepower Management Center

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco FTD 7.2.0
    • Cisco FMC 7.2.1
    • AnyConnect 4.10 

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Questo documento offre un esempio di configurazione per Firepower Threat Defense (FTD) versione 7.2.0 e successive, che consente alla VPN ad accesso remoto di utilizzare Transport Layer Security (TLS) e Internet Key Exchange versione 2 (IKEv2). Come client, è possibile usare Cisco AnyConnect, che è supportato su più piattaforme.

    Configurazione

    1. Prerequisiti

    Per eseguire la procedura guidata Accesso remoto in Firepower Management Center:

    • Crea un certificato utilizzato per l'autenticazione del server.
    • Configurare il server RADIUS o LDAP per l'autenticazione utente.
    • Crea pool di indirizzi per gli utenti VPN.
    • Caricare immagini AnyConnect per piattaforme diverse.

    a) Importare il certificato SSL


    I certificati sono essenziali quando si configura AnyConnect. Il certificato deve avere l'estensione Nome alternativo soggetto con nome DNS e/o indirizzo IP per evitare errori nei browser Web.

    Nota: solo gli utenti Cisco registrati possono accedere agli strumenti interni e alle informazioni sui bug.

    Esistono limitazioni per la registrazione manuale dei certificati:

    - Nel FTD è necessario il certificato CA prima di generare il CSR.

    - Se la CSR viene generata esternamente, il metodo manuale non riesce, è necessario utilizzare un metodo diverso (PKCS12).

    Esistono diversi metodi per ottenere un certificato su un accessorio FTD, ma quello più semplice e sicuro consiste nel creare una richiesta di firma del certificato (CSR), firmarla con un'Autorità di certificazione (CA) e quindi importare un certificato rilasciato per la chiave pubblica, presente in CSR. A tale scopo, eseguire la procedura seguente:

    • Vai a Objects  > Object Management > PKI > Cert Enrollment , fare clic su Aggiungi registrazione certificato.

    Add Cert Enrollment

    • Seleziona Enrollment Type e incollare il certificato dell'autorità di certificazione (il certificato utilizzato per firmare il CSR).
    • Quindi andare alla seconda scheda e selezionare Custom FQDN e compilare tutti i campi necessari, ad esempio:

    Configure common name for the certificate

    • Nella terza scheda, selezionare Key Type, scegliere nome e dimensioni. Per RSA, il valore minimo è 2048 bit.
    • Fare clic su Save (Salva) e andare a Devices > Certificates > Add > New Certificate.
    • Quindi selezionare Devicee al di sotto Cert Enrollment selezionare il trust point appena creato, fare clic su Add:

    Select Devices and then Add Certificates

    • In seguito, accanto al nome del trust point, fare clic sul collegamento Icon icona, quindi Yese quindi copiare CSR in CA e firmarlo. Gli attributi del certificato devono essere uguali a quelli di un server HTTPS normale. 
    • Dopo aver ricevuto il certificato da CA in formato base64, selezionarlo dal disco e fare clic su Import. Se l'operazione ha esito positivo, sarà possibile visualizzare:

    Successful Import
    b) Configurazione del server RADIUS

    • Vai a Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group.
    • Immettere il nome e aggiungere l'indirizzo IP insieme al segreto condiviso, fare clic su Save:

    Configure RADIUS

    • Il server verrà quindi visualizzato nell'elenco:

    RADIUS Server is Named in the List

    c) Creare un pool di indirizzi per gli utenti VPN

    • Vai a Objects > Object Management > Address Pools > Add IPv4 Pools.
    • Inserire il nome e l'intervallo, maschera non è necessaria: 

    Configure address pool

    d) Crea profilo XML

    • Scaricare l'Editor di profili dal sito Cisco e aprirlo.
    • Vai a Server List > Add...
    • Inserire il nome visualizzato e il nome di dominio completo. Nell'elenco dei server sono visualizzate le voci seguenti:

    Open Profile Editor and Select the Server List and then ADD

    • Fare clic su OKe File > Save as... 

    e) Caricamento di immagini AnyConnect

    • Scaricare le immagini pkg dal sito Cisco.
    • Vai a Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
    • Digitare il nome e selezionare il file PKG dal disco, quindi fare clic su Save:

    Edit the AnyConnect File

    • Aggiungi altri pacchetti in base alle tue esigenze.

    2. Configurazione guidata Accesso remoto

    • Vai a Devices > VPN > Remote Access > Add a new configuration.
    • Assegnare un nome al profilo e selezionare il dispositivo FTD:

    Targeted Devices and Protocols

    • Nel passo Profilo connessione digitare Connection Profile Name, selezionare il Authentication Server e Address Pools creato in precedenza:

    Connection Profile Name

    • Fare clic su Edit Group Policy e sulla scheda AnyConnect, selezionare Client Profile, quindi scegliere Save:

    Edit Group Policy

    • Nella pagina successiva, selezionare le immagini AnyConnect e fare clic su Next.

    AnyConnect Client Image

    • Nella schermata successiva, selezionare Network Interface and Device Certificates:

    Network Interface for Incoming VPN Access

    • Quando tutti gli elementi sono configurati correttamente, è possibile fare clic su Finish e poi Deploy:

    Edit Group Policy and Select Client Profile

    • Questa opzione copia l'intera configurazione con i certificati e i pacchetti AnyConnect sull'accessorio FTD.

    Connessione

    Per connettersi a FTD è necessario aprire un browser, digitare il nome DNS o l'indirizzo IP che punta all'interfaccia esterna. È quindi possibile eseguire l'accesso con le credenziali archiviate nel server RADIUS e seguire le istruzioni visualizzate. Dopo aver installato AnyConnect, occorre inserire lo stesso indirizzo nella finestra di AnyConnect e fare clic su Connect.

    Limitazioni

    Al momento non è supportato sull'FTD, ma è disponibile sull'ASA:

    • La VPN FTDposture non supporta la modifica dei criteri di gruppo tramite l'autorizzazione dinamica o la modifica dell'autorizzazione RADIUS (CoA).

    • Personalizzazione AnyConnect (miglioramento: Cisco bug ID CSCvq87631)
    • Script AnyConnect (miglioramento: Cisco bug ID CSCvt58044).
    • Localizzazione AnyConnect.
    • Integrazione WSA.
    • Mappa crittografica dinamica IKEv2 simultanea per RA e VPN L2L (miglioramento: Cisco bug ID CSCvr52047).
    • TACACS, Kerberos - Autenticazione KCD e RSA SDI (miglioramento: Cisco bug ID CSCvx55859).
    • Proxy browser.

    Considerazioni sulla sicurezza

    Per impostazione predefinita, il sysopt connection permit-vpnè disattivata. Ciò significa che è necessario autorizzare il traffico proveniente dal pool di indirizzi sull'interfaccia esterna tramite i criteri di controllo di accesso. Anche se la regola di prefiltro o di controllo dell'accesso viene aggiunta per consentire solo il traffico VPN, se il traffico in chiaro corrisponde ai criteri della regola, è erroneamente consentito.

    Ci sono due approcci a questo problema. Innanzitutto, l'opzione consigliata da TAC è quella di abilitare l'anti-spoofing (sull'appliance ASA era nota come Unicast Reverse Path Forwarding - uRPF) per l'interfaccia esterna e, in secondo luogo, quella di abilitare sysopt connection permit-vpn per ignorare completamente l'ispezione Snort. La prima opzione consente una normale ispezione del traffico che va a e da utenti VPN.

    a) Attivare uRPF

    • Creare una route null per la rete utilizzata per gli utenti di accesso remoto, definita nella sezione C. Andare alla pagina Devices > Device Management > Edit > Routing > Static Route e selezionare Add route

    Select AnyConnect Images

    • Quindi, abilitare uRPF sull'interfaccia a cui terminano le connessioni VPN. Per individuare questa condizione, passare a Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing

    Edit Physical Interface

    Quando un utente è connesso, il percorso a 32 bit viene installato per tale utente nella tabella di routing. Cancella il traffico di testo originato dagli altri indirizzi IP inutilizzati del pool che viene eliminato da uRFP. Per visualizzare una descrizione di Anti-Spoofingfare riferimento a Impostazione dei parametri di configurazione della sicurezza su Firepower Threat Defense.

    b) Abilita sysopt connection permit-vpn Opzione

    • È disponibile un'opzione per eseguire questa operazione con la procedura guidata o in Devices > VPN > Remote Access > VPN Profile > Access Interfaces.

    Access Control for VPN Traffic

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    4.0
    05-Dec-2023
    Certificazione
    3.0
    16-Dec-2022
    Riscrivi. Aggiorna formattazione. Certificazione.
    2.0
    08-Nov-2022
    Formattazione aggiornata e ortografia corretta Certificazione
    1.0
    07-Nov-2017
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Radoslaw Olszowy
      Tecnico di consulenza Cisco
    • Mario Enrique Solorio Zertuche
      Cisco Project Manager

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci