FTD에서 AnyConnect 원격 액세스 VPN 구성

소개

이 문서에서는 FTD의 AnyConnect 원격 액세스 VPN 구성에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• 기본 VPN, TLS 및 IKEv2 지식
• AAA(Basic Authentication, Authorization, and Accounting) 및 RADIUS 지식
• firepower Management Center 경험

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco FTD 7.2.0
• Cisco FMC 7.2.1
• AnyConnect 4.10 

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

이 문서에서는 원격 액세스 VPN에서 TLS(Transport Layer Security) 및 IKEv2(Internet Key Exchange version 2)를 사용할 수 있도록 하는 FTD(Firepower Threat Defense) 버전 7.2.0 이상의 컨피그레이션 예를 제공합니다. 클라이언트로서 Cisco AnyConnect를 사용할 수 있으며, 이는 여러 플랫폼에서 지원됩니다.

설정

1. 전제 조건

firepower Management Center에서 원격 액세스 마법사를 통과하려면

• 서버 인증에 사용되는 인증서를 만듭니다.
• 사용자 인증을 위해 RADIUS 또는 LDAP 서버를 구성합니다.
• VPN 사용자를 위한 주소 풀을 생성합니다.
• 다른 플랫폼에 대한 AnyConnect 이미지를 업로드합니다.

a) SSL 인증서 가져오기

인증서는 AnyConnect를 구성할 때 필수적입니다. 웹 브라우저에서 오류를 방지하려면 인증서에 DNS 이름 및/또는 IP 주소가 있는 주체 대체 이름 확장명이 있어야 합니다.

참고: 등록된 Cisco 사용자만 내부 툴 및 버그 정보에 액세스할 수 있습니다.

수동 인증서 등록에는 제한이 있습니다.

- FTD에서 CSR을 생성하기 전에 CA 인증서가 필요합니다.

- CSR이 외부에서 생성된 경우 수동 방법이 실패하고 다른 방법을 사용해야 합니다(PKCS12).

FTD 어플라이언스에서 인증서를 가져오는 몇 가지 방법이 있지만 안전하고 쉬운 방법은 CSR(Certificate Signing Request)을 생성하고 CA(Certificate Authority)로 서명한 다음 CSR에 있는 공개 키에 대해 발급된 인증서를 가져오는 것입니다. 그 방법은 다음과 같습니다.

• 이동 Objects  > Object Management > PKI > Cert Enrollment Add Cert Enrollment를 클릭합니다.

• 선택 Enrollment Type CA(Certificate Authority) 인증서(CSR 서명에 사용되는 인증서)를 붙여넣습니다.
• 그런 다음 두 번째 탭으로 이동하여 Custom FQDN 다음과 같이 필요한 필드를 모두 입력합니다.

• 세 번째 탭에서 Key Type, 이름 및 크기를 선택합니다. RSA의 경우 최소 2048비트입니다.
• Save(저장)를 클릭하고 Devices > Certificates > Add > New Certificate.
• 그런 다음 Device, 및 아래 Cert Enrollment 방금 생성한 신뢰 지점을 선택하고 Add:

• 나중에 신뢰 지점 이름 옆에 있는  아이콘, YesCSR을 CA에 복사하고 서명합니다. 인증서에는 HTTPS 서버와 동일한 특성이 있어야 합니다. 
• CA에서 base64 형식으로 인증서를 받은 후 디스크에서 해당 인증서를 선택하고 Import. 성공하면 다음이 표시됩니다.

b) RADIUS 서버 구성

• 이동 Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group.
• 이름을 입력하고 공유 암호와 함께 IP 주소를 추가하려면 Save:

• 그런 다음 목록에 서버가 표시됩니다.

c) VPN 사용자를 위한 주소 풀 생성

• 이동 Objects > Object Management > Address Pools > Add IPv4 Pools.
• 이름과 범위를 입력하면 마스크가 필요하지 않습니다. 

d) XML 프로필 만들기

• Cisco 사이트에서 프로파일 편집기를 다운로드하고 엽니다.
• 이동 Server List > Add...
• 표시 이름 및 FQDN을 입력합니다. 서버 목록에 다음 항목이 표시됩니다.

• 클릭 OK및 File > Save as... 

e) AnyConnect 이미지 업로드

• Cisco 사이트에서 pkg 이미지를 다운로드합니다.
• 이동 Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File.
• 이름을 입력하고 디스크에서 PKG 파일을 선택한 다음 Save:

• 자체 요구 사항에 따라 패키지를 더 추가합니다.

2. 원격 액세스 마법사

• 이동 Devices > VPN > Remote Access > Add a new configuration.
• 프로파일의 이름을 지정하고 FTD 디바이스를 선택합니다.

• 연결 프로파일 단계에서 다음을 입력합니다 Connection Profile Name을 선택합니다. Authentication Server 및 Address Pools 만들 수 있습니다.

• 클릭 Edit Group Policy AnyConnect 탭에서 Client Profile를 클릭한 다음 Save:

• 다음 페이지에서 AnyConnect 이미지를 선택하고 Next.

• 다음 화면에서 Network Interface and Device Certificates:

• 모든 항목이 올바르게 구성되면 Finish 그리고 Deploy:

• 이렇게 하면 전체 컨피그레이션이 인증서 및 AnyConnect 패키지와 함께 FTD 어플라이언스에 복사됩니다.

연결

FTD에 연결하려면 브라우저를 열어야 합니다. 외부 인터페이스를 가리키는 DNS 이름 또는 IP 주소를 입력합니다. 그런 다음 RADIUS 서버에 저장된 자격 증명으로 로그인하고 화면의 지시를 수행합니다. AnyConnect가 설치되면 AnyConnect 창에 동일한 주소를 입력하고 Connect.

제한 사항

현재 FTD에서 지원되지 않지만 ASA에서 사용 가능:

• FTDposture VPN은 동적 권한 부여 또는 RADIUS CoA(Change of Authorization)를 통한 그룹 정책 변경을 지원하지 않습니다.

• AnyConnect 사용자 지정(개선 사항: Cisco 버그 ID CSCvq87631)
• AnyConnect 스크립트(개선 사항: Cisco 버그 ID CSCvt58044).
• AnyConnect 현지화
• WSA 통합
• RA 및 L2L VPN에 대한 동시 IKEv2 동적 암호화 맵(개선 사항: Cisco 버그 ID CSCvr52047).
• TACACS, Kerberos - KCD 인증 및 RSA SDI(개선 사항: Cisco 버그 ID CSCvx55859).
• 브라우저 프록시.

보안 고려 사항

기본적으로 sysopt connection permit-vpn옵션이 비활성화되어 있습니다. 즉, 액세스 제어 정책을 통해 외부 인터페이스의 주소 풀에서 오는 트래픽을 허용해야 합니다. VPN 트래픽만 허용하기 위해 사전 필터 또는 액세스 제어 규칙이 추가되지만, 일반 텍스트 트래픽이 규칙 기준과 일치하는 경우 잘못 허용됩니다.

이 문제에 대한 두 가지 접근법이 있다. 먼저 TAC의 권장 옵션은 외부 인터페이스에 대해 스푸핑 방지(ASA에서는 Unicast Reverse Path Forwarding - uRPF라고 함)를 활성화하는 것이며, 두 번째는 활성화하는 것입니다 sysopt connection permit-vpn Snort 검사를 완전히 우회할 수 있습니다 첫 번째 옵션은 VPN 사용자를 오가는 트래픽에 대한 정상적인 검사를 허용합니다.

a) uRPF 활성화

• C 섹션에 정의된 원격 액세스 사용자에 사용되는 네트워크에 대해 null 경로를 생성합니다. 다음으로 이동 Devices > Device Management > Edit > Routing > Static Route 및 선택 Add route

• 다음으로, VPN 연결이 종료되는 인터페이스에서 uRPF를 활성화합니다. 이 항목을 찾으려면 다음으로 이동합니다. Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing. 

사용자가 연결되면 라우팅 테이블에 해당 사용자에 대한 32비트 경로가 설치됩니다. uRFP에 의해 삭제된 다른 풀의 미사용 IP 주소에서 오는 텍스트 트래픽을 지웁니다. 에 대한 설명을 보려면 Anti-SpoofingFirepower 위협 방어에서 보안 컨피그레이션 매개변수 설정을 참조하십시오.

b) 활성화 초ysopt connection permit-vpn 옵션

• 마법사나 아래에 이 작업을 수행하는 옵션이 있습니다 Devices > VPN > Remote Access > VPN Profile > Access Interfaces.

관련 정보

• Cisco 기술 지원 및 다운로드