ISE-houding configureren via AnyConnect Remote Access VPN op FTD

Inleiding

Dit document beschrijft hoe u Firepower Threat Defence (FTD) versie 6.4.0 moet configureren om VPN-gebruikers aan te stellen tegen Identity Services Engine (ISE).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• AnyConnect externe toegang tot VPN
• Configuratie van VPN voor externe toegang op de FTD
• Identity Services Engine en postuur

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende softwareversies:

• Software voor Cisco Firepower Threat Defence (FTD), versie 6.4.0
• Software voor Cisco Firepower Management Console (FMC), versie 6.5.0
• Microsoft Windows 10 met Cisco AnyConnect Secure Mobility-client versie 4.7
• Cisco Identity Services Engine (ISE) versie 2.6 met Patch 3

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configureren

Netwerkdiagram en verkeersstroom

1. De externe gebruiker gebruikt Cisco AnyConnect voor VPN-toegang tot de FTD.

2. De FTD stuurt een RADIUS-toegangsverzoek voor die gebruiker naar de ISE.

3. Dat verzoek raakt het beleid genaamd FTD-VPN-Posture-Unknown op de ISE. De ISE stuurt een RADIUS-toegangsgoedkeuring met drie kenmerken:

• Cisco-av-paar = url-redirect-acl=fyusifovredirect - Dit is de naam van de toegangscontrolelijst (ACL) die lokaal op de FTD is gedefinieerd, die beslist welk verkeer wordt omgeleid.
• Cisco-av-pair = url-redirect=https://ip:port/portal/gateway?sessionId=SessionIdValue&portal=27b1bc30-2e58-11e9-98fb-0050568775a3&action=cpp - Dit is de URL waarnaar de externe gebruiker wordt doorgestuurd.
• DACL = PERMIT_ALL_IPV4_TRAFFIC - downloadbare ACL Dit kenmerk is optioneel. In dit scenario is al het verkeer toegestaan in DACL)

4. Als DACL wordt verzonden, wordt RADIUS-toegangsverzoek/toegangsgoedkeuring uitgewisseld om de inhoud van DACL te downloaden

5. Wanneer het verkeer van de VPN-gebruiker overeenkomt met de lokaal gedefinieerde ACL, wordt het omgeleid naar ISE-clientprovisioningportal. ISE-bepalingen AnyConnect-postermodule en nalevingsmodule.

6. Nadat de agent op de clientmachine is geïnstalleerd, zoekt hij automatisch naar ISE met sondes. Wanneer ISE met succes is gedetecteerd, worden de houdingsvereisten gecontroleerd op het eindpunt. In dit voorbeeld controleert de agent op geïnstalleerde anti-malware software. Vervolgens stuurt het een postuur verslag naar de ISE.

7. Wanneer ISE het postuur rapport van de agent ontvangt, verandert ISE Positie Status voor deze sessie en activeert RADIUS CoA type Push met nieuwe eigenschappen. Ditmaal is de status van de houding bekend en wordt er een andere regel geraakt.

• Als de gebruiker volgzaam is, dan wordt een DACL naam die volledige toegang toelaat verzonden.
• Als de gebruiker niet-compatibel is, wordt een DACL-naam die beperkte toegang toestaat verzonden.

8. Het FTD verwijdert de omleiding. FTD stuurt een toegangsaanvraag om DACL van de ISE te downloaden. De specifieke DACL is gekoppeld aan de VPN-sessie.

Configuraties

FTD/FMC

Stap 1. Maak een netwerkobjectgroep voor ISE- en herstelservers (indien aanwezig). Ga naar Objecten > Objectbeheer > Netwerk.

Stap 2. Omleiden ACL maken Navigeer naar Objecten > Objectbeheer > Toegangslijst > Uitgebreid. Klik op Uitgebreide toegangslijst toevoegen en geef de naam op van ACL-omleiding. Deze naam moet dezelfde zijn als in het resultaat van de ISE-autorisatie.

Stap 3. Vermeldingen in ACL-omleiding toevoegen. Klik op de knop Toevoegen. Blokkeer verkeer naar DNS, ISE en de herstelservers om deze uit te sluiten van omleiding. Laat de rest van het verkeer toe, dit activeert omleiding (ACL-vermeldingen kunnen specifieker zijn indien nodig).

Stap 4. Voeg ISE-PSN-knooppunt/knooppunten toe. Ga naar Objecten > Objectbeheer > RADIUS-servergroep. Klik op RADIUS-servergroep toevoegen, geef de naam op, schakel alle selectievakjes in en klik op het pictogram plus.



Stap 5. Typ in het geopende venster ISE-PSN IP-adres, RADIUS-sleutel, selecteer Specifieke interface en selecteer de interface waaruit ISE bereikbaar is (deze interface wordt gebruikt als bron van RADIUS-verkeer) en selecteer vervolgens ACL-omleiding die eerder is geconfigureerd.

Stap 6. Adresgroep maken voor VPN-gebruikers. Ga naar Objecten > Objectbeheer > Adrespools > IPv4-pools. Klik op IPv4-pools toevoegen en vul de gegevens in.

Stap 7. Maak een AnyConnect-pakket. Navigeer naar Objecten > Objectbeheer > VPN > AnyConnect File. Klik op Add AnyConnect File, geef de pakketnaam op, download het pakket van Cisco Software Download en selecteer AnyConnect Client Image File Type.

Stap 8. Navigeer naar certificaatobjecten > Objectbeheer > PKI > Cert-inschrijving. Klik op Add Cert Inschrijving, geef naam op en kies Self Signed Certificate in Inschrijftype. Klik op het tabblad Certificaatparameters en geef de GN op.

Stap 9. Start de wizard Externe toegang tot VPN. Navigeer naar Apparaten > VPN > Externe toegang en klik op Toevoegen.



Stap 10. Vermeld de naam, controleer SSL als VPN Protocol, kies FTD die als VPN concentrator wordt gebruikt en klik op Volgende.



Stap 11. Geef de naam van het verbindingsprofiel op, selecteer Verificatie-/boekhoudservers, selecteer de adrespool die eerder is geconfigureerd en klik op Volgende.

Opmerking: selecteer de autorisatieserver niet. Het brengt twee toegangsaanvragen voor één gebruiker (eenmaal met het gebruikerswachtwoord en de tweede keer met wachtwoord cisco).

Stap 12. Selecteer AnyConnect-pakket dat eerder is geconfigureerd en klik op Volgende.



Stap 13. Selecteer de interface waarvan VPN-verkeer wordt verwacht, selecteer Certificaatinschrijving die eerder is geconfigureerd en klik op Volgende.



Stap 14. Controleer de overzichtspagina en klik op Voltooien.

Stap 15. Configuratie in FTD implementeren. Klik op Implementeren en selecteer FTD die wordt gebruikt als VPN-concentrator.

ISE

Stap 1. Werk de houding bij. Ga naar Beheer > Systeem > Instellingen > Houding > Updates.

Stap 2. Nalevingsmodule voor uploaden. Ga naar Beleid > Beleidselementen > Resultaten > Clientprovisioning > Resources. Klik op Add en selecteer Agent resources vanaf Cisco-site

Stap 3. Download AnyConnect van Cisco Software Download en upload het vervolgens naar ISE. Ga naar Beleid > Beleidselementen > Resultaten > Clientprovisioning > Resources.

Klik op Add en selecteer Agent Resources from Local Disk. Kies Cisco Provided Packages onder Category, selecteer AnyConnect-pakket op de lokale schijf en klik op Indienen.

Stap 4. Een profiel voor AnyConnect maken. Ga naar Beleid > Beleidselementen > Resultaten > Clientprovisioning > Resources.

Klik op Add en selecteer AnyConnect Posture Profile. Vul de naam en het Posture Protocol in.

Onder *Server naam regels zet * en zet een dummy IP-adres onder Discovery host.

Stap 5. Navigeren naar Beleid > Beleidselementen > Resultaten > Clientprovisioning > Resources en AnyConnect Configuration maken. Klik op Add en selecteer AnyConnect Configuration. Selecteer AnyConnect-pakket, geef de configuratienaam op, selecteer compliancemodule, controleer het diagnostische en rapportageprogramma, selecteer Profiel houding en klik op Opslaan.

Stap 6. Navigeer naar Beleid > Clientprovisioning en maak een clientprovisioningbeleid. Klik op Bewerken en selecteer vervolgens Regel invoegen hierboven, geef naam op, selecteer het besturingssysteem en kies AnyConnect Configuration die in de vorige stap is gemaakt.

Stap 7. Houdbaarheid aanmaken onder Policy > Policy Elements > Conditions > Posture > Anti-Malware Condition. In dit voorbeeld, wordt "ANY_am_win_inst" vooraf gedefinieerd.

.

Stap 8. Ga naar Beleid > Beleidselementen > Resultaten > Houding > Herstelmaatregelen en creëer Posture Remediation. In dit voorbeeld wordt het overgeslagen. Oplossingsactie kan een tekstbericht zijn.

Stap 9. Navigeer naar Beleid > Beleidselementen > Resultaten > Houding > Vereisten en creëer Houding Vereisten. Vooraf gedefinieerde vereiste Any_AM_Installatie_Win wordt gebruikt.

Stap 10. Posterijen onder Beleid > Posterijen maken. Standaard posterbeleid voor alle AntiMalware Check voor Windows OS wordt gebruikt.

Stap 11. Navigeer naar Beleid > Beleidselementen > Resultaten > Autorisatie > Downloadbare ACLS en maak DACL's voor verschillende postuur-statussen.

In dit voorbeeld:

• Posture Unknown DACL - maakt verkeer mogelijk naar DNS-, PSN- en HTTP- en HTTPS-verkeer. 
• Posture NonCompliant DACL - ontzegt toegang tot Private Subnets en staat alleen internetverkeer toe.
• Laat Alle DACL toe - staat al verkeer voor Posture Volgzame Status toe. 

Stap 12. Maak drie autorisatieprofielen voor de status Onbekend, niet-conform en niet-conform. Hiervoor bladert u naar Policy > Policy Elements > Results > Authorisation > Authorisation Profiles. Selecteer in het profiel Onbekend maken de optie Onbekend DACL, controleer webomleiding, selecteer Client Provisioning, geef Redirect ACL-naam (dat is ingesteld op FTD) en selecteer de portal.

Selecteer in het profiel Posture NonCompliant DACL om de toegang tot het netwerk te beperken.

Selecteer in het profiel Posture Compliant DACL om volledige toegang tot het netwerk mogelijk te maken.

Stap 13. Creëer autorisatiebeleid onder Beleid > Beleidssets > Standaard > Autorisatiebeleid. Als conditie Positie Status en VNP TunnelGroup Naam wordt gebruikt.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

Op ISE is de eerste verificatiestap RADIUS Live Log. Navigeer naar Operations > RADIUS Live Log. Hier is de gebruiker Alice verbonden en wordt het verwachte autorisatiebeleid geselecteerd.

Het FTD-VPN-Posture-Unknown autorisatiebeleid wordt gematched en als gevolg daarvan wordt het FTD-VPN-Profiel naar FTD verzonden.

Houdbaarheid status in behandeling.


De sectie Resultaat toont welke eigenschappen naar FTD worden verzonden. 

Op FTD, om de verbinding van VPN te verifiëren, SSH aan het vakje, voer systeemsteun kenmerkend-cli uit en toon dan vpn-sessiondb detail om het even welk verbinden. Van deze output, verifieer dat de attributen die van ISE worden verzonden voor deze VPN zitting worden toegepast.

fyusifov-ftd-64# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : alice@training.example.com
Index        : 12
Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 15326                  Bytes Rx     : 13362
Pkts Tx      : 10                     Pkts Rx      : 49
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy          Tunnel Group : EmployeeVPN
Login Time   : 07:13:30 UTC Mon Feb 3 2020
Duration     : 0h:06m:43s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000c0005e37c81a
Security Grp : none                   Tunnel Zone  : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 12.1
  Public IP    : 10.229.16.169
  Encryption   : none                   Hashing      : none
  TCP Src Port : 56491                  TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes
  Client OS    : win
  Client OS Ver: 10.0.18363
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 0
  Pkts Tx      : 5                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 12.2
  Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
  Encryption   : AES-GCM-256            Hashing      : SHA384
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384
  Encapsulation: TLSv1.2                TCP Src Port : 56495
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 23 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 592
  Pkts Tx      : 5                      Pkts Rx      : 7
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PostureUnknown-5e37414d

DTLS-Tunnel:
  Tunnel ID    : 12.3
  Assigned IP  : 172.16.1.10            Public IP    : 10.229.16.169
  Encryption   : AES256                 Hashing      : SHA1
  Ciphersuite  : DHE-RSA-AES256-SHA
  Encapsulation: DTLSv1.0               UDP Src Port : 59396
  UDP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 0                      Bytes Rx     : 12770
  Pkts Tx      : 0                      Pkts Rx      : 42
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PostureUnknown-5e37414d

ISE Posture:
  Redirect URL : https://fyusifov-26-3.example.com:8443/portal/gateway?sessionId=000000000000c0005e37c81a&portal=27b1bc...
  Redirect ACL : fyusifovredirect

fyusifov-ftd-64#

Het beleid voor clientprovisioning kan worden geverifieerd. Ga naar Operations > Rapporten > Endpoints en gebruikers > Clientprovisioning.

Het rapport van de houding dat van AnyConnect wordt verzonden kan worden gecontroleerd. Ga naar Operations > Rapporten > Eindpunten en gebruikers > Posture Assessment by Endpoint.

Klik op Details om meer details te zien in het poortrapport.

Nadat het rapport is ontvangen op ISE, wordt de postuur status bijgewerkt. In dit voorbeeld is de postuur status compatibel en CoA Push wordt geactiveerd met een nieuwe reeks kenmerken.

Controleer op FTD dat nieuwe Redirect ACL en Redirect URL worden verwijderd voor VPN-sessie en PermitAll DACL wordt toegepast.

fyusifov-ftd-64# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username     : alice@training.example.com
Index        : 14
Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 53990                  Bytes Rx     : 23808
Pkts Tx      : 73                     Pkts Rx      : 120
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy          Tunnel Group : EmployeeVPN
Login Time   : 16:58:26 UTC Mon Feb 3 2020
Duration     : 0h:02m:24s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 000000000000e0005e385132
Security Grp : none                   Tunnel Zone  : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 14.1
  Public IP    : 10.55.218.19
  Encryption   : none                   Hashing      : none
  TCP Src Port : 51965                  TCP Dst Port : 443
  Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client OS    : win
  Client OS Ver: 10.0.18363
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7663                   Bytes Rx     : 0
  Pkts Tx      : 5                      Pkts Rx      : 0
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0

SSL-Tunnel:
  Tunnel ID    : 14.2
  Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
  Encryption   : AES-GCM-256            Hashing      : SHA384
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384
  Encapsulation: TLSv1.2                TCP Src Port : 51970
  TCP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 27 Minutes
  Client OS    : Windows
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 7715                   Bytes Rx     : 10157
  Pkts Tx      : 6                      Pkts Rx      : 33
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PermitAll-5e384dc0

DTLS-Tunnel:
  Tunnel ID    : 14.3
  Assigned IP  : 172.16.1.10            Public IP    : 10.55.218.19
  Encryption   : AES256                 Hashing      : SHA1
  Ciphersuite  : DHE-RSA-AES256-SHA
  Encapsulation: DTLSv1.0               UDP Src Port : 51536
  UDP Dst Port : 443                    Auth Mode    : userPassword
  Idle Time Out: 30 Minutes             Idle TO Left : 28 Minutes
  Client OS    : Windows
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.7.01076
  Bytes Tx     : 38612                  Bytes Rx     : 13651
  Pkts Tx      : 62                     Pkts Rx      : 87
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0
  Filter Name  : #ACSACL#-IP-PermitAll-5e384dc0

fyusifov-ftd-64#

Problemen oplossen

Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.

Controleer deze link voor een gedetailleerde postenstroom en voor het oplossen van problemen met AnyConnect en ISE: ISE-poortstijlvergelijking voor Pre en Post 2.2.

• Spilt Tunnel
  
  

Een van de meest voorkomende problemen, wanneer er een spit tunnel is ingesteld. In dit voorbeeld wordt standaard groepsbeleid gebruikt, dat alle verkeer tunnelt. In het geval dat alleen het specifieke verkeer wordt getunneld, dan moeten AnyConnect-sondes (enroll.cisco.com en discovery host) door de tunnel gaan, naast het verkeer naar ISE en andere interne bronnen.

Om het tunnelbeleid op FMC te controleren, controleer eerst welk groepsbeleid wordt gebruikt voor VPN-verbinding. Navigeer naar Apparaten > VPN Remote Access.

Ga vervolgens naar Objecten > Objectbeheer > VPN > Groepsbeleid en klik op Groepsbeleid geconfigureerd voor VPN.

• Identity NAT

Een ander veelvoorkomend probleem is wanneer het retourverkeer van VPN-gebruikers wordt vertaald met het gebruik van een onjuiste NAT-ingang. Om dit probleem op te lossen, moet Identity NAT in een juiste volgorde worden gemaakt.

Controleer eerst NAT-regels voor dit apparaat. Navigeer naar Apparaten > NAT en klik vervolgens op Regel toevoegen om een nieuwe regel te maken.

Selecteer in het geopende venster op het tabblad Interfaceobjecten de optie Beveiligingszones. In dit voorbeeld, wordt de NAT ingang gemaakt van streek-BINNENKANT aan streek-buitenkant.

Selecteer onder het tabblad Vertaling de optie oorspronkelijke en vertaalde pakketdetails. Aangezien het Identity NAT is, worden de bron en de bestemming onveranderd gehouden:

Schakel in het tabblad Geavanceerd de selectievakjes in zoals in deze afbeelding: