Configurar AAA e Cert Auth para Secure Client no FTD via FMC

Introdução

Este documento descreve as etapas para configurar o Cisco Secure Client over SSL no FTD gerenciado pelo FMC com AAA e autenticação de certificado.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Cisco Firepower Management Center (FMC)
• Firewall Threat Defense Virtual (FTD)
• Fluxo de autenticação de VPN

Componentes Utilizados

• Cisco Firepower Management Center para VMWare 7.4.1
• Cisco Firewall Threat Defense Virtual 7.4.1

• Cisco Secure Client 5.1.3.62

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

À medida que as empresas adotam medidas de segurança mais rigorosas, a combinação da autenticação de dois fatores (2FA) com a autenticação baseada em certificado tornou-se uma prática comum para melhorar a segurança e proteger contra acesso não autorizado. Um dos recursos que podem melhorar significativamente a experiência e a segurança do usuário é a capacidade de preencher previamente o nome de usuário no Cisco Secure Client. Esse recurso simplifica o processo de login e melhora a eficiência geral do acesso remoto.
Este documento descreve como integrar o nome de usuário pré-preenchido com o Cisco Secure Client no FTD, garantindo que os usuários possam se conectar à rede de forma rápida e segura.

Estes certificados contêm um nome comum, que é utilizado para efeitos de autorização.

• CA : ftd-ra-ca-common-name
• Certificado de Cliente : sslVPNClientCN
• Certificado do servidor: 192.168.1.200

Diagrama de Rede

Esta imagem mostra a topologia usada para o exemplo deste documento.

Diagrama de Rede

Configurações

Configuração no FMC

Etapa 1. Configurar a interface FTD

Navegue até Devices > Device Management, edite o dispositivo FTD de destino, configure a interface interna e externa para FTD na guia Interfaces.

Para GigabitEthernet0/0,

• Nome : externo
• Zona de segurança : outsideZone
• Endereço IP: 192.168.1.200/24

Para GigabitEthernet0/1,

• Nome : dentro
• Zona de segurança : insideZone
• Endereço IP: 192.168.10.200/24

Interface FTD

Etapa 2. Confirmar licença do Cisco Secure Client

Navegue até Devices > Device Management, edite o dispositivo FTD de destino, confirme a licença do Cisco Secure Client na guia Device.

Licença de cliente seguro

Etapa 3. Adicionar Atribuição de Política

Navegue até Devices > VPN > Remote Access e clique no botão Add.

Adicionar VPN de acesso remoto

Insira as informações necessárias e clique no botão Avançar.

• Nome : ftdvpn-aaa-cert-auth
• Protocolos VPN: SSL
• Dispositivos de destino: 1.x.x.49

Atribuição de política

Etapa 4. Detalhes da configuração do perfil de conexão

Insira as informações necessárias para o perfil de conexão e clique no botão + ao lado do item Território local.

• Método de Autenticação : Certificado do Cliente & AAA
• Servidor de autenticação : LOCAL
• Nome de Usuário do Certificado: Mapear campo específico
• Campo Primário : CN (Nome Comum)
• Campo Secundário: OU (Unidade Organizacional)

Detalhes do Perfil de Conexão

Clique em Local na lista suspensa Adicionar território para adicionar um novo território local.

Adicionar território local

Insira as informações necessárias para o realm local e clique no botão Salvar.

• Nome : LocalRealmTest
• Nome de usuário : sslVPNClientCN

Detalhes do território local

Etapa 5. Adicionar Pool de Endereços para Perfil de Conexão

Clique no botão edit ao lado do item IPv4 Address Pools.

Adicionar Pool de Endereços IPv4

Insira as informações necessárias para adicionar um novo pool de endereços IPv4. Selecione o novo pool de endereços IPv4 para o perfil de conexão.

• Nome : ftdvpn-aaa-cert-pool
• Intervalo de Endereços IPv4 : 172.16.1.40-172.16.1.50
• Máscara : 255.255.255.0

Detalhes do Pool de Endereços IPv4

Etapa 6. Adicionar Política de Grupo para Perfil de Conexão

Clique no botão + ao lado do item Diretiva de Grupo.

Adicionar Política de Grupo

Insira as informações necessárias para adicionar uma nova política de grupo. Selecione a nova diretiva de grupo para o perfil de conexão.

• Nome : ftdvpn-aaa-cert-grp
• Protocolos VPN: SSL

Detalhes da Política de Grupo

Passo 7. Config Secure Client Image para o perfil de conexão

Selecione o arquivo de imagem de cliente seguro e clique no botão Avançar.

Selecionar Imagem de Cliente Segura

Etapa 8. Acesso à configuração e certificado para o perfil de conexão

Selecione Security Zone para conexão VPN e clique no botão + ao lado do item Certificate Enrollment.

• Grupo de interface/Zona de segurança : outsideZone

Selecionar Zona de Segurança

Insira as informações necessárias para o certificado FTD e importe um arquivo PKCS12 do computador local.

• Nome : ftdvpn-cert
• Tipo de registro: arquivo PKCS12

Adicionar Certificado FTD

Confirme as informações inseridas no assistente Access & Certificate e clique no botão Next.

Confirmar configurações em Acesso e Certificado

Etapa 9. Confirmar resumo do perfil de conexão

Confirme as informações inseridas para a conexão VPN e clique no botão Finish.

Confirmar configurações para conexão VPN

Confirme o resumo da política de VPN de acesso remoto e implante as configurações no FTD.

Resumo da Política de VPN de Acesso Remoto

Confirmar na CLI do FTD

Confirme as configurações de conexão VPN na CLI do FTD após a implantação do FMC.

// Defines IP of interface
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 192.168.1.200 255.255.255.0 
interface GigabitEthernet0/1
nameif inside
security-level 0
ip address 192.168.10.200 255.255.255.0

// Defines a pool of addresses
ip local pool ftdvpn-aaa-cert-pool 172.16.1.40-172.16.1.50 mask 255.255.255.0

// Defines a local user
username sslVPNClientCN password ***** encrypted

// Defines Trustpoint for Server Certificate
crypto ca trustpoint ftdvpn-cert
keypair ftdvpn-cert
crl configure

// Server Certificate Chain
crypto ca certificate chain ftdvpn-cert
certificate 22413df584b6726c
3082037c 30820264 a0030201 02020822 413df584 b6726c30 0d06092a 864886f7
......
quit
certificate ca 5242a02e0db6f7fd
3082036c 30820254 a0030201 02020852 42a02e0d b6f7fd30 0d06092a 864886f7
......
quit

// Configures the FTD to allow Cisco Secure Client connections and the valid Cisco Secure Client images
webvpn
enable outside
http-headers
hsts-server
enable
max-age 31536000
include-sub-domains
no preload
hsts-client
enable
x-content-type-options
x-xss-protection
content-security-policy
anyconnect image disk0:/csm/cisco-secure-client-win-5.1.3.62-webdeploy-k9.pkg 1 regex "Windows"
anyconnect enable
tunnel-group-list enable
cache
disable
error-recovery disable

// Bypass Access Control policy for decrypted traffic
// This setting is displayed in the 'show run all' command output
sysopt connection permit-vpn

// Configures the group-policy to allow SSL connections
group-policy ftdvpn-aaa-cert-grp internal
group-policy ftdvpn-aaa-cert-grp attributes
banner none
wins-server none
dns-server none
dhcp-network-scope none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-idle-timeout alert-interval 1
vpn-session-timeout none
vpn-session-timeout alert-interval 1
vpn-filter none
vpn-tunnel-protocol ssl-client 
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
split-tunnel-all-dns disable
client-bypass-protocol disable
vlan none
address-pools none
webvpn
anyconnect ssl dtls enable
anyconnect mtu 1406
anyconnect firewall-rule client-interface public none
anyconnect firewall-rule client-interface private none
anyconnect ssl keepalive 20
anyconnect ssl rekey time none
anyconnect ssl rekey method none
anyconnect dpd-interval client 30
anyconnect dpd-interval gateway 30
anyconnect ssl compression none
anyconnect dtls compression none
anyconnect modules value none
anyconnect ask none default anyconnect
anyconnect ssl df-bit-ignore disable

// Configures the tunnel-group to use the aaa & certificate authentication
tunnel-group ftdvpn-aaa-cert-auth type remote-access
tunnel-group ftdvpn-aaa-cert-auth general-attributes
address-pool ftdvpn-aaa-cert-pool
default-group-policy ftdvpn-aaa-cert-grp
// These settings are displayed in the 'show run all' command output. Start
authentication-server-group LOCAL
secondary-authentication-server-group none
no accounting-server-group
default-group-policy ftdvpn-aaa-cert-grp
username-from-certificate CN OU
secondary-username-from-certificate CN OU
authentication-attr-from-server primary
authenticated-session-username primary
username-from-certificate-choice second-certificate
secondary-username-from-certificate-choice second-certificate
// These settings are displayed in the 'show run all' command output. End
tunnel-group ftdvpn-aaa-cert-auth webvpn-attributes
authentication aaa certificate
pre-fill-username client
group-alias ftdvpn-aaa-cert-auth enable

Confirmar no cliente VPN

Etapa 1. Confirmar certificado do cliente

Navegue até Certificates - Current User > Personal > Certificates, verifique o certificado do cliente usado para autenticação.

Confirmar certificado do cliente

Clique duas vezes no certificado do cliente, navegue para Detalhes, verifique os detalhes de Assunto.

• Assunto : CN = sslVPNClientCN

Detalhes do Certificado do Cliente

Etapa 2. Confirmar CA

Navegue até Certificates - Current User > Trusted Root Certification Authorities > Certificates, verifique a CA usada para autenticação.

• Emitido por : ftd-ra-ca-common-name

Confirmar CA

Verificar

Etapa 1. Iniciar conexão VPN

No endpoint, inicie a conexão do Cisco Secure Client. O nome de usuário é extraído do certificado do cliente, você precisa inserir a senha para autenticação VPN.

Iniciar conexão VPN

Etapa 2. Confirmar sessões ativas no FMC

Navegue para Analysis > Users > Ative Sessions, verifique a sessão ativa para autenticação de VPN.

Confirmar sessão ativa

Etapa 3. Confirmar sessão VPN na CLI FTD

Executeshow vpn-sessiondb detail anyconnect o comando na CLI FTD (Lina) para confirmar a sessão VPN.

ftd702# show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : sslVPNClientCN Index : 7
Assigned IP : 172.16.1.40 Public IP : 192.168.1.11
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-128 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA256 DTLS-Tunnel: (1)SHA384
Bytes Tx : 14780 Bytes Rx : 15386
Pkts Tx : 2 Pkts Rx : 37
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : ftdvpn-aaa-cert-grp Tunnel Group : ftdvpn-aaa-cert-auth
Login Time : 02:38:22 UTC Mon Jun 17 2024
Duration : 0h:01m:22s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : cb00718200007000666fa19e
Security Grp : none Tunnel Zone : 0

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
Tunnel ID : 7.1
Public IP : 192.168.1.11
Encryption : none Hashing : none 
TCP Src Port : 50035 TCP Dst Port : 443 
Auth Mode : Certificate and userPassword
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes 
Client OS : win 
Client OS Ver: 10.0.15063 
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7390 Bytes Rx : 0 
Pkts Tx : 1 Pkts Rx : 0 
Pkts Tx Drop : 0 Pkts Rx Drop : 0 

SSL-Tunnel:
Tunnel ID : 7.2
Assigned IP : 172.16.1.40 Public IP : 192.168.1.11
Encryption : AES-GCM-128 Hashing : SHA256 
Ciphersuite : TLS_AES_128_GCM_SHA256 
Encapsulation: TLSv1.3 TCP Src Port : 50042 
TCP Dst Port : 443 Auth Mode : Certificate and userPassword
Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes 
Client OS : Windows 
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 7390 Bytes Rx : 2292 
Pkts Tx : 1 Pkts Rx : 3 
Pkts Tx Drop : 0 Pkts Rx Drop : 0 

DTLS-Tunnel:
Tunnel ID : 7.3
Assigned IP : 172.16.1.40 Public IP : 192.168.1.11
Encryption : AES-GCM-256 Hashing : SHA384 
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384 
Encapsulation: DTLSv1.2 UDP Src Port : 56382 
UDP Dst Port : 443 Auth Mode : Certificate and userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes 
Client OS : Windows 
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.3.62
Bytes Tx : 0 Bytes Rx : 13094 
Pkts Tx : 0 Pkts Rx : 34 
Pkts Tx Drop : 0 Pkts Rx Drop : 0

Etapa 4. Confirmar comunicação com o servidor

Inicie o ping do cliente VPN para o servidor, confirme se a comunicação entre o cliente VPN e o servidor foi bem-sucedida.

Ping bem-sucedido

Execute capture in interface inside real-time o comando na CLI do FTD (Lina) para confirmar a captura de pacotes.

ftd702# capture in interface inside real-time
Use ctrl-c to terminate real-time capture

1: 03:39:25.729881 172.16.1.40 > 192.168.10.11 icmp: echo request
2: 03:39:25.730766 192.168.10.11 > 172.16.1.40 icmp: echo reply
3: 03:39:26.816211 172.16.1.40 > 192.168.10.11 icmp: echo request
4: 03:39:26.818683 192.168.10.11 > 172.16.1.40 icmp: echo reply
5: 03:39:27.791676 172.16.1.40 > 192.168.10.11 icmp: echo request
6: 03:39:27.792195 192.168.10.11 > 172.16.1.40 icmp: echo reply
7: 03:39:28.807789 172.16.1.40 > 192.168.10.11 icmp: echo request
8: 03:39:28.808399 192.168.10.11 > 172.16.1.40 icmp: echo reply

Troubleshooting

Você pode esperar encontrar informações sobre a autenticação VPN no syslog de depuração do mecanismo Lina e no arquivo DART no PC com Windows.

Este é um exemplo de logs de depuração no mecanismo Lina.

// Certificate Authentication
Jun 17 2024 02:38:03: %FTD-7-717029: Identified client certificate within certificate chain. serial number: 6EC79930B231EDAF, subject name: CN=sslVPNClientCN,OU=sslVPNClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jun 17 2024 02:38:03: %FTD-6-717028: Certificate chain was successfully validated with warning, revocation status was not checked.
Jun 17 2024 02:38:03: %FTD-6-717022: Certificate was successfully validated. serial number: 6EC79930B231EDAF, subject name:  CN=sslVPNClientCN,OU=sslVPNClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.

// Extract username from the CN (Common Name) field
Jun 17 2024 02:38:03: %FTD-7-113028: Extraction of username from VPN client certificate has been requested.  [Request 5]
Jun 17 2024 02:38:03: %FTD-7-113028: Extraction of username from VPN client certificate has completed.  [Request 5]

// AAA Authentication
Jun 17 2024 02:38:22: %FTD-6-113012: AAA user authentication Successful : local database : user = sslVPNClientCN
Jun 17 2024 02:38:22: %FTD-6-113009: AAA retrieved default group policy (ftdvpn-aaa-cert-grp) for user = sslVPNClientCN
Jun 17 2024 02:38:22: %FTD-6-113008: AAA transaction status ACCEPT : user = sslVPNClientCN

Essas depurações podem ser executadas a partir da CLI de diagnóstico do FTD, que fornece informações que você pode usar para solucionar problemas de configuração.

• debug crypto ca 14
• debug webvpn anyconnect 255
• debug cripto ike-common 255

Referência

Configurar o AnyConnect Remote Access VPN no FTD

Configurar Autenticação Baseada em Certificado do Anyconnect para Acesso Móvel