為RAVPN配置現代TLS和DTLS密碼
簡介
本文檔介紹配置現代傳輸層安全性(TLS)和資料包傳輸層安全性(DTLS)密碼的過程。
必要條件
需求
思科建議您瞭解以下主題:
- 基本遠端訪問VPN(RAVPN)和安全套接字層(SSL)知識
- 安全防火牆上的RAVPN配置已測試且運行正常
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 思科安全防火牆管理中心7.2
- 思科防火牆威脅防禦7.2
- 安全使用者端5.0
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
配置安全防火牆的平台設定
平台設定簡介
平台設定策略是一組共用的功能或引數,用於定義受管裝置的各個方面,這些方面可能與部署中的其他受管裝置相似,如時間設定和外部身份驗證。通過共用策略,可以同時配置多個受管裝置,從而提供部署的一致性並簡化管理工作。對平台設定策略的任何更改都會影響應用該策略的所有受管裝置。在此處閱讀有關「平台設定」的詳細信息。
要更改平台設定,請在尚未完成時建立策略。如果完成,請跳至「配置TLS/DTLS密碼」。
導航到Devices > Platform Settings並選擇New Policy開始。
將防火牆威脅防禦裝置分配給策略。
配置TLS/DTLS密碼
導航到SSL頁籤以訪問TLS/DTLS配置。通過選擇Add按鈕建立自定義密碼清單。
更改TLS/DTLS版本以及適當的Elliptical Curve/Diffie-Hellman組值以滿足您的安全需求。
注意:您可以使用自定義受支援屬性建立自己的自定義清單,或從各種受支援密碼級別中進行選擇。請選擇最能支援您的安全需求的清單和密碼。
選擇協定和密碼級別。
對DTLS重複相同的過程。
已在Secure Firewall Management Center中完成配置。
儲存組態並將變更部署到FTD。
注意:這些更改可在使用者連線時應用。為安全客戶端會話協商的TLS/DTLS密碼僅在會話開始時發生。如果使用者已連線並且您想要進行更改,則不會斷開現有連線。與安全防火牆的新連線是使用新的安全密碼。
驗證
在Secure Firewall Management Center將配置部署到威脅防禦裝置後,需要驗證FTD CLI中是否存在密碼。開啟與裝置的終端/控制檯會話,發出列出的show命令並檢視其輸出。
從FTD CLI組態驗證
確保使用show run ssl顯示選定的TLS/DTLS清單。
FTD72# show run ssl
ssl cipher tlsv1.2 high
ssl cipher dtlsv1.2 high
ssl ecdh-group group21確保要協商所選TLS版本以及具有show ssl的Diffie-Hellman版本。
FTD72# show ssl
Accept connections using SSLv3 or greater and negotiate to TLSv1.2 or greater
Start connections using TLSv1.2 and negotiate to TLSv1.2 or greater
SSL DH Group: group14 (2048-bit modulus, FIPS)
SSL ECDH Group: group21 (521-bit EC)
SSL trust-points:
Self-signed (RSA 2048 bits RSA-SHA256) certificate available
Self-signed (EC 256 bits ecdsa-with-SHA256) certificate available
Certificate authentication is not enabled使用作用中Secure Client連線從FTD CLI驗證
連線Secure Client會話並檢視FTD CLI的輸出。要驗證交換的密碼,請運行此show命令show vpn-sessiondb detail anyconnect filter name username。
FTD72# show vpn-sessiondb detail anyconnect filter name trconner
Session Type: AnyConnect Detailed
Username : trconner Index : 75
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384
Bytes Tx : 24350 Bytes Rx : 20451
Pkts Tx : 53 Pkts Rx : 254
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : Split Tunnel Group : Split-4-CCIE
Login Time : 08:59:34 UTC Fri Sep 9 2022
Duration : 0h:01m:26s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : c0a805810004b000631b0076
Security Grp : none
---Output Condensed-----
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 75.1
TCP Src Port : 55581 TCP Dst Port : 443
SSL-Tunnel:
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 55588
DTLS-Tunnel:
Tunnel ID : 75.3
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-ECDSA-AES256-GCM-SHA384
Encapsulation: DTLSv1.2 UDP Src Port : 64386
從具有活動安全客戶端連線的客戶端進行驗證
驗證安全客戶端應用程式上的協商密碼。
開啟Secure Client應用程式。
導航到Statistics > AnyConnect VPN > Statistics進行調查。必須將列出的密碼與防火牆威脅防禦交叉檢查以確認。
疑難排解
從FTD CLI偵錯
安全客戶端上與TLS/DTLS密碼交換相關的連線錯誤可以通過防火牆威脅防禦CLI使用這些debug命令進行調查。
debug ssl
debug ssl cipher
debug ssl state
debug ssl device
debug ssl packet 從安全客戶端收集DART
開啟Secure Client DART應用程式,然後選擇「運行」。
注意:如果系統提示輸入憑據,請輸入管理員級別的憑據以繼續。
收集DART和調試以聯絡Cisco TAC。
如果從安全防火牆管理中心和Firewall Threat Defense CLI中看到的部署配置不匹配。請與Cisco TAC開啟新個案例。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
21-Jul-2023 |
初始版本 |
意見