ISE Posture over AnyConnect Remote Access VPN op FTD
Inhoud
Inleiding Voorwaarden Vereisten
Gebruikte componenten Configureren
Netwerkdiagram en verkeersstroom Configuraties
Verifiëren
Problemen oplossen
Inleiding
Dit document beschrijft hoe u de Cisco Firepower Threat Defense (FTD) versie 6.4.0 kunt configureren om VPN-gebruikers te positioneren tegen de Cisco Identity Services Engine (ISE).
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
AnyConnect Remote Access VPN
●
Remote Access VPN-configuratie op FTD
●
Services voor Identity Services Engine en postuur
●
Gebruikte componenten
De informatie in dit document is gebaseerd op deze softwareversies:
Cisco Firepower Threat Defense (FTD) softwareversies 6.4.0
●
Cisco Firepower Management Console (FMC) softwareversie 6.5.0
●
Microsoft Windows 10 met Cisco AnyConnect Secure Mobility Client versie 4.7
●
Cisco Identity Services Engine (ISE) versie 2.6 met patch 3
●
Configureren
Netwerkdiagram en verkeersstroom
De externe gebruiker gebruikt Cisco AnyConnect voor VPN-toegang tot de FTD.
1.
De FTD stuurt een RADIUS-toegangsverzoek voor die gebruiker naar de ISE.
2.
Dat verzoek raakt het beleid genaamd FTD-VPN-Posture-Onbekend op ISE. ISE stuurt een RADIUS Access-Accept met drie eigenschappen:
cisco-av-pair = url-redirect-acl=fyusifovredirect- dit is de naam van de toegangscontrolelijst (ACL) die lokaal wordt gedefinieerd op de FTD, die bepaalt welk verkeer wordt omgeleid.cisco-av-pair = url-
redirect=https://ip:port/portal/gateway?sessionId=SessionIdValue&portal=27b1bc30-2e58-11e9-98fb- 0050568775a3&action=cpp - dit is de URL waar de externe gebruiker wordt omgeleid.DACL =
PERMIT_ALL_IPV4_TRAFFIC - Downloadbare ACL (Deze eigenschap is optioneel). In dit scenario is al het verkeer toegestaan in DACL)
3.
Als DACL wordt verzonden, wordt de RADIUS-toegangsaanvraag/toegangsaanvraag-accepteren uitgewisseld om inhoud van de DACL te downloaden
4.
Wanneer het verkeer van de VPN-gebruiker de lokaal gedefinieerde ACL aanpast, wordt het opnieuw gericht naar ISE Client Provisioning Portal. ISE-bepalingen voor AnyConnect Posture-module en Naleving van de voorschriften.
5.
Nadat de agent op de clientmachine is geïnstalleerd, zoekt deze automatisch naar ISE door sondes te verzenden. Als ISE met succes is gedetecteerd, worden de posteringsvereisten gecontroleerd op het eindpunt. In dit voorbeeld controleert de agent op om het even welke geïnstalleerde anti-malware software.Dan stuurt het een postrapport naar ISE
6.
Wanneer ISE het postrapport van de agent ontvangt, verandert ISE de Posture Status voor deze sessie en zet RADIUS CoA-type Push in werking met nieuwe eigenschappen. In dit geval is de posterstatus bekend en wordt er een andere regel aangehaald.
Als de gebruiker compatibel is, wordt een DACL-naam die volledige toegang toestaat verzonden.Als de gebruiker niet compatibel is, wordt een DACL-naam die beperkte toegang toestaat verzonden.
7.
De FTD verwijdert de omleiding. FTD stuurt een toegangsaanvraag om DACL te downloaden van de ISE. De specifieke DACL wordt aan de VPN-sessie toegevoegd.
8.
Configuraties
FTD/FMC
Stap 1. Maak een netwerkdoelgroep voor ISE- en aanpassingsservers (indien aanwezig) onder Objecten>Objectbeheer>Netwerkmodule
Stap 2. Maak ACL opnieuw richten onder object>Objectbeheer>Toegangslijst>Uitgebreid. Klik op
"Uitgebreide toegangslijst toevoegen" en geef de naam van ACL-richting op. Deze naam dient dezelfde te zijn als in de resultaten van de ISE-vergunning.
Stap 3. Voeg ACL-vermeldingen toe door op "Toevoegen" te klikken. Blokkeer verkeer naar ISE en de herstelservers om dit uit te sluiten van omleiding. Laat de rest van het verkeer toe, zal dit omleiding veroorzaken (ACL ingangen zouden indien nodig specifieker kunnen zijn).
Stap 4. Voeg ISE PSN-knooppunt/knooppunten toe onder Objecten>Objectbeheer>RADIUS- servergroep. Klik op "RADIUS-servergroep toevoegen" en vul vervolgens de naam in, schakelt u alle selectietekens in en klikt op plus-pictogram
Stap 5. Typ in het geopende venster een ISE PSN IP-adres, RADIUS-toets, selecteer "Specifieke interface" en selecteer de interface waarvan ISE bereikbaar is (deze interface wordt gebruikt als een bron van RADIUS-verkeer) en selecteer ACL omleiden die eerder was ingesteld.
Stap 6. Maak een adrespool voor VPN-gebruikers onder doelstelling>Objectbeheer>Adres Pools>IPv4-pools. Klik op "IPv4-Pools toevoegen" en vul de informatie in.
Stap 7. Maak AnyConnect-pakket onder doelstelling>Objectbeheer>VPN>AnyConnect-bestand.
Klik op "Add AnyConnect File" om de pakketnaam te geven, het pakket te downloaden van Cisco Software Download en selecteer AnyConnect Client Image File Type.
Stap 7. Maak certificatieobjecten>Objectbeheer>PKI>CTRL-inschrijving. Klik op "Inschrijving toevoegen", geef de naam op en kies "Certificaat zelf hebben ondertekend" in Invoertype. Klik op het tabblad certificaatparameters en specificeer GN.
Stap 8. Start de wizard Externe Toegang VPN onder Apparaten>VPN>Externe toegang en klik op
"Add".
Stap 9. Typ de naam, controleer SSL als VPN-protocol, kies FTD die als VPN-concentrator zal worden gebruikt en klik op "Volgende"
Stap 10. Geef de naam van het verbindingsprofiel op, selecteer verificatie/autorisatie servers, selecteer de adrestoewijzing die eerder was ingesteld en klik op "Volgende"
Stap 1. Selecteer AnyConnect-pakket dat eerder is geconfigureerd en klik op "Volgende"
Stap 12. Selecteer de interface waarvan het VPN-verkeer wordt verwacht, selecteer certificaatinschrijving die eerder was ingesteld en klik op "Volgende"
Stap 13. Controleer overzichtspagina en klik op "Voltooien"
Stap 14. Plaats de configuratie op de FTD door op "Afdrukken" te klikken en de FTD te selecteren die als VPN-concentrator gebruikt zal worden.
ISE
Stap 1. Start Postupdates onder Beheer>Systeem>Instellingen>Post>Upload
Stap 2. Module voor uploaden van
naleving>Beleidselementen>Resultaten>Clientprovisioning>resources. Klik op "Add" en selecteer
"Agent resources van Cisco site"
Stap 3. Download AnyConnect van Cisco Software Download, dan uploaden deze naar ISE onder Beleidselementen>Resultaten>Clientprovisioning>Resources. Klik op "Add" en selecteer "Agent resources van local disk". Selecteer "Cisco meegeleverde pakketten" onder Category, selecteer AnyConnect-pakket van de lokale schijf en klik op "submit".
Stap 4. Maak AnyConnect-portieprofiel onder
Beleidselementen>Resultaten>Clientprovisioning>Resources. Klik op "Add" en selecteer
"AnyConnect Posture Profile". Vul het naam- en postprotocol in. Onder Server name regels Stel *
in en leg elk IP-adres onder Discovery Host
Stap 5. Maak AnyConnect-configuratie onder
Beleidselementen>Resultaten>Clientprovisioning>resources. Klik op "Add" en selecteer
"AnyConnect Configuration". Selecteer AnyConnect
Package, specificeer Configuration Name, selecteer Naleving Module, controleer Diagnostic and Reporting Tool, selecteer Posture Profile en klik op "Save".
Stap 6. Maak een clientprovisioningbeleid onder Beleidsbeleid>Clientprovisioning. Klik op
"Bewerken" en selecteer "Regel hierboven invoegen", geef de naam op, selecteer het besturingssysteem en kies AnyConnect Configuration dat in de vorige stap is gemaakt.
Stap 7. Maak een posteringsconditie onder Beleidselementen>Voorwaarden>Posture>Anti- Malware toestand. In dit voorbeeld gebruikten we vooraf gedefinieerde "ANY_am_win_inds"
Stap 8. Actie voor uitstel van de betaling maken onder
Beleidselementen>Resultaten>Verhoging>Verstelmaatregelen. In dit voorbeeld wordt het overgeslagen. Actie voor reparatie is een tekstbericht.
Stap 9. Maak Postvereisten onder Beleidselementen>Resultaten>Vereisten>Vereisten. Vooraf gedefinieerde eis Any_AM_Installatie_Win wordt gebruikt.
Stap 10. Postbeleid in het kader van het beleid>Uitstellen. Standaard postbeleid voor een anti- Malware controle voor Windows OS wordt gebruikt.
Stap 1. Maak DACL’s onder Beleidselementen>Resultaten>Vergunning>Downloadbare ACL’s voor verschillende status. In dit voorbeeld :
Posture Onbekende DACL - maakt verkeer naar DNS-, PSN- en HTTP- en HTTPS-verkeer mogelijk.
●
Post niet-conforme DACL - ontzegt toegang tot privé-subnetwerken en staat alleen internetverkeer toe.
●
Toestaan alle DACL - staat al verkeer toe om status na te bootsen.
●
Stap. 12 Maak drie vergunningsprofielen voor post Onbekend, houd de status van niet-conform en postconformant bij beleid>Beleidselementen>Resultaten>Vergunning>Licentieprofielen. In
Posture Onbekend profiel selecteert u Posture Onbekende DACL, controleer webomleiding, selecteer Clientprovisioning, specificeer ACL-naam (dat op FTD is ingesteld) en selecteer het portal.
Selecteer in positie niet-conform profiel DACL om toegang tot het netwerk te beperken
Selecteer DACL in overeenstemming met positie om volledige toegang tot het netwerk mogelijk te maken
Stap 13. Maak een autorisatiebeleid onder Beleidssets>Standaard>autorisatiebeleid. Als conditie worden Posture Status en VPN TunnelGroup Name gebruikt.
Verifiëren
Op ISE is de eerste verificatiestap van RADIUS-bewegend logbestand onder
bewerkingen>RADIUS-live logboek. Hier is Alice verbonden en het verwachte autorisatiebeleid is geselecteerd.
Er wordt een matchingbeleid voor FTD-VPN-Posture-Onbekend gemaakt en als gevolg daarvan wordt FTD-VPN-Profile naar FTD verzonden
Wachtwoord voor status
Resultaatsectie toont welke eigenschappen naar FTD worden verzonden.
Op FTD om de VPN-verbinding te verifiëren, SSH naar het vak, voert "system support diagnostic- cli" uit en "show vpn-sessiondb detail anyconnect" toe. Van deze uitvoer controleer of de
eigenschappen die van ISE worden verzonden voor deze VPN-sessie worden toegepast.
fyusifov-ftd-64# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed
Username : alice@training.example.com Index : 12
Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 15326 Bytes Rx : 13362 Pkts Tx : 10 Pkts Rx : 49 Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy Tunnel Group : EmployeeVPN Login Time : 07:13:30 UTC Mon Feb 3 2020
Duration : 0h:06m:43s Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 000000000000c0005e37c81a
Security Grp : none Tunnel Zone : 0
AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 12.1
Public IP : 10.229.16.169
Encryption : none Hashing : none TCP Src Port : 56491 TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes Client OS : win
Client OS Ver: 10.0.18363 Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 0
Pkts Tx : 5 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 12.2
Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 56495
TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 592
Pkts Tx : 5 Pkts Rx : 7 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PostureUnknown-5e37414d
DTLS-Tunnel:
Tunnel ID : 12.3
Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Encryption : AES256 Hashing : SHA1
Ciphersuite : DHE-RSA-AES256-SHA
Encapsulation: DTLSv1.0 UDP Src Port : 59396
UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 0 Bytes Rx : 12770 Pkts Tx : 0 Pkts Rx : 42 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PostureUnknown-5e37414d
ISE Posture:
Redirect URL : https://fyusifov-26-
3.example.com:8443/portal/gateway?sessionId=000000000000c0005e37c81a&portal=27b1bc...
Redirect ACL : fyusifovredirect
fyusifov-ftd-64#
Het beleid voor clientprovisioning kan worden geverifieerd onder Operations>Rapporten>Endpoints en gebruikers>Clientprovisioning
Post-rapport dat van AnyConnect is verzonden, kan worden gecontroleerd onder Operations>Rapporten>Endpoints en gebruikers>Postbeoordeling door Endpoint.
Klik op "Details" voor meer informatie over het rapport
Na ontvangst van het verslag over ISE wordt de status van de post bijgewerkt. In dit voorbeeld is de postuur status compatibel en wordt CoA Push geactiveerd met nieuwe eigenschappen.
Controleer op FTD dat de nieuwe ACL’s en omgekeerde URL worden verwijderd voor VPN-sessie en toegangsvergunningAlle DACL’s worden toegepast
fyusifov-ftd-64# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed
Username : alice@training.example.com Index : 14
Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1
Bytes Tx : 53990 Bytes Rx : 23808 Pkts Tx : 73 Pkts Rx : 120 Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : DfltGrpPolicy Tunnel Group : EmployeeVPN Login Time : 16:58:26 UTC Mon Feb 3 2020
Duration : 0h:02m:24s Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none Audt Sess ID : 000000000000e0005e385132
Security Grp : none Tunnel Zone : 0
AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 14.1
Public IP : 10.55.218.19
Encryption : none Hashing : none TCP Src Port : 51965 TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Client OS : win
Client OS Ver: 10.0.18363 Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 0
Pkts Tx : 5 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 14.2
Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 51970
TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7715 Bytes Rx : 10157 Pkts Tx : 6 Pkts Rx : 33 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PermitAll-5e384dc0
DTLS-Tunnel:
Tunnel ID : 14.3
Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Encryption : AES256 Hashing : SHA1
Ciphersuite : DHE-RSA-AES256-SHA
Encapsulation: DTLSv1.0 UDP Src Port : 51536
UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 38612 Bytes Rx : 13651 Pkts Tx : 62 Pkts Rx : 87 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PermitAll-5e384dc0
fyusifov-ftd-64#
Problemen oplossen
Controleer deze link voor uitgebreide informatie over flow en probleemoplossing AnyConnect en ISE: ISE Posture Style Vergelijking voor voor en na 2.2
Kanteling tunnel
●
Eén van de gebruikelijke problemen, als er een spit-tunnel is ingericht. In dit voorbeeld werd het standaardgroepsbeleid gebruikt, dat al het verkeer tunnels. Als alleen een specifiek verkeer is getunneld, moeten AnyConnect-problemen (enroll.cisco.com en discovery host) naast verkeer naar ISE en andere interne bronnen door de tunnel gaan.
Om tunnelbeleid op MKZ te controleren, moet u eerst controleren welk groepsbeleid voor VPN- verbinding wordt gebruikt onder Apparaten>VPN Remote Access
navigeer vervolgens naar object>Objectbeheer>VPN>Groepsbeleid en klik op "Groepsbeleid ingesteld" voor VPN
Identity NAT
●
Een ander veelvoorkomend probleem, wanneer het retourverkeer van VPN-gebruikers wordt vertaald met behulp van een onjuiste NAT-ingang. Om dit probleem op te lossen, moet Identity
NAT in de juiste volgorde worden gemaakt.
Controleer eerst NAT-regels voor dit apparaat onder Apparaten>NAT en voeg vervolgens nieuwe regel toe door op Toevoegen op Regel te klikken:
Selecteer in het geopende venster onder het tabblad "Interface Objects" de beveiligingszones. In dit voorbeeld wordt NAT-invoer gemaakt van ZONE-INSIDE naar ZONE-OUTSIDE.
Selecteer onder het tabblad "Vertaling" de oorspronkelijke en vertaalde pakketgegevens.
Aangezien Identity NAT is, blijven bron en bestemming ongewijzigd:
Schakel onder "Geavanceerd" de selectiekaarten in zoals hieronder wordt getoond: