Configure SSL AnyConnect con autenticación local en FTD gestionado por FMC
Contenido
Introducción Prerequisites Requirements
Componentes Utilizados Antecedentes
Configurar Configuraciones
Paso 1. Verificación de licencias
Paso 2. Cargar paquete de AnyConnect en FMC Paso 3. Generar certificado firmado automáticamente Paso 4. Crear rango local en FMC
Paso 5. Configuración de SSL AnyConnect Verificación
Troubleshoot
Introducción
Este documento describe cómo configurar Cisco AnyConnect con autenticación local en Cisco Firepower Threat Defense (FTD) que se administra mediante Cisco Firepower Management Center (FMC). En el ejemplo siguiente, Secure Sockets Layer (SSL) se utiliza para crear una red privada virtual (VPN) entre FTD y un cliente Windows 10.
Colaborado por Daniel Perez Vertti Vazquez, Ingeniero del TAC de Cisco.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
Configuración de SSL AnyConnect a través de FMC
●
Configuración de objetos Firepower a través de FMC
●
Certificados SSL en Firepower
●
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Cisco FTD versión 7.0.0 (versión 94)
●
Cisco FMC versión 7.0.0 (versión 94)
●
Cisco AnyConnect Secure Mobility Client 4.10.01075
●
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Desde la versión 7.0.0, FTD administrado por FMC admite la autenticación local para clientes AnyConnect. Esto se puede definir como el método de autenticación principal o como reserva en caso de que el método primario falle. En este ejemplo, la autenticación local se configura como la autenticación primaria.
Antes de esta versión de software, la autenticación local de AnyConnect en FTD solo estaba disponible en Cisco Firepower Device Manager (FDM).
Configurar
Configuraciones
Paso 1. Verificación de licencias
Antes de configurar AnyConnect, el FMC debe estar registrado y cumplir con el portal de licencias inteligentes. No puede implementar AnyConnect si FTD no tiene una licencia Plus, Apex o
exclusiva de VPN válida.
Navegue hasta Sistema > Licencias > Licencias inteligentes para validar que FMC está registrado y cumple con Smart Licensing Portal.
Desplácese hacia abajo en la misma página, en la parte inferior del gráfico Licencias Inteligentes, podrá ver los diferentes tipos de licencias de AnyConnect disponibles y los dispositivos suscritos a cada una de ellas. Validar el FTD en cuestión se registra en cualquiera de estas categorías.
Paso 2. Cargar paquete de AnyConnect en FMC
Descargue el paquete de implementación de cabecera de AnyConnect para Windows desde cisco.com.
Para cargar la imagen de AnyConnect, navegue hasta Objetos > Administración de objetos y seleccione Archivo AnyConnect bajo la categoría VPN en la tabla de contenido.
Seleccione el botón Add AnyConnect File . En la ventana Add AnyConnect File asigne un nombre al objeto y, a continuación, seleccione Browse... para elegir el paquete AnyConnect y finalmente elegir AnyConnect Client Image como el tipo de archivo en el menú desplegable.
Seleccione Save button, el objeto se debe agregar a la lista de objetos.
Paso 3. Generar certificado firmado automáticamente
SSL AnyConnect requiere que se utilice un certificado válido en el intercambio de señales SSL entre la cabecera VPN y el cliente.
Nota: En este ejemplo, se genera un certificado autofirmado para este fin. Sin embargo, además de los certificados autofirmados, es posible cargar un certificado firmado por una autoridad de certificación interna (CA) o también por una CA bien conocida.
Para crear el certificado autofirmado, navegue a Dispositivos > Certificados.
Seleccione el botón Agregar y, a continuación, elija el FTD que se encuentra en la mano en el menú desplegable Dispositivo en la ventana Agregar nuevo certificado.
Seleccione el botón Add Cert Enrollment (verde + símbolo) para crear un nuevo objeto de inscripción. Ahora, en la ventana Add Cert Enrollment, asigne un nombre al objeto y elija Self
Signed Certificate en el menú desplegable Enrollment Type.
Por último, para los certificados autofirmados, es obligatorio tener un nombre común (NC).
Navegue hasta la pestaña Parámetros de Certificado para definir un CN.
Seleccione los botones Guardar y Agregar, después de un par de segundos se debe agregar el nuevo certificado a la lista de certificados.
Paso 4. Crear rango local en FMC
La base de datos de usuarios locales y las contraseñas respectivas se almacenan en un rango local. Para crear el rango local navegue a System > Integration > Realms.
Seleccione el botón Agregar rango. En la ventana Agregar nuevo rango, asigne un nombre y seleccione la opción LOCAL en el menú desplegable Tipo.
Cuentas de usuario y contraseñas creadas en la sección Configuración de usuario local.
Nota: Las contraseñas deben tener al menos una letra en mayúscula, una letra en minúscula, un número y un carácter especial.
Los cambios guardados y el nuevo rango se deben agregar a la lista de rangos existentes.
Paso 5. Configuración de SSL AnyConnect
Para configurar SSL AnyConnect, navegue hasta Devices > VPN > Remote Access.
Seleccione Add button para crear una nueva política VPN. Defina un nombre para el perfil de conexión, seleccione la casilla de verificación SSL y elija el FTD en mano como dispositivo de destino. Todo debe configurarse en la sección Asignación de Política en el Asistente de Políticas de VPN de Acceso Remoto.
Seleccione Next para pasar a la configuración Connection Profile. Defina un nombre para el perfil de conexión y seleccione AAA Only como método de autenticación, luego en el menú desplegable Authentication Server seleccione LOCAL y, finalmente, seleccione el rango local creado en el Paso 4 en el menú desplegable Local Realm.
Desplácese hacia abajo en la misma página y, a continuación, seleccione el icono del lápiz en la sección IPv4 Address Pool para definir el conjunto IP utilizado por los clientes de AnyConnect.
Seleccione Next para pasar a la sección AnyConnect. Ahora, seleccione la imagen de AnyConnect cargada en el paso 2.
Seleccione Siguiente para pasar a la sección Acceso y Certificado. En el menú desplegable Grupo de interfaces/Zona de seguridad, seleccione la interfaz en la que se debe habilitar
AnyConnect y, a continuación, en el menú desplegable Inscripción de certificados, seleccione el certificado creado en el Paso 3.
Por último, seleccione Next para ver un resumen de la configuración de AnyConnect.
Si todos los parámetros son correctos, seleccione Finalizar e implemente cambios en FTD.
Verificación
Una vez que la implementación se ha realizado correctamente, inicie una conexión AnyConnect del cliente de Windows al FTD. El nombre de usuario y la contraseña utilizados en el mensaje de autenticación deben ser los mismos creados en el Paso 4.
Una vez que FTD aprueba las credenciales, la aplicación AnyConnect debe mostrar el estado de conexión.
Desde FTD puede ejecutar el comando show vpn-sessiondb anyconnect para mostrar las sesiones de AnyConnect actualmente activas en el firewall.
firepower# show vpn-sessiondb anyconnect Session Type: AnyConnect Username : dperezve Index : 8
Assigned IP : 172.16.13.1 Public IP : 10.31.124.34 Protocol : AnyConnect-Parent SSL-Tunnel DTLS- Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES- GCM-256 DTLS-Tunnel: (1)AES-GCM-256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA384 Bytes Tx : 15756 Bytes Rx : 14606 Group Policy : DfltGrpPolicy Tunnel Group : SSL_AnyConnect_LocalAuth Login Time : 21:42:33 UTC Tue Sep 7 2021 Duration : 0h:00m:30s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 00000000000080006137dcc9 Security Grp : none Tunnel Zone : 0
Troubleshoot
Ejecute el comando debug webvpn anyconnect 255 en FTD para ver el flujo de conexión SSL en FTD.
firepower# debug webvpn anyconnect 255
Además de las depuraciones de AnyConnect, también se puede observar el flujo de conexión con las capturas de paquetes TCP. A continuación se muestra un ejemplo de conexión correcta, se completa un intercambio de señales entre el cliente de Windows y FTD, seguido de un
intercambio de señales SSL utilizado para acordar cifras.
Después de los apretones de manos del protocolo, FTD debe validar las credenciales con información almacenada en el rango local.
Recopile el paquete DART y póngase en contacto con el TAC de Cisco para obtener más información.