Olá, Basavaraj!

Acredito que você esteja procurando autenticação de servidor, que é obrigatória conforme o handshake SSL, portanto, quando um usuário de qualquer conexão se conecta, o FTD precisa apresentar seu certificado que o cliente final verificará em sua lista de CAs confiáveis.

Aqui está um link que pode ajudá-lo com a configuração:

https://www.cisco.com/c/en/us/support/docs/network-management/remote-access/212424-anyconnect-remote-access-vpn-configurati.html

Para responder à sua pergunta, podemos optar por qualquer método, gerando CSR no FTD ou usando SSL aberto, para o segundo, podemos importar o PKCS12 completo uma vez pronto.

Agora, no caso de você estar procurando autenticação de usuário usando certificado, o FTD precisa ter apenas um certificado CA no banco de dados, não o certificado do usuário.

Espero que isso tenha ajudado.
-
Pulkit

Olá Pulkit,

No meu caso, estou procurando a autenticação de certificado para os usuários do domínio, qualquer pessoa que se conecte a partir de dispositivos pessoais não deve ter acesso à VPN. somente máquinas corporativas devem poder se conectar à VPN

Se eu apenas importar o certificado CA da raiz do meu servidor CA interno para o meu FTD, qual certificado eu tenho que instalar no lado do cliente? Qualquer modelo de certificado específico que devemos usar ao criar um certificado para os usuários.

Obrigado,

Basavaraj

Nota: esta pergunta é uma tradução de uma postagem criada originalmente em inglês por BasavarajNingappa6558.Foi traduzido pela Comunidade Cisco para compartilhar a consulta e sua solução em diferentes idiomas.

Olá Basavaraj,

Entao, a pergunta aqui é ter autenticação de cliente e usar certificados, para os quais você está correto. Você só precisa ter o certificado CA raiz dos clientes no FTD.

Os clientes precisam fornecer seu certificado de identificação ao FTD durante a negociação SSL, e o FTD deve ter o certificado de CA para o mesmo.
-
Pulkit

Olá Giovanni,

Aqui estão as respostas para suas perguntas:

1. Aqui você pode encontrar um documento que pode usar como referencia para entender as etapas de fluxo e configuração necessárias para a postura do ISE no FTD

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/215236-ise-posture-over-anyconnect-remote-acces.html

2. A opção para selecionar a política de ignorar o controle de acesso para tráfego descriptografado seria recomendada quando não quisermos inspecionar o tráfego da VPN por meio da política de controle de acesso. Assim, o tráfego será encaminhado apenas para o destino sem nenhuma inspeção profunda do FTD. Para ativar ou não esse recurso, isso depende de quais são seus requisitos de segurança e do nível de confiança que você possui nos usuários da VPN de acesso remoto. Se você não confia no tráfego iniciado pelos usuários da VPN de acesso remoto, é recomendável aplicar uma inspeção profunda no tráfego gerado a partir deles.

Para o registro, este comando é desabilitado por padrão no FTD e habilitado por padrão no ASA.

Observe que o ACL do filtro VPN e o ACL de autorização baixado do servidor AAA ainda são aplicados ao tráfego da VPN.

O caso de uso de "Desviar política de controle de acesso para tráfego descriptografado (sysopt allow-vpn)" está desmarcado é se você deseja permitir que a inversão de marcha do tráfego de usuário do Anyconnect possa acessar a Internet via FTD ou talvez acessar recursos internos. Com esse recurso desativado, as verificações ACP serão executadas e você pode aproveitar recursos como a filtragem de URL para restringir o tráfego iniciado pelo usuário do Anyconnect.

3. Sim, o RADIUS CoA é realmente suportado no FTD da versão 6.3.0 em diante e totalmente suportado pelas versões mais recentes.
4. Você pode criar um perfil de cliente de AnyConnect usando o editor de perfil de AnyConnect. Este editor é uma ferramenta de configuração baseada em GUI que está disponível como parte do pacote de software AnyConnect. É um programa independente que você executa fora do Firepower Management Center.

Para mais informações sobre o AnyConnect Profile Editor, consulte:

https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect48/administration/guide/b_AnyConnect_Administrator_Guide_4-8/anyconnect-profile-editor.html

5. Você pode aproveitar o API Explorer, pois ele fornece uma interface limitada para a API REST, além de fornecer uma visão das habilidades da API REST.

https: // <management_center_IP_or_name>: <https_port> / api / api-explorer

Ref: https://www.cisco.com/c/en/us/td/docs/security/firepower/623/api/REST/Firepower_Management_Center_REST_API_Quick_Start_Guide_623/About_the_API_Explorer.html#concept_oq2_fg1_ccb

Aqui estão alguns links para você começar a programar o firepower usando APIs do FMC

https://blogs.cisco.com/security/how-to-get-started-on-programming-firepower-using-fmc-apis

https://www.cisco.com/c/en/us/td/docs/security/firepower/623/api/REST/Firepower_Management_Center_REST_API_Quick_Start_Guide_623/Objects_in_the_REST_API.html#concept_xh5_lt3_bcb

Aqui estão alguns links que não são da Cisco que podem ser úteis:

https://www.youtube.com/watch?v=a2DNeRxnnkA

https://www.youtube.com/watch?v=iTfmLk3kwdg

6. O TAC usa a CLI predominantemente junto com a FMC GUI para solucionar problemas relacionados às regras ACP.

Você pode usar a opção de captura de pacotes no LINA CLI, semelhante ao que é usado em um ASA tradicional

ou

você pode usar "suporte ao sistema firewall-engine-debug" no **bleep** do FTD para confirmar se o fluxo de tráfego é avaliado com relação à regra de controle de acesso adequada.

Aqui está um documento para sua referência:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html#anc13

Atenciosamente,

Dinesh Moudgil

Olá Yanli,

Podemos realizar algumas verificações de pré-login para garantir que a máquina cliente seja confiável e possa se conectar.

As opções possíveis são: postura, DAP, CSD hostscan. Confira abaixo os links úteis:

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-firewalls/200238-ASA-VPN-posture-with-CSD-DAP-and-AnyCon. html

https://community.cisco.com/t5/security-documents/how-to-configure-posture-with-anyconnect-compliance-module-and/ta-p/3647768

https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect40/administration/guide/b_AnyConnect_Administrator_Guide_4-0/configure-posture.html

https://www.cisco.com/c/en/us/td/docs/security/asa/asa98/asdm78/vpn/asdm-78-vpn-config/vpn-asdm-dap.html

Depois que o usuário estiver conectado com base nas verificações acima e estiver em conformidade, acreditamos que é um usuário confiável. Além disso, só podemos permitir que o tráfego relevante chegue ao ASA ou todo o tráfego tunelado usando a opção de split tunnel:

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100936-asa8x-split-tunnel-anyconnect-config.html

Além disso, se um usuário estiver enviando uma quantidade excessiva de tráfego ou tiver conexões incompletas depois de conectado, isso terá uma solução de problemas específica, dependendo do problema. No entanto, sua principal preocupação pode ser atendida pelas verificações de pré-login que mencionei.

-
Pulkit

Olá Yanli,

Além do que o Pulkit já mencionou, algumas empresas usam o Always-On, o que impede o acesso aos recursos da Internet quando o computador não está em uma rede confiável, a menos que uma sessão VPN esteja ativa. Fazer com que a VPN esteja sempre ativa nessa situação protege o computador contra ameaças à segurança.

Para empresas que não aplicam o Always-On, além das verificações de postura já mencionadas + 2FA como DUO (para garantir que apenas pessoas autorizadas estejam usando a VPN), devemos adicionar proteção adicional aos usuários remotos, pois os agentes de ameaças estão aproveitando o aumento de trabalhadores remotos desprotegidos para lançar campanhas diferentes. Você pode ler o blog TALOS para saber mais:

https://blog.talosintelligence.com/2020/03/covid-19-pandemic-threats.html

Com o Cisco Umbrella, você pode proteger os usuários contra destinos maliciosos da Internet, mesmo quando não estiverem conectados à VPN na camada DNS. Como é entregue a partir da nuvem, a Umbrella facilita a proteção dos usuários em qualquer lugar em minutos.

Além disso, temos a última linha de defesa que é a Cisco Advanced Malware Protection (AMP) para endpoints. Essa tecnologia evita violações e bloqueia malware no ponto de entrada, além de detectar, conter e remediar ameaças avançadas se elas escaparem da linha de frente da defesa.

Atenciosamente,

Gabriel

Olá ahmedmohsen56,

Esta é a única maneira de estabelecer gancho de cabelo no ASA para permitir que os clientes de AnyConnect falem com outros clientes de AnyConnect. Eu não consideraria isso uma grande ameaça à segurança, mas tudo depende das necessidades da sua empresa e somente você pode tomar essas decisões.

Na referência de comando:

https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s1.html

O comando intra-interface same-security-traffic permite que o tráfego entre e saia da mesma interface, o que normalmente não é permitido. Esse recurso pode ser útil para o tráfego VPN que entra em uma interface, mas é roteado para a mesma interface. O tráfego da VPN pode não ser criptografado nesse caso, ou pode ser novamente criptografado para outra conexão VPN. Por exemplo, se você possui uma rede VPN de hub e spoke, em que o ASA é o hub, e redes VPN remotas são spokes, para que um spoke se comunique com outro spoke, o tráfego deve entrar no ASA e depois sair novamente para o outro spoke

Note All traffic allowed by the same-security-traffic intra-interface command is still subject to firewall rules. Be careful not to create an asymmetric routing situation that can cause return traffic not to traverse the ASA.

O que você está tentando monitorar via solução SIEM?

Olá Ahmed e Jason,
Alguns comentários:
• O "nat (outside, outside) para o espaço de endereço do pool alcançar um ao outro" que você mencionou é necessário apenas se já houver um NAT para Internet Pública em um Stick. Se estiver usando túnel dividido, isso não será necessário.
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html#anc10
• Se estiver usando split tunnel, não é necessário NAT manual para permitir a comunicação bidirecional, a menos que haja uma regra NAT que afete esse tráfego configurado. No entanto, o pool de VPN do Anyconnect deve ser incluído na ACL de split tunnel.
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html#anc14
• Do ponto de vista da segurança, a intra-interface do mesmo tráfego de segurança não deve ser uma grande preocupação, pois o tráfego ainda estará sujeito às regras do FW, mas é claro que você sempre desejará ter proteção adicional para seus usuários remotos como DUO, Umbrella e / ou AMP4E.
• Você pode monitorar definitivamente essas comunicações no seu SIEM da mesma maneira que em outros tráfego. Para uma melhor visibilidade do que seus Usuários Remotos estão fazendo, você pode usar o Stealthwatch Enterprise ou Stealthwatch Cloud, conforme mostrado nestes vídeos:
https://cs.co/SWE-RemoteMonitoring
https://cs.co/SWC-RemoteMonitoring
* Poderíamos até obter granularidade de carga de trabalho / aplicativo com o Tetration, mas isso é uma conversa para outro dia :)
Atenciosamente,
Gustavo

Olá Uzhegov,

Ao configurar seu domínio, você usou um FQDN ou um endereço IP aqui: