annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
16288
Visites
0
Compliment
129
Réponses

Demandez-moi N'importe Quoi - Configuration, dépannage et meilleures pratiques de AnyConnect Remote Access VPN sur ASA et FTD.

Banner_fr_lp_900x150_AMA_06apr_17apr_2020.png

 

Nos experts
dinesh.jpgDinesh Moudgil est un ingénieur du support technique High Touch (HTTS) avec l'équipe de sécurité de Cisco. Il travaille sur les technologies Cisco depuis plus de 6 ans, se concentrant sur les pare-feux Cisco Next Generation, les systèmes de prévention des intrusions, la gestion des identités et le contrôle d'accès (AAA) et les VPN. Il détient les certifications CCNP, CCDP et CCIE # 58881, ainsi que les certifications de plusieurs fournisseurs tels que ACE, PCNSE et VCP.

pulkit.pngPulkit Saxena travaille en tant qu'ingénieur de support technique High Touch (HTTS) dans le domaine de la sécurité avec Cisco avec près de 7 ans d'expérience dans l'industrie pour l'équipe. Il a une expérience pratique avec plusieurs pare-feux, différentes solutions VPN, AAA et IPS de nouvelle génération, ainsi que l'enseignement de plusieurs formations. Pulkit détient les certifications de divers fournisseurs, à savoir Cisco et Juniper (CCIE Security et JNCIA).

jgrudier.jpgJason Grudier est le leader technique de l'équipe VPN TAC à Raleigh, Caroline du Nord. Il travaille chez Cisco au sein de l'équipe VPN depuis six ans. Avant de rejoindre l'équipe, il était ingénieur réseau chez Labcorp. Il travaille principalement sur le dépannage et la configuration d'AnyConnect sur toutes les plateformes Cisco ainsi que les authentifications DMVPN, GETVPN, Radius, LDAP et certificats.

josemed.jpgGustavo Medina est Ingénieur Commercial Systèmes au sein de l'équipe de ventes des Réseaux d'Entreprise. Il a plus de 10 ans d'expérience dans la sécurité et les réseaux d'entreprise. Au cours de sa carrière, il s'est concentré sur différentes tâches, de l'escalade technique et l'adoption de partenaires à la révision des évaluations de Certification Cisco. Gustavo est titulaire d'un CCNA, CCNP CCSI et d'un CCIE en sécurité (# 51487).

Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.

Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.


Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : AnyConnect, VPN, Adaptive Security Appliance ASA, Politique d'accès dynamique (Dynamic Access Policy), scan d'hôte (Host Scan), détection de réseau de confiance (Trusted Network Detection TND), sélection de passerelle optimale (Optimal Gateway Selection OGS), WFO, licenses et meilleures pratiques, entre autres.

Posez vos questions du 6 au 17 avril 2020.

Poser une Question

** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !

129 RÉPONSES 129

mon module ne fonctionne pas model cisco sp112

Bonjour @christianbabin98030 ,

Cette question n'est pas assez claire. Quel module ne fonctionne pas avec quel appareil ?

Que voulez-vous dire par "ça ne fonctionne pas" ?

Merci.

Salut,

Pourriez-vous s'il vous plaît confirmer la méthode que nous devons utiliser pour générer le csr et le télécharger sur le pare-feu FTD pour l'authentification des utilisateurs AnyConnect.
Objects > PKI > Cert Enrollment ou en utilisant Open SSL?

Merci
Basavaraj

* Voici la traduction d'un message créé à l'origine par BasavarajNingappa6558 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Basavaraj,

Je crois que vous recherchez une authentification de serveur qui est obligatoire selon la négociation SSL, donc quand un utilisateur AnyConnect se connecte, FTD doit présenter son certificat que le client final vérifiera par rapport à sa liste de CA de confiance.

Voici un lien qui peut vous aider avec la configuration :

Pour répondre à votre question, nous pouvons opter pour n'importe quelle méthode, en générant CSR sur FTD, ou en utilisant Open SSL, pour la seconde option, nous pouvons importer le PKCS12 complet une fois prêt.

Maintenant, au cas où vous recherchez une authentification utilisateur à l'aide d'un certificat, FTD n'a besoin que d'un certificat CA dans sa base de données, pas du certificat utilisateur.

J'espère que cela vous a aidé.
Pulkit

Salut Pulkit,

Dans mon cas, je recherche l'authentification par certificat pour les utilisateurs du domaine, toute personne se connectant à partir d'appareils personnels ne devrait pas avoir accès au VPN. Seules les machines d'entreprise devraient pouvoir se connecter au VPN.

Si je viens d'importer le certificat CA ROOT de mon serveur CA interne dans mon FTD, quel certificat dois-je installer côté client ?

Existe-t-il un modèle de certificat spécifique que nous devons utiliser lors de la création d'un certificat pour les utilisateurs ?

Merci
Basavaraj

* Voici la traduction d'un message créé à l'origine par BasavarajNingappa6558 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Basavaraj,

Donc, la question ici est d'avoir également une authentification client à l'aide de certificats, pour lesquels vous avez raison. Vous avez juste besoin d'avoir le certificat racine CA root des clients sur FTD.

Les clients doivent fournir leur certificat d'identification au FTD lors de la négociation SSL, et FTD devrait avoir le certificat CA dans le même cas.

Pulkit

Salut Dinesh, Pulkit, Jason et Gustavo,

Merci d'avoir organisé cette session de questions / réponses, je vais énumérer quelques questions qui me viennent à l'esprit en ce moment.

1) Pouvez-vous décrire le processus d'intégration du profil de posture ISE dans FTD ? Je connais ASA mais je n'ai pas encore essayé avec FTD (géré via FMC).

2) Quels sont les avantages et les inconvénients de l'activation de "sysopt connection permit-vpn" dans FTD ? Quelle est la meilleure pratique recommandée dans les deux cas ? (Je comprends que sans "sysopt connection permit-vpn" tout accès doit être réglementé via l'ACP).

3) CoA est-il pris en charge avec FTD autant qu'avec ASA ? Question particulièrement pertinente avec la posture ISE ...

4) Existe-t-il un éditeur de profil AnyConnect intégré dans FMC ? Dans le cas contraire, quelle est la préférence ? Éditeurs autonomes AnyConnect ou éditeur de profil ISE ?

5) Pouvez-vous fournir un exemple pour automatiser une configuration push pour les FTD gérés via FMC ? Actuellement, nous avons quelques scripts en ASA avec des paramètres et nous standardisons nos configurations mais en FTD, comme il n'y a pas d'option pour accéder à la CLI en plus des exceptions Flexconfig, je suppose que l'utilisation d'appels d'objets API sera nécessaire, je voudrais juste avoir un exemple de départ pour le démarrage.

6) (Il s'agit plus d'une question FTD / FMC générique) Afin de dépanner rapidement l'accès dans ASA, nous utilisons ASDM qui nous donne un aperçu rapide du trafic en cours de traitement. Dans FMC, je sais que les événements de connexion ne peuvent pas offrir le même niveau d'informations pour certaines raisons: l'une est le retard dans les événements de connexion et la charge sur FMC avec plusieurs ingénieurs de dépannage, également les événements de connexion sortent du backend de traitement snort, et si je ne me trompe pas, donc l'interface ACL refuse de passer par Syslog et donc les événements de connexion peuvent ne pas fournir ce niveau d'informations requis : Quelle est la meilleure pratique pour analyser rapidement les logs d'accès pour les règles ACP entre les suppressions d'interface ACL et les suppressions DPI ?

Merci à tous, vraiment.
PD: Pour ne pas vous confondre, vous pouvez m'envoyer la réponse avec le numéro de la question.

* Voici la traduction d'un message créé à l'origine par giovanni.augusto en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Giovanni,

Voici les réponses à vos questions :

1) Voici un document que vous pouvez consulter pour comprendre les étapes de flux et de configuration requises pour la posture ISE sur FTD.

2) L'option de sélection de la politique de contournement du contrôle d'accès pour le trafic déchiffré serait recommandée lorsque nous ne voulons pas inspecter le trafic VPN via la politique de contrôle d'accès. Ainsi, le trafic sera simplement acheminé vers la destination sans aucune inspection approfondie du FTD. Pour que cette fonctionnalité soit activée ou non, cela dépend de vos exigences de sécurité et du niveau de confiance que vous avez sur les utilisateurs VPN d'accès à distance. Si vous ne faites pas confiance au trafic initié par les utilisateurs VPN d'accès à distance, il est conseillé d'appliquer une inspection approfondie sur le trafic généré par eux.

Pour enregistrement, cette commande est désactivée par défaut sur FTD et activée par défaut sur l'ASA.
Veuillez noter que l'ACL du filtre VPN et l'ACL d'autorisation téléchargés à partir du serveur AAA sont toujours appliqués au trafic VPN.

Dans le cas d'avoir "Bypass Access Control policy for decrypted traffic (sysopt permit-vpn)" décoché, c'est pour si vous voulez autoriser le retournement du trafic utilisateur AnyConnect et pouvoir accéder à Internet via FTD ou peut-être accéder aux ressources internes. Cette fonctionnalité étant désactivée, les vérifications ACP seront effectuées et vous pouvez tirer parti de fonctionnalités telles que le filtrage d'URLs pour restreindre le trafic initié par l'utilisateur AnyConnect.

3) Oui, RADIUS CoA est en effet pris en charge sur FTD à partir de la version 6.3.0 et entièrement pris en charge avec les versions plus récentes.

4) Vous pouvez créer un profil client AnyConnect à l'aide de l'éditeur de profil AnyConnect. Cet éditeur est un outil de configuration basé sur une interface graphique qui est disponible dans le cadre du package logiciel AnyConnect. Il s'agit d'un programme indépendant que vous exécutez en dehors du Firepower Management Center.

Pour plus d'informations sur AnyConnect Profile Editor, veuillez consulter :

5) Vous pouvez tirer parti de l'explorateur d'API car il fournit une interface limitée pour l'API REST et donne une vue des capacités de l'API REST.

  • https://<management_center_IP_or_name>:<https_port>/api/api-explorer

Réf :

Voici quelques liens pour vous familiariser avec la programmation firepower à l'aide des API FMC

Voici quelques liens non Cisco qui pourraient être utiles :

6) Le TAC utilise principalement CLI avec GUI FMC pour résoudre les problèmes liés aux règles ACP. Vous pouvez soit utiliser l'option de capture de paquets à LINA CLI, similaire à ce qui est utilisé sur un ASA traditionnel - ou bien - vous pouvez utiliser "system support firewall-engine-debug" sous FTD Clish pour confirmer si le flux de trafic est évalué par rapport à la règle de contrôle d'accès appropriée.

Voici un document comme référence :

Cordialement,
Dinesh Moudgil

Cisco Network Security Channel - https://www.youtube.com/c/CiscoNetSec/
This demo shows how to make a PUT devicerecords request to update the configuration of a Cisco next-generation firewall or Firepower threat defense device on the Firepower Management Center.

Comment peut-on s'assurer que la menace de l'ordinateur d'un utilisateur n'affecte pas le serveur, lorsque l'ordinateur de l'utilisateur utilise VPN ?

Merci.

* Voici la traduction d'un message créé à l'origine par Yanli Sun en chinois. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Salut Yanli,

Nous pouvons effectuer des vérifications avant la connexion pour nous assurer que la machine client est approuvée et peut être autorisée à se connecter.

Les options possibles sont la posture, DAP, CSD hostscan. Consultez les liens utiles ci-dessous :

Une fois que l'utilisateur est connecté sur la base des vérifications ci-dessus et qu'il est conforme, nous pensons idéalement qu'il s'agit d'un utilisateur de confiance. De plus, nous ne pouvons autoriser que le trafic pertinent vers ASA ou tout le trafic tunnellisé en utilisant l'option de tunnel divisé :

En dehors de cela, si un utilisateur envoie une quantité excessive de trafic ou a des connexions incomplètes une fois connecté, cela aura un dépannage spécifique en fonction du problème. Cependant, d'après votre préoccupation principale, elle peut être prise en charge par les vérifications de pré-connexion que j'ai mentionnées ci-dessus.

Pulkit

Salut Yanli,

En plus de ce que Pulkit a déjà mentionné, certaines entreprises utilisent Always-On, ce qui empêche l'accès aux ressources Internet lorsque l'ordinateur n'est pas sur un réseau de confiance, sauf si une session VPN est active. En faisant en sorte que le VPN soit toujours activé dans cette situation, vous protégez l'ordinateur contre les menaces de sécurité.

Pour les entreprises qui n'appliquent pas Always-On, outre les contrôles de posture déjà mentionnés + 2FA comme DUO (pour garantir que seules les personnes autorisées utilisent le VPN), nous devons ajouter une protection supplémentaire aux utilisateurs distants, car les acteurs de la menace profitent de l'augmentation des travailleurs à distance non protégés pour lancer différentes ciblages. Vous pouvez lire notre blog TALOS pour en savoir plus:

Avec Cisco Umbrella, vous pouvez protéger les utilisateurs contre les destinations Internet malveillantes même lorsqu'ils ne sont pas connectés à VPN au niveau de la couche DNS. parce qu'il est livré à partir du cloud. Umbrella facilite la protection des utilisateurs partout en quelques minutes.

En plus, nous avons la dernière ligne de défense qui est Cisco Advanced Malware Protection (AMP) pour les Endpoints. Cette technologie empêche les violations et bloque les logiciels malveillants au point d'entrée ainsi que détecte, contient et corrige les menaces avancées si elles échappent à la première ligne de défense.

Cordialement,
Gustavo

Je veux demander comment autoriser les utilisateurs à communiquer vocalement via Skype Entreprise ou Cisco Jabber AnyConnect Remote Access VPN sur ASA, et si les commandes ci-dessous peuvent être exécutées en toute sécurité. Aussi comment faire surveiller ces communications internes depuis notre solution SIEM.

Entrez la commande "same-security-traffic" afin de faire le FW comme HUB. Ensuite, vous devrez configurer une règle Nat pour le NAT (outside, outside) pour que les espaces d'adressage du pool puissent se rejoindre l'un l'autre.

ciscoasa(config)#same-security-traffic permit intra-interface

Veuillez noter que cette commande permet au trafic d'entrer et de sortir de la même interface, qui est désactivée par défaut pour des raisons de sécurité...

nat(outside,outside) source static “address pool obj” “address pool obj” dest static “address pool obj” “address pool obj” no-proxy-arp – route-lookup

et placée en haut de vos règles Nat.

* Voici la traduction d'un message créé à l'origine par ahmedmohsen56 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.

Bonjour ahmedmohsen56,

C'est le seul moyen de configurer l'épinglage sur l'ASA pour permettre aux clients AnyConnect de parler à d'autres clients AnyConnect. Je ne considérerais pas cela comme une grande menace pour la sécurité, mais tout dépend des besoins de votre entreprise, et vous seul pourrez prendre la meilleure décision.

Par rapport à la référence du command :

La commande "same-security-traffic intra-interface" permet au trafic d'entrer et de sortir de la même interface, ce qui n'est pas normalement autorisé. Cette fonctionnalité peut être utile pour le trafic VPN qui entre dans une interface, mais qui est ensuite acheminé en dehors de la même interface. Le trafic VPN peut être non chiffré dans ce cas, ou il peut être rechiffré pour une autre connexion VPN. Par exemple, si vous avez un VPN concentrateur et un réseau à rayons, où l'ASA est le concentrateur, et que les réseaux VPN distants sont des rayons, pour qu'un rayon communique avec un autre rayon, le trafic doit entrer dans l'ASA puis repartir vers l'autre rayon.

note.gif

Remarque : Tout le trafic autorisé par la commande same-security-traffic intra-interface est toujours soumis aux règles de pare-feu. Faites attention de ne pas créer une situation de routage asymétrique qui puisse empêcher le "trafic de retour" de traverser l'ASA.


Qu'est-ce que vous essayez de surveiller via la solution SIEM ?

 

Merci.

Bonjour Ahmed et Jason,

Quelques commentaires :

  • Si vous utilisez un tunnel fractionné, aucun NAT manuel n'est requis pour permettre la communication bidirectionnelle à moins qu'une règle NAT n'affecte ce trafic configuré. Cependant, le pool VPN Anyconnect doit être inclus dans la liste de contrôle d'accès du tunnel partagé.
    https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100918-asa-sslvpn-00.html#anc14
    Du point de vue de la sécurité, la même interface de trafic de sécurité ne devrait pas être un gros problème car le trafic sera toujours soumis aux règles du micrologiciel mais bien sûr, vous voudrez toujours avoir une protection supplémentaire pour vos utilisateurs distants comme DUO, Umbrella et / ou AMP4E.
  • Vous pouvez certainement surveiller ces communications sur votre SIEM de la même manière que vous le faites pour les autres trafics. Pour une meilleure visibilité de ce que font vos utilisateurs distants, vous pouvez utiliser Stealthwatch Enterprise ou Stealthwatch Cloud comme indiqué dans ces vidéos:
    https://cs.co/SWE-RemoteMonitoring
    https://cs.co/SWC-RemoteMonitoring

* Nous pourrions même arriver à la charge de travail/granularité de l'application avec Tetration mais c'est une conversation pour un autre jour ... :)

Cordialement,
Gustavo

Mise en Route
Bienvenue dans la Communauté !

La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.

Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :