le 06-04-2020 10:54 AM - dernière modification le 07-04-2020 10:24 AM par Monica Lluis
Note : En posant une question sur ce forum, vous nous autorisez à être traduit dans toutes les langues disponibles dans la communauté. Nos experts pourraient ne pas être en mesure de répondre immédiatement à chaque question. N'oubliez pas que vous pouvez poursuivre également des conversations sur ce sujet dans les discussions de Sécurité.
Cet événement est gratuit et ouvert à tous les publics, y compris les partenaires commerciaux, les ingénieurs réseau et télécommunications, les étudiants et les clients de Cisco.
Posez vos questions ! Toutes les questions par rapport aux solutions de Sécurité seront répondues : AnyConnect, VPN, Adaptive Security Appliance ASA, Politique d'accès dynamique (Dynamic Access Policy), scan d'hôte (Host Scan), détection de réseau de confiance (Trusted Network Detection TND), sélection de passerelle optimale (Optimal Gateway Selection OGS), WFO, licenses et meilleures pratiques, entre autres.
Posez vos questions du 6 au 17 avril 2020.
** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !
le 06-04-2020 02:22 PM
mon module ne fonctionne pas model cisco sp112
le 08-04-2020 05:33 PM
Bonjour @christianbabin98030 ,
Cette question n'est pas assez claire. Quel module ne fonctionne pas avec quel appareil ?
Que voulez-vous dire par "ça ne fonctionne pas" ?
Merci.
le 08-04-2020 11:02 AM
Salut,
Pourriez-vous s'il vous plaît confirmer la méthode que nous devons utiliser pour générer le csr et le télécharger sur le pare-feu FTD pour l'authentification des utilisateurs AnyConnect.
Objects > PKI > Cert Enrollment ou en utilisant Open SSL?
Merci
Basavaraj
* Voici la traduction d'un message créé à l'origine par BasavarajNingappa6558 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
08-04-2020 11:15 AM - modifié 08-04-2020 11:16 AM
Salut Basavaraj,
Je crois que vous recherchez une authentification de serveur qui est obligatoire selon la négociation SSL, donc quand un utilisateur AnyConnect se connecte, FTD doit présenter son certificat que le client final vérifiera par rapport à sa liste de CA de confiance.
Voici un lien qui peut vous aider avec la configuration :
Pour répondre à votre question, nous pouvons opter pour n'importe quelle méthode, en générant CSR sur FTD, ou en utilisant Open SSL, pour la seconde option, nous pouvons importer le PKCS12 complet une fois prêt.
Maintenant, au cas où vous recherchez une authentification utilisateur à l'aide d'un certificat, FTD n'a besoin que d'un certificat CA dans sa base de données, pas du certificat utilisateur.
J'espère que cela vous a aidé.
Pulkit
le 08-04-2020 11:20 AM
Salut Pulkit,
Dans mon cas, je recherche l'authentification par certificat pour les utilisateurs du domaine, toute personne se connectant à partir d'appareils personnels ne devrait pas avoir accès au VPN. Seules les machines d'entreprise devraient pouvoir se connecter au VPN.
Si je viens d'importer le certificat CA ROOT de mon serveur CA interne dans mon FTD, quel certificat dois-je installer côté client ?
Existe-t-il un modèle de certificat spécifique que nous devons utiliser lors de la création d'un certificat pour les utilisateurs ?
Merci
Basavaraj
* Voici la traduction d'un message créé à l'origine par BasavarajNingappa6558 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 08-04-2020 11:24 AM
Salut Basavaraj,
Donc, la question ici est d'avoir également une authentification client à l'aide de certificats, pour lesquels vous avez raison. Vous avez juste besoin d'avoir le certificat racine CA root des clients sur FTD.
Les clients doivent fournir leur certificat d'identification au FTD lors de la négociation SSL, et FTD devrait avoir le certificat CA dans le même cas.
Pulkit
08-04-2020 11:52 AM - modifié 08-04-2020 11:54 AM
Salut Dinesh, Pulkit, Jason et Gustavo,
Merci d'avoir organisé cette session de questions / réponses, je vais énumérer quelques questions qui me viennent à l'esprit en ce moment.
1) Pouvez-vous décrire le processus d'intégration du profil de posture ISE dans FTD ? Je connais ASA mais je n'ai pas encore essayé avec FTD (géré via FMC).
2) Quels sont les avantages et les inconvénients de l'activation de "sysopt connection permit-vpn" dans FTD ? Quelle est la meilleure pratique recommandée dans les deux cas ? (Je comprends que sans "sysopt connection permit-vpn" tout accès doit être réglementé via l'ACP).
3) CoA est-il pris en charge avec FTD autant qu'avec ASA ? Question particulièrement pertinente avec la posture ISE ...
4) Existe-t-il un éditeur de profil AnyConnect intégré dans FMC ? Dans le cas contraire, quelle est la préférence ? Éditeurs autonomes AnyConnect ou éditeur de profil ISE ?
5) Pouvez-vous fournir un exemple pour automatiser une configuration push pour les FTD gérés via FMC ? Actuellement, nous avons quelques scripts en ASA avec des paramètres et nous standardisons nos configurations mais en FTD, comme il n'y a pas d'option pour accéder à la CLI en plus des exceptions Flexconfig, je suppose que l'utilisation d'appels d'objets API sera nécessaire, je voudrais juste avoir un exemple de départ pour le démarrage.
6) (Il s'agit plus d'une question FTD / FMC générique) Afin de dépanner rapidement l'accès dans ASA, nous utilisons ASDM qui nous donne un aperçu rapide du trafic en cours de traitement. Dans FMC, je sais que les événements de connexion ne peuvent pas offrir le même niveau d'informations pour certaines raisons: l'une est le retard dans les événements de connexion et la charge sur FMC avec plusieurs ingénieurs de dépannage, également les événements de connexion sortent du backend de traitement snort, et si je ne me trompe pas, donc l'interface ACL refuse de passer par Syslog et donc les événements de connexion peuvent ne pas fournir ce niveau d'informations requis : Quelle est la meilleure pratique pour analyser rapidement les logs d'accès pour les règles ACP entre les suppressions d'interface ACL et les suppressions DPI ?
Merci à tous, vraiment.
PD: Pour ne pas vous confondre, vous pouvez m'envoyer la réponse avec le numéro de la question.
* Voici la traduction d'un message créé à l'origine par giovanni.augusto en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 08-04-2020 12:28 PM
Salut Giovanni,
Voici les réponses à vos questions :
1) Voici un document que vous pouvez consulter pour comprendre les étapes de flux et de configuration requises pour la posture ISE sur FTD.
2) L'option de sélection de la politique de contournement du contrôle d'accès pour le trafic déchiffré serait recommandée lorsque nous ne voulons pas inspecter le trafic VPN via la politique de contrôle d'accès. Ainsi, le trafic sera simplement acheminé vers la destination sans aucune inspection approfondie du FTD. Pour que cette fonctionnalité soit activée ou non, cela dépend de vos exigences de sécurité et du niveau de confiance que vous avez sur les utilisateurs VPN d'accès à distance. Si vous ne faites pas confiance au trafic initié par les utilisateurs VPN d'accès à distance, il est conseillé d'appliquer une inspection approfondie sur le trafic généré par eux.
Pour enregistrement, cette commande est désactivée par défaut sur FTD et activée par défaut sur l'ASA.
Veuillez noter que l'ACL du filtre VPN et l'ACL d'autorisation téléchargés à partir du serveur AAA sont toujours appliqués au trafic VPN.
Dans le cas d'avoir "Bypass Access Control policy for decrypted traffic (sysopt permit-vpn)" décoché, c'est pour si vous voulez autoriser le retournement du trafic utilisateur AnyConnect et pouvoir accéder à Internet via FTD ou peut-être accéder aux ressources internes. Cette fonctionnalité étant désactivée, les vérifications ACP seront effectuées et vous pouvez tirer parti de fonctionnalités telles que le filtrage d'URLs pour restreindre le trafic initié par l'utilisateur AnyConnect.
3) Oui, RADIUS CoA est en effet pris en charge sur FTD à partir de la version 6.3.0 et entièrement pris en charge avec les versions plus récentes.
4) Vous pouvez créer un profil client AnyConnect à l'aide de l'éditeur de profil AnyConnect. Cet éditeur est un outil de configuration basé sur une interface graphique qui est disponible dans le cadre du package logiciel AnyConnect. Il s'agit d'un programme indépendant que vous exécutez en dehors du Firepower Management Center.
Pour plus d'informations sur AnyConnect Profile Editor, veuillez consulter :
5) Vous pouvez tirer parti de l'explorateur d'API car il fournit une interface limitée pour l'API REST et donne une vue des capacités de l'API REST.
Réf :
Voici quelques liens pour vous familiariser avec la programmation firepower à l'aide des API FMC
Voici quelques liens non Cisco qui pourraient être utiles :
6) Le TAC utilise principalement CLI avec GUI FMC pour résoudre les problèmes liés aux règles ACP. Vous pouvez soit utiliser l'option de capture de paquets à LINA CLI, similaire à ce qui est utilisé sur un ASA traditionnel - ou bien - vous pouvez utiliser "system support firewall-engine-debug" sous FTD Clish pour confirmer si le flux de trafic est évalué par rapport à la règle de contrôle d'accès appropriée.
Voici un document comme référence :
Cordialement,
Dinesh Moudgil
le 08-04-2020 12:32 PM
Comment peut-on s'assurer que la menace de l'ordinateur d'un utilisateur n'affecte pas le serveur, lorsque l'ordinateur de l'utilisateur utilise VPN ?
Merci.
* Voici la traduction d'un message créé à l'origine par Yanli Sun en chinois. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 08-04-2020 12:41 PM
Salut Yanli,
Nous pouvons effectuer des vérifications avant la connexion pour nous assurer que la machine client est approuvée et peut être autorisée à se connecter.
Les options possibles sont la posture, DAP, CSD hostscan. Consultez les liens utiles ci-dessous :
Une fois que l'utilisateur est connecté sur la base des vérifications ci-dessus et qu'il est conforme, nous pensons idéalement qu'il s'agit d'un utilisateur de confiance. De plus, nous ne pouvons autoriser que le trafic pertinent vers ASA ou tout le trafic tunnellisé en utilisant l'option de tunnel divisé :
En dehors de cela, si un utilisateur envoie une quantité excessive de trafic ou a des connexions incomplètes une fois connecté, cela aura un dépannage spécifique en fonction du problème. Cependant, d'après votre préoccupation principale, elle peut être prise en charge par les vérifications de pré-connexion que j'ai mentionnées ci-dessus.
Pulkit
le 08-04-2020 12:54 PM
Salut Yanli,
En plus de ce que Pulkit a déjà mentionné, certaines entreprises utilisent Always-On, ce qui empêche l'accès aux ressources Internet lorsque l'ordinateur n'est pas sur un réseau de confiance, sauf si une session VPN est active. En faisant en sorte que le VPN soit toujours activé dans cette situation, vous protégez l'ordinateur contre les menaces de sécurité.
Pour les entreprises qui n'appliquent pas Always-On, outre les contrôles de posture déjà mentionnés + 2FA comme DUO (pour garantir que seules les personnes autorisées utilisent le VPN), nous devons ajouter une protection supplémentaire aux utilisateurs distants, car les acteurs de la menace profitent de l'augmentation des travailleurs à distance non protégés pour lancer différentes ciblages. Vous pouvez lire notre blog TALOS pour en savoir plus:
Avec Cisco Umbrella, vous pouvez protéger les utilisateurs contre les destinations Internet malveillantes même lorsqu'ils ne sont pas connectés à VPN au niveau de la couche DNS. parce qu'il est livré à partir du cloud. Umbrella facilite la protection des utilisateurs partout en quelques minutes.
En plus, nous avons la dernière ligne de défense qui est Cisco Advanced Malware Protection (AMP) pour les Endpoints. Cette technologie empêche les violations et bloque les logiciels malveillants au point d'entrée ainsi que détecte, contient et corrige les menaces avancées si elles échappent à la première ligne de défense.
Cordialement,
Gustavo
le 08-04-2020 01:08 PM
Je veux demander comment autoriser les utilisateurs à communiquer vocalement via Skype Entreprise ou Cisco Jabber AnyConnect Remote Access VPN sur ASA, et si les commandes ci-dessous peuvent être exécutées en toute sécurité. Aussi comment faire surveiller ces communications internes depuis notre solution SIEM.
Entrez la commande "same-security-traffic" afin de faire le FW comme HUB. Ensuite, vous devrez configurer une règle Nat pour le NAT (outside, outside) pour que les espaces d'adressage du pool puissent se rejoindre l'un l'autre.
ciscoasa(config)#same-security-traffic permit intra-interface
Veuillez noter que cette commande permet au trafic d'entrer et de sortir de la même interface, qui est désactivée par défaut pour des raisons de sécurité...
nat(outside,outside) source static “address pool obj” “address pool obj” dest static “address pool obj” “address pool obj” no-proxy-arp – route-lookup
et placée en haut de vos règles Nat.
* Voici la traduction d'un message créé à l'origine par ahmedmohsen56 en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 08-04-2020 03:09 PM
Bonjour ahmedmohsen56,
C'est le seul moyen de configurer l'épinglage sur l'ASA pour permettre aux clients AnyConnect de parler à d'autres clients AnyConnect. Je ne considérerais pas cela comme une grande menace pour la sécurité, mais tout dépend des besoins de votre entreprise, et vous seul pourrez prendre la meilleure décision.
Par rapport à la référence du command :
La commande "same-security-traffic intra-interface" permet au trafic d'entrer et de sortir de la même interface, ce qui n'est pas normalement autorisé. Cette fonctionnalité peut être utile pour le trafic VPN qui entre dans une interface, mais qui est ensuite acheminé en dehors de la même interface. Le trafic VPN peut être non chiffré dans ce cas, ou il peut être rechiffré pour une autre connexion VPN. Par exemple, si vous avez un VPN concentrateur et un réseau à rayons, où l'ASA est le concentrateur, et que les réseaux VPN distants sont des rayons, pour qu'un rayon communique avec un autre rayon, le trafic doit entrer dans l'ASA puis repartir vers l'autre rayon.
Remarque : Tout le trafic autorisé par la commande same-security-traffic intra-interface est toujours soumis aux règles de pare-feu. Faites attention de ne pas créer une situation de routage asymétrique qui puisse empêcher le "trafic de retour" de traverser l'ASA.
Qu'est-ce que vous essayez de surveiller via la solution SIEM ?
Merci.
le 08-04-2020 05:51 PM
Bonjour Ahmed et Jason,
Quelques commentaires :
* Nous pourrions même arriver à la charge de travail/granularité de l'application avec Tetration mais c'est une conversation pour un autre jour ... :)
Cordialement,
Gustavo
Découvrez et enregistrez vos notes préférées. Revenez pour trouver les réponses d'experts, des guides étape par étape, des sujets récents et bien plus encore.
Êtes-vous nouveau ici? Commencez par ces conseils. Comment utiliser la communauté Guide pour les nouveaux membres
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français