- はじめに
- 背景
- 構成例
- 設定例
- FDM側の設定
- 1. FTD インタフェースの設定
- 2. Secure Client License の確認
- 3. アドレスプールの追加
- 4. VPN クライアントプロファイルの作成
- 5. FDM に VPN クライアントプロファイルをアップロード
- 6. Group Policy の追加
- 7. FTD 証明書の追加
- 8. CA の追加
- 9. Connection Profile の追加
- 10. Connection Profile 設定内容の確認
- FTD CLI での確認
- VPN クライアント側の確認
- 1. VPN クライアントプロファイルを VPN 端末へコピー
- 2. クライアント証明書の確認
- 3. CA の確認
- 動作確認例
- 1. VPNの接続
- 2. VPN セッションの確認
- トラブルシューティング
- 参考情報
はじめに
本ドキュメントは、FDMによって管理されるFTDにおける、Cisco Secure Client(旧Anyconnect)の証明書マッチング(Cert Matching)の設定例と動作確認方法について紹介します。本ドキュメントは、Firepower Device Manager Virtual 7.2.8、Firewall Threat Defense Virtual 7.2.8、Cisco Secure Client 5.1.4.74にて確認、作成をしております。
背景
証明書マッチング(Cert Matching)は、管理者がVPNサーバーへの認証に使用するクライアント証明書を選択するための基準を設定することを可能にする機能です。この設定はクライアントプロファイルに指定されており、VPNプロファイルエディタを使って管理したり、手動で編集したりすることができるXMLファイルです。証明書マッチング機能を使用することで、特定の属性を持つ証明書のみがVPN接続に使用されるようになり、VPN接続のセキュリティを強化することができます。
本ドキュメントでは、SSL証明書の中にある共通名(Common Name)を使用して条件を設定し、Cisco Secure Client を認証する方法について紹介します。
本ドキュメントで使用されている各証明書の中にある共通名(Common Name)を含む証明書チェーンは以下の通りです。
- CA : ftd-ra-ca-common-name
- Engineer VPN Client Certificate : vpnEngineerClientCN
- Manager VPN Client Certificate : vpnManagerClientCN
- Server Certificate : 192.168.1.200
構成例
本ドキュメントは、以下の構成で、設定・動作確認例を紹介します。
設定例
FDM側の設定
1. FTD インタフェースの設定
「Device > Interfaces > View All Interfaces」に移動し、「Interfaces」のタブで、インタフェースの情報を入力します。
GigabitEthernet0/0に対し、
- Name : outside
- IP Address : 192.168.1.200/24
2. Secure Client License の確認
「Device > Smart License > View Configuration」に移動し、「RA VPN License」の項目で、Cisco Secure Clientのライセンスが有効化されていることを確認します。
3. アドレスプールの追加
「Objects > Networks」に移動し、「+」ボタンをクリックします。
VPN クライアントのIPv4 アドレスプールを作成するために必要な情報を入力し、「OK」ボタンをクリックします。
- Name : ftd-cert-match-pool
- Type : Range
- IP Range : 172.16.1.150-172.16.1.160
4. VPN クライアントプロファイルの作成
VPNプロファイルエディタの「Server List」に移動し、「Add」ボタンをクリックします。必要な情報を入力して Server List Entry を追加し、「OK」ボタンをクリックします。
- Display Name : cert-match
- FQDN or IP Address : 192.168.1.200
- Primary Protocol : SSL
※事前にCiscoソフトウェアサイトから Secure Client Profile Editor をダウンロードし、インストールしてください。
「Certificate Matching」に移動し、「Add」ボタンをクリックします。必要な情報を入力して Distinguished Name Entry を追加し、「OK」ボタンをクリックします。
- Name : CN
- Pattern : vpnEngineerClientCN
- Operator : Equal
※本ドキュメントでは、MatchCase オプションを利用します。
作成した VPN クライアントプロファイルをローカルコンピュータに保存し、プロファイルの詳細を確認します。
5. FDM に VPN クライアントプロファイルをアップロード
「Objects > Secure Client Profile」に移動し、「CREATE SECURE CLIENT PROFILE」ボタンをクリックします。
必要な情報を入力して Secure Client Profile を追加し、「OK」ボタンをクリックします。
- Name : secureClientProfile
- Secure Client Profile : secureClientProfile.xml (ローカルからアップロードします。)
6. Group Policy の追加
「Device > Remote Access VPN > View Configuration > Group Policies」に移動し、「+」ボタンをクリックします。
必要な情報を入力して、「OK」ボタンをクリックします。
- Name : ftd-cert-match-grp
- Secure Client profiles : secureClientProfile
7. FTD 証明書の追加
「Objects > Certificates」に移動し、「+」項目の「Add Internal Certificate」ボタンをクリックします。
「Upload Certificate and Key」をクリックします。
必要な情報を入力してから、ローカルから証明書及び証明書のキーファイルをアップロードし、FTD用のサーバー証明書を作成します。「OK」ボタンをクリックします。
- Name : ftd-vpn-cert
- Validation Usage for Special Services : SSL Server
8. CA の追加
「Objects > Certificates」に移動し、「+」項目の「Add Trusted CA Certificate」ボタンをクリックします。
必要な情報を入力してから、ローカルからCAのcrtファイルをアップロードし、CA証明書を作成します。
- Name : ftdvpn-ca-cert
- Validation Usage for Special Services : SSL Client
9. Connection Profile の追加
「Device > Remote Access VPN > View Configuration > Connection Profiles」に移動し、「CREATE CONNECTION PROFILE」ボタンをクリックします。
必要な情報を入力して、「NEXT」ボタンをクリックします。
- Connection Profile Name : ftd-cert-match-vpn
- Authentication Type : Client Certificate Only
- Username From Certificate : Map specific field
- Primary Field : CN (Common Name)
- Secondary Field : OU (Organizational Unit)
- IPv4 Address Pools : ftd-cert-match-pool
必要な情報を入力して、「NEXT」ボタンをクリックします。
- View Group Policy : ftd-cert-match-grp
必要な情報を入力して、「NEXT」ボタンをクリックします。
- Certificate of Device Identity : ftd-vpn-cert
- Outside Interface : outside (GigabitEthernet0/0)
- Secure Client Package : cisco-secure-client-win-5.1.4.74-webdeploy-k9.pkg
※本ドキュメントでは、NAT Exempt 機能を利用しません。
10. Connection Profile 設定内容の確認
上記で設定した内容のサマリを確認し、「FINISH」ボタンをクリックします。
FTD CLI での確認
FDMでの設定内容をFTDにDeployした後、FTDのCLIで設定内容を確認します。
// Defines IP of interface
interface GigabitEthernet0/0
speed auto
nameif outside
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address 192.168.1.200 255.255.255.0
// Defines a pool of addresses
ip local pool ftd-cert-match-pool 172.16.1.150-172.16.1.160
// Defines Trustpoint for Server Certificate
crypto ca trustpoint ftd-vpn-cert
enrollment terminal
keypair ftd-vpn-cert
crl configure
// Server Certificate
crypto ca certificate chain ftdvpn-ca-cert
certificate ca 5242a02e0db6f7fd
3082036c 30820254 a0030201 02020852 42a02e0d b6f7fd30 0d06092a 864886f7
......
quit
// Defines Trustpoint for CA
crypto ca trustpoint ftdvpn-ca-cert
enrollment terminal
validation-usage ssl-client
crl configure
// CA
crypto ca certificate chain ftdvpn-ca-cert
certificate ca 5242a02e0db6f7fd
3082036c 30820254 a0030201 02020852 42a02e0d b6f7fd30 0d06092a 864886f7
......
quit
// Configures the FTD to allow Cisco Secure Client connections and the valid Cisco Secure Client images
webvpn
enable outside
http-headers
hsts-server
enable
max-age 31536000
include-sub-domains
no preload
hsts-client
enable
x-content-type-options
x-xss-protection
content-security-policy
anyconnect image disk0:/anyconnpkgs/cisco-secure-client-win-5.1.4.74-webdeploy-k9.pkg 2
anyconnect profiles secureClientProfile disk0:/anyconncprofs/secureClientProfile.xml
anyconnect enable
tunnel-group-list enable
cache
disable
error-recovery disable
// Configures the group-policy to allow SSL connections
group-policy ftd-cert-match-grp internal
group-policy ftd-cert-match-grp attributes
dhcp-network-scope none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-idle-timeout alert-interval 1
vpn-session-timeout none
vpn-session-timeout alert-interval 1
vpn-filter none
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
ipv6-split-tunnel-policy tunnelall
split-dns none
split-tunnel-all-dns disable
client-bypass-protocol disable
msie-proxy method no-modify
vlan none
address-pools none
ipv6-address-pools none
webvpn
anyconnect ssl dtls none
anyconnect mtu 1406
anyconnect ssl keepalive none
anyconnect ssl rekey time none
anyconnect ssl rekey method none
anyconnect dpd-interval client none
anyconnect dpd-interval gateway none
anyconnect ssl compression none
anyconnect dtls compression none
anyconnect modules none
anyconnect profiles value secureClientProfile type user
anyconnect ssl df-bit-ignore disable
always-on-vpn profile-setting
// Configures the tunnel-group to use the certificate authentication
tunnel-group ftd-cert-match-vpn type remote-access
tunnel-group ftd-cert-match-vpn general-attributes
address-pool ftd-cert-match-pool
default-group-policy ftd-cert-match-grp
tunnel-group ftd-cert-match-vpn webvpn-attributes
authentication certificate
group-alias ftd-cert-match-vpn enable
VPN クライアント側の確認
1. VPN クライアントプロファイルを VPN 端末へコピー
Engineer VPN クライアントとManager VPN クライアントの両方に対し、上記で作成したプロファイルをコピーします。
※Windowsコンピューター内の VPN クライアントプロファイルのディレクトリ : C:\ProgramData\Cisco\Cisco Secure Client\VPN\Profile
2. クライアント証明書の確認
Engineer VPN クライアントで、「Certificates - Current User > Personal > Certificates」に移動し、試験用のクライアント証明書(Common Name = vpnEngineerClientCN)を確認します。
クライアント証明書をダブルクリックし、「Details」に移動して、「Subject」の詳細を確認します。
- Subject : CN = vpnEngineerClientCN
Manager VPN クライアントで、「Certificates - Current User > Personal > Certificates」に移動し、試験用のクライアント証明書(Common Name = vpnManagerClientCN)を確認します。
クライアント証明書をダブルクリックし、「Details」に移動して、「Subject」の詳細を確認します。
- Subject : CN = vpnManagerClientCN
3. CA の確認
Engineer VPN クライアントとManager VPN クライアントの両側で、「Certificates - Current User > Trusted Root Certification Authorities > Certificates」に移動し、試験用のCAがクライアント側にインポートされていることを確認します。
- Issued By : ftd-ra-ca-common-name
動作確認例
1. VPNの接続
Engineer VPN クライアントでAnyconnect接続を実行します。ユーザー名とパスワードを入力せずとも、Connection Profile(Tunnel Group)を選択した後、VPNは正常に接続されます。
Manager VPN クライアントでAnyconnect接続を実行します。「Certificate Validation Failure」が原因で、VPN接続が失敗します。
2. VPN セッションの確認
FTDのCLIで、「show vpn-sessiondb detail anyconnect」コマンドを実行して、Engineer VPN クライアントのセッションを確認します。
firepower# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : vpnEngineerClientCN Index : 32
Assigned IP : 172.16.1.150 Public IP : 192.168.1.11
Protocol : AnyConnect-Parent SSL-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384
Bytes Tx : 14718 Bytes Rx : 12919
Pkts Tx : 2 Pkts Rx : 51
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : ftd-cert-match-grp Tunnel Group : ftd-cert-match-vpn
Login Time : 05:42:03 UTC Tue Jul 2 2024
Duration : 0h:00m:11s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 00000000000200006683932b
Security Grp : none Tunnel Zone : 0
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 32.1
Public IP : 192.168.1.11
Encryption : none Hashing : none
TCP Src Port : 50170 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 10.0.17763
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.4.74
Bytes Tx : 7359 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 32.2
Assigned IP : 172.16.1.150 Public IP : 192.168.1.11
Encryption : AES-GCM-256 Hashing : SHA384
Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384
Encapsulation: TLSv1.2 TCP Src Port : 50177
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 5.1.4.74
Bytes Tx : 7359 Bytes Rx : 12919
Pkts Tx : 1 Pkts Rx : 51
Pkts Tx Drop : 0 Pkts Rx Drop : 0
トラブルシューティング
FTDのLinaエンジンのデバッグログやWindows PCのDARTログは、VPN認証の詳細な動作を確認するために役立ちます。
以下は、本ドキュメントで Engineer VPN クライアントの試験時のLinaエンジン側で確認できたデバッグログです。
Jul 02 2024 04:16:03: %FTD-7-717029: Identified client certificate within certificate chain. serial number: 7AF1C78ADCC8F941, subject name: CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jul 02 2024 04:16:03: %FTD-6-717022: Certificate was successfully validated. serial number: 7AF1C78ADCC8F941, subject name: CN=vpnEngineerClientCN,OU=vpnEngineerClientOU,O=Cisco,L=Tokyo,ST=Tokyo,C=JP.
Jul 02 2024 04:16:04: %FTD-6-113009: AAA retrieved default group policy (ftd-cert-match-grp) for user = vpnEngineerClientCN
Jul 02 2024 04:16:09: %FTD-6-725002: Device completed SSL handshake with client outside:192.168.1.11/50158 to 192.168.1.200/443 for TLSv1.2 session
参考情報
Configure FDM On-Box Management Service for Firepower 2100
Configure Remote Access VPN on FTD Managed by FDM
Configure and Verify Syslog in Firepower Device Manager
Cisco Secure Firewall (FTD) - how to
Firepower System and FTDトラブルシューティング
ファイアウォール トラブルシューティング
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
