SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?

Brainwork

  • LOGIN
  • BLOG
  • CONTATO
 25/02/2021

VPN AnyConnect com ASA + ISE

VPN AnyConnect com ASA + ISE

by Rafael Leão / segunda-feira, 16 maio 2016 / Published in Cisco, Configuração, Firewall, Mobilidade, Segurança, VPN

Pessoal,
Após um bom tempo sem postar, estou aqui para contribuir com um tutorial rápido e interessante sobre VPN com AAA no ISE. Neste cenário, o usuário irá conectar-se via VPN terminada no Cisco ASA, utilizando o cliente AnyConnect. O ASA irá autenticar o usuário via ISE e este irá aplicar os atributos de autorização de acordo com as definições que receber do ISE via RADIUS.

Este post é direcionado a leitores com conhecimentos de Cisco ISE, VPN com cliente AnyConnect no Cisco ASA e AAA.

Os componentes utilizados são:
Servidor AAA: Cisco ISE versão 1.4.0.253 – 10.3.160.99
Autenticador: Cisco ASA versão 9.4(2) – 10.3.160.201
Suplicante: Cisco AnyConnect versão 4.1 – 10.1.150.104
Active Directory: Windows Server 2008 R2 SP1. – 10.3.160.14

Cenário

Serão definidas duas Group Policies no ISE: EXT-GP-DEV e EXT-GP-CORP. Estas policies serão atribuídas ao usuário de acordo com o grupo a que pertence no AD no domínio ISELAB. Dois grupos estão definidos: ACVPN-Dev e ACVPN-Corp.

Configurando o ASA:

  • Pool

O Pool de endereçamento para o cliente AnyConnect será definido no ASA. Este pool é compartilhado para todos os clientes, independente do perfil de autorização:

ip local pool SSL-AC-POOL01 10.29.0.1-10.29.0.10 mask 255.255.255.0

  • Split-Tunnel

A ACL de split-tunneling será definida localmente no ASA, pois não é possível definí-las no ISE:

access-list SPLIT-CORP standard permit 10.3.160.0 255.255.255.0

access-list SPLIT-DEV standard permit 10.3.160.0 255.255.255.0

  • CoA

No ASA, é definido o ISE como cliente RADIUS para CoA (Change of Authorization), ou autorização dinâmica:

aaa-server ISELAB protocol radius

dynamic-authorization

  • AAA Server

Definição do ISE como servidor AAA:

aaa-server ISELAB (inside) host 10.3.160.99

key *****

  • Cliente AnyConnect

O conjunto de comandos a seguir compõem as configurações do cliente AnyConnect:

webvpn

enable outside

anyconnect image disk0:/anyconnect-win-4.1.08005-k9.pkg 1

anyconnect enable

tunnel-group-list enable

error-recovery disable

  • DfltGrpPolicy

Na group-policy DfltGrpPolicy, padrão do sistema, estão o conjunto de atributos de autorização inerentes às configuradas no ISE. Ou seja, o ISE não precisa atribuir todos os atributos à sessão VPN do usuário. Estes não atribuídos pelo ISE são aplicados por esta política.

group-policy DfltGrpPolicy attributes

dns-server value 10.3.160.14

vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless

default-domain value iselab.com

address-pools value SSL-AC-POOL01

  • External Group-Policies

Em sua configuração, o parâmetro external diz que a group-policy é externa e o comando server-group define o AAA server externo onde está definida. A validação da group-policy no ISE é feita através de processo de autenticação de usuário, portanto, deve ser definida no ASA com credenciais válidas.

group-policy EXT-GP-DEV external server-group ISELAB password *****

group-policy EXT-GP-CORP external server-group ISELAB password *****

  • Connection-Profile

Quando o usuário inicia uma sessão de VPN com o ASA via AnyConnect, ele está sendo autenticado no Connection Profile padrão, pois não tem permissão para escolher um no prompt de login. Neste profile, é indicado o ISE como servidor de autenticação.

tunnel-group DefaultWEBVPNGroup general-attributes

authentication-server-group ISELAB

Configurando o ISE:

Agora vamos às configurações do ISE:

  • Identidade para Group-Policy:

Primeiro, definimos as identidades que irão autenticar as group-policies definidas no ASA. Estas identidades são criadas como usuários normais, se for utilizada a base local do ISE, como neste cenário.

1

  • Mapear os Grupos do AD

Os grupos do AD, atributo do usuário que será checado para definir quais permissões serão aplicadas, deverão ser mapeados no ISE.

2

  • Definição de Protocolo de Tunelamento

No ISE, as pré-definições de tunneling-protocol para o ISE não contém o valor correspondente ao AnyConnect. Este componente é fundamental e é validado na transação RADIUS entre ASA e ISE. Para definir este parâmetro, o caminho do ISE é Policy > Policy Elements > Dictionaries > System > RADIUS > RADIUS Vendors > Cisco-VPN3000 > CVPN3000/ASA/PIX7x-Tunneling-Protocols. Ao dicionário de atributos RADIUS do ASA, adiciona-se o SSL Client com valor 32 (link de referência dos atributos RADIUS para o ASA).

4

  • dACL

A downloadable ACL é um dos elementos que comporão o conjunto de permissões aplicadas ao usuário. É definida em linguagem de IOS. Nas configurações do ASA, é o atributo vpn-filter. A imagem a seguir traz a configuração da ACL para o perfil CORP (neste cenário, as regras são as mesmas, apenas a título de exemplo).

5

  • Authorization Profiles

Os authz profiles são o conjunto de permissões aplicadas aos usuários que, no ASA, seria a group-policy.

A primeira definição é a dACL, definida na etapa anterior. As imagens a seguir mostram a configuração do perfil de autorização para usuários corporativos, nomeada AUTHZ-ACVPN-CORP:

6

Em seguida, definimos o parâmetro ASA-VPN, que é a group-policy externa definida no ASA:

7

Em advanced attribute settings, ainda na configuração do authz profile, são definidos:

PIX7x-IPSec-Split-Tunnel-List: ACL de Split-Tunnel definida no ASA (o nome deve estar idêntico)

PIX7x-IPSec-Banner1: Banner de login

PIX7x-IPSec-Split-Tunneling-Policy: valor que define a policy de split-tunneling. O valor 1, no ASA, significa “tunnel-specified”, ou seja, incluir as redes definidas na ACL à lista de redes de destino que o usuário acessará via cliente AnyConnect.

PIX7x-Tunneling-Protocols: valor do protocolo de tunelamento VPN permitido na conexão. O valor definido como 32 é aquele customizado, adicionado ao dicionário RADIUS.

PIX7x-Simultaneous-Logins: valor decimal de logins simultâneos de um único usuário.

8

As imagens a seguir mostram as definições do authZ profile para o grupo “Desenvolvimento“. Lembrando que os atributos não definidos aqui tem os valores inerentes da DfltGrpPolicy herdados.

9

10

  • Authorization Policy

A etapa final do ISE são as políticas de autorização. Elas irão checar os atributos da conexão VPN e aplicar as respectivas permissões.

11

Na primeira política, o ISE checa se o usuário, já autenticado, está no grupo do AD ACVPN-Dev e irá aplicar as permissões definidas na authZ policy AUTHZ-ACVPN-DEV.

Na segunda política, o ISE checa se o usuário, já autenticado, está no grupo do AD ACVPN-Corp e irá aplicar as permissões definidas na authZ policy AUTHZ-ACVPN-CORP.

Na terceira política, o ISE irá checar se o usuário começa com EXT-GP, o nome do dispositivo, já incluido na base de Network Devices é igual a ISELABASA e se o endereço IP do dispositivo é igual a 10.3.160.201. A permissão aplicadaé simples ACCESS_ACCEPT, definida na authZ policy PermitAccess, que é padrão do ISE. Esta é a política de authZ para o ASA.

Configurações do AD:

No AD, os usuários devem estar em seus respectivos grupos:

12

Validando as Configurações:

  • VPN Corporativa

O usuário user-corp que é membro do grupo ACVPN-Corp efetua login:

13

O ASA mostra o banner de login definido no ISE:

14

O comando show vpn-sessiondb anyconnect mostra os atributos aplicados à sessão do usuário, contendo a group policy aplicada:

15

O comando show vpn-sessiondb anyconnect detail mostra mais detalhes das configurações aplicadas:

17

Validação da ACL aplicada:

16

No ISE, em Operations > Authentications podemos ver o resumo das transações de AAA para esta sessão, onde há a validação da identidade do usuário e da respectiva group-policy no ASA:

18

As imagens a seguir mostram a validação da conexão do usuário user-dev:

19

20

21

22

23

24

Espero que tenha sido útil para você! Qualquer dúvida ou consideração, deixe um comentário. Até a próxima 😉

  • Tweet
Tagged under: AAA, Anyconnect, ASA, ISE

About Rafael Leão

What you can read next

Jumbo Frames em switches Catalyst
NSX Load Balancer X-Forwarded-For
Zerar switch para LAN Automation

Tags

CCIE Vulnerabilidades Certification IPS Configuração Vulnerabilidade licença FirePower evento EEM enable QoS WLAN Controller Firewall Access-list Roteador WIFI VoIP FTD Nexus DNS Wireless certificação PIX VPN Meraki LAB IPSec Segurança Remote Access CCNA Access-point WLC senha VMware IPv6 Login autenticação Catalyst Backup class-map Anyconnect ACL CiscoChampion Upgrade Brainwork aniversário ISE Acesso SDWAN Script ASA PING DHCP Cisco Windows policy-map IOS Switches switch

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Estude CCNA
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Comentários

  • Lucas Melo em Tipos de LSAs e áreas OSPF
  • André Ortega em Configurando MPLS L3VPN (OSPF + LDP + VRF + BGP)
  • Bruno Leal em Configurando MPLS L3VPN (OSPF + LDP + VRF + BGP)
  • André Ortega em Configurando MPLS L3VPN (OSPF + LDP + VRF + BGP)
  • Alexandre Nano em Configurando MPLS L3VPN (OSPF + LDP + VRF + BGP)

Tweets

Blog: Instalando FTD no Firepower 4100 #4100 #CISCOCHAMPION #FIREPOWER #FIREWALL #FTD brainwork.com.br/2018/12/05/i…

Cerca 2 dias atrás from Brainwork's Twitter via Twitter Lite

Alo blogueiros brasileiros, bora virar Cisco Champion!! @BlogCiscoRedes @netfinders @RotaDefault @estudeccna twitter.com/CiscoChampion/…

Mês passado from Brainwork's Twitter via Twitter Lite

Blog: Cisco Champion 2019 brainwork.com.br/2018/11/07/c… #Cisco_Champion

Cerca de um mês atrás from Brainwork's Twitter via brainworkblog

Atenção blogueiros brasileiros, estão abertas as inscrições para ser Cisco Champion 2019. twitter.com/CiscoChampion/…

Cerca de um mês atrás from Brainwork's Twitter via Twitter for Android

It is here!! Thank you so much @hfpreston #DevNet #CiscoChampion pic.twitter.com/6BVKRWz2vC

Cerca 2 meses atraz from Brainwork's Twitter via Twitter for Android

Seguir @brainworkblog

Facebook

  • GET SOCIAL
Brainwork

© 2017 Brainwork. Todos os direitos reservados.
Customização e hospedagem da página por Brainwork.

TOP