Configuración de VPN de acceso remoto de Secure Client (AnyConnect) en FTD

Opciones de descarga

  • PDF     (1.5 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.5 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (960.5 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:25 de noviembre de 2024
ID del documento:212424

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe una configuración para VPN de acceso remoto de Secure Client (AnyConnect) en Secure Firewall Threat Defence.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Conocimiento básico de VPN, TLS e IKEv2,
    • Conocimiento básico de autenticación, autorización y contabilidad (AAA) y RADIUS,
    • Experiencia con Secure Firewall Management Center.

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Secure Firewall Threat Defence (SFTD) 7.2.5
    • Secure Firewall Management Center (SFMC) 7.2.9
    • Secure Client (AnyConnect) 5.1.6 

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Este documento proporciona un ejemplo de configuración para Secure Firewall Threat Defence (FTD) versión 7.2.5 y posteriores, que permite que la VPN de acceso remoto utilice Transport Layer Security (TLS) e Internet Key Exchange versión 2 (IKEv2). Como cliente, se puede utilizar Secure Client (AnyConnect), que es compatible con varias plataformas.

    Configuración

    1. Requisitos previos

    Para pasar a través del asistente de acceso remoto en Secure Firewall Management Center:

    • Cree un certificado utilizado para la autenticación del servidor.
    • Configure el servidor RADIUS o LDAP para la autenticación de usuarios.
    • Cree un conjunto de direcciones para los usuarios de VPN.
    • Cargue imágenes de AnyConnect para diferentes plataformas.

    a) Importar el certificado SSL


    Los certificados son esenciales al configurar Secure Client. El certificado debe tener una extensión de nombre alternativo de sujeto con nombre DNS o dirección IP para evitar errores en los navegadores web.

    Nota: Solo los usuarios registrados de Cisco tienen acceso a las herramientas internas y a la información de errores.

    Existen limitaciones para la inscripción manual de certificados:

    - En SFTD, necesita el certificado de CA antes de generar el CSR.

    - Si el CSR se genera externamente, el método manual falla, se debe utilizar un método diferente (PKCS12).

    Hay varios métodos para obtener un certificado en un dispositivo SFTD, pero el más seguro y fácil es crear una solicitud de firma de certificado (CSR), firmarla con una autoridad de certificación (CA) y luego importar el certificado emitido para una clave pública, que estaba en CSR. A continuación se explica cómo hacerlo:

    • Vaya aObjects > Object Management > PKI > Cert Enrollment, haga clic enAdd Cert Enrollment.
    • SeleccioneEnrollment Typey pegue el certificado de la autoridad certificadora (CA) (el certificado que se utiliza para firmar el CSR).

    CA certificate import

    • A continuación, vaya a la segunda pestaña y seleccioneCustom FQDNy rellene todos los campos necesarios, por ejemplo:

    Certificate parameters

    • En la tercera ficha, seleccioneKey Type, elija nombre y tamaño. Para RSA, 2048 bits es mínimo.
    • Haga clicSaveen y vaya aDevices > Certificates > Add.
    • A continuación, seleccioneDevicey, enCert Enrollment seleccionar el punto de confianza que acaba de crear, haga clic enAdd:

    Add new certificate

    • Más adelante, junto al nombre del punto de confianza, haga clic en el botón ID icon luegoYes, y después de eso, copie CSR a CA y fírmela. El certificado debe tener los mismos atributos que el servidor HTTPS normal.
    • Después de recibir el certificado de CA en formato base64, seleccióneloBrowse Identity Certificate, selecciónelo en el disco y haga clic enImport. Cuando esto tenga éxito, verá:

    Certificate list


    b) Configuración del servidor RADIUS

    • Vaya a.Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group > +
    • Complete el nombre y agregue la dirección IP junto con el secreto compartido y haga clic enSave:

    RADIUS server properties

    • Después de esto, verá el servidor en la lista:

    RADIUS server list

    c) Crear un conjunto de direcciones para usuarios de VPN

    • Vaya a Objects > Object Management > Address Pools > IPv4 Pools > Add IPv4 Pools.
    • Pon el nombre y el rango, la máscara no es necesaria: 

    Address pool properties

    d) Crear perfil XML

    • Descargue el Editor de perfiles del sitio de Cisco y ábralo.
    • Vaya a Server List > Add...
    • Colocar nombre para mostrar y FQDN. Verá entradas en la Lista de servidores:

    Profile editor server list

    • Haga clic enOKy File > Save as... 

    e) Cargar imágenes de AnyConnect

    • Descargue imágenes de paquetes del sitio de Cisco.
    • Vaya a.Objects > Object Management > VPN > AnyConnect File > Add AnyConnect File
    • Escriba el nombre y seleccione el archivo PKG del disco. Haga clic enSave:

    Secure Client image import form

    • Agregue más paquetes en función de sus propios requisitos.

    2. Asistente para acceso remoto

    • Vaya a.Devices > VPN > Remote Access > Add a new configuration
    • Asigne un nombre al perfil y seleccione el dispositivo FTD:

    Remote access wizard step 1

    • En el paso Perfil de conexión, escribaConnection Profile Name, seleccione el y el Authentication ServerAddress Poolsque creó anteriormente:

    Remote access wizard step 2

    Client address assignment and group policy selection

    • Haga clic en Edit Group Policy y, en la ficha AnyConnect, seleccioneClient Profiley, a continuación, haga clic enSave:

    Profile selection in group policy properties

    • En la página siguiente, seleccione imágenes de AnyConnect y haga clic enNext.

    Secure Endpoint image

    • En la siguiente pantalla, seleccione Network Interface and Device Certificates:

    Network interface selection

    • Cuando todo esté configurado correctamente, puede hacer clic enFinishy, a continuaciónDeploy:

    The last step in Remote Access wizard

    • Esto copia toda la configuración junto con los certificados y los paquetes de AnyConnect en el dispositivo FTD.

    Conexión

    Para conectarse al FTD debe abrir un explorador, escribir un nombre DNS o una dirección IP que apunte a la interfaz externa. A continuación, inicie sesión con las credenciales almacenadas en el servidor RADIUS y siga las instrucciones que aparecen en la pantalla. Una vez que se haya instalado AnyConnect, tendrá que poner la misma dirección en la ventana de AnyConnect y hacer clic enConnect.

    Limitaciones

    Actualmente no es compatible con FTD, pero está disponible en ASA:

    • FTDposture VPN no admite el cambio de política de grupo a través de la autorización dinámica o el cambio de autorización RADIUS (CoA).

    • Personalización de AnyConnect (mejora: ID de error de Cisco CSCvq87631)
    • Secuencias de comandos de AnyConnect (mejora: Id. de error de Cisco CSCvt58044).
    • Localización de AnyConnect.
    • Integración de WSA.
    • Mapa criptográfico dinámico IKEv2 simultáneo para VPN de RA y L2L (Mejora: ID de error de Cisco CSCvr52047).
    • TACACS, Kerberos - Autenticación KCD y RSA SDI (Mejora: ID de bug Cisco CSCvx55859).
    • Proxy de explorador.

    Observaciones de seguridad

    De forma predeterminada, el sysopt connection permit-vpnestá desactivada. Esto significa que debe permitir el tráfico que proviene del conjunto de direcciones en la interfaz externa a través de la política de control de acceso. Aunque la regla de prefiltro o control de acceso se agrega para permitir solamente el tráfico VPN, si el tráfico de texto sin cifrar coincide con los criterios de la regla, se permite erróneamente.

    Hay dos enfoques para este problema. En primer lugar, la opción recomendada por el TAC es habilitar la antisimulación (en ASA se la conocía como Unicast Reverse Path Forwarding - uRPF) para la interfaz externa y, en segundo lugar, habilitar sysopt connection permit-vpnla omisión completa de la inspección de Snort. La primera opción permite una inspección normal del tráfico que va hacia y desde los usuarios de VPN.

    a) Habilitar uRPF

    • Cree una ruta nula para la red utilizada por los usuarios de acceso remoto, definida en la sección C. Vaya aDevices > Device Management > Edit > Routing > Static Route y seleccione Add route

    New static route properties

    • Luego, habilite uRPF en la interfaz donde terminan las conexiones VPN. Para encontrarlo, vaya a Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofing

    Edit physical interface

    Cuando un usuario está conectado, la ruta de 32 bits se instala para ese usuario en la tabla de ruteo. El tráfico de texto sin formato originado en las otras direcciones IP sin usar del conjunto es eliminado por uRFP. Para ver una descripción de, Anti-Spoofing consulte Establecer parámetros de configuración de seguridad en la defensa frente a amenazas del firewall.

    b) Activarsysopt connection permit-vpnopción

    • Hay una opción para hacerlo con el asistente o en Devices > VPN > Remote Access > VPN Profile > Access Interfaces.

    Bypass Access Control policy option selected

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    5.0
    25-Nov-2024
    Cambio en la convención de nomenclatura y cambios reflejados en la GUI
    4.0
    05-Dec-2023
    Recertificación
    3.0
    16-Dec-2022
    Reescribir. Actualizar formato. Recertificación.
    2.0
    08-Nov-2022
    Formato actualizado y ortografía corregidaRecertificación
    1.0
    07-Nov-2017
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Radoslaw Olszowy
      Cisco Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos