Cisco Anyconnect Remote Access

Neste artigo, estarei descrevendo os procedimentos para configuração do cliente de VPN Anyconnect para o Firewall ASA.

Annyconnect é o substituto do antigo cliente VPN para Remote Access, ele suporta dois modos de configurações para o ASA, SSL e IPsec IKEv2.

  • Clientless WebVPN
  • AnyConnect VPN

Clientless WebVPN: Este modo de configuração não depender que um software de cliente VPN seja instalado na máquina do usuário, ele é útil quando os usuários remotos desejam estabelecer uma conexão segura com o ambiente corporativo, mas não possuem direitos administrativos  no PC. O Webvpn fornece conectividade de acesso remoto a partir de quase qualquer local com acesso para Internet usando apenas um navegador da Web.

Para acesso a VPN SSL apenas é necessário abrir o navegador, inserir o endereço IP externo do ASA e você terá acesso através de um portal Web. Alguns acesso são limitado, por exemplo:

  • Internal websites (HTTP and HTTPS)
  • Web applications
  • Windows file shares
  • Email servers (POP3, IMAP, SMTP)
  • Microsoft Outlook Web Access

VPN RA

Quando utilizando WebVPN não há acesso completo à rede, apenas com o software Anyconnect VPN que oferece acesso completo à rede. O usuário remoto usará o cliente anyconnect para se conectar ao ASA e receberá um endereço IP de um pool de VPN permitindo acesso total à rede.

Drawing34

Acima temos o ASA com duas zonas de segurança: Outside e Inside. O usuário remoto está localizado em qualquer lugar do lado de fora da rede corporativa e quer acesso remoto com o cliente Anyconnect que está instalado em sua máquina, vamos dar uma olhada nas configurações em como podemos permitir que nosso amigo se conecte na VPN e tenha acesso ao ambiente “Corporate LAN”.

CONFIGURAÇÃO DO ASA

Basicamente podemos resumir a configuração da VPN Anyconnect no ASA em algumas etapas, seguem elas.

  • Carregar a imagem do cliente SSL VPN dentro da Flash do ASA
  • Habilitar AnyConnect VPN
  • Customizações
  • Endereços POOL VPN
  • Configuração Split-Tunel
  • Criar uma Política de Grupo
  • Criar perfil de conexão do túnel
  • Configurar contas de usuário

Passo1: Imagens software Anyconnect
Usuários remotos que não tiverem o sofware de VPN Anyconnect instalado em sua máquina, poderá baixar o cliente do ASA, é preciso fazer o upload das imagens para o Firewall, estas imagens são armazenadas na Flash, cada sistema operacional tem um tipo especifico de arquivo.

ASA-1# show flash:
112 31522773 Dec 11 2018 15:01:52 anyconnect-linux64-4.5.02033-webdeploy-k9.pkg
113 9993060 Dec 11 2018 15:06:50 anyconnect-macos-4.5.02033-webdeploy-k9.pkg
114 11293375 Dec 11 2018 15:08:34 anyconnect-win-4.5.02033-webdeploy-k9.pkg

Passo2: Habilitar AnyConnect VPN

# webvpn
# enable OUTSIDE
# anyconnect image disk0:/anyconnect-linux64-4.5.02033-webdeploy-k9.pkg
# anyconnect image disk0:/anyconnect-macos-4.5.02033-webdeploy-k9.pkg
# anyconnect image disk0:/anyconnect-win-4.5.02033-webdeploy-k9.pkg
# tunnel-group-list enable
# anyconnect enable

Passo3: Customizações
SYSOPT
Quando você possui uma lista de acesso de entrada na interface OUTSIDE, todo o tráfego decriptado de SSL WebVPN deve corresponder à uma access-list ACL de entrada. O seguinte comando informa ao ASA para permitir que esse tráfego ignore a ACL.

# sysopt connection permit-vpn

HTTP redirecionamento para HTTPS
Usuários remotos precisam especificar o protocolo HTTPS para se conectar a WebVPN, esta customização é opcional. mas muito útil porque sempre que alguém acessar o ASA utilizando HTTP será redirecionado para HTTPS.

# http redirect OUTSIDE 80

Passo4: Configuração endereço POOL VPN
O ASA atribuirá endereços IPs aos usuários remotos que se conectem com o Anyconnect. Os usuários remotos receberão um endereço IP do pool de intervalo de endereços 192.168.10.5-20.

# ip local pool VPN-POOL 192.168.5.1-192.168.5.20 mask 255.255.255.0

Passo5: Split-Tunnel
Por padrão, todo o tráfego será enviado através do túnel VPN uma vez que o usuário remoto esteja conectado. Para permitir que usuários remotos acessem a Internet ou recursos da sua rede local, é preciso configurar um regra de split-tunel que especifique quais redes queremos alcançar através do túnel.

# access-list SPLIT-TUNEL-VPN standard permit 192.168.1.0 255.255.255.0
*** Esta configuração informa o tunel somente será utilizado para alcançar a Rede 192.168.1.0/24.

Passo6: Group-Policy
Um group-policy é um perfil de conexão que usa políticas que define condições para conexões de usuário após o túnel ser estabelecido. As políticas de grupo permitem que sejam aplicas atributos para um usuário ou um grupo de usuários.

Configuração de Group-Policy
# group-policy GROUP-POLICY-1 internal
# group-policy GROUP-POLICY-1 attributes
#  dns-server value 208.67.222.222 208.67.220.220
#  default-domain value labccie.local
#  split-dns value labccie.local
#  vpn-tunnel-protocol ssl-client ssl-clientless
#  split-tunnel-policy tunnelspecified
#  split-tunnel-network-list value SPLIT-TUNEL-VPN
#  webvpn
# anyconnect keep-installer installed
# anyconnect ask none default anyconnect
# anyconnect dpd-interval client 30

Passo7: Configuração Tunnel-group
O tunnel-group é utilizando quando é necessário usar regras diferentes para cada tipo de usuários. Por exemplo, um grupo pode ter regras para conectar mais de 20 usuários ao mesmo tempo, 20 minutos de inatividade, e ter acesso apenas ao servidor de e-mail. E outro grupo pode ter acesso a todos os servidores, tem um tempo de inatividade de 60 minutos, ou quando se esta utilizando servidores externo para autenticação, Radius, AD, LDAP, etc.

ASA-1(config)# tunnel-group CORPORATIVO type remote-access
ASA-1(config)# tunnel-group CORPORATIVO general-attributes
!
ASA-1(config-tunnel-general)# default-group-policy ANYCONNECT_POLICY
ASA-1(config-tunnel-general)# default-group-policy GROUP-POLICY-1
ASA-1(config-tunnel-general)# address-pool VPN_POOL
!

Quando usuários remotos se conectarem, o ASA mostrará um nome de grupo que pode ser customizado de acordo com o ambiente, para esta configuração foi utilizado o nome CORPORATIVO.
ASA-1(config)# tunnel-group CORPORATIVO webvpn-attributes
ASA-1(config-tunnel-webvpn)# group-alias CORPORATIVO enable
!
Passo8: Usuários para VPN
Esta configuração estamos utilizando a base local de usuários para conectar na VPN Remote Access, o ASA permite integração com servidores externos como AD, LDAP, ISE e Radius.

Criar as contas de usuários para acesso a VPN
ASA-1(config)# username teste-vpn password cisco@123

Precisa informar ao ASA que este usuário tem permissão para autenticar na VPN.
ASA1(config)# username teste-vpn attributes
ASA1(config-username)# service-type remote-access

Basicamente o que é necessário após está configuração no Firewall ASA é instalação do cliente Anyconnect na máquina do usuário, e apontar o endereço externo do ASA 100.100.100.1. Será solicitado um Login/Senha, configurado no Passo8.

Para Tshoot e verificações, abaixo alguns comandos que eu utilizo muito.

ASA-1# show vpn-sessiondb ASA-1# show vpn-sessiondb
Session Type: SSL VPN Client
Username     : teste-vpn
Index             : 1                                   IP Addr           : 192.168.5.3
Protocol        : SSL VPN Client          Encryption    : 3DES
Hashing        : SHA1                           Auth Mode     : userPassword
TCP Dst Port : 443                    TCP Src Port : 54230
Bytes Tx        : 20178                  Bytes Rx     : 8662Pkts Tx      : 27                  Pkts Rx      : 19
Client Type   : Internet Explorer
Group            : GROUP-POLICY-1
Login Time   : 14:32:03 UTC Wed Mar 20 2007
Duration       : 0h:00m:04s
Inactivity      : 0h:00m:04s
Filter Name  :

ASA-1# vpn-sessiondb logoff
INFO: Number of sessions of type “” logged off : 1

ASA-1# vpn-sessiondb logoff name teste-vpn
Do you want to logoff the VPN session(s)? [confirm]
INFO: Number of sessions with name “teste-vpn” logged off : 1

Como reiniciar console de gerenciamento do FMC?

Este documento descreve como reiniciar os serviços em um appliance Cisco FMC com a utilização da Interface gráfica ou através da CLI.

Reiniciar os processos de gerenciamento do FMC

Dependendo do problema que você se deparar pode ser necessário reiniciar os processos e serviços que são executados no FMC.
Podemos reiniciar esses serviços e processos sem a necessidade de reinicie todo o Firepower, conforme estarei apresentando nas seções que se seguem.

Passos para reiniciar os processos através da interface WEB
Abaixo relacionei as etapas para reiniciar os processos do FMC através da interface Web:

Passo1: Faça login na interface Web do FMC
Passo2: Em System > Local > Configuration > Process

FMC
Clique em  Run Command para Restart Defense Center Console. Isso reinicia os serviços e processos.

Reiniciar os processos com a CLI
Abaixo relacionei as etapas para reiniciar os processos do FMC através da CLI:

Passo1: Faça login na CLI do FMC

Passo2: Elevar seu nível de privilégio para o modo de usuário raiz
admin@ccielab-fmc:~$ sudo su –

Passo3: Digite este comando na CLI para reiniciar o console
root@ccielab-fmc:~# /etc/rc.d/init.d/console reiniciar

Obs. Após reiniciar os processos, isso pode leva alguns minutos, não precisa se preocupar, não terá nenhuma indisponibilidade no ambiente, apenas a gerencia do FMC ficará indisponível até terminar o processo de reinicialização.