VPN AnyConnect com ASA + ISE

Pessoal,
Após um bom tempo sem postar, estou aqui para contribuir com um tutorial rápido e interessante sobre VPN com AAA no ISE. Neste cenário, o usuário irá conectar-se via VPN terminada no Cisco ASA, utilizando o cliente AnyConnect. O ASA irá autenticar o usuário via ISE e este irá aplicar os atributos de autorização de acordo com as definições que receber do ISE via RADIUS.

Este post é direcionado a leitores com conhecimentos de Cisco ISE, VPN com cliente AnyConnect no Cisco ASA e AAA.

Os componentes utilizados são:
Servidor AAA: Cisco ISE versão 1.4.0.253 – 10.3.160.99
Autenticador: Cisco ASA versão 9.4(2) – 10.3.160.201
Suplicante: Cisco AnyConnect versão 4.1 – 10.1.150.104
Active Directory: Windows Server 2008 R2 SP1. – 10.3.160.14

Cenário

Serão definidas duas Group Policies no ISE: EXT-GP-DEV e EXT-GP-CORP. Estas policies serão atribuídas ao usuário de acordo com o grupo a que pertence no AD no domínio ISELAB. Dois grupos estão definidos: ACVPN-Dev e ACVPN-Corp.

Configurando o ASA:

• Pool

O Pool de endereçamento para o cliente AnyConnect será definido no ASA. Este pool é compartilhado para todos os clientes, independente do perfil de autorização:

ip local pool SSL-AC-POOL01 10.29.0.1-10.29.0.10 mask 255.255.255.0

• Split-Tunnel

A ACL de split-tunneling será definida localmente no ASA, pois não é possível definí-las no ISE:

access-list SPLIT-CORP standard permit 10.3.160.0 255.255.255.0

access-list SPLIT-DEV standard permit 10.3.160.0 255.255.255.0

• CoA

No ASA, é definido o ISE como cliente RADIUS para CoA (Change of Authorization), ou autorização dinâmica:

aaa-server ISELAB protocol radius

dynamic-authorization

• AAA Server

Definição do ISE como servidor AAA:

aaa-server ISELAB (inside) host 10.3.160.99

key *****

• Cliente AnyConnect

O conjunto de comandos a seguir compõem as configurações do cliente AnyConnect:

webvpn

enable outside

anyconnect image disk0:/anyconnect-win-4.1.08005-k9.pkg 1

anyconnect enable

tunnel-group-list enable

error-recovery disable

• DfltGrpPolicy

Na group-policy DfltGrpPolicy, padrão do sistema, estão o conjunto de atributos de autorização inerentes às configuradas no ISE. Ou seja, o ISE não precisa atribuir todos os atributos à sessão VPN do usuário. Estes não atribuídos pelo ISE são aplicados por esta política.

group-policy DfltGrpPolicy attributes

dns-server value 10.3.160.14

vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless

default-domain value iselab.com

address-pools value SSL-AC-POOL01

• External Group-Policies

Em sua configuração, o parâmetro external diz que a group-policy é externa e o comando server-group define o AAA server externo onde está definida. A validação da group-policy no ISE é feita através de processo de autenticação de usuário, portanto, deve ser definida no ASA com credenciais válidas.

group-policy EXT-GP-DEV external server-group ISELAB password *****

group-policy EXT-GP-CORP external server-group ISELAB password *****

• Connection-Profile

Quando o usuário inicia uma sessão de VPN com o ASA via AnyConnect, ele está sendo autenticado no Connection Profile padrão, pois não tem permissão para escolher um no prompt de login. Neste profile, é indicado o ISE como servidor de autenticação.

tunnel-group DefaultWEBVPNGroup general-attributes

authentication-server-group ISELAB

Configurando o ISE:

Agora vamos às configurações do ISE:

• Identidade para Group-Policy:

Primeiro, definimos as identidades que irão autenticar as group-policies definidas no ASA. Estas identidades são criadas como usuários normais, se for utilizada a base local do ISE, como neste cenário.

• Mapear os Grupos do AD

Os grupos do AD, atributo do usuário que será checado para definir quais permissões serão aplicadas, deverão ser mapeados no ISE.

• Definição de Protocolo de Tunelamento

No ISE, as pré-definições de tunneling-protocol para o ISE não contém o valor correspondente ao AnyConnect. Este componente é fundamental e é validado na transação RADIUS entre ASA e ISE. Para definir este parâmetro, o caminho do ISE é Policy > Policy Elements > Dictionaries > System > RADIUS > RADIUS Vendors > Cisco-VPN3000 > CVPN3000/ASA/PIX7x-Tunneling-Protocols. Ao dicionário de atributos RADIUS do ASA, adiciona-se o SSL Client com valor 32 (link de referência dos atributos RADIUS para o ASA).

• dACL

A downloadable ACL é um dos elementos que comporão o conjunto de permissões aplicadas ao usuário. É definida em linguagem de IOS. Nas configurações do ASA, é o atributo vpn-filter. A imagem a seguir traz a configuração da ACL para o perfil CORP (neste cenário, as regras são as mesmas, apenas a título de exemplo).

• Authorization Profiles

Os authz profiles são o conjunto de permissões aplicadas aos usuários que, no ASA, seria a group-policy.

A primeira definição é a dACL, definida na etapa anterior. As imagens a seguir mostram a configuração do perfil de autorização para usuários corporativos, nomeada AUTHZ-ACVPN-CORP:

Em seguida, definimos o parâmetro ASA-VPN, que é a group-policy externa definida no ASA:

Em advanced attribute settings, ainda na configuração do authz profile, são definidos:

PIX7x-IPSec-Split-Tunnel-List: ACL de Split-Tunnel definida no ASA (o nome deve estar idêntico)

PIX7x-IPSec-Banner1: Banner de login

PIX7x-IPSec-Split-Tunneling-Policy: valor que define a policy de split-tunneling. O valor 1, no ASA, significa “tunnel-specified”, ou seja, incluir as redes definidas na ACL à lista de redes de destino que o usuário acessará via cliente AnyConnect.

PIX7x-Tunneling-Protocols: valor do protocolo de tunelamento VPN permitido na conexão. O valor definido como 32 é aquele customizado, adicionado ao dicionário RADIUS.

PIX7x-Simultaneous-Logins: valor decimal de logins simultâneos de um único usuário.

As imagens a seguir mostram as definições do authZ profile para o grupo “Desenvolvimento“. Lembrando que os atributos não definidos aqui tem os valores inerentes da DfltGrpPolicy herdados.

• Authorization Policy

A etapa final do ISE são as políticas de autorização. Elas irão checar os atributos da conexão VPN e aplicar as respectivas permissões.

Na primeira política, o ISE checa se o usuário, já autenticado, está no grupo do AD ACVPN-Dev e irá aplicar as permissões definidas na authZ policy AUTHZ-ACVPN-DEV.

Na segunda política, o ISE checa se o usuário, já autenticado, está no grupo do AD ACVPN-Corp e irá aplicar as permissões definidas na authZ policy AUTHZ-ACVPN-CORP.

Na terceira política, o ISE irá checar se o usuário começa com EXT-GP, o nome do dispositivo, já incluido na base de Network Devices é igual a ISELABASA e se o endereço IP do dispositivo é igual a 10.3.160.201. A permissão aplicadaé simples ACCESS_ACCEPT, definida na authZ policy PermitAccess, que é padrão do ISE. Esta é a política de authZ para o ASA.

Configurações do AD:

No AD, os usuários devem estar em seus respectivos grupos:

Validando as Configurações:

• VPN Corporativa

O usuário user-corp que é membro do grupo ACVPN-Corp efetua login:

O ASA mostra o banner de login definido no ISE:

O comando show vpn-sessiondb anyconnect mostra os atributos aplicados à sessão do usuário, contendo a group policy aplicada:

O comando show vpn-sessiondb anyconnect detail mostra mais detalhes das configurações aplicadas:

Validação da ACL aplicada:

No ISE, em Operations > Authentications podemos ver o resumo das transações de AAA para esta sessão, onde há a validação da identidade do usuário e da respectiva group-policy no ASA:

As imagens a seguir mostram a validação da conexão do usuário user-dev:

Espero que tenha sido útil para você! Qualquer dúvida ou consideração, deixe um comentário. Até a próxima 😉