隨著越來越多的人遠程工作或在混合環(huán)境中工作,IT部門和MSP在ASA防火墻上配置Cisco AnyConnect VPN的呼聲越來越高。但是Cisco文檔可能會非常混亂,這會導致一些組織的配置錯誤(我們指的是不安全)。
如果步驟安排得很清楚,那么過程實際上相當簡單。這就是我們的向?qū)缮嫌脠龅牡胤健?/p>
在這篇文章中,我們將分析Cisco AnyConnect的來龍去脈,包括它是什么,為什么它很重要,以及為你的VPN正確配置Cisco AnyConnect需要采取哪些步驟。
什么是Cisco AnyConnect
Cisco AnyConnect是由Cisco Systems開發(fā)的一個軟件程序,為用戶提供安全的VPN(虛擬專用網(wǎng)絡)連接。它主要由企業(yè)和組織使用,使遠程工作者能夠通過互聯(lián)網(wǎng)安全地訪問內(nèi)部網(wǎng)絡和資源。
Cisco AnyConnect VPN的一些關(guān)鍵優(yōu)勢
- 安全連接:AnyConnect提供加密的網(wǎng)絡連接,確保遠程用戶和公司網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)是安全的,并防止未經(jīng)授權(quán)的訪問。
- 支持多個平臺:AnyConnect與各種操作系統(tǒng)兼容,包括windows、macOS、linux以及IOS和Android等移動平臺。
- 自動網(wǎng)絡檢測:該軟件可以自動檢測用戶何時處于不安全的網(wǎng)絡上,并建立VPN連接以確保通信安全。
- 遠程訪問:它允許遠程用戶訪問內(nèi)部網(wǎng)絡資源,就好像他們在辦公室一樣,這對遠程工作場景特別有用。
- 可自定義的策略和訪問控制:管理員可以設置策略來控制用戶對網(wǎng)絡資源的訪問,確保用戶根據(jù)其角色擁有適當?shù)脑L問級別。
- 端點評估:AnyConnect可以評估用于連接網(wǎng)絡的設備的安全狀況,確保其在允許訪問之前符合某些安全標準。
現(xiàn)在你已經(jīng)了解了其中的一些好處,讓我們來完成為你的VPN配置Cisco AnyConnect所需的步驟。
配置AAA認證
首先要配置的是AAA身份驗證。我傾向于使用RADIUS進行身份驗證和授權(quán),但也有其他選項,如LDAP。配置類似:
!
aaa-server MYRADIUS protocol radius
aaa-server MYRADIUS (INSIDE) host 10.10.1.1
key ****
!
這個配置片段說,我的網(wǎng)絡中有一個RADIUS服務器,IP地址為10.10.1.1,我在ASA配置中用標簽“MYRADIUS”來指代它。它是通過ASA接口訪問的,我在接口配置中稱之為“INSIDE”。
定義VPN協(xié)議
當用戶連接他們的VPN時,他們需要一個VPN會話的IP地址。這是將顯示在此用戶的公司網(wǎng)絡中的地址。它與用戶的公共IP地址或他們在家庭網(wǎng)絡中可能擁有的任何地址無關(guān)。它只是在遠程用戶的流量通過ASA后在網(wǎng)絡內(nèi)部使用。
!
ip local pool ANYCONNECT_POOL1 10.99.1.1-10.99.1.254 mask 255.255.255.0
ip local pool ANYCONNECT_POOL2 10.99.2.1-10.99.2.254 mask 255.255.255.0
!
我在這里定義了兩個池,因為我計劃稍后使用多個隧道組。
配置隧道組
接下來,我配置我的隧道組。我將創(chuàng)建兩個這樣的組,原因稍后將解釋。
!
tunnel-group ANYCONN_1 type remote-access
tunnel-group ANYCONN_1 type general-attributes
address-pool ANYCONNECT_POOL1
authentication-server-group MYRADIUS
default-group-policy NOACCESS
tunnel-group ANYCONN_1 webvpn-attributes
group-alias EMPLOYEES enable
!
tunnel-group ANYCONN_2 type remote-access
tunnel-group ANYCONN_2 type general-attributes
address-pool ANYCONNECT_POOL2
authentication-server-group MYRADIUS
default-group-policy NOACCESS
tunnel-group ANYCONN_2 webvpn-attributes
group-alias VENDORS enable
!
這將創(chuàng)建兩個稱為ANYCON_1和ANYCON_2的隧道組。我已經(jīng)將第一個池分配給第一個隧道組,將第二個池分配給與第二個。
這里我使用的是“group-alias”命令,它在用戶電腦上的AnyConnect客戶端上創(chuàng)建了一個下拉框。用戶將看到他們可以選擇Employees或Vendor作為選項。我們正在創(chuàng)建的配置將允許第一組中的用戶僅連接到第一個隧道組,而第二組中的使用者僅連接到第二個隧道組。
請注意,“authentication-server-group”命令在這兩個隧道組中可能不同。因此,我可以將我的員工發(fā)送到一個RADIUS服務器(也許是一個與我的LDAP集成的服務器,或者等效地,我可以在防火墻上本地使用LDAP),并將供應商發(fā)送到另一個服務器。
設置組策略
現(xiàn)在我們需要組策略。事實上,我們需要三個。我們需要一個針對員工的組策略,另一個針對供應商的策略。第三種策略適用于以某種方式通過身份驗證但未通過授權(quán)的任何人。也就是說,他們有有效的登錄憑據(jù),但沒有被授權(quán)使用VPN。
發(fā)生這種情況的主要原因是他們只是選擇了錯誤的配置文件。但也有可能有人根本沒有被授權(quán)使用VPN,即使他們有合法的憑據(jù)。這種情況可能會發(fā)生,因為許多事情都使用相同的身份驗證系統(tǒng)。
!
group-policy STAFF_VPN_GROUP internal
group-policy STAFF_VPN_GROUP attributes
vpn-tunnel-protocol ssl-client
vpn-filter value STAFF_VPN_ACL
!
group-policy VENDOR_VPN_GROUP internal
group-policy VENDOR_VPN_GROUP attributes
vpn-tunnel-protocol ssl-client
vpn-filter value VENDOR_VPN_ACL
!
group-policy NOACCESS internal
group-policy NOACCESS attributes
vpn-tunnel-protocol ssl-client
vpn-simultaneous-logins 0
!
這些名字是從哪里來的?這就是事情變得有點混亂的地方,所以請耐心等待。組策略名稱STAFF_VPN_GROUP和VENDOR_VPN_GROUP是由RADIUS或LDAP服務器提供的值。必須對服務器進行配置,以便在成功身份驗證后,將這些值交回IETF類型25字段(也稱為類)中。并且它必須是特定的格式:OU=STAFF_VPN_GROUP;(包含分號)。
我想提到的另一個重要的配置是“vpn-filter”命令。這為這些用戶應用了一個特殊的ACL(訪問控制列表),并允許我們限制他們可以訪問和不能訪問的內(nèi)容。例如,如果我想允許員工組訪問公司網(wǎng)絡中的任何內(nèi)容,但要限制供應商只能訪問特定的子網(wǎng),我可以這樣做:
!
access-list STAFF_VPN_ACL extended permit ip any any
access-list VENDOR_VPN_ACL extended permit ip any 10.99.99.0 255.255.255.0
!
應用配置
最后,我們需要將配置應用于防火墻的OUTSIDE接口:
!
webvpn
enable OUTSIDE
anyconnect enable
tunnel-group-list enable
