Radius VPN Cisco ASA sobre Cisco ISE v2.1
Como leer e interpretar las líneas
de comando
En el presente manual se usan las
siguientes convenciones para comandos a ingresar en la interfaz de lineas de
configuracion (CLI).
Comando para ingresar al modo de configuracion global:
configure terminal
Comando para especificar el valor de una varible:
ntp server 172.18.58.200
Comando cuya variable usted debe definir:
Class-map [highest class
name]
Comando para ingresar al modo de configuracion
privilegiado y campos universales imperativos :
Router>enable
Las comandos de configuracion muy largos y que ocupan
varias lineas se subrayan
police
rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta
a peticiones en CLI son sombreadas
interface Van64
ip address 10.5.204.5 255.255.255.0
_________________________________________________________________________________
Nota Importante: Para este despliegue se debe contar con un Controlador de Dominio establecido al igual que una estructura básica de Directorio Activo. A su vez con un servicio de DNS local.
De igual manera, se debe haber preconfigurado Cisco ISE para integración con Active Directory.
_________________________________________________________________________________
RADIUS VPN ASA sobre Cisco (ISE)
Proceso 1: Configurar Condición de Autenticación, Servicio
RADIUS VPN ASA
Paso 1: Navegar
a traves de la ruta Policy > Policy
Elements > Conditions.
Paso 2: En el panel de la izquierda, desplegar la sección
de Authentication y allí click sobre
Compound Conditions.
Paso
3: Ahora sobre la
derecha en el campo, hacer click en +Add,
se desplegara un cuadro de dialogo donde en el campo Name colocar un nombre para la condición, por ejemplo: VPN_ASA2.
Paso 4: En el campo Expression elegir DEVICE:DeviceType, seguido
por Equals y por
último AllDeviceType. Validar Figura 31.
Paso 5: Click en Save.
Figura31.: Condición de
Autenticación, Servicio RADIUS VPN ASA
Proceso 2: Configurar Política de Autenticación, Servicio RADIUS
VPN ASA
Paso 1: Navegar
a traves de la ruta Policy >
Authentication Poliy.
Paso 2: Click sobre Edit. Cambiar el nombre, por ejemplo: VPN_ACCESS.
Paso 3: Ahora sobre el campo Conditions, elegir VPN_ASA2. En
el campo Allow Protocols, elegir DefaultNetworkAccess.
Validar Figura31.
Paso 4: Luego hacer click sobre el símbolo “+” en el
campo Use. Una vez alli se despliega
una nueva seccion. El campo Identity
Source debera ser cambiado por el nombre del dominio, por ejemplo: SETRYS. En
el campo If authentication failed optar
por Reject,
en el campo If user
not found elegir Reject y en el campo If process failed Drop. Validar
Figura32.
Paso 5: Click en Done
(del lado derecho de la sección) y en Save.
Figura32.: Politica de
Autenticación, Servicio RADIUS VPN ASA
Proceso 3: Configurar Condición de Autorización, Servicio RADIUS
VPN ASA
Paso 1: Navegar
a traves de la ruta Policy > Policy
Elements > Conditions.
Paso 2: En el panel de la izquierda, desplegar la sección
de Authorization y allí click sobre Compound Conditions.
Paso
3: Ahora sobre la
derecha en el campo, hacer click en +Add,
se desplegara un cuadro de dialogo donde en el campo Name colocar un nombre para la condición, por ejemplo: GrupoVPN.
Paso 4: En el campo Description elegir SETRYS:ExternalGroup, seguido
por Equals y
por último Setrys.com/Users/DomainAdmins
Validar Figura 33. Click en Save.
Figura33.: Condición Politica de Autorización,
Servicio RADIUS VPN ASA
Proceso 4: Configurar Perfil de Autorización, Servicio RADIUS
VPN ASA
Paso 1: Navegar
a traves de la ruta Policy > Policy
Elements > Result.
Paso 2: En el panel de la izquierda, desplegar la sección
de Authorization y allí click sobre Authorization Profile.
Paso
3: Ahora sobre la
derecha en el campo, hacer click en +Add,
se desplegara un cuadro de dialogo donde en el campo Name colocar un nombre para la condición, por ejemplo: VPN_Soporte.
Paso 4: En el campo Access Type elegir ACCESS_ACCEPT. En la sección CommonTasks marcar la casilla ASA PN escribir el nombrede la politica configurada en
el Firewall y en este caso OU=SSLClientPolicy y
por último click en Save. Validar
Figura 34.
Figura34.: Perfil Política de Autorización,
Servicio RADIUS VPN ASA
Proceso 5: Configurar Política de Autorización, Servicio RADIUS
VPN ASA
Paso 1: Navegar
a traves de la ruta Policy > Authorization
Poliy.
Paso 2: Click sobre Edit. Cambiar el nombre, por ejemplo: VPN_SOPORTE.
Paso 3: Ahora sobre el campo Conditions, elegir GrupoVPN. En
el campo Permissions, elegir VPN_Soporte.
Validar Figura35.
Paso 4: Click
en Done (del lado derecho de la
sección) y en Save.
Figura35.: Política de Autorización,
Servicio RADIUS VPN ASA
Proceso 6: Ingreso de dispositivos Firewall dentro Cisco ISE.
Paso 1: Navegar a traves de la ruta Work Centers > Device Administration > Network
Resources.
Paso 2: En el panel a la izquierda clic sobre Network Devices.
Paso 3: A la
derecha dentro del campo Name colocar
el hostname del dispositivo a ingresar, por ejemplo: ASA_BCOEXT. En el
campo Description colocar una
descripción del equipo, por ejemplo: Firewall VPN Banco Exterior.
Paso 4: En el campo IP Address colocar la direccion IP del dispositivo, por ejemplo: 10.19.254.202.
Paso 5: En la parte inferior, marcar la
casilla RADIUS Authentication Settings
y llenar el campo Shared Secret con
la llave precompartida a configurar, validar Figura36, por ejemplo setrys.
Figura36.: Ingreso de Firewall a
Cisco ISE, Servicio RADIUS VPN ASA
¿Cómo verificar Logs de Autenticaciones?
Paso 1: Navegar a traves de la ruta Operations > TACACS+ > Live Logs.
Paso 2: Click en el botón Refresh. Validar Figura37.
Referencias
Cisco Identity Services Engine Administrator Guide, Release 2.1. Marzo 2015.
Campus 802.1X Authentication. Technology Design Guide. Agosto 2014.
No hay comentarios:
Publicar un comentario