Zdalny dostęp VPN. AnyConnect, ASA, IOS(- XE) Mateusz Grzesiak Cisco TAC VPN Kraków CCIE# 45900

Zdalny dostęp VPN AnyConnect, ASA, IOS(- XE) Mateusz Grzesiak Cisco TAC VPN Kraków CCIE# 45900

Agenda Nowości w TAC Wyróżniki metod zdalnego dostępu Platformy i Protokoły VPN Klienci VPN i dodatkowe funkcje klient AnyConnect Metody uwierzytelniania klientów VPN Przegląd metod zdalnego dostępu z podziałem na platformy Funkcje Dostępne metody uwierzytelniania Podsumowanie

Nowości w TAC Automatyczne wykrywanie znanych problemów show tech! ASA / IOS Crypto map L2L Checker https://cway.cisco.com/tools/l2l- Checker ASA CLI analyzer: https://cway.cisco.com/go/sa Możliwość kopiowania show tech z urządzenia do zgłoszenia: ftp://support- ftp.cisco.com/<numer_zgłoszenia><nazwa_pliku> show tech file ftp://support- ftp.cisco.com/<numer_zgłoszenia> show tech redirect ftp://support- ftp.cisco.com/<numer_zgłoszenia>

Wyróżniki metod zdalnego dostępu Wspierane platformy Protokoły zestawiania / transmisji danych Klienci VPN Wspierane funkcje: Instalacja / aktualizacja klienta Badanie stanu klienta HostScan / ISE Posture Metoda uwierzytelniania użytkowników

Platformy zdalnego dostępu Cisco Cisco ASA Routery IOS Routery IOS- XE: ASR ISR4K CSR1000V

Protokoły IKEv1 / IKEv2 IPSEC UDP 500 / ESP / UDP4500 SSL Clientless TLS TCP 443 SSL Client TLS TCP 443 DTLS TLS przez UDP 443

Metody dostępu a platformy Cisco ASA IOS IOS- XE IPSec (IKEv1) * * * SSL clientless * SSL client * IPSec (IKEv2)

Dostęp IPSEC - IKEv1 ASA IOS IOS- XE IPSec (IKEv1) * * * SSL clientless * SSL client * IPSec (IKEv2) Od Lipca 2014 koniec wsparcia technicznego. Najczęstsze problemy: Windows 8 i nowsze systemy operacyjne. Karty 3G.

Dostęp WebVPN ASA IOS IOS- XE IPSec (IKEv1) * * * SSL clientless * SSL client * IPSec (IKEv2) 1 październik 2015 (End of SW Maintenance) 30 wrzesień 2019 (Last Date of Support)

Dostęp SSLVPN Klient AnyConnect ASA IOS IOS- XE IPSec (IKEv1) * * * SSL clientless * SSL client * IPSec (IKEv2)

Dostęp IPSEC - IKEv2 ASA IOS IOS- XE IPSec (IKEv1) * * * SSL clientless * SSL client IPSec (IKEv2)

Protokoły / Klienci IKEv1 IPSEC Standardowi klienci zdalnego dostępu IKEv1 / IPSEC Clientless SSL Przeglądarka WWW Klient SSLVPN Cisco AnyConnect IKEv2 IPSEC Cisco AnyConnect Standardowi klienci IKEv2

Klient AnyConnect Jedna aplikacja na wiele platform. Desktop: Windows, Mac OS X, Linux Mobile: Apple ios, Android, Windows Phone 8.1, BlackBerry 10. Jedna aplikacja wiele modułów (VPN, NAM, Posture / HostScan, WebSecurity,...). Interfejs w języku polskim. Zuinifikowany wygląd interfejsu na wszystkich platformach. Wsparcie rozwiązania przez Cisco TAC od początku do końca.

Funkcje AnyConnect - ISE Posture Moduł konfigurowany / kontolowany przez ISE. Moduł ISE posture komunikuje się bezpośrednio z ISE. Z punktu widzenia ASA: Uwierzytelnienie użytkownika przez ISE. URL redirect ACL przekierowanie ruchu do ISE. Change of Authorization (COA) usunięcię URL redirect ACL / zmiana przypisanej ACL po weryfikacji stanu stacji. Działa również przez IKEv2, brak konieczności połączenia SSL. Możliwość przywrócenia zgodności klienta z polityką.

Funkcje AnyConnect - HostScan / ASA DAP Moduł konfigurowany / kontolowany przez ASA Z punktu widzenia ASA: HostScan przesyła raport o stanie stacji. Polityka DAP na ASA decyduje o autoryzacji klienta. Działa przez SSL - nawet dla połączenia IKEv2 konieczne jest nawiązanie połączenia SSL. Możliwość przywrócenia zgodności klienta z polityką.

Metody uwierzytelniania klientów SSL AnyConnect SSL + Aggregate Authentication IKEv2 IKEv2 EAP EAP- AnyConnect

Uwierzytelnianie SSLVPN AnyConnect Klient crt SSL AnyConnect Aggregate Auth Router / ASA Serwer SSL RADIUS NAS Autentykator Aggregate Auth crt RADIUS / Tacacs / LDAP Serwer AAA Serwer RADIUS / LDAP... Lokalna baza użytkowników Zdalna baza użytkowników Certifikat klienta AnyConnect Aggregate Auth: Lokalni użytkownicy Zdalni użytkownicy Radius / Tacacs / LDAP / OTP Podwójne uwierzytelnianie certyfikat +... Secondary authentication e.g.: (certyfikat) + OTP + login / hasło (tylko ASA)

Protokół IKEv2 Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP Router / ASA Serwer IKEv2 RADIUS NAS EAP Autentykator... IKE_SA_INIT...... IKE_AUTH... CFG_REPLY... CREATE_CHILD_SA... Parametry IKEv2 SA algorytmy, klucz DH Uwierzytelnianie PSK, Cert, EAP Zestawienie IPSEC SA - tunelu Tunel IPSEC Szyfrowanie kluczem DH

Uwierzytelnianie IKEv2 - cert / PSK / EAP Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP crt Router / ASA Serwer IKEv2 RADIUS NAS EAP Autentykator crt Serwer AAA Serwer RADIUS Serwer EAP PSK IKEv2 RADIUS Certyfika klienta Certyfikat serwera IKEv2 Lokalna baza PSK Zdalna baza PSK - RADIUS IKEv2 EAP RADIUS

Uwierzytelnianie IKEv2 - EAP- GTC, EAP- MSCHAPv2,... Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP Router / ASA Serwer IKEv2 RADIUS NAS EAP Autentykator crt Serwer AAA Serwer RADIUS Serwer EAP IKEv2 EAP-GTC, EAP-MSCHAPv2,... RADIUS Użytkownik-Hasło / Token / Uwierzytelnianie SIM (tylko klient uwierzytelniany)

Uwierzytelnianie IKEv2 - EAP- TLS Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP Router / ASA Serwer IKEv2 RADIUS NAS EAP Autentykator crt Serwer AAA Serwer RADIUS Serwer EAP TLS IKEv2 EAP-TLS RADIUS TLS Uwierzytelnianie z użyciem certyfikatów protokół TLS (wzajemne uwierzytelnienie klienta i serwera AAA)

Uwierzytelnianie IKEv2 - EAP- PEAP, EAP- TTLS Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP Router / ASA Serwer IKEv2 RADIUS NAS EAP Autentykator crt Serwer AAA Serwer RADIUS Serwer EAP TLS IKEv2 EAP-PEAP / EAP-TTLS EAP-MSCHAPv2 / EAP-TLS /... RADIUS TLS Klient może posiadać certyfikat. (opcjonalne) Zagnieżdżone uwierzytelnianie chronione w tunelu TLS (uwierzytelniany klient lub klient i serwer AAA)

Uwierzytelnianie IKEv2 EAP- AnyConnect Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP crt Router / ASA Serwer IKEv2 RADIUS NAS EAP Autentykator crt Serwer AAA Serwer RADIUS Serwer EAP IKEv2 EAP-AnyConnect RADIUS / Tacacs / LDAP / SDI Lokalna baza użytkowników EAP AnyConnect: Certyfikat klienta / maszyny (wewnątrz EAP!) Lokalni użytkownicy Zdalni użytkownicy Radius / Tacacs / LDAP / OTP Podwójne uwierzytelnianie certyfikat +... Zdalna baza użytkowników

Metody uwierzytelniania IKEv2 standardowi klienci VPN IKEv2 EAP: Certyfikat klienta PSK EAP- MSCHAPv2 EAP- PEAP (np. PEAP- MSCHAPv2) EAP- TLS

Metody uwierzytelniania IKEv2 AnyConnect IKEv2 - certyfikat klienta autentykacja IKEv2 bez EAP EAP: EAP- MSCHAPv2 (oparty na MS- CHAPv2) EAP- GTC (OTP/tokeny) EAP- MD5 (uwierzytelnianie w oparciu o MD5 hash) EAP- AnyConnect: Certyfikat klienta Użytkownik / hasło / OTP Certyfikat + Użytkownik / Hasło / OTP

Metody zdalnego dostępu a platformy IOS / IOS- XE ASA IOS SSLVPN FlexVPN IOS- XE FlexSSL IOS/IOS- XE FlexVPN SSLVPN IKEv2

Zdalny dostęp na IOS/IOS- XE IOS IOS- XE IPSec (IKEv1) * * SSL clientless * SSL client * IPSec (IKEv2) EZVPN IPSec IKEv1, brak wspieranego klienta Cisco WebVPN wsparcie jedynie na IOS classic (EOL) FlexVPN IPSec IKEv2 FlexVPN SSL - FlexSSL (nowa implemetacja, inna niż na IOS classic)

IOS AnyConnect SSLVPN - funkcjonalności Wspierane funkcjonalności: TLS TCL przez TCP. DTLS TLS przez UDP. WebLaunch instalacja klienta przez przeglądarkę z koncentratora VPN. Automatyczna aktualizacja klienta Anyconnect z koncentratora VPN. Instalacja i aktualizacja profilu xml klienta (uwaga na CSCus88090). http://goo.gl/lusfbf Certyfikaty SSL SHA- 2. Niewspierane funkcje: DAP HostScan. Posture ISE. Łatwe tworzenia profili XML, jak w ASA ASDM ręczne lub AnyConnect Profile Editor.

IOS AnyConnect SSLVPN - uwierzytelnianie Klient crt Router Serwer SSL RADIUS NAS Autentykator Aggregate Auth crt Serwer AAA Serwer RADIUS / LDAP... SSL AnyConnect Aggregate Auth RADIUS / Tacacs / LDAP Lokalna baza użytkowników Uwierzytelnianie klientów: Certyfikat klienta Lokalne Zdalne lista AAA Radius, Tacacs, LDAP,... OTP Podwójne uwierzytelnianie certyfikat klienta +... Brak Secondary Authentication Zdalna baza użytkowników

IOS AnyConnect SSLVPN - dokumentacja AnyConnect VPN (SSL) Client on IOS Router with CCP Configuration Example: http://goo.gl/t8kovj RSA SecurID Authentication for AnyConnect Clients on a Cisco IOS Headend Configuration Example: http://goo.gl/jjkxcs SSL VPN Configuration Guide, Cisco IOS Release 15M&T: http://goo.gl/vqlgpa AnyConnecy XML profile configuration: http://goo.gl/kb6ouy

IOS / IOS- XE FlexVPN Ujednolicony zestaw komend do konfiguracji tuneli w topologiach: remote access, site- to- site, hub- spoke, spoke- spoke. Dostępny dla: IKEv2 FlexVPN SSL - FlexSSL

IOS/IOS XE czym jest FlexVPN Tun0 site- to- site Serwer FlexVPN VA1 VA2 VA3 zdalny dostęp IKEv2 / SSL AAA VT1 VA4 hub- spoke Różne topologie. Ujednolicony CLI + Smart Defaults. Integracja z AAA. Kompatybilnyze standardem IKEv2 (ASA, Windows, strongswan,...). Ujednoliconainfrastruktura korzystająca z interfejsów typu tunel (punkt- punkt). spoke- spoke Tun0 10.0.1.10/32 10.0.1.11/32 10.0.1.12/32 Tun0 10.0.1.12/32 Tun0

IOS XE FlexSSL ASDM Koncentratory SSL VPN Klienci Desktop Windows Mac OS X Linux Cisco ASR Mobile Apple ios Android Windows Phone iphone and ipad Smartphones Tablets BB10 Smartphone Playbook 8.1 HTC Lenovo Motorola Samsung Version 4.0+ IOS- XE 3.16 / 15.5(3)S Wczesny dostęp dla zainteresowanych Cisco Cloud Services Router 1000V IOS- XE 3.12.1S / 15.4(2).1S

IOS XE FlexSSL Konfiguracja podobna do FlexVPN - ujednolicony CLI. Tylko dostęp dla klientów VPN, brak WebVPN. Platformy: CSR1000V: Wspierany od IOS- XE 3.12.1S / 15.4(2).1S ASR - od XE3.16 limitowana dostępność - brak wsparcia TAC. Tylko nowe modele routerów ASR: ASR1001- x, ASR1002- x, ASR1006 i ASR1013 z ESP- 100 lub ESP- 200. ISR4K brak wsparcia.

IOS XE FlexSSL - funkcjonalności Wspierane funkcjonalności: TLS TCL przez TCP. Instalacja i aktualizacja profilu xml klienta (uwaga na CSCus88090). http://goo.gl/lusfbf Niedostępne funkcjonalności: DTLS tunel tylko poprzez TLS przy użyciu TCP. WebLaunch instalacja klienta przez przeglądarkę z koncentratora VPN. Automatyczna aktualizacja klienta Anyconnect z koncentratora VPN. Posture: DAP HostScan / Posture ISE. Name mangler (znany z IKEv2). IPv6 Mixed- Mode / Dual- Stack. DVTI brak możliwości konfiguracji Virtual- template z atrybutami interfejsu. (Będzie dostępne na ASR). Suite- B i SHA- 2 - tylko na ASR. Adresy IPv4 i IPv6 dla VPN jednocześnie. Slit- Tunnel na ASR - możliwe do skonfigurowanie, nie działa. Komendy ukryte w XE3.15.

IOS XE FlexSSL - uwierzytelnianie Klient Router Serwer SSL RADIUS NAS Autentykator Aggregate Auth crt Serwer AAA Serwer RADIUS / LDAP... SSL AnyConnect Aggregate Auth RADIUS / Tacacs / LDAP Lokalna baza użytkowników Dostępne metody uwierzytelniania klientów: Lokalne, Zdalne lista AAA Radius, Tacacs, LDAP,... Zdalna baza użytkowników Niedostępne metody: Certyfikat klienta. ENH CSCuv63926 OTP. ENH CSCuv63932 Podwójne uwierzytelnianie certyfikat klienta +...

IOS XE FlexSSL - dokumentacja SSL VPN Configuration Guide for Cisco Cloud Services Router 1000V Series http://goo.gl/t2t2re

IOS / IOS- XE FlexVPN - funkcjonalności Interfejsy wirtualne ACL, QOS, VRF. Konfigurowalne w procesie autoryzacji. COA / POD możliwość zmiany autoryzacji bądź rozłączenia klienta z serwera AAA. FlexVPN client router jako klient IKEv2. Odpowiednik EzVPN hardware client. Routing IKEv2 ustawianie statycznych tras na kliencie / serwerze podczas zestawiania tunelu.

IOS / IOS- XE FlexVPN - uwierzytelnianie Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP crt Router Serwer IKEv2 RADIUS NAS EAP Autentykator IKEv2 EAP-AnyConnect crt RADIUS / Tacacs / LDAP Serwer AAA Serwer RADIUS / TACACS / LDAP Serwer EAP IKEv2 RADIUS EAP- GTC / EAP- MD5 / EAP- MSCHAPv2 / EAP- AKA / EAP- SIM / EAP- TLS / EAP- PEAP / EAP- TTLS... Uwierzytelnianie IKEv2 certyfikat, PSK Uwierzytelnianie EAP- AnyConnect: Lokalni użytkownicy Zdalne lista AAA: Radius, Tacacs, LDAP,... Brak uwierzytelniania certyfikatem klienta w EAP- AnyConnect podwójne uwierzytelnianie ENH CSCuu30635 Uwierzytelnianie EAP (EAP- PEAP, EAP- TLS,...)

IOS FlexVPN - dokumentacja FlexVPN and Internet Key Exchange Version 2 Configuration Guide http://goo.gl/qmkklo FlexVPN and AnyConnect IKEv2 Client Configuration Example http://goo.gl/6eqjcf

Zdalny dostęp na ASA ASA IPSec (IKEv1) * SSL clientless SSL client IPSec (IKEv2)

ASA SSLVPN klient AnyConnect - funkcje Wspierane funkcjonalności: TLS/DTLS WebLaunch instalacja klienta przez przeglądarkę z koncentratora VPN. Automatyczna aktualizacja klienta Anyconnect z koncentratora VPN. Instalacja i aktualizacja profilu xml klienta. Certyfikaty SSL SHA- 2 DAP - HostScan, Posture ISE. Łatwe tworzenia profili XML edytor profili w ASDM.

ASA SSLVPN klient uwierzytelnianie Klient crt SSL AnyConnect Aggregate Auth Router / ASA Serwer SSL RADIUS NAS Autentykator Aggregate Auth crt RADIUS / Tacacs / LDAP Serwer AAA Serwer RADIUS / LDAP... Lokalna baza użytkowników Zdalna baza użytkowników Certifikat klienta AnyConnect Aggregate Auth: Lokalni użytkownicy Zdalni użytkownicy Radius / Tacacs / LDAP / OTP Podwójne uwierzytelnianie certyfikat +... Secondary authentication e.g.: (certyfikat) + OTP + login / hasło

ASA IKEv2 AnyConnect - funkcje Wspierane funkcjonalności: WebLaunch instalacja klienta przez przeglądarkę z ASA. Automatyczna aktualizacja klienta Anyconnect z ASA. Instalacja i aktualizacja profilu xml klienta. DAP - HostScan. Wymagany włączony webvpn Wymagany włączony SSL Crypto ikev2 enable outside client- services port 443 Posture ISE. Suite- B. Łatwe tworzenia profili XML edytor profili w ASDM.

ASA IKEv2 AnyConnect uwierzytelnianie Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP crt ASA Serwer IKEv2 RADIUS NAS EAP Autentykator IKEv2 EAP-AnyConnect RADIUS IKEv2 RADIUS EAP-MSCHAPv2, EAP-GTC (OTP/tokeny), EAP-MD5 Uwierzytelnianie IKEv2 certyfikat Uwierzytelnianie EAP- AnyConnect: Lokalni użytkownicy Certyfikat klienta Zdalne lista AAA: Radius, Tacacs, LDAP,... Uwierzytelnianie certyfikat + login / hasło, OTP,... Brak secondary authentication login / hasło + OTP Uwierzytelnianie EAP (EAP- MSCHAPv2, EAP- GTC (OTP/tokeny), EAP- MD5 crt / Tacacs / LDAP Serwer AAA Serwer RADIUS / TACACS / LDAP Serwer EAP

ASA IKEv2 - standardowi klienci - funkcje Wspierane funkcjonalności: VPN Suite- B / SHA- 1.

ASA IKEv2 - standardowi klienci - uwierzytelnianie Klient IKEv2 - inicjator Klient RADIUS Suplikant EAP crt ASA Serwer IKEv2 RADIUS NAS EAP Autentykator crt Serwer AAA Serwer RADIUS / TACACS / LDAP Serwer EAP IKEv2 / Tacacs / LDAP IKEv2 EAP RADIUS Uwierzytelnianie IKEv2: Certyfikat. PSK. Uwierzytelnianie EAP.

ASA IKEv2 przetestowani klienci / serwery Klienci / Metody uwierzytelniania EAP- TLS EAP- MSCHAPv2 PEAP- MSCHAPv2 EAP- MD5 Cert- Only PSK StrongSwan on Linux NA ISE No ACS No FreeRadius- Yes AD via FreeRadius Yes ISE Yes ACS Yes FreeRadius -? AD via FreeRadius -? ISE Yes ACS Yes FreeRadius - Yes AD via FreeRadius - Yes Yes Yes StrongSwan on Android NA ISE - - No ACS - - No FreeRadius - Yes AD via FreeRadius Yes ISE Yes ACS Yes FreeRadius -? AD via FreeRad -? No Yes NA Windows 7/8/8.1 ISE - - Yes ACS - - Yes FreeRadius- Yes AD via FreeRadius Yes ISE - - No ACS - - No FreeRadius - Yes AD via FreeRadius Yes ISE Yes ACS Yes FreeRadius -? AD via FreeRadius -? NA Yes NA Windows Phone ISE - - Yes ACS - - Yes FreeRadius - Yes AD via FreeRadius Yes ISE - - No ACS - - No FreeRadius - Yes AD via FreeRadius Yes ISE - - No ACS - - No FreeRadius - No AD via FreeRadius No NA NA NA Knox/Mocana NA ISE - - No ACS - - No FreeRadius - Yes AD via FreeRadius Yes ISE Yes ACS Yes FreeRadius -? AD via FreeRadius -? ISE - - Yes ACS - - Yes FreeRad- Yes AD via FreeRad - Yes Yes NA ios 8 ISE - - Yes ACS - - Yes FreeRadius - Yes AD via FreeRadius Yes ISE - - No ACS - - No FreeRadius - Yes AD via FreeRadius Yes ISE No ACS No FreeRadius -? AD via FreeRadius -? NA Yes Yes Android Native Client NA ISE - - No ACS - - No FreeRadius - Yes AD via FreeRadius Yes ISE Yes ACS Yes FreeRadius-? AD via FreeRadius -? NA Yes Yes

Podsumowanie - zestawienie Klient VPN Uwierzytelnianie IOS / IOS- XE IKEv2 SSL IKEv2 SSL AnyConnect Klienci firm trzecich Certyfikat EAP Radius EAP AnyConnect : Radius, Tacacs, LDAP, Lokalne, Certyfikat (CSCuu30635) AnyConnect (ASR 1, CSR, ISR- G2) Certyfikat (IOS- XE CSCuv63926) Radius Tacacs LDAP Lokalne OTP (CSCuv63932) AnyConnect Klienci firm trzecich EAP Anyconnect : Certyfikat (+...), Radius, Tacacs, LDAP, Kerberos OTP, Lokalne. Certyfikat EAP Radius ASA AnyConnect Certyfikat Radius Tacacs LDAP Lokalne OTP Kerberos Secondary Authentication Certyfikat +... DAP / Hostscan X X Tak (Posture przez SSL) Tak ISE Posture X X Tak Tak Web Deployment X Tak (tylko IOS) Tak (wymaga Webvpn) Tak 1 Tylko na wspieranych platformach, obecnie brak wsparcia TAC wczesne testy dla zainteresowanych klientów.

Podsumowanie - funkcje DAP / HostScan ASA, raczej SSL. Posture ISE ASA IKEv2 lub SSL. Instalacja klienta AC przez Web ASA, IOS. ISE potrafi instalować klienta i profil. Użyteczne dla ASA z IKEv2, także dla IOS/IOS- XE IKEv2. Autoryzacja klientów: FlexVPN z DVTI QOS, ACL. ASA mnogość sprawdzonych i udokumentowanych scenariuszy.

Podsumowanie - uwierzytelnianie ASA SSL najwięcej metod, działające zaawansowane scenariusze. ASA IKEv2 wiele metod. IOS SSLVPN dużo metod, sprawdzone. FlexVPN duża ilość metod. Porównywalny z ASA IKEv2. FlexSSL produkt nowy. Podstawowe metody, podstawowe scenariusze.

Podsumowanie SSL czy IKEv2 ASA: SSL Sprawdzony. Pojawiają się podatności. IKEv2 Mniej popularny na ASA mniej sprawdzona implementacja. Sprawdzony jako protokół. Łatwiejszy w diagnozowaniu problemów. IOS Oba protokoły sprawdzone. Decydujące inne wymagania. IKEv2 łatwiejszy w diagnozowaniu problemów. IOS- XE IKEv2 Sprawdzony. Dostępny na wszystkich platformach. Jedyny wybór na ISR4K. SSL Nowa implementacja tylko podstawowe funkcje. Na razie tylko TLS gorsza wydajność w porównaniu do DTLS / IPSEC.

Zakończenie Pytania Demo L2L Checker i CLI Analyzer

Dziękuję!