AnyConnect i dynamioczny access do określonych zasobów

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 629
Rejestracja: 27 wrz 2006, 10:02

AnyConnect i dynamioczny access do określonych zasobów

#1

#1 Post autor: Bolo » 07 lis 2019, 16:19

Dzień dobry,
Stoje przed wdrożeniem AnyConnecta. Konfiguracja i przydzielanie dostępów nie jest skomplikowane jednak pojawia się jeden dość znaczący problem.
Czy ktoś z koleżanek i kolegów może mi powiedzieć czy jest coś co może rozwiązać następujący problem z przydzieleniem dostępów do określonego zasobu.
Chioałbym to zrobić (tak samo jak np Puls Secure) - grupa lub user z AD przydzielam dostęp do okreslonego IP w sieci za VPN i już. Teraz na ASA przydzielam to w taki sposób że use w grupie IT dostaje adresację powiedzmy: 10.10.10.0/24 i ta adresacja ma odpowiednie aclki na poszczególnych urządzeniach.
Czy mamy cos co moze to przydzielać dynamicznie jak np dyamiczne access listy przypisane do usera authentykujacego sie poprzez SSL?

Dziękuję

RiFF
member
member
Posty: 28
Rejestracja: 29 paź 2015, 11:58

Re: AnyConnect i dynamioczny access do określonych zasobów

#2

#2 Post autor: RiFF » 07 lis 2019, 17:05

Jest kilka sposobów , możesz to zrobić np. tak - https://www.youtube.com/watch?v=dsuCU-65vNc , albo mapować ręcznie Group Policies z grupami w AD za pomocą LDAP Attribute Maps . Te przykłady działają na ASA bez FTD , nie wiem jak to wygląda na FTD bo nie miałem czasu się zagłębić w to środowisko :/

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 629
Rejestracja: 27 wrz 2006, 10:02

Re: AnyConnect i dynamioczny access do określonych zasobów

#3

#3 Post autor: Bolo » 07 lis 2019, 17:57

No ale DAP to host checker. Czy można podciągnąć pod to IP?

RiFF
member
member
Posty: 28
Rejestracja: 29 paź 2015, 11:58

Re: AnyConnect i dynamioczny access do określonych zasobów

#4

#4 Post autor: RiFF » 07 lis 2019, 18:13

Tworzysz Group Policy do niej przypisujesz pule adresow oraz ACL potem w DAP powiązujesz to z grupą w AD i już (nie dotykasz sprawdzania hosta) . Ew tak jak pisałem wcześniej mapujesz nazwę Group Policy z grupa w AD za pomocą LDAP Attribute Maps . Oczywiście oprócz wybranej metody musisz mieć skonfigurowany profil LDAPa (w AAA serwer groups) a w Anyconnect Connection Profiles w Authorization ten profil wybrany .

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 629
Rejestracja: 27 wrz 2006, 10:02

Re: AnyConnect i dynamioczny access do określonych zasobów

#5

#5 Post autor: Bolo » 07 lis 2019, 18:18

Mam ISE . Dobra to tak będę kombinować. Dam znac czy sukces czy nie

RiFF
member
member
Posty: 28
Rejestracja: 29 paź 2015, 11:58

Re: AnyConnect i dynamioczny access do określonych zasobów

#6

#6 Post autor: RiFF » 08 lis 2019, 10:04

Powinno działać, robiłem kiedyś profil który matchowal grupę z AD z group policy ASA przez ISE (na potrzeby posture remedation) . Zresztą to Radius , wiec wstrzyknie to co mu każesz tylko atrybuty musza się zgadzać ;) (tu jest jakiś przykład na szybko - https://www.petenetlive.com/KB/Article/0001155)

Awatar użytkownika
zet69
wannabe
wannabe
Posty: 138
Rejestracja: 20 cze 2007, 08:53

Re: AnyConnect i dynamioczny access do określonych zasobów

#7

#7 Post autor: zet69 » 19 lis 2019, 16:55

Czesc, jak masz ise, to wygadniej chyba stworzyc pare DACL i na podstawie grupy do ktorej przypisany jest user matchowac go do okreslonej grupy. Mozesz uzyc wtedy tylko jedna GroupPolicy, bo DACL i tak jest wysylana na ASA przez ISE w zaleznosci od przynaleznosci usera do odpowiedniej grupy w AD.

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 629
Rejestracja: 27 wrz 2006, 10:02

Re: AnyConnect i dynamioczny access do określonych zasobów

#8

#8 Post autor: Bolo » 27 lis 2019, 13:40

Cześć,
Mam ISE
Version 2.4.0.357
Installed Patches 9
Product Identifier (PID)ISE-VM-K9

Zrobiłem remote access do sieci poprzez AnyConnect + dACL na ISE. Za 1 razem zadziało od strzała. Zalogował poprzez Group Sec w AD usera do której ten user należy. Pobrał dACLkę z profilu authz. I niby wszystko ok.

Kolejne test i tu pojawia się problem.

Zmieniłem dACL w Authorization Profiles > VPN-TST-Profile z TEST_VPN na inną. Kliknałęm SAVE. Włączyłem AnyConnect i Połącz. Wprowadziłem hasło i po chwili ponownie pojawił się monit o wpisanie hasła. Na AnyConnect pojawił się log: Auth Faill.

Sprawdziłem w Operations->Radius->Live Logs :

User admintest 5200 Authentication succeeded.

Jeszcze raz wpisuje hasło - komunikat ten sam i w AD konto zablokowane i na ISE: 24415 User authentication against Active Directory failed since user's account is locked out

Zmieniłem dACL na inną - jest ok. Zmieniam w dACL cokolwiek, dodaję np: icmp permit any any i po przelogowaniu znowu te same kwiatki.

Zmineiłem także Profil Authz - niestety to samo. Raz działa, a gdy zmieniałm dACL to już przestaje.

Czy ten case nadaje sie do Cisco TAC?

Pozdrawiam

ODPOWIEDZ