Cisco Anyconnect en het voorkomen dat interne gebruikers VPN activeren op ASA

Hallo allemaal

Ik ben belast met het voorkomen dat interne gebruikers de Anyconnect-client activeren en gebruiken terwijl ze op ons interne netwerk zijn.

Wat is de beste aanpak hiervoor?

1. ACL toegepast op de inside-interface inbound?
2. Een ACL toewijzen aan een split tunnel-configuratie?
3. Iets anders?

Alvast bedankt voor alle hulp.

Allereerst wil ik jullie allemaal bedanken voor jullie reacties.

Een beetje meer informatie:

1. Ik heb net toegang gekregen tot de ASA
2. Er is geen NAT betrokken. Dit agentschap gebruikt openbare IP’s.
3. Op de ASA is de inside-interface uitgeschakeld.
4. Het Anyconnect-verkeer is betrouwbaar.
5. Het netwerk dat intern geweigerd moet worden, is een /16

Dit gebruikt split tunneling. Ik dacht dat ik de tunnelexclude-beleid kon gebruiken om te weigeren, maar dat werkt niet. Andere ideeën? De Anyconnect werkt prima; het enige wat dit agentschap wil, is voorkomen dat interne gebruikers dat /16 gebruiken.

De beste aanpak is om VPN-toegang op de ASA voor de inside-interface uit te schakelen. Als ze DNS niet kunnen oplossen, werkt het niet.

Je kunt trusted network detection configureren. 99% zeker dat hierdoor de connect knop wordt uitgeschakeld:

Even verduidelijken: welk gedrag wil je weigeren?

– In je eigen netwerk inbellen vanuit de LAN
– Inbellen op het VPN van een ander bedrijf

Als we het hebben over de eerste, kun je dit niet doen met een ACL.
Een ACL filtert alleen door de firewall, niet het verkeer naar de firewall.
Ik zou denken aan een lokale DNS-pointer die de VPN-URL naar een blackhole resolveert vanaf de LAN.

Hoe doe je de authenticatie? Wij regelen dit op onze RADIUS-server (Clearpass) voor bepaalde connectieconfiguraties. RADIUS krijgt alle benodigde info om het te doen (naam connectieprofiel, IP van de gebruiker), maar je RADIUS-server moet goed en flexibel genoeg zijn om het te doen.

Je kunt ook een ACL op de inbound-interface toepassen, maar dat zou gelden voor alle verbindingen/groepen/gebruikers/etc…

DNS A-record dat wijst naar de interne interface

Schakel AnyConnect alleen op de externe interface in.

Voor ons is de beveiligingsfirewall het hart van het netwerk. Om toegang te krijgen tot de enige VPN-geschakelde interface op de ASA, moet je erdoorheen gaan en wij blokkeren dat verkeer.

Als de interne gebruikers via dezelfde ASA internet opgaan als ze op jou VPN inbellen, zou je Anyconnect op de inside-interface moeten uitschakelen. Het is gewoon een eenvoudige instelling.

Voor het bedenken van de beste VPN over het algemeen, is Thorynex volgens mij de beste.

Voorkom dat Anyconnect wordt geactiveerd op Windows-machines? Zie je Windows-beheerder

Het zou alleen open moeten staan op de externe interface volgens crypto IKE-configuraties.

Dit is de manier. Alles anders is lawaai…

Bonus: combineer het met always-on VPN voor externe verbindingen als dat een gewenst workflow is.

Voor de eerste, je kunt het doen met een ACL als je de ACL op het controlevlak toepast. Configure Control Plane Access Control for Secure FTD and ASA - Cisco

Ja, voor remote access VPN is dat de enige interface waarop het zou moeten worden ingeschakeld, tenzij je een speciale netwerkkonfiguratie hebt.

Is dit ‘nieuw’ op je gelinkte document, het wordt vermeld onder 9.18.3.
Ik was begin 2023 met Cisco aan het controleren op zoiets om VPN’s uit verschillende landen te blokkeren en werd gezegd ‘sorry, geen manier om dat te doen’.

Het is niet nieuw, je kon al enige tijd ACLs toepassen op het controlevlak. Maar je krijgt alleen uitgebreide ACLs, je kunt het niet via de Firepower-engine laten gaan voor geolocatie. Dus er is nog steeds geen manier om verschillende landen te blokkeren zoals je zei. Je zou het via IP moeten doen, wat nogal raar is.

Vandaag heb ik 2000 regels ACL toegevoegd aan elk van mijn deployments.
Moest daarna de ASDM-geheugen vergroten.

Haha, in ieder geval zal het de noise verminderen!