[KB3473] Como configuro meu dispositivo Cisco® ASA IPSec para uso com o ESET Secure Authentication?

Introdução

Este artigo descreve como configurar um dispositivo Cisco® ASA IPSec para autenticar usuários em um servidor ESA. Antes de continuar, verifique se instalou o componente Servidor RADIUS do ESET Secure Authentication e se pode acessar o serviço RADIUS que permite que sistemas externos autentiquem usuários.

Antes que o dispositivo Cisco® ASA IPSec possa utilizar o Servidor ESA para autenticar usuários via RADIUS, ele deve ser configurado como um cliente RADIUS no Servidor ESA. Em seguida, seu servidor que executa o serviço ESA RADIUS deve ser configurado como um servidor RADIUS no dispositivo Cisco® ASA IPSec. Depois que essas configurações forem especificadas, você poderá começar a fazer login no dispositivo Cisco® ASA IPSec usando OTPs da ESA.

Etapa I - Configuração do cliente RADIUS

Para permitir que o dispositivo Cisco® ASA IPSec se comunique com o servidor ESA, você deve configurar o dispositivo Cisco® ASA IPSec como um cliente RADIUS no servidor ESA:

1. Faça login no Console da Web da ESA.
2. Navegue até Components (Componentes) > RADIUS (RADIUS ) e localize o nome do host do servidor que está executando o serviço ESA RADIUS.
3. Clique no nome do host e, em seguida, clique em Create New Radius Client (Criar novo cliente Radius).
4. Na seção Basic Settings (Configurações básicas)
   1. Dê ao cliente RADIUS um nome memorável para facilitar a referência.
   2. Configure o endereço IP e o segredo compartilhado para o cliente de modo que correspondam à configuração do seu dispositivo VPN. O endereço IP é o endereço IP interno de seu dispositivo. Se o seu dispositivo se comunicar via IPv6, use esse endereço IP junto com o ID de escopo relacionado (ID de interface).
   3. O segredo compartilhado é o segredo compartilhado RADIUS para o autenticador externo que você configurará no seu dispositivo.
5. Na seção Authentication (Autenticação ), aplique as configurações mostradas na Figura 1-1 abaixo.

Figura 1-1

O ESA foi configurado para se comunicar com o dispositivo IPSec do Cisco® ASA. Agora você deve configurar o dispositivo Cisco® ASA IPSec para se comunicar com o servidor ESA .

Etapa II - Configure seu dispositivo Cisco® ASA

Siga as etapas abaixo:

1. Faça login no Adaptime Services Device Manager.
2. Navegue até Configuration → Remote Access VPN.
3. Clique em Network (client) Access (Acesso à rede (cliente)), → IPSec (IKEv1) Connection Profiles (Perfis de conexão IPSec (IKEv1)).
4. Crie um novo perfil de conexão
   1. Navegue até a guia Basic (Básico ) da janela IPSec Remote Access Connection Profile (Perfil de conexão de acesso remoto IPSec).
   2. Em IKE Peer Authentication (Autenticação de pares IKE), insira a chave pré-compartilhada que será inserida no cliente VPN de cada usuário final. Ela deve ser uma senha forte.
   3. clique em Manage (Gerenciar) na seção Authentication (Autenticação ).
   4. clique em Add (Adicionar ) em AAA Service Groups (Grupos de serviços AAA).
   5. Digite um nome para o novo grupo (por exemplo, ESA-RADIUS), verifique se o protocolo está definido como RADIUS e clique em OK.
   6. Selecione o grupo de servidores e clique em Add (Adicionar ) no painel Servers in selected group (Servidores no grupo selecionado ).
   7. Defina os seguintes parâmetros com os valores mostrados abaixo (consulte a Figura 2-1)
      1. Interface Name (Nome da interface): A interface do ASA na qual o servidor ESA RADIUS pode ser acessado
      2. Server Name (Nome do servidor) ou IP Address (Endereço IP): O nome do host/endereço IP do servidor ESA RADIUS
      3. Timeout (Tempo limite): 30 segundos
      4. Porta de autenticação do servidor: 1812
      5. Server Account Port (Porta de conta do servidor): N/A, pois o ESA não oferece suporte a contas RADIUS, mas definido como 1813
      6. Intervalo de repetição: 10 segundos
      7. Server Secret Key (Chave secreta do servidor): O segredo compartilhado do seu servidor RADIUS (consulte a Figura 1-1)
      8. Microsoft CHAPv2 Capable (compatível com Microsoft CHAPv2): Não selecionado
   8. Clique em OK.
   9. Clique em OK.
   10. Clique em PPP no painel esquerdo e certifique-se de que apenas PAP esteja selecionado.
   11. Clique em Atribuição de endereço de cliente
       1. Selecione ou crie o pool DHCP que deseja usar.
       2. Clique em OK.
   12. Clique na seção Política de grupo padrão
       1. Selecione a política que deseja usar.
       2. Verifique se as opções Habilitar protocolo IPSec e Habilitar protocolo L2TP IPSec estão selecionadas.
   13. Clique em OK.

Figura 2-1

Etapa III - Teste a conexão

Para testar a conexão recém-configurada:

1. Certifique-se de que seu cliente VPN esteja configurado corretamente
   1. Verifique se o botão de rádio Group Authentication (Autenticação de grupo ) está selecionado na guia Authentication (Autenticação ) das propriedades de conexão do cliente VPN.
   2. Certifique-se de que a chave pré-compartilhada usada na etapa 4-b seja inserida nos dois campos de senha.
2. Conecte-se à sua VPN IPSec usando uma conta com o aplicativo móvel 2FA usando ESA ativado. Quando for solicitada uma senha, acrescente a OTP gerada pelo aplicativo móvel à sua senha do AD. Por exemplo, se o usuário tiver uma senha do AD de Esa123 e uma OTP de 999111, digite Esa123999111.

Solução de problemas

Se você não conseguir se autenticar por meio do servidor ESA RADIUS, verifique se executou as etapas a seguir:

1. Execute um teste de fumaça em seu servidor RADIUS, conforme o documento Verificação da funcionalidade do ESA RADIUS.
2. Se nenhuma falha tiver sido corrigida e você ainda não conseguir se conectar, reverta para uma configuração de login existente (que não use 2FA) e verifique se você consegue se conectar
3. Se você ainda conseguir se conectar usando as configurações antigas, restaure as novas configurações e verifique se não há nenhum firewall bloqueando o UDP 1812 entre o dispositivo VPN e o servidor RADIUS
4. Se ainda não conseguir se conectar, entre em contato com o suporte técnico da ESET.