Безопасность : Платформа Cisco Identity Services Engine

Сервисы положения на руководстве по конфигурации Cisco ISE

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Содержание

Связанные обсуждения сообщества поддержки Cisco

Введение

Этот документ описывает сервисы положения, клиентскую инициализацию, создание политики положения и конфигурацию политики доступа для платформы Cisco Identity Services Engine (ISE). Обсуждены результаты оценки оконечной точки для обоих проводных клиентов (связанный с коммутаторами Cisco) и беспроводные клиенты (связанный с контроллерами беспроводной связи Ciscо).

Внесенный Антуаном Кмеидом, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Платформа Cisco Identity Services Engine (ISE)
  • Конфигурация коммутатора Программного обеспечения Cisco IOS
  • Контроллер беспроводной локальной сети Cisco (WLC) конфигурация

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Версия 1.1.3 Cisco ISE
  • Версия 15.0 (2) SE2 коммутатора Cisco Catalyst серии 3560
  • Версия 7.4.100.0 WLC серии Cisco 2504

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

ISE Posture Services

Поток операций сервисов положения состоит из трех разделов основной конфигурации:

  • Клиентская инициализация
  • Политика положения
  • Политика авторизации

Клиентская инициализация

Чтобы выполнить оценку положения и определить состояние соответствия оконечной точки, необходимо настроить оконечную точку с агентом. Агент Network Admission Control (NAC) может быть персистентным, посредством чего агент установлен и автоматически загружен каждый раз входы пользователя в систему в. Также Агент NAC может быть временным, посредством чего находящийся на web агент динамично загружен к оконечной точке для каждого нового сеанса и затем удален после процесса оценки положения. Агенты NAC также упрощают исправление и предоставляют дополнительную политику допустимого использования (AUP) конечному пользователю.

Поэтому один из первых шагов в потоке операций должен получить файлы агента из Web - сайта Cisco и создать политику, которая определяет, какой агент и файлы конфигурации загружены к оконечным точкам, основанным на атрибутах, таких как тип клиентской операционной системы и идентичность пользователя.

Политика положения

Политика положения определяет набор требований для оконечной точки, которую будут считать совместимой основанный на присутствии файла, ключе реестра, процессе, приложении, Windows и антивирусе (AV)/anti-spyware (AS) проверки и правила. Политика положения применена к оконечным точкам, основанным на определенном наборе условий, таким как тип клиентской операционной системы и идентичность пользователя. Соответствие (положение) статус оконечной точки может быть:

  • Неизвестный: Никакие данные не были собраны для определения состояния положения.
  • Несовместимый: оценка положения была выполнена, и одно или более подведенных требований.
  • Совместимый: оконечная точка совместима со всеми обязательными требованиями.

Требования положения основываются на конфигурируемом наборе одного или более условий. Простые условия включают одиночную проверку оценки. Составные условия являются логической группой одной или более простых условий. Каждое требование привязано к восстановительному мероприятию, которое помогает оконечным точкам удовлетворять требование, такое как обновление подписи AV.

Политика авторизации

Политика авторизации определяет уровни доступа к сети и дополнительных сервисов, которые будут отправлены оконечной точке на основе статуса положения. Оконечные точки, которые считают несовместимыми с политикой положения, могут быть дополнительно изолированы, пока оконечная точка не становится совместимой; например, типичная политика авторизации может ограничить доступ к сети пользователя положением и ресурсами исправления только. Если исправление пользователем агента или конечным пользователем успешно, то политика авторизации может предоставить доступ к сети, которому дают привилегию, пользователю. Политика часто принуждается с загружаемыми списками контроля доступа (dACLs) или динамическим назначением сетей VLAN. В этом примере конфигурации dACLs используются для осуществления доступа оконечной точки.

Поток операций положения в качестве примера

В этом примере конфигурации оба персистентные (Агент NAC) и временный (веб-Агент) файлы агента загружены к ISE, и клиент, настраивающий политику, определен, которые требуют, чтобы пользователи домена загрузили Агента NAC и гостей для загрузки веб-Агента.

Прежде чем политика оценки положения и требования настроены, политика авторизации обновлена для применения профилей авторизации к пользователям домена и гостям, которые отмечены как несовместимые. Новый профиль авторизации определил на этом доступе пределов конфигурации к ресурсам исправления и положению. Сотрудники и гости отметили, поскольку совместимый предоставленный доступ обычной сети. Однажды клиент, настраивающий сервисы, были проверены, требования положения настроены для проверки для антивирусной установки, обновлений определения вируса и Windows важные обновления.

Примечание: Проверьте все элементы на них оконечная точка и чек-листы ISE, прежде чем вы попытаетесь настроить положение.

Чек-лист оконечной точки

  1. Полное доменное имя (FQDN) ISE должно быть разрешимым оконечным устройством.
  2. Проверьте, что браузер оконечной точки настроен как показано здесь:

    • Firefox или Chrome: Модуль Java должен быть включен на браузерах.
    • Internet Explorer: ActiveX должен быть включен в настройках обозревателя.
    • Internet Explorer 10:
      • Импорт Подписанного сертификата: при использовании подписанного сертификата для ISE выполните Internet Explorer 10 в Режиме администратора для установки этих сертификатов.
      • Режим совместимости: Режим совместимости должен быть изменен на Internet Explorer 10 параметров настройки для разрешения загрузки Агента NAC. Для изменения этих настроек щелкните правой кнопкой мыши синюю панель наверху экрана Internet Explorer 10 и выберите Линейку команд. Перейдите к Программным средствам> параметры настройки Представления Compatability и добавьте IP ISE или FQDN к списку узла.
      • Включение элемента управления ActiveX: Cisco ISE устанавливает агента Cisco NAC и веб-Агента с элементом управления ActiveX. В Internet Explorer 10, опция для запроса для элементов управления ActiveX отключена по умолчанию. Сделайте эти шаги для включения этой опции:
        1. Перейдите к Программным средствам> интернет-Опции.
        2. Перейдите к Вкладке Безопасность и нажмите Internet и Custom Level.
        3. В разделе элементов управления ActiveX и Плагинов включите Автоматический Запрос для элементов управления ActiveX.
  3. Если межсетевой экран существует локально на клиенте или вдоль сетевого пути к ISE, необходимо открыть эти порты для связи NAC ISE:

    • UDP/TCP 8905: Используемый для связи положения между Агентом NAC и ISE (швейцарский порт).
    • UDP/TCP 8909: Используемый для клиентской инициализации.
    • TCP 8443: Используемый для гостя и обнаружения положения.

    Примечание: ISE больше не использует устаревший порт TCP 8906.

  4. Если клиенту настроили прокси-сервер, модифицируйте параметры прокси для исключения IP-адреса ISE. Сбой, чтобы сделать так ломает связь, требуемую для Центральной веб-аутентификации (CWA) и клиентской инициализации.

Чек-лист ISE

  • Перейдите к администрированию> Внешние Идентификационные Источники> Active Directory и проверьте, что ISE соединен с доменом Active Directory (AD).
  • Нажмите вкладку Groups и проверьте, что группа Пользователей домена добавлена к AD конфигурации.
  • Перейдите к администрированию> Сетевые ресурсы> Сетевые устройства и проверьте, что коммутатор и WLC определены как Устройства доступа к сети (NAD).
  • Под Политикой> Аутентификация, гарантируйте dot1x, и правила Обхода проверки подлинности MAC (MAB) настроены, как описано здесь:

    1. Аутентификации Dot1x для проводного и беспроводных клиентов передаются AD Идентификационному Хранилищу.

      116143-config-cise-posture-02.jpg

    2. Аутентификации MAB для проводного и беспроводных устройств передаются внутренним оконечным точкам; обязательно проверьте опцию, Если ПРОДОЛЖАЕТ пользователь, не найденный.

      116143-config-cise-posture-01.jpg

Настройте ISE

Обзор конфигурации ISE

Конфигурация ISE данного примера состоит из этих шагов:

  1. Настройте и разверните клиента, настраивающего сервисы.
  2. Настройте политику авторизации.
  3. Настройте политику положения.
  4. Настройте исправление Сервиса обновления Windows Server (WSUS).

Configure and Deploy Client Provisioning Services

  1. Проверьте настройку прокси ISE.

    1. Перейдите к администрированию> Система> Параметры настройки> Прокси. Если прокси требуется для доступа в Интернет, завершите сервер и port detail.
  2. Загрузите предварительно созданные проверки положения для AV/AS и Microsoft Windows

    1. Перейдите к администрированию> Система> Параметры настройки> Положение> Обновления. Данные обновления в правой нижней области должны быть пустыми, так как никакие обновления еще не были загружены. Настройте эти значения:

      АтрибутЗначение
      Сеть(o)
      URL канала обновленияhttps://www.cisco.com/web/secure/pmbu/posture-update.xml
      Прокси - адрес-
      Прокси - порт-
      Автоматически проверьте для обновлений
      начало с начальной задержки
      [проверенный]
      каждые 2 часа

    2. Нажмите Update Now и подтвердите предупреждение, что обновления могут занять время для завершения.

      Примечание: Если ISE не имеет доступа в Интернет, офлайновые обновления положения доступны для скачивания на Cisco.com.

  3. (Необязательно) Настройте общие параметры настройки для поведения агента.

    1. Выберите Administration> System> Settings> Posture> General Settings и рассмотрите значения по умолчанию для Таймера Исправления, Задержки Сетевого перехода и Статуса Положения По умолчанию. Установите Таймер Исправления в 8 минут.
    2. Проверка (включает)  флажок Automatically Close Login Success Screen After и set time к 5 секундам как показано здесь:

      АтрибутЗначение
      RemediationTimer8 (Минуты)
      Задержка сетевого перехода3 (Секунды)
      Статус положения по умолчаниюСовместимый
      Автоматический близкий экран входа в систему после - в secs (AutoCloseTimer):[проверенный]
      5
      секунд

    3. Нажмите Save.

      Примечание: Значения, назначенные через профиль агента, отвергают эти глобальные параметры. Статус положения по умолчанию определяет статус для клиентов, которым не установили Агента NAC. Если клиентская инициализация не используется, это значение может быть установлено в несовместимый.

  4. Заставьте местоположение и политику загружать клиента, настраивающего обновления.

    1. Нажмите Administration> System> Settings> Client Provisioning от левой области и проверьте, что установлены эти значения по умолчанию:

      АтрибутЗначение
      Позвольте настроитьEnable

      Включите автоматическую загрузку

      Отключить
      URL канала обновленияhttp://www.cisco.com/web/secure/pmbu/provisioning
      Собственный соискатель, настраивающий недоступную политику:Позвольте доступ к сети

  5. Загрузите файлы агента.

    1. Перейдите к Политике> Элементы Политики> Результаты, разверните папку Client Provisioning и выберите Resources.
    2. От правой панели нажмите Add> Ресурсы агента от узла Cisco от выпадающего списка. Всплывающее окно отображает удаленные ресурсы:

      116143-config-cise-posture-04.jpg

    3. Как минимум выберите текущего Агента NAC, веб-Агента и Модуль Соответствия (модуль поддержки AV/AS) из списка, и нажмите Save. Клиент, настраивающий типы файла:

      • Агент NAC: Персистентный агент положения для PC Windows - клиента.
      • Агент MAC OS X: Персистентный агент положения для клиентских компьютеров MAC OS X.
      • Веб-Агент: Временный агент положения для Windows только PC.
      • Модуль соответствия: модуль OPSWAT, который предоставляет обновления текущей службы поддержки поставщика AV/AS и для Агента NAC и для Агента MAC OS X. Не применимый к веб-Агенту.
      • Профили: Файлы конфигурации агента для Агента NAC и Агента MAC OS X. Обновления локально установили XML-файлы на клиентских компьютерах. Не применимый к веб-Агенту.
    4. Ждите, пока файлы не загружены к устройству ISE.
  6. (Необязательно) Создайте профиль Настройки агента NAC для своих клиентов.

    1. От правой панели нажмите Add, затем выберите ISE Posture Agent Profile от выпадающего списка. Модифицируйте профиль для удовлетворения требований развертываний.

      • Опция слияния обновляет текущий параметр профиля агента, только если не определено никакое другое значение.
      • Опция перезаписи обновляет значение параметра ли явно определенный или нет.
    2. Для полного списка конфигурируемых параметров Агента NAC обратитесь к Руководству пользователя платформы Cisco Identity Services Engine, Выпуску 1.1. x .
  7. Определите клиента, настраивающего политику для пользователей домена и гостей.

    1. Перейдите к Политике> Клиентская Инициализация. Добавьте двух новых клиентов, настраивающих правила, как выделено в этой таблице. Нажмите кнопку ACTIONS направо от любой записи правила, чтобы вставить или копировать правила.

      Примечание: Если несколька версий того же типа файла (Агент NAC / веб-Агент / модуль Соответствия) были загружены клиенту, настраивающему репозиторий, выберите актуальнейшую версию, доступную при настройке правила.

      Имя правилаIdentity GroupsОСУсловияРезультатыДействительно ли обновление является обязательным?
      Employee_WindowsЛюбойWindows AllAD1:ExternalGroups EQUALS <AD Доменное имя>/Users/Domain ПользователиАгент NAC 4.9.0.51 + профиль (дополнительный) + соответствие 3.5.5767.2[проверенный]
      Guest_WindowsГостьWindows All WebAgent 4.9.0.28[проверенный]

    2. По завершении настройки нажмите кнопку Save (Сохранить).
  8. Настройте портал web-аутентификации для загрузки агента положения, как определено клиентом, настраивающим политику.

    1. Перейдите к администрированию> менеджмент веб-портала> Параметры настройки, разверните папку Guest, выберите Multi-Portal Configurations и выберите DefaultGuestPortal.
    2. Под вкладкой Operation включите опцию, чтобы позволить гостям загружать агентов и к сам регистр.

      АтрибутЗначение
      Гости должны загрузить клиента положения[проверенный]
      Гостям нужно разрешить сделать самообслуживание[проверенный]

    3. Определите Сам Регистрационная Роль guest и Сам Регистрационный Профиль Времени как показано здесь. Гостевое самообслуживание является произвольной конфигурацией, которая позволяет пользователям создать учетные записи без вмешательства спонсора. Данный пример включает самообслуживание для упрощения гостевого процесса регистрации.

      116143-config-cise-posture-06.jpg

    4. (Необязательно) Набор AUP для гостей как показано здесь:

      АтрибутЗначение
      Гости должны согласиться на политику допустимого использования Не используется
      (o) Первый вход в систему
      ( ) EveryLogin

    5. По завершении настройки нажмите кнопку Save (Сохранить).

Настройте политику авторизации для клиентской инициализации и положения

Политика авторизации заставляет типы доступа и сервисов быть предоставленными оконечным точкам, основанным на их атрибутах, таких как идентичность, метод доступа и соответствие с политикой положения. Политика авторизации в данном примере гарантирует, что изолированы оконечные точки, которые не являются совместимым положением; т.е. оконечные точки являются предоставленным ограниченным доступом, достаточным, чтобы настроить программное обеспечение агента и повторно добиться подведенных требований. Только положению совместимые оконечные точки предоставляют доступ к сети, которому дают привилегию.

  1. Дополнительно. Определите DACL, который ограничивает доступ к сети для оконечных точек, которые не являются совместимым положением.

    1. Перейдите к Политике> Элементы Политики> Результаты, разверните папку Authorization и выберите Downloadable ACLs.
    2. Нажмите Add от правой панели под менеджментом DACL и введите эти значения для нового DACL.

      АтрибутЗначение
      NamePOSTURE_REMEDIATION
      ОписаниеДоступ разрешения к положению и сервисам исправления, и запрещает весь другой доступ. Разрешите общий HTTP и HTTPS для перенаправления только.
      Содержание DACL 

    3. Это - типовой DACL положения. Записи DACL анализа для точности, потому что ISE 1.1.x в настоящее время не поддерживает проверку синтаксиса списка ACL.

      Запись DACLОписание
      udp разрешения любой любой домен eqПозвольте Систему доменных имен (DNS) для разрешения имен
      udp разрешения любой bootpc eq любой eq загружает psПозвольте DHCP
      tcp разрешения любой хост <IP-адрес ISE> eq 8443Позвольте CWA/Cient инициализацию портала (CPP) узлу Сервиса Политики ISE
      tcp разрешения любой хост <IP-адрес ISE> eq 8905Позвольте обнаружение агента прямо к узлу Сервиса Политики
      udp разрешения любой хост <IP-адрес ISE> eq 8905

      Позвольте обнаружение агента и пакеты Keepalive

      tcp разрешения любой хост <IP-адрес ISE> eq 8909Позвольте агента Cisco NAC, веб-Агента NAC Cisco и соискателя, настраивающего установку мастера
      udp разрешения любой хост <IP-адрес ISE> eq 8909
      IP разрешения любой хост <IP-адрес сервера REM>Явный позволяют серверу исправления (WSUS, антивирусный сервер, и т.д)
      IP разрешения любой хост 192.230.240.8Позвольте трафик серверу базы данных определения ClamWin; эта запись является определенной для данного примера
      deny ip any anyЗапретите весь другой трафик

    4. Нажмите Submit, когда завершено.
  2. Определите новый профиль авторизации для 802.1X-authenticated/NAC Пользователей агента по имени Постуре_ремедиэйшн. Профиль усиливает и новый DACL для управления доступом порта и ACL перенаправления URL для переадресации трафика.

    1. Перейдите к Политике> Элементы Политики> Результаты> Авторизация и выберите Authorization Profiles.
    2. Нажмите Add от правой панели и введите эти значения для профиля авторизации:

      АтрибутЗначение
      NamePosture_Remediation
      ОписаниеДоступ разрешения к положению и сервисам исправления; трафик перенаправления к клиентской инициализации и сервисам положения
      Тип доступаACCESS_ACCEPT
      Название DACL[проверенный] POSTURE_REMEDIATION
      Web-аутентификация - обнаружение положения[проверенный] REDIRECT POSTURE ACL

    3. Эти результирующие подробные данные атрибута должны появиться внизу страницы:

      Тип доступа = ACCESS_ACCEPT
      DACL = POSTURE_REMEDIATION
      cisco:cisco-av-pair=url-redirect-acl=ACL-POSTURE - REDIRECT
      cisco:cisco-av-pair=url-redirect =https://ip:8443/guestportal/gateway? sessionId=SessionIdValue@action=cpp
    4. Нажмите Submit для применения изменений.

      Примечание: ACL REDIRECT POSTURE ACL должен быть настроен локально на коммутаторе или WLC. На ACL ссылаются по имени в политике авторизации ISE. Для ACL перенаправления коммутатора записи разрешения определяют, какой трафик должен быть перенаправлен к ISE, тогда как на WLC записи разрешения определяют, какой трафик не должен быть перенаправлен.

  3. Определите новый профиль авторизации для web-authenticated/Web Пользователей агента под названием CWA_Posture_Remediation. Профиль усиливает и новый DACL для управления доступом порта и ACL перенаправления URL для переадресации трафика.

    1. Перейдите к Политике> Элементы Политики> Результаты> Авторизация и выберите Authorization Profiles.
    2. Нажмите Add от правой панели и введите эти значения для профиля авторизации:

      АтрибутЗначение
      NameCWA_Posture_Remediation
      ОписаниеДоступ разрешения к положению и сервисам исправления; трафик перенаправления к центральным веб-подлинным сервисам
      Тип доступа

      ACCESS_ACCEPT

      Название DACL[проверенный] POSTURE_REMEDIATION
      Web-аутентификация - централизованная web-аутентификация[проверенный] REDIRECT POSTURE ACL

      Эти результирующие подробные данные атрибута должны появиться внизу страницы:

      Тип доступа = ACCESS_ACCEPT
      DACL = POSTURE_REMEDIATION
      cisco:cisco-av-pair=url-redirect-acl=ACL-POSTURE - REDIRECT
      cisco:cisco-av-pair=url-redirect =https://ip:8443/guestportal/gateway? sessionId=SessionIdValue@action=cwa
    3. Нажмите Submit для применения изменений.

      Примечание: Различием между двумя профилями является атрибут Cisco-av-pair перенаправления URL. Пользователи, которые должны аутентифицироваться, перенаправлены к гостевому порталу для CWA. После того, как аутентифицируемый, пользователи автоматически перенаправлены к CPP по мере необходимости. Пользователи аутентифицировались до 802.1 X, перенаправлены непосредственно к CPP.

  4. Обновите политику авторизации для поддержки соответствия положения.

    1. Перейдите к Политике> Авторизация. Обновите существующую Политику авторизации с этими значениями. Используйте селектор в конце записи правила, чтобы вставить или копировать правила:

      Имя правилаIdentity GroupsДругие условияРазрешения
      СотрудникЛюбойAD1:ExternalGroups EQUALS <AD Доменное имя>/Users/Domain Пользователи
      И
      Сеанс: совместимый PostureStatus EQUALS
      PermitAccess (или Профиль Авторизации Сотрудника, если у вас уже есть определенный тот),
      Employee_PreCompliantЛюбойAD1:ExternalGroups EQUALS <AD Доменное имя>/Users/Domain Пользователи
      И
      Сеанс: PostureStatus НЕ РАВНЯЕТСЯ совместимый
      Posture_Remediation
      ГостьГостьСеанс: совместимый PostureStatus EQUALSPermitAccess (или Гостевой Профиль Авторизации, если у вас уже есть определенный тот ),
      По умолчаниюЛюбой CWA_Posture_Remediation

    2. Нажмите Save для применения изменений.

      Примечание: Этот профиль авторизации применен и к соединенному проводом и к беспроводному доступу пользователей. WLC не учитывает DACL. Функция DACL поддерживается только на коммутаторах. Для радио ACL перенаправления достаточно для запрета всего трафика за исключением сервера исправления и положения ISE.

Настройте политику положения AV

Данный пример показывает, как определить политику AV с этими условиями положения:

  • Политика положения для пользователей домена для устанавливания ClamWin AV и текущий.
  • Политика положения для гостей для установки ClamWin AV, если не установлен никакой антивирус.
  1. Определите условие положения AV, которое проверяет установку ClamWin AV на оконечной точке. Эта проверка будет использоваться в требованиях положения, применился к сотрудникам.

    1. Перейдите к Политике> Элементы Политики> Условия, разверните папку Posture и выберите AV Compound Condition.
    2. Нажмите Add из меню в панели справа. Если никакие продукты AV не появляются под полем Vendor, обновления положения еще не были загружены, или загрузка еще не завершила. Введите эти значения:

      АтрибутЗначение
      NameClamWin_AV_Installed
      ОписаниеПроверьте, что установлен ClamWin AV
      ОСWindows 7 (All)
      Поставщик

      ClamWin

      Проверьте тип(o) Установка ( ) определение
      Продукты для выбранного поставщика

      [проверенный] антивирус ClamWin
      [проверенный] ClamWin СВОБОДНЫЙ антивирус


    3. Нажмите Submit внизу страницы.
  2. Определите условие положения AV, которое проверяет версию подписи ClamWin AV на оконечной точке. Эта проверка будет использоваться в требованиях положения, применился к сотрудникам.

    1. Выберите AV Compound Condition от левой области и нажмите Add из меню в панели справа. Введите эти значения:

      АтрибутЗначение
      NameClamWin_AV_Installed
      ОписаниеПроверьте, что установлен ClamWin AV
      ОСWindows 7 (All)
      Поставщик

      ClamWin

      Проверьте тип(o) Установка ( ) определение
      дни, более старые, чем[проверенный] Позволяет файлам определения вируса составлять 0 дней, более старых, чем
      (o) последняя дата файла
      ( ) текущая системная дата
      Продукты для выбранного поставщика[проверенный] антивирус ClamWin
      [проверенный] ClamWin СВОБОДНЫЙ антивирус

    2. Нажмите Submit внизу страницы.
  3. Определите условие положения AV, которое проверяет установку любого поддерживаемого AV на оконечной точке. Эта проверка будет использоваться для требований положения, применился к гостям.

    1. Выберите AV Compound Condition от левой области и нажмите Add из меню в панели справа. Введите эти значения:

      АтрибутЗначение
      NameAny_AV_Installed
      ОписаниеПроверьте, что установлен Любой AV
      ОСWindows All
      ПоставщикЛЮБОЙ
      Проверьте тип(o) Установка
      Продукты для выбранного поставщика[проверенный] ANY

    2. Нажмите Submit внизу страницы.
  4. Определите восстановительное мероприятие положения, которое устанавливает ClamWin AV на оконечной точке.

    1. Перейдите к Политике> Элементы Политики> Результаты и разверните папку Posture.
    2. Разверните содержание Восстановительных мероприятий.
    3. Выберите Link Remediation и нажмите Add из меню в панели справа. Введите эти значения:

      АтрибутЗначение
      NameInstall_ClamWin_AV
      ОписаниеРаспределение ссылки к ClamWin AV устанавливает пакет
      Тип исправленияРуководство
      Число повторов0
      Интервал0
      Url http://<IP - СЕРВЕР REM>/clamwin-0.. С 97.7 setup.exe

    4. Нажмите кнопку Submit (Отправить).

      Примечание: IP - СЕРВЕР REM представляет IP-адрес вашего сервера исправления, где существует установка ClamWin. Исполняемый файл в данном примере был предварительно расположен на сервер исправления. Для исправления для работы гарантируйте, что IP - сервер обновления ClamWin включен в ранее настроенный DACL и ACL перенаправления.

  5. Определите восстановительное мероприятие положения, которое обновляет ClamWin AV на оконечной точке.

    1. Выберите AV/AS Remediation от левой области и нажмите Add из меню в панели справа. Введите эти значения:

      АтрибутЗначение
      NameUpdate_ClamWin_AV_Definitions
      ОписаниеТриггерные обновления подписи для ClamWin AV
      Тип Исправления AV/ASОбновление определения AV
      Тип исправленияРуководство
      Интервал0
      Число повторов0
      ОС(o) Windows
      ( ) Mac
      Имя поставщика AVClamWin

    2. Нажмите кнопку Submit (Отправить).
  6. Определите требования положения, которые будут применены к сотрудникам и гостям.

    1. Выберите Requirements from Policy> Policy Elements> Results> Posture. Введите эти записи в таблицу. Используйте селектор в конце записи правила, чтобы вставить или копировать правила:

      NameОСУсловиеДействиеОбменивайтесь сообщениями показанный Пользователю агента
      Emp_AV_InstalledWindows 7 (All)ClamWin_AV_InstalledInstall_ClamWin_AVДополнительно
      Emp_AV_CurrentWindows 7 (All)

      ClamWin_AV_Current

      Update_ClamWin_AV_
      Определения
      Дополнительно
      Guest_AV_InstalledWindows AllAny_AV_InstalledInstall_ClamWin_AV

      Утвержденная Антивирусная программа НЕ была обнаружена на вашем ПК. У всех гостей должна быть текущая программа AV, установленная, прежде чем доступ будет предоставлен к сети. Если требуется установить бесплатную версию ClamAV, щелкните по ссылке ниже.


    2. По завершении настройки нажмите кнопку Save (Сохранить).

      Примечание: Если предварительно сконфигурированное условие не отображается под списком условий, проверяет, что соответствующий ОС был выбран для обоих условие, а также правило требования. Только условия, которые являются тем же или являются подмножеством ОС, выбранного для показа правила в списке выбора условий.

  7. Настройте политику положения, чтобы гарантировать, что ClamWin AV установлен и текущий на компьютерах сотрудника с Windows 7 и что любой поддерживаемый AV установлен и текущий на компьютерах гостя.

    1. Перейдите к Политике> Положение и создайте новые правила политики со значениями, предоставленными в этой таблице. Для определения требования положения как Обязательного, Дополнительного, или Контрольного, нажмите значок направо от названия требования и выберите опцию из выпадающего списка.

      Имя правилаIdentity GroupsОСДругие условияТребования
      Employee_Windows_AV_
      Installed_and_Current
      ЛюбойWindows 7 (All)

      AD1:ExternalGroups EQUALS <AD Доменное имя>/Users/Domain Пользователи

       (Обязательный) AV_Installed
       (Обязательный) AV_Current

      Guest_Windows_AV_
      Installed_and_Current

      ГостьWindows All

      -

       (Обязательный) Guest_AV_Installed

    2. Нажмите Save для применения изменений.

Настройте исправление WSUS

Данный пример показывает, как гарантировать, что все компьютеры сотрудника с Windows 7 имеют последние важные установленные исправления. Windows Server Update Services (WSUS) внутренне управляют.

  1. Определите восстановительное мероприятие положения, которое проверяет для и устанавливает последние исправления Windows 7.

    1. Перейдите к Политике> Элементы Политики> Результаты и разверните папку Posture.
    2. Разверните содержание Восстановительных мероприятий.
    3. Выберите Windows Server Update Remediation и нажмите Add из меню в панели справа. Введите эти значения и нажмите Submit:

      АтрибутЗначение
      NameInstall_Win_Critical_Updates
      ОписаниеПроверьте и Установка, пропускающая Важный Windows Updates
      Тип исправленияРуководство
      Проверьте использование Windows UpdatesУровень важности
      Windows Updates Severity LevelВажный
      Windows Updates Installation SourceУправляемый сервер
      Значение интерфейса мастера установкиПокажите UI

      Примечание: Если вы хотите использовать правила Cisco, чтобы проверить обновление Windows, создать ваши условия положения и определить ваши условия в Шаге 2.

  2. Определите требования положения, которые будут применены к сотрудникам.

    1. Перейдите к Политике> Элементы Политики> Результаты> Положение и выберите Requirements. Введите эти записи в таблицу. Используйте селектор в конце записи правила, чтобы вставить или копировать правила:

      NameОСУсловиеДействиеОбменивайтесь сообщениями показанный Пользователю агента
      Win_Critical_UpdateWindows 7 (All)pr_WSUSRuleInstall_Win_Critical_UpdatesДополнительно

      Примечание: Можно найти условие pr_WSUSRule под Cisco Определенное Условие> Обычное Составное Условие. (Это - фиктивное правило, выбранное, потому что Step1 заставляют обновления Windows быть проверенными Уровнем важности.)

  3. Настройте политику положения, чтобы гарантировать, что компьютеры сотрудника с Windows 7 имеют последние важные исправления Windows 7.

    1. Перейдите к Политике> Положение и создайте новые правила политики со значениями в этой таблице:

      Имя правилаIdentity GroupsОСДругие условияТребования
      Employee_Windows_latest_
      Critical_Patches_Installed
      ЛюбойWindows 7 (All)AD1:ExternalGroups EQUALS <AD Доменное имя>/Users/Domain ПользователиWin_Critical_Update

    2. Нажмите Save для применения изменений.

Типовая конфигурация коммутатора

Этот раздел предоставляет выборку конфигурации коммутатора. Это предназначено для ссылки только и не должно быть скопировано или вставлено в коммутатор рабочей сети.

Глобальная конфигурация радиуса и Dot1x

aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
dot1x system-auth-control
ip radius source-interface Vlan (x)
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-acce ss-req
radius-server attribute 25 access-request include
radius-server host <ISE IP> key <pre shared key>
radius-server vsa send accounting
radius-server vsa send authentication

Список доступа по умолчанию, который будет Применен на порт

ip access-list extended permitany
permit ip any any

Включите изменение радиуса авторизации

aaa server radius dynamic-author
client <ISE IP> server-key <pre share d key>

Включите перенаправление URL и Регистрацию

Ip device tracking
Epm logging
Ip http server
Ip http secure server

ACL перенаправления

ip access-list extended ACL-POSTURE-REDIRECT
deny udp any eq bootpc any eq bootps
deny udp any any eq domain
deny udp any host <ISE IP> eq 8905
deny tcp any host <ISE IP> eq 8905
deny tcp any host <ISE IP> eq 8909
deny udp any host <ISE IP> eq 8909
deny tcp any host <ISE IP> eq 8443
deny ip any host <REM SERVER IP>
deny ip any host 192.230.240.8          (one of the ip of CLAMwin database virus Definitions)
permit ip any any

Примечание: IP-адрес оконечного устройства должен быть достижимым от виртуального интерфейса коммутатора (SVI) для перенаправления для работы.

Конфигурация порта коммутатора

switchport access Vlan xx
switchport voice Vlan yy
switchport mode access
dot1x pae authenticator
authentication port-control auto
authentication host-mode multi-domain
authentication violation restrict
ip access-group permitany in (Note: This is mandatory for dACL for versions of Cisco IOS earlier than Release 12.2(55)SE.)
dot1x timeout tx-period 7
authentication order dot1x mab
authentication priority dot1x mab
mab

Типовая конфигурация WLC

Глобальная конфигурация

  1. Гарантируйте, что сервер RADIUS имеет RFC3576 (CoA), включил; это включено по умолчанию.

    116143-config-cise-posture-07.jpg

  2. Перейдите к Безопасности> Списки контроля доступа, создайте ACL на WLC и назовите его 'REDIRECT POSTURE ACL'.

    SeqДействиеSource IP / маскаIP - адрес назначения / маскаПротоколИсходный портКонечный портНаправления
    1разрешениеЛюбойЛюбойUDPDNSЛюбойЛюбой
    2разрешениеЛюбойЛюбойUDPЛюбойDNSЛюбой
    3разрешениеЛюбой<IP ISE>UDPЛюбой8905Любой
    4разрешение<IP ISE>ЛюбойUDP8905ЛюбойЛюбой
    5разрешениеЛюбой<IP ISE>TCP  /*Любой8905Любой
    6разрешение<IP ISE>ЛюбойTCP  /*8905ЛюбойЛюбой
    7разрешениеЛюбой<IP ISE>UDPЛюбой8909Любой
    8разрешение<IP ISE>ЛюбойUDP8909ЛюбойЛюбой
    9разрешениеЛюбой<IP ISE>TCP  /*Любой8909Любой
    10разрешение<IP ISE>ЛюбойTCP  /*8909ЛюбойЛюбой
    11разрешениеЛюбой<IP ISE>TCP  /*Любой8443Любой
    12разрешение<IP ISE>ЛюбойTCP  /*8443ЛюбойЛюбой
    13разрешениеЛюбой<IP - СЕРВЕР REM>ЛюбойЛюбойЛюбойЛюбой
    14разрешение<IP - СЕРВЕР REM>ЛюбойЛюбойЛюбойЛюбойЛюбой
    15разрешение192.230.240.8ЛюбойЛюбойЛюбойЛюбойЛюбой
    16разрешениеЛюбой192.230.240.8ЛюбойЛюбойЛюбойЛюбой

    15 и 16 используются в данном примере для обновления ClamWin AV, где 192.230.240.8 содержит файл определения базы данных.

Для FlexConnect с Локальным коммутатором необходимо создать FlexConnect ACL и применить его к WebPolicy ACL. ACL имеет то же название как ACL на WLC и имеет те же атрибуты.

  1. Нажмите FlexConnect ACLs.

    116143-config-cise-posture-08.jpg

  2. Нажмите External WebAuthentication ACLs.

    116143-config-cise-posture-09.jpg

  3. Добавьте WebPolicy ACL.

    116143-config-cise-posture-10.jpg

  4. Щелкните "Применить".

Конфигурация SSID сотрудника

Создайте новые идентификаторы наборов сервисов (SSID) сотрудника или модифицируйте текущий.

  1. Во вкладке WLAN нажмите Create New или нажмите существующий WLAN.

    116143-config-cise-posture-11.jpg

  2. Нажмите Вкладку Безопасность, нажмите Таблицу уровня 2, затем установите соответствующую безопасность. Вот конфигурация WPA с dot1x.

    116143-config-cise-posture-12.jpg

  3. Нажмите вкладку AAA Servers, и проверка (включает) ISE как сервер RADIUS и для Аутентификации и для Учета.

    116143-config-cise-posture-13.jpg

  4. Нажмите Вкладку Дополнительно, проверка (включают) Позволять Замену AAA и Addr DHCP. Флажки присвоения и набор Состояние NAC к NAC Радиуса.

    116143-config-cise-posture-14.jpg

Гостевая конфигурация SSID

Создайте новый WLAN с гостевым SSID или модифицируйте текущий.

  1. Во вкладке WLAN нажмите Create New или нажмите существующий WLAN.

    116143-config-cise-posture-15.jpg

  2. Нажмите Вкладку Безопасность, нажмите Таблицу уровня 2, тогда проверьте (включают) флажок MAC Filtering.

    116143-config-cise-posture-16.jpg

  3. Нажмите вкладку Уровня 3 и гарантируйте, что отключены все опции.

    116143-config-cise-posture-17.jpg

  4. Нажмите вкладку AAA Servers, и проверка (включает) ISE и как Сервер проверки подлинности и как Учетный сервер.

    116143-config-cise-posture-18.jpg

  5. Нажмите Вкладку Дополнительно , проверка (включают) Позволять Замену AAA и Addr DHCP. Флажки присвоения и набор Состояние NAC к NAC Радиуса.

    116143-config-cise-posture-19.jpg

Положение Dot1x сотрудника (агент NAC)

Это - процедура самого положения с клиентской точки зрения, когда-то клиент соединяется с WLAN, ранее настроенными.

  1. Настройте свой беспроводной SSID (сотрудник) или проводная сеть для PEAP MSCHAP V2 и подключение с AD пользователем в группе пользователя домена.
  2. Откройте браузер и попытайтесь перейти к узлу. Приглашение перенаправления отображено.
  3. Нажмите Click to Install Agent.

    116143-config-cise-posture-20.jpg

  4. Нажмите кнопку Next.

    116143-config-cise-posture-21.jpg

  5. Нажмите я принимаю сроки лицензионного соглашения и нажимаю Next.

    116143-config-cise-posture-22.jpg

  6. Нажмите Complete и нажмите Next.

    116143-config-cise-posture-23.jpg

  7. Нажмите кнопку Install (Установить).

    116143-config-cise-posture-24.jpg

  8. Выберите Finish.

    116143-config-cise-posture-25.jpg

  9. Как только установка завершена, Агент NAC появляется. Нажмите Show Details.

    116143-config-cise-posture-26.jpg


    Выходные данные показывают, что ClamWin не установлен и не обновлен. Некоторые Windows важные обновления не установлены.

    116143-config-cise-posture-27.jpg

  10. Нажмите Go To Link для установки антивируса от сервера исправления.

    116143-config-cise-posture-28.jpg

  11. Нажмите Run и продолжите установку ClamWin AV.

    116143-config-cise-posture-29.jpg

  12. После того, как антивирус установлен, приглашения Агента NAC для обновлений. Нажмите Update для получения файла свежего описания вирусов. Когда тот же экран представлен во второй раз, нажмите Update снова для установки обновлений Windows.

    116143-config-cise-posture-30.jpg


    Агент NAC связывается с вашим WSUS, чтобы проверить для и установить последние важные обновления.

    116143-config-cise-posture-31.jpg

  13. Нажмите Restart Now для завершения обновления.

    116143-config-cise-posture-32.jpg


    116143-config-cise-posture-33.jpg

  14. После перезапуска система совместима.

    116143-config-cise-posture-34.jpg

Гость положение CWA (веб-агент NAC)

Это - процедура, которую выполняют пользователи, как только они соединяются с гостевым SSID с включенным положением.

  1. Соединитесь со своим Гостевым SSID или не настраивайте dot1x на своей проводной сети.
  2. Откройте браузер и попытайтесь перейти к узлу.
  3. Браузер перенаправлен к гостевому порталу.
  4. Нажмите регистрацию Self и продолжите аутентификацию.

    116143-config-cise-posture-35.jpg

  5. Нажмите кнопку Принять для принятия AUP.

    116143-config-cise-posture-36.jpg

  6. Выберите Click для установки агента.

    116143-config-cise-posture-37.jpg


    116143-config-cise-posture-38.jpg

  7. Нажмите Click here, чтобы повторно посредничать.

    116143-config-cise-posture-39.jpg

  8. Нажмите Run и продолжите антивирусную установку.

    116143-config-cise-posture-40.jpg


    ПК, как теперь находят, совместим.

    116143-config-cise-posture-41.jpg

  9. Проверьте журналы аутентификации ISE, чтобы проверить, что динамическая авторизация успешно выполнилась и что вы совпадаете с профилем авторизации, отнесенным к совместимому статусу.

    116143-config-cise-posture-42.jpg

Вопросы и ответы

Параметры развертывания кроме клиентской инициализации

См. руководство пользователя платформы Cisco Identity Services Engine, выпуск 1.1x: инициализация клиентских компьютеров с программой установки MSI агента Cisco NAC.

Хост обнаружения к агенту NAC

Агент NAC достигает правильной Точки принятия решений о применении политики (PDP) ISE по-разному, в зависимости от того, определен ли хост обнаружения:

  1. Если не определен никакой хост обнаружения: Агент NAC передает запрос HTTP на порту 80 к шлюзу; этот трафик должен быть перенаправлен к ссылке обнаружения положения (CPP) для обнаружения для работы должным образом.
  2. Если определен хост обнаружения: Агент NAC передает запрос HTTP на порту 80 к хосту; этот трафик должен быть перенаправлен к ссылке обнаружения положения (CPP) для обнаружения для работы должным образом. Если существует проблема с перенаправлением, Агент NAC пытается непосредственно связаться с хостом обнаружения, определенным на порту 8905; подтверждение состояния не гарантируется, потому что информация о сеанса может не быть доступной на этом PDP, пока группы узла не определены, и PDP в той же группе.

Браузеры сотрудника Настроены с Прокси

  1. Если вы не используете клиентскую инициализацию, и PC сотрудника настроены с прокси, нет никакой потребности в изменениях, так как пакеты обнаружения положения передаются на порту 80 и обходят параметры прокси.
  2. При использовании клиента, настраивающего сервис, вносите эти изменения в конфигурацию коммутатора и в WLC для прерывания трафика HTTP на определенном порту прокси.
    • Настройка прокси на порту 8080 на коммутаторе:

      ip http port 8080ip port-map http port 8080
    • WLC Настройки прокси. По умолчанию WLC перехватывает запросы HTTP с портом 80 TCP - получателя только. Если вы хотите перехватить другой трафик HTTP на порту 8080, эта команда должна быть настроена через интерфейс командной строки (CLI):

      config Network web -auth port 8080

Примечание: Коммутаторы позволяют перенаправление на одном порту. Поэтому, если вы задаете другой порт для перенаправления коммутатора, сбоев обнаружения положения, и трафик положения передается хосту обнаружения, определенному в NACAgentCFG.xml (Профиль агента NAC).

DACL и ACL Перенаправления

ACL перенаправления является обязательным для клиента, настраивающего, Центральной веб-аутентификации и Обнаружения Положения. Однако DACL используется, чтобы ограничить доступ к сети и применен только к неперенаправленному трафику.

Для решения этой ситуации вы можете:

  1. Определите только ACL перенаправления и перенаправьте весь трафик, что вы хотите быть отброшенными (как сделано в примере).
  2. Определите ACL перенаправления, который менее строг, и примените DACL, который фильтрует трафик, который не перенаправлен.
  3. Определите ACL перенаправления и примените VLAN, которая ограничивает доступ к сети. Это - лучший подход, потому что трафик виртуальной локальной сети (VLAN) может фильтроваться осведомленным о приложении межсетевым экраном.

Агент NAC не появляется

  1. Проверьте ISE оперативная аутентификация и проверьте, что аутентификация совпадает с вашим профилем авторизации положения.
  2. От клиентского компьютера откройте cmd. Введите nslookup и проверьте, что можно решить ISE имя хоста PDP.
  3. От вашего клиентского браузера введите https://ise-hostname:8905/auth/discovery и удостоверьтесь, что вы получаете ISE FQDN как ответ.

Если все эти шаги успешны и если ваша конфигурация коммутатора или WLC соответствует этому документу, ваши следующие шаги должны быть:

  • Используйте Wireshark для начала перехвата на ПК.
  • Сервис Агента NAC перезапуска.
  • Соберите Cisco регистрируют поставщика программного блока.
  • Найдите NACAgentCFG.xml в Каталоге Agent NAC.

Свяжитесь с Центром технической поддержки Cisco, как только вы собрали захват пакета, журналы Агента NAC, файл конфигурации NACAgentCFG и журналы Windows Event Viewer.

Неспособный обратиться к WSUS для исправления

При использовании WSUS 3.0 SP2, и Агент NAC неспособен обратиться к обновлениям Windows WSUS, проверить, что у вас есть последнее исправление установленного WSUS. Это исправление является обязательным для Windows - клиентов для просмотра обновлений от WSUS.

Проверьте, что вы в состоянии обратиться к этому файлу: http://ip wsus/selfupdate/iuident.cab.

См. Windows Server Update Services 3.0 SP2 Пошаговое Руководство для дополнительных сведений.

Не имейте внутреннего управляемого WSUS

Можно все еще использовать Серверы Windows Update при настройке правила исправления положения.

Клиенту нужно разрешить обратиться к этим узлам, таким образом, не должны быть перенаправлены эти URL:

  • http://windowsupdate.microsoft.com
  • http://*.windowsupdate.microsoft.com
  • https://*.windowsupdate.microsoft.com
  • http://*.update.microsoft.com
  • https://*.update.microsoft.com
  • http://*.windowsupdate.com
  • http://download.windowsupdate.com
  • http://*.download.windowsupdate.com
  • http://wustat.windows.com
  • http://ntservicepack.microsoft.com
  • http://stats.microsoft.com
  • https://stats.microsoft.com

Никакая ошибка проверки подлинности, замеченная в ISE оперативные журналы

Вы могли бы испытать желание создать правило политики авторизации, что триггеры при условии несовместимого клиента для ограничения доступа. Однако вы не будете видеть, что сбои попытки аутентификации, пока таймер исправления не истекает, особенно при использовании веб-Агента. Фактически, агент замечает несоблюдение и запускает таймер исправления.

ISE уведомлен, что положение было сбоем только, когда таймер исправления истекает, или пользователь нажимает Cancel. Поэтому это - полезный прием для предоставления доступа по умолчанию ко всем клиентам, который обеспечивает исправление, но блокирует любую другую форму доступа.

Проверка

Некоторые процедуры проверки включены в предыдущие разделы.

Устранение неполадок

Некоторые процедуры устранения проблем включены в предыдущие разделы.



Document ID: 116143