Безопасность : Защищенный мобильный клиент Cisco AnyConnect Secure Mobility

Интеграция AnyConnect 4.0 с Примером конфигурации версии 1.3 ISE

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает новую функциональность в платформе Cisco Identity Services Engine (ISE) Версия 1.3, которая позволяет вам настраивать несколько модулей Клиента Secure Mobility Client AnyConnect и обеспечивать их автоматически к оконечной точке. Этот документ представляет, как настроить VPN, Менеджера доступа к сети (NAM) и модули Положения на ISE и выдвинуть их корпоративному пользователю.

Внесенный Михалом Гаркарзом, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Развертывания ISE, аутентификация и авторизация
  • Конфигурация контроллеров беспроводной локальной сети (WLC)
  • Основная VPN и знание 802.1x
  • Конфигурация VPN и профилей NAM с AnyConnect представляет редакторов

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Microsoft Windows 7
  • Версия 7.6 WLC Cisco и позже
  • Программное обеспечение ISE Cisco, версии 1.3 и позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Топология и поток

Вот поток:

Шаг 1. Корпоративный пользователь acceses идентификаторы наборов сервисов (SSID): Инициализация. Выполняет аутентификацию 802.1x с Защищенным от расширяемого протокола аутентификации EAP (PEAP EAP). С правилом авторизации Инициализации встречаются на ISE, и пользователь перенаправлен для Инициализации AnyConnect (через Клиент, Обеспечивающий Protal). Если AnyConnect не обнаружен на машине, все настроенные модули установлены (VPN, NAM, Положение). Вместе с тем профилем выдвинута конфигурация для каждого модуля.

Шаг 2 ---- -------------------------------- --------- . Как только AnyConnect установлен, пользователь должен перезагрузить ПК. После перезагрузки, выполнений AnyConnect и корректного SSID автоматически используется согласно настроенному профилю NAM (Secure_access). PEAP EAP используется (как пример, Transport Layer Security расширяемого протокола аутентификации (EAP-TLS) мог также использоваться). В то же время модуль Положения проверяет, совместима ли станция (проверки для существования c:\test.txt файла).

Шаг 3. Если статус положения станции неизвестен (никакой отчёт из модуля Положения), это все еще перенаправлено для инициализации, потому что с Неизвестным правилом Authz встречаются на ISE. Как только станция совместима, ISE передает изменение авторизации (CoA) к Контроллеру беспроводной локальной сети, который вызывает повторную проверку подлинности. Происходит вторая аутентификация, и Совместимое правило поражено в ISE, который предоставит пользователя полным доступом к сети.

В результате пользователь был обеспечен с VPN AnyConnect, NAM и модулями Положения, которые обеспечивают унифицированный доступ к сети.  Схожая функциональность может использоваться на Устройстве адаптивной защиты (ASA) для доступа VPN. В настоящее время ISE может сделать то же для любого типа доступа с очень гранулированным подходом.

Этот funcionality не ограничен корпоративными пользователями, но возможно наиболее распространено развернуть его для той группы пользователей.

Настройка

WLC

WLC настроен с двумя SSIDs:

  • Инициализация - [WPA + WPA2] [Аутентификация (802.1X)]. Этот SSID используется для инициализации AnyConnect.

  • Secure_access - [WPA + WPA2] [Аутентификация (802.1X)]. Этот SSID используется для безопасного доступа после того, как оконечная точка была обеспечена с модулем NAM, который настроен для того SSID.

ISE

Шаг 1. Добавьте WLC

Добавьте WLC к сетевым устройствам на ISE.

Шаг 2 ---- -------------------------------- --------- . Настройте профиль VPN

Настройте профиль VPN с Редактором Профиля AnyConnect для VPN.

Только одна запись была добавлена для доступа VPN. Сохраните тот XML-файл к VPN.xml.

Шаг 3. Настройте профиль NAM

Настройте профиль NAM с Редактором Профиля AnyConnect для NAM.

Только один SSID был настроен: secure_access. Сохраните тот XML-файл к NAM.xml.

Шаг 4. . Установите приложение

  1. Загрузите приложение вручную от Cisco.com.

    • anyconnect-win-4.0.00048-k9.pkg
    • anyconnect-win-compliance-3.6.9492.2.pkg


  2. На ISE перейдите к Политике> Результаты> Клиент, Обеспечивающий> Ресурсы, и добавьте Ресурсы агента От Локального диска.
  3. Выберите Cisco Provided Packages и выберите anyconnect-win-4.0.00048-k9.pkg:



  4. Повторите Шаг 4 для модуля соответствия.

Шаг 5. Установите Профиль VPN/NAM

  1. Перейдите к Политике> Результаты> Клиент, Обеспечивающий> Ресурсы, и добавьте Ресурсы агента От Локального диска.
  2. Выберите Customer Created Packages и введите Профиль AnyConnect. Выберите ранее созданный профиль NAM (XML-файл):



  3. Повторите подобные шаги для профиля VPN:

Шаг 6. Настройте положение

NAM и профили VPN должны быть настроены внешне с профилем AnyConnect редактор и импортированные в ISE. Но Положение полностью настроено на ISE.

Перейдите к Политике> Условия> Положение> Условие Файла. Вы видите, что было создано простое условие для существования файла. У вас должен быть тот файл, чтобы быть совместимыми с политикой, проверенной модулем Положения:

Это условие используется для требования:

И требование используется в политике Положения для систем Microsoft Windows:

Для получения дополнительной информации о конфигурации Положения, обратитесь к Posture Services на Руководстве по конфигурации ISE Cisco.

Как только политика Положения готова, пора добавить настройку агента Положения.

  1. Перейдите к Политике> Результаты> Клиент, Обеспечивающий> Ресурсы, и добавьте Агента Network Admission Control (NAC) или Профиль Положения Агента AnyConnect.

  2. Выберите AnyConnect (новый модуль Положения от Версии 1.3 ISE использовался вместо старого Агента NAC):



  3. От Раздела протокола Положения не забывайте добавлять *, чтобы позволить Агенту соединяться со всеми серверами.



  4. Если поле правил Имени сервера оставляют пустым, ISE не сохраняет настройки и сообщает об этой ошибке:

    Server name rules: valid value is required

Шаг 7. Настройте AnyConnect

На данном этапе все приложения (AnyConnect) и настройка профиля для всех модулей (VPN, NAM и Положение) были настроены. Пора связать его.

  1. Перейдите к Политике> Результаты> Клиент, Обеспечивающий> Ресурсы, и добавьте Конфигурацию AnyConnect.

  2. Настройте название и выберите модуль соответствия и все требуемые модули AnyConnect (VPN, NAM и Положение).

  3. В Выборе Профиля выберите профиль, настроенный ранее для каждого модуля.



  4. Модуль VPN является обязательным для всех других модулей для функционирования corrrectly. Даже если модуль VPN не будет выбран для установки, то он будет выдвинут и установлен у клиента. Если вы не хотите использовать VPN, существует возможность настроить специальный профиль для VPN, которая скрывает интерфейс пользователя для модуля VPN. Эти линии должны быть добавлены к файлу VPN.xml:

     <ClientInitialization>
    <ServiceDisable>true</ServiceDisable>
    </ClientInitialization>


  5. Этот вид профиля также установлен при использовании Setup.exe от пакета iso (anyconnect-win-3.1.06073-pre-deploy-k9.iso). Затем профиль VPNDisable_ServiceProfile.xml для VPN установлен вместе с конфигурацией, которая отключает интерфейс пользователя для модуля VPN.

Шаг 8. Клиент, обеспечивающий правила

На конфигурацию AnyConnect, созданную в Шаге 7, нужно сослаться в Клиенте, Обеспечивающем правила:

Клиент, Обеспечивающий Правила, решает, какое приложение будет выдвинуто клиенту. Только одно правило необходимо здесь, так что в итоге точки к конфигурации создали в Шаге 7. Таким образом, все оконечные точки Microsoft Windows, которые перенаправлены для Клиентской Инициализации, будут использовать конфигурацию AnyConnect со всеми модулями и профилями.

Шаг 9. Профили авторизации

Профиль Авторизации для клиента, обеспечивающего потребности, которые будут созданы. Клиент по умолчанию, Обеспечивающий Портал, используется:

Этот профиль вынуждает пользователей быть перенаправленными для инициализации Клиенту по умолчанию, Обеспечивающему Портал. Этот Портал оценивает Клиент Провизайонга Полики (правила, созданные в Шаге 8). Профили авторизации являются результатами Правил авторизации, настроенных в Шаге 10.

Список контроля доступа (ACL) GuestRedirect является названием ACL, определенного на WLC. Этот ACL решает, какой трафик должен быть перенаправлен к ISE. Для получения дополнительной информации обратитесь к Центральной веб-аутентификации с Примером конфигурации платформы Identity Services Engine и Коммутатором.

Существует также другой профиль Авторизации, который предоставляет ограниченный доступ к сети (DACL) для не соответствующих стандарту пользователей (названный LimitedAccess).

Шаг 10. Правила авторизации

Все те объединены в четыре Правила авторизации:

Сначала вы соединяетесь с SSID Инициализации и перенаправлены для инициализации Клиенту по умолчанию, Обеспечивающему Портал (правило назвало Инициализацию). Как только вы соединяетесь с SSID Secure_access, он все еще перенаправляет для инициализации, если никакой отчёт из модуля Положения не получен ISE (правило, названное Неизвестным). Как только оконечная точка полностью совместима, полный доступ предоставляют (Совместимое имя правила). Если об оконечной точке сообщают как не соответствующей стандарту, она ограничила доступ к сети (правило, названное NonCompliant).

Проверка.

Вы связываетесь с SSID Инициализации, пытаетесь обратиться к любой веб-странице и перенаправлены Клиенту, Обеспечивающему Портал:

Так как AnyConnect не обнаружен, вас просят установить его:

Загружено небольшое приложение под названием Помощник Сетевой установки, который ответственен за целый процесс установки. Заметьте, что это является другим, чем Помощник Сетевой установки в Версии 1.2.

Все модули (VPN, NAM и Положение) установлены и настроены. Необходимо перезагрузить ПК:

После перезагрузки автоматически выполняется AnyConnect, и NAM пытается связаться с secure_access SSID (согласно настроенному профилю). Заметьте, что профиль VPN правильно установлен (asav2 запись для VPN):

После аутентификации AnyConnect загружает обновления и также правила Положения, для которых выполнена проверка:

На данном этапе мог бы все еще быть ограниченный доступ (вы встречаетесь с Неизвестным Правилом авторизации на ISE). Как только станция совместима, о котором сообщает модуль Положения:

Подробные данные могут быть также проверены (FileRequirement удовлетворен):

Сообщение История показывает детализированные действия:

9:18:38 AM The AnyConnect Downloader is performing update checks...
9:18:38 AM Checking for profile updates...
9:18:38 AM Checking for product updates...
9:18:38 AM Checking for customization updates...
9:18:38 AM Performing any required updates...
9:18:38 AM The AnyConnect Downloader updates have been completed.
9:18:38 AM Update complete.
9:18:38 AM Scanning system ...
9:18:40 AM Checking requirement 1 of 1.
9:18:40 AM Updating network settings ...
9:18:48 AM Compliant.

 Успешный отчёт передается ISE, который вызывает Изменение Авторизации. Вторая аутентификация встречается с Совместимым правилом, и полный доступ к сети предоставляют. Если отчёт о Положении передается, в то время как все еще привязано к SSID Инициализации, эти журналы замечены на ISE:

Отчет о Положении указывает:

Подробные отчеты показывают FileRequirement, который удовлетворен:

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.