VPN-Inline-Status mit iPEP ISE und ASA

Download-Optionen

  • PDF     (371.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (404.1 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (781.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:19. März 2013
Dokument-ID:115724

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument enthält Informationen zum Einrichten eines Inline-Status mit einer Adaptive Security Appliance (ASA) und einer Identity Services Engine (ISE).

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf Version 8.2(4) für die ASA und Version 1.1.0.665 für die ISE.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Hintergrundinformationen

Die ISE bietet zahlreiche AAA-Services (Status, Profilerstellung, Authentifizierung usw.). Einige Netzwerkgeräte (NAD) unterstützen RADIUS Change Of Authorization (CoA), mit dem das Autorisierungsprofil eines Endgeräts dynamisch auf Basis des Status- oder Profilergebnisses geändert werden kann. Andere NADs wie die ASA unterstützen diese Funktion noch nicht. Dies bedeutet, dass eine ISE im Inline Posture Enforcement Mode (iPEP) ausgeführt wird, um die Netzwerkzugriffsrichtlinie eines Endgeräts dynamisch zu ändern.

Das Grundkonzept besteht darin, dass der gesamte Benutzerdatenverkehr den iPEP durchläuft, wobei der Knoten auch als Radius-Proxy fungiert.

Grundlegender Datenfluss

  1. VPN-Benutzer meldet sich an.

  2. ASA sendet die Anforderung an den iPEP-Knoten (ISE).

  3. Der iPEP schreibt die Anforderung neu (indem er Cisco AV-PAIR-Attribute hinzufügt, um anzugeben, dass es sich um eine iPEP-Authentifizierung handelt) und sendet die Anforderung an den ISE Policy Node (PDP).

  4. Die PDP antwortet zurück auf das iPEP, das an die NAD weiterleitet.

  5. Wenn der Benutzer authentifiziert ist, MUSS die NAD eine Accounting-Start-Anfrage senden (siehe CSCtz84826 ). Dadurch wird der Start der Sitzung auf dem iPEP ausgelöst. In dieser Phase wird der Benutzer zur Statusüberprüfung umgeleitet. Darüber hinaus müssen Sie Interim-Accounting-Update für Tunnel aktivieren, die vom WEBVPN-Portal aus erstellt wurden, da die ISE erwartet, dass das Attribut "framed-ip-address" im Radius-Accounting vorhanden ist. Bei der Verbindung mit dem Portal ist die VPN-IP-Adresse des Clients jedoch noch nicht bekannt, da der Tunnel nicht eingerichtet ist. Dadurch wird sichergestellt, dass die ASA Zwischenaktualisierungen sendet, z. B. wenn der Tunnel eingerichtet wird.

  6. Der Benutzer durchläuft die Statusüberprüfung und aktualisiert die Sitzung anhand der Ergebnisse mithilfe von CoA auf dem iPEP.

Dieser Screenshot veranschaulicht diesen Prozess:

vpn-inpost-asa-01.gif

Beispieltopologie

vpn-inpost-asa-02.gif

ASA-Konfiguration

Die ASA-Konfiguration ist ein einfaches IPSEC-Remote-VPN: 

!
interface Ethernet0/0
nameif ISE
security-level 50
ip address 192.168.102.253 255.255.255.0 
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 10.48.39.236 255.255.255.0 
!
access-list split extended permit ip 192.168.0.0 255.255.0.0 any 
!
aaa-server ISE protocol radius
interim-accounting-update 

!--- Mandatory if tunnel established from WEBVPN Portal

aaa-server ISE (ISE) host 192.168.102.254  

!--- this is the iPEP IP
 
key cisco
crypto ipsec transform-set TS1 esp-aes esp-sha-hmac 
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map DMAP1 10 set transform-set TS1
crypto dynamic-map DMAP1 10 set reverse-route
crypto map CM1 10 ipsec-isakmp dynamic DMAP1
crypto map CM1 interface outside
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
!
ip local pool VPN 192.168.5.1-192.168.5.100
!
group-policy DfltGrpPolicy attributes
dns-server value 192.168.101.3  

!--- The VPN User needs to be able to resolve the CN from the !--- ISE HTTPS Certificate (which is sent in the radius response)

vpn-tunnel-protocol IPSec svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
address-pools value VPN
!
tunnel-group cisco general-attributes
address-pool VPN
authentication-server-group ISE
accounting-server-group ISE 

!--- Does not work without this (see introduction)

!
tunnel-group cisco ipsec-attributes
pre-shared-key cisco
!
route outside 0.0.0.0 0.0.0.0 10.48.39.5 1
route ISE 192.168.0.0 255.255.0.0 192.168.102.254 1 

!--- You need to make sure the traffic to the local subnets !--- are going through the inline ISE

!

ISE-Konfiguration

iPEP-Konfiguration

Zuerst muss eine ISE als iPEP-Knoten hinzugefügt werden. Weitere Informationen zum Prozess finden Sie unter:

http://www.cisco.com/en/US/docs/security/ise/1.1/user_guide/ise_ipep_deploy.html#wp1110248.

Dies ist im Wesentlichen, was Sie in den verschiedenen Registerkarten konfigurieren müssen (Screenshots in diesem Abschnitt veranschaulichen dies):

  • Konfigurieren Sie nicht vertrauenswürdige IP- und globale IP-Einstellungen (in diesem Fall nicht vertrauenswürdige IP 192.168.102.254).

  • Die Bereitstellung erfolgt im Routing-Modus.

  • Legen Sie einen statischen Filter fest, damit die ASA die iPEP-Box durchlaufen darf (andernfalls wird die Verbindung zur/von der ISE über die iPEP-Box verworfen).

  • Konfigurieren Sie die Richtlinien-ISE als Radius-Server und die ASA als Radius-Client.

  • Fügen Sie dem VPN-Subnetz eine Route hinzu, die auf die ASA verweist.

  • Legen Sie die Überwachungs-ISE als Protokollierungshost fest (standardmäßig Port 20514). in diesem Fall wird auch die Richtlinie ISE überwacht).

Wichtige Zertifikatkonfigurationsanforderungen:

Bevor Sie versuchen, einen iPEP-Knoten zu registrieren, stellen Sie sicher, dass die folgenden Anforderungen für die Verwendung des Zertifikats Extended Key erfüllt sind. Wenn die Zertifikate auf den iPEP- und Admin-Knoten nicht ordnungsgemäß konfiguriert sind, wird der Registrierungsvorgang abgeschlossen. Sie verlieren jedoch den Administratorzugriff auf den iPEP-Knoten. Die folgenden Details wurden aus dem iPEP-Bereitstellungsleitfaden ISE 1.1.x extrapoliert:

Das Vorhandensein bestimmter Attributkombinationen in den lokalen Zertifikaten der Knoten Administration und Inline Posture kann die gegenseitige Authentifizierung verhindern.

Die Attribute sind:

  • Extended Key Usage (EKU) - Serverauthentifizierung

  • Extended Key Usage (EKU) - Client-Authentifizierung

  • Netscape Cert Type - SSL Server Authentication

  • Netscape Zertifikattyp - SSL Client Authentication

Für das Administrationszertifikat ist eine der folgenden Kombinationen erforderlich:

  • Beide EKU-Attribute sollten deaktiviert werden, wenn beide EKU-Attribute im Inline Posture Certificate deaktiviert sind, oder beide EKU-Attribute sollten aktiviert werden, wenn das Server-Attribut im Inline Posture Certificate aktiviert ist.

  • Beide Netscape Cert Type-Attribute sollten deaktiviert oder beide aktiviert werden.

Für das Inline Posture-Zertifikat ist eine der folgenden Kombinationen erforderlich:

  • Beide EKU-Attribute sollten deaktiviert oder beide aktiviert werden, oder das Serverattribut allein sollte aktiviert werden.

  • Beide Netscape Cert Type-Attribute sollten deaktiviert oder beide aktiviert oder das Serverattribut allein aktiviert werden.

  • Wenn für die Knoten Administration und Inline-Status selbstsignierte lokale Zertifikate verwendet werden, müssen Sie das selbstsignierte Zertifikat des Administrationsknotens in der Liste Vertrauenswürdigkeit des Knotens Inline-Status installieren. Wenn in der Bereitstellung sowohl primäre als auch sekundäre Administrationsknoten vorhanden sind, müssen Sie das selbstsignierte Zertifikat beider Administrationsknoten in der Liste Vertrauenswürdigkeit des Knotens Inline Posture (Inline Status) installieren.

  • Wenn lokale Zertifikate mit CA-Vorzeichen auf den Knoten "Administration" und "Inline Status" verwendet werden, sollte die gegenseitige Authentifizierung ordnungsgemäß funktionieren. In diesem Fall wird das Zertifikat der signierenden CA vor der Registrierung auf dem Knoten Administration installiert, und dieses Zertifikat wird auf den Knoten Inline Status repliziert.

  • Wenn von CA ausgegebene Schlüssel zum Sichern der Kommunikation zwischen den Administration-Knoten und den Inline-Status-Knoten verwendet werden, müssen Sie vor dem Registrieren des Inline-Status-Knotens den öffentlichen Schlüssel (CA-Zertifikat) aus dem Administrationsknoten der CA-Zertifikatliste des Inline-Status-Knotens hinzufügen.

Grundlegende Konfiguration:

vpn-inpost-asa-03.gif

Konfiguration des Bereitstellungsmodus:

vpn-inpost-asa-04.gif

Filterkonfiguration:

vpn-inpost-asa-05.gif

Radius-Konfiguration:

vpn-inpost-asa-06.gif

Statische Routen:

vpn-inpost-asa-07.gif

Protokollierung:

vpn-inpost-asa-08.gif

Konfiguration von Authentifizierung und Status

Es gibt drei Statuszustände:

  • Unbekannt: Status noch nicht festgelegt

  • Entspricht: Status ist hergestellt, und das System ist konform.

  • Nicht konform: Status ist festgelegt, aber das System hat mindestens eine Überprüfung nicht bestanden.

Jetzt müssen die Autorisierungsprofile erstellt werden (dies sind Inline Authorization Profile: Dadurch wird das Attribut ipep-authz=true im Cisco AV-Paar hinzugefügt), das für die verschiedenen Fälle verwendet wird.

In der Regel gibt das unbekannte Profil die Umleitungs-URL (Statuserkennung) zurück, die den Datenverkehr des Benutzers an die ISE weiterleitet und die Installation des NAC Agent anfordert. Wenn der NAC Agent bereits installiert ist, kann seine HTTP Discovery-Anfrage an die ISE weitergeleitet werden.

In diesem Profil wird eine ACL verwendet, die mindestens HTTP-Datenverkehr zur ISE und DNS zulässt.

Die konformen und nicht konformen Profile geben normalerweise eine herunterladbare ACL zurück, um dem Netzwerk auf Basis des Benutzerprofils Zugriff zu gewähren. Ein nicht konformes Profil kann es den Benutzern ermöglichen, z. B. auf einen Webserver zuzugreifen, um einen Antivirus-Computer herunterzuladen, oder einen beschränkten Netzwerkzugriff gewähren.

In diesem Beispiel werden die Profile Unknown (Unbekannt) und Compliant (Kompatibel) erstellt, und das Vorhandensein von notepad.exe als Anforderungen wird überprüft.

Statusprofilkonfiguration

Zunächst müssen die herunterladbaren ACLs (dACL) und Profile erstellt werden:

Hinweis: Der dACL-Name muss nicht mit dem Profilnamen übereinstimmen.

  • Entspricht

    • ACL: ipep-unbekannt

    • Autorisierungsprofil: ipep-unbekannt

  • Nicht konform

    • ACL: ipep-nicht konform

    • Autorisierungsprofil: ipep-nicht konform

Unbekannte dACL:

vpn-inpost-asa-09.gif

Unbekanntes Profil:

vpn-inpost-asa-10.gif

Compliance-dACL:

vpn-inpost-asa-11.gif

Kompatibles Profil:

vpn-inpost-asa-12.gif

Autorisierungskonfiguration

Nachdem das Profil erstellt wurde, müssen Sie die Radius-Anforderung aus dem iPEP abgleichen und die richtigen Profile darauf anwenden. Die iPEP ISEs werden mit einem speziellen Gerätetyp definiert, der in den Autorisierungsregeln verwendet wird:

NADs:

vpn-inpost-asa-13.gif

Autorisierung:

vpn-inpost-asa-14.gif

Hinweis: Wenn der Agent nicht auf dem Computer installiert ist, können Sie Clientbereitstellungsregeln definieren.

Ergebnis

vpn-inpost-asa-15.gif

Sie werden aufgefordert, den Agent zu installieren (in diesem Beispiel ist die Client-Bereitstellung bereits festgelegt):

vpn-inpost-asa-16.gif

Einige Ergebnisse in dieser Phase: 

ciscoasa# show vpn-sessiondb remote 
 
Session Type: IPsec
Username     : cisco                  Index        : 26
Assigned IP  : 192.168.5.2            Public IP    : 10.48.39.134
Protocol     : IKE IPsec
License      : IPsec
Encryption   : AES128                 Hashing      : SHA1
Bytes Tx     : 143862                 Bytes Rx     : 30628
Group Policy : DfltGrpPolicy          Tunnel Group : cisco
Login Time   : 13:43:55 UTC Mon May 14 2012
Duration     : 0h:09m:37s
Inactivity   : 0h:00m:00s
NAC Result   : Unknown
VLAN Mapping : N/A                    VLAN         : none

Und von iPEP: 

w-ise-ipep-1/admin# show pep table session 

Current Sessions (IP, MAC(if available), Profile ID, VLAN (if any)):
192.168.5.2 00:00:00:00:00:00 2 0 
w-ise-ipep-1/admin# show pep table accesslist normal 
#ACSACL#-IP-ipep-unknown-4fb10ac2:
deny tcp any host 192.168.101.1 eq 80
deny tcp any host 192.168.101.1 eq 443
permit ip any host 192.168.101.1
permit udp any any eq 53

Sobald der Agent heruntergeladen und installiert wurde:

Der Agent sollte die ISE automatisch erkennen und die Statusüberprüfung durchführen (vorausgesetzt, Sie haben die Statusregeln bereits definiert, was ein anderes Thema ist). In diesem Beispiel ist die Haltung erfolgreich, und es wird Folgendes angezeigt:

vpn-inpost-asa-17.gif

vpn-inpost-asa-18.gif

Hinweis: Der Screenshot oben enthält zwei Authentifizierungen. Da die iPEP-Box die ACLs jedoch zwischenspeichert, wird sie nicht jedes Mal heruntergeladen.

iPEP: 

w-ise-ipep-1/admin# show pep table session 
 
Current Sessions (IP, MAC(if available), Profile ID, VLAN (if any)):
192.168.5.2 00:00:00:00:00:00 3 0 
w-ise-ipep-1/admin# show pep table accesslist normal 
#ACSACL#-IP-PERMIT_ALL_TRAFFIC-4f57e406:
permit ip any any
 
#ACSACL#-IP-ipep-unknown-4fb10ac2:
deny tcp any host 192.168.101.1 eq 80
deny tcp any host 192.168.101.1 eq 443
permit ip any host 192.168.101.1
permit udp any any eq 53
w-ise-ipep-1/admin#

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
19-Mar-2013
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Bastien Migette
    Cisco TAC Engineer.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.