Configure el 2.1 ISE y el control de la postura USB de AnyConnect 4.3

Opciones de descarga

  • PDF     (1.9 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.8 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.2 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:7 de junio de 2016
ID del documento:200508

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar el Cisco Identity Services Engine (ISE) para proporcionar el acceso total a la red solamente cuando los dispositivos de almacenaje USB masivo son disconnected.

Prerequisites

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Conocimiento básico de la configuración CLI del dispositivo de seguridad (ASA) y de la configuración VPN adaptantes del Secure Socket Layer (SSL)
  • Conocimiento básico de la configuración del VPN de acceso remoto en el ASA
  • Conocimiento básico del ISE y de los servicios de la postura

Componentes Utilizados

Versión 2.1 del Cisco Identity Services Engine (ISE) junto con el control y la corrección seguros del almacenaje USB masivo de los soportes del cliente 4.3 de la movilidad de AnyConnect. La información que contiene este documento se basa en estas versiones de software:

  • Versiones de software de Cisco ASA 9.2(4) y posterior
  • Versión 7 de Microsoft Windows con la versión 4.3 y posterior del Cliente de movilidad Cisco AnyConnect Secure
  • Cisco ISE, 2.1 de la versión y posterior

Configurar

Diagrama de la red

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-00.png

El flujo es el siguiente:

  • El usuario no está conectado con el VPN todavía, se enchufa el dispositivo de almacenaje USB masivo privado y contento está disponible para el usuario
  • Autentican a la sesión de VPN iniciada por el cliente de AnyConnect vía el ISE. El estatus de la postura del punto final no se sabe, se golpea la regla “Posture_Unknown” y como consecuencia la sesión será reorientada al ISE
  • Los controles USB introducen una nueva clase de postura de los incorporares AC ISE, en que monitorean continuamente el punto final mientras siga habiendo en la misma red controlada ISE. La única acción lógica de la corrección disponible es bloquear los dispositivos USB identificados por su letra de la unidad
  • La sesión de VPN en el ASA es actualizada, reorienta el ACL se quita y se concede el acceso total

Han presentado la sesión de VPN apenas como un ejemplo. Las funciones de la postura están trabajando muy bien también para otros tipos del acceso.

ASA

El ASA se configura para el acceso del telecontrol SSL VPN usando el ISE como servidor de AAA. El CoA del radio junto con reorienta el ACL necesita ser configurado:

aaa-server ISE21 protocol radius
 authorize-only
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE21 (outside) host 10.48.23.88
 key cisco



tunnel-group RA type remote-access
tunnel-group RA general-attributes
 address-pool POOL
 authentication-server-group ISE21
 accounting-server-group ISE21
 default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
 group-alias RA enable



webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-4.3.00520-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 error-recovery disable
group-policy GP-SSL internal
group-policy GP-SSL attributes
 dns-server value 10.62.145.72
 vpn-tunnel-protocol ssl-client



access-list ACL_WEBAUTH_REDIRECT extended deny udp any any eq domain 
access-list ACL_WEBAUTH_REDIRECT extended deny ip any host 10.48.23.88 
access-list ACL_WEBAUTH_REDIRECT extended deny icmp any any 
access-list ACL_WEBAUTH_REDIRECT extended permit tcp any any

Para más detalles satisfaga se refieren:

Integración de AnyConnect 4.0 con el ejemplo de configuración de la versión 1.3 ISE

ISE

Paso 1. Dispositivo de red de la configuración

De la administración > de los recursos de red > de los dispositivos de red > Add ASA.

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-01.png

Paso 2. Condiciones y directivas de la postura de la configuración

Aseegurese las condiciones de la postura son actualizado: La administración > el sistema > las configuraciones > la postura > se pone al día > opción de la actualización ahora.

El 2.1 ISE viene con una condición preconfigurada USB, que marca si un dispositivo de almacenaje USB masivo está conectado.

De la directiva > de los elementos de la directiva > condiciona > postura > condición USB verifican la condición existente:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-02.png

De la directiva > de los elementos de la directiva > resulta > la postura > los requisitos, verifican el requisito preconfigurado que utiliza esa condición.

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-03.png

De la directiva > de la postura, agregue una condición para que todo el Windows utilice ese requisito:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-04.png

De la directiva > de los elementos de la directiva > resultan > las acciones de la postura > de la corrección > las correcciones USB verifican la acción preconfigurada de la corrección para bloquear los dispositivos de almacenamiento USB:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-05.png

Paso 3. Recursos y directiva del aprovisionamiento del cliente de la configuración

De la directiva > de los elementos de la directiva > módulo de la conformidad de la descarga del aprovisionamiento > de los recursos del cliente de Cisco.com y de la carga manualmente el paquete de AnyConnect 4.3:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-06.png

Usando agregue > agente del NAC o el perfil de la postura de AnyConnect crea un perfil de la postura de AnyConnect (nombre: Anyconnect_Posture_Profile) con las configuraciones predeterminadas.

Usando agregue > configuración de AnyConnect agregan una configuración de AnyConnect (nombre: Configuración de AnyConnect):

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-07.png

De la directiva > del aprovisionamiento del cliente cree una nueva directiva (Windows_Posture) para que Windows utilice la configuración de AnyConnect:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-08.png

Paso 4. Reglas de la autorización de la configuración

De la directiva > de los elementos de la directiva > resulta > la autorización agrega un perfil de la autorización (nombre: Posture_Redirect) que reorienta a un portal de disposición del cliente predeterminado:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-09.png

Nota: ACL_WEBAUTH_REDIRECT ACL se define en el ASA.

De la directiva > de la autorización cree una regla de la autorización para el cambio de dirección. Una regla de la autorización para los dispositivos obedientes se preconfigura en el ISE:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-10.png

Si el punto final es obediente, se proporciona el acceso total. Si el estatus es desconocido o noncompliant, el cambio de dirección para el aprovisionamiento del cliente se vuelve.

Verificación

Ante el establecimiento de la sesión de VPN

El dispositivo USB enchufado, y su contenido está disponibles para el usuario.

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-11.png

Establecimiento de la sesión de VPN

Durante la autenticación, el ISE volverá reorienta la lista de acceso y reorienta el URL como parte del perfil de la autorización de Posture_Redirect

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-12.png

Una vez que establecen a la sesión de VPN, el tráfico ASA del cliente conseguirá reorientado según reorienta la lista de acceso:

BSNS-ASA5515-11# sh vpn-sessiondb detail anyconnect 

Session Type: AnyConnect Detailed

Username     : cisco                  Index        : 29
Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES128  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 14696                  Bytes Rx     : 18408
Pkts Tx      : 20                     Pkts Rx      : 132
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : GP-SSL                 Tunnel Group : RA
Login Time   : 15:57:39 CET Fri Mar 11 2016
Duration     : 0h:07m:22s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 0a3042ca0001d00056e2dce3
Security Grp : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 29.1
  Public IP    : 10.229.16.34
  Encryption   : none                   Hashing      : none                   
  TCP Src Port : 61956                  TCP Dst Port : 443                    
  Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 22 Minutes             
  Client OS    : win
  Client OS Ver: 6.1.7601 Service Pack 1
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 6701                   Bytes Rx     : 774                    
  Pkts Tx      : 5                      Pkts Rx      : 1                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
SSL-Tunnel:
  Tunnel ID    : 29.2
  Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
  Encryption   : AES128                 Hashing      : SHA1                   
  Encapsulation: TLSv1.0                TCP Src Port : 61957                  
  TCP Dst Port : 443                    Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 22 Minutes             
  Client OS    : Windows                
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 6701                   Bytes Rx     : 1245                   
  Pkts Tx      : 5                      Pkts Rx      : 5                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
DTLS-Tunnel:
  Tunnel ID    : 29.3
  Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
  Encryption   : AES128                 Hashing      : SHA1                   
  Encapsulation: DTLSv1.0               UDP Src Port : 55708                  
  UDP Dst Port : 443                    Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 26 Minutes             
  Client OS    : Windows                
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 1294                   Bytes Rx     : 16389                  
  Pkts Tx      : 10                     Pkts Rx      : 126                    
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
ISE Posture:
  Redirect URL : https://ISE21-1ek.example.com:8443/portal/gateway?sessionId=0a3042ca0001d00056e2dce3&portal=2b1ba210-e...
  Redirect ACL : ACL_WEBAUTH_REDIRECT

Aprovisionamiento del cliente

En esa etapa, el tráfico del buscador Web del punto final se reorienta al ISE para el aprovisionamiento del cliente:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-13.png

Si es necesario, AnyConnect junto con el módulo de la postura y de la conformidad es actualizado.

Control de la postura y CoA

El módulo de la postura se ejecuta, descubre ISE (puede ser que sea requerido para tener expediente DNS A para que enroll.cisco.com tenga éxito), descarga y marca las condiciones de la postura, nueva acción del dispositivo USB del bloque OPSWAT v4. El mensaje configurado será visualizado para el usuario:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-14.png

Una vez que se confirma el mensaje, el dispositivo USB está no más disponible para el usuario:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-15.png

El ASA quita el cambio de dirección ACL que proporciona al acceso total. AnyConnect señala la conformidad:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-16.png

También los informes detallados sobre el ISE pueden confirmar que las condiciones requeridas están pasadas.

Evaluación de la postura por la condición:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-17.png

Evaluación de la postura por el punto final:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-18.png

Detalles del informe del punto final:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-19.png

Troubleshooting

El ISE puede proporcionar los detalles en las condiciones que fallan, las acciones se debe tomar por consiguiente.

Referencias

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Eugene Korneychuk
    Ingeniero del TAC de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos