Configuración del acceso seguro para la evaluación de estado de RA-VPNaaS con ISE

Actualizado:12 de abril de 2024
ID del documento:221882

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar la evaluación de estado para usuarios de VPN de acceso remoto con Identity Service Engine (ISE) y Secure Access.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    Componentes Utilizados

    La información de este documento se basa en: 

    • Parche 1 de Identity Service Engine (ISE) versión 3.3
    • Acceso seguro
    • Cisco Secure Client - Anyconnect VPN Versión 5.1.2.42

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Secure Access - ISE - Diagrama de flujoSecure Access - ISE - Diagrama

    La integración de Cisco Secure Access con Identity Services Engine (ISE) proporciona un enfoque de seguridad integral que aprovecha los diferentes protocolos de autenticación, incluido MS-CHAPv2, para proteger las conexiones. Cisco Secure Access, con su solución avanzada Security Service Edge (SSE), mejora la conectividad segura en entornos hiperdistribuidos, ofreciendo funciones como VPN as a Service (VPNaaS), que se pueden proteger mediante las funciones de ISE.

    Esta integración permite una experiencia de acceso segura y sin problemas, lo que permite a los usuarios conectarse a cualquier aplicación, en cualquier lugar, con un rendimiento y una seguridad optimizados. La utilización de las funciones avanzadas de Cisco ISE, como la evaluación de estado, refuerza aún más este modelo de seguridad al evaluar la conformidad de los PC con las políticas internas del usuario antes de permitir el acceso. Esto garantiza que solo los dispositivos que cumplen los requisitos de seguridad de la organización puedan acceder a los recursos de la red, lo que reduce el riesgo de vulnerabilidades.

    icono de nota

    Nota: Para configurar la integración RADIUS, debe asegurarse de que tiene comunicación entre ambas plataformas.

    Diagrama de la red

    Acceso seguro - ISE - Diagrama de red

    Configurar

    icono de nota

    Nota: antes de comenzar el proceso de configuración, debe completar los Primeros pasos con Secure Access e integración con ISE.

    Configuración de Secure Access

    Configuración del Grupo Radius en los Pools IP

    Para configurar el perfil VPN mediante Radius, siga con los siguientes pasos: 

    Desplácese hasta el panel de acceso seguro.

    • Haga clic en Connect > Enduser Connectivity > Virtual Private Network
    • En Configuración del grupo (Manage IP Pools), haga clic enManage
      •

    Acceso seguro: gestión de grupos de IP

    • Elija el IP Pool Region y configure el Radius Server
      •

    Acceso seguro - POP - Administrar grupo de IP

    • Haga clic en el lápiz para editarlo
      •

    Acceso seguro: botón Editar

    • Ahora, en el menú desplegable de configuración de la sección Pool IP, en Radius Group (Optional)
    • Haga clic en Add RADIUS Group
      •

    Acceso seguro - Grupos RADIUS

    Acceso seguro - Configuración de Radius

    • En General, configure las siguientes opciones: 
      •

    Acceso seguro - Radius AAA

    • Group Name: configure un nombre para la integración de ISE en Secure Access
      • AAA method
        • Authentication: marque la casilla de verificación para Authentication y seleccione el puerto, de forma predeterminada, es 1812
          • En caso de que su autenticación requiera Microsoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2) marcar la casilla de verificación
        • Authorization: Marque la casilla de verificación Authorization y seleccione el puerto, de forma predeterminada, es 1812
          • Marque la casilla de verificación de Authorization mode Only Change of Authorization (CoA) mode y para permitir el estado y los cambios desde ISE
        • Accounting: marque la casilla de verificación de Autorización y seleccione el puerto, de forma predeterminada, es 1813
          • Elija Single or Simultaneous (en modo único, los datos de cuentas se envían a un solo servidor. En modo simultáneo, contabilizando datos en todos los servidores del grupo)
          • Marque la casilla de verificación Accounting update para habilitar la generación periódica de mensajes de actualización de cuentas provisionales de RADIUS.
            •
    icono de precaución

    Precaución: tanto el Authenticationmétodo como los Authorization métodos, cuando se seleccionan, deben utilizar el mismo puerto.
    • Después de eso, debe configurar el RADIUS Servers (ISE) que se utiliza para autenticarse a través de AAA en la sección RADIUS Servers:
    • Haga clic en + Add
      •

    Acceso seguro: servidores Radius

    • A continuación, configure las siguientes opciones:
      •

    Acceso seguro - Configuración del servidor Radius

    • Server Name: configure un nombre para identificar su servidor ISE.
    • IP Address: configure la IP de su dispositivo Cisco ISE a la que se puede acceder a través de Secure Access
    • Secret Key: Configure la clave secreta RADIUS
    • Password: Configure la contraseña de Radius
      •
    • Haga clic Save y asigne su servidor Radius en la Assign Serveropción y seleccione su servidor ISE:
      •

    Servidores Radius - Asignar servidores

    • Haga clic de Save nuevo para guardar toda la configuración realizada
      •

    Servidores Radius - Servidores asignados

    Ahora que ha configurado el servidor ISE en el grupo de IP, debe configurarlo en el VPN Profiles.

    Grupo de administración: Radius asignado

    Configure su perfil de VPN para utilizar ISE

    Para configurar el perfil VPN, navegue hasta el panel de acceso seguro.

    • Haga clic en Connect > Enduser Connectivity > Virtual Private Network
    • VPN Profiles Clic Inferior + Add
    • A continuación, configure las siguientes opciones:
      •

    Configuración general

    Acceso seguro - RA-VPN - Configuración general

    • VPN Profile name: configure un nombre para el nombre de su perfil
    • Default Domain: configure su dominio.
    • DNS Server: Elija el servidor de nombres de dominio (DNS) que ha configurado
    • Protocol: Configure los protocolos que necesita permitir en la VPN
    • Connect Time posture: elija una postura o déjela como Ninguna
      •
    • A continuación, haga clic en Next
      •

    Autenticación, autorización y contabilidad

    Autenticación

    Acceso seguro - RA-VPN - Autenticación

    • Authentication
      • Protocols: Elegir Radius
      • Map authentication groups to regions: Elija las regiones y elija su Radius Groups
        •
    • Haga clic en Next
      •
    icono de nota

    Nota: Debe marcar todas las regiones y seleccionar los grupos de radios si tiene varias regiones. Si no lo hace, el Next botón aparecerá atenuado.

    Después de configurar todas las partes de autenticación, continúe con la autorización.

    Autorización

    Acceso seguro - RA-VPN - Autorización

    • Authorization
      • Enable Radius Authorization: marque la casilla de verificación para activar la autorización de RADIUS
      • Seleccione un grupo para todas las regiones: marque la casilla de verificación para utilizar un servidor RADIUS específico para todos los grupos de acceso remoto - Red privada virtual (RA-VPN) o defínalo para cada grupo por separado
        •
    • Haga clic en Next
      •

    Después de configurar toda la Authorization pieza, continúe con la Accounting.

    icono de nota

    Nota: Si no activa esta opción, Radio Authorizationla postura no funcionará.

    Contabilidad

    Acceso seguro - RA-VPN - Contabilidad

    • Accounting
      • Map Authorization groups to regions: Elija las regiones y elija su Radius Groups
    • Haga clic en Next
      •

    After you have done configured the Authentication, Authorization and Accounting continúe conTraffic Steering.

    Dirección de tráfico

    En la sección de dirección del tráfico, debe configurar el tipo de comunicación a través de Secure Access.

    Acceso seguro - RA-VPN - MODO VPN

    • Si lo desea, Connect to Secure Accesstodo el tráfico de Internet se dirige a través de Secure Access
      •

    Acceso seguro - RA-VPN - Conexión a acceso seguro

    Si desea agregar exclusiones para dominios de Internet o IP, haga clic en el + Add botón y, a continuación, haga clic en Next.

    • Si así lo decide, Bypass Secure Accesstodo el tráfico de Internet pasa a través de su proveedor de Internet, no a travésSecure Access de (Sin protección de Internet)
      •

    Secure Access - RA-VPN - All Traffic is Steered outside the Tunnel

    icono de nota

    Nota: añada el estado enroll.cisco.com de ISE cuando lo desee Bypass Secure Access.

    En este paso, seleccione todos los recursos de red privada a los que desea acceder a través de la VPN. Para ello, haga clic en + Addy, a continuación, haga clic Next cuando haya agregado todos los recursos.

    Configuración de Cisco Secure Client

    Acceso seguro - RA-VPN - Configuraciones de cliente seguras

    En este paso, puede mantener todo como predeterminado y hacer clic en Save, pero si desea personalizar más su configuración, consulte la Guía de Cisco Secure Client Administrator.

    Configuraciones de ISE

    Configurar lista de dispositivos de red

    Para configurar la autenticación a través de Cisco ISE, debe configurar los dispositivos permitidos que pueden realizar consultas a su Cisco ISE:

    • Desplácese hasta Administration > Network Devices
    • Haga clic en + Add 
      •

    ISE - Lista de dispositivos de red - CSA

    • Name: utilice un nombre para identificar el acceso seguro
    • IP  Address: Configure el Management Interface del paso, IP Pool Region
    • Device Profile: Elija Cisco
      • Radius Authentication Settings
        • Shared Secret: Configure el mismo secreto compartido configurado en el paso Clave secreta
        • CoA Port: déjelo como valor predeterminado; 1700 también se utiliza en Secure Access
          •

    Después de hacer clic en Save, para comprobar si la integración funciona correctamente, vaya a crear un usuario local para la verificación de la integración.

    Configurar un grupo

    Para configurar un grupo para utilizarlo con usuarios locales, siga estos pasos:

    • Haga clic en Administration > Groups
    • Haga clic en User Identity Groups
    • Haga clic en + Add
    • Cree un Namepara el grupo y haga clic en Submit
      •

    ISE - Grupo de identidad de usuario

    Configurar usuario local

    Para configurar un usuario local para verificar su integración:

    • Desplácese hasta Administration > Identities
    • Haga clic en Add +
      •

    ISE - Usuario local

    ISE - Lista de dispositivos de red

    • Username: Configure el nombre de usuario con un aprovisionamiento UPN conocido en Secure Access; esto se basa en el paso Prerrequisitos
    • Status:Activo
    • Password Lifetime: Puede configurarlo With Expiration o, Never Expiresen función de usted
    • Login Password: cree una contraseña para el usuario
    • User Groups: Seleccione el grupo creado en el paso Configurar un grupo
      •
    icono de nota

    Nota: La autenticación basada en UPN está configurada para cambiar en las próximas versiones de Secure Access.

    Después de esto, puede Save modificar la configuración y continuar con el paso Configure Policy Set.

    Configurar conjunto de políticas

    En el conjunto de políticas, configure la acción que ISE lleva a cabo durante la autenticación y la autorización. Este escenario muestra el caso práctico de configurar una política simple para proporcionar acceso de usuario. En primer lugar, ISE verifica el origen de las autenticaciones RADIUS y comprueba si las identidades existen en la base de datos de usuarios de ISE para proporcionar acceso

    Para configurar esa política, navegue hasta el panel de Cisco ISE: 

    • Haga clic en Policy > Policy Sets
    • Haga clic en + para agregar un nuevo conjunto de políticas
      •

    ISE - Conjunto de políticas

    En este caso, cree un nuevo conjunto de directivas en lugar de trabajar con el predeterminado. A continuación, configure la Autenticación y la Autorización basadas en ese conjunto de políticas. La política configurada permite el acceso al dispositivo de red definido en el paso Configure Network Devices List para verificar que estas autenticaciones provienen CSA Network Device List y luego ingresan a la política como Conditions. Y finalmente, los Protocolos permitidos, como Default Network Access.

    Para crear el condition que coincida con el conjunto de directivas, continúe con las siguientes instrucciones:

    • Haga clic en +
    • En Condition Studio, la información disponible incluye: 
      •

    ISE - Estudio condicional

    1. Para crear las condiciones, haga clic en Click to add an attribute
    2. Haga clic en el Network Device botón 
    3. En las opciones siguientes, haga clic en Network Access - Network Device Name opción
    4. En la opción Equals (Igual que), escriba el nombre del Network Device en el paso Configure Network Devices List (Configurar lista de dispositivos de red)
    5. Haga clic en Save
      6.

    ISE - Estudio condicional 2

    Esta política solo aprueba la solicitud del origen CSApara continuar con la configuración Authentication y Authorization configuración bajo el conjunto de políticas CSA-ISE, y también verifica los protocolos permitidos en función de la Default Network Access para los protocolos permitidos.

    El resultado de la política definida debe ser: 

    ISE - Estudio condicional 3

    • Para verificar los Default Network Access Protocols permisos, siga con las siguientes instrucciones: 
      • Haga clic enPolicy > Results
      • Haga clic en Allowed Protocols
      • Haga clic en Default Network Access
        •

    ISE - Estudio condicional 4

    • A continuación, verá todos los protocolos permitidos en Default Network Access
      •

    Configurar autenticación y autorización del conjunto de políticas

    Para crear el Authenticationy la Authorization directiva en la Policy Set, siga estos pasos:

    • Haga clic en >
      •

    ISE - Conjunto de políticas - CSA ISE

    • A continuación, se muestran los Authentication y las Authorization directivas: 
      •

    ISE - Conjunto de políticas - CSA ISE - Políticas

    Política de autenticación

    Para la política de autenticación, puede configurar de muchas maneras. En este caso, verá una política para el dispositivo definido en el paso Configure Network Devices List, y verificará la autenticación basada en criterios específicos: 

    • Los usuarios autenticados a través de Network Device CSA tienen una autenticación correcta o rechazada.
      •

    ISE - Conjunto de políticas - CSA ISE - Autenticación

    La política es la misma definida en el paso Configure Policy Set.

    Política de autorización

    Puede configurar la directiva de autorización de varias maneras. En este caso, autorice sólo a los usuarios del grupo definido en el paso Configurar un grupo.Vea el siguiente ejemplo para configurar su política de autorización:

    ISE - Conjunto de políticas - CSA ISE - Autorización

    • Haga clic en Authorization Policy
    • Haga clic en + para definir la política de autorización de la siguiente manera: 
      •

    ISE - Conjunto de políticas - CSA ISE - Autorización 2

    • Para el siguiente paso, cambie el Rule Name, Conditionsy Profiles
    • Al establecer la Name configuración de un nombre para identificar fácilmente la directiva de autorización 
    • Para configurar el Condition, haga clic en el botón +
    • En Condition Studio, encontrará la información siguiente: 
      •

    ISE - Estudio condicional

    1. Para crear las condiciones, haga clic en Click to add an attribute
    2. Haga clic en el Identity Group botón 
    3. En las opciones siguientes, haga clic en Internal User - IdentityGroup option
    4. En la Equals opción, utilice el menú desplegable para buscar el Group aprobado para la autenticación en el paso Configurar un grupo
    5. Haga clic en Save
    6. Haga clic en Use
      7.

    ISE - Conjunto de políticas - CSA ISE - Autorización 3

    Después de esto, debe definir el Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.

    1. En la Authorization Policy, haga clic en el botón desplegable de Profiles
    2. Buscar por permiso
    3. Seleccionar PermitAccess
    4. Haga clic en Save
      5.

    ISE - Conjunto de políticas - CSA ISE - Autorización 4

    Después de eso, ha definido su política Authentication Authorization y . Autentique para verificar si el usuario se conecta sin problemas y si puede ver los registros en Secure Access e ISE.

    Para conectarse a la VPN, puede utilizar el perfil creado en Secure Access y conectarse a través de Secure Client con el perfil de ISE.

    • ¿Cómo se muestra el registro en Secure Access cuando se aprueba la autenticación? 

    Acceso seguro: usuario conectado

    • ¿Cómo se muestra el registro en ISE cuando se aprueba la autenticación?
      • Desplácese hasta el Cisco ISE Dashboard
      • Haga clic en Operations > Live Logs
        •

    Acceso seguro: registros en directo de Radius

    Configuración de usuarios de Radius Local o Active Directory

    Configuración del estado de ISE

    En esta situación, cree la configuración para verificar el cumplimiento de los terminales antes de conceder o denegar el acceso a los recursos internos.

    Para configurarlo, continúe con los siguientes pasos:

    Configurar condiciones de estado

    • Vaya a su panel de ISE
    • Haga clic en Work Center > Policy Elements > Conditions
    • Haga clic en Anti-Malware
      •
    icono de nota

    Nota: En ella encontrará muchas opciones para verificar el estado de sus dispositivos y realizar la evaluación correcta en función de sus políticas internas.

    ISE - Condición - Condiciones

    • En Anti-Malware Conditions, haga clic en + Add
      •

    ISE - Condición - Condiciones anti-malware

    • Configure el Anti-Malware Condition para detectar la instalación del antivirus en el sistema; también puede elegir la versión del sistema operativo si es necesario.
      •

    ISE - Estado - Condiciones anti-malware 2

    • Name: utilice un nombre para reconocer la condición anti-malware
    • Operating System: Elija el sistema operativo que desea poner bajo la condición
    • Vendor: elija un proveedor o ANY
    • Check Type: puede comprobar si el agente está instalado o la versión de definición de esa opción.
      •
    • Por ejemplo, Products for Selected Vendor, puede configurar lo que desea verificar sobre el antimalware en el dispositivo.
      •

    ISE - Condición - Condiciones anti-malware - Condición de línea de base

    1. Marque la casilla de verificación de las condiciones que desea evaluar
    2. Configurar la versión mínima para verificar
    3. Haga clic en Guardar para continuar con el paso siguiente
      4.

    Una vez configurado, puede continuar con el paso Configure Posture Requirements.

    Configurar requisitos de estado

    • Vaya a su panel de ISE
    • Haga clic en Work Center > Policy Elements > Requeriments
    • Haga clic en uno Edit de los requisitos y haga clic en Insert new Requirement
      •

    ISE - Estado - Acciones de remediación

    • En el nuevo requisito, configure los siguientes parámetros:
      •

    ISE - Estado - Requisitos

    • Name: configure un nombre para reconocer el requisito antimalware
    • Operating System: Seleccione el sistema operativo que desee en el paso de condición, Sistema operativo  
    • Compliance Module: Debe asegurarse de seleccionar el mismo módulo de cumplimiento que tiene en el paso de condición, Condición Anti-Malware
    • Posture Type: Elegir agente
    • Conditions: Seleccione la condición o condiciones que ha creado en el paso Configurar condiciones de postura
    • Remediations Actions: elija Message Text Only para este ejemplo o, si tiene otra acción de remediación, utilícela
    • Haga clic en Save
      •

    Una vez configurado, puede continuar con el paso, Configure Posture Policy

    Configurar política de estado

    • Vaya a su panel de ISE
    • Haga clic en Work Center > Posture Policy
    • Haga clic en una Edit de las directivas y haga clic en Insert new Policy
      •

    ISE - Insertar nueva política

    • En la nueva directiva, configure los siguientes parámetros:
      •

    ISE - Opciones de políticas

    • Status: marque la casilla de verificación no enable the policy
    • Rule Name: configure un nombre para reconocer la política configurada
    • Identity Groups: elija las identidades que desea evaluar
    • Operating Systems: elija el sistema operativo en función de la condición y los requisitos configurados anteriormente
    • Compliance Module: elija el módulo de conformidad en función de la condición y los requisitos configurados anteriormente
    • Posture Type: Elegir agente
    • Requeriments: Elija los requisitos configurados en el paso, Configure Posture Requirements
    • Haga clic en Save
      •

    Configurar el aprovisionamiento de clientes

    Para proporcionar a los usuarios el módulo ISE, configure el aprovisionamiento del cliente para equipar los equipos con el módulo de estado ISE. Esto le permite verificar el estado de las máquinas una vez que se ha instalado el agente. Para continuar con este proceso, estos son los siguientes pasos:

    Vaya al panel de ISE.

    • Haga clic en Work Center > Client Provisioning
    • Elegir Resources
      •

    Hay tres cosas que debe configurar en el aprovisionamiento de clientes:

    Recursos para configurar

    Descripción

    1. Agent Resources

    Paquete Secure Client Web Provisioning.

    2. Compliance Module

    Módulo de cumplimiento de Cisco ISE

    3. Agent Profile

    Control del perfil de aprovisionamiento.

    3. Agent Configuration

    Defina qué módulos se aprovisionan configurando el portal de aprovisionamiento mediante el perfil de agente y los recursos de agente.

    Step 1 Descargar y cargar recursos de agente

    • Para agregar un nuevo recurso de agente, navegue hasta el portal de descarga de Cisco y descargue el paquete de despliegue web; el archivo de despliegue web debe tener el formato .pkg.
      •

    CISCO - Implementación web

    • Haga clic en + Add > Agent resources from local disk y cargue los paquetes
      •

    ISE: recursos de agente del disco local

    Step 2Descargue el módulo de conformidad 

    • Haga clic en + Add > Agent resources from Cisco Site
      •

    ISE: recursos de agentes del sitio de Cisco

    • Marque la casilla de cada módulo de conformidad necesario y haga clic en Save
      •

    ISE - Descargar recursos remotos

    Step 3Configuración del perfil de agente

    • Haga clic en + Add > Agent Posture Profile
      •

    ISE - Perfil de estado del agente

    • Cree un Name para el Posture Profile
      •

    ISE - Perfil de estado del agente 2

    • En Reglas de nombre de servidor, coloque una * y haga clic Save después de ella
      •

    ISE: protocolo de posición

    Step 4 Configuración de la configuración del agente

    • Haga clic en + Add > Agent Configuration
      •

    jmorenoc_0-1712071678317

    • Después de eso, configure los siguientes parámetros: 
      •

    jmorenoc_2-1712071868425

    jmorenoc_3-1712072698677

    icono de nota

    Nota: se recomienda que cada sistema operativo, Windows, Mac OS o Linux, tenga una configuración de cliente independiente.

    Configurar directiva de aprovisionamiento de clientes

    Para habilitar el aprovisionamiento del estado de ISE y los módulos configurados en el último paso, debe configurar una política para realizar el aprovisionamiento.

    • Vaya a su panel de ISE
    • Haga clic en Work Center > Client Provisioning
      •
    icono de nota

    Nota: se recomienda que cada sistema operativo, Windows, Mac OS o Linux, tenga una política de configuración de cliente.

    Habilitación - Redirección del portal

    • Rule Name: configure el nombre de la política según el tipo de dispositivo y la selección del grupo de identidad para tener una manera fácil de identificar cada política
    • Identity Groups: elija las identidades que desea evaluar en la política
    • Operating Systems: elija el sistema operativo en función del paquete de agentes seleccionado en el paso Seleccionar paquete de agentes
    • Other Condition: Elija Network Access en función del Authentication MethodEQUALS al método configurado en el paso, Agregar grupo RADIUS o puede dejar en blanco
    • Result: Seleccione la configuración del agente en el paso 4 Configuración de la configuración del agente 
      • Native Supplicant Configuration: Elija Config Wizard y Wizard Profile
    • Marque la directiva como habilitada si no aparece como habilitada en la casilla de verificación.
      •

    Crear los perfiles de autorización

    El perfil de autorización limita el acceso a los recursos en función del estado de los usuarios después de la autenticación. La autorización debe verificarse para determinar a qué recursos puede acceder el usuario en función del estado.

    Perfil de autorización

    Descripción

    Conforme

    Compatible con el usuario - Agente instalado - Verificación de estado

    Conformidad desconocida

    Cumplimiento desconocido por el usuario - Redireccionamiento para instalar el agente - Estado pendiente de verificación

    DenegarAcceso

    Usuario no conforme - Denegar acceso

    Para configurar la DACL, navegue hasta el panel de ISE:

    • Haga clic en Work Centers > Policy Elements > Downloadable ACLs
    • Haga clic en +Add
    • Cree el Compliant DACL
      •

    ISE - DACL - Conforme a CSA

    • Name: agregue un nombre que haga referencia a DACL-Compliant
    • IP version: Elegir IPv4
    • DACL Content: cree una lista de control de acceso (DACL) descargable que proporcione acceso a todos los recursos de la red
      •  
    permit ip any any

    Haga clic Save y cree la DACL de conformidad desconocida

    • Haga clic en Work Centers > Policy Elements > Downloadable ACLs
    • Haga clic en +Add
    • Cree el Unknown Compliant DACL
      •

    ISE - DACL - CSA-Redirect_To_ISE

    • Name: agregue un nombre que haga referencia a DACL-Unknown-Compliant
    • IP version: Elegir IPv4
    • DACL Content: Cree una DACL que ofrezca acceso limitado a la red, DHCP, DNS, HTTP y el portal de aprovisionamiento a través del puerto 8443
      •  

    permit udp any any eq 67
permit udp any any eq 68 
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
    icono de nota

    Nota: en esta situación, la dirección IP 192.168.10.206 corresponde al servidor de Cisco Identity Services Engine (ISE) y el puerto 8443 está designado para el portal de aprovisionamiento. Esto significa que se permite el tráfico TCP a la dirección IP 192.168.10.206 a través del puerto 8443, lo que facilita el acceso al portal de aprovisionamiento.

    En este momento, dispone de la DACL necesaria para crear los perfiles de autorización.

    Para configurar los perfiles de autorización, navegue hasta el panel de ISE:

    • Haga clic en Work Centers > Policy Elements > Authorization Profiles
    • Haga clic en +Add
    • Cree el Compliant Authorization Profile
      •

    ISE - Perfil de autorización - Compatible con CSA

    ISE - Perfil de autorización - Compatible con DACL CSA

    • Name: cree un nombre que haga referencia al perfil de autorización compatible
    • Access Type: Elegir ACCESS_ACCEPT
      •

    • Common Tasks

    Haga clic Save y cree el Unknown Authorization Profile

    • Haga clic en Work Centers > Policy Elements > Authorization Profiles
    • Haga clic en +Add
    • Cree el Uknown Compliant Authorization Profile
      •

    ISE - Perfil de autorización - CSA-Unknown-Compliant

    ISE - Perfil de autorización - DACL CSA_Redirect_To_ISE

    ISE - Perfil de autorización - Redirección web

    • Name: cree un nombre que haga referencia al perfil de autorización conforme desconocido
    • Access Type: Elegir ACCESS_ACCEPT
      •

    • Common Tasks
      • DACL NAME: Elija la DACL configurada en el paso DACL conforme a desconocido
      • Web Redirection (CWA,MDM,NSP,CPP)
        • Elegir Client Provisioning (Posture)
        • ACL: debe ser redirect
        • Value: seleccione el portal de aprovisionamiento predeterminado o, si ha definido otro, selecciónelo
          •
    icono de nota

    Nota: El nombre de la ACL de redirección en Secure Access para todas las implementaciones es redirect.

    Después de definir todos estos valores, debe tener algo similar debajo de Attributes Details.

    ISE - Perfil de autorización - Detalles de atributos

    Haga clic Save para finalizar la configuración y continuar con el siguiente paso.

    Configurar conjunto de políticas de estado

    Estas tres políticas que crea se basan en los perfiles de autorización que ha configurado; por DenyAccessejemplo, no necesita crear otra.

    Conjunto de políticas - Autorización

    Perfil de autorización

    Conforme

    Perfil de autorización: compatible

    Conformidad desconocida

    Perfil de autorización: compatibilidad desconocida

    No conforme

    DenegarAcceso

    Vaya a su panel de ISE

    • Haga clic en Work Center > Policy Sets
    • Haga clic en > elpara acceder a la política que ha creado
      •

    ISE - Conjunto de políticas - CSA - ISE

    • Haga clic en el Authorization Policy
      •

    ISE - Conjunto de políticas - Política de autorización

    • Cree las tres políticas siguientes en el orden siguiente:
      •

    ISE - Conjunto de políticas - Políticas de autorización

    • Haga clic en + para definir la CSA-Compliance política: 
      •

    ISE - Conjunto de políticas - Regla de autorización

    • Para el siguiente paso, cambie el Rule Name, Conditionsy Profiles
    • Al establecer la Name configuración de un nombre en CSA-Compliance
    • Para configurar el Condition, haga clic en el botón +
    • En Condition Studio, encontrará la información siguiente: 
      •

    ISE - Estudio condicional

    1. Para crear la condición, busque compliant
    2. Usted debe haber mostrado Compliant_Devices
    3. Arrastre y suelte debajo del Editor
    4. Para crear la segunda condición, busque network
    5. Usted debe haber mostrado Network_Access_Authentication_Passed
    6. Arrastre y suelte debajo del Editor
    7. Haga clic debajo del Editor botón en New
    8. Haga clic en el Identity Group icono
    9. Elegir Internal User Identity Group
    10. En Equals, elija el elemento User Identity Group que desee que coincida
    11. Haga clic en Use
      12.

    ISE - Estudio de condiciones - Dispositivos compatibles

    • Como resultado, tiene la siguiente imagen
      •

    ISE - Estudio de condiciones - Dispositivos compatibles 2

    ISE - Estudio de condiciones - Dispositivos compatibles 3

    Ahora ya ha configurado el Compliance Policy Set.

    • Haga clic en + para definir la CSA-Unknown-Compliance política: 
      •

    ISE - Conjunto de políticas - Regla de autorización

    • Para el siguiente paso, cambie el Rule Name, Conditionsy Profiles
    • Al establecer la Name configuración de un nombre en CSA-Unknown-Compliance
    • Para configurar el Condition, haga clic en el botón +
    • En Condition Studio, encontrará la información siguiente: 
      •

    ISE - Estudio condicional

    1. Para crear la condición, busque compliance
    2. Usted debe haber mostrado Compliant_Unknown_Devices
    3. Arrastre y suelte debajo del Editor
    4. Para crear la segunda condición, busque network
    5. Usted debe haber mostrado Network_Access_Authentication_Passed
    6. Arrastre y suelte debajo del Editor
    7. Haga clic debajo del Editor botón en New
    8. Haga clic en el Identity Group icono
    9. Elegir Internal User Identity Group
    10. En Equals, elija el elemento User Identity Group que desee que coincida
    11. Haga clic en Use
      12.

    jmorenoc_0-1713112783946

    • Como resultado, tiene la siguiente imagen
      •

    ISE - Estudio de condiciones - Compatible con Unknown 2

    ISE - Estudio de condiciones - Conformidad con Unknown 3

    Ahora ya ha configurado el Unknown Compliance Policy Set.

    • Haga clic en + para definir la CSA- Non-Compliant política: 
      •

    ISE - Conjunto de políticas - Regla de autorización

    • Para el siguiente paso, cambie el Rule Name, Conditionsy Profiles
    • Al establecer la Name configuración de un nombre en CSA-Non-Compliance
    • Para configurar el Condition, haga clic en el botón +
    • En Condition Studio, encontrará la información siguiente: 
      •

    ISE - Estudio condicional

    1. Para crear la condición, busque non
    2. Usted debe haber mostrado Non_Compliant_Devices
    3. Arrastre y suelte debajo del Editor
    4. Para crear la segunda condición, busque network
    5. Usted debe haber mostrado Network_Access_Authentication_Passed
    6. Arrastre y suelte debajo del Editor
    7. Haga clic debajo del Editor botón en New
    8. Haga clic en el Identity Group icono
    9. Elegir Internal User Identity Group
    10. En Equals, elija el elemento User Identity Group que desee que coincida
    11. Haga clic en Use
      12.

    jmorenoc_1-1713112812001

    • Como resultado, tiene la siguiente imagen
      •

    ISE - Estudio de condiciones - No conforme 2

    • En haga Profile clic en el botón desplegable y seleccione el perfil de autorización de la queja DenyAccess
      •

    ISE - Estudio de condiciones - No conforme 3

    Una vez finalizada la configuración de los tres perfiles, estará listo para probar su integración con el estado.

    Verificación

    Validación de estado

    Conexión en el equipo

    Conéctese al dominio FQDN RA-VPN proporcionado en Acceso seguro a través de Cliente seguro.

    Nota: no se debe instalar ningún módulo ISE para este paso.

    1. Conéctese mediante Secure Client.

    Cliente seguro - Conexión

    2. Proporcione las credenciales para autenticar.

    Cliente seguro - Nombre de usuario - Contraseña

    3. En este momento, te conectas a la VPN y, probablemente, te redirigen a ISE; si no, puedes intentar navegar hasta http:1.1.1.1.

    Cliente seguro - Conexión VPN

    Secure Client - Portal de aprovisionamiento

    icono de nota

    Nota: en este momento se encuentra en el grupo de políticas de autorización CSA-Unknown-Compliance porque no tiene el agente de estado de ISE instalado en el equipo y se le redirige al portal de aprovisionamiento de ISE para instalar el agente.

    4. Haga clic en Iniciar para continuar con el aprovisionamiento de agentes.

    Cliente seguro: comprobación de seguridad del dispositivo

    5. Haga clic en + This is my first time here.

    Secure Client - Portal de aprovisionamiento - Es la primera vez que vengo

    6. Haga clic en Click here to download and install agent

    Secure Client - Portal de aprovisionamiento - Descargar

    7. Instale el agente 

    Secure Client - Portal de aprovisionamiento - Descargar 2

    Secure Client - Instalación finalizada

    8. Después de instalar el agente, el estado de ISE comienza a verificar el estado actual de las máquinas. Si no se cumplen los requisitos de la política, aparecerá una ventana emergente que le guiará hacia el cumplimiento.

    Cliente seguro: verificación de estado

    icono de nota

    Nota: Si Cancel usted o el tiempo restante finaliza, automáticamente se convierte en no conforme, cae bajo la política de autorización establecida como CSA-Non-Compliance, e inmediatamente se desconecta de la VPN.

    9. Instale Secure Endpoint Agent y conéctese de nuevo a la VPN.

    Cliente seguro: proceso de verificación de estado

    10. Una vez que el agente verifica que la máquina cumple los requisitos, su estado cambia para estar al día de la reclamación y dar acceso a todos los recursos de la red.

    icono de nota

    Nota: una vez que cumpla los requisitos, quedará incluido en el conjunto de políticas de autorización CSA-Compliance y tendrá acceso inmediatamente a todos los recursos de red.

    Cómo recopilar registros en ISE

    Para comprobar el resultado de la autenticación de un usuario, tiene dos ejemplos de conformidad e incumplimiento. Para revisarlo en ISE, siga estas instrucciones:

    • Vaya a su panel de ISE
    • Haga clic en Operations > Live Logs
      •

    ISE - Registros en directo de Radius - Cumplimiento de estado

    El siguiente escenario tho muestra cómo se muestran los eventos de cumplimiento e incumplimiento con éxito en Live Logs:

    Conformidad

    ISE - Registros en directo de Radius - Conformidad

    Incumplimiento

    ISE - Registros en directo de Radius - Incumplimiento

    Primeros pasos con acceso seguro e integración con ISE

    En el siguiente ejemplo, Cisco ISE se encuentra en la red 192.168.10.0/24, y la configuración de las redes a las que se puede acceder a través del túnel debe agregarse en la configuración del túnel.

    Step 1: Compruebe la configuración del túnel:

    Para verificarlo, navegue hasta el panel de acceso seguro.

    • Haga clic en Connect > Network Connections
    • Haga clic en Network Tunnel Groups > Su túnel
      •

    Acceso seguro - Configuración del túnel

    • En summary (Resumen), verifique que el túnel haya configurado el espacio de direcciones donde se encuentra Cisco ISE:
      •

    Acceso seguro - Configuración de túnel - Intervalo de direcciones IP

    Step 2: permite el tráfico en el firewall.

    Para permitir que Secure Access utilice el dispositivo ISE para la autenticación Radius, debe haber configurado una regla de Secure Access en la red con los puertos Radius necesarios:

    Regla

    Fuente

    Destino

    Puerto de Destino

    ISE para proteger el acceso

    Grupo de gestión

    Servidor_ISE

    Grupo de IP de gestión (RA-VPN)

    COA

    UDP 1700 (puerto predeterminado)

    Gestión de acceso seguro Grupo de IP a ISE

    Grupo IP de administración

    Servidor_ISE

    Autenticación, autorización

    UDP 1812 (puerto predeterminado)

    Contabilidad

    UDP 1813 (puerto predeterminado)

    Conjunto IP de terminales de acceso seguro a ISE

    Conjunto IP de terminales

    Servidor_ISE

    Portal de aprovisionamiento

    TCP 8443 (puerto predeterminado)

    Conjunto IP de terminales de acceso seguro al SERVIDOR DNS

    Conjunto IP de terminales

    Servidor DNS

    DNS

    UDP y TCP 53
    icono de nota

    Nota: Si desea conocer más puertos relacionados con ISE, consulte la Guía del usuario - Referencia de puertos.
    icono de nota

    Nota: se necesita una regla DNS si ha configurado ISE para que se detecte mediante un nombre, como ise.ciscosspt.es

    Grupos IP de terminales y grupos de gestión

    Para verificar el grupo IP de administración y de terminales, navegue hasta el panel de acceso seguro:

    • Haga clic en Connect > End User Connectivity
    • Haga clic en Virtual Private Network
    • Debajo Manage IP Pools
    • Haga clic en Manage
      •

    Acceso seguro - POP

    Paso 3: Compruebe que ISE está configurado en Recursos privados

    Para permitir que los usuarios conectados a través de la VPN accedan a ISE Provisioning Portal, debe asegurarse de que ha configurado el dispositivo como un recurso privado para proporcionar acceso, que se utiliza para permitir el aprovisionamiento automático de la red ISE Posture Module a través de la VPN.

    Para verificar que ISE está configurado correctamente, navegue hasta el panel de acceso seguro:

    • Haga clic en Resources > Private Resources
    • Haga clic en el recurso de ISE
      •

    Acceso seguro - Recurso privado

    Acceso seguro - Recurso privado - VPN

    Si es necesario, puede restringir la regla al puerto del portal de aprovisionamiento (8443).

    icono de nota

    Nota: Asegúrese de que ha marcado la casilla de verificación de las conexiones VPN.

    Paso 4: Permitir el acceso a ISE en la política de acceso

    Para permitir que los usuarios conectados a través de la VPN se desplacen a ISE Provisioning Portal, debe asegurarse de que ha configurado un para permitir Access Policy que los usuarios configurados bajo esa regla accedan al recurso privado configurado en Step3.

    Para verificar que ISE está configurado correctamente, navegue hasta el panel de acceso seguro:

    • Haga clic en Secure > Access Policy
    • Haga clic en la regla configurada para permitir el acceso de los usuarios VPN a ISE
      •

    Acceso seguro - Política de acceso

    Troubleshoot

    Cómo descargar registros de depuración de estado de ISE

    Para descargar registros de ISE para verificar un problema relacionado con el estado, continúe con los siguientes pasos: 

    • Vaya a su panel de ISE
    • Haga clic en Operations > Troubleshoot > Debug Wizard
      •

    ISE - Asistente de depuración

    • Haga clic en Debug Profile Configuration
      •

    ISE - Configuración del perfil de depuración

    • Marque la casilla de verificación de Posture > Debug Nodes 
      •

    ISE - Nodos de depuración

    • Marque la casilla de verificación de los nodos ISE en los que debe activar el modo de depuración para solucionar el problema
      •

    ISE - NODO DE DEPURACIÓN - Advertencia

    • Haga clic en Save
      •

    ISE - Nodos de depuración - Guardar

    icono de precaución

    Precaución: después de este punto, debe empezar a reproducir el problema; the debug logs can affect the performance of your device.

    Después de reproducir el problema, continúe con los siguientes pasos:

    • Haga clic en Operations > Download Logs
    • Elija el nodo del que desea tomar los registros
      •

    ISE - Lista de nodos de dispositivos

    • En Support Bundle, elija las siguientes opciones:
      •

    ISE - Incluir registros de depuración

    • Include debug logs
    • Debajo Support Bundle Encryption
      • Shared Key Encryption
        • Relleno Encryption key y Re-Enter Encryption key
    • Haga clic en Create Support Bundle
    • Haga clic en Download
      •

    ISE - Descargar registros

    icono de advertencia

    Advertencia: Desactive el modo de depuración habilitado en el paso Debug Profile Configuration

    Cómo verificar los registros de acceso remoto de acceso seguro

    Vaya al panel de acceso seguro:

    • Haga clic en Monitor > Remote Access Logs
      •

    Acceso seguro: registros de acceso remoto

    Generar paquete DART en Secure Client

    Para generar el paquete DART en su equipo, consulte el siguiente artículo: 

    Herramienta Cisco Secure Client Diagnostic and Reporting Tool (DART)

    icono de nota

    Nota: una vez que haya recopilado los registros indicados en la sección de solución de problemas, abra un caso con TAC para continuar con el análisis de la información.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    12-Apr-2024
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Jairo Moreno
      Technical Consulting Engineer
    • Emmanuel Cano Gutierrez
      Professional Services
    • Amit Arora
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos