Configuración del acceso seguro para la evaluación de estado de RA-VPNaaS con ISE

Opciones de descarga

  • PDF     (8.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (8.8 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (6.9 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:12 de abril de 2024
ID del documento:221882

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar la evaluación de estado para usuarios de VPN de acceso remoto con Identity Service Engine (ISE) y Secure Access.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    Componentes Utilizados

    La información de este documento se basa en: 

    • Parche 1 de Identity Service Engine (ISE) versión 3.3
    • Acceso seguro
    • Cisco Secure Client - Anyconnect VPN Versión 5.1.2.42

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Secure Access - ISE - Flow DiagramSecure Access - ISE - Diagrama

    La integración de Cisco Secure Access con Identity Services Engine (ISE) proporciona un enfoque de seguridad integral que aprovecha los diferentes protocolos de autenticación, incluido MS-CHAPv2, para proteger las conexiones. Cisco Secure Access, con su solución avanzada Security Service Edge (SSE), mejora la conectividad segura en entornos hiperdistribuidos, ofreciendo funciones como VPN as a Service (VPNaaS), que se pueden proteger mediante las funciones de ISE.

    Esta integración permite una experiencia de acceso segura y sin problemas, lo que permite a los usuarios conectarse a cualquier aplicación, en cualquier lugar, con un rendimiento y una seguridad optimizados. La utilización de las funciones avanzadas de Cisco ISE, como la evaluación de estado, refuerza aún más este modelo de seguridad al evaluar la conformidad de los PC con las políticas internas del usuario antes de permitir el acceso. Esto garantiza que solo los dispositivos que cumplen los requisitos de seguridad de la organización puedan acceder a los recursos de la red, lo que reduce el riesgo de vulnerabilidades.

    note-icon

    Nota: Para configurar la integración RADIUS, debe asegurarse de que hay comunicación entre ambas plataformas.

    Diagrama de la red

    Secure Access - ISE - Network Diagram

    Configurar

    note-icon

    Nota: antes de comenzar el proceso de configuración, debe completar los Primeros pasos con Secure Access e integración con ISE.

    Configuración de Secure Access

    Configuración del Grupo Radius en los Pools IP

    Para configurar el perfil VPN mediante Radius, siga con los siguientes pasos: 

    Desplácese hasta el panel de acceso seguro.

    • Haga clic en Connect > Enduser Connectivity > Virtual Private Network
    • En Configuración del grupo (Manage IP Pools), haga clic enManage

    Secure Access - Manage IP Pools

    • Elija la IP Pool Region y configure la Radius Server

    Secure Access- POP - Manage IP Pool

    • Haga clic en el lápiz para editarlo

    Secure Access - Edit Button

    • Ahora, en el menú desplegable de configuración de la sección Pool IP, en Radius Group (Optional)
    • Haga clic en Add RADIUS Group

    Secure Access - RADIUS Groups

    Secure Access - Radius Configuration

    • En General, configure las siguientes opciones: 

    Secure Access - Radius AAA

    • Group Name: Configure un nombre para la integración de ISE en Secure Access
      • AAA method
        • Authentication: Marque la casilla de verificación para Authentication y seleccione el puerto, de forma predeterminada, es 1812
          • En caso de que su autenticación requieraMicrosoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)marcar la casilla de verificación
        • Authorization:  Marque la casilla de verificaciónAuthorizationy seleccione el puerto, de forma predeterminada, es 1812
          • Marque la casilla de verificación para Authorization mode Only y paraChange of Authorization (CoA) mode permitir el estado y los cambios desde ISE
        • Accounting: marque la casilla de verificación de Autorización y seleccione el puerto, de forma predeterminada, es 1813
          • Seleccione Single or Simultaneous (En modo único, los datos de cuentas se envían a un solo servidor. En modo simultáneo, contabilizando datos en todos los servidores del grupo)
          • Marque la casilla de verificación Accounting update para habilitar la generación periódica de mensajes de actualización de cuentas provisionales de RADIUS.
    caution-icon

    Precaución: Tanto elAuthenticationcomo los Authorization métodos, cuando se seleccionan, deben utilizar el mismo puerto.

    • Después de eso, debe configurar el RADIUS Servers (ISE) que se utiliza para autenticarse a través de AAA en la sección RADIUS Servers:
    • Haga clic en + Add

    Secure Access - Radius Servers

    • A continuación, configure las siguientes opciones:

    Secure Access - Radius Server Configuration

    • Server Name: Configure un nombre para identificar su servidor ISE.
    • IP Address: Configure la IP de su dispositivo Cisco ISE a la que se puede acceder a través de Secure Access
    • Secret Key: Configuración de la clave secreta RADIUS
    • Password: Configuración de la contraseña de Radius
    • Haga clic Save y asigne su servidor Radius en laAssign Serveropción y seleccione su servidor ISE:

    Radius Servers - Assign Servers

    • Vuelva Save a hacer clic para guardar toda la configuración realizada

    Radius Servers - Assigned Servers

    Ahora que ha configurado el servidor ISE en el grupo de IP, debe configurarlo en el VPN Profiles.

    Management Pool - Radius Assigned

    Configure su perfil de VPN para utilizar ISE

    Para configurar el perfil VPN, navegue hasta el panel de acceso seguro.

    • Haga clic en Connect > Enduser Connectivity > Virtual Private Network
    • DebajoVPN Profiles de clic + Add
    • A continuación, configure las siguientes opciones:

    Configuración general

    Secure Access - RA-VPN - General Settings

    • VPN Profile name: Configure un nombre para el nombre de su perfil
    • Default Domain: Configure el dominio.
    • DNS Server: Elija el servidor de nombres de dominio (DNS) que ha configurado
    • Protocol: Configure los protocolos que necesita permitir en la VPN
    • Connect Time posture: Elija una postura o déjela como Ninguna
    • Después de eso, haga clic en   Next

    Autenticación, autorización y contabilidad

    Autenticación

    Secure Access - RA-VPN - Authentication

    • Authentication
      • Protocols: Elegir Radius
      • Map authentication groups to regions: Elija las regiones y elija su Radius Groups
    • Haga clic en Next
    note-icon

    Nota: Debe marcar todas las regiones y seleccionar los grupos de radios si tiene varias regiones. Si no lo hace, el Next botón aparecerá atenuado.

    Después de configurar todas las partes de autenticación, continúe con la autorización.

    Autorización

    Secure Access - RA-VPN - Authorization

    • Authorization
      • Enable Radius Authorization: Marque la casilla de verificación para activar la autorización de RADIUS
      • Seleccione un grupo para todas las regiones: Marque la casilla de verificación para utilizar un servidor RADIUS específico para todos los grupos de acceso remoto - Red privada virtual (RA-VPN) o defínalo para cada grupo por separado
    • Haga clic en Next

    Después de configurar toda la Authorization pieza, continúe con la Accounting.

    note-icon

    Nota: Si no lo habilita, Radio Authorizationla postura no funcionará.

    Contabilidad

    Secure Access - RA-VPN - Accounting

    • Accounting
      • Map Authorization groups to regions: Elija las regiones y elija su Radius Groups
    • Haga clic en Next

    After you have done configured the Authentication, Authorization and Accounting please continue withTraffic Steering.

    Dirección de tráfico

    En la sección de dirección del tráfico, debe configurar el tipo de comunicación a través de Secure Access.

    Secure Access - RA-VPN - VPN MODE

    • Si lo desea, Connect to Secure Accesstodo el tráfico de Internet se dirige a través de Secure Access

    Secure Access - RA-VPN - Connect to Secure Access

    Si desea agregar exclusiones para dominios de Internet o IP, haga clic en el + Add botón y, a continuación, haga clic en Next.

    • Si así lo decide, Bypass Secure Accesstodo el tráfico de Internet pasa a través de su proveedor de Internet, no a travésSecure Accessde (Sin protección de Internet)

    Secure Access - RA-VPN - All Traffic is Steered outside the Tunnel

    note-icon

    Nota: Añada el estado enroll.cisco.com de ISE cuando lo desee Bypass Secure Access.

    En este paso, seleccione todos los recursos de red privada a los que desea acceder a través de la VPN. Para ello, haga clic en + Addy, a continuación, haga clic en Next cuando haya agregado todos los recursos.

    Configuración de Cisco Secure Client

    Secure Access - RA-VPN - Secure Client Configurations

    En este paso, puede mantener todo como predeterminado y hacer clic en Save, pero si desea personalizar más su configuración, consulte la Guía de Cisco Secure Client Administrator.

    Configuraciones de ISE

    Configurar lista de dispositivos de red

    Para configurar la autenticación a través de Cisco ISE, debe configurar los dispositivos permitidos que pueden realizar consultas a su Cisco ISE:

    • Vaya a  Administration > Network Devices
    • Haga clic en + Add 

    ISE - Network Device List - CSA

    • Name: Utilice un nombre para identificar el acceso seguro
    • IP  Address: Configure elManagement Interfacedel paso, IP Pool Region
    • Device Profile: Elija Cisco
      • Radius Authentication Settings
        • Shared Secret: Configure el mismo secreto compartido configurado en el paso Clave secreta
        • CoA Port: Déjelo como predeterminado; 1700 también se utiliza en Secure Access

    Después de hacer clic en Save, para comprobar si la integración funciona correctamente, vaya a crear un usuario local para la verificación de la integración.

    Configurar un grupo

    Para configurar un grupo para utilizarlo con usuarios locales, siga estos pasos:

    • Haga clic en Administration > Groups
    • Haga clic en User Identity Groups
    • Haga clic en + Add
    • Cree unNamepara el grupo y haga clic en Submit

    ISE - User Identity Group

    Configurar usuario local

    Para configurar un usuario local para verificar su integración:

    • Vaya a  Administration > Identities
    • Haga clic en Add +

    ISE - Local User

    ISE - Network Device List

    • Username: Configure el nombre de usuario con un aprovisionamiento UPN conocido en Secure Access; esto se basa en el paso Prerrequisitos
    • Status: Activo
    • Password Lifetime: Puede configurarlo With Expiration o, segúnNever Expiresusted
    • Login Password: Crear una contraseña para el usuario
    • User Groups: Elija el grupo creado en el paso Configurar un grupo
    note-icon

    Nota: La autenticación basada en UPN está configurada para cambiar en las próximas versiones de Secure Access.

    Después de esto, puede Save modificar la configuración y continuar con el paso Configure Policy Set.

    Configurar conjunto de políticas

    En el conjunto de políticas, configure la acción que ISE lleva a cabo durante la autenticación y la autorización. Este escenario muestra el caso práctico de configurar una política simple para proporcionar acceso de usuario. En primer lugar, ISE verifica el origen de las autenticaciones RADIUS y comprueba si las identidades existen en la base de datos de usuarios de ISE para proporcionar acceso

    Para configurar esa política, navegue hasta el panel de Cisco ISE: 

    • Haga clic en Policy > Policy Sets
    • Haga clic en + para agregar un nuevo conjunto de políticas

    ISE - Policy Set

    En este caso, cree un nuevo conjunto de directivas en lugar de trabajar con el predeterminado. A continuación, configure la Autenticación y la Autorización basadas en ese conjunto de políticas. La política configurada permite el acceso al dispositivo de red definido en el paso Configure Network Devices List para verificar que estas autenticaciones provienenCSA Network Device Listy luego ingresan a la política como Conditions. Y finalmente, los Protocolos permitidos, como Default Network Access.

    Para crear el condition que coincida con el conjunto de directivas, continúe con las instrucciones siguientes:

    • Haga clic en +
    • En Condition Studio, la información disponible incluye: 

    ISE - Conditional Studio

    1. Para crear las condiciones, haga clic en Click to add an attribute
    2. Haga clic en el Network Device botón 
    3. En las opciones siguientes, haga clic en Network Access - Network Device Name option
    4. En la opción Equals, escriba el nombre del Network Device en el paso Configure Network Devices List .
    5. Haga clic en Save

    ISE - Conditional Studio 2

    Esta política solo aprueba la solicitud del origenCSApara continuar con la configuración Authentication y la Authorization configuración bajo el conjunto de políticas CSA-ISE, y también verifica los protocolos permitidos en función de la  Default Network Access para los protocolos permitidos.

    El resultado de la política definida debe ser: 

    ISE - Conditional Studio 3

    • Para verificar los Default Network Access Protocols permisos permitidos, continúe con las siguientes instrucciones: 
      • Haga clic enPolicy > Results
      • Haga clic en Allowed Protocols
      • Haga clic en Default Network Access

    ISE - Conditional Studio 4

    • A continuación, verá todos los protocolos permitidos en Default Network Access

    Configurar autenticación y autorización del conjunto de políticas

    Para crear elAuthenticationy la Authorization directiva en la Policy Set, siga estos pasos:

    • Haga clic en >

    ISE - Policy Set - CSA ISE

    • A continuación, se muestran lasAuthenticationpolíticas y Authorization directivas: 

    ISE - Policy Set - CSA ISE - Policies

    Política de autenticación

    Para la política de autenticación, puede configurar de muchas maneras. En este caso, verá una política para el dispositivo definido en el paso Configure Network Devices List, y verificará la autenticación basada en criterios específicos: 

    • Los usuarios autenticados a través del Network Device CSA tienen una autenticación correcta o rechazada.

    ISE - Policy Set - CSA ISE - Authentication

    La política es la misma definida en el paso Configure Policy Set.

    Política de autorización

    Puede configurar la directiva de autorización de varias maneras. En este caso, autorice sólo a los usuarios del grupo definido en el paso Configurar un grupo.Vea el siguiente ejemplo para configurar su política de autorización:

    ISE - Policy Set - CSA ISE - Authorization

    • Haga clic en Authorization Policy
    • Haga clic en + para definir la política de autorización de la siguiente manera: 

    ISE - Policy Set - CSA ISE - Authorization 2

    • Para el siguiente paso, cambie elRule Name,ConditionsProfiles
    • Al establecer la Name configuración de un nombre para identificar fácilmente la directiva de autorización 
    • Para configurar el Condition, haga clic en el botón +
    • En Condition Studio, encontrará la información siguiente: 

    ISE - Conditional Studio

    1. Para crear las condiciones, haga clic en Click to add an attribute
    2. Haga clic en el Identity Group botón 
    3. En las opciones siguientes, haga clic en Internal UserIdentityGroup option
    4. En la Equals opción, utilice el menú desplegable para buscar la autenticación Groupaprobada en el paso Configurar un grupo
    5. Haga clic en Save
    6. Haga clic en Use

    ISE - Policy Set - CSA ISE - Authorization 3

    Después de esto, debe definir el Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.

    1. En la Authorization Policy, haga clic en el botón desplegable de Profiles
    2. Buscar por permiso
    3. Seleccionar PermitAccess
    4. Haga clic en Save

    ISE - Policy Set - CSA ISE - Authorization 4

    Después de eso, ha definido su política Authentication y las Authorization políticas. Autentique para verificar si el usuario se conecta sin problemas y si puede ver los registros en Secure Access e ISE.

    Para conectarse a la VPN, puede utilizar el perfil creado en Secure Access y conectarse a través de Secure Client con el perfil de ISE.

    • ¿Cómo se muestra el registro en Secure Access cuando se aprueba la autenticación? 

    Secure Access - User Connected

    • ¿Cómo se muestra el registro en ISE cuando se aprueba la autenticación?
      • Desplácese hasta el Cisco ISE Dashboard
      • Haga clic en Operations > Live Logs

    Secure Access - Radius Live Logs

    Configuración de usuarios de Radius Local o Active Directory

    Configuración del estado de ISE

    En esta situación, cree la configuración para verificar el cumplimiento de los terminales antes de conceder o denegar el acceso a los recursos internos.

    Para configurarlo, continúe con los siguientes pasos:

    Configurar condiciones de estado

    • Vaya a su panel de ISE
    • Haga clic en Work Center > Policy Elements > Conditions
    • Haga clic en Anti-Malware
    note-icon

    Nota: Allí, encontrará muchas opciones para verificar el estado de sus dispositivos y hacer la evaluación correcta basada en sus políticas internas.

    ISE - Posture - Conditions

    • En Anti-Malware Conditions, haga clic en + Add

    ISE - Posture - Anti-Malware Conditions

    • Configure elAnti-Malware Conditionpara detectar la instalación del antivirus en el sistema; también puede elegir la versión del sistema operativo si es necesario.

    ISE - Posture - Anti-Malware Conditions 2

    • Name: Utilice un nombre para reconocer la condición anti-malware
    • Operating System: Elija el sistema operativo que desea poner bajo la condición
    • Vendor: Elija un proveedor o ANY
    • Check Type: Puede comprobar si el agente está instalado o la versión de definición de esa opción.
    • Por ejemplo, Products for Selected Vendor, puede configurar lo que desea verificar sobre el antimalware en el dispositivo.

    ISE - Posture - Anti-Malware Conditions - Base Line Condition

    1. Marque la casilla de verificación de las condiciones que desea evaluar
    2. Configurar la versión mínima para verificar
    3. Haga clic en Guardar para continuar con el paso siguiente

    Una vez configurado, puede continuar con el paso Configure Posture Requirements.

    Configurar requisitos de estado

    • Vaya a su panel de ISE
    • Haga clic en Work Center > Policy Elements > Requeriments
    • Haga clic en uno Edit de los requisitos y haga clic en Insert new Requirement

    ISE - Posture - Remediation Actions

    • En el nuevo requisito, configure los siguientes parámetros:

    ISE - Posture - Requirements

    • Name: Configure un nombre para reconocer el requisito antimalware
    • Operating System: Elija el sistema operativo que elija en el paso de condición Sistema operativo  
    • Compliance Module: Debe asegurarse de seleccionar el mismo módulo de cumplimiento que tiene en el paso de condición, Condición Anti-Malware
    • Posture Type: Elegir agente
    • Conditions: Elija la condición o condiciones que ha creado en el paso Configurar condiciones de postura
    • Remediations Actions: Elija Message Text Only para este ejemplo o, si tiene otra acción de remediación, utilícela
    • Haga clic en Save

    Una vez configurado, puede continuar con el paso, Configure Posture Policy

    Configurar política de estado

    • Vaya a su panel de ISE
    • Haga clic en Work Center > Posture Policy
    • Haga clic en una Edit de las directivas y haga clic en Insert new Policy

    ISE - Insert New Policy

    • En la nueva directiva, configure los siguientes parámetros:

    ISE - Policy Options

    • Status: Marque la casilla de verificación para activar la directiva
    • Rule Name: configure un nombre para reconocer la política configurada
    • Identity Groups: Elija las identidades que desea evaluar
    • Operating Systems: Elija el sistema operativo en función de la condición y los requisitos configurados anteriormente
    • Compliance Module: Elija el módulo de conformidad en función de la condición y los requisitos configurados anteriormente
    • Posture Type: Elegir agente
    • Requeriments: Elija los requisitos configurados en el paso Configurar requisitos de estado
    • Haga clic en Save

    Configurar el aprovisionamiento de clientes

    Para proporcionar a los usuarios el módulo ISE, configure el aprovisionamiento del cliente para equipar los equipos con el módulo de estado ISE. Esto le permite verificar el estado de las máquinas una vez que se ha instalado el agente. Para continuar con este proceso, estos son los siguientes pasos:

    Vaya al panel de ISE.

    • Haga clic en Work Center > Client Provisioning
    • Elegir Resources

    Hay tres cosas que debe configurar en el aprovisionamiento de clientes:

    Recursos para configurar

    Descripción

    1. Agent Resources

    Paquete Secure Client Web Provisioning.

    2. Compliance Module

    Módulo de cumplimiento de Cisco ISE

    3. Agent Profile

    Control del perfil de aprovisionamiento.

    3. Agent Configuration

    Defina qué módulos se aprovisionan configurando el portal de aprovisionamiento mediante el perfil de agente y los recursos de agente.

    Step 1 Descargar y cargar recursos de agente

    • Para agregar un nuevo recurso de agente, navegue hasta el Portal de descarga de Cisco y descargue el paquete de despliegue web; el archivo web deploy debe tener el formato .pkg.

    CISCO - Web Deploy

    • Haga clic en+ Add > Agent resources from local disk y cargue los paquetes

    ISE - Agent resources from local disk

    Step 2Descargue el módulo de conformidad 

    • Haga clic en + Add > Agent resources from Cisco Site

    ISE - Agent resources from Cisco Site

    • Marque la casilla de cada módulo de conformidad necesario y haga clic en Save

    ISE - Download Remote Resources

    Step 3Configuración del perfil de agente

    • Haga clic en + Add > Agent Posture Profile

    ISE - Agent Posture Profile

    • Cree una Name para el Posture Profile

    ISE - Agent Posture Profile 2

    • En Reglas de nombre de servidor, coloque una * y haga clic Save después de ella

    ISE - Posture Protocol

    Step 4 Configuración de la configuración del agente

    • Haga clic en + Add > Agent Configuration

    jmorenoc_0-1712071678317

    • Después de eso, configure los siguientes parámetros: 

    jmorenoc_2-1712071868425

    jmorenoc_3-1712072698677

    note-icon

    Nota: Se recomienda que cada sistema operativo, Windows, Mac OS o Linux, tenga una configuración de cliente independiente.

    Configurar directiva de aprovisionamiento de clientes

    Para habilitar el aprovisionamiento del estado de ISE y los módulos configurados en el último paso, debe configurar una política para realizar el aprovisionamiento.

    • Vaya a su panel de ISE
    • Haga clic en Work Center > Client Provisioning
    note-icon

    Nota: Se recomienda que cada sistema operativo, Windows, Mac OS o Linux, tenga una política de configuración de cliente.

    Enabling - Portal Redirection

    • Rule Name: Configure el nombre de la política según el tipo de dispositivo y la selección del grupo de identidad para tener una manera fácil de identificar cada política
    • Identity Groups: Elija las identidades que desea evaluar en la política
    • Operating Systems: Elija el sistema operativo en función del paquete de agentes seleccionado en el paso Select Agent Package (Seleccionar paquete de agentes)
    • Other Condition: Elija Network Access según el Authentication MethodEQUALSal método configurado en el paso, Agregar grupo RADIUS o puede dejar en blanco
    • Result: Elija la configuración del agente en el paso 4 Configuración de la configuración del agente 
      • Native Supplicant Configuration: ElijaConfig Wizardy Wizard Profile
    • Marque la directiva como habilitada si no aparece como habilitada en la casilla de verificación.

    Crear los perfiles de autorización

    El perfil de autorización limita el acceso a los recursos en función del estado de los usuarios después de la autenticación. La autorización debe verificarse para determinar a qué recursos puede acceder el usuario en función del estado.

    Perfil de autorización

    Descripción

    Conforme

    Compatible con el usuario - Agente instalado - Verificación de estado

    Conformidad desconocida

    Cumplimiento desconocido por el usuario - Redireccionamiento para instalar el agente - Estado pendiente de verificación

    DenegarAcceso

    Usuario no conforme - Denegar acceso

    Para configurar la DACL, navegue hasta el panel de ISE:

    • Haga clic en Work Centers > Policy Elements > Downloadable ACLs
    • Haga clic en +Add
    • Cree el Compliant DACL

    ISE - DACL - CSA-Compliant

    • Name: Agregue un nombre que haga referencia a DACL-Compliant
    • IP version: Elegir IPv4
    • DACL Content: Cree una lista de control de acceso (DACL) descargable que proporcione acceso a todos los recursos de la red
    permit ip any any

    Haga clic en Save y cree la DACL de conformidad desconocida

    • Haga clic en Work Centers > Policy Elements > Downloadable ACLs
    • Haga clic en +Add
    • Cree el Unknown Compliant DACL

    ISE - DACL - CSA-Redirect_To_ISE

    • Name: Agregue un nombre que haga referencia a DACL-Unknown-Compliant
    • IP version: Elegir IPv4
    • DACL Content: Cree una DACL que ofrezca acceso limitado a la red, DHCP, DNS, HTTP y el portal de aprovisionamiento a través del puerto 8443

    permit udp any any eq 67
permit udp any any eq 68 
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
    note-icon

    Nota: En esta situación, la dirección IP 192.168.10.206 corresponde al servidor de Cisco Identity Services Engine (ISE) y el puerto 8443 está designado para el portal de aprovisionamiento. Esto significa que se permite el tráfico TCP a la dirección IP 192.168.10.206 a través del puerto 8443, lo que facilita el acceso al portal de aprovisionamiento.

    En este momento, dispone de la DACL necesaria para crear los perfiles de autorización.

    Para configurar los perfiles de autorización, navegue hasta el panel de ISE:

    • Haga clic en Work Centers > Policy Elements > Authorization Profiles
    • Haga clic en +Add
    • Cree el Compliant Authorization Profile

    ISE - Authorization Profile - CSA-Compliant

    ISE - Authorization Profile - DACL CSA-Compliant

    • Name: Cree un nombre que haga referencia al perfil de autorización compatible
    • Access Type: Elegir ACCESS_ACCEPT

    • Common Tasks

    Haga clic Save en y cree el Unknown Authorization Profile

    • Haga clic en Work Centers > Policy Elements > Authorization Profiles
    • Haga clic en +Add
    • Cree el Uknown Compliant Authorization Profile

    ISE - Authorization Profile - CSA-Unknown-Compliant

    ISE - Authorization Profile - DACL CSA_Redirect_To_ISE

    ISE - Authorization Profile - Web Redirection

    • Name: Cree un nombre que haga referencia al perfil de autorización conforme desconocido
    • Access Type: Elegir ACCESS_ACCEPT

    • Common Tasks
      • DACL NAME: Elija la DACL configurada en el paso Unknown Compliant DACL
      • Web Redirection (CWA,MDM,NSP,CPP)
        • Elegir Client Provisioning (Posture)
        • ACL: Debe ser redirect
        • Value: seleccione el portal de aprovisionamiento predeterminado o, si ha definido otro, selecciónelo
    note-icon

    Nota: El nombre de la ACL de redirección en Secure Access para todas las implementaciones es redirect.

    Después de definir todos estos valores, debe tener algo similar debajo deAttributes Details.

    ISE - Authorization Profile - Attribute Details

    Haga clic Save para finalizar la configuración y continuar con el siguiente paso.

    Configurar conjunto de políticas de estado

    Estas tres políticas que crea se basan en los perfiles de autorización que ha configurado; para DenyAccess, no es necesario crear otro.

    Conjunto de políticas - Autorización

    Perfil de autorización

    Conforme

    Perfil de autorización: compatible

    Conformidad desconocida

    Perfil de autorización: compatibilidad desconocida

    No conforme

    DenegarAcceso

    Vaya a su panel de ISE

    • Haga clic en Work Center > Policy Sets
    • Haga clic en para> acceder a la política que ha creado

    ISE - Policy Set - CSA - ISE

    • Haga clic en el Authorization Policy

    ISE - Policy Set - Authorization Policy

    • Cree las tres políticas siguientes en el orden siguiente:

    ISE - Policy Set - Authorization Policies

    • Haga clic en + para definir la CSA-Compliance política: 

    ISE - Policy Set - Authorization Rule

    • Para el siguiente paso, cambie elRule Name,ConditionsProfiles
    • Al establecer la Name configuración de un nombre en CSA-Compliance
    • Para configurar el Condition, haga clic en el botón +
    • En Condition Studio, encontrará la información siguiente: 

    ISE - Conditional Studio

    1. Para crear la condición, busque compliant
    2. Usted debe haber mostrado Compliant_Devices
    3. Arrastre y suelte debajo del Editor
    4. Para crear la segunda condición, busque network
    5. Usted debe haber mostrado Network_Access_Authentication_Passed
    6. Arrastre y suelte debajo del Editor
    7. Haga clic debajo delEditorbotón en New
    8. Haga clic en el Identity Group icono
    9. Elegir Internal User Identity Group
    10. En Equals, elija el User Identity Group elemento que desee que coincida
    11. Haga clic en Use

    ISE - Conditions Studio - Compliant Devices

    • Como resultado, tiene la siguiente imagen

    ISE - Conditions Studio - Compliant Devices 2

    ISE - Conditions Studio - Compliant Devices 3

    Ahora ya ha configurado el Compliance Policy Set.

    • Haga clic en + para definir la CSA-Unknown-Compliance política: 

    ISE - Policy Set - Authorization Rule

    • Para el siguiente paso, cambie elRule Name,ConditionsProfiles
    • Al establecer la Name configuración de un nombre en CSA-Unknown-Compliance
    • Para configurar el Condition, haga clic en el botón +
    • En Condition Studio, encontrará la información siguiente: 

    ISE - Conditional Studio

    1. Para crear la condición, busque compliance
    2. Usted debe haber mostrado Compliant_Unknown_Devices
    3. Arrastre y suelte debajo del Editor
    4. Para crear la segunda condición, busque network
    5. Usted debe haber mostrado Network_Access_Authentication_Passed
    6. Arrastre y suelte debajo del Editor
    7. Haga clic debajo delEditorbotón en New
    8. Haga clic en el Identity Group icono
    9. Elegir Internal User Identity Group
    10. En Equals, elija el User Identity Group elemento que desee que coincida
    11. Haga clic en Use

    jmorenoc_0-1713112783946

    • Como resultado, tiene la siguiente imagen

    ISE - Conditions Studio - Compliant Unknown 2

    ISE - Conditions Studio - Compliant Unknown 3

    Ahora ya ha configurado el Unknown Compliance Policy Set.

    • Haga clic en + para definir la CSA- Non-Compliant política: 

    ISE - Policy Set - Authorization Rule

    • Para el siguiente paso, cambie elRule Name,ConditionsProfiles
    • Al establecer la Name configuración de un nombre en CSA-Non-Compliance
    • Para configurar el Condition, haga clic en el botón +
    • En Condition Studio, encontrará la información siguiente: 

    ISE - Conditional Studio

    1. Para crear la condición, busque non
    2. Usted debe haber mostrado Non_Compliant_Devices
    3. Arrastre y suelte debajo del Editor
    4. Para crear la segunda condición, busque network
    5. Usted debe haber mostrado Network_Access_Authentication_Passed
    6. Arrastre y suelte debajo del Editor
    7. Haga clic debajo delEditorbotón en New
    8. Haga clic en el Identity Group icono
    9. Elegir Internal User Identity Group
    10. En Equals, elija el User Identity Group elemento que desee que coincida
    11. Haga clic en Use

    jmorenoc_1-1713112812001

    • Como resultado, tiene la siguiente imagen

    ISE - Conditions Studio - Non Compliant 2

    • En haga Profile clic en el botón desplegable y seleccione el perfil de autorización de la queja DenyAccess

    ISE - Conditions Studio - Non Compliant 3

    Una vez finalizada la configuración de los tres perfiles, estará listo para probar su integración con el estado.

    Verificación

    Validación de estado

    Conexión en el equipo

    Conéctese al dominio FQDN RA-VPN proporcionado en Acceso seguro a través de Cliente seguro.

    Nota: No se debe instalar ningún módulo ISE para este paso.

    1. Conéctese mediante Secure Client.

    Secure Client - Connect

    2. Proporcione las credenciales para autenticar.

    Secure Client - Username - Password

    3. En este momento, te conectas a la VPN y, probablemente, te redirigen a ISE; si no es así, puede intentar desplazarse hasta http:1.1.1.1.

    Secure Client - VPN Connection

    Secure Client - Provisioning Portal

    note-icon

    Nota: En este momento, se encuentra bajo el conjunto de políticas de autorización CSA-Unknown-Compliance porque no tiene el agente de estado de ISE instalado en el equipo y se le redirige al portal de aprovisionamiento de ISE para instalar el agente.

    4. Haga clic en Iniciar para continuar con el aprovisionamiento de agentes.

    Secure Client - Device Security Check

    5. Haga clic en + This is my first time here.

    Secure Client - Provisioning Portal - This is my first time here

    6. Haga clic en Click here to download and install agent

    Secure Client - Provisioning Portal - Download

    7. Instale el agente 

    Secure Client - Provisioning Portal - Download 2

    Secure Client - Install Completed

    8. Después de instalar el agente, el estado de ISE comienza a verificar el estado actual de las máquinas. Si no se cumplen los requisitos de la política, aparecerá una ventana emergente que le guiará hacia el cumplimiento.

    Secure Client - Posture Verification

    note-icon

    Nota: Si ustedCancelo el tiempo restante finaliza, automáticamente se convierte en no conforme, cae bajo la política de autorización establecida CSA-Non-Compliance, e inmediatamente se desconecta de la VPN.

    9. Instale Secure Endpoint Agent y conéctese de nuevo a la VPN.

    Secure Client - Posture Verification Process

    10. Una vez que el agente verifica que la máquina cumple los requisitos, su estado cambia para estar al día de la reclamación y dar acceso a todos los recursos de la red.

    note-icon

    Nota: Una vez que cumpla los requisitos, se le aplicará la política de autorización establecida en CSA-Compliance y tendrá acceso inmediatamente a todos los recursos de la red.

    Cómo recopilar registros en ISE

    Para comprobar el resultado de la autenticación de un usuario, tiene dos ejemplos de conformidad e incumplimiento. Para revisarlo en ISE, siga estas instrucciones:

    • Vaya a su panel de ISE
    • Haga clic en Operations > Live Logs

    ISE - Radius Live Logs - Posture Compliance

    El siguiente escenario tho muestra cómo se muestran los eventos de cumplimiento e incumplimiento con éxito en Live Logs:

    Conformidad

    ISE - Radius Live Logs - Compliance

    Incumplimiento

    ISE - Radius Live Logs - Non Compliance

    Primeros pasos con acceso seguro e integración con ISE

    En el siguiente ejemplo, Cisco ISE se encuentra en la red 192.168.10.0/24, y la configuración de las redes a las que se puede acceder a través del túnel debe agregarse en la configuración del túnel.

    Step 1: Verifique la configuración del túnel:

    Para verificarlo, navegue hasta el panel de acceso seguro.

    • Haga clic en Connect > Network Connections
    • Haga clic en Network Tunnel Groups > Su túnel

    Secure Access - Tunnel Configuration

    • En summary (Resumen), verifique que el túnel haya configurado el espacio de direcciones donde se encuentra Cisco ISE:

    Secure Access - Tunnel Configuration - IP Address Range

    Step 2: Permita el tráfico en su firewall.

    Para permitir que Secure Access utilice el dispositivo ISE para la autenticación Radius, debe haber configurado una regla de Secure Access en la red con los puertos Radius necesarios:

    Regla

    Fuente

    Destino

    Puerto de Destino

    ISE para proteger el acceso

    Grupo de gestión

    Servidor_ISE

    Grupo de IP de gestión (RA-VPN)

    COA

    UDP 1700 (puerto predeterminado)

    Gestión de acceso seguro Grupo de IP a ISE

    Grupo IP de administración

    Servidor_ISE

    Autenticación, autorización

    UDP 1812 (puerto predeterminado)

    Contabilidad

    UDP 1813 (puerto predeterminado)

    Conjunto IP de terminales de acceso seguro a ISE

    Conjunto IP de terminales

    Servidor_ISE

    Portal de aprovisionamiento

    TCP 8443 (puerto predeterminado)

    Conjunto IP de terminales de acceso seguro al SERVIDOR DNS

    Conjunto IP de terminales

    Servidor DNS

    DNS

    UDP y TCP 53
    note-icon

    Nota: Si desea conocer más puertos relacionados con ISE, consulte la User Guide - Port Reference.

    note-icon

    Nota: Se necesita una regla DNS si ha configurado ISE para que se detecte mediante un nombre, como ise.ciscosspt.es

    Grupos IP de terminales y grupos de gestión

    Para verificar el grupo IP de administración y de terminales, navegue hasta el panel de acceso seguro:

    • Haga clic en Connect > End User Connectivity
    • Haga clic en Virtual Private Network
    • Debajo Manage IP Pools
    • Haga clic en Manage

    Secure Access - POP

    Paso 3: Compruebe que ISE está configurado en Recursos privados

    Para permitir que los usuarios conectados a través de la VPN accedan a ISE Provisioning Portal, debe asegurarse de que ha configurado el dispositivo como un recurso privado para proporcionar acceso, que se utiliza para permitir el aprovisionamiento automático de la redISE Posture Modulea través de la VPN.

    Para verificar que ISE está configurado correctamente, navegue hasta el panel de acceso seguro:

    • Haga clic en Resources > Private Resources
    • Haga clic en el recurso de ISE

    Secure Access - Private Resource

    Secure Access - Private Resource - VPN

    Si es necesario, puede restringir la regla al puerto del portal de aprovisionamiento (8443).

    note-icon

    Nota: Asegúrese de que ha marcado la casilla de verificación de las conexiones VPN.

    Paso 4: Permiso de acceso a ISE según la política de acceso

    Para permitir que los usuarios conectados a través de la VPN se desplacen a ISE Provisioning Portal, debe asegurarse de que ha configurado un Access Policy para permitir que los usuarios configurados bajo esa regla accedan al recurso privado configurado enStep3.

    Para verificar que ISE está configurado correctamente, navegue hasta el panel de acceso seguro:

    • Haga clic en Secure > Access Policy
    • Haga clic en la regla configurada para permitir el acceso de los usuarios VPN a ISE

    Secure Access - Access Policy

    Troubleshoot

    Cómo descargar registros de depuración de estado de ISE

    Para descargar registros de ISE para verificar un problema relacionado con el estado, continúe con los siguientes pasos: 

    • Vaya a su panel de ISE
    • Haga clic en Operations > Troubleshoot > Debug Wizard

    ISE - Debug Wizard

    • Haga clic en Debug Profile Configuration

    ISE - Debug Profile Configuration

    • Marque la casilla de verificación de Posture > Debug Nodes 

    ISE - Debug Nodes

    • Marque la casilla de verificación de los nodos ISE en los que debe activar el modo de depuración para solucionar el problema

    ISE - DEBUG NODE - Warning

    • Haga clic en Save

    ISE - Debug Nodes - Save

    caution-icon

    Precaución: Después de este punto, debe empezar a reproducir el problema; the debug logs can affect the performance of your device.

    Después de reproducir el problema, continúe con los siguientes pasos:

    • Haga clic en Operations > Download Logs
    • Elija el nodo del que desea tomar los registros

    ISE - Appliance Node List

    • En Support Bundle, elija las siguientes opciones:

    ISE - Include Debug Logs

    • Include debug logs
    • Debajo Support Bundle Encryption
      • Shared Key Encryption
        • Relleno Encryption key y Re-Enter Encryption key
    • Haga clic en Create Support Bundle
    • Haga clic en Download

    ISE - Download Logs

    warning-icon

    Advertencia: Inhabilite el modo de depuración habilitado en el paso Debug Profile Configuration

    Cómo verificar los registros de acceso remoto de acceso seguro

    Vaya al panel de acceso seguro:

    • Haga clic en Monitor > Remote Access Logs

    Secure Access - Remote Access Logs

    Generar paquete DART en Secure Client

    Para generar el paquete DART en su equipo, consulte el siguiente artículo: 

    Herramienta Cisco Secure Client Diagnostic and Reporting Tool (DART)

    note-icon

    Nota: Una vez que haya recopilado los registros indicados en la sección de solución de problemas, abra un caso con TAC para continuar con el análisis de la información.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    12-Apr-2024
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Jairo Moreno
      Technical Consulting Engineer
    • Emmanuel Cano Gutierrez
      Professional Services
    • Amit Arora
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos