Configurez ISE 2.1 et contrôle de la posture USB d'AnyConnect 4.3
Contenu
Introduction
Ce document décrit comment configurer le Logiciel Cisco Identity Services Engine (ISE) pour fournir l'accès complet au réseau seulement quand des mémoires de masse USB sont déconnectées.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Connaissance de base de configuration CLI de l'appliance de sécurité adaptable (ASA) et de configuration du VPN de Protocole SSL (Secure Socket Layer)
- Connaissance de base de configuration du VPN d'Accès à distance sur l'ASA
- Connaissance de base des services ISE et de posture
Composants utilisés
Version 2.1 du Logiciel Cisco Identity Services Engine (ISE) avec le contrôle et la correction sécurisés de mémoire de masse USB de supports du client 4.3 de mobilité d'AnyConnect. Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :
- Versions de logiciel de Cisco ASA 9.2(4) et plus tard
- Version 7 de Microsoft Windows avec la version 4.3 et ultérieures de Client à mobilité sécurisé Cisco AnyConnect
- Cisco ISE, version 2.1 et ultérieures
Configurer
Diagramme du réseau
L'écoulement est le suivant :
- L'utilisateur n'est pas connecté au VPN encore, la mémoire de masse privée USB est branchée et satisfait est disponible pour l'utilisateur
- La session VPN initiée par le client d'AnyConnect est authentifiée par l'intermédiaire d'ISE. Le statut de posture du point final n'est pas connu, la règle « Posture_Unknown » est frappée et en conséquence la session sera réorientée à l'ISE
- Les contrôles USB introduit une nouvelle classe de signe la posture à C.A. ISE, du fait ils surveillent continuellement le point final tant que il demeure dans le même réseau contrôlé par ISE. La seule action logique de correction disponible est de bloquer les dispositifs USB identifiés par leur identificateur de lecteur
- La session VPN sur l'ASA est mise à jour, réorientent l'ACL est retirée et l'accès complet est accordé
La session VPN a été présentée juste comme exemple. La fonctionnalité de posture fonctionne bien également pour d'autres types de l'accès.
ASA
L'ASA est configurée pour l'accès distant de VPN SSL utilisant ISE comme serveur d'AAA. Le CoA de Radius avec réorientent les besoins d'ACL d'être configuré :
aaa-server ISE21 protocol radius
authorize-only
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE21 (outside) host 10.48.23.88
key cisco
tunnel-group RA type remote-access
tunnel-group RA general-attributes
address-pool POOL
authentication-server-group ISE21
accounting-server-group ISE21
default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
group-alias RA enable
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.3.00520-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
group-policy GP-SSL internal
group-policy GP-SSL attributes
dns-server value 10.62.145.72
vpn-tunnel-protocol ssl-client
access-list ACL_WEBAUTH_REDIRECT extended deny udp any any eq domain
access-list ACL_WEBAUTH_REDIRECT extended deny ip any host 10.48.23.88
access-list ACL_WEBAUTH_REDIRECT extended deny icmp any any
access-list ACL_WEBAUTH_REDIRECT extended permit tcp any any
Pour plus de détails veuillez se rapportent :
Intégration d'AnyConnect 4.0 avec l'exemple de configuration de version 1.3 ISE
ISE
Étape 1. Périphérique de configure network
De la gestion > des ressources de réseau > des périphériques de réseau > ajoutez l'ASA.
Étape 2. Configurez les états et les stratégies de posture
Assurez-vous que des états de posture sont mise à jour : La gestion > le système > les configurations > la posture > met à jour > option de mise à jour maintenant.
ISE 2.1 est livré avec un état préconfiguré USB, qui vérifie si une mémoire de masse USB est connectée.
De la stratégie > des éléments de stratégie > conditionne > posture > état USB vérifient l'état existant :
De la stratégie > des éléments de stratégie > résulte > la posture > les conditions requises, vérifient la condition requise préconfigurée qui utilise cette condition.
De la stratégie > de la posture, ajoutez une condition pour tout le Windows pour utiliser cette condition requise :
De la stratégie > des éléments de stratégie > résulte > les actions de posture > de correction > les corrections USB vérifient l'action préconfigurée de correction de bloquer des périphériques de stockage USB :
Étape 3. Configurez les ressources et la stratégie en ravitaillement de client
De la stratégie > des éléments de stratégie > du ravitaillement > des ressources de client téléchargez le module de conformité de Cisco.com et téléchargez manuellement le module d'AnyConnect 4.3 :
Utilisant ajoutez > agent NAC ou le profil de posture d'AnyConnect créent un profil de posture d'AnyConnect (nom : Anyconnect_Posture_Profile) avec des valeurs par défaut.
Utilisant ajoutez > configuration d'AnyConnect ajoutent une configuration d'AnyConnect (nom : Configuration d'AnyConnect) :
De la stratégie > du ravitaillement de client créez une nouvelle stratégie (Windows_Posture) pour Windows pour utiliser la configuration d'AnyConnect :
Étape 4. Configurez les règles d'autorisation
De la stratégie > des éléments de stratégie > résulte > l'autorisation ajoutent un profil d'autorisation (nom : Posture_Redirect) ce redirect to un portail par défaut de ravitaillement de client :
Remarque: L'ACL ACL_WEBAUTH_REDIRECT est défini sur l'ASA.
De la stratégie > de l'autorisation créez une règle d'autorisation pour la redirection. Une règle d'autorisation pour les périphériques conformes est préconfigurée sur ISE :
Si le point final est conforme, l'accès complet est fourni. Si l'état est inconnu ou noncompliant, la redirection pour le ravitaillement de client est retournée.
Vérifiez
Avant établissement de session VPN
Le périphérique USB branché, et son contenu est disponible pour l'utilisateur.
Établissement de session VPN
Pendant l'authentification, ISE renverra le redirect access-list et réorientera l'URL en tant qu'élément du profil d'autorisation de Posture_Redirect
Une fois que la session VPN est établie, le trafic ASA du client obtiendra réorienté selon le redirect access-list :
BSNS-ASA5515-11# sh vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 29
Assigned IP : 10.10.10.10 Public IP : 10.229.16.34
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES128 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 14696 Bytes Rx : 18408
Pkts Tx : 20 Pkts Rx : 132
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : GP-SSL Tunnel Group : RA
Login Time : 15:57:39 CET Fri Mar 11 2016
Duration : 0h:07m:22s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a3042ca0001d00056e2dce3
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 29.1
Public IP : 10.229.16.34
Encryption : none Hashing : none
TCP Src Port : 61956 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes
Client OS : win
Client OS Ver: 6.1.7601 Service Pack 1
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520
Bytes Tx : 6701 Bytes Rx : 774
Pkts Tx : 5 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 29.2
Assigned IP : 10.10.10.10 Public IP : 10.229.16.34
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 61957
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520
Bytes Tx : 6701 Bytes Rx : 1245
Pkts Tx : 5 Pkts Rx : 5
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 29.3
Assigned IP : 10.10.10.10 Public IP : 10.229.16.34
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 55708
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 26 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520
Bytes Tx : 1294 Bytes Rx : 16389
Pkts Tx : 10 Pkts Rx : 126
Pkts Tx Drop : 0 Pkts Rx Drop : 0
ISE Posture:
Redirect URL : https://ISE21-1ek.example.com:8443/portal/gateway?sessionId=0a3042ca0001d00056e2dce3&portal=2b1ba210-e...
Redirect ACL : ACL_WEBAUTH_REDIRECT
Ravitaillement de client
À cette étape, le trafic de navigateur Web de point final est réorienté à ISE pour le ravitaillement de client :
Si nécessaire, AnyConnect avec le module de posture et de conformité est mis à jour.
Contrôle de posture et CoA
Le module de posture est exécuté, découvre ISE (il pourrait exiger pour avoir l'enregistrement des DN A pour qu'enroll.cisco.com réussisse), télécharge et vérifie des états de posture, nouvelle action de périphérique USB de bloc OPSWAT v4. Le message configuré sera affiché pour l'utilisateur :
Une fois que le message est confirmé, le périphérique USB n'est plus disponible pour l'utilisateur :
L'ASA retire l'ACL de redirection fournissant l'accès complet. AnyConnect signale la conformité :
Également les rapports détaillés sur ISE peuvent confirmer que des conditions exigées sont passées.
Estimation de posture par condition :
Estimation de posture par point final :
Détails d'état de point final :
Dépanner
ISE peut fournir les détails sur les conditions manquantes, des actions devrait être pris en conséquence.
Références
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)