Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer le Logiciel Cisco Identity Services Engine (ISE) pour fournir l'accès complet au réseau seulement quand des mémoires de masse USB sont déconnectées.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Version 2.1 du Logiciel Cisco Identity Services Engine (ISE) avec le contrôle et la correction sécurisés de mémoire de masse USB de supports du client 4.3 de mobilité d'AnyConnect. Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :
L'écoulement est le suivant :
La session VPN a été présentée juste comme exemple. La fonctionnalité de posture fonctionne bien également pour d'autres types de l'accès.
L'ASA est configurée pour l'accès distant de VPN SSL utilisant ISE comme serveur d'AAA. Le CoA de Radius avec réorientent les besoins d'ACL d'être configuré :
aaa-server ISE21 protocol radius
authorize-only
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE21 (outside) host 10.48.23.88
key cisco
tunnel-group RA type remote-access
tunnel-group RA general-attributes
address-pool POOL
authentication-server-group ISE21
accounting-server-group ISE21
default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
group-alias RA enable
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.3.00520-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
group-policy GP-SSL internal
group-policy GP-SSL attributes
dns-server value 10.62.145.72
vpn-tunnel-protocol ssl-client
access-list ACL_WEBAUTH_REDIRECT extended deny udp any any eq domain
access-list ACL_WEBAUTH_REDIRECT extended deny ip any host 10.48.23.88
access-list ACL_WEBAUTH_REDIRECT extended deny icmp any any
access-list ACL_WEBAUTH_REDIRECT extended permit tcp any any
Pour plus de détails veuillez se rapportent :
Intégration d'AnyConnect 4.0 avec l'exemple de configuration de version 1.3 ISE
De la gestion > des ressources de réseau > des périphériques de réseau > ajoutez l'ASA.
Assurez-vous que des états de posture sont mise à jour : La gestion > le système > les configurations > la posture > met à jour > option de mise à jour maintenant.
ISE 2.1 est livré avec un état préconfiguré USB, qui vérifie si une mémoire de masse USB est connectée.
De la stratégie > des éléments de stratégie > conditionne > posture > état USB vérifient l'état existant :
De la stratégie > des éléments de stratégie > résulte > la posture > les conditions requises, vérifient la condition requise préconfigurée qui utilise cette condition.
De la stratégie > de la posture, ajoutez une condition pour tout le Windows pour utiliser cette condition requise :
De la stratégie > des éléments de stratégie > résulte > les actions de posture > de correction > les corrections USB vérifient l'action préconfigurée de correction de bloquer des périphériques de stockage USB :
De la stratégie > des éléments de stratégie > du ravitaillement > des ressources de client téléchargez le module de conformité de Cisco.com et téléchargez manuellement le module d'AnyConnect 4.3 :
Utilisant ajoutez > agent NAC ou le profil de posture d'AnyConnect créent un profil de posture d'AnyConnect (nom : Anyconnect_Posture_Profile) avec des valeurs par défaut.
Utilisant ajoutez > configuration d'AnyConnect ajoutent une configuration d'AnyConnect (nom : Configuration d'AnyConnect) :
De la stratégie > du ravitaillement de client créez une nouvelle stratégie (Windows_Posture) pour Windows pour utiliser la configuration d'AnyConnect :
De la stratégie > des éléments de stratégie > résulte > l'autorisation ajoutent un profil d'autorisation (nom : Posture_Redirect) ce redirect to un portail par défaut de ravitaillement de client :
Remarque: L'ACL ACL_WEBAUTH_REDIRECT est défini sur l'ASA.
De la stratégie > de l'autorisation créez une règle d'autorisation pour la redirection. Une règle d'autorisation pour les périphériques conformes est préconfigurée sur ISE :
Si le point final est conforme, l'accès complet est fourni. Si l'état est inconnu ou noncompliant, la redirection pour le ravitaillement de client est retournée.
Le périphérique USB branché, et son contenu est disponible pour l'utilisateur.
Pendant l'authentification, ISE renverra le redirect access-list et réorientera l'URL en tant qu'élément du profil d'autorisation de Posture_Redirect
Une fois que la session VPN est établie, le trafic ASA du client obtiendra réorienté selon le redirect access-list :
BSNS-ASA5515-11# sh vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 29
Assigned IP : 10.10.10.10 Public IP : 10.229.16.34
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES128 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 14696 Bytes Rx : 18408
Pkts Tx : 20 Pkts Rx : 132
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : GP-SSL Tunnel Group : RA
Login Time : 15:57:39 CET Fri Mar 11 2016
Duration : 0h:07m:22s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a3042ca0001d00056e2dce3
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 29.1
Public IP : 10.229.16.34
Encryption : none Hashing : none
TCP Src Port : 61956 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes
Client OS : win
Client OS Ver: 6.1.7601 Service Pack 1
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520
Bytes Tx : 6701 Bytes Rx : 774
Pkts Tx : 5 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 29.2
Assigned IP : 10.10.10.10 Public IP : 10.229.16.34
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 61957
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520
Bytes Tx : 6701 Bytes Rx : 1245
Pkts Tx : 5 Pkts Rx : 5
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 29.3
Assigned IP : 10.10.10.10 Public IP : 10.229.16.34
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 55708
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 26 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520
Bytes Tx : 1294 Bytes Rx : 16389
Pkts Tx : 10 Pkts Rx : 126
Pkts Tx Drop : 0 Pkts Rx Drop : 0
ISE Posture:
Redirect URL : https://ISE21-1ek.example.com:8443/portal/gateway?sessionId=0a3042ca0001d00056e2dce3&portal=2b1ba210-e...
Redirect ACL : ACL_WEBAUTH_REDIRECT
À cette étape, le trafic de navigateur Web de point final est réorienté à ISE pour le ravitaillement de client :
Si nécessaire, AnyConnect avec le module de posture et de conformité est mis à jour.
Le module de posture est exécuté, découvre ISE (il pourrait exiger pour avoir l'enregistrement des DN A pour qu'enroll.cisco.com réussisse), télécharge et vérifie des états de posture, nouvelle action de périphérique USB de bloc OPSWAT v4. Le message configuré sera affiché pour l'utilisateur :
Une fois que le message est confirmé, le périphérique USB n'est plus disponible pour l'utilisateur :
L'ASA retire l'ACL de redirection fournissant l'accès complet. AnyConnect signale la conformité :
Également les rapports détaillés sur ISE peuvent confirmer que des conditions exigées sont passées.
Estimation de posture par condition :
Estimation de posture par point final :
Détails d'état de point final :
ISE peut fournir les détails sur les conditions manquantes, des actions devrait être pris en conséquence.