Avez-vous un compte?
  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Configurez ISE 2.1 et contrôle de la posture USB d'AnyConnect 4.3

Options de téléchargement

  • PDF     (1.9 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d’appareils
  • ePub     (1.9 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (2.2 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:7 juin 2016
ID du document:200508
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment configurer le Logiciel Cisco Identity Services Engine (ISE) pour fournir l'accès complet au réseau seulement quand des mémoires de masse USB sont déconnectées.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Connaissance de base de configuration CLI de l'appliance de sécurité adaptable (ASA) et de configuration du VPN de Protocole SSL (Secure Socket Layer)
  • Connaissance de base de configuration du VPN d'Accès à distance sur l'ASA
  • Connaissance de base des services ISE et de posture

Composants utilisés

Version 2.1 du Logiciel Cisco Identity Services Engine (ISE) avec le contrôle et la correction sécurisés de mémoire de masse USB de supports du client 4.3 de mobilité d'AnyConnect. Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

  • Versions de logiciel de Cisco ASA 9.2(4) et plus tard
  • Version 7 de Microsoft Windows avec la version 4.3 et ultérieures de Client à mobilité sécurisé Cisco AnyConnect
  • Cisco ISE, version 2.1 et ultérieures

Configurez

Diagramme du réseau

L'écoulement est le suivant :

  • L'utilisateur n'est pas connecté au VPN encore, la mémoire de masse privée USB est branchée et satisfait est disponible pour l'utilisateur
  • La session VPN initiée par le client d'AnyConnect est authentifiée par l'intermédiaire d'ISE. Le statut de posture du point final n'est pas connu, la règle « Posture_Unknown » est frappée et en conséquence la session sera réorientée à l'ISE
  • Les contrôles USB introduit une nouvelle classe de signe la posture à C.A. ISE, du fait ils surveillent continuellement le point final tant que il demeure dans le même réseau contrôlé par ISE. La seule action logique de correction disponible est de bloquer les dispositifs USB identifiés par leur identificateur de lecteur
  • La session VPN sur l'ASA est mise à jour, réorientent l'ACL est retirée et l'accès complet est accordé

La session VPN a été présentée juste comme exemple. La fonctionnalité de posture fonctionne bien également pour d'autres types de l'accès.

ASA

L'ASA est configurée pour l'accès distant de VPN SSL utilisant ISE comme serveur d'AAA. Le CoA de Radius avec réorientent les besoins d'ACL d'être configuré :

aaa-server ISE21 protocol radius
 authorize-only
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE21 (outside) host 10.48.23.88
 key cisco



tunnel-group RA type remote-access
tunnel-group RA general-attributes
 address-pool POOL
 authentication-server-group ISE21
 accounting-server-group ISE21
 default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
 group-alias RA enable



webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-4.3.00520-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 error-recovery disable
group-policy GP-SSL internal
group-policy GP-SSL attributes
 dns-server value 10.62.145.72
 vpn-tunnel-protocol ssl-client



access-list ACL_WEBAUTH_REDIRECT extended deny udp any any eq domain 
access-list ACL_WEBAUTH_REDIRECT extended deny ip any host 10.48.23.88 
access-list ACL_WEBAUTH_REDIRECT extended deny icmp any any 
access-list ACL_WEBAUTH_REDIRECT extended permit tcp any any

Pour plus de détails veuillez se rapportent :

Intégration d'AnyConnect 4.0 avec l'exemple de configuration de version 1.3 ISE

ISE

Étape 1. Périphérique de configure network

De la gestion > des ressources de réseau > des périphériques de réseau > ajoutez l'ASA.

Étape 2. Configurez les états et les stratégies de posture

Assurez-vous que des états de posture sont mise à jour : La gestion > le système > les configurations > la posture > met à jour > option de mise à jour maintenant.

ISE 2.1 est livré avec un état préconfiguré USB, qui vérifie si une mémoire de masse USB est connectée.

De la stratégie > des éléments de stratégie > conditionne > posture > état USB vérifient l'état existant :

De la stratégie > des éléments de stratégie > résulte > la posture > les conditions requises, vérifient la condition requise préconfigurée qui utilise cette condition.

De la stratégie > de la posture, ajoutez une condition pour tout le Windows pour utiliser cette condition requise :

De la stratégie > des éléments de stratégie > résulte > les actions de posture > de correction > les corrections USB vérifient l'action préconfigurée de correction de bloquer des périphériques de stockage USB :

Étape 3. Configurez les ressources et la stratégie en ravitaillement de client

De la stratégie > des éléments de stratégie > du ravitaillement > des ressources de client téléchargez le module de conformité de Cisco.com et téléchargez manuellement le module d'AnyConnect 4.3 :

Utilisant ajoutez > agent NAC ou le profil de posture d'AnyConnect créent un profil de posture d'AnyConnect (nom : Anyconnect_Posture_Profile) avec des valeurs par défaut.

Utilisant ajoutez > configuration d'AnyConnect ajoutent une configuration d'AnyConnect (nom : Configuration d'AnyConnect) :

De la stratégie > du ravitaillement de client créez une nouvelle stratégie (Windows_Posture) pour Windows pour utiliser la configuration d'AnyConnect :

Étape 4. Configurez les règles d'autorisation

De la stratégie > des éléments de stratégie > résulte > l'autorisation ajoutent un profil d'autorisation (nom : Posture_Redirect) ce redirect to un portail par défaut de ravitaillement de client :

Remarque: L'ACL ACL_WEBAUTH_REDIRECT est défini sur l'ASA.

De la stratégie > de l'autorisation créez une règle d'autorisation pour la redirection. Une règle d'autorisation pour les périphériques conformes est préconfigurée sur ISE :

Si le point final est conforme, l'accès complet est fourni. Si l'état est inconnu ou noncompliant, la redirection pour le ravitaillement de client est retournée.

Vérifiez

Avant établissement de session VPN

Le périphérique USB branché, et son contenu est disponible pour l'utilisateur.

Établissement de session VPN

Pendant l'authentification, ISE renverra le redirect access-list et réorientera l'URL en tant qu'élément du profil d'autorisation de Posture_Redirect

Une fois que la session VPN est établie, le trafic ASA du client obtiendra réorienté selon le redirect access-list :

BSNS-ASA5515-11# sh vpn-sessiondb detail anyconnect 

Session Type: AnyConnect Detailed

Username     : cisco                  Index        : 29
Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES128  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 14696                  Bytes Rx     : 18408
Pkts Tx      : 20                     Pkts Rx      : 132
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : GP-SSL                 Tunnel Group : RA
Login Time   : 15:57:39 CET Fri Mar 11 2016
Duration     : 0h:07m:22s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 0a3042ca0001d00056e2dce3
Security Grp : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 29.1
  Public IP    : 10.229.16.34
  Encryption   : none                   Hashing      : none                   
  TCP Src Port : 61956                  TCP Dst Port : 443                    
  Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 22 Minutes             
  Client OS    : win
  Client OS Ver: 6.1.7601 Service Pack 1
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 6701                   Bytes Rx     : 774                    
  Pkts Tx      : 5                      Pkts Rx      : 1                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
SSL-Tunnel:
  Tunnel ID    : 29.2
  Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
  Encryption   : AES128                 Hashing      : SHA1                   
  Encapsulation: TLSv1.0                TCP Src Port : 61957                  
  TCP Dst Port : 443                    Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 22 Minutes             
  Client OS    : Windows                
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 6701                   Bytes Rx     : 1245                   
  Pkts Tx      : 5                      Pkts Rx      : 5                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
DTLS-Tunnel:
  Tunnel ID    : 29.3
  Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
  Encryption   : AES128                 Hashing      : SHA1                   
  Encapsulation: DTLSv1.0               UDP Src Port : 55708                  
  UDP Dst Port : 443                    Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 26 Minutes             
  Client OS    : Windows                
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 1294                   Bytes Rx     : 16389                  
  Pkts Tx      : 10                     Pkts Rx      : 126                    
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
ISE Posture:
  Redirect URL : https://ISE21-1ek.example.com:8443/portal/gateway?sessionId=0a3042ca0001d00056e2dce3&portal=2b1ba210-e...
  Redirect ACL : ACL_WEBAUTH_REDIRECT

Ravitaillement de client

À cette étape, le trafic de navigateur Web de point final est réorienté à ISE pour le ravitaillement de client :

Si nécessaire, AnyConnect avec le module de posture et de conformité est mis à jour.

Contrôle de posture et CoA

Le module de posture est exécuté, découvre ISE (il pourrait exiger pour avoir l'enregistrement des DN A pour qu'enroll.cisco.com réussisse), télécharge et vérifie des états de posture, nouvelle action de périphérique USB de bloc OPSWAT v4. Le message configuré sera affiché pour l'utilisateur :

Une fois que le message est confirmé, le périphérique USB n'est plus disponible pour l'utilisateur :

L'ASA retire l'ACL de redirection fournissant l'accès complet. AnyConnect signale la conformité :

Également les rapports détaillés sur ISE peuvent confirmer que des conditions exigées sont passées.

Estimation de posture par condition :

Estimation de posture par point final :

Détails d'état de point final :

Dépannez

ISE peut fournir les détails sur les conditions manquantes, des actions devrait être pris en conséquence.

Références

TAC Authored

Contribution d’experts de Cisco

  • Eugene Korneychuk
    Ingénieur TAC Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Laissez-nous vous aider

Discussions connexes de communautés d’assistance

Ce document s’applique à ces produits

À PROPOS DE NOUS
COMMUNIQUER AVEC NOUS
TRAVAILLER AVEC NOUS