Configurez ISE 2.1 et contrôle de la posture USB d'AnyConnect 4.3

Options de téléchargement

  • PDF     (1.9 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.9 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (2.2 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:7 juin 2016
ID du document:200508

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment configurer le Logiciel Cisco Identity Services Engine (ISE) pour fournir l'accès complet au réseau seulement quand des mémoires de masse USB sont déconnectées.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Connaissance de base de configuration CLI de l'appliance de sécurité adaptable (ASA) et de configuration du VPN de Protocole SSL (Secure Socket Layer)
  • Connaissance de base de configuration du VPN d'Accès à distance sur l'ASA
  • Connaissance de base des services ISE et de posture

Composants utilisés

Version 2.1 du Logiciel Cisco Identity Services Engine (ISE) avec le contrôle et la correction sécurisés de mémoire de masse USB de supports du client 4.3 de mobilité d'AnyConnect. Les informations contenues dans ce document sont basées sur les versions de logiciel suivantes :

  • Versions de logiciel de Cisco ASA 9.2(4) et plus tard
  • Version 7 de Microsoft Windows avec la version 4.3 et ultérieures de Client à mobilité sécurisé Cisco AnyConnect
  • Cisco ISE, version 2.1 et ultérieures

Configurer

Diagramme du réseau

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-00.png

L'écoulement est le suivant :

  • L'utilisateur n'est pas connecté au VPN encore, la mémoire de masse privée USB est branchée et satisfait est disponible pour l'utilisateur
  • La session VPN initiée par le client d'AnyConnect est authentifiée par l'intermédiaire d'ISE. Le statut de posture du point final n'est pas connu, la règle « Posture_Unknown » est frappée et en conséquence la session sera réorientée à l'ISE
  • Les contrôles USB introduit une nouvelle classe de signe la posture à C.A. ISE, du fait ils surveillent continuellement le point final tant que il demeure dans le même réseau contrôlé par ISE. La seule action logique de correction disponible est de bloquer les dispositifs USB identifiés par leur identificateur de lecteur
  • La session VPN sur l'ASA est mise à jour, réorientent l'ACL est retirée et l'accès complet est accordé

La session VPN a été présentée juste comme exemple. La fonctionnalité de posture fonctionne bien également pour d'autres types de l'accès.

ASA

L'ASA est configurée pour l'accès distant de VPN SSL utilisant ISE comme serveur d'AAA. Le CoA de Radius avec réorientent les besoins d'ACL d'être configuré :

aaa-server ISE21 protocol radius
 authorize-only
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE21 (outside) host 10.48.23.88
 key cisco



tunnel-group RA type remote-access
tunnel-group RA general-attributes
 address-pool POOL
 authentication-server-group ISE21
 accounting-server-group ISE21
 default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
 group-alias RA enable



webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-4.3.00520-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 error-recovery disable
group-policy GP-SSL internal
group-policy GP-SSL attributes
 dns-server value 10.62.145.72
 vpn-tunnel-protocol ssl-client



access-list ACL_WEBAUTH_REDIRECT extended deny udp any any eq domain 
access-list ACL_WEBAUTH_REDIRECT extended deny ip any host 10.48.23.88 
access-list ACL_WEBAUTH_REDIRECT extended deny icmp any any 
access-list ACL_WEBAUTH_REDIRECT extended permit tcp any any

Pour plus de détails veuillez se rapportent :

Intégration d'AnyConnect 4.0 avec l'exemple de configuration de version 1.3 ISE

ISE

Étape 1. Périphérique de configure network

De la gestion > des ressources de réseau > des périphériques de réseau > ajoutez l'ASA.

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-01.png

Étape 2. Configurez les états et les stratégies de posture

Assurez-vous que des états de posture sont mise à jour : La gestion > le système > les configurations > la posture > met à jour > option de mise à jour maintenant.

ISE 2.1 est livré avec un état préconfiguré USB, qui vérifie si une mémoire de masse USB est connectée.

De la stratégie > des éléments de stratégie > conditionne > posture > état USB vérifient l'état existant :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-02.png

De la stratégie > des éléments de stratégie > résulte > la posture > les conditions requises, vérifient la condition requise préconfigurée qui utilise cette condition.

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-03.png

De la stratégie > de la posture, ajoutez une condition pour tout le Windows pour utiliser cette condition requise :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-04.png

De la stratégie > des éléments de stratégie > résulte > les actions de posture > de correction > les corrections USB vérifient l'action préconfigurée de correction de bloquer des périphériques de stockage USB :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-05.png

Étape 3. Configurez les ressources et la stratégie en ravitaillement de client

De la stratégie > des éléments de stratégie > du ravitaillement > des ressources de client téléchargez le module de conformité de Cisco.com et téléchargez manuellement le module d'AnyConnect 4.3 :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-06.png

Utilisant ajoutez > agent NAC ou le profil de posture d'AnyConnect créent un profil de posture d'AnyConnect (nom : Anyconnect_Posture_Profile) avec des valeurs par défaut.

Utilisant ajoutez > configuration d'AnyConnect ajoutent une configuration d'AnyConnect (nom : Configuration d'AnyConnect) :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-07.png

De la stratégie > du ravitaillement de client créez une nouvelle stratégie (Windows_Posture) pour Windows pour utiliser la configuration d'AnyConnect :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-08.png

Étape 4. Configurez les règles d'autorisation

De la stratégie > des éléments de stratégie > résulte > l'autorisation ajoutent un profil d'autorisation (nom : Posture_Redirect) ce redirect to un portail par défaut de ravitaillement de client :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-09.png

Remarque: L'ACL ACL_WEBAUTH_REDIRECT est défini sur l'ASA.

De la stratégie > de l'autorisation créez une règle d'autorisation pour la redirection. Une règle d'autorisation pour les périphériques conformes est préconfigurée sur ISE :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-10.png

Si le point final est conforme, l'accès complet est fourni. Si l'état est inconnu ou noncompliant, la redirection pour le ravitaillement de client est retournée.

Vérifiez

Avant établissement de session VPN

Le périphérique USB branché, et son contenu est disponible pour l'utilisateur.

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-11.png

Établissement de session VPN

Pendant l'authentification, ISE renverra le redirect access-list et réorientera l'URL en tant qu'élément du profil d'autorisation de Posture_Redirect

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-12.png

Une fois que la session VPN est établie, le trafic ASA du client obtiendra réorienté selon le redirect access-list :

BSNS-ASA5515-11# sh vpn-sessiondb detail anyconnect 

Session Type: AnyConnect Detailed

Username     : cisco                  Index        : 29
Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES128  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 14696                  Bytes Rx     : 18408
Pkts Tx      : 20                     Pkts Rx      : 132
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : GP-SSL                 Tunnel Group : RA
Login Time   : 15:57:39 CET Fri Mar 11 2016
Duration     : 0h:07m:22s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 0a3042ca0001d00056e2dce3
Security Grp : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 29.1
  Public IP    : 10.229.16.34
  Encryption   : none                   Hashing      : none                   
  TCP Src Port : 61956                  TCP Dst Port : 443                    
  Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 22 Minutes             
  Client OS    : win
  Client OS Ver: 6.1.7601 Service Pack 1
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 6701                   Bytes Rx     : 774                    
  Pkts Tx      : 5                      Pkts Rx      : 1                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
SSL-Tunnel:
  Tunnel ID    : 29.2
  Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
  Encryption   : AES128                 Hashing      : SHA1                   
  Encapsulation: TLSv1.0                TCP Src Port : 61957                  
  TCP Dst Port : 443                    Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 22 Minutes             
  Client OS    : Windows                
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 6701                   Bytes Rx     : 1245                   
  Pkts Tx      : 5                      Pkts Rx      : 5                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
DTLS-Tunnel:
  Tunnel ID    : 29.3
  Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
  Encryption   : AES128                 Hashing      : SHA1                   
  Encapsulation: DTLSv1.0               UDP Src Port : 55708                  
  UDP Dst Port : 443                    Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 26 Minutes             
  Client OS    : Windows                
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 1294                   Bytes Rx     : 16389                  
  Pkts Tx      : 10                     Pkts Rx      : 126                    
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
ISE Posture:
  Redirect URL : https://ISE21-1ek.example.com:8443/portal/gateway?sessionId=0a3042ca0001d00056e2dce3&portal=2b1ba210-e...
  Redirect ACL : ACL_WEBAUTH_REDIRECT

Ravitaillement de client

À cette étape, le trafic de navigateur Web de point final est réorienté à ISE pour le ravitaillement de client :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-13.png

Si nécessaire, AnyConnect avec le module de posture et de conformité est mis à jour.

Contrôle de posture et CoA

Le module de posture est exécuté, découvre ISE (il pourrait exiger pour avoir l'enregistrement des DN A pour qu'enroll.cisco.com réussisse), télécharge et vérifie des états de posture, nouvelle action de périphérique USB de bloc OPSWAT v4. Le message configuré sera affiché pour l'utilisateur :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-14.png

Une fois que le message est confirmé, le périphérique USB n'est plus disponible pour l'utilisateur :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-15.png

L'ASA retire l'ACL de redirection fournissant l'accès complet. AnyConnect signale la conformité :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-16.png

Également les rapports détaillés sur ISE peuvent confirmer que des conditions exigées sont passées.

Estimation de posture par condition :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-17.png

Estimation de posture par point final :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-18.png

Détails d'état de point final :

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-19.png

Dépanner

ISE peut fournir les détails sur les conditions manquantes, des actions devrait être pris en conséquence.

Références

TAC Authored

Contribution d’experts de Cisco

  • Eugene Korneychuk
    Ingénieur TAC Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits