Configuration de l'accès sécurisé pour l'évaluation de la position de RA-VPNaaS avec ISE

Mis à jour:12 avril 2024
ID du document:221882

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer l'évaluation de position pour les utilisateurs VPN d'accès à distance avec Identity Service Engine (ISE) et Secure Access.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    Composants utilisés

    Les informations contenues dans ce document sont basées sur : 

    • Identity Service Engine (ISE) version 3.3, correctif 1
    • Accès sécurisé
    • Client sécurisé Cisco - Anyconnect VPN Version 5.1.2.42

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Accès sécurisé - ISE - OrganigrammeAccès sécurisé - ISE - Schéma

    L'intégration de Cisco Secure Access avec Identity Services Engine (ISE) offre une approche de sécurité complète, qui tire parti de différents protocoles d'authentification, notamment MS-CHAPv2, pour sécuriser les connexions. Cisco Secure Access, avec sa solution avancée Security Service Edge (SSE), améliore la connectivité sécurisée dans les environnements hyperdistribués, offrant des fonctionnalités telles que VPN as a Service (VPNaaS), qui peuvent être protégées à l'aide des fonctionnalités ISE.

    Cette intégration permet un accès transparent et sécurisé, permettant aux utilisateurs de se connecter à n'importe quelle application, n'importe où, avec des performances et une sécurité optimisées. L'utilisation des fonctionnalités avancées de Cisco ISE, telles que l'évaluation de la position, renforce encore ce modèle de sécurité en évaluant la conformité des PC par rapport aux politiques internes de l'utilisateur avant d'autoriser l'accès. Cela garantit que seuls les périphériques répondant aux exigences de sécurité de l'entreprise peuvent accéder aux ressources réseau, réduisant ainsi le risque de vulnérabilités.

    note-icon

    Remarque : pour configurer l'intégration RADIUS, vous devez vous assurer que vous avez une communication entre les deux plates-formes.

    Diagramme du réseau

    Accès sécurisé - ISE - Schéma du réseau

    Configurer

    note-icon

    Remarque : avant de commencer le processus de configuration, vous devez effectuer les premières étapes avec Secure Access et l'intégration ISE.

    Configuration d'accès sécurisé

    Configurer le groupe Radius sur les pools IP

    Pour configurer le profil VPN à l'aide de Radius, procédez comme suit : 

    Accédez à votre tableau de bord d'accès sécurisé.

    • Cliquez sur Connect > Enduser Connectivity > Virtual Private Network
    • Sous votre configuration de pool (Manage IP Pools), cliquez surManage
      •

    Accès sécurisé : gestion des pools d'adresses IP

    • Sélectionnez le IP Pool Region et configurez le Radius Server
      •

    Accès sécurisé - POP - Gérer le pool d'adresses IP

    • Cliquez sur le crayon pour le modifier
      •

    Accès sécurisé - Bouton Modifier

    • À présent, dans la liste déroulante de configuration de la section IP Pool, sous Radius Group (Optional)
    • Cliquer Add RADIUS Group
      •

    Accès sécurisé - Groupes RADIUS

    Accès sécurisé - Configuration de Radius

    • Sous Général, configurez les options suivantes : 
      •

    Accès sécurisé - Radius AAA

    • Group Name: configurez un nom pour votre intégration ISE dans Secure Access
      • AAA method
        • Authentication: cochez la case pour Authentication et sélectionnez le port, par défaut, 1812
          • Si votre authentification nécessite une case à cocher,Microsoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2) cochez-la
        • Authorization: cochez la case pour Authorization et sélectionnez le port, par défaut, est 1812
          • Cochez la case pour Authorization mode Only Change of Authorization (CoA) mode et pour autoriser la position et les modifications depuis ISE
        • Accounting: cochez la case Autorisation et sélectionnez le port 1813 par défaut
          • Choisir Single or Simultaneous (en mode unique, les données de comptabilité sont envoyées à un seul serveur. En mode simultané, les données de gestion des comptes à tous les serveurs du groupe)
          • Cochez la case pour Accounting update activer la génération périodique de messages RADIUS Interim-accounting-update.
            •
    caution-icon

    Attention : lorsque les Authentication et les Authorization méthodes sont sélectionnées, le même port doit être utilisé.
    • Ensuite, vous devez configurer l' RADIUS Servers (ISE) qui est utilisé pour authentifier via AAA dans la section RADIUS Servers:
    • Cliquez sur + Add
      •

    Accès sécurisé - Serveurs Radius

    • Configurez ensuite les options suivantes :
      •

    Accès sécurisé - Configuration du serveur Radius

    • Server Name: configurez un nom pour identifier votre serveur ISE.
    • IP Address: configurez l'adresse IP de votre périphérique Cisco ISE accessible via l'accès sécurisé
    • Secret Key: configurez votre clé secrète RADIUS
    • Password: configurez votre mot de passe Radius
      •
    • Cliquez sur Save et attribuez votre serveur Radius sous l'Assign Server option et sélectionnez votre serveur ISE :
      •

    Serveurs Radius - Affecter des serveurs

    • Cliquez à Save nouveau pour enregistrer la configuration terminée
      •

    Serveurs Radius - Serveurs affectés

    Maintenant que vous avez configuré votre serveur ISE sous le pool d'adresses IP, vous devez le configurer sous votre VPN Profiles.

    Pool de gestion - Radius affecté

    Configurez votre profil VPN pour utiliser ISE

    Pour configurer le profil VPN, accédez à votre tableau de bord d'accès sécurisé.

    • Cliquez sur Connect > Enduser Connectivity > Virtual Private Network
    • VPN Profiles Cliquet Inférieur + Add
    • Configurez ensuite les options suivantes :
      •

    Paramètres généraux

    Accès sécurisé - RA-VPN - Paramètres généraux

    • VPN Profile name: configurez un nom pour votre nom de profil
    • Default Domain: configurez votre domaine.
    • DNS Server: sélectionnez le serveur DNS (Domain Name Server) que vous avez configuré
    • Protocol: configurez les protocoles que vous devez autoriser sous le VPN
    • Connect Time posture: choisissez une posture ou laissez la valeur Aucun
      •
    • Après cela, cliquez sur Next
      •

    Authentification, autorisation et administration (AAA)

    Authentification

    Accès sécurisé - RA-VPN - Authentification

    • Authentication
      • Protocols: Choisir Radius
      • Map authentication groups to regions: choisissez les régions et choisissez votre Radius Groups
        •
    • Cliquer Next
      •
    note-icon

    Remarque : vous devez cocher toutes les régions et sélectionner les groupes de rayons si vous avez plusieurs régions. Si vous ne le faites pas, votre Next bouton est grisé.

    Après avoir configuré toutes les parties d'authentification, passez à l'autorisation.

    Autorisation

    Accès sécurisé - RA-VPN - Autorisation

    • Authorization
      • Enable Radius Authorization: cochez la case pour activer l'autorisation radius.
      • Sélectionnez un groupe pour toutes les régions : cochez la case pour utiliser un serveur RADIUS spécifique pour tous les pools d'accès à distance - réseau privé virtuel (RA-VPN) ou définissez-le séparément pour chaque pool
        •
    • Cliquer Next
      •

    Après avoir configuré l'ensemble de la Authorization pièce, passez à l' Accounting.

    note-icon

    Remarque : si vous n'activez pas Radio Authorization, la posture ne peut pas fonctionner.

    Gestion de comptes

    Accès sécurisé - RA-VPN - Comptabilité

    • Accounting
      • Map Authorization groups to regions: choisissez les régions et choisissez votre Radius Groups
    • Cliquer Next
      •

    After you have done configured the Authentication, Authorization and Accounting veuillez poursuivre avecTraffic Steering.

    Orientation Du Trafic

    Sous l'orientation du trafic, vous devez configurer le type de communication via l'accès sécurisé.

    Accès sécurisé - RA-VPN - MODE VPN

    • Si vous le souhaitez Connect to Secure Access, tous vos trafics Internet passent par Secure Access
      •

    Accès sécurisé - RA-VPN - Connexion à un accès sécurisé

    Si vous souhaitez ajouter des exclusions pour les domaines Internet ou les adresses IP, cliquez sur le + Add bouton, puis cliquez sur Next.

    • Si vous le souhaitez Bypass Secure Access, tout votre trafic Internet passe par votre fournisseur d'accès Internet, et non parSecure Access (Pas de protection Internet)
      •

    Secure Access - RA-VPN - All Traffic is Steered outside the Tunnel

    note-icon

    Remarque : veuillez ajouter enroll.cisco.com pour la position ISE lorsque vous choisissez Bypass Secure Access.

    Au cours de cette étape, vous sélectionnez toutes les ressources réseau privées auxquelles vous souhaitez accéder via le VPN. Pour ce faire, cliquez sur + Add, puis cliquez sur Next lorsque vous avez ajouté toutes les ressources.

    Configuration du client sécurisé Cisco

    Accès sécurisé - RA-VPN - Configurations client sécurisées

    Dans cette étape, vous pouvez tout conserver par défaut et cliquer sur Save, mais si vous souhaitez personnaliser davantage votre configuration, consultez le Guide de l'administrateur du client sécurisé Cisco.

    Configurations ISE

    Configurer la liste des périphériques réseau

    Pour configurer l'authentification via Cisco ISE, vous devez configurer les périphériques autorisés qui peuvent émettre des requêtes vers votre Cisco ISE :

    • Naviguez jusqu'à Administration > Network Devices
    • Cliquez sur + Add 
      •

    ISE - Liste des périphériques réseau - CSA

    • Name: utilisez un nom pour identifier l'accès sécurisé
    • IP  Address: configurez le nomManagement Interface de l'étape, IP Pool Region
    • Device Profile: choisissez Cisco
      • Radius Authentication Settings
        • Shared Secret: Configurez le même secret partagé configuré à l'étape, Clé secrète
        • CoA Port: Laissez-le par défaut ; 1700 est également utilisé dans Secure Access
          •

    Après ce clic Save, pour vérifier si l'intégration fonctionne correctement, créez un utilisateur local pour la vérification de l'intégration.

    Configurer un groupe

    Pour configurer un groupe à utiliser avec des utilisateurs locaux, procédez comme suit :

    • Cliquez dans Administration > Groups
    • Cliquer User Identity Groups
    • Cliquer + Add
    • Créez un Namepour le groupe et cliquez sur Submit
      •

    ISE - Groupe d'identités utilisateur

    Configurer l'utilisateur local

    Pour configurer un utilisateur local afin de vérifier votre intégration :

    • Naviguez jusqu'à Administration > Identities
    • Cliquez sur Add +
      •

    ISE - Utilisateur local

    ISE - Liste des périphériques réseau

    • Username: Configurez le nom d'utilisateur avec un approvisionnement UPN connu dans Secure Access ; cela est basé sur l'étape, Prérequis
    • Status:Actif
    • Password Lifetime: Vous pouvez le configurer With Expiration ou Never Expires, selon vos besoins
    • Login Password: crée un mot de passe pour l'utilisateur
    • User Groups: sélectionnez le groupe créé à l'étape Configurer un groupe
      •
    note-icon

    Remarque : l'authentification basée sur UPN est configurée pour changer dans les prochaines versions de Secure Access.

    Après cela, vous pouvez Save modifier la configuration et passer à l'étape, Configure Policy Set.

    Configurer le jeu de stratégies

    Dans l'ensemble de stratégies, configurez l'action qu'ISE effectue pendant l'authentification et l'autorisation. Ce scénario illustre l'exemple d'utilisation de la configuration d'une stratégie simple pour fournir un accès utilisateur. Tout d'abord, ISE vérifie l'origine des authentifications RADIUS et vérifie si les identités existent dans la base de données utilisateur ISE pour fournir l'accès

    Pour configurer cette stratégie, accédez à votre tableau de bord Cisco ISE : 

    • Cliquez sur Policy > Policy Sets
    • Cliquez sur + pour ajouter un nouvel ensemble de stratégies
      •

    ISE - Ensemble de stratégies

    Dans ce cas, créez un nouvel ensemble de stratégies au lieu de travailler avec celui par défaut. Configurez ensuite l'authentification et l'autorisation en fonction de cet ensemble de stratégies. La stratégie configurée autorise l'accès au périphérique réseau défini à l'étape Configurer la liste des périphériques réseau pour vérifier que ces authentifications proviennent de CSA Network Device List puis entrent dans la stratégie en tant que Conditions. Et enfin, les protocoles autorisés, comme Default Network Access.

    Pour créer le condition qui correspond au jeu de stratégies, procédez comme suit :

    • Cliquez sur +
    • Sous Condition Studio, les informations disponibles incluent : 
      •

    ISE - Studio conditionnel

    1. Pour créer les conditions, cliquez sur Click to add an attribute
    2. Cliquez sur le Network Device bouton 
    3. Sous les options derrière, cliquez sur Network Access - Network Device Name option
    4. Sous l'option Equals, écrivez le nom du Network Device sous l'étape Configure Network Devices List
    5. Cliquer Save
      6.

    ISE - Studio conditionnel 2

    Cette stratégie approuve uniquement la demande de la source CSA de poursuivre l' Authentication et l' Authorization installation dans le cadre de l' ensemble de stratégies CSA-ISE, et vérifie également les protocoles autorisés en fonction de l' Default Network Access utilisation des protocoles autorisés.

    Le résultat de la stratégie définie doit être : 

    ISE - Studio conditionnel 3

    • Pour vérifier les Default Network Access Protocols autorisations, procédez comme suit : 
      • Cliquez surPolicy > Results
      • Cliquez sur Allowed Protocols
      • Cliquez sur Default Network Access
        •

    ISE - Studio conditionnel 4

    • Ensuite, vous voyez tous les protocoles autorisés sur Default Network Access
      •

    Configurer l'authentification et l'autorisation du jeu de stratégies

    Pour créer la Authentication et la Authorization stratégie sous la Policy Set, procédez comme suit :

    • Cliquez sur >
      •

    ISE - Ensemble de politiques - CSA ISE

    • Ensuite, les Authentication et les Authorization stratégies s'affichent : 
      •

    ISE - Ensemble de stratégies - CSA ISE - Stratégies

    Stratégie d'authentification

    Pour la stratégie d'authentification, vous pouvez configurer de nombreuses manières. Dans ce cas, vous voyez une politique pour le périphérique défini dans l'étape Configurer la liste des périphériques réseau, et vérifiez l'authentification basée sur des critères spécifiques : 

    • Les utilisateurs authentifiés via le Network Device CSA ont réussi ou refusé l'authentification.
      •

    ISE - Ensemble de stratégies - CSA ISE - Authentification

    La stratégie est la même que celle définie à l'étape Configure Policy Set.

    Politique d'autorisation

    Vous pouvez configurer la stratégie d’autorisation de différentes manières. Dans ce cas, autorisez uniquement les utilisateurs du groupe défini à l'étape Configurer un groupe.Consultez l'exemple suivant pour configurer votre stratégie d'autorisation :

    ISE - Ensemble de politiques - CSA ISE - Autorisation

    • Cliquez sur Authorization Policy
    • Cliquez sur + pour définir la politique d'autorisation comme suit : 
      •

    ISE - Ensemble de politiques - CSA ISE - Autorisation 2

    • Pour l'étape suivante, modifiez les Rule Name, Conditions et Profiles
    • Lors de la définition de la Name configuration d’un nom pour identifier facilement la stratégie d’autorisation 
    • Pour configurer le Condition, cliquez sur le bouton +
    • Sous Condition Studio, vous trouverez les informations suivantes : 
      •

    ISE - Studio conditionnel

    1. Pour créer les conditions, cliquez sur Click to add an attribute
    2. Cliquez sur le Identity Group bouton 
    3. Sous les options derrière, cliquez sur Internal User - IdentityGroup option
    4. Sous l'Equals option, utilisez la liste déroulante pour rechercher le Group approuvé pour l'authentification à l'étape, Configurer un groupe
    5. Cliquer Save
    6. Cliquer Use
      7.

    ISE - Ensemble de politiques - CSA ISE - Autorisation 3

    Après cela, vous devez définir le Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.

    1. Sous le Authorization Policy, cliquez sur le bouton déroulant sur Profiles
    2. Rechercher un permis
    3. Sélectionner PermitAccess
    4. Cliquer Save
      5.

    ISE - Ensemble de politiques - CSA ISE - Autorisation 4

    Après cela, vous avez défini votre stratégie Authentication Authorization et. Authentifiez-vous pour vérifier si l'utilisateur se connecte sans problème et si vous pouvez voir les journaux sur Secure Access et ISE.

    Pour vous connecter au VPN, vous pouvez utiliser le profil créé sur Secure Access et vous connecter via Secure Client avec le profil ISE.

    • Comment le journal s'affiche-t-il dans Secure Access lorsque l'authentification est approuvée ? 
      • Accédez au tableau de bord Secure Access
      • Cliquez sur Monitor > Remote Access Log
      •

    Accès sécurisé - Utilisateur connecté

    • Comment le journal s'affiche-t-il dans ISE lorsque l'authentification est approuvée ?
      • Accédez à la page Cisco ISE Dashboard
      • Cliquez sur Operations > Live Logs
        •

    Accès sécurisé - Journaux Radius Live

    Configuration des utilisateurs de Radius Local ou Active Directory

    Configuration de la position ISE

    Dans ce scénario, créez la configuration pour vérifier la conformité des terminaux avant d'accorder ou de refuser l'accès aux ressources internes.

    Pour le configurer, passez aux étapes suivantes :

    Configuration des conditions de posture

    • Accédez à votre tableau de bord ISE
    • Cliquez sur Work Center > Policy Elements > Conditions
    • Cliquez sur Anti-Malware
      •
    note-icon

    Remarque : vous y trouverez de nombreuses options pour vérifier la position de vos périphériques et effectuer l'évaluation correcte en fonction de vos politiques internes.

    ISE - Posture - Conditions

    • Sous Anti-Malware Conditions, cliquez sur + Add
      •

    ISE - Posture - Conditions anti-programme malveillant

    • Vous configurez le Anti-Malware Condition pour détecter l'installation de l'antivirus sur le système ; vous pouvez également choisir la version du système d'exploitation si nécessaire.
      •

    ISE - Posture - Conditions de protection contre les programmes malveillants 2

    • Name: utilisez un nom pour reconnaître la condition anti-programme malveillant
    • Operating System: choisissez le système d'exploitation que vous souhaitez mettre sous la condition
    • Vendor: choisissez un fournisseur ou ANY
    • Check Type: vous pouvez vérifier si l'agent est installé ou la version de définition de cette option.
      •
    • Pour Products for Selected Vendor, vous configurez ce que vous souhaitez vérifier à propos du logiciel anti-programme malveillant sur le périphérique.
      •

    ISE - Posture - Conditions de protection contre les programmes malveillants - Conditions de base

    1. Cochez la case correspondant aux conditions que vous souhaitez évaluer
    2. Configurez la version minimale à vérifier
    3. Cliquez sur Enregistrer pour passer à l'étape suivante
      4.

    Une fois que vous l'avez configuré, vous pouvez passer à l'étape Configure Posture Requirements.

    Configuration des exigences de posture

    • Accédez à votre tableau de bord ISE
    • Cliquez sur Work Center > Policy Elements > Requeriments
    • Cliquez sur Edit l'une des conditions requises, puis sur Insert new Requirement
      •

    ISE - Posture - Actions correctives

    • Sous la nouvelle condition, configurez les paramètres suivants :
      •

    ISE - Posture - Conditions requises

    • Name: configurez un nom pour reconnaître la condition requise en matière de protection contre les programmes malveillants
    • Operating System: choisissez le système d'exploitation que vous choisissez dans l'étape de condition, Système d'exploitation  
    • Compliance Module: Vous devez vous assurer de sélectionner le même module de conformité que celui que vous avez sous l'étape de condition, Condition anti-programme malveillant
    • Posture Type: Choisir un agent
    • Conditions: sélectionnez la ou les conditions que vous avez créées à l'étape Configurer les conditions de posture
    • Remediations Actions: choisissez Message Text Only pour cet exemple ou, si vous disposez d'une autre action corrective, utilisez-la
    • Cliquer Save
      •

    Une fois la configuration effectuée, vous pouvez passer à l'étape suivante : Configure Posture Policy

    Configurer la politique de posture

    • Accédez à votre tableau de bord ISE
    • Cliquez sur Work Center > Posture Policy
    • Cliquez sur Edit l'une des stratégies, puis sur Insert new Policy
      •

    ISE - Insérer une nouvelle stratégie

    • Dans la nouvelle stratégie, configurez les paramètres suivants :
      •

    ISE - Options de stratégie

    • Status: cochez la case no enable the policy
    • Rule Name: configurez un nom pour reconnaître la stratégie configurée
    • Identity Groups: choisissez les identités que vous souhaitez évaluer
    • Operating Systems: choisissez le système d'exploitation en fonction de la condition et de la condition configurées avant
    • Compliance Module: choisissez le module de conformité en fonction de la condition et de la condition configurées avant
    • Posture Type: Choisir un agent
    • Requeriments: choisissez les exigences configurées à l'étape Configurer les exigences de posture
    • Cliquer Save
      •

    Configurer le provisionnement client

    Pour fournir aux utilisateurs le module ISE, configurez le provisionnement client pour équiper les machines du module de posture ISE. Cela vous permet de vérifier la position des machines une fois l'agent installé. Pour poursuivre ce processus, voici les étapes suivantes :

    Accédez à votre tableau de bord ISE.

    • Cliquez sur Work Center > Client Provisioning
    • Choisir Resources
      •

    Vous devez configurer trois éléments dans le cadre du provisionnement du client :

    Ressources à configurer

    Description

    1. Agent Resources

    Package d'approvisionnement Web du client sécurisé.

    2. Compliance Module

    Module de conformité Cisco ISE

    3. Agent Profile

    Contrôle du profil d'approvisionnement.

    3. Agent Configuration

    Définissez les modules à provisionner en configurant le portail de provisionnement, à l'aide du profil d'agent et des ressources d'agent.

    Step 1 Télécharger et charger les ressources de l'agent

    • Pour ajouter une nouvelle ressource d'agent, accédez au portail de téléchargement Cisco et téléchargez le package de déploiement Web ; le fichier de déploiement Web doit être au format .pkg.
      •

    CISCO - Déploiement Web

    • Cliquez sur + Add > Agent resources from local disk et téléchargez les packages
      •

    ISE - Ressources d'agent du disque local

    Step 2Télécharger le module de conformité 

    • Cliquez sur + Add > Agent resources from Cisco Site
      •

    ISE - Ressources d'agent du site Cisco

    • Cochez la case correspondant à chaque module de conformité requis et cliquez sur Save
      •

    ISE - Télécharger des ressources distantes

    Step 3Configuration du profil d'agent

    • Cliquez sur + Add > Agent Posture Profile
      •

    ISE - Profil de posture de l'agent

    • Créez un Name pour le Posture Profile
      •

    ISE - Profil de posture de l'agent 2

    • Sous Règles de nom de serveur, placez un * et cliquez Save ensuite
      •

    ISE - Protocole de posture

    Step 4 Configuration de l'agent

    • Cliquez sur + Add > Agent Configuration
      •

    jmorenoc_0-1712071678317

    • Ensuite, configurez les paramètres suivants : 
      •

    jmorenoc_2-1712071868425

    jmorenoc_3-1712072698677

    note-icon

    Remarque : il est recommandé que chaque système d'exploitation, Windows, Mac OS ou Linux, dispose d'une configuration client indépendante.

    Configurer la politique de provisionnement client

    Pour activer le provisionnement de la position ISE et des modules configurés à la dernière étape, vous devez configurer une stratégie pour effectuer le provisionnement.

    • Accédez à votre tableau de bord ISE
    • Cliquez sur Work Center > Client Provisioning
      •
    note-icon

    Remarque : il est recommandé que chaque système d'exploitation, Windows, Mac OS ou Linux, dispose d'une stratégie de configuration client.

    Activation - Redirection du portail

    • Rule Name: configurez le nom de la stratégie en fonction du type de périphérique et du groupe d'identités sélectionnés afin d'identifier facilement chaque stratégie
    • Identity Groups: choisissez les identités que vous souhaitez évaluer sur la stratégie
    • Operating Systems: choisissez le système d'exploitation en fonction du package d'agent sélectionné à l'étape Sélectionner un package d'agent
    • Other Condition: choisissez en Network Access fonction de la méthodeAuthentication MethodEQUALS configurée à l'étape, Ajouter un groupe RADIUS ou laissez en blanc
    • Result: sélectionnez la configuration de l'agent configurée à l'étape 4. Configurez la configuration de l'agent 
      • Native Supplicant Configuration: sélectionnez Config Wizard et Wizard Profile
    • Marquez la stratégie comme étant activée si elle n'est pas répertoriée comme étant activée dans la case à cocher.
      •

    Créer les profils d'autorisation

    Le profil d'autorisation limite l'accès aux ressources en fonction de la position des utilisateurs après le passage de l'authentification. L'autorisation doit être vérifiée pour déterminer les ressources auxquelles l'utilisateur peut accéder en fonction de la position.

    Profil d'autorisation

    Description

    Conforme

    Compatible utilisateur - Agent installé - Posture vérifiée

    Conformité inconnue

    User Uknown Compliant - Rediriger pour installer l'agent - Position en attente à vérifier

    RefuserAccès

    Utilisateur non conforme - Refuser l'accès

    Pour configurer la liste de contrôle d'accès, accédez au tableau de bord ISE :

    • Cliquez sur Work Centers > Policy Elements > Downloadable ACLs
    • Cliquez sur +Add
    • Créez le Compliant DACL
      •

    ISE - DACL - Conformité CSA

    • Name: ajoutez un nom qui fait référence à la conformité DACL
    • IP version: Choisir IPv4
    • DACL Content: création d'une liste de contrôle d'accès téléchargeable (DACL) donnant accès à toutes les ressources du réseau
      •  
    permit ip any any

    Cliquez sur Save et créez la DACL de conformité inconnue

    • Cliquez sur Work Centers > Policy Elements > Downloadable ACLs
    • Cliquez sur +Add
    • Créez le Unknown Compliant DACL
      •

    ISE - DACL - CSA-Redirect_To_ISE

    • Name: ajoutez un nom qui fait référence à la DACL-Unknown-Compliant
    • IP version: Choisir IPv4
    • DACL Content: Créez une liste de contrôle d'accès DACL qui donne un accès limité au réseau, DHCP, DNS, HTTP et au portail d'approvisionnement sur le port 8443
      •  

    permit udp any any eq 67
permit udp any any eq 68 
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
    note-icon

    Remarque : dans ce scénario, l'adresse IP 192.168.10.206 correspond au serveur Cisco Identity Services Engine (ISE) et le port 8443 est désigné pour le portail de mise en service. Cela signifie que le trafic TCP vers l'adresse IP 192.168.10.206 via le port 8443 est autorisé, ce qui facilite l'accès au portail d'approvisionnement.

    À ce stade, vous disposez de la liste de contrôle d’accès requise pour créer les profils d’autorisation.

    Pour configurer les profils d'autorisation, accédez au tableau de bord ISE :

    • Cliquez sur Work Centers > Policy Elements > Authorization Profiles
    • Cliquez sur +Add
    • Créez le Compliant Authorization Profile
      •

    ISE - Profil d'autorisation - Conformité CSA

    ISE - Profil d'autorisation - DACL conforme CSA

    • Name: créez un nom faisant référence au profil d'autorisation conforme
    • Access Type: Choisir ACCESS_ACCEPT
      •

    • Common Tasks
      • DACL NAME: sélectionnez la DACL configurée à l'étape DACL conforme
      •

    Cliquez sur Save et créez le Unknown Authorization Profile

    • Cliquez sur Work Centers > Policy Elements > Authorization Profiles
    • Cliquez sur +Add
    • Créez le Uknown Compliant Authorization Profile
      •

    ISE - Profil d'autorisation - CSA-Inconnu-Conforme

    ISE - Profil d'autorisation - DACL CSA_Redirect_To_ISE

    ISE - Profil d'autorisation - Redirection Web

    • Name: créez un nom faisant référence au profil d'autorisation conforme inconnu
    • Access Type: Choisir ACCESS_ACCEPT
      •

    • Common Tasks
      • DACL NAME: sélectionnez la DACL configurée à l'étape DACL conforme inconnu
      • Web Redirection (CWA,MDM,NSP,CPP)
        • Choisir Client Provisioning (Posture)
        • ACL: doit être redirect
        • Value: choisissez le portail de mise en service par défaut ou, si vous en avez défini un autre, choisissez-le
          •
    note-icon

    Remarque : le nom de la liste de contrôle d'accès de redirection sur l'accès sécurisé pour tous les déploiements est redirect.

    Une fois que vous avez défini toutes ces valeurs, vous devez avoir quelque chose de similaire sous Attributes Details.

    ISE - Profil d'autorisation - Détails des attributs

    Cliquez sur ce bouton Save pour mettre fin à la configuration et passer à l'étape suivante.

    Configurer le jeu de stratégies de position

    Ces trois stratégies que vous créez sont basées sur les profils d'autorisation que vous avez configurés ; par DenyAccessexemple, vous n'avez pas besoin d'en créer un autre.

    Ensemble de stratégies - Autorisation

    Profil d'autorisation

    Conforme

    Profil d'autorisation - Conforme

    Conformité inconnue

    Profil d'autorisation - Inconnu Conforme

    Non Conforme

    RefuserAccès

    Accédez à votre tableau de bord ISE

    • Cliquez sur Work Center > Policy Sets
    • Cliquez sur > pour accéder à la stratégie que vous avez créée
      •

    ISE - Ensemble de politiques - CSA - ISE

    • Cliquez sur le bouton Authorization Policy
      •

    ISE - Ensemble de stratégies - Stratégie d'autorisation

    • Créez les trois stratégies suivantes dans l'ordre suivant :
      •

    ISE - Ensemble de stratégies - Stratégies d'autorisation

    • Cliquez sur + pour définir la CSA-Compliance politique : 
      •

    ISE - Ensemble de stratégies - Règle d'autorisation

    • Pour l'étape suivante, modifiez les Rule Name, Conditions et Profiles
    • Lorsque vous définissez le paramètre Name configure a name sur CSA-Compliance
    • Pour configurer le Condition, cliquez sur le bouton +
    • Sous Condition Studio, vous trouverez les informations suivantes : 
      •

    ISE - Studio conditionnel

    1. Pour créer la condition, recherchez compliant
    2. Vous devez avoir affiché Compliant_Devices
    3. Glisser-déplacer sous le Editor
    4. Pour créer la deuxième condition, recherchez network
    5. Vous devez avoir affiché Network_Access_Authentication_Passed
    6. Glisser-déplacer sous le Editor
    7. Cliquez sous la Editor dans New
    8. Cliquez sur l'Identity Group icône
    9. Choisir Internal User Identity Group
    10. Sous Equals, sélectionnez le User Identity Group que vous souhaitez faire correspondre
    11. Cliquer Use
      12.

    ISE - Conditions Studio - Périphériques compatibles

    • Par conséquent, vous obtenez l'image suivante
      •

    ISE - Conditions Studio - Périphériques compatibles 2

    ISE - Conditions Studio - Périphériques compatibles 3

    Vous venez de configurer le Compliance Policy Set.

    • Cliquez sur + pour définir la CSA-Unknown-Compliance politique : 
      •

    ISE - Ensemble de stratégies - Règle d'autorisation

    • Pour l'étape suivante, modifiez les Rule Name, Conditions et Profiles
    • Lorsque vous définissez le paramètre Name configure a name sur CSA-Unknown-Compliance
    • Pour configurer le Condition, cliquez sur le bouton +
    • Sous Condition Studio, vous trouverez les informations suivantes : 
      •

    ISE - Studio conditionnel

    1. Pour créer la condition, recherchez compliance
    2. Vous devez avoir affiché Compliant_Unknown_Devices
    3. Glisser-déplacer sous le Editor
    4. Pour créer la deuxième condition, recherchez network
    5. Vous devez avoir affiché Network_Access_Authentication_Passed
    6. Glisser-déplacer sous le Editor
    7. Cliquez sous la Editor dans New
    8. Cliquez sur l'Identity Group icône
    9. Choisir Internal User Identity Group
    10. Sous Equals, sélectionnez le User Identity Group que vous souhaitez faire correspondre
    11. Cliquer Use
      12.

    jmorenoc_0-1713112783946

    • Par conséquent, vous obtenez l'image suivante
      •

    ISE - Conditions Studio - Conforme Inconnu 2

    ISE - Conditions Studio - Conforme Inconnu 3

    Vous venez de configurer le Unknown Compliance Policy Set.

    • Cliquez sur + pour définir la CSA- Non-Compliant politique : 
      •

    ISE - Ensemble de stratégies - Règle d'autorisation

    • Pour l'étape suivante, modifiez les Rule Name, Conditions et Profiles
    • Lorsque vous définissez le paramètre Name configure a name sur CSA-Non-Compliance
    • Pour configurer le Condition, cliquez sur le bouton +
    • Sous Condition Studio, vous trouverez les informations suivantes : 
      •

    ISE - Studio conditionnel

    1. Pour créer la condition, recherchez non
    2. Vous devez avoir affiché Non_Compliant_Devices
    3. Glisser-déplacer sous le Editor
    4. Pour créer la deuxième condition, recherchez network
    5. Vous devez avoir affiché Network_Access_Authentication_Passed
    6. Glisser-déplacer sous le Editor
    7. Cliquez sous la Editor dans New
    8. Cliquez sur l'Identity Group icône
    9. Choisir Internal User Identity Group
    10. Sous Equals, sélectionnez le User Identity Group que vous souhaitez faire correspondre
    11. Cliquer Use
      12.

    jmorenoc_1-1713112812001

    • Par conséquent, vous obtenez l'image suivante
      •

    ISE - Conditions Studio - Non conforme 2

    • Sous cliquez Profile sur le bouton déroulant et sélectionnez le profil d'autorisation de réclamation DenyAccess
      •

    ISE - Conditions Studio - Non conforme 3

    Une fois que vous avez terminé la configuration des trois profils, vous êtes prêt à tester votre intégration avec posture.

    Vérifier

    Validation de posture

    Connexion sur l'ordinateur

    Connectez-vous à votre domaine FQDN RA-VPN fourni sur Secure Access via Secure Client.

    Remarque : aucun module ISE ne doit être installé pour cette étape.

    1. Connectez-vous à l'aide du client sécurisé.

    Client sécurisé - Connexion

    2. Fournissez les informations d'identification afin de vous authentifier.

    Client sécurisé - Nom d'utilisateur - Mot de passe

    3. À ce stade, vous vous connectez au VPN, et la plupart du temps probablement, vous êtes redirigé vers ISE ; sinon, vous pouvez essayer de naviguer vers http:1.1.1.1.

    Client sécurisé - Connexion VPN

    Secure Client - Provisioning Portal

    note-icon

    Remarque : à ce stade, vous tombez sous l'autorisation - ensemble de stratégies CSA-Unknown-Compliance car vous n'avez pas installé l'agent de posture ISE sur la machine et vous êtes redirigé vers le portail de mise en service ISE pour installer l'agent.

    4. Cliquez sur Démarrer pour poursuivre le provisionnement de l'agent.

    Client sécurisé - Vérification de la sécurité du périphérique

    5. Cliquez sur + This is my first time here.

    Secure Client - Provisioning Portal - C'est ma première fois ici

    6. Cliquez sur Click here to download and install agent

    Secure Client - Provisioning Portal - Téléchargement

    7. Installer l'agent 

    Secure Client - Provisioning Portal - Téléchargement 2

    Client sécurisé - Installation terminée

    8. Une fois l'agent installé, la posture ISE commence à vérifier la posture actuelle des machines. Si les conditions de la stratégie ne sont pas remplies, une fenêtre contextuelle apparaît pour vous guider vers la conformité.

    Client sécurisé - Vérification de la position

    note-icon

    Remarque : si vous Cancel ou le temps restant se termine, vous devenez automatiquement non conforme, tombez sous le jeu de stratégies d'autorisation CSA-Non-Compliance, et vous êtes immédiatement déconnecté du VPN.

    9. Installez Secure Endpoint Agent et reconnectez-vous au VPN.

    Client sécurisé - Processus de vérification de la position

    10. Une fois que l'agent a vérifié que la machine est conforme, votre position change pour être sur plainte et donner accès à toutes les ressources sur le réseau.

    note-icon

    Remarque : une fois que vous êtes conforme, vous tombez sous le jeu de stratégies d'autorisation CSA-Compliance, et vous avez immédiatement accès à toutes vos ressources réseau.

    Comment collecter les journaux dans ISE

    Pour vérifier le résultat de l'authentification d'un utilisateur, vous disposez de deux exemples de conformité et de non-conformité. Pour le consulter dans ISE, suivez les instructions suivantes :

    • Accédez à votre tableau de bord ISE
    • Cliquez sur Operations > Live Logs
      •

    ISE - Journaux en direct Radius - Conformité de la position

    Le scénario suivant illustre l'affichage des événements de conformité et de non-conformité sous Live Logs:

    Conformité

    ISE - Journaux Radius Live - Conformité

    Non-conformité

    ISE - Journaux Radius Live - Non-conformité

    Premiers pas avec l'accès sécurisé et l'intégration ISE

    Dans l'exemple suivant, Cisco ISE se trouve sous le réseau 192.168.10.0/24 et la configuration des réseaux accessibles via le tunnel doit être ajoutée sous la configuration du tunnel.

    Step 1: Vérifiez la configuration de votre tunnel :

    Pour le vérifier, accédez à votre tableau de bord d'accès sécurisé.

    • Cliquez sur Connect > Network Connections
    • Cliquez sur Network Tunnel Groups > Votre tunnel
      •

    Accès sécurisé - Configuration du tunnel

    • Sous summary, vérifiez que le tunnel a configuré l'espace d'adressage où se trouve votre Cisco ISE :
      •

    Accès sécurisé - Configuration du tunnel - Plage d'adresses IP

    Step 2: autorisez le trafic sur votre pare-feu.

    Pour permettre à Secure Access d'utiliser votre périphérique ISE pour l'authentification Radius, vous devez avoir configuré une règle d'accès sécurisé à votre réseau avec les ports Radius requis :

    Règle

    Source

    Destination 

    Port de destination

    ISE pour un accès sécurisé

    Pool de gestion

    Serveur_ISE

    Pool IP de gestion (RA-VPN)

    ACO

    UDP 1700 (port par défaut)

    Pool IP de gestion d'accès sécurisé vers ISE

    Pool IP de gestion

    Serveur_ISE

    Authentification, autorisation

    UDP 1812 (port par défaut)

    Gestion de comptes

    UDP 1813 (port par défaut)

    Pool IP de terminaux d'accès sécurisé vers ISE

    Pool d'adresses IP

    Serveur_ISE

    Provisioning Portal

    TCP 8443 (port par défaut)

    Pool d'adresses IP de point d'accès sécurisé vers SERVEUR DNS

    Pool d'adresses IP

    Serveur DNS

    DNS

    UDP et TCP 53
    note-icon

    Remarque : si vous souhaitez en savoir plus sur les ports liés à ISE, consultez le Guide de l'utilisateur - Référence des ports.
    note-icon

    Remarque : une règle DNS est nécessaire si vous avez configuré votre ISE pour qu'il soit détecté par un nom, tel que ise.ciscosspt.es

    Pool de gestion et pools IP de terminaux

    Pour vérifier votre pool d'adresses IP de gestion et de terminaux, accédez à votre tableau de bord d'accès sécurisé :

    • Cliquez sur Connect > End User Connectivity
    • Cliquez sur Virtual Private Network
    • Sous Manage IP Pools
    • Cliquez sur Manage
      •

    Accès sécurisé - POP

    Étape 3 : vérifiez que votre ISE est configuré sous Ressources privées

    Pour permettre aux utilisateurs connectés via le VPN de naviguer vers ISE Provisioning Portal, vous devez vous assurer que vous avez configuré votre périphérique en tant que ressource privée pour fournir l'accès, qui est utilisé pour permettre le provisionnement automatique du ISE Posture Module via le VPN.

    Pour vérifier que vous avez configuré ISE correctement, accédez à votre tableau de bord d'accès sécurisé :

    • Cliquez sur Resources > Private Resources
    • Cliquez sur la ressource ISE
      •

    Accès sécurisé - Ressource privée

    Accès sécurisé - Ressource privée - VPN

    Si nécessaire, vous pouvez limiter la règle au port du portail d'approvisionnement (8443).

    note-icon

    Remarque : assurez-vous d'avoir coché la case correspondant aux connexions VPN.

    Étape 4 : Autorisez l'accès ISE dans le cadre de la stratégie d'accès

    Pour autoriser les utilisateurs connectés via le VPN à accéder à ISE Provisioning Portal, vous devez être sûr d'avoir configuré et Access Policy d'autoriser les utilisateurs configurés sous cette règle à accéder à la ressource privée configurée dans Step3.

    Pour vérifier que vous avez configuré ISE correctement, accédez à votre tableau de bord d'accès sécurisé :

    • Cliquez sur Secure > Access Policy
    • Cliquez sur la règle configurée pour autoriser l'accès des utilisateurs VPN à ISE
      •

    Accès sécurisé - Politique d'accès

    Dépannage

    Téléchargement des journaux de débogage de la position ISE

    Pour télécharger les journaux ISE afin de vérifier un problème lié à la position, procédez comme suit : 

    • Accédez à votre tableau de bord ISE
    • Cliquez sur Operations > Troubleshoot > Debug Wizard
      •

    ISE - Assistant de débogage

    • Cliquez sur Debug Profile Configuration
      •

    ISE - Configuration du profil de débogage

    • Cochez la case correspondant à Posture > Debug Nodes 
      •

    ISE - Noeuds de débogage

    • Cochez la case des noeuds ISE sur lesquels vous devez activer le mode de débogage pour résoudre votre problème
      •

    ISE - DEBUG NODE - Avertissement

    • Cliquer Save
      •

    ISE - Noeuds de débogage - Enregistrer

    caution-icon

    Attention : après ce point, vous devez commencer à reproduire votre problème ; the debug logs can affect the performance of your device.

    Une fois le problème reproduit, passez aux étapes suivantes :

    • Cliquez sur Operations > Download Logs
    • Sélectionnez le noeud à partir duquel vous voulez prendre les journaux
      •

    ISE - Liste des noeuds d'appliance

    • Sous Support Bundle, choisissez les options suivantes :
      •

    ISE - Inclure les journaux de débogage

    • Include debug logs
    • Sous Support Bundle Encryption
      • Shared Key Encryption
        • Remplir Encryption key et Re-Enter Encryption key
    • Cliquer Create Support Bundle
    • Cliquer Download
      •

    ISE - Journaux de téléchargement

    icône d'avertissement

    Avertissement : désactivez le mode de débogage activé à l'étape Configuration du profil de débogage

    Vérification des journaux d'accès à distance Secure Access

    Accédez à votre tableau de bord Secure Access :

    • Cliquez sur Monitor > Remote Access Logs
      •

    Accès sécurisé - Journaux d'accès à distance

    Générer un bundle DART sur le client sécurisé

    Pour générer un bundle DART sur votre machine, vérifiez l'article suivant : 

    Outil Cisco Secure Client Diagnostic and Reporting Tool (DART)

    note-icon

    Remarque : une fois que vous avez collecté les journaux indiqués dans la section de dépannage, ouvrez un dossier avec TAC pour poursuivre l'analyse des informations.

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    12-Apr-2024
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Jairo Moreno
      Ingénieur-conseil technique
    • Emmanuel Cano Gutierrez
      Services professionnels
    • Amit Arora
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits