Configurazione di Secure Access per la valutazione della postura RA-VPNaaS con ISE

Aggiornato:12 aprile 2024
ID documento:221882

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come configurare la valutazione della postura per gli utenti VPN ad accesso remoto con Identity Service Engine (ISE) e Secure Access.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    Componenti usati

    Le informazioni fornite in questo documento si basano su: 

    • Patch 1 per Identity Service Engine (ISE) versione 3.3
    • Accesso sicuro
    • Cisco Secure Client - Anyconnect VPN versione 5.1.2.42

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Secure Access - ISE - diagramma di flussoSecure Access - Diagramma ISE

    L'integrazione di Cisco Secure Access con Identity Services Engine (ISE) offre un approccio completo alla sicurezza, che sfrutta diversi protocolli di autenticazione, incluso MS-CHAPv2, per proteggere le connessioni. Cisco Secure Access, con la sua soluzione SSE (Security Service Edge) avanzata, migliora la connettività sicura in ambienti iper-distribuiti, offrendo funzionalità come VPN as a Service (VPNaaS), che possono essere protette utilizzando le funzionalità ISE.

    Questa integrazione consente un accesso semplice e sicuro, consentendo agli utenti di connettersi a qualsiasi applicazione, ovunque, con prestazioni e sicurezza ottimizzate. L'utilizzo delle funzionalità avanzate di Cisco ISE, come la valutazione della postura, rafforza ulteriormente questo modello di sicurezza valutando la conformità dei PC alle policy interne dell'utente prima di consentire l'accesso. In questo modo, solo i dispositivi che soddisfano i requisiti di sicurezza dell'organizzazione possono accedere alle risorse di rete, riducendo il rischio di vulnerabilità.

    note-icon

    Nota: per configurare l'integrazione RADIUS, è necessario verificare la comunicazione tra entrambe le piattaforme.

    Esempio di rete

    Secure Access - ISE - Diagramma reticolare

    Configurazione

    note-icon

    Nota: prima di iniziare il processo di configurazione, è necessario completare i primi passaggi con Secure Access e ISE Integration.

    Configurazione accesso sicuro

    Configurazione del gruppo Radius sui pool IP

    Per configurare il profilo VPN utilizzando Radius, procedere con i passaggi seguenti: 

    Passare al Dashboard di accesso sicuro.

    • Fare clic su Connect > Enduser Connectivity > Virtual Private Network
    • In Configurazione pool (Manage IP Pools), fare clic suManage
      •

    Accesso sicuro - Gestione pool IP

    • Scegliere IP Pool Region e configurare Radius Server
      •

    Accesso sicuro - POP - Gestisci pool IP

    • Fare clic sulla matita da modificare
      •

    Accesso sicuro - Pulsante Modifica

    • A questo punto, nell'elenco a discesa Configurazione della sezione Pool IP in Radius Group (Optional)
    • Fare clic su Add RADIUS Group
      •

    Accesso sicuro - Gruppi RADIUS

    Accesso sicuro - Configurazione Radius

    • In Generale configurare le opzioni seguenti: 
      •

    Accesso sicuro - Radius AAA

    • Group Name: configurare un nome per l'integrazione ISE in Secure Access
      • AAA method
        • Authentication: selezionare la casella di controllo Authentication e, per impostazione predefinita, selezionare la porta 1812
          • Se per l'autenticazione è necessario Microsoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2) selezionare la casella di controllo
        • Authorization: selezionare la casella di controllo per Authorization e selezionare la porta, per impostazione predefinita, 1812
          • Contrassegnare la casella di controllo per Authorization mode Only Change of Authorization (CoA) mode e per consentire la postura e le modifiche da ISE
        • Accounting: selezionare la casella di controllo Autorizzazione e selezionare la porta predefinita, 1813
          • Scegliere Single or Simultaneous (in modalità singola i dati di accounting vengono inviati a un solo server. in modalità simultanea, dati di accounting per tutti i server del gruppo)
          • Selezionare la casella di controllo per Accounting update abilitare la generazione periodica dei messaggi di aggiornamento dell'accounting intermedio RADIUS.
            •
    icona di attenzione

    Attenzione: entrambi i Authentication metodi e, quando vengono selezionati, devono utilizzare la stessa porta. Authorization Nota
    • Quindi, configurare l'RADIUS Servers (ISE) da utilizzare per l'autenticazione tramite AAA sulla sezione RADIUS Servers:
    • Fare clic su + Add
      •

    Accesso sicuro - Server Radius

    • Quindi, configurare le opzioni successive:
      •

    Accesso sicuro - Configurazione server Radius

    • Server Name: configurare un nome per identificare il server ISE.
    • IP Address: configurare l'indirizzo IP del dispositivo Cisco ISE raggiungibile tramite l'accesso sicuro
    • Secret Key: configurare la chiave privata RADIUS
    • Password: configurare la password Radius
      •
    • Fare clic Save e assegnare il server Radius sotto l'opzioneAssign Server e selezionare il server ISE:
      •

    Server Radius - Assegna server

    • Fare di Save nuovo clic per salvare tutte le configurazioni
      •

    Server Radius - Server assegnati

    Ora che il server ISE è stato configurato nel pool IP, è necessario configurarlo nel VPN Profilesserver.

    Pool di gestione - Radius assegnato

    Configurazione del profilo VPN per l'uso di ISE

    Per configurare il profilo VPN, passare al dashboard di accesso sicuro.

    • Fare clic su Connect > Enduser Connectivity > Virtual Private Network
    • VPN Profiles Fare clic sotto + Add
    • Configurare quindi le opzioni successive:
      •

    Impostazioni generali

    Accesso sicuro - RA-VPN - Impostazioni generali

    • VPN Profile name: configurare un nome per il profilo
    • Default Domain: configurare il dominio.
    • DNS Server: scegliere il server DNS (Domain Name Server) configurato dall'utente
    • Protocol: configurare i protocolli che devono essere autorizzati dalla VPN
    • Connect Time posture: scegliere una postura o lasciarla invariata
      •
    • Quindi fare clic su Next
      •

    Autenticazione, autorizzazione e accounting

    Autenticazione

    Accesso sicuro - RA-VPN - Autenticazione

    • Authentication
      • Protocols: Scegli Radius
      • Map authentication groups to regions: Scegliere le aree e scegliere il proprio Radius Groups
        •
    • Fare clic su  Next
      •
    note-icon

    Nota: se disponete di più regioni, dovete selezionare tutte le regioni e selezionare i gruppi di raggio. In caso contrario, il Next pulsante è disattivato.

    Dopo aver configurato tutte le parti Authentication (Autenticazione), procedere con l'autorizzazione.

    Authorization

    Accesso sicuro - RA-VPN - Autorizzazione

    • Authorization
      • Enable Radius Authorization: selezionare la casella di controllo per attivare l'autorizzazione del raggio
      • Selezionare un gruppo per tutte le aree: selezionare la casella di controllo per utilizzare un server RADIUS specifico per tutti i pool di Accesso remoto - Rete privata virtuale (RA-VPN) oppure definirlo per ogni pool separatamente
        •
    • Fare clic su  Next
      •

    Dopo aver configurato tutte le Authorization parti, procedere con la Accountingprocedura.

    note-icon

    Nota: se non si abilita Radio Authorization, la postura non può funzionare.

    Contabilità

    Accesso sicuro - RA-VPN - Accounting

    • Accounting
      • Map Authorization groups to regions: Scegliere le aree e scegliere il proprio Radius Groups
    • Fare clic su Next
      •

    After you have done configured the Authentication, Authorization and Accounting continuare conTraffic Steering.

    Traffic Steering

    In Traffic Steering è necessario configurare il tipo di comunicazione tramite l'accesso sicuro.

    Accesso sicuro - RA-VPN - MODALITÀ VPN

    • Se lo si desidera, Connect to Secure Accessil traffico Internet verrà instradato Secure Access
      •

    Accesso sicuro - RA-VPN - Connessione ad accesso sicuro

    Se si desidera aggiungere esclusioni per domini Internet o IP, fare clic sul + Add pulsante, quindi fare clic su Next.

    • Se si decide di Bypass Secure Accessfarlo, tutto il traffico Internet passa attraverso il provider Internet, non attraversoSecure Access (nessuna protezione Internet)
      •

    Secure Access - RA-VPN - All Traffic is Steered outside the Tunnel

    note-icon

    Nota: aggiungere enroll.cisco.com per la postura ISE quando si sceglie Bypass Secure Access.

    In questo passaggio verranno selezionate tutte le risorse di rete private a cui si desidera accedere tramite la VPN. A tale scopo, fare clic su + Add, quindi su Next dopo aver aggiunto tutte le risorse.

    Cisco Secure Client Configuration

    Accesso sicuro - RA-VPN - Configurazioni client sicure

    In questo passaggio è possibile mantenere tutto come predefinito e fare clic su Save, ma se si desidera personalizzare ulteriormente la configurazione, consultare la Cisco Secure Client Administrator Guide.

    Configurazioni ISE

    Configura elenco dispositivi di rete

    Per configurare l'autenticazione tramite Cisco ISE, è necessario configurare i dispositivi autorizzati che possono inviare query a Cisco ISE:

    • Passa a Administration > Network Devices
    • Fare clic su + Add 
      •

    ISE - Network Device List - CSA

    • Name: utilizzare un nome per identificare l'accesso sicuro
    • IP  Address: configurare il valoreManagement Interface della fase, Area pool IP
    • Device Profile: Scegli Cisco
      • Radius Authentication Settings
        • Shared Secret: configurare lo stesso segreto condiviso configurato nella fase, Chiave privata
        • CoA Port: non utilizzare questa impostazione come predefinita. Il valore 1700 viene utilizzato anche in Accesso protetto
          •

    Dopo aver fatto clic su Save, per verificare se l'integrazione funziona correttamente, procedere con la creazione di un utente locale per la verifica dell'integrazione.

    Configurare un gruppo

    Per configurare un gruppo per l'utilizzo con utenti locali, procedere come segue:

    • Fare clic su Administration > Groups
    • Fare clic su  User Identity Groups
    • Fare clic su  + Add
    • Creare una Nameper il gruppo e fare clic su Submit
      •

    ISE - User Identity Group

    Configura utente locale

    Per configurare un utente locale per la verifica dell'integrazione:

    • Passa a Administration > Identities
    • Fare clic su Add +
      •

    ISE - Utente locale

    ISE - Elenco dispositivi di rete

    • Username: configurare il nome utente con un provisioning UPN noto in Secure Access. Tale configurazione è basata sul passo Prerequisiti
    • Status:Attiva
    • Password Lifetime: è possibile configurarlo With Expiration o Never Expires, a seconda delle
    • Login Password: crea una password per l'utente
    • User Groups: scegliere il gruppo creato nel passo, Configurare un gruppo
      •
    note-icon

    Nota: l'autenticazione basata sull'UPN verrà modificata nelle versioni future di Secure Access.

    Quindi, è possibile eseguire Save la configurazione e continuare con il passaggio Configure Policy Set.

    Configura set di criteri

    In base al set di criteri, configurare l'azione intrapresa da ISE durante l'autenticazione e l'autorizzazione. In questo scenario viene illustrato lo scenario di utilizzo per la configurazione di un criterio semplice per consentire l'accesso degli utenti. In primo luogo, ISE verifica l'origine delle autenticazioni RADIUS e verifica se le identità esistono nel database utenti ISE per fornire l'accesso

    Per configurare tale criterio, passare al proprio Cisco ISE Dashboard: 

    • Fare clic su Policy > Policy Sets
    • Fare clic per + aggiungere un nuovo set di criteri
      •

    ISE - Policy Set

    In questo caso, creare un nuovo set di criteri anziché utilizzare quello predefinito. Configurare quindi l'autenticazione e l'autorizzazione in base al criterio impostato. Il criterio configurato consente l'accesso al dispositivo di rete definito nel passaggio Configura elenco dispositivi di rete per verificare che le autenticazioni provengano da CSA Network Device List e quindi accedere al criterio come Conditions. E infine, i Protocolli permessi, come Default Network Access.

    Per creare l'oggetto condition che corrisponde al set di criteri, procedere con le istruzioni seguenti:

    • Fare clic su +
    • Nella sezione Condition Studio, le informazioni disponibili includono: 
      •

    ISE - Studio condizionale

    1. Per creare le Condizioni, fare clic su Click to add an attribute
    2. Fare clic sul Network Device pulsante 
    3. Sotto le opzioni sottostanti, fare clic su Network Access - Network Device Name opzione
    4. Sotto l'opzione Equals, scrivere il nome del Network Device sotto il passaggio Configure Network Devices List
    5. Fare clic su  Save
      6.

    ISE - Studio condizionale 2

    Questo criterio approva solo la richiesta dell'origine CSA di continuare l'installazione Authentication e la Authorization configurazione in base al set di criteri CSA-ISEe verifica i protocolli consentiti in base al Default Network Access per i protocolli consentiti.

    Il risultato del criterio definito deve essere: 

    ISE - Studio condizionale 3

    • Per verificare il Default Network Access Protocols permesso, procedere con le istruzioni seguenti: 
      • Fare clic suPolicy > Results
      • Fare clic su Allowed Protocols
      • Fare clic su Default Network Access
        •

    ISE - Studio condizionale 4

    • Quindi, vengono visualizzati tutti i protocolli consentiti su Default Network Access
      •

    Configura autenticazione e autorizzazione set di criteri

    Per creare il Authentication e il Authorization criterio in, Policy Setprocedere come segue:

    • Fare clic su >
      •

    ISE - Policy Set - CSA ISE

    • Successivamente, verranno visualizzati iAuthentication criteri e Authorization di: 
      •

    ISE - Policy Set - CSA ISE - Policy

    Criterio di autenticazione

    Per il criterio di autenticazione, è possibile configurare in diversi modi. In questo caso, verrà visualizzato un criterio per il dispositivo definito nel passaggio Configura elenco dispositivi di rete e verrà verificata l'autenticazione in base a criteri specifici: 

    • Gli utenti autenticati tramite Network Device CSA hanno un'autenticazione riuscita o rifiutata.
      •

    ISE - Policy Set - CSA ISE - Autenticazione

    Il criterio è lo stesso definito nel passaggio Configura set di criteri.

    Criteri di autorizzazione

    È possibile configurare i criteri di autorizzazione in diversi modi. In questo caso, autorizzare solo gli utenti del gruppo definito nel passaggio Configurare un gruppo. Vedere l'esempio successivo per configurare i criteri di autorizzazione:

    ISE - Policy Set - CSA ISE - Autorizzazione

    • Fare clic su Authorization Policy
    • Fare clic su + per definire i criteri per l'autorizzazione nel modo seguente: 
      •

    ISE - Policy Set - CSA ISE - Autorizzazione 2

    • Per il passo successivo, modificare le Rule Name, Conditionse Profiles
    • Quando si imposta il criterio Name Configura un nome per identificare facilmente il criterio di autorizzazione 
    • Per configurare la Conditionfunzione, fare clic sul pulsante +
    • In Condition Studio, sono disponibili le informazioni seguenti: 
      •

    ISE - Studio condizionale

    1. Per creare le Condizioni, fare clic su Click to add an attribute
    2. Fare clic sul Identity Group pulsante 
    3. Sotto le opzioni sottostanti, fare clic su Internal User - IdentityGroup option (Utente interno - opzione)
    4. Sotto l'Equals opzione, utilizzare l'elenco a discesa per trovare il Group approvato per l'autenticazione nel passo, Configurare un gruppo
    5. Fare clic su  Save
    6. Fare clic su  Use
      7.

    ISE - Policy Set - CSA ISE - Autorizzazione 3

    Successivamente, è necessario definire Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.

    1. Sotto il Authorization Policy, fare clic sul pulsante a discesa Profiles
    2. Cerca permesso
    3. Seleziona PermitAccess
    4. Fare clic su  Save
      5.

    ISE - Policy Set - CSA ISE - Autorizzazione 4

    In seguito, hai definito la tua Authentication Authorization politica e. Eseguire l'autenticazione per verificare se l'utente si connette senza problemi e se è possibile visualizzare i log su Secure Access e ISE.

    Per connettersi alla VPN, è possibile utilizzare il profilo creato su Secure Access e connettersi tramite Secure Client con il profilo ISE.

    • Come viene visualizzato il registro in Accesso sicuro quando l'autenticazione viene approvata? 

    Accesso sicuro - Utente connesso

    • Come viene visualizzato il registro in ISE quando l'autenticazione viene approvata?
      • Passare alla Cisco ISE Dashboard
      • Fare clic su Operations > Live Logs
        •

    Accesso sicuro - Registri Radius Live

    Configura utenti locali o di Active Directory Radius

    Configurazione della postura ISE

    In questo scenario, creare la configurazione per verificare la conformità dell'endpoint prima di concedere o negare l'accesso alle risorse interne.

    Per configurarlo, procedere con i passaggi seguenti:

    Configura condizioni di postura

    • Passa al dashboard ISE
    • Fare clic su Work Center > Policy Elements > Conditions
    • Fare clic su Anti-Malware
      •
    note-icon

    Nota: sono disponibili numerose opzioni per verificare la postura dei dispositivi e per effettuare la valutazione corretta in base alle policy interne.

    ISE - Postura - Condizioni

    • In, Anti-Malware Conditionsfare clic su + Add
      •

    ISE - Postura - Condizioni antimalware

    • È possibile configurare il softwareAnti-Malware Condition per rilevare l'installazione del software antivirus nel sistema. Se necessario, è inoltre possibile scegliere la versione del sistema operativo.
      •

    ISE - Postura - Condizioni antimalware 2

    • Name: utilizzare un nome per riconoscere la condizione antimalware
    • Operating System: scegliere il sistema operativo da impostare come condizione
    • Vendor: scegliere un fornitore o QUALSIASI
    • Check Type: è possibile verificare se l'agente è installato o la versione della definizione per l'opzione.
      •
    • Per Products for Selected Vendor, è possibile configurare ciò che si desidera verificare relativamente all'antimalware sul dispositivo.
      •

    ISE - Postura - Condizioni antimalware - Condizione linea base

    1. Selezionare la casella di controllo relativa alle condizioni che si desidera valutare
    2. Configurare la versione minima da verificare
    3. Fare clic su Salva per continuare con il passaggio successivo
      4.

    Una volta configurata, è possibile procedere con la procedura, Configure Posture Requirements.

    Configura requisiti postura

    • Passa al dashboard ISE
    • Fare clic su Work Center > Policy Elements > Requeriments
    • Fare clic su uno Edit dei requisiti e selezionare Insert new Requirement
      •

    ISE - Postura - Azioni correttive

    • In base al nuovo requisito, configurare i parametri successivi:
      •

    ISE - Postura - Requisiti

    • Name: configurare un nome per il riconoscimento dei requisiti antimalware
    • Operating System: scegliere il sistema operativo scelto nella fase della condizione Sistema operativo.  
    • Compliance Module: è necessario assicurarsi di selezionare lo stesso modulo di conformità che si ha nella fase della condizione Condizione antimalware
    • Posture Type: Scegli agente
    • Conditions: scegliere la condizione o le condizioni create nel passo Configura condizioni di postura.
    • Remediations Actions: scegliere questa opzione Message Text Only per l'esempio oppure, se si dispone di un'altra azione correttiva, utilizzarla
    • Fare clic su  Save
      •

    Una volta configurata, è possibile procedere con la procedura, Configure Posture Policy

    Configura criterio postura

    • Passa al dashboard ISE
    • Fare clic su Work Center > Posture Policy
    • Fare clic su uno Edit dei criteri e selezionare Insert new Policy
      •

    ISE - Insert New Policy (Inserisci nuovo criterio)

    • In base al nuovo criterio, configurare i parametri successivi:
      •

    ISE - Opzioni delle policy

    • Status: selezionare la casella di controllo per attivare il criterio
    • Rule Name: configurare un nome per il riconoscimento del criterio configurato
    • Identity Groups: scegliere le identità da valutare
    • Operating Systems: scegliere il sistema operativo in base alla condizione e ai requisiti configurati prima
    • Compliance Module: scegliere il modulo di conformità in base alla condizione e al requisito configurati prima
    • Posture Type: Scegli agente
    • Requeriments: scegliere i requisiti configurati nella fase, Configura requisiti postura.
    • Fare clic su  Save
      •

    Configura provisioning client

    Per fornire agli utenti il modulo ISE, configurare il provisioning del client in modo che i computer dispongano del modulo ISE Posture. Ciò consente di verificare la postura dei computer dopo l'installazione dell'agente. Per continuare con questo processo, procedere come segue:

    Passare al dashboard ISE.

    • Fare clic su Work Center > Client Provisioning
    • Scegli Resources
      •

    In provisioning client è necessario configurare tre elementi:

    Risorse da configurare

    Descrizione

    1. Agent Resources

    Pacchetto di provisioning Web client sicuro.

    2. Compliance Module

    Cisco ISE Compliance Module

    3. Agent Profile

    Controllo del profilo di provisioning.

    3. Agent Configuration

    Definire i moduli di cui eseguire il provisioning impostando il portale di provisioning, utilizzando il profilo agente e le risorse agente.

    Step 1 Scarica e carica risorse agente

    • Per aggiungere una nuova risorsa agente, accedere al portale di download Cisco e scaricare il pacchetto di distribuzione Web. Il file di distribuzione Web deve essere in formato .pkg.
      •

    CISCO - Distribuzione Web

    • Fare clic su + Add > Agent resources from local disk e caricare i pacchetti
      •

    ISE - Risorse agente dal disco locale

    Step 2Scarica il modulo sulla conformità 

    • Fare clic su + Add > Agent resources from Cisco Site
      •

    ISE - Risorse per gli agenti dal sito Cisco

    • Selezionare la casella di controllo per ogni modulo di conformità necessario e fare clic su Save
      •

    ISE - Download risorse remote

    Step 3Configurare il profilo agente

    • Fare clic su + Add > Agent Posture Profile
      •

    ISE - Agent Posture Profile

    • Creare un Name file per Posture Profile
      •

    ISE - Agent Posture Profile 2

    • In Regole nome server inserire un nome * e fare clic Save dopo
      •

    ISE - Protocollo postura

    Step 4 Configurazione dell'agente

    • Fare clic su + Add > Agent Configuration
      •

    jmorenoc_0-1712071678317

    • Quindi, configurare i parametri successivi: 
      •

    jmorenoc_2-1712071868425

    jmorenoc_3-1712072698677

    note-icon

    Nota: si consiglia che ogni sistema operativo, Windows, Mac OS o Linux, disponga di una configurazione client indipendente.

    Configura criterio di provisioning client

    Per abilitare il provisioning della postura ISE e dei moduli configurati nell'ultimo passaggio, è necessario configurare una policy per eseguire il provisioning.

    • Passa al dashboard ISE
    • Fare clic su Work Center > Client Provisioning
      •
    note-icon

    Nota: si consiglia che ogni sistema operativo, Windows, Mac OS o Linux, disponga di un criterio di configurazione client.

    Abilitazione - Reindirizzamento portale

    • Rule Name: configurare il nome del criterio in base al tipo di dispositivo e alla selezione del gruppo di identità in modo da semplificare l'identificazione di ogni criterio
    • Identity Groups: scegliere le identità da valutare in base ai criteri
    • Operating Systems: scegliere il sistema operativo in base al pacchetto dell'agente selezionato nella fase Select Agent Package.
    • Other Condition: scegliere in Network Access base alAuthentication MethodEQUALS metodo configurato nella fase, Aggiungi gruppo RADIUS o lasciare vuoto
    • Result: scegliere la configurazione dell'agente configurata nel passo 4 Configurare la configurazione dell'agente 
      • Native Supplicant Configuration: Scegli Config Wizarde Wizard Profile
    • Contrassegnare il criterio come abilitato se non è elencato come abilitato nella casella di controllo.
      •

    Creare i profili di autorizzazione

    Il profilo di autorizzazione limita l'accesso alle risorse a seconda della postura dell'utente dopo il passaggio di autenticazione. È necessario verificare l'autorizzazione per determinare a quali risorse l'utente può accedere in base alla postura.

    Profilo di autorizzazione

    Descrizione

    Conforme

    Conforme utente - Agente installato - Postura verificata

    Conforme sconosciuto

    Utente non conforme - Reindirizza per installare l'agente - Postura in sospeso da verificare

    NegaAccesso

    Utente non conforme - Nega accesso

    Per configurare il DACL, passare al dashboard ISE:

    • Fare clic su Work Centers > Policy Elements > Downloadable ACLs
    • Fare clic su +Add
    • Creare la Compliant DACL
      •

    ISE - DACL - Conforme a CSA

    • Name: consente di aggiungere un nome che fa riferimento alla conformità DACL
    • IP version: Scegli IPv4
    • DACL Content: crea un elenco di controllo di accesso scaricabile (DACL, Downloadable Access Control List) che consente di accedere a tutte le risorse della rete
      •  
    permit ip any any

    Fare clic su Save e creare l'elenco DACL di conformità sconosciuto

    • Fare clic su Work Centers > Policy Elements > Downloadable ACLs
    • Fare clic su +Add
    • Creare la Unknown Compliant DACL
      •

    ISE - DACL - CSA-Redirect_To_ISE

    • Name: consente di aggiungere un nome che fa riferimento all'elenco DACL-Unknown-Compliant
    • IP version: Scegli IPv4
    • DACL Content: Creare un DACL che offra accesso limitato alla rete, a DHCP, DNS, HTTP e al portale di provisioning sulla porta 8443
      •  

    permit udp any any eq 67
permit udp any any eq 68 
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
    note-icon

    Nota: in questo scenario, l'indirizzo IP 192.168.10.206 corrisponde al server Cisco Identity Services Engine (ISE) e la porta 8443 è stata designata per il portale di provisioning. Ciò significa che è consentito il traffico TCP verso l'indirizzo IP 192.168.10.206 tramite la porta 8443, facilitando l'accesso al portale di provisioning.

    A questo punto, si dispone dell'elenco DACL richiesto per creare i profili di autorizzazione.

    Per configurare i profili di autorizzazione, passare al dashboard ISE:

    • Fare clic su Work Centers > Policy Elements > Authorization Profiles
    • Fare clic su +Add
    • Creare la Compliant Authorization Profile
      •

    ISE - Profilo di autorizzazione - Conforme CSA

    ISE - Profilo di autorizzazione - Conforme a DACL CSA

    • Name: crea un nome che fa riferimento al profilo di autorizzazione conforme
    • Access Type: Scegli ACCESS_ACCEPT
      •

    • Common Tasks
      • DACL NAME: scegliere il DACL configurato nel passo DACL conforme
      •

    Fate clic su Save e create la Unknown Authorization Profile

    • Fare clic su Work Centers > Policy Elements > Authorization Profiles
    • Fare clic su +Add
    • Creare la Uknown Compliant Authorization Profile
      •

    ISE - Profilo di autorizzazione - Conformità CSA-Unknown

    ISE - Authorization Profile - DACL CSA_Redirect_To_ISE

    ISE - Profilo di autorizzazione - Reindirizzamento Web

    • Name: crea un nome che fa riferimento al profilo di autorizzazione conforme sconosciuto
    • Access Type: Scegli ACCESS_ACCEPT
      •

    • Common Tasks
      • DACL NAME: scegliere l'elenco DACL configurato nella fase DACL conforme sconosciuto
      • Web Redirection (CWA,MDM,NSP,CPP)
        • Scegli Client Provisioning (Posture)
        • ACL: deve essere redirect
        • Value: scegliere il portale di provisioning predefinito oppure, se ne è stato definito un altro, sceglierlo
          •
    note-icon

    Nota: il nome dell'ACL di reindirizzamento sull'accesso sicuro per tutte le distribuzioni è redirect.

    Dopo aver definito tutti questi valori, è necessario disporre di qualcosa di simile in Attributes Details.

    ISE - Profilo di autorizzazione - Dettagli attributi

    Fare clic Save per terminare la configurazione e continuare con il passaggio successivo.

    Configura set di criteri di postura

    I tre criteri creati si basano sui profili di autorizzazione configurati, ad esempio DenyAccessnon è necessario crearne un altro.

    Set di criteri - Autorizzazione

    Profilo di autorizzazione

    Conforme

    Profilo autorizzazione - Conforme

    Conforme sconosciuto

    Profilo di autorizzazione - Conforme sconosciuto

    Non conforme

    NegaAccesso

    Passa al dashboard ISE

    • Fare clic su Work Center > Policy Sets
    • Fare clic su per accedere > al criterio creato
      •

    ISE - Policy Set - CSA - ISE

    • Fare clic sul pulsante Authorization Policy
      •

    ISE - Policy Set - Authorization Policy

    • Creare i tre criteri successivi nell'ordine seguente:
      •

    ISE - Policy Set - Criteri di autorizzazione

    • Fare clic per definire + il CSA-Compliance criterio: 
      •

    ISE - Policy Set - Regola di autorizzazione

    • Per il passo successivo, modificare le Rule Name, Conditionse Profiles
    • Quando si imposta Name Configura un nome su CSA-Compliance
    • Per configurare la Conditionfunzione, fare clic sul pulsante +
    • In Condition Studio, sono disponibili le informazioni seguenti: 
      •

    ISE - Studio condizionale

    1. Per creare la condizione, cercare compliant
    2. È necessario aver visualizzato Compliant_Devices
    3. Trascinare e rilasciare sotto Editor
    4. Per creare la seconda condizione, cercare network
    5. È necessario aver visualizzato Network_Access_Authentication_Passed
    6. Trascinare e rilasciare sotto Editor
    7. Fare clic sotto la casella Editor in New
    8. Fare clic sull'Identity Group icona
    9. Scegli Internal User Identity Group
    10. In Equals, scegliere il User Identity Group tipo di corrispondenza
    11. Fare clic su  Use
      12.

    ISE - Conditions Studio - Dispositivi conformi

    • Di conseguenza, si otterrà l'immagine successiva
      •

    ISE - Conditions Studio - Dispositivi conformi 2

    ISE - Conditions Studio - Dispositivi conformi 3

    A questo punto è stato configurato il Compliance Policy Setrouter.

    • Fare clic per definire + il CSA-Unknown-Compliance criterio: 
      •

    ISE - Policy Set - Regola di autorizzazione

    • Per il passo successivo, modificare le Rule Name, Conditionse Profiles
    • Quando si imposta Name Configura un nome su CSA-Unknown-Compliance
    • Per configurare la Conditionfunzione, fare clic sul pulsante +
    • In Condition Studio, sono disponibili le informazioni seguenti: 
      •

    ISE - Studio condizionale

    1. Per creare la condizione, cercare compliance
    2. È necessario aver visualizzato Compliant_Unknown_Devices
    3. Trascinare e rilasciare sotto Editor
    4. Per creare la seconda condizione, cercare network
    5. È necessario aver visualizzato Network_Access_Authentication_Passed
    6. Trascinare e rilasciare sotto Editor
    7. Fare clic sotto la casella Editor in New
    8. Fare clic sull'Identity Group icona
    9. Scegli Internal User Identity Group
    10. In Equals, scegliere il User Identity Group tipo di corrispondenza
    11. Fare clic su  Use
      12.

    jmorenoc_0-1713112783946

    • Di conseguenza, si otterrà l'immagine successiva
      •

    ISE - Conditions Studio - Conforme sconosciuto 2

    ISE - Conditions Studio - Conforme sconosciuto 3

    A questo punto è stato configurato il Unknown Compliance Policy Setrouter.

    • Fare clic su + per definire la CSA- Non-Compliant policy: 
      •

    ISE - Policy Set - Regola di autorizzazione

    • Per il passo successivo, modificare le Rule Name, Conditionse Profiles
    • Quando si imposta Name Configura un nome su CSA-Non-Compliance
    • Per configurare la Conditionfunzione, fare clic sul pulsante +
    • In Condition Studio, sono disponibili le informazioni seguenti: 
      •

    ISE - Studio condizionale

    1. Per creare la condizione, cercare non
    2. È necessario aver visualizzato Non_Compliant_Devices
    3. Trascinare e rilasciare sotto Editor
    4. Per creare la seconda condizione, cercare network
    5. È necessario aver visualizzato Network_Access_Authentication_Passed
    6. Trascinare e rilasciare sotto Editor
    7. Fare clic sotto la casella Editor in New
    8. Fare clic sull'Identity Group icona
    9. Scegli Internal User Identity Group
    10. In Equals, scegliere il User Identity Group tipo di corrispondenza
    11. Fare clic su  Use
      12.

    jmorenoc_1-1713112812001

    • Di conseguenza, si otterrà l'immagine successiva
      •

    ISE - Conditions Studio - Non conforme 2

    • In Profile fare clic sotto il pulsante a discesa e scegliere il profilo autorizzazione reclamo DenyAccess
      •

    ISE - Conditions Studio - Non conforme 3

    Una volta terminata la configurazione dei tre profili, è possibile testare l'integrazione con la postura.

    Verifica

    Convalida postura

    Connessione nel computer

    Connettersi al dominio FQDN RA-VPN fornito su Secure Access via Secure Client.

    Nota: per questa fase non è necessario installare alcun modulo ISE.

    1. Connettersi utilizzando Secure Client.

    Secure Client - Connessione

    2. Fornire le credenziali per l'autenticazione.

    Secure Client - Nome utente - Password

    3. A questo punto, ti colleghi alla VPN e, molto probabilmente, verrai reindirizzato ad ISE; in caso contrario, puoi provare a passare a http:1.1.1.1IOS.

    Secure Client - Connessione VPN

    Secure Client - Portale di provisioning

    note-icon

    Nota: a questo punto, l'utente è soggetto al set di criteri Authorization - CSA-Unknown-Compliance perché sul computer non è installato ISE Posture Agent e viene reindirizzato al portale di provisioning ISE per installare l'agente.

    4. Fare clic su Avvia per procedere con il provisioning dell'agente.

    Secure Client - Controllo protezione dispositivo

    5. Fare clic su + This is my first time here.

    Secure Client - Portale di provisioning - Questa è la mia prima volta qui

    6. Fare clic su Click here to download and install agent

    Secure Client - Portale di provisioning - Download

    7. Installare l'agente 

    Secure Client - Portale di provisioning - Download 2

    Secure Client - Installazione completata

    8. Dopo aver installato l'agente, ISE Posture inizia a verificare la postura corrente delle macchine. Se i requisiti della politica non vengono soddisfatti, viene visualizzata una schermata di popup che guida l'utente verso la conformità.

    Secure Client - Verifica della postura

    note-icon

    Nota: se Cancel o il tempo rimanente termina, l'utente diventa automaticamente non conforme, rientra nei criteri di autorizzazione impostati CSA-Non-Compliance e viene immediatamente disconnesso dalla VPN.

    9. Installare l'agente endpoint sicuro e riconnettersi alla VPN.

    Secure Client - Processo di verifica della postura

    10. Dopo che l'agente ha verificato la conformità della macchina, la postura cambia per essere in reclamo e dare accesso a tutte le risorse sulla rete.

    note-icon

    Nota: una volta ottenuta la conformità, si rientra nel set di criteri di autorizzazione CSA-Conformità e si ha immediatamente accesso a tutte le risorse di rete.

    Come raccogliere i log in ISE

    Per verificare il risultato dell'autenticazione per un utente, sono disponibili due esempi di conformità e non conformità. Per esaminarlo ad ISE, attenersi alle seguenti istruzioni:

    • Passa al dashboard ISE
    • Fare clic su Operations > Live Logs
      •

    ISE - Registri Radius Live - Conformità della postura

    Lo scenario successivo mostra come gli eventi di conformità e non conformità vengono visualizzati in Live Logs:

    Conformità

    ISE - Live Log Radius - Conformità

    Non conformità

    ISE - Registri Radius Live - Non conformità

    Primi passi verso un accesso sicuro e l'integrazione con ISE

    Nell'esempio successivo, Cisco ISE si trova nella rete 192.168.10.0/24, e la configurazione delle reti raggiungibili tramite il tunnel deve essere aggiunta alla configurazione del tunnel.

    Step 1: verifica della configurazione del tunnel:

    Per verificare questa condizione, passare al Dashboard di accesso protetto.

    • Fare clic su Connect > Network Connections
    • Fare clic su Network Tunnel Groups > Tunnel
      •

    Accesso sicuro - Configurazione tunnel

    • In riepilogo, verificare che il tunnel abbia configurato lo spazio di indirizzi in cui si trova Cisco ISE:
      •

    Accesso sicuro - Configurazione tunnel - Intervallo indirizzi IP

    Step 2: Autorizza il traffico sul firewall.

    Per consentire a Secure Access di utilizzare il dispositivo ISE per l'autenticazione Radius, è necessario aver configurato una regola da Secure Access alla rete con le porte Radius richieste:

    Regola

    Origine

    Destinazione

    Porta di destinazione

    ISE - Accesso sicuro

    Pool di gestione

    Server_ISE

    Pool di gestione IP (RA-VPN)

    CACAO

    UDP 1700 (porta predefinita)

    Secure Access Management: IP Pool per ISE

    Pool IP di gestione

    Server_ISE

    Autenticazione, autorizzazione

    UDP 1812 (porta predefinita)

    Contabilità

    UDP 1813 (porta predefinita)

    Secure Access Endpoint IP Pool a ISE

    Pool IP endpoint

    Server_ISE

    Portale di provisioning

    TCP 8443 (porta predefinita)

    Pool IP endpoint di accesso sicuro nel SERVER DNS

    Pool IP endpoint

    Server DNS

    DNS

    UDP e TCP 53
    note-icon

    Nota: per ulteriori informazioni sulle porte correlate ad ISE, consultare il Manuale dell'utente - Riferimento porta.
    note-icon

    Nota: se l'ISE è stata configurata per l'individuazione tramite un nome, ad esempio ise.ciscosppt.es, è necessaria una regola DNS

    Pool di gestione e pool IP degli endpoint

    Per verificare il pool IP di gestione e endpoint, passare al dashboard di accesso sicuro:

    • Fare clic su Connect > End User Connectivity
    • Fare clic su Virtual Private Network
    • Inferiore Manage IP Pools
    • Fare clic su Manage
      •

    Accesso sicuro - POP

    Fase 3: verificare che l'ISE sia configurata in Private Resources

    Per consentire agli utenti connessi tramite la VPN di passare a ISE Provisioning Portal, è necessario accertarsi di aver configurato il dispositivo come risorsa privata per consentire l'accesso, che viene utilizzata per consentire il provisioning automatico della ISE Posture Module rete tramite la VPN.

    Per verificare di aver configurato correttamente ISE, passare al Dashboard di accesso sicuro:

    • Fare clic su Resources > Private Resources
    • Fare clic sulla risorsa ISE
      •

    Accesso sicuro - Risorsa privata

    Accesso sicuro - Risorsa privata - VPN

    Se necessario, è possibile limitare la regola alla porta del portale di provisioning (8443).

    note-icon

    Nota: assicurarsi di aver selezionato la casella di controllo per le connessioni VPN.

    Fase 4: Autorizzare l'accesso ad ISE in base alla policy di accesso

    Per consentire agli utenti connessi tramite la VPN di passare a ISE Provisioning Portal, è necessario verificare di aver configurato e Access Policy di consentire agli utenti configurati in base a tale regola di accedere alla risorsa privata configurata in Step3.

    Per verificare di aver configurato correttamente ISE, passare al Dashboard di accesso sicuro:

    • Fare clic su Secure > Access Policy
    • Fare clic sulla regola configurata per consentire l'accesso degli utenti VPN ad ISE
      •

    Accesso sicuro - Criteri di accesso

    Risoluzione dei problemi

    Come scaricare i log di debug di ISE Posture

    Per scaricare i log ISE per verificare un problema relativo alla postura, procedere come segue: 

    • Passa al dashboard ISE
    • Fare clic su Operations > Troubleshoot > Debug Wizard
      •

    ISE - Debug guidato

    • Fare clic su Debug Profile Configuration
      •

    ISE - Configurazione profilo di debug

    • Selezionare la casella di controllo Posture > Debug Nodes 
      •

    ISE - Nodi di debug

    • Selezionare la casella di controllo relativa ai nodi ISE su cui si desidera abilitare la modalità di debug per risolvere il problema
      •

    ISE - DEBUG NODE - Avviso

    • Fare clic su  Save
      •

    ISE - Nodi di debug - Salva

    icona di attenzione

    Attenzione: dopo questo punto, è necessario iniziare a riprodurre il problema; the debug logs can affect the performance of your device.

    Dopo aver riprodotto il problema, procedere con i passi successivi:

    • Fare clic su Operations > Download Logs
    • Scegliere il nodo da cui estrarre i registri
      •

    ISE - Elenco nodi appliance

    • In Support Bundle, scegliere le opzioni seguenti:
      •

    ISE - Includere i log di debug

    • Include debug logs
    • Inferiore Support Bundle Encryption
      • Shared Key Encryption
        • Riempi Encryption key e Re-Enter Encryption key
    • Fare clic su  Create Support Bundle
    • Fare clic su  Download
      •

    ISE - Log download

    icona di avviso

    Avviso: disabilitare la modalità di debug abilitata nella fase Debug Profile Configuration

    Verifica dei registri di accesso remoto per l'accesso protetto

    Accedere al Dashboard di accesso protetto:

    • Fare clic su Monitor > Remote Access Logs
      •

    Accesso sicuro - Log di Accesso remoto

    Genera pacchetto DART su client protetto

    Per generare il pacchetto DART sul computer, verificare l'articolo successivo: 

    Strumento di diagnostica e reporting (DART) Cisco Secure Client

    note-icon

    Nota: dopo aver raccolto i log indicati nella sezione Risoluzione dei problemi, aprire una richiesta con TAC cui procedere all'analisi delle informazioni.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    12-Apr-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Jairo Moreno
      Tecnico di consulenza
    • Emmanuel Cano Gutierrez
      Servizi professionali
    • Amit Arora
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti