CSD、DAP および AnyConnect 4.0 の設定 ASA VPN ポスチャ
目次
概要
この資料に適応型セキュリティ アプライアンス(ASA)ソフトウェアで終了されるリモート VPN セッションのためのポスチャを行う方法を記述されています(ASA)。 ポスチャは HostScan モジュールが付いている Cisco Secure Desktop (CSD)の使用の ASA によってローカルで 実行された。 VPN セッションが設定された後、対応ステーションは不適合なステーションがネットワーク アクセスを制限した一方完全なネットワーク アクセスを許可されます。
また、CSD および AnyConnect は 4.0 提供フロー示されます。
前提条件
要件
次の項目に関する知識が推奨されます。
- Cisco ASA VPN 設定
- Cisco AnyConnect セキュア モビリティ クライアント
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- Microsoft Windows 7
- Cisco ASA、バージョン 9.3 または それ 以降
- Cisco Identity Services Engine(ISE)ソフトウェア バージョン 1.3 以降
- Cisco AnyConnect セキュア モビリティ クライアント、バージョン 4.0 および それ 以降
- CSD、バージョン 3.6 または それ 以降
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
設定
ネットワーク図
団体ポリシーは次の通りです:
- リモート VPN ユーザはファイル c:\test.txt がある(対応)内部会社リソースへの完全なネットワーク アクセスがなければなりません
- ファイル c:\test.txt を持っていないリモート VPN ユーザは(不適合な)内部会社リソースへのネットワーク アクセスを制限したにちがいありません: 治療サーバ 1.1.1.1 へのアクセスだけ提供されます。
ファイルの有無は最も簡単な例ですが、 他のどの条件(ウイルス対策、antispyware、プロセス、アプリケーション、レジストリ)使用することができます。
フローは次の通りです:
- リモート ユーザは AnyConnect をインストールしていません。 これらのユーザは CSD と AnyConnect をプロビジョニングするために ASA Web ページ(および VPN プロファイル)にアクセスします。
- 限られたネットワーク アクセスを用いる AnyConnect による接続が、不適合なユーザ許可されれば。 ダイナミック アクセスポリシー(DAP)呼出された FileNotExists は一致します。
- ユーザは治療を(手動でファイル c:\test.txt をインストールして下さい)行い、AnyConnect と再度接続します。 今回、完全なネットワーク アクセスは提供されます(FileExists と呼ばれる DAP ポリシーは一致します)。
ホスト スキャン モジュールはエンドポイントに手動でインストールできます。 サンプル ファイル(hostscan-win-4.0.00051-pre-deploy-k9.msi)は共用 on Cisco 接続オンライン(CCO)です。 しかし、それはまた ASA から押すことができます。 ホスト スキャンは、ASA からプロビジョニング可能な CSD に含まれています。 この例では、2 番目の方法を使用します。
AnyConnect のより古いバージョンに関しては(3.1 およびより早い)、CCO (例で利用可能な別途のパッケージがありました: hostscan_3.1.06073-k9.pkg は)別々に設定され、提供されたかもしれないかどれが ASA で(csd hostscan イメージ コマンドと) -そのオプションが、AnyConnect バージョン 4.0 のためにもう存在 しません。
ASA
ステップ 1.基本 SSL VPN 設定
ASA は基本的な遠隔 VPN アクセス(Secure Sockets Layer (SSL))と前もって構成されます:
webvpn
enable outside
no anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
group-policy AllProtocols internal
group-policy AllProtocols attributes
vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless
tunnel-group TAC type remote-access
tunnel-group TAC general-attributes
address-pool POOL
authentication-server-group ISE3
default-group-policy AllProtocols
tunnel-group TAC webvpn-attributes
group-alias TAC enable
ip local pool POOL 192.168.1.10-192.168.1.20 mask 255.255.255.0
aaa-server ISE3 protocol radius
aaa-server ISE3 (inside) host 10.1.1.100
key *****
AnyConnect パッケージがダウンロードおよび使用されました。
ステップ 2. CSD インストール
それに続く設定は Adaptive Security Device Manager (ASDM)と行われます。 CSD は点滅し、イメージに示すように設定からの参照を引き継ぐためにダウンロードされる必要があります実装します。
Secure Desktop を有効に することなしでイメージに示すように DAP ポリシーで CSD 属性を利用することはできません。
CSD を有効に した後、Secure Desktop マネージャの下の複数のオプションは現われます。
HostScan はまだ、ルールが追加される新しい基本的な HostScan フルサポートされます。 c:\test.txt のプロシージャはイメージに示すように確認されます。
また、追加高度エンドポイント アセスメント ルールはイメージに示すように追加されます。
は Symantec ノートン・アンチウイルス 20.x および Microsoft Windows ファイアウォール 7.ポスチャ モジュール(HostScan)の存在があるように確認することこれらの値をチェックしますしかし施行がありません(DAP ポリシーはそれを確認しません)。
ステップ 3. DAP ポリシー
DAP ポリシーは責任があります条件として HostScan によって収集されるデータを使用し、その結果 VPN セッションに仕様属性を適用するために。 ASDM から DAP ポリシーを、移動 > ダイナミック アクセスポリシー イメージに示すように設定 > リモートアクセス VPN > Clientless SSL VPN アクセスに作成するため。
設定された VPN プロファイル(VPN プロファイルによって設定使用される最初ポリシー(FileExists)チェック グループ名は明確にするために省略されました)。 それから、追加ファイル c:\test.txt があるように実行された イメージに示すように確認して下さい。
その結果、操作はデフォルト設定割り当て接続と実行された。 ACL は使用されません-完全なネットワーク アクセスは提供されます。
ファイル チェックのための詳細はイメージに示すようにあります。
第 2 ポリシー(FileNotExists)は類似したですが、-今回状態はファイルがイメージに示すように存在 しない場合です。
結果にはアクセスリスト ACL1 が設定されています。 それは限られたネットワーク アクセスのプロビジョニングするの不適合な VPN ユーザ向けに適用します。
DAP ポリシーは両方ともイメージに示すように AnyConnect クライアントアクセスのために押します。
ISE
ISE はユーザ認証のために使用されます。 ネットワーク デバイス(ASA)および正しいユーザー名だけ(cisco)設定する必要があります。 その手順についてはこの記事では説明しません。
確認
このセクションでは、設定が正常に機能していることを確認します。
CSD と AnyConnect のプロビジョニング
最初に、ユーザは AnyConnect クライアントと提供されません。 このユーザはポリシーにも準拠していません(ファイル c:\test.txt なし)。 https://10.62.145.45 を入力すればユーザはイメージに示すように CSD インストールのためにすぐにリダイレクトされます。
それは Java か ActiveX とすることができます。 CSD がインストールされていれば、イメージに示すように報告されます。
それからユーザはイメージに示すように認証のためにリダイレクトされます。
、AnyConnect は設定されたプロファイルと共に正常なら展開されます-再度 ActiveX か Java はイメージに示すように使用することができます。
そして、VPN 接続はイメージに示すように確立されます。
AnyConnect のための第一歩はポスチャ チェック(HostScan)を行い、イメージに示すように ASA へレポートを送ることです。
それから、AnyConnect は VPN セッションを認証し、終えます。
ポスチャを使用した AnyConnect VPN セッション:非準拠
AnyConnect の新しい VPN セッションを設定するとき、第一歩はスクリーン ショットで先に示されるようにポスチャ(HostScan)です。 それから、認証は行われ、VPN セッションはイメージに示すように設定されます。
ASA は HostScan レポートが受け取られることを報告します:
%ASA-7-716603: Received 4 KB Hostscan data from IP <10.61.87.251>
次に、ユーザ認証を実行します。
%ASA-6-113004: AAA user authentication Successful : server = 10.62.145.42 : user = cisco
さらに、その VPN セッションの認証を開始します。 「有効に なるデバッグ DAP トレース 255" があるとき c:\test.txt ファイルのプロシージャに関する情報は返されます:
DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.file["1"].exists="false"
DAP_TRACE: endpoint.file["1"].exists = "false"
DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.file["1"].path="c:\test.txt"
DAP_TRACE: endpoint.file["1"].path = "c:\\test.txt"
また、Microsoft Windows ファイアウォールに関する情報:
DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["MSWindowsFW"].exists="false"
DAP_TRACE: endpoint.fw["MSWindowsFW"].exists = "false"
DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["MSWindowsFW"].description="Microsoft Windows Firewall"
DAP_TRACE: endpoint.fw["MSWindowsFW"].description = "Microsoft Windows Firewall"
DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["MSWindowsFW"].version="7"
DAP_TRACE: endpoint.fw["MSWindowsFW"].version = "7"
DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["MSWindowsFW"].enabled="failed"
DAP_TRACE: endpoint.fw["MSWindowsFW"].enabled = "failed"
そして Symantec ウイルス対策(HostScan によって先に設定されたエンドポイント アセスメント ルールを進めました)。
その結果、DAP ポリシーは一致します:
DAP_TRACE: Username: cisco, Selected DAPs: ,FileNotExists
ユーザ向けに制限ネットワーク アクセスを提供する AnyConnect を使用するポリシー強制はまたおよび access-list ACL1 を適用すること(団体ポリシーと対応):
DAP_TRACE:The DAP policy contains the following attributes for user: cisco
DAP_TRACE:--------------------------------------------------------------------------
DAP_TRACE:1: tunnel-protocol = svc
DAP_TRACE:2: svc ask = ask: no, dflt: svc
DAP_TRACE:3: action = continue
DAP_TRACE:4: network-acl = ACL1
DAP ポリシーによって使用することができる ACIDEX 現在の拡張機能をまた記録 します(また更に ISE に RADIUS 要求で通じて条件として許可ルールで使用され、):
endpoint.anyconnect.clientversion = "4.0.00051";
endpoint.anyconnect.platform = "win";
endpoint.anyconnect.devicetype = "innotek GmbH VirtualBox";
endpoint.anyconnect.platformversion = "6.1.7600 ";
endpoint.anyconnect.deviceuniqueid = "A1EDD2F14F17803779EB42C281C98DD892F7D34239AECDBB3FEA69D6567B2591";
endpoint.anyconnect.macaddress["0"] = "08-00-27-7f-5f-64";
endpoint.anyconnect.useragent = "AnyConnect Windows 4.0.00051";
その結果、VPN セッションはしかし制限ネットワーク アクセスと稼働しています:
ASAv2# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 4
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 11432 Bytes Rx : 14709
Pkts Tx : 8 Pkts Rx : 146
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : AllProtocols Tunnel Group : TAC
Login Time : 11:58:54 UTC Fri Dec 26 2014
Duration : 0h:07m:54s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0add006400004000549d4d7e
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 4.1
Public IP : 10.61.87.251
Encryption : none Hashing : none
TCP Src Port : 49514 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes
Client OS : win
Client OS Ver: 6.1.7600
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 5716 Bytes Rx : 764
Pkts Tx : 4 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 4.2
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 49517
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 5716 Bytes Rx : 2760
Pkts Tx : 4 Pkts Rx : 12
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : ACL1
DTLS-Tunnel:
Tunnel ID : 4.3
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 52749
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 24 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 0 Bytes Rx : 11185
Pkts Tx : 0 Pkts Rx : 133
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Filter Name : ACL1
ASAv2# show access-list ACL1
access-list ACL1; 1 elements; name hash: 0xe535f5fe
access-list ACL1 line 1 extended permit ip any host 1.1.1.1 (hitcnt=0) 0xe6492cbf
AnyConnect の履歴にポスチャ プロセスの詳細な手順が表示されます。
12:57:47 Contacting 10.62.145.45.
12:58:01 Posture Assessment: Required for access
12:58:01 Posture Assessment: Checking for updates...
12:58:02 Posture Assessment: Updating...
12:58:03 Posture Assessment: Initiating...
12:58:13 Posture Assessment: Active
12:58:13 Posture Assessment: Initiating...
12:58:37 User credentials entered.
12:58:43 Establishing VPN session...
12:58:43 The AnyConnect Downloader is performing update checks...
12:58:43 Checking for profile updates...
12:58:43 Checking for product updates...
12:58:43 Checking for customization updates...
12:58:43 Performing any required updates...
12:58:43 The AnyConnect Downloader updates have been completed.
12:58:43 Establishing VPN session...
12:58:43 Establishing VPN - Initiating connection...
12:58:48 Establishing VPN - Examining system...
12:58:48 Establishing VPN - Activating VPN adapter...
12:58:52 Establishing VPN - Configuring system...
12:58:52 Establishing VPN...
12:58:52 Connected to 10.62.145.45.
ポスチャを使用した AnyConnect VPN セッション:準拠
c:\test.txt ファイルを作成した後、フローは類似したです。 AnyConnect 新しいセッションが始められれば、ログはファイルのプロシージャを示します:
%ASA-7-734003: DAP: User cisco, Addr 10.61.87.251: Session Attribute endpoint.file["1"].exists="true"
%ASA-7-734003: DAP: User cisco, Addr 10.61.87.251: Session Attribute endpoint.file["1"].path="c:\test.txt"
そしてその結果別の DAP ポリシーは使用されます:
DAP_TRACE: Username: cisco, Selected DAPs: ,FileExists
ポリシーは、ネットワーク トラフィックを制限する ACL を適用しません。
そしてセッションは ACL (完全なネットワーク アクセス)なしに稼働しています:
ASAv2# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 5
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 11432 Bytes Rx : 6298
Pkts Tx : 8 Pkts Rx : 38
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : AllProtocols Tunnel Group : TAC
Login Time : 12:10:28 UTC Fri Dec 26 2014
Duration : 0h:00m:17s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0add006400005000549d5034
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 5.1
Public IP : 10.61.87.251
Encryption : none Hashing : none
TCP Src Port : 49549 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : win
Client OS Ver: 6.1.7600
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 5716 Bytes Rx : 764
Pkts Tx : 4 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 5.2
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 49552
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 5716 Bytes Rx : 1345
Pkts Tx : 4 Pkts Rx : 6
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 5.3
Assigned IP : 192.168.1.10 Public IP : 10.61.87.251
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 54417
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051
Bytes Tx : 0 Bytes Rx : 4189
Pkts Tx : 0 Pkts Rx : 31
Pkts Tx Drop : 0 Pkts Rx Drop : 0
また、Anyconnect は報告しま HostScan がであることをアイドル状態および次のスキャン要求を待っています:
13:10:15 Hostscan state idle
13:10:15 Hostscan is waiting for the next scan
トラブルシューティング
このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。
AnyConnect DART
AnyConnect はイメージに示すように診断を提供します。
AnyConnect すべてのログを収集し、保存するかどれがデスクトップで ZIP ファイルに。 この ZIP ファイル内の Cisco AnyConnect Secure Mobility Client/Anyconnect.txt にログが含まれています。
それは ASA についての情報を提供し、データを収集するように HostScan を要求します:
Date : 12/26/2014
Time : 12:58:01
Type : Information
Source : acvpnui
Description : Function: ConnectMgr::processResponseString
File: .\ConnectMgr.cpp
Line: 10286
Invoked Function: ConnectMgr::processResponseString
Return Code: 0 (0x00000000)
Description: HostScan request detected.
それから、倍数は他のログ CSD がインストールされていることを明らかにします。 この例は、CSD のプロビジョニングと、それ以後の AnyConnect 接続をポスチャとともに示しています。
CSD detected, launching CSD
Posture Assessment: Required for access
Gathering CSD version information.
Posture Assessment: Checking for updates...
CSD version file located
Downloading and launching CSD
Posture Assessment: Updating...
Downloading CSD update
CSD Stub located
Posture Assessment: Initiating...
Launching CSD
Initializing CSD
Performing CSD prelogin verification.
CSD prelogin verification finished with return code 0
Starting CSD system scan.
CSD successfully launched
Posture Assessment: Active
CSD launched, continuing until token is validated.
Posture Assessment: Initiating...
Checking CSD token for validity
Waiting for CSD token validity result
CSD token validity check completed
CSD Token is now valid
CSD Token validated successfully
Authentication succeeded
Establishing VPN session...
ASA と AnyConnect 間の通信はそれを行えます、ASA 要求特定のチェックだけ行うために- AnyConnect ダウンロード追加データ最適化されます(たとえば特定のウイルス対策確認)。
TAC のケースをオープンするとき、付加投げ矢は「show tech」および「ASA からのデバッグ DAP トレース 255" と共に記録 します。
フィードバック