この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、USBマス ストレージ デバイスが切断されている場合のみ、ネットワークへのフル アクセスを提供するよう、Cisco Identity Services Engine(ISE)を設定する手順について説明します。
次の項目に関する知識が推奨されます。
Cisco Identity Services Engine(ISE)バージョン 2.1 および AnyConnect Secure Mobility Client 4.3 は、USB マス ストレージのチェックおよび修復機能をサポートしています。 このドキュメントの情報は、次のソフトウェアのバージョンに基づくものです。
フローは次のとおりです。
ここでは VPN セッションの例を挙げていますが、 ポスチャ機能は、他のタイプのアクセスに対しても適切に機能します。
ASA は、AAA サーバとして ISE を使用して、リモート SSL VPN アクセス用に設定されています。 RADIUS CoA、およびリダイレクト ACL は、次のように設定する必要があります。
aaa-server ISE21 protocol radius
authorize-only
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE21 (outside) host 10.48.23.88
key cisco
tunnel-group RA type remote-access
tunnel-group RA general-attributes
address-pool POOL
authentication-server-group ISE21
accounting-server-group ISE21
default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
group-alias RA enable
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.3.00520-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
group-policy GP-SSL internal
group-policy GP-SSL attributes
dns-server value 10.62.145.72
vpn-tunnel-protocol ssl-client
access-list ACL_WEBAUTH_REDIRECT extended deny udp any any eq domain
access-list ACL_WEBAUTH_REDIRECT extended deny ip any host 10.48.23.88
access-list ACL_WEBAUTH_REDIRECT extended deny icmp any any
access-list ACL_WEBAUTH_REDIRECT extended permit tcp any any
詳細については、次のドキュメントを参照してください。
AnyConnect 4.0 と ISE バージョン 1.3 統合の設定例
[Administration] > [Network Resources] > [Network Devices] の順に選択し、ASA を追加します。
次のように移動して、ポスチャの条件が更新されていることを確認します。 これには、[Administration] > [System] > [Settings] > [Posture] > [Updates] > [Update now] オプションの順に選択します。
ISE 2.1 では、USB 条件が事前に設定されています。これにより、USB マス ストレージ デバイスが接続されているかどうかがチェックされます。
[Policy] > [Policy Elements] > [Conditions] > [Posture] > [USB Condition] の順に選択して、既存の条件を確認します。
[Policy] > [Policy Elements] > [Results] > [Posture] > [Requirements] の順に選択して、この条件を使用する、事前設定された要件を確認します。
[Policy] > [Posture] を選択して、すべての Windows がこの要件を使用するための条件を追加します。
[Policy] > [Policy Elements] > [Results] > [Posture] > [Remediation Actions] > [USB Remediations] の順に選択して、USB ストレージ デバイスをブロックする、事前設定された修復アクションを確認します。
[Policy] > [Policy Elements] > [Client Provisioning] > [Resources] の順に選択して、Cisco.com からコンプライアンス モジュールをダウンロードし、AnyConnect 4.3 パッケージを手動でアップロードします。
[Add] > [NAC Agent] または [AnyConnect Posture Profile] を使用して、AnyConnect Posture プロファイル(名前は「 Anyconnect_Posture_Profile」)をデフォルト設定で作成します。
[Add] > [AnyConnect Configuration] を使用して、AnyConnect 設定(名前は 「AnyConnect Configuration」)を追加します。
[Policy] > [Client Provisioning] の順に選択して、Windows が「AnyConnect Configuration」を使用するための新しいルール(Windows_Posture)を作成します。
[Policy] > [Policy Elements] > [Results] > [Authorization] の順に選択して、 デフォルトのクライアント プロビジョニング ポータルへリダイレクトする許可プロファイル(名前は「Posture_Redirect」)を追加します。
注: ACL_WEBAUTH_REDIRECT ACL は ASA 上で定義されます。
[Policy] > [Authorization] の順に選択して、リダイレクトの許可ルールを作成します。 ISE では、準拠デバイスに対する許可ルールが事前設定されています。
エンドポイントがルールに準拠している場合は、フル アクセスが許可されます。 ステータスが不明、または非準拠のエンドポイントに対しては、クライアント プロビジョニングのリダイレクションが返されます。
USB デバイスが接続され、ユーザがこのデバイス内のデータにアクセスできます。
認証中、ISE は Posture_Redirect Authorization プロファイルの一環として、リダイレクト アクセス リストおよびリダイレクト URL を返します。
VPN セッションの確立後は、クライアントからの ASA トラフィックはリダイレクト アクセス リストに基づきリダイレクトされます。
BSNS-ASA5515-11# sh vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 29
Assigned IP : 10.10.10.10 Public IP : 10.229.16.34
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES128 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 14696 Bytes Rx : 18408
Pkts Tx : 20 Pkts Rx : 132
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : GP-SSL Tunnel Group : RA
Login Time : 15:57:39 CET Fri Mar 11 2016
Duration : 0h:07m:22s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a3042ca0001d00056e2dce3
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 29.1
Public IP : 10.229.16.34
Encryption : none Hashing : none
TCP Src Port : 61956 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes
Client OS : win
Client OS Ver: 6.1.7601 Service Pack 1
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520
Bytes Tx : 6701 Bytes Rx : 774
Pkts Tx : 5 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 29.2
Assigned IP : 10.10.10.10 Public IP : 10.229.16.34
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 61957
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520
Bytes Tx : 6701 Bytes Rx : 1245
Pkts Tx : 5 Pkts Rx : 5
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 29.3
Assigned IP : 10.10.10.10 Public IP : 10.229.16.34
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 55708
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 26 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520
Bytes Tx : 1294 Bytes Rx : 16389
Pkts Tx : 10 Pkts Rx : 126
Pkts Tx Drop : 0 Pkts Rx Drop : 0
ISE Posture:
Redirect URL : https://ISE21-1ek.example.com:8443/portal/gateway?sessionId=0a3042ca0001d00056e2dce3&portal=2b1ba210-e...
Redirect ACL : ACL_WEBAUTH_REDIRECT
この段階では、エンドポイントの Web ブラウザ トラフィックは ISE にリダイレクトされ、クライアント プロビジョニングが行われます。
必要に応じて、AnyConnect とともに、ポスチャおよびコンプライアンス モジュールが更新されます。
ポスチャ モジュールが実行され、ISE が検出され(enroll.cisco.comでの処理が正常に行われるために DNS A レコードが必要になる場合があります)、ポスチャ条件がダウンロードおよびチェックされます。USB デバイスをブロックする新たな OPSWAT v4 アクションが使用されます。 設定したメッセージがユーザに表示されます。
ユーザがこのメッセージを確認すると、ユーザはこの USB デバイスを使用できなくなります。
ASA はリダイレクション ACL を削除し、フル アクセスを許可します。 適合していることが AnyConnect によって報告されます。
また、ISE の詳細レポートでは、要求される条件を満たしたエンドポイントを確認できます。
条件別のポスチャ アセスメント:
エンドポイント別のポスチャ アセスメント:
エンドポイントの詳細レポート:
ISE では不適合条件の詳細を確認できます。これに従い、適切なアクションを実行する必要があります。