FTDでのAnyConnectリモートアクセスVPN上のISEポスチャ
概要
このドキュメントでは、Cisco Identity Services Engine(ISE)に対してVPNユーザをポスチャするために、Cisco Firepower Threat Defense(FTD)バージョン6.4.0を設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- AnyConnect リモート アクセス VPN
- FTDでのリモートアクセスVPNの設定
- Identity Services Engineおよびポスチャサービス
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
- Cisco Firepower Threat Defense(FTD)ソフトウェアバージョン6.4.0
- Cisco Firepower Management Console(FMC)ソフトウェアバージョン6.5.0
- Cisco AnyConnectセキュアモビリティクライアントバージョン4.7を搭載したMicrosoft Windows 10
- Cisco Identity Services Engine(ISE)バージョン2.6(パッチ3)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
ネットワーク図とトラフィック フロー
1.リモートユーザは、FTDへのVPNアクセスにCisco Anyconnectを使用します。
2. FTDはそのユーザのRADIUS Access-RequestをISEに送信します。
3.この要求は、ISEでFTD-VPN-Posture-Unknownという名前のポリシーにヒットします。ISEは、次の3つの属性を持つRADIUS Access-Acceptを送信します。
- cisco-av-pair = url-redirect-acl=fyusifovredirect :これは、FTDでローカルに定義されるアクセスコントロールリスト(ACL)名で、リダイレクトされるトラフィックを決定します。
- cisco-av-pair = url-redirect=https://ip:port/portal/gateway?sessionId=SessionIdValue&portal=27b1bc30-2e58-11e9-98fb-0050568775a3&action=cpp :これはリモートユーザがリダイレクトされるURLです。
- DACL = PERMIT_ALL_IPV4_TRAFFIC – ダウンロード可能ACL(この属性はオプションです。このシナリオでは、すべてのトラフィックがDACLで許可されます)
4. DACLが送信されると、DACLの内容をダウンロードするためにRADIUS Access-Request/Access-Acceptが交換されます
5. VPNユーザからのトラフィックがローカルに定義されたACLと一致すると、ISEクライアントプロビジョニングポータルにリダイレクトされます。ISEはAnyConnectポスチャモジュールとコンプライアンスモジュールをプロビジョニングします。
6.エージェントがクライアントマシンにインストールされると、プローブを送信してISEを自動的に検索します。ISEが正常に検出されると、エンドポイントでポスチャ要件がチェックされます。この例では、エージェントはインストールされているアンチマルウェアソフトウェアをチェックします。次に、ポスチャレポートをISEに送信します。
7. ISEがエージェントからポスチャレポートを受信すると、ISEはこのセッションのポスチャステータスを変更し、新しい属性を持つRADIUS CoAタイプのプッシュをトリガーします。今回は、ポスチャステータスが既知で、別のルールがヒットします。
- ユーザが準拠している場合、フルアクセスを許可するDACL名が送信されます。
- ユーザが非準拠の場合、制限付きアクセスを許可するDACL名が送信されます。
8. FTDはリダイレクトを削除します。FTDは、ISEからDACLをダウンロードするためにAccess-Requestを送信します。特定の DACL が VPN セッションに付加されます。
設定
FTD/FMC
ステップ1:ISEおよび修復サーバのネットワークオブジェクトグループを作成します(存在する場合)。 図に示すように、[Objects] > [Object Management] > [Network]に移動します。
ステップ2:リダイレクトACLを作成します。[Objects] > [Object Management] > [Access List] > [Extended]に移動します。[Add Extended Access List]をクリックし、リダイレクトACLの名前を指定します。この名前は、ISE認可結果と同じである必要があります。
ステップ3:リダイレクトACLエントリを追加します。[Add] ボタンをクリックします。DNS、ISE、および修復サーバへのトラフィックをブロックして、リダイレクトから除外します。残りのトラフィックを許可すると、リダイレクションがトリガーされます(必要に応じてACLエントリがより具体的になる可能性があります)(図を参照)。
ステップ4:ISE PSNノード/ノードを追加します。[Objects] > [Object Management] > [RADIUS Server Group]に移動します。[Add RADIUS Server Group]をクリックし、名前を入力し、すべてのチェックボックスをオンにし、図に示すようにプラスアイコンをクリックします。
ステップ5:開いたウィンドウでISE PSN IPアドレス、RADIUSキーを指定し、[Specific Interface]を選択し、ISEが到達可能なインターフェイス(このインターフェイスはRADIUSトラフィックの送信元として使用されます)を選択し、図に示示します。
ステップ6:VPNユーザのアドレスプールを作成します。[Objects] > [Object Management] > [Address Pools] > [IPv4 Pools]に移動します。[Add IPv4 Pools]をクリックし、図に示すように詳細を入力します。
ステップ7:AnyConnectパッケージを作成します。[Objects] > [Object Management] > [VPN] > [AnyConnect File]に移動します。[Add AnyConnect File]をクリックし、パッケージ名を入力し、Cisco Software Downloadからパッケージをダウンロードし、図に示すように[Anyconnect Client Image File Type]を選択します。
ステップ8:[Certificate Objects] > [Object Management] > [PKI] > [Cert Enrollment]に移動します。[Add Cert Enrollment]をクリックし、名前を入力し、[Enrollment Type]で[Self Signed Certificate]を選択します。[Certificate Parameters]タブをクリックし、図に示すようにCNを入力します。
ステップ9:リモートアクセスVPNウィザードを起動します。図に示すように、[Devices] > [VPN] > [Remote Access]に移動し、[Add]をクリックします。
ステップ10:名前を入力し、[SSL as VPN Protocol]にチェックマークを付け、VPNコンセントレータとして使用するFTDを選択し、図に示すように[Next]をクリックします。
ステップ11:接続プロファイル名を入力し、[Authentication/Accounting Servers]を選択し、以前に設定したアドレスプールを選択し、[Next]をクリックします。
ステップ12:前に設定したAnyConnectパッケージを選択し、図に示すように[Next]をクリックします。
ステップ13:VPNトラフィックが予想されるインターフェイスを選択し、前に設定した証明書の登録を選択し、図に示すように[Next]をクリックします。
ステップ14:サマリーページを確認し、図に示すように[Finish]をクリックします。
ステップ15:FTDに設定を展開します。Deployをクリックし、図に示すようにVPNコンセントレータとして使用するFTDを選択します。
ISE
ステップ1:ポスチャアップデートを実行します。図に示すように、[Administration] > [System] > [Settings] > [Posture] > [Updates]に移動します。
ステップ2:コンプライアンスモジュールのアップロード。[Policy] > [Policy Elements] > [Results] > [Client Provisioning] > [Resources]に移動します。[Add]をクリックし、[Agent resources from Cisco site]を選択します
ステップ3:AnyConnectをCisco Software Downloadからダウンロードし、ISEにアップロードします。[Policy] > [Policy Elements] > [Results] > [Client Provisioning] > [Resources]に移動します。[Add]をクリックし、[Agent Resources From Local Disk]を選択します。[Category]の下の[Cisco Provided Packages]を選択し、[AnyConnect package from local disk]を選択し、[Submit]をクリックします。
ステップ4:AnyConnectポスチャプロファイルを作成します。[Policy] > [Policy Elements] > [Results] > [Client Provisioning] > [Resources]に移動します。[Add]をクリックし、[AnyConnect Posture Profile]を選択します。名前とポスチャプロトコルを入力します。*サーバ名規則の下には*を入れ、図に示すダミーのIPアドレスをディスカバリホストの下に入力してください。
ステップ5:[Policy] > [Policy Elements] > [Results] > [Client Provisioning] > [Resources]の順に移動し、AnyConnect設定を作成します。[Add]をクリックし、[AnyConnect Configuration]を選択します。[AnyConnect Package]を選択し、[Configuration Name]を指定し、[Compliance Module]を選択し、[Diagnostic and Reporting Tool]をオンにし、[Posture Profile]を選択して、[Save]をクリックします。 
ステップ6:[Policy] > [Client Provisioning]に移動し、クライアントプロビジョニングポリシーを作成します。[Edit]をクリックして、[Insert Rule Above]を選択し、名前を入力して[OS]を選択し、前の手順で作成した[AnyConnect Configuration]を選択します。
ステップ7:[Policy] > [Policy Elements] > [Conditions] > [Posture] > [Anti-Malware Condition]でポスチャ条件を作成します。この例では、図に示すように、事前定義の「ANY_am_win_inst」が使用されます。
ステップ8:[Policy] > [Policy Elements] > [Results] > [Posture] > [Remediation Actions]に移動し、ポスチャ是正を作成します。この例では、スキップされます。修復アクションはテキストメッセージにすることができます。
ステップ9:[Policy] > [Policy Elements] > [Results] > [Posture] > [Requirements]に移動し、ポスチャ要件を作成します。定義済みの要件Any_AM_Installation_Winが使用されます。
ステップ10:[Policies] > [Posture]でポスチャポリシーを作成します。Windows OSのAntiMalware Checkのデフォルトのポスチャポリシーが使用されます。
ステップ11:[Policy] > [Policy Elements] > [Results] > [Authorization] > [Downloadable ACLS]に移動し、さまざまなポスチャステータスのDACLを作成します。
この例では、
- Posture Unknown DACL:DNS、PSN、HTTPおよびHTTPSトラフィックへのトラフィックを許可します。
- ポスチャ非準拠DACL:プライベートサブネットへのアクセスを拒否し、インターネットトラフィックのみを許可します。
- Permit All DACL:ポスチャ準拠ステータスのすべてのトラフィックを許可します。
ステップ12:[Posture Unknown]、[Posture NonCompliant]、および[Posture Compliant]ステータスの3つの認可プロファイルを作成します。これを行うには、[Policy] > [Policy Elements] > [Results] > [Authorization] > [Authorization Profiles]に移動します。[Posture Unknown] プロファイルで、[Posture Unknown DACL] を選択し、[Web Redirection] をオンにし、[Client Provisioning] を選択し、[Redirect ACL name](FTDで設定されている)を指定し、図に示すようにポータルを選択します。
[Posture NonCompliant]プロファイルで、[DACL]を選択して、図に示すようにネットワークへのアクセスを制限します。
[Posture Compliant]プロファイルで、[DACL]を選択し、図に示すようにネットワークへのフルアクセスを許可します。
ステップ13:[Policy] > [Policy Sets] > [Default] > [Authorization Policy]の下に、許可ポリシーを作成します。条件として[Posture Status]と[VNP TunnelGroup Name]が使用されます。 
確認
ここでは、設定が正常に機能しているかどうかを確認します。
ISEでは、最初の確認手順はRADIUSライブログです。[Operations] > [RADIUS Live Log]に移動します。ここで、ユーザAliceが接続され、図に示すように、予想される認可ポリシーが選択されます。
認可ポリシーFTD-VPN-Posture-Unknownが一致し、その結果、図に示すようにFTD-VPN-ProfileがFTDに送信されます。
ポスチャステータス保留中。
[Result]セクションには、FTDに送信される属性が表示されます。 
FTDで、VPN接続を確認するために、ボックスにSSHでsystem support diagnostic-cliを実行して、show vpn-sessiondb detail anyconnectを実行します。この出力から、ISEから送信された属性がこのVPNセッションに適用されていることを確認します。
fyusifov-ftd-64# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : alice@training.example.com Index : 12 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1 Bytes Tx : 15326 Bytes Rx : 13362 Pkts Tx : 10 Pkts Rx : 49 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : DfltGrpPolicy Tunnel Group : EmployeeVPN Login Time : 07:13:30 UTC Mon Feb 3 2020 Duration : 0h:06m:43s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 000000000000c0005e37c81a Security Grp : none Tunnel Zone : 0 AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 12.1 Public IP : 10.229.16.169 Encryption : none Hashing : none TCP Src Port : 56491 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes Client OS : win Client OS Ver: 10.0.18363 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 0 Pkts Tx : 5 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 12.2 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384 Encapsulation: TLSv1.2 TCP Src Port : 56495 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 23 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 592 Pkts Tx : 5 Pkts Rx : 7 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PostureUnknown-5e37414d DTLS-Tunnel: Tunnel ID : 12.3 Assigned IP : 172.16.1.10 Public IP : 10.229.16.169 Encryption : AES256 Hashing : SHA1 Ciphersuite : DHE-RSA-AES256-SHA Encapsulation: DTLSv1.0 UDP Src Port : 59396 UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 0 Bytes Rx : 12770 Pkts Tx : 0 Pkts Rx : 42 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PostureUnknown-5e37414d ISE Posture: Redirect URL : https://fyusifov-26-3.example.com:8443/portal/gateway?sessionId=000000000000c0005e37c81a&portal=27b1bc... Redirect ACL : fyusifovredirect fyusifov-ftd-64#
クライアントプロビジョニングポリシーを確認できます。図に示すように、[Operations] > [Reports] > [Endpoints and Users] > [Client Provisioning]に移動します。
AnyConnectから送信されたポスチャレポートを確認できます。[Operations] > [Reports] > [Endpoints and Users] > [Posture Assessment by Endpoint]に移動します。
ポスチャレポートの詳細を表示するには、図に示すように[Details]をクリックします。
ISEでレポートを受信すると、ポスチャステータスが更新されます。この例では、ポスチャステータスは準拠しており、図に示すように、新しい属性セットでCoAプッシュがトリガーされます。
FTDで、VPNセッションの新しいリダイレクトACLとリダイレクトURLが削除され、PermitAll DACLが適用されていることを確認します。
fyusifov-ftd-64# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : alice@training.example.com Index : 14 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES-GCM-256 DTLS-Tunnel: (1)AES256 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA384 DTLS-Tunnel: (1)SHA1 Bytes Tx : 53990 Bytes Rx : 23808 Pkts Tx : 73 Pkts Rx : 120 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : DfltGrpPolicy Tunnel Group : EmployeeVPN Login Time : 16:58:26 UTC Mon Feb 3 2020 Duration : 0h:02m:24s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 000000000000e0005e385132 Security Grp : none Tunnel Zone : 0 AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 14.1 Public IP : 10.55.218.19 Encryption : none Hashing : none TCP Src Port : 51965 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Client OS : win Client OS Ver: 10.0.18363 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7663 Bytes Rx : 0 Pkts Tx : 5 Pkts Rx : 0 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 14.2 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Encryption : AES-GCM-256 Hashing : SHA384 Ciphersuite : ECDHE-RSA-AES256-GCM-SHA384 Encapsulation: TLSv1.2 TCP Src Port : 51970 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 7715 Bytes Rx : 10157 Pkts Tx : 6 Pkts Rx : 33 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PermitAll-5e384dc0 DTLS-Tunnel: Tunnel ID : 14.3 Assigned IP : 172.16.1.10 Public IP : 10.55.218.19 Encryption : AES256 Hashing : SHA1 Ciphersuite : DHE-RSA-AES256-SHA Encapsulation: DTLSv1.0 UDP Src Port : 51536 UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.7.01076 Bytes Tx : 38612 Bytes Rx : 13651 Pkts Tx : 62 Pkts Rx : 87 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PermitAll-5e384dc0 fyusifov-ftd-64#
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
ポスチャフローとAnyConnectおよびISEのトラブルシューティングの詳細については、次のリンクを確認してください。 ISE ポスチャ スタイルの 2.2 前後の比較.
- スプリットトンネル
spitトンネルが設定されている場合の一般的な問題の1つ。この例では、すべてのトラフィックをトンネリングするデフォルトのグループポリシーが使用されています。特定のトラフィックのみがトンネルされる場合は、ISEおよびその他の内部リソースへのトラフィックに加えて、AnyConnectプローブ(enroll.cisco.comおよびdiscovery host)もトンネルを通過する必要があります。
FMCのトンネルポリシーを確認するには、まず、どのグループポリシーがVPN接続に使用されているかを確認します。図に示すように、[Devices] > [VPN Remote Access]に移動します。
次に、図に示すように、[Objects] > [Object Management] > [VPN] > [Group Policy]に移動し、[Group Policy configured for VPN]をクリックします。
- アイデンティティNAT
VPNユーザのリターントラフィックが誤ったNATエントリを使用して変換される場合に発生するもう1つの一般的な問題。この問題を解決するには、アイデンティティNATを適切な順序で作成する必要があります。
まず、このデバイスのNATルールを確認します。[Devices] > [NAT]に移動し、[Add Rule]をクリックして、図のように新しいルールを作成します。
開いたウィンドウで、[インターフェースオブジェクト]タブの[セキュリティゾーン]を選択します。この例では、図に示すように、NATエントリがZONE-INSIDEからZONE-OUTSIDEに作成されます。
[変換]タブで、元のパケットと変換されたパケットの詳細を選択します。アイデンティティNATであるため、送信元と宛先は変更されません。
次の図に示すように、[Advanced]タブでチェックボックスをオンにします。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
22-Oct-2021 |
許可フィールドが削除され、ACLが修正されました。 |
1.0 |
07-Feb-2020 |
初版 |
フィードバック