이 문서에서는 Microsoft WSUS(Windows Server Update Services)와 통합될 때 Cisco ISE(Identity Services Engine) 상태 기능을 구성하는 방법에 대해 설명합니다.
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
이 섹션에서는 ISE 및 관련 네트워크 요소를 구성하는 방법에 대해 설명합니다.
이 문서의 예제에 사용되는 토폴로지입니다.
다음은 네트워크 다이어그램에 표시된 트래픽 흐름입니다.
WSUS 서비스는 표준 TCP 포트 8530을 통해 구축됩니다.교정에 다른 포트도 사용된다는 점을 기억해야 합니다.따라서 WSUS의 IP 주소를 ASA의 리디렉션 ACL(Access Control List)에 추가해야 합니다(이 문서의 뒷부분에 설명).
도메인에 대한 그룹 정책은 Microsoft Windows 업데이트를 위해 구성되었으며 로컬 WSUS 서버를 가리킵니다.
다음은 여러 심각도 수준을 기반으로 하는 세분화된 정책에 대해 활성화된 권장 업데이트입니다.
클라이언트 측 표적화는 훨씬 더 큰 유연성을 제공합니다.ISE는 다른 Microsoft AD(Active Directory) 컴퓨터 컨테이너를 기반으로 하는 포스처 정책을 사용할 수 있습니다.WSUS는 이 구성원 자격을 기반으로 하는 업데이트를 승인할 수 있습니다.
원격 사용자에 대한 SSL(Simple Secure Sockets Layer) VPN 액세스가 사용됩니다(자세한 내용은 이 문서의 범위를 벗어남).
다음은 컨피그레이션의 예입니다.
interface GigabitEthernet0/0
nameif outside
security-level 10
ip address 172.16.32.100 255.255.255.0
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.31.100 255.255.255.0
aaa-server ISE protocol radius
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE (inside) host 172.16.31.202
key cisco
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
group-policy POLICY internal
group-policy POLICY attributes
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
address-pool POOL-VPN
authentication-server-group ISE
accounting-server-group ISE
default-group-policy POLICY
ip local pool POOL-VPN 172.16.50.50-172.16.50.60 mask 255.255.255.0
ISE로 리디렉션되어야 하는 트래픽을 확인하기 위해 사용되는 ASA에서 액세스 목록을 구성하는 것이 중요합니다(아직 규정을 준수하지 않는 사용자의 경우).
access-list Posture-redirect extended deny udp any any eq domain
access-list Posture-redirect extended deny ip any host 172.16.31.103
access-list Posture-redirect extended deny ip any host 172.16.31.202
access-list Posture-redirect extended deny icmp any any
access-list Posture-redirect extended permit tcp any any eq www
DNS(Domain Name System), ISE, WSUS 및 ICMP(Internet Control Message Protocol) 트래픽만 비준수 사용자에게 허용됩니다.다른 모든 트래픽(HTTP)은 AnyConnect 4 프로비저닝을 위한 ISE로 리디렉션되며, 이는 포스처 및 리미디에이션을 담당합니다.
WSUS에 대한 상태 개선을 구성하려면 다음 단계를 완료합니다.
그런 다음 Microsoft Windows Update 에이전트는 WSUS에 연결하여 설치 대기 중인 PC에 대한 중요 업데이트가 있는지 확인합니다.
새 규칙을 생성하려면 Policy > Conditions > Posture > Requirements로 이동합니다.규칙은 pr_WSUSRule이라는 더미 조건을 사용합니다. 즉, 교정이 필요할 때 조건을 확인하기 위해 WSUS에 연결됩니다(중요 업데이트).
이 조건이 충족되면 WSUS는 해당 PC에 대해 구성된 업데이트를 설치합니다.여기에는 모든 유형의 업데이트와 심각도가 낮은 업데이트가 포함될 수 있습니다.
AnyConnect 4.0 Integration with ISE Version 1.3 Configuration Example에 설명된 대로 AnyConnect 4 프로파일과 함께 포스처 모듈 프로파일을 구성합니다.
AnyConnect 프로파일이 준비되면 클라이언트 프로비저닝 정책에서 이를 참조할 수 있습니다.
컨피그레이션과 함께 전체 애플리케이션이 엔드포인트에 설치되며, 이는 클라이언트 프로비저닝 포털 페이지로 리디렉션됩니다.AnyConnect 4가 업그레이드되고 추가 모듈(상태)이 설치될 수 있습니다.
클라이언트 프로비저닝 프로파일로 리디렉션하기 위한 권한 부여 프로파일을 만듭니다.
이 그림에서는 권한 부여 규칙을 보여 줍니다.
처음으로 ASA-VPN_quarantine 규칙이 사용됩니다.따라서 Posture 권한 부여 프로파일이 반환되고 엔드포인트는 AnyConnect 4(포스처 모듈 포함) 프로비저닝을 위한 클라이언트 프로비저닝 포털로 리디렉션됩니다.
규정 준수가 완료되면 ASA-VPN_compliant 규칙이 사용되며 전체 네트워크 액세스가 허용됩니다.
이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하는 데 사용할 수 있는 정보를 제공합니다.
PC가 도메인에 로그인한 후 WSUS 구성이 있는 도메인 정책을 푸시해야 합니다.이는 VPN 세션이 설정되기 전(대역 외) 또는 로그온 전 시작 기능을 사용하는 경우(802.1x 유선/무선 액세스에도 사용할 수 있음) 이후에 발생할 수 있습니다.
Microsoft Windows 클라이언트에 올바른 구성이 적용되면 Windows Update 설정에서 이를 반영할 수 있습니다.
필요한 경우 GPO(그룹 정책 개체) 새로 고침 및 Microsoft Windows Update 에이전트 서버 검색을 사용할 수 있습니다.
C:\Users\Administrator>gpupdate /force
Updating Policy...
User Policy update has completed successfully.
Computer Policy update has completed successfully.
C:\Users\Administrator>wuauclt.exe /detectnow
C:\Users\Administrator>
승인 프로세스는 클라이언트 사이트 대상 지정 시 다음과 같은 이점을 얻을 수 있습니다.
필요한 경우 보고서를 Wuauck으로 재전송합니다.
이 이미지는 WSUS에서 PC 상태를 확인하는 방법을 보여줍니다.
WSUS를 사용하여 다음 새로 고치려면 하나의 업데이트를 설치해야 합니다.
VPN 세션이 설정되면
ISE 권한 부여 규칙이 사용되며, 이 규칙은 Posture 권한 부여 프로파일을 반환합니다.따라서 엔드포인트의 HTTP 트래픽은 AnyConnect 4 업데이트 및 포스처 모듈 프로비저닝을 위해 리디렉션됩니다.이 시점에서 ASA의 세션 상태는 ISE로 HTTP 트래픽을 리디렉션하여 제한된 액세스를 나타냅니다.
asav# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 69
Assigned IP : 172.16.50.50 Public IP : 192.168.10.21
<...some output omitted for clarity...>
ISE Posture:
Redirect URL : https://ise14.example.com:8443/portal/gateway?sessionId=ac101f64000
45000556b6a3b&portal=283258a0-e96e-...
Redirect ACL : Posture-redirec
포스처 모듈은 ISE에서 정책을 수신합니다.ise-psc.log 디버그는 상태 모듈에 전송되는 요구 사항을 표시합니다.
2015-06-05 07:33:40,493 DEBUG [portal-http-service12][] cisco.cpm.posture.runtime.
PostureHandlerImpl -:cisco:ac101f6400037000556b40c1:::- NAC agent xml
<?xml version="1.0" encoding="UTF-8"?><cleanmachines>
<version>2</version>
<encryption>0</encryption>
<package>
<id>10</id>
WSUS
<version/>
<description>This endpoint has failed check for any AS installation</description>
<type>10</type>
<optional>0</optional>
42#1
<remediation_type>1</remediation_type>
<remediation_retry>0</remediation_retry>
<remediation_delay>0</remediation_delay>
<action>10</action>
<check>
pr_WSUSCheck
</check>
<criteria/>
</package>
</cleanmachines>
포스처 모듈은 Microsoft Windows Update 에이전트가 WSUS에 연결하도록 자동으로 트리거하고 WSUS 정책에 구성된 대로 업데이트를 다운로드합니다(사용자 개입 없이 모두 자동으로).
스테이션이 AnyConnect 포스처 모듈에 의해 규정 준수 상태로 보고되면 다음과 같이 표시됩니다.
보고서는 정책을 재평가하고
권한 부여 규칙에 도달하는 ISE로 전송됩니다.이렇게 하면 전체 네트워크 액세스(Radius CoA를 통해)가 제공됩니다. Operations(운영) > Authentications(인증)로 이동하여 확인합니다.디버그(ise-psc.log)는 또한 규정 준수 상태, CoA 트리거 및 상태에 대한 최종 설정을 확인합니다.
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureManager -:cisco:
ac101f6400039000556b4200:::- Posture report token for endpoint mac
08-00-27-DA-EF-AD is Healthy
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400039000556b4200:::- entering triggerPostureCoA for session
ac101f6400039000556b4200
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:ac
101f6400039000556b4200:::- Posture CoA is scheduled for session id
[ac101f6400039000556b4200]
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:
ac101f6400039000556b4200:::- DM_PKG report non-AUP:html = <!--X-Perfigo-DM-Error=0-->
<!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0-->
<!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0-->
<!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey-->
<!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=-->
<!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter-->
<!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4-->
<!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:DA:EF:AD-->
DEBUG [pool-183-thread-1][]cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400036000556b3f52:::- Posture CoA is triggered for endpoint [08-00-27-da-ef-ad]
with session [ac101f6400039000556b4200]
또한 ISE Detailed Posture Assessment 보고서에서는 스테이션이 규정을 준수함을 확인합니다.
현재 이 구성에 사용할 수 있는 문제 해결 정보가 없습니다.
이 섹션에서는 이 문서에 설명된 구성에 대한 몇 가지 중요한 정보를 제공합니다.
요구 사항 조건을 교정과 구분하는 것이 중요합니다.AnyConnect는 Validate Windows updates using remediation 설정에 따라 Microsoft Windows Update Agent가 규정 준수를 확인하도록 트리거합니다.
이 예에서는 Severity Level이 사용됩니다.중요 설정을 사용하면 Microsoft Windows 에이전트가 보류 중인 중요 업데이트가 있는지 확인합니다.있는 경우 교정이 시작됩니다.
그런 다음 리미디에이션 프로세스는 WSUS 컨피그레이션에 따라 중요하며 덜 중요한 모든 업데이트를 설치할 수 있습니다(특정 시스템에 대해 승인된 업데이트).
Validate Windows updates using set as Cisco Rules(Cisco 규칙으로 설정을 사용하여 Validate Windows 업데이트를 사용할 경우, 요구 사항에 자세히 나와 있는 조건이 스테이션의 준수 여부를 결정합니다.
WSUS 서버가 없는 구축의 경우 Windows Update Remediation이라고 할 수 있는 다른 교정 유형이 있습니다.
이 교정 유형을 사용하면 Microsoft Windows Update 설정을 제어할 수 있으며 즉시 업데이트를 수행할 수 있습니다.이 교정 유형과 함께 사용되는 일반적인 조건은 pc_AutoUpdateCheck입니다.이렇게 하면 엔드포인트에서 Microsoft Windows Update 설정이 활성화되어 있는지 확인할 수 있습니다.그렇지 않은 경우 이를 활성화하고 업데이트를 수행할 수 있습니다.
ISE 버전 1.4의 새로운 기능인 패치 관리를 사용하면 많은 타사 공급업체와 통합할 수 있습니다.공급업체에 따라 여러 가지 옵션을 조건 및 교정에 사용할 수 있습니다.
Microsoft의 경우 SMS(System Management Server) 및 SCCM(System Center Configuration Manager)이 모두 지원됩니다.