De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document worden de configuratie en het gebruik van Posture State Synchronization beschreven die zijn geïntroduceerd in de Cisco Identity Service Engine (ISE) 3.1-versie.
Cisco raadt kennis van de volgende onderwerpen aan:
Er wordt verondersteld dat je een Posture-configuratie hebt in plaats van elk type.
Om de later beschreven concepten beter te begrijpen, wordt aanbevolen om door te gaan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
ISE Posture flow staat meestal niet toe dat de Posture-status wordt bijgewerkt op de client vanuit de ISE. Cisco Secure Client Posture Module wordt gebruikt om de Posture-status van het eindpunt te evalueren en deze te behouden tot netwerkwijziging, periodieke herbeoordeling of andere triggers aan de clientzijde. Als het eindpunt Houding status verandert op ISE als gevolg van een sessie beëindiging of andere redenen, kan de Secure Client Houding Module niet op de hoogte van die verandering, zodat het Eindpunt blijft in Houding Onbekende staat met beperkte toegang tot het netwerk totdat een van de client-side triggers gebeurt.
Dit document is gericht op een nieuwe functie - Posture Status Synchronization, die is ontwikkeld om dit soort problemen aan te pakken en ISE in staat te stellen feedback te geven aan de Secure Client Posture Module over de huidige Posture Status van het eindpunt.
De Postuur status probe poort werd geïntroduceerd op elke ISE PSN node wanneer Posture State Synchronization is ingeschakeld - TCP 8449 standaard. Het wordt verondersteld bereikbaar te zijn vanaf het Eindpunt als de Eindpunt Houding status Onbekend of In behandeling is en onbereikbaar als de Eindpunt status Voldoet.
De configuratie van de functie voor synchronisatie van de houdingsstatus bestaat uit twee delen:
1.1 Navigeer in de Cisco ISE GUI naar Beleid > Beleidselementen > Resultaten > Clientprovisioning > Bronnen.
1.2 Selecteer het AnyConnect-houdingsprofiel dat u al gebruikt of maak een nieuw profiel.
1.3 Configureer in het gebied Agent-gedrag het synchronisatie-interval voor de houdingsstatus op een willekeurige waarde tussen 1 en 300 seconden, 0 - schakelt de synchronisatie van de houdingsstatus uit
1.4 U kunt Posture Probing Backup List configureren - Secure Client gebruikt deze lijst om de Posture State op geselecteerde PSN's te controleren. Als u geen PSN kiest, worden de aangesloten PSN en twee back-upservers gebruikt als back-ups voor synchronisatie van de houdingsstatus.
2. Configuratie van een downloadbare ACL (dACL) om de toegang tot de Posture State Synchronization-poort op Cisco ISE te blokkeren wanneer de status van de clientpositie Compliant of Non-Compliant is. U moet toegangscontrole toevoegen om toegang te weigeren met de Posture State Synchronization-poort voor elke PSN aan de bovenkant van ACL's die worden gebruikt voor compatibele eindpunten om de toegang tot de Posture State Synchronization-poort te beperken als de eindpuntstatus bekend is, bijvoorbeeld:
deny tcp any host PSN1-IP-ADDRESS eq 8449
deny tcp any host PSN2-IP-ADDRESS eq 8449
permit ip any any
Elke vergunning IP is niet verplicht, u kunt deze vervangen door een reeks regels op basis van uw behoeften.
Opmerking: Als de vermelding weigeren in dACL niet is geconfigureerd, wordt het Posture Configuration Detection-alarm geactiveerd op het Cisco ISE-dashboard en wordt de synchronisatie van de posturestatus uitgeschakeld op het eindpunt totdat Cisco Secure Client opnieuw wordt gestart.
Posture State Synchronization-poort (bidirectionele poort) kan worden gewijzigd op de configuratiepagina van het Client Provisioning Portal. Navigeer naar Beheer > Apparaatportaalbeheer > Clientprovisioning > Selecteer het gewenste portaal > Portaalgedrag en -stroominstellingen en open Portaalinstellingen. De synchronisatiepoort voor de houdingsstatus van het standaard Client Provisioning Portal kan niet worden gewijzigd.
Posture Status Synchronization kan worden geverifieerd vanaf de clientzijde door te kijken naar Cisco Secure Client Posture Module-logs (AnyConnect_ISEPosture.txt) van DART Bundle:
1. Houdingsevaluatie is voltooid, Houdingstoestand is conform.
2022/11/09 12:22:47 [Information] aciseagent Function: Authenticator::sendUIStatus Thread Id: 0xC60 File: authenticator.cpp Line: 1905 Level: debug MSG_SU_STEP_STATUS, {Status:4,Compliant:2,RemStatus:2,Phase:0,StepNumber:-1,Progress:-1,Attention:1,Cancellable:0,Restartable:0,ErrorMessage:0,Description1:"Compliant.",Description2:"Network access allowed."}.
2. De synchronisatie van de houdingsstatus wordt gestart.
2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 143 Level: info Session Sync Periodic Probing start.
2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 335 Level: info Session sync periodic probing thread start.
3. De HTTPS-verbinding met ISE PSN op de Posture State Synchronization-poort (8449) wordt gestart.
2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 357 Level: debug Sending http session sync periodic probe to [ISE-PSN-FQDN].
2022/11/09 12:22:47 [Information] aciseagent Function: HttpConnection::MakeRequest Thread Id: 0x296C File: httpconnection.cpp Line: 330 Level: debug Url=https://ISE-PSN-FQDN:8449/auth/StateSynch.
4. Time-out voor het meten van de houdingsstatus.
2022/11/09 12:22:54 [Information] aciseagent Function: hs_transport_winhttp_post Thread Id: 0x296C File: hs_transport_winhttp.c Line: 5815 Level: debug unable to send request: 12002.
2022/11/09 12:22:54 [Information] aciseagent Function: hs_transport_post Thread Id: 0x296C File: hs_transport.c Line: 1425 Level: trace posting data failed.
2022/11/09 12:22:54 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 394 Level: debug HTTP Probe failed/timed-out, Retrying...
Packet capture genomen op de client toont SYN-pakketten verzonden naar de ISE PSN-node op de Posture State Synchronization-poort (8449) zonder SYN-ACK-reactie van ISE PSN:
De configuratie voor de correcte synchronisatie van de houdingsstatus kan niet worden geverifieerd vanaf de ISE-kant, omdat de verbinding op de synchronisatiepoort voor de houdingsstatus (8449) zou moeten mislukken.
1) Informatie over de sessiestatus is ontvangen van ISE met de status 'Onbekend' terwijl Cisco Secure Client zich in de status 'Voldoet' bevindt.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 430 Level: debug --- Http Response Headers ---.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug HTTP-Version: 1.1.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Status-Code: 200.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Connection: keep-alive.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Date: Wed, 09 Nov 2022 11:26:24 GMT.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Keep-Alive: timeout=20.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Content-Length: 0.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Server: server.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug X-Frame-Options: SAMEORIGIN.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Strict-Transport-Security: max-age=31536000; includeSubDomains.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug X-Content-Type-Options: nosniff.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' http://www.cisco.com/ data:;.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug X-XSS-Protection: 1; mode=block.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Accept-CH: Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Platform, Sec-CH-UA.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug X-ISE-POSTURE_STATUS: Unknown.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 442 Level: debug --------------------.
2) Cisco Secure Client erkent de statuswijziging en start de Posture Discovery opnieuw op:
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 379 Level: debug Different Session state on ISE = [ ISE-PSN-FQDN]. Restarting discovery.
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 387 Level: debug MSG_NS_SWIFT_RESTART_SEARCH, {manualRescan:0,stopPeriodicProbe:1}.
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1431 Level: debug Restarting Discovery.
3) Cisco Secure Client stopt de synchronisatie van de houdingsstatus totdat de houdingsbeoordeling is uitgevoerd:
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::processMessage Thread Id: 0xC60 File: swifthttprunner.cpp Line: 383 Level: debug Periodic Probes requested to be stopped.
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1436 Level: debug MSG_PN_STOP_PERIODIC_PROBE sent.
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1437 Level: debug MSG_PN_STOP_PERIODIC_PROBE, .
2022/11/09 12:26:24 [Information] aciseagent Function: hs_transport_free Thread Id: 0xC60 File: hs_transport.c Line: 606 Level: trace de-initialization done.
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 210 Level: debug MSG_PN_STOP_PERIODIC_PROBE received..
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 224 Level: debug Periodic Probing stopped.
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 411 Level: info Session sync periodic probing thread end.
Als er geen indicatie is dat Posture Status Synchronization start in het logbestand AnyConnect_ISEPosture.txt en de client niet probeert een verbinding tot stand te brengen met de ISE PSN-node op de Posture State Synchronization-poort(8449), controleert u het Posture-configuratiebestand ISEPostureCFG.xml vanuit de DART-bundel of rechtstreeks op het clientsysteem: "%ProgramData%\Cisco\Cisco Secure Client\ISE Posture\" voor een Windows-pc.
De parameter die verantwoordelijk is voor Posture Status Synchronization is "StateSyncProbeInterval", het wordt verondersteld te zijn ingesteld met een waarde hoger dan 0:
De afwezigheid van "StateSyncProbeInterval" of een waarde van "0" betekent dat de synchronisatie van de houdingsstatus is uitgeschakeld.
Als "Posture State Synchronization Interval" is ingesteld in Posture Profile op ISE, maar deze niet wordt weergegeven in een configuratiebestand op de client, moet de Posture-provisioning worden onderzocht.
Als Posture State Synchronization mislukt met een alarm op ISE, betekent dit dat Cisco Secure Client in staat was om ISE te bereiken op de Posture State Synchronization poort (8449) en een status voor de sessie met "Compliant" status heeft aangevraagd.
TCP-verbinding op de synchronisatiepoort voor de houdingsstatus (8449) is tot stand gebracht:
Controleer AnyConnect_ISEPosture.txt vanuit de DART-bundel:
1) HTTPS-verbinding met ISE PSN op de Posture State Synchronization-poort (8449) wordt gestart.
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 357 Level: debug Sending http session sync periodic probe to [ISE-PSN-FQDN].
2) Informatie over de sessiestatus is ontvangen van ISE met de status "Conform".
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 430 Level: debug --- Http Response Headers ---.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug HTTP-Version: 1.1.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Status-Code: 200.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Connection: keep-alive.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Date: Wed, 09 Nov 2022 11:26:34 GMT.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Keep-Alive: timeout=20.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Content-Length: 0.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Server: server.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug X-Frame-Options: SAMEORIGIN.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Strict-Transport-Security: max-age=31536000; includeSubDomains.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug X-Content-Type-Options: nosniff.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' http://www.cisco.com/ data:;.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug X-XSS-Protection: 1; mode=block.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Accept-CH: Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Platform, Sec-CH-UA.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug X-ISE-POSTURE_STATUS: Compliant.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 442 Level: debug --------------------.
3) Synchronisatie van de houdingsstatus stopt vanwege detectie van een onjuiste configuratie:
2022/11/09 12:26:34 [Error] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 370 Level: error Incorrect configuration detected by ISE = [ISE-PSN-FQDN], compliant status is not expected.
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 371 Level: debug MSG_PN_STOP_PERIODIC_PROBE, .
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 210 Level: debug MSG_PN_STOP_PERIODIC_PROBE received..
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 224 Level: debug Periodic Probing stopped.
Posture State Synchronization kan niet opnieuw worden gestart vanuit de Cisco Secure Client GUI door de Posture-evaluatie of een netwerkwijziging opnieuw te starten. In plaats daarvan moet de Cisco Secure Client opnieuw worden opgestart om de synchronisatie van de houdingsstatus weer te laten werken.
1. Valideer de juiste dACL die is geconfigureerd voor het Posture "Compliant" autorisatieprofiel:
2. Een gedetailleerd verificatierapport valideren dACL is correct verzonden als gevolg van de verificatie van het eindpunt "Compliant".
3. Valideren dat dACL correct wordt toegepast op een netwerktoegangsapparaat:
avakhrus_3560C#sh authe sess int fa0/12 det
Interface: FastEthernet0/12
MAC Address: 0050.56a8.be02
IPv6 Address: Unknown
IPv4 Address: 192.168.255.193
User-Name: TRAINING\bob
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: 172800s (local), Remaining: 92111s
Session Uptime: 1515s
Common Session ID: C0A8FF0C00000012679EAF14
Acct Session ID: 0x00000012
Handle: 0x5D000005
Current Policy: POLICY_Fa0/12
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Server Policies:
ACS ACL: xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac
Method status list:
Method State
mab Stopped
dot1x Authc Success
avakhrus_3560C#sh access-lists | s xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac
Extended IP access list xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac (per-user)
1 deny tcp any host PSN1-IP-ADDRESS eq 8449
2 deny tcp any host PSN2-IP-ADDRESS eq 8449
3 permit ip any any
Posture State Synchronization kan mislukken met alarm op ISE, zelfs als de juiste dACL wordt toegepast op een netwerktoegangsapparaat naar het clienteindpunt. Dit gebeurt als de Posture State Synchronization Probe sneller wordt uitgevoerd dan dACL wordt toegepast of als de Posture State Synchronization Probe al bezig is wanneer dACL wordt toegepast. Het probleem werd onderzocht in Cisco bug ID CSCwd58316 . Als tijdelijke oplossing moet u "Network transition delay" instellen op 10 seconden in het Anyconnect Posture-profiel (ISE Posture Agent Profile Settings).
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
18-Oct-2024
|
Eerste vrijgave |