Beveiligde toegang configureren voor RA-VPNaaS Posture Assessment met ISE

Downloadopties

  • PDF     (8.4 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (8.8 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (6.9 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 april 2024
Document-id:221882

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u Posture Assessment configureert voor VPN-gebruikers met externe toegang met Identity Service Engine (ISE) en Secure Access.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    Gebruikte componenten

    De informatie in dit document is gebaseerd op: 

    • Identity Service Engine (ISE) versie 3.3 Patch 1
    • beveiligde toegang
    • Cisco Secure Client - AnyConnect VPN versie 5.1.2.42

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Secure Access - ISE - Flow DiagramVeilige toegang - ISE - Diagram

    De integratie van Cisco Secure Access met Identity Services Engine (ISE) biedt een uitgebreide beveiligingsaanpak, waarbij gebruik wordt gemaakt van verschillende verificatieprotocollen, waaronder MS-CHAPv2, om verbindingen te beveiligen. Cisco Secure Access, met zijn geavanceerde Security Service Edge (SSE)-oplossing, verbetert de veilige connectiviteit in hypergedistribueerde omgevingen en biedt functies zoals VPN as a Service (VPNaaS), die kunnen worden beveiligd met behulp van ISE-mogelijkheden.

    Deze integratie zorgt voor een naadloze en veilige toegangservaring, waardoor gebruikers overal en met geoptimaliseerde prestaties en beveiliging verbinding kunnen maken met elke toepassing. Het gebruik van geavanceerde Cisco ISE-functies, zoals Posture Assessment, versterkt dit beveiligingsmodel verder door de conformiteit van pc's met het interne gebruikersbeleid te evalueren voordat toegang wordt verleend. Dit zorgt ervoor dat alleen apparaten die voldoen aan de beveiligingsvereisten van de organisatie toegang hebben tot netwerkbronnen, waardoor het risico op kwetsbaarheden wordt verminderd.

    note-icon

    Opmerking: om de RADIUS-integratie te configureren, moet u ervoor zorgen dat u communicatie tussen beide platforms hebt.

    Netwerkdiagram

    Secure Access - ISE - Network Diagram

    Configureren

    note-icon

    Opmerking: Voordat u begint met het configuratieproces, moet u de eerste stappen met beveiligde toegang en ISE-integratie voltooien.

    Beveiligde toegangsconfiguratie

    Radiusgroep configureren in de IP-pools

    Ga als volgt te werk om het VPN-profiel met Radius te configureren: 

    Navigeer naar je Secure Access Dashboard.

    • Klik op Connect > Enduser Connectivity > Virtual Private Network
    • Klik onder uw poolconfiguratie (Manage IP PoolsPoolconfiguratie) opManage

    Secure Access - Manage IP Pools

    • Kies de IP Pool Region en configureer de Radius Server

    Secure Access- POP - Manage IP Pool

    • Klik op het potlood om te bewerken

    Secure Access - Edit Button

    • Nu, onder de IP Pool sectie configuratie drop-down onder Radius Group (Optional)
    • Klik op de knop Add RADIUS Group

    Secure Access - RADIUS Groups

    Secure Access - Radius Configuration

    • Configureer onder Algemeen de volgende opties: 

    Secure Access - Radius AAA

    • Group Name: Configureer een naam voor uw ISE-integratie in Secure Access
      • AAA method
        • Authentication: vink het selectievakje aan voor Authentication en selecteer de standaard poort 1812
          • Als uw verificatie vereist is, vinktMicrosoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)u het selectievakje aan
        • Authorization: Markeer het selectievakje voorAuthorizationen selecteer de poort, standaard is 1812
          • Vink het selectievakje aan voor Authorization mode Only en om de houdingChange of Authorization (CoA) mode en wijzigingen van ISE toe te staan
        • Accounting: vink het selectievakje voor autorisatie aan en selecteer de poort, standaard 1813
          • Kies Single or Simultaneous (In één modus worden boekhoudgegevens naar slechts één server verzonden. In gelijktijdige modus, boekhoudgegevens naar alle servers in de groep)
          • Vink het selectievakje aan voor Accounting update om de periodieke generatie van RADIUS-berichten voor tussentijdse boekhoudkundige updates mogelijk te maken.
    caution-icon

    Let op: zowel de methodeAuthenticationals Authorization de methode moeten dezelfde poort gebruiken.

    • Daarna moet u de RADIUS Servers (ISE) configureren die wordt gebruikt om via AAA te verifiëren in de RADIUS Serverssectie:
    • Klik op + Add

    Secure Access - Radius Servers

    • Configureer vervolgens de volgende opties:

    Secure Access - Radius Server Configuration

    • Server Name: Configureer een naam om uw ISE-server te identificeren.
    • IP Address: Configureer het IP-adres van uw Cisco ISE-apparaat dat bereikbaar is via Secure Access
    • Secret Key: Configureer de geheime RADIUS-sleutel
    • Password: Uw Radius-wachtwoord configureren
    • Klik Save en wijs uw Radius-server toe onder deAssign Serveroptie en selecteer uw ISE-server:

    Radius Servers - Assign Servers

    • Klik Save nogmaals om alle configuratie op te slaan

    Radius Servers - Assigned Servers

    Nu u uw ISE-server hebt geconfigureerd onder de IP-pool, moet u deze onder uw VPN Profilescomputer configureren.

    Management Pool - Radius Assigned

    Configureer uw VPN-profiel om ISE te gebruiken

    Als u het VPN-profiel wilt configureren, gaat u naar het Dashboard voor beveiligde toegang.

    • Klik op Connect > Enduser Connectivity > Virtual Private Network
    • OnderVPN Profiles klik + Add
    • Configureer vervolgens de volgende opties:

    Algemene instellingen

    Secure Access - RA-VPN - General Settings

    • VPN Profile name: Configureer een naam voor uw profielnaam
    • Default Domain: Stel uw domein in.
    • DNS Server: Kies de door u geconfigureerde Domain Name Server (DNS)-server
    • Protocol: Configureer de protocollen die u moet toestaan onder de VPN
    • Connect Time posture: Kies een houding of laat het als Geen
    • Klik daarna op Next

    Verificatie, autorisatie en accounting

    Verificatie

    Secure Access - RA-VPN - Authentication

    • Authentication
      • ProtocolsKies: Radius
      • Map authentication groups to regions: Kies de regio's en kies uw Radius Groups
    • Klik op de knop  Next
    note-icon

    Opmerking: U moet alle regio's aanvinken en de radiusgroepen selecteren als u meerdere regio's hebt. Doet u dat niet, dan wordt uw Next knop grijs.

    Nadat u alle verificatieonderdelen hebt geconfigureerd, gaat u verder met de autorisatie.

    Authorization

    Secure Access - RA-VPN - Authorization

    • Authorization
      • Enable Radius Authorization: Vink het selectievakje aan om de radius Autorisatie in te schakelen
      • Selecteer één groep voor alle regio's: Vink het selectievakje aan om één specifieke radiusserver te gebruiken voor alle groepen Externe toegang - Virtual Private Network (RA-VPN) of definieer deze voor elke groep afzonderlijk
    • Klik op de knop  Next

    Nadat u alle onderdelen hebt Authorization geconfigureerd, gaat u verder met de Accountingprocedure.

    note-icon

    Opmerking: Als u de Radio Authorizationhouding niet inschakelt, kan deze niet werken.

    Accounting

    Secure Access - RA-VPN - Accounting

    • Accounting
      • Map Authorization groups to regions: Kies de regio's en kies uw Radius Groups
    • Klik op de knop Next

    After you have done configured the Authentication, Authorization and Accounting please continue withTraffic Steering.

    verkeerssturing

    Onder verkeerssturing moet u het type communicatie configureren via Secure Access.

    Secure Access - RA-VPN - VPN MODE

    • Als u Connect to Secure Accesskiest, al uw internetverkeer routes door Secure Access

    Secure Access - RA-VPN - Connect to Secure Access

    Als u uitsluitingen voor internetdomeinen of IP's wilt toevoegen, klikt u op de + Add knop en klikt u Nextop.

    • Als u besluit dit te Bypass Secure Accessdoen, gaat al uw internetverkeer via uw internetprovider, niet viaSecure Access(geen internetbescherming)

    Secure Access - RA-VPN - All Traffic is Steered outside the Tunnel

    note-icon

    Opmerking: voeg enroll.cisco.com voor ISE-houding toe wanneer u Bypass Secure Accesskiest.

    In deze stap selecteert u alle privé-netwerkbronnen die u wilt openen via de VPN. Om dit te doen, klikt u + Addop en klikt u Next op wanneer u alle bronnen hebt toegevoegd.

    Cisco Secure Client Configuration

    Secure Access - RA-VPN - Secure Client Configurations

    In deze stap kunt u alles als standaard handhaven en op Saveklikken, maar als u uw configuratie meer wilt aanpassen, raadpleegt u de Beheerdershandleiding voor Cisco Secure Client.

    ISE-configuraties

    Lijst met netwerkapparaten configureren

    Als u de verificatie via Cisco ISE wilt configureren, moet u de toegestane apparaten configureren die vragen kunnen stellen aan uw Cisco ISE:

    • Navigeer naar Administration > Network Devices
    • Klik op + Add 

    ISE - Network Device List - CSA

    • Name: Gebruik een naam om beveiligde toegang te identificeren
    • IP  Address: DeManagement Interfacegrootte van de stap configureren, IP-poolregio
    • Device ProfileKies: Cisco
      • Radius Authentication Settings
        • Shared Secret: hetzelfde gedeelde geheim configureren dat is geconfigureerd voor de stap, geheime sleutel
        • CoA Port: Laat het als standaard; 1700 wordt ook gebruikt in Secure Access

    Om na die klik Savete controleren of de integratie goed werkt, gaat u verder met het maken van een lokale gebruiker voor integratieverificatie.

    Een groep configureren

    Ga als volgt te werk om een groep te configureren voor gebruik met lokale gebruikers:

    • Klik in Administration > Groups
    • Klik op de knop  User Identity Groups
    • Klik op de knop  + Add
    • Maak een naamNamevoor de groep en klik op Submit

    ISE - User Identity Group

    Lokale gebruiker configureren

    U configureert als volgt een lokale gebruiker om uw integratie te verifiëren:

    • Navigeer naar Administration > Identities
    • Klik op Add +

    ISE - Local User

    ISE - Network Device List

    • Username: Configureer de gebruikersnaam met een bekende UPN-voorziening in Secure Access; dit is gebaseerd op de stap Vereisten
    • Status:Actief
    • Password Lifetime: U kunt het configureren With Expiration ofNever Expires, afhankelijk van u
    • Login Password: Maak een wachtwoord aan voor de gebruiker
    • User Groups: Kies de groep die in de stap is gemaakt en configureer een groep
    note-icon

    Opmerking: de op verificatie gebaseerde versie op basis van UPN is ingesteld om te worden gewijzigd in komende versies van Secure Access.

    Daarna kunt u de configuratie wijzigen Save en doorgaan met de Configure Policy Setstap.

    Beleidsset configureren

    Configureer onder de beleidsset de actie die ISE onderneemt tijdens verificatie en autorisatie. Dit scenario toont de use case voor het configureren van een eenvoudig beleid om gebruikerstoegang te bieden. Ten eerste verifieert ISE de oorsprong van de RADIUS-authenticaties en controleert of de identiteiten in de ISE-gebruikersdatabase bestaan om toegang te bieden

    Om dat beleid te configureren, navigeert u naar uw Cisco ISE Dashboard: 

    • Klik op Policy > Policy Sets
    • Klik op + om een nieuwe beleidsset toe te voegen

    ISE - Policy Set

    Maak in dit geval een nieuwe beleidsset in plaats van onder de standaardset te werken. Configureer vervolgens de verificatie en autorisatie op basis van die beleidsset. Het geconfigureerde beleid geeft toegang tot het netwerkapparaat dat is gedefinieerd in de stap Netwerkapparatenlijst configureren om te controleren of deze verificaties afkomstig zijn vanCSA Network Device Listen vervolgens als Conditionsgebruiker in het beleid worden opgenomen. En tot slot, de toegestane Protocollen, zoals Default Network Accessgezegd.

    Ga als volgt te werk om de informatie te maken condition die overeenkomt met de beleidsset:

    • Klik op +
    • Onder Condition Studiode beschikbare informatie vallen: 

    ISE - Conditional Studio

    1. Om de voorwaarden aan te maken, klikt u op Click to add an attribute
    2. Klik op de Network Device knop 
    3. Klik onder de opties erachter op Network Access - Network Device Name optie
    4. Schrijf onder de optie Gelijk aan de naam van het Network Device netwerk onder de stap Lijst netwerkapparaten configureren
    5. Klik op de knop  Save

    ISE - Conditional Studio 2

    Dit beleid keurt alleen het verzoek van de bronCSAom de Authentication en de Authorization installatie voort te zetten onder de beleidsset CSA-ISEgoed, en verifieert ook de toegestane protocollen op basis van de  Default Network Access voorwaarden voor de toegestane protocollen.

    Het resultaat van het gedefinieerde beleid moet zijn: 

    ISE - Conditional Studio 3

    • Ga als volgt te werk om te controleren of het Default Network Access Protocols toegestaan is: 
      • Klik opPolicy > Results
      • Klik op Allowed Protocols
      • Klik op Default Network Access

    ISE - Conditional Studio 4

    • Vervolgens ziet u alle toegestane protocollen op Default Network Access

    Verificatie en autorisatie voor beleidsset configureren

    Ga als volgt te werk om het beleidAuthenticationen Authorization de Policy Setvoorwaarden onder het beleid te maken:

    • Klik op >

    ISE - Policy Set - CSA ISE

    • Hierna ziet u deAuthenticationen het Authorization beleid weergegeven: 

    ISE - Policy Set - CSA ISE - Policies

    Authenticatiebeleid

    Voor het verificatiebeleid kunt u op verschillende manieren configureren. In dit geval ziet u een beleid voor het apparaat dat is gedefinieerd in de stap Netwerkapparatenlijst configureren en controleert u de verificatie op basis van specifieke criteria: 

    • Gebruikers die zijn geverifieerd via het Network Device CSA systeem hebben een verificatie succesvol of afgewezen.

    ISE - Policy Set - CSA ISE - Authentication

    Het beleid is hetzelfde beleid dat is gedefinieerd in de stap Beleidsset configureren.

    machtigingsbeleid

    U kunt het autorisatiebeleid op verschillende manieren configureren. In dit geval machtigt u alleen de gebruikers in de groep die is gedefinieerd in de stap Een groep configureren. Zie het volgende voorbeeld om uw machtigingsbeleid te configureren:

    ISE - Policy Set - CSA ISE - Authorization

    • Klik op Authorization Policy
    • Klik op + om het beleid voor autorisatie als volgt te definiëren: 

    ISE - Policy Set - CSA ISE - Authorization 2

    • Voor de volgende stap, verander deRule Name,Conditionsen Profiles
    • Bij het instellen van Name een naam om het autorisatiebeleid eenvoudig te identificeren 
    • Om het Conditionprogramma te configureren, klikt u op de +
    • Hieronder Condition Studiovindt u de informatie: 

    ISE - Conditional Studio

    1. Om de voorwaarden aan te maken, klikt u op Click to add an attribute
    2. Klik op de Identity Group knop 
    3. Klik onder de opties erachter op Interne gebruikerIdentityGroup optie
    4. Gebruik de keuzelijst onder de Equals optie om de Groupgoedgekeurde optie voor verificatie te vinden in de stap, Groep configureren
    5. Klik op de knop  Save
    6. Klik op de knop  Use

    ISE - Policy Set - CSA ISE - Authorization 3

    Daarna moet je de Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.

    1. Klik onder de Authorization Policyknop op de dropdown-knop op Profiles
    2. Zoeken naar vergunning
    3. selecteren PermitAccess
    4. Klik op de knop  Save

    ISE - Policy Set - CSA ISE - Authorization 4

    Daarna heeft u uw beleid Authentication en beleid Authorization vastgelegd. Verifieer om te controleren of de gebruiker zonder problemen verbinding maakt en of u de logs kunt zien op Secure Access en ISE.

    Als u verbinding wilt maken met de VPN, kunt u het profiel gebruiken dat is gemaakt op Secure Access en verbinding maken via Secure Client met het ISE-profiel.

    • Hoe wordt het logboek weergegeven in Secure Access wanneer de verificatie wordt goedgekeurd? 

    Secure Access - User Connected

    • Hoe wordt het logboek weergegeven in ISE wanneer de verificatie wordt goedgekeurd?
      • Navigeer naar de Cisco ISE Dashboard
      • Klik op Operations > Live Logs

    Secure Access - Radius Live Logs

    Gebruikers van Radius Local of Active Directory configureren

    ISE-houding configureren

    In dit scenario maakt u de configuratie om de naleving van het eindpunt te controleren voordat u toegang tot interne bronnen verleent of weigert.

    Ga als volgt te werk om de configuratie te maken:

    Houdingscondities configureren

    • Navigeer naar uw ISE Dashboard
    • Klik op Work Center > Policy Elements > Conditions
    • Klik op Anti-Malware
    note-icon

    Opmerking: Er zijn veel opties om de houding van uw apparaten te controleren en de juiste beoordeling te maken op basis van uw interne beleid.

    ISE - Posture - Conditions

    • Klik Anti-Malware Conditionsonder op + Add

    ISE - Posture - Anti-Malware Conditions

    • U configureert hetAnti-Malware Conditionsysteem om de antivirusinstallatie op het systeem te detecteren; u kunt ook de versie van het besturingssysteem kiezen als dat nodig is.

    ISE - Posture - Anti-Malware Conditions 2

    • Name: Gebruik een naam om de anti-malwarevoorwaarde te herkennen
    • Operating System: Kies het operatieve systeem dat je onder de voorwaarde wilt plaatsen
    • Vendor: Kies een leverancier of ELKE
    • Check Type: U kunt controleren of de agent is geïnstalleerd of de definitieversie voor die optie.
    • U Products for Selected Vendorconfigureert bijvoorbeeld wat u wilt verifiëren over de antimalware op het apparaat.

    ISE - Posture - Anti-Malware Conditions - Base Line Condition

    1. Vink het selectievakje aan voor de voorwaarden die u wilt evalueren
    2. Configureer de minimale versie om te controleren
    3. Klik op Opslaan om door te gaan met de volgende stap

    Zodra u het hebt geconfigureerd, kunt u doorgaan met de stap, Configure Posture Requirementsenz.

    Houdingseisen configureren

    • Navigeer naar uw ISE Dashboard
    • Klik op Work Center > Policy Elements > Requeriments
    • Klik op een Edit van de vereisten en klik op Insert new Requirement

    ISE - Posture - Remediation Actions

    • Configureer onder de nieuwe vereiste de volgende parameters:

    ISE - Posture - Requirements

    • Name: Configureer een naam om de vereiste antimalware te herkennen
    • Operating System: Kies het besturingssysteem dat u kiest onder de voorwaarde stap, Operating System  
    • Compliance Module: U moet ervoor zorgen dat u dezelfde nalevingsmodule selecteert die u hebt onder de voorwaarde stap, Anti-Malware voorwaarde
    • Posture Type: Agent kiezen
    • Conditions: Kies de voorwaarde of voorwaarden die u hebt gemaakt onder de stap, Configureer houdingsvoorwaarden
    • Remediations Actions: Kies Message Text Only voor dit voorbeeld of als u een andere herstelactie hebt, gebruikt u deze
    • Klik op de knop  Save

    Nadat u het hebt geconfigureerd, kunt u doorgaan met de stap, Configure Posture Policy

    Houdingsbeleid configureren

    • Navigeer naar uw ISE Dashboard
    • Klik op Work Center > Posture Policy
    • Klik op een Edit van de beleidsregels en klik op Insert new Policy

    ISE - Insert New Policy

    • Configureer onder het nieuwe beleid de volgende parameters:

    ISE - Policy Options

    • Status: vink het selectievakje aan om het beleid niet in te schakelen
    • Rule Name: Een naam configureren om het geconfigureerde beleid te herkennen
    • Identity Groups: Kies de identiteiten die je wilt evalueren
    • Operating Systems: Kies het besturingssysteem op basis van de toestand en vereiste die eerder zijn geconfigureerd
    • Compliance Module: Kies de nalevingsmodule op basis van de toestand en vereiste die eerder zijn geconfigureerd
    • Posture Type: Agent kiezen
    • Requeriments: Kies de vereisten die zijn geconfigureerd voor de stap, Configure Posture Requirements
    • Klik op de knop  Save

    Clientprovisioning configureren

    Als u de gebruikers de ISE-module wilt bieden, configureert u de clientprovisioning om de machines uit te rusten met de ISE-posture-module. Hiermee kunt u de positie van de machine controleren zodra de agent is geïnstalleerd. Om dit proces voort te zetten, zijn hier de volgende stappen:

    Navigeer naar uw ISE Dashboard.

    • Klik op Work Center > Client Provisioning
    • kiezen Resources

    Er zijn drie dingen die u moet configureren onder clientprovisioning:

    Middelen om te configureren

    Beschrijving

    1. Agent Resources

    Beveiligde client-webprovisioningpakket.

    2. Compliance Module

    Cisco ISE Compliance Module

    3. Agent Profile

    Controle over het provisioningprofiel.

    3. Agent Configuration

    Bepaal welke modules worden geleverd door het inrichtingsportaal in te stellen met behulp van het agentprofiel en de agentbronnen.

    Step 1 Bronnen van Agent downloaden en uploaden

    • Als u een nieuwe agentbron wilt toevoegen, navigeert u naar het Cisco Download Portal en downloadt u het web deploy-pakket. Het web deploy-bestand moet de .pkg-indeling hebben.

    CISCO - Web Deploy

    • Klik op+ Add > Agent resources from local disk en upload de pakketten

    ISE - Agent resources from local disk

    Step 2Download de compliance module 

    • Klik op + Add > Agent resources from Cisco Site

    ISE - Agent resources from Cisco Site

    • Vink het selectievakje aan voor elke vereiste nalevingsmodule en klik op Save

    ISE - Download Remote Resources

    Step 3Het agentprofiel configureren

    • Klik op + Add > Agent Posture Profile

    ISE - Agent Posture Profile

    • Maak een Name website voor de Posture Profile

    ISE - Agent Posture Profile 2

    • Plaats onder Servernaamregels een * en klik Save daarna op

    ISE - Posture Protocol

    Step 4 De agentconfiguratie configureren

    • Klik op + Add > Agent Configuration

    jmorenoc_0-1712071678317

    • Configureer daarna de volgende parameters: 

    jmorenoc_2-1712071868425

    jmorenoc_3-1712072698677

    note-icon

    Opmerking: Het wordt aanbevolen dat elk besturingssysteem, Windows, Mac OS of Linux, één onafhankelijke clientconfiguratie heeft.

    Beleid voor clientprovisioning configureren

    Als u de provisioning van de ISE-houding en de modules die in de laatste stap zijn geconfigureerd, wilt inschakelen, moet u een beleid configureren om de provisioning uit te voeren.

    • Navigeer naar uw ISE Dashboard
    • Klik op Work Center > Client Provisioning
    note-icon

    Opmerking: Het wordt aanbevolen dat elk besturingssysteem, Windows, Mac OS of Linux, één clientconfiguratiebeleid heeft.

    Enabling - Portal Redirection

    • Rule Name: Configureer de naam van het beleid op basis van het apparaattype en de selectie van de identiteitsgroep zodat elk beleid eenvoudig kan worden geïdentificeerd
    • Identity Groups: Kies de identiteiten die u wilt evalueren op het beleid
    • Operating Systems: Kies het besturingssysteem op basis van het agentpakket dat is geselecteerd in de stap, selecteer agentpakket
    • Other Condition: Kies Network Access op basis van de Authentication MethodEQUALSmethode die is geconfigureerd in de stap, voeg RADIUS-groep toe of u kunt leeg laten
    • Result: Kies de Agent Config die is geconfigureerd in stap 4 Configureren van de Agent-configuratie 
      • Native Supplicant ConfigurationKiesConfig Wizarden Wizard Profile
    • Markeer het beleid als ingeschakeld als het niet wordt vermeld als ingeschakeld in het selectievakje.

    Machtigingsprofielen maken

    Het autorisatieprofiel beperkt de toegang tot de bronnen, afhankelijk van de houding van de gebruiker na de verificatiepas. De autorisatie moet worden geverifieerd om te bepalen tot welke bronnen de gebruiker toegang heeft op basis van de houding.

    Autorisatieprofiel

    Beschrijving

    conform

    Compatibel met gebruiker - Agent geïnstalleerd - houding geverifieerd

    Onbekend Compliant

    Compatibel met onbekende gebruiker - Omleiden om de agent te installeren - Houding in afwachting om te worden geverifieerd

    Toegang weigeren

    Gebruiker niet-conform - Toegang weigeren

    Om de DACL te configureren, navigeert u naar het ISE Dashboard:

    • Klik op Work Centers > Policy Elements > Downloadable ACLs
    • Klik op +Add
    • Creëer de Compliant DACL

    ISE - DACL - CSA-Compliant

    • Name: Voeg een naam toe die verwijst naar de DACL-compliant
    • IP versionKies: IPv4
    • DACL Content: Maak een downloadbare toegangscontrolelijst (DACL) die toegang geeft tot alle bronnen van het netwerk
    permit ip any any

    Klik Save en maak de onbekende naleving DACL

    • Klik op Work Centers > Policy Elements > Downloadable ACLs
    • Klik op +Add
    • Creëer de Unknown Compliant DACL

    ISE - DACL - CSA-Redirect_To_ISE

    • Name: Voeg een naam toe die verwijst naar de DACL-Unknown-Compliant
    • IP versionKies: IPv4
    • DACL Content: Maak een DACL die beperkte toegang geeft tot het netwerk, DHCP, DNS, HTTP en het provisioningportaal via poort 8443

    permit udp any any eq 67
permit udp any any eq 68 
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
    note-icon

    Opmerking: in dit scenario komt het IP-adres 192.168.10.206 overeen met de Cisco Identity Services Engine (ISE)-server en wordt poort 8443 aangewezen voor het provisioningportaal. Dit betekent dat TCP-verkeer naar het IP-adres 192.168.10.206 via poort 8443 is toegestaan, waardoor de toegang tot het provisioningportaal wordt vergemakkelijkt.

    Op dit moment hebt u de vereiste DACL om de autorisatieprofielen te maken.

    Om de autorisatieprofielen te configureren, navigeert u naar het ISE Dashboard:

    • Klik op Work Centers > Policy Elements > Authorization Profiles
    • Klik op +Add
    • Creëer de Compliant Authorization Profile

    ISE - Authorization Profile - CSA-Compliant

    ISE - Authorization Profile - DACL CSA-Compliant

    • Name: Maak een naam die verwijst naar het compatibele autorisatieprofiel
    • Access TypeKies: ACCESS_ACCEPT

    • Common Tasks
      • DACL NAME: Kies de DACL die is geconfigureerd in de stap Conforme DACL

    Klik Save en maak de Unknown Authorization Profile

    • Klik op Work Centers > Policy Elements > Authorization Profiles
    • Klik op +Add
    • Creëer de Uknown Compliant Authorization Profile

    ISE - Authorization Profile - CSA-Unknown-Compliant

    ISE - Authorization Profile - DACL CSA_Redirect_To_ISE

    ISE - Authorization Profile - Web Redirection

    • Name: Maak een naam die verwijst naar het onbekende compatibele autorisatieprofiel
    • Access TypeKies: ACCESS_ACCEPT

    • Common Tasks
      • DACL NAME: Kies de DACL die is geconfigureerd in de stap Onbekende compatibele DACL
      • Web Redirection (CWA,MDM,NSP,CPP)
        • kiezen Client Provisioning (Posture)
        • ACL: Moet zijn redirect
        • Value: Kies het standaardportaal voor provisioning of als u een ander portaal hebt gedefinieerd, kiest u dit portaal
    note-icon

    Opmerking: De naam voor de omleiding ACL op Secure Access voor alle implementaties is redirectgewijzigd.

    Nadat u al deze waarden hebt gedefinieerd, moet u iets soortgelijks onderAttributes Detailshebben.

    ISE - Authorization Profile - Attribute Details

    Klik Save om de configuratie te beëindigen en verder te gaan met de volgende stap.

    Beleidsinstelling voor houding configureren

    Deze drie beleidsregels die u maakt, zijn gebaseerd op de autorisatieprofielen die u hebt geconfigureerd; u hoeft DenyAccesser bijvoorbeeld geen andere te maken.

    beleidsbepaling-autorisatie

    Autorisatieprofiel

    conform

    Autorisatieprofiel - Conform

    Onbekend Compliant

    Autorisatieprofiel - Onbekend

    niet conform

    Toegang weigeren

    Navigeer naar uw ISE Dashboard

    • Klik op Work Center > Policy Sets
    • Klik op het> scherm om toegang te krijgen tot het beleid dat u hebt gemaakt

    ISE - Policy Set - CSA - ISE

    • Klik op de Authorization Policy

    ISE - Policy Set - Authorization Policy

    • Maak de volgende drie beleidsregels in de volgende volgorde:

    ISE - Policy Set - Authorization Policies

    • Klik op + om het CSA-Compliance beleid te definiëren: 

    ISE - Policy Set - Authorization Rule

    • Voor de volgende stap, verander deRule Name,Conditionsen Profiles
    • Wanneer u een naam instelt Name op CSA-Compliance
    • Om het Conditionprogramma te configureren, klikt u op de +
    • Hieronder Condition Studiovindt u de informatie: 

    ISE - Conditional Studio

    1. Om de voorwaarde te maken, zoekt u naar compliant
    2. Je moet hebben weergegeven Compliant_Devices
    3. Slepen en neerzetten onder de Editor
    4. Als u de tweede voorwaarde wilt maken, zoekt u naar network
    5. Je moet hebben weergegeven Network_Access_Authentication_Passed
    6. Slepen en neerzetten onder de Editor
    7. Klik onder deEditorin New
    8. Klik op het Identity Group icoon
    9. kiezen Internal User Identity Group
    10. Kies Equalshieronder de User Identity Group pagina die u wilt matchen
    11. Klik op de knop  Use

    ISE - Conditions Studio - Compliant Devices

    • Hierdoor heb je de volgende afbeelding

    ISE - Conditions Studio - Compliant Devices 2

    • Klik onder Profile de vervolgkeuzelijst en kies het klachtenmachtigingsprofiel dat is geconfigureerd in de stap Compatibel machtigingsprofiel

    ISE - Conditions Studio - Compliant Devices 3

    Nu heb je het Compliance Policy Setsysteem geconfigureerd.

    • Klik op + om het CSA-Unknown-Compliance beleid te definiëren: 

    ISE - Policy Set - Authorization Rule

    • Voor de volgende stap, verander deRule Name,Conditionsen Profiles
    • Wanneer u een naam instelt Name op CSA-Unknown-Compliance
    • Om het Conditionprogramma te configureren, klikt u op de +
    • Hieronder Condition Studiovindt u de informatie: 

    ISE - Conditional Studio

    1. Om de voorwaarde te maken, zoekt u naar compliance
    2. Je moet hebben weergegeven Compliant_Unknown_Devices
    3. Slepen en neerzetten onder de Editor
    4. Als u de tweede voorwaarde wilt maken, zoekt u naar network
    5. Je moet hebben weergegeven Network_Access_Authentication_Passed
    6. Slepen en neerzetten onder de Editor
    7. Klik onder deEditorin New
    8. Klik op het Identity Group icoon
    9. kiezen Internal User Identity Group
    10. Kies Equalshieronder de User Identity Group pagina die u wilt matchen
    11. Klik op de knop  Use

    jmorenoc_0-1713112783946

    • Hierdoor heb je de volgende afbeelding

    ISE - Conditions Studio - Compliant Unknown 2

    ISE - Conditions Studio - Compliant Unknown 3

    Nu heb je het Unknown Compliance Policy Setsysteem geconfigureerd.

    • Klik op + om het CSA- Non-Compliant beleid te definiëren: 

    ISE - Policy Set - Authorization Rule

    • Voor de volgende stap, verander deRule Name,Conditionsen Profiles
    • Wanneer u een naam instelt Name op CSA-Non-Compliance
    • Om het Conditionprogramma te configureren, klikt u op de +
    • Hieronder Condition Studiovindt u de informatie: 

    ISE - Conditional Studio

    1. Om de voorwaarde te maken, zoekt u naar non
    2. Je moet hebben weergegeven Non_Compliant_Devices
    3. Slepen en neerzetten onder de Editor
    4. Als u de tweede voorwaarde wilt maken, zoekt u naar network
    5. Je moet hebben weergegeven Network_Access_Authentication_Passed
    6. Slepen en neerzetten onder de Editor
    7. Klik onder deEditorin New
    8. Klik op het Identity Group icoon
    9. kiezen Internal User Identity Group
    10. Kies Equalshieronder de User Identity Group pagina die u wilt matchen
    11. Klik op de knop  Use

    jmorenoc_1-1713112812001

    • Hierdoor heb je de volgende afbeelding

    ISE - Conditions Studio - Non Compliant 2

    • Klik onder Profile de vervolgkeuzelijst en kies het klachtenautorisatieprofiel DenyAccess

    ISE - Conditions Studio - Non Compliant 3

    Zodra u de configuratie van de drie profielen hebt beëindigd, bent u klaar om uw integratie met houding te testen.

    Verifiëren

    Houdingsvalidatie

    Verbinding op de machine

    Verbinding maken met uw FQDN RA-VPN-domein dat wordt aangeboden via Secure Access via Secure Client.

    Opmerking: voor deze stap mag geen ISE-module worden geïnstalleerd.

    1. Maak verbinding met behulp van de beveiligde client.

    Secure Client - Connect

    2. Verstrek de referenties voor de authenticatie.

    Secure Client - Username - Password

    3. Op dit punt wordt u verbonden met de VPN en meestal wordt u doorgestuurd naar ISE; zo niet, dan kunt u proberen naar te http:1.1.1.1navigeren.

    Secure Client - VPN Connection

    Secure Client - Provisioning Portal

    note-icon

    Opmerking: op dit moment valt u onder de autorisatie - beleidsset CSA-Unknown-Compliance omdat u de ISE Posture Agent niet op de machine hebt geïnstalleerd en u wordt doorgestuurd naar het ISE Provisioning Portal om de agent te installeren.

    4. Klik op Start om door te gaan met de agentprovisioning.

    Secure Client - Device Security Check

    5. Klik + This is my first time hereop.

    Secure Client - Provisioning Portal - This is my first time here

    6. Klik op Click here to download and install agent

    Secure Client - Provisioning Portal - Download

    7. Installeer de agent 

    Secure Client - Provisioning Portal - Download 2

    Secure Client - Install Completed

    8. Nadat u de agent hebt geïnstalleerd, begint de ISE-houding met het controleren van de huidige houding van de machine. Als niet aan de beleidsvereisten wordt voldaan, verschijnt een pop-upvenster dat u naar naleving leidt.

    Secure Client - Posture Verification

    note-icon

    Opmerking: Als uCancelof de resterende tijd eindigt, wordt u automatisch niet-conform, valt u onder het autorisatiebeleid dat is ingesteld voor CSA-niet-naleving, en wordt u onmiddellijk losgekoppeld van de VPN.

    9. Installeer de Secure Endpoint Agent en maak opnieuw verbinding met de VPN.

    Secure Client - Posture Verification Process

    10. Nadat de agent heeft geverifieerd dat de machine voldoet, verandert uw houding om op klacht te zijn en toegang te geven tot alle bronnen op het netwerk.

    note-icon

    Opmerking: Nadat u compliant bent geworden, valt u onder het autorisatiebeleid dat is ingesteld voor CSA-Compliance, en hebt u onmiddellijk toegang tot al uw netwerkbronnen.

    Hoe logboeken te verzamelen in ISE

    Om het resultaat van de verificatie voor een gebruiker te verifiëren, hebt u twee voorbeelden van naleving en niet-naleving. Om het in ISE te bekijken, volgt u deze instructies:

    • Navigeer naar uw ISE Dashboard
    • Klik op Operations > Live Logs

    ISE - Radius Live Logs - Posture Compliance

    Het volgende tho-scenario laat zien hoe succesvolle nalevings- en niet-nalevingsgebeurtenissen worden weergegeven onder Live Logs:

    naleving

    ISE - Radius Live Logs - Compliance

    niet-naleving

    ISE - Radius Live Logs - Non Compliance

    Eerste stappen met veilige toegang en ISE-integratie

    In het volgende voorbeeld, Cisco ISE is onder netwerk 192.168.10.0/24, en de configuratie van de netwerken bereikbaar via de tunnel moet worden toegevoegd onder de tunnel configuratie.

    Step 1: Controleer uw tunnelconfiguratie:

    Om dit te verifiëren, gaat u naar het Dashboard voor beveiligde toegang.

    • Klik op Connect > Network Connections
    • Klik op Network Tunnel Groups > Uw tunnel

    Secure Access - Tunnel Configuration

    • Controleer onder Samenvatting of de tunnel de adresruimte heeft geconfigureerd waar uw Cisco ISE zich bevindt:

    Secure Access - Tunnel Configuration - IP Address Range

    Step 2: Laat het verkeer op uw firewall toe.

    Om Secure Access toe te staan om uw ISE-apparaat te gebruiken voor Radius-verificatie, moet u een regel hebben geconfigureerd van Secure Access naar uw netwerk met de vereiste Radius-poorten:

    regel

    bron

    Bestemming

    bestemmingshaven

    ISE naar veilige toegang

    beheerpool

    ISE_Server

    IP-beheerpool (RA-VPN)

    COA

    UDP 1700 (standaardpoort)

    IP-pool voor veilig toegangsbeheer naar ISE

    IP-beheerpool

    ISE_Server

    Authenticatie, autorisatie

    UDP 1812 (standaardpoort)

    Accounting

    UDP 1813 (standaardpoort)

    Secure Access Endpoint IP-pool naar ISE

    IP-pool van eindpunt

    ISE_Server

    Provisioning Portal

    TCP 8443 (standaardpoort)

    IP-pool voor beveiligde toegang tot DNS SERVER

    IP-pool van eindpunt

    DNS-server

    DNS

    UDP en TCP 53
    note-icon

    Opmerking: Als u meer poorten met betrekking tot ISE wilt weten, raadpleegt u de Gebruikershandleiding - Poortreferentie.

    note-icon

    Opmerking: Er is een DNS-regel nodig als u uw ISE hebt geconfigureerd om te worden ontdekt via een naam, zoals ise.ciscosspt.es

    Beheerpool en IP-pools voor eindpunten

    Om uw IP-pool voor Beheer en Eindpunt te verifiëren, gaat u naar het Dashboard voor beveiligde toegang:

    • Klik op Connect > End User Connectivity
    • Klik op Virtual Private Network
    • onder Manage IP Pools
    • Klik op Manage

    Secure Access - POP

    Stap 3: Controleer of uw ISE is geconfigureerd onder Private Resources

    Om de gebruikers die via de VPN zijn verbonden in staat te stellen om naar te ISE Provisioning Portalnavigeren, moet u er zeker van zijn dat u uw apparaat hebt geconfigureerd als een privébron om toegang te bieden, die wordt gebruikt om de automatische provisioning van hetISE Posture Moduleapparaat via de VPN mogelijk te maken.

    Om te controleren of u ISE correct hebt geconfigureerd, navigeert u naar het Dashboard voor beveiligde toegang:

    • Klik op Resources > Private Resources
    • Klik op de ISE-bron

    Secure Access - Private Resource

    Secure Access - Private Resource - VPN

    Indien nodig kunt u de regel beperken tot de portaalpoort voor provisioning (8443).

    note-icon

    Opmerking: Zorg ervoor dat u het selectievakje voor VPN-verbindingen hebt gemarkeerd.

    Stap 4: ISE-toegang toestaan onder het toegangsbeleid

    Om de gebruikers die via de VPN zijn verbonden in staat te stellen om naar te ISE Provisioning Portalnavigeren, moet u er zeker van zijn dat u een Access Policy account hebt geconfigureerd om de gebruikers die onder die regel zijn geconfigureerd toegang te geven tot de Private Resource die is geconfigureerd inStep3.

    Om te controleren of u ISE correct hebt geconfigureerd, navigeert u naar het Dashboard voor beveiligde toegang:

    • Klik op Secure > Access Policy
    • Klik op de regel die is geconfigureerd om de VPN-gebruikers toegang te geven tot ISE

    Secure Access - Access Policy

    Problemen oplossen

    Hoe te downloaden ISE Posture Debug Logs

    Als u ISE-logboeken wilt downloaden om een probleem met betrekking tot de houding te verifiëren, gaat u verder met de volgende stappen: 

    • Navigeer naar uw ISE Dashboard
    • Klik op Operations > Troubleshoot > Debug Wizard

    ISE - Debug Wizard

    • Klik op Debug Profile Configuration

    ISE - Debug Profile Configuration

    • Vink het selectievakje aan voor Posture > Debug Nodes 

    ISE - Debug Nodes

    • Vink het selectievakje aan voor de ISE-knooppunten waarop u de foutopsporingsmodus inschakelt om het probleem op te lossen

    ISE - DEBUG NODE - Warning

    • Klik op de knop  Save

    ISE - Debug Nodes - Save

    caution-icon

    Waarschuwing: na dit punt moet u beginnen met het reproduceren van uw probleem; the debug logs can affect the performance of your device.

    Nadat u het probleem hebt gereproduceerd, gaat u verder met de volgende stappen:

    • Klik op Operations > Download Logs
    • Kies het knooppunt van waaruit u de logs wilt nemen

    ISE - Appliance Node List

    • Kies onder Support Bundlede volgende opties:

    ISE - Include Debug Logs

    • Include debug logs
    • onder Support Bundle Encryption
      • Shared Key Encryption
        • Vullen Encryption key en Re-Enter Encryption key
    • Klik op de knop  Create Support Bundle
    • Klik op de knop  Download

    ISE - Download Logs

    warning-icon

    Waarschuwing: Schakel de foutopsporingsmodus uit die is ingeschakeld bij de stap Foutopsporingsprofielconfiguratie

    Veilige toegang Logboeken voor externe toegang verifiëren

    Navigeer naar het Secure Access Dashboard:

    • Klik op Monitor > Remote Access Logs

    Secure Access - Remote Access Logs

    DART-bundel genereren op beveiligde client

    Als u DART Bundle op uw computer wilt genereren, controleert u het volgende artikel: 

    Cisco Secure Client Diagnostic and Reporting Tool (DART)

    note-icon

    Opmerking: nadat u de logboeken hebt verzameld die in het gedeelte Problemen oplossen zijn aangegeven, opent u een kwestie met TAC om door te gaan met de analyse van de informatie.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    12-Apr-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Jairo Moreno
      technisch adviseur
    • Emmanuel Cano Gutierrez
      Professionele services
    • Amit Arora
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten