Beveiligde toegang configureren voor RA-VPNaaS met Duo SSO en Posture Assessment met ISE

Inleiding

In dit document wordt beschreven hoe u Posture Assessment configureert voor VPN-gebruikers met externe toegang met Identity Service Engine (ISE) en Secure Access met Duo.

Voorwaarden

• Provisioning van gebruikers configureren op beveiligde toegang
• Duo SSO configureren met verificatieproxy of IDP van derden
• Cisco ISE aangesloten op Secure Access via de tunnel

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Identity Service Engine
• beveiligde toegang
• Cisco Secure Client
• Gids voor tweefactorauthenticatie - Duo-beveiliging
• ISE-houding
• Verificatie, autorisatie en accounting

Gebruikte componenten

De informatie in dit document is gebaseerd op: 

• Identity Service Engine (ISE) versie 3.3 Patch 1
• beveiligde toegang
• Cisco Secure Client - AnyConnect VPN versie 5.1.2.42

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

De integratie van Duo SAML met Cisco Identity Services Engine (ISE) verbetert het verificatieproces en voegt een extra beveiligingslaag toe aan Cisco Secure Access-oplossingen. Duo SAML biedt een Single Sign-On (SSO)-mogelijkheid die het aanmeldingsproces van de gebruiker vereenvoudigt en tegelijkertijd hoge beveiligingsstandaarden garandeert.

Na verificatie via Duo SAML wordt het autorisatieproces afgehandeld door Cisco ISE. Hierdoor kunnen dynamische beslissingen over toegangscontrole worden genomen op basis van de identiteit van de gebruiker en de houding van het apparaat. ISE kan gedetailleerde beleidsregels afdwingen die bepalen tot welke bronnen een gebruiker toegang heeft, wanneer en vanaf welke apparaten.

Opmerking: om de RADIUS-integratie te configureren, moet u ervoor zorgen dat u communicatie tussen beide platforms hebt.

Netwerkdiagram

Configureren

Opmerking: Voordat u begint met het configuratieproces, moet u de eerste stappen met beveiligde toegang en ISE-integratie voltooien.

DUO-configuratie

Ga als volgt te werk om de RA-VPN-toepassing te configureren: 

Navigeer naar uw Duo Admin Panel

• Navigeer naar Applications > Protect an Application
• Zoeken naar Generic SAML Service Provider
• Klik op de knop   Protect

U moet de toepassing op het scherm laten weergeven; onthoud de naam van de toepassing voor de VPN-configuratie.

In dit geval is Generic SAML Service Provider.

Beveiligde toegangsconfiguratie

Radiusgroep configureren in de IP-pools

Ga als volgt te werk om het VPN-profiel met Radius te configureren: 

Navigeer naar je Secure Access Dashboard.

• Klik op Connect > Enduser Connectivity > Virtual Private Network
• Klik onder uw poolconfiguratie (Manage IP PoolsPoolconfiguratie) opManage

• Kies de IP Pool Region en configureer de Radius Server

• Klik op het potlood om te bewerken

• Nu, onder de IP Pool sectie configuratie drop-down onder Radius Group (Optional)
• Klik op de knop Add RADIUS Group

• Configureer onder Algemeen de volgende opties: 

• Group Name: Configureer een naam voor uw ISE-integratie in Secure Access
  • AAA method
    
    • Authentication: vink het selectievakje aan voor Authentication en selecteer de standaard poort 1812
      • Als uw verificatie vereist is, vinktMicrosoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)u het selectievakje aan
    • Authorization: Markeer het selectievakje voorAuthorizationen selecteer de poort, standaard is 1812
      • Vink het selectievakje aan voor Authorization mode Only en om de houdingChange of Authorization (CoA) mode en wijzigingen van ISE toe te staan
    • Accounting: vink het selectievakje voor autorisatie aan en selecteer de poort, standaard 1813
      • Kies Single or Simultaneous (In één modus worden boekhoudgegevens naar slechts één server verzonden. In gelijktijdige modus, boekhoudgegevens naar alle servers in de groep)
      • Vink het selectievakje aan voor Accounting update om de periodieke generatie van RADIUS-berichten voor tussentijdse boekhoudkundige updates mogelijk te maken.

Let op: zowel de methodeAuthenticationals Authorization de methode moeten dezelfde poort gebruiken.

• Daarna moet u de RADIUS Servers (ISE) configureren die wordt gebruikt om via AAA te verifiëren in de RADIUS Serverssectie:
• Klik op + Add

• Configureer vervolgens de volgende opties:

• Server Name: Configureer een naam om uw ISE-server te identificeren.
• IP Address: Configureer het IP-adres van uw Cisco ISE-apparaat dat bereikbaar is via Secure Access
• Secret Key: Configureer de geheime RADIUS-sleutel
• Password: Uw Radius-wachtwoord configureren

• Klik Save en wijs uw Radius-server toe onder deAssign Serveroptie en selecteer uw ISE-server:

• Klik Save nogmaals om alle configuratie op te slaan

Nu u uw ISE-server hebt geconfigureerd onder de IP-pool, moet u deze onder uw VPN Profilescomputer configureren.

Configureer uw VPN-profiel om ISE te gebruiken

Als u het VPN-profiel wilt configureren, gaat u naar het Dashboard voor beveiligde toegang.

• Klik op Connect > Enduser Connectivity > Virtual Private Network
• OnderVPN Profiles klik + Add
• Configureer vervolgens de volgende opties:

Algemene instellingen

• VPN Profile name: Configureer een naam voor uw profielnaam
• Default Domain: Stel uw domein in.
• DNS Server: Kies de door u geconfigureerde Domain Name Server (DNS)-server
• Protocol: Configureer de protocollen die u moet toestaan onder de VPN
• Connect Time posture: Kies een houding of laat het als Geen

• Klik daarna op Next

Verificatie, autorisatie en accounting

Verificatie

• Authentication
  
  • ProtocolsKies: SAML
• Klik op de knop  Download Service Provider XML file
• Vervang de informatie in de toepassing die is geconfigureerd in de stap Duo Configuration

• Nadat u die informatie hebt geconfigureerd, wijzigt u de naam van het duo in iets dat verband houdt met de integratie die u maakt

• Klik Save op uw aanvraag op Duo.
• Nadat u op Opslaan hebt geklikt, moet u het SAML Metadata bestand downloaden door op de knop te klikken Download XML

• Upload het SAML Metadata bericht over beveiligde toegang onder de optie 3. Upload IdP security metadata XML file en klik op Next

Ga verder met de autorisatie.

Opmerking: nadat u de verificatie met SAML hebt geconfigureerd, autoriseert u deze via ISE, wat betekent dat het radiuspakket dat door Secure Access wordt verzonden alleen de gebruikersnaam bevat. Het wachtwoordveld bestaat hier niet.

Authorization

• Authorization
  • Enable Radius Authorization: Vink het selectievakje aan om de radius Autorisatie in te schakelen
  • Selecteer één groep voor alle regio's: Vink het selectievakje aan om één specifieke radiusserver te gebruiken voor alle groepen Externe toegang - Virtual Private Network (RA-VPN) of definieer deze voor elke groep afzonderlijk
• Klik op de knop  Next

Nadat u alle onderdelen hebt Authorization geconfigureerd, gaat u verder met de Accountingprocedure.

Opmerking: Als u de Radio Authorizationhouding niet inschakelt, kan deze niet werken.

Accounting

• Accounting
  • Map Authorization groups to regions: Kies de regio's en kies uw Radius Groups
• Klik op de knop Next

After you have done configured the Authentication, Authorization and Accounting please continue withTraffic Steering.

verkeerssturing

Onder verkeerssturing moet u het type communicatie configureren via Secure Access.

• Als u Connect to Secure Accesskiest, al uw internetverkeer routes door Secure Access

Als u uitsluitingen voor internetdomeinen of IP's wilt toevoegen, klikt u op de + Add knop en klikt u Nextop.

• Als u besluit dit te Bypass Secure Accessdoen, gaat al uw internetverkeer via uw internetprovider, niet viaSecure Access(geen internetbescherming)

Opmerking: voeg enroll.cisco.com voor ISE-houding toe wanneer u Bypass Secure Accesskiest.

In deze stap selecteert u alle privé-netwerkbronnen die u wilt openen via de VPN. Om dit te doen, klikt u + Addop en klikt u Next op wanneer u alle bronnen hebt toegevoegd.

Cisco Secure Client Configuration

In deze stap kunt u alles als standaard handhaven en op Saveklikken, maar als u uw configuratie meer wilt aanpassen, raadpleegt u de Beheerdershandleiding voor Cisco Secure Client.

ISE-configuraties

Lijst met netwerkapparaten configureren

Als u de verificatie via Cisco ISE wilt configureren, moet u de toegestane apparaten configureren die vragen kunnen stellen aan uw Cisco ISE:

• Navigeer naar Administration > Network Devices
• Klik op + Add 

• Name: Gebruik een naam om beveiligde toegang te identificeren
• IP  Address: DeManagement Interfacegrootte van de stap configureren, IP-poolregio
• Device ProfileKies: Cisco
  • Radius Authentication Settings
    
    • Shared Secret: hetzelfde gedeelde geheim configureren dat is geconfigureerd voor de stap, geheime sleutel
    • CoA Port: Laat het als standaard; 1700 wordt ook gebruikt in Secure Access

Om na die klik Savete controleren of de integratie goed werkt, gaat u verder met het maken van een lokale gebruiker voor integratieverificatie.

Een groep configureren

Ga als volgt te werk om een groep te configureren voor gebruik met lokale gebruikers:

• Klik in Administration > Groups
• Klik op de knop  User Identity Groups
• Klik op de knop  + Add
• Maak een naamNamevoor de groep en klik op Submit

Lokale gebruiker configureren

U configureert als volgt een lokale gebruiker om uw integratie te verifiëren:

• Navigeer naar Administration > Identities
• Klik op Add +

• Username: Configureer de gebruikersnaam met een bekende UPN-voorziening in Secure Access; dit is gebaseerd op de stap Vereisten
• Status:Actief
• Password Lifetime: U kunt het configureren With Expiration ofNever Expires, afhankelijk van u
• Login Password: Maak een wachtwoord aan voor de gebruiker
• User Groups: Kies de groep die in de stap is gemaakt en configureer een groep

Opmerking: de op verificatie gebaseerde versie op basis van UPN is ingesteld om te worden gewijzigd in komende versies van Secure Access.

Daarna kunt u de configuratie wijzigen Save en doorgaan met de Configure Policy Setstap.

Beleidsset configureren

Configureer onder de beleidsset de actie die ISE onderneemt tijdens verificatie en autorisatie. Dit scenario toont de use case voor het configureren van een eenvoudig beleid om gebruikerstoegang te bieden. Ten eerste verifieert ISE de oorsprong van de RADIUS-authenticaties en controleert of de identiteiten in de ISE-gebruikersdatabase bestaan om toegang te bieden

Om dat beleid te configureren, navigeert u naar uw Cisco ISE Dashboard: 

• Klik op Policy > Policy Sets
• Klik op + om een nieuwe beleidsset toe te voegen

Maak in dit geval een nieuwe beleidsset in plaats van onder de standaardset te werken. Configureer vervolgens de verificatie en autorisatie op basis van die beleidsset. Het geconfigureerde beleid geeft toegang tot het netwerkapparaat dat is gedefinieerd in de stap Netwerkapparatenlijst configureren om te controleren of deze verificaties afkomstig zijn vanCSA Network Device Listen vervolgens als Conditionsgebruiker in het beleid worden opgenomen. En tot slot, de toegestane Protocollen, zoals Default Network Accessgezegd.

Ga als volgt te werk om de informatie te maken condition die overeenkomt met de beleidsset:

• Klik op +
• Onder Condition Studiode beschikbare informatie vallen: 

1. Om de voorwaarden aan te maken, klikt u op Click to add an attribute
2. Klik op de Network Device knop 
3. Klik onder de opties erachter op Network Access - Network Device Name optie
4. Schrijf onder de optie Gelijk aan de naam van het Network Device netwerk onder de stap Lijst netwerkapparaten configureren
5. Klik op de knop  Save

Dit beleid keurt alleen het verzoek van de bronCSAom de Authentication en de Authorization installatie voort te zetten onder de beleidsset CSA-ISEgoed, en verifieert ook de toegestane protocollen op basis van de  Default Network Access voorwaarden voor de toegestane protocollen.

Het resultaat van het gedefinieerde beleid moet zijn: 

• Ga als volgt te werk om te controleren of het Default Network Access Protocols toegestaan is: 
  • Klik opPolicy > Results
  • Klik op Allowed Protocols
  • Klik op Default Network Access

• Vervolgens ziet u alle toegestane protocollen op Default Network Access

Machtiging voor beleidsset configureren

Ga als volgt te werk om het Authorization beleid onder de Policy Setnaam te maken:

• Klik op >

• Daarna ziet u hetAuthorization beleid weergegeven: 

Het beleid is hetzelfde beleid dat is gedefinieerd in de stap Beleidsset configureren.

machtigingsbeleid

U kunt het autorisatiebeleid op verschillende manieren configureren. In dit geval machtigt u alleen de gebruikers in de groep die is gedefinieerd in de stap Een groep configureren. Zie het volgende voorbeeld om uw machtigingsbeleid te configureren:

• Klik op Authorization Policy
• Klik op + om het beleid voor autorisatie als volgt te definiëren: 

• Voor de volgende stap, verander deRule Name,Conditionsen Profiles
• Bij het instellen van Name een naam om het autorisatiebeleid eenvoudig te identificeren 
• Om het Conditionprogramma te configureren, klikt u op de +
• Hieronder Condition Studiovindt u de informatie: 

1. Om de voorwaarden aan te maken, klikt u op Click to add an attribute
2. Klik op de Identity Group knop 
3. Klik onder de opties erachter op Interne gebruiker - IdentityGroup optie
4. Gebruik de keuzelijst onder de Equals optie om de Groupgoedgekeurde optie voor verificatie te vinden in de stap, Groep configureren
5. Klik op de knop  Save
6. Klik op de knop  Use

Daarna moet je de Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.

1. Klik onder de Authorization Policyknop op de dropdown-knop op Profiles
2. Zoeken naar vergunning
3. selecteren PermitAccess
4. Klik op de knop  Save

Daarna heeft u uw Authorization beleid bepaald. Verifieer om te controleren of de gebruiker zonder problemen verbinding maakt en of u de logs kunt zien op Secure Access en ISE.

Als u verbinding wilt maken met de VPN, kunt u het profiel gebruiken dat is gemaakt op Secure Access en verbinding maken via Secure Client met het ISE-profiel.

• Hoe wordt het logboek weergegeven in Secure Access wanneer de verificatie wordt goedgekeurd? 
  • Navigeer naar het Secure Access Dashboard
  • Klik op Monitor > Remote Access Log

• Hoe wordt het logboek weergegeven in ISE wanneer de verificatie wordt goedgekeurd?
  • Navigeer naar de Cisco ISE Dashboard
  • Klik op Operations > Live Logs

Hoe wordt het logboek weergegeven in Duo wanneer de verificatie wordt goedgekeurd?

• Navigeer naar het Duo Admin Panel
• Klik op Reports > Authentication Log

Gebruikers van Radius Local of Active Directory configureren

ISE-houding configureren

In dit scenario maakt u de configuratie om de naleving van het eindpunt te controleren voordat u toegang tot interne bronnen verleent of weigert.

Ga als volgt te werk om de configuratie te maken:

Houdingscondities configureren

• Navigeer naar uw ISE Dashboard
• Klik op Work Center > Policy Elements > Conditions
• Klik op Anti-Malware

Opmerking: Er zijn veel opties om de houding van uw apparaten te controleren en de juiste beoordeling te maken op basis van uw interne beleid.

• Klik Anti-Malware Conditionsonder op + Add

• U configureert hetAnti-Malware Conditionsysteem om de antivirusinstallatie op het systeem te detecteren; u kunt ook de versie van het besturingssysteem kiezen als dat nodig is.

• Name: Gebruik een naam om de anti-malwarevoorwaarde te herkennen
• Operating System: Kies het operatieve systeem dat je onder de voorwaarde wilt plaatsen
• Vendor: Kies een leverancier of ELKE
• Check Type: U kunt controleren of de agent is geïnstalleerd of de definitieversie voor die optie.

• U Products for Selected Vendorconfigureert bijvoorbeeld wat u wilt verifiëren over de antimalware op het apparaat.

1. Vink het selectievakje aan voor de voorwaarden die u wilt evalueren
2. Configureer de minimale versie om te controleren
3. Klik op Opslaan om door te gaan met de volgende stap

Zodra u het hebt geconfigureerd, kunt u doorgaan met de stap, Configure Posture Requirementsenz.

Houdingseisen configureren

• Navigeer naar uw ISE Dashboard
• Klik op Work Center > Policy Elements > Requeriments
• Klik op een Edit van de vereisten en klik op Insert new Requirement

• Configureer onder de nieuwe vereiste de volgende parameters:

• Name: Configureer een naam om de vereiste antimalware te herkennen
• Operating System: Kies het besturingssysteem dat u kiest onder de voorwaarde stap, Operating System  
• Compliance Module: U moet ervoor zorgen dat u dezelfde nalevingsmodule selecteert die u hebt onder de voorwaarde stap, Anti-Malware voorwaarde
• Posture Type: Agent kiezen
• Conditions: Kies de voorwaarde of voorwaarden die u hebt gemaakt onder de stap, Configureer houdingsvoorwaarden
• Remediations Actions: Kies Message Text Only voor dit voorbeeld of als u een andere herstelactie hebt, gebruikt u deze
• Klik op de knop  Save

Nadat u het hebt geconfigureerd, kunt u doorgaan met de stap, Configure Posture Policy

Houdingsbeleid configureren

• Navigeer naar uw ISE Dashboard
• Klik op Work Center > Posture Policy
• Klik op een Edit van de beleidsregels en klik op Insert new Policy

• Configureer onder het nieuwe beleid de volgende parameters:

• Status: vink het selectievakje aan om het beleid niet in te schakelen
• Rule Name: Een naam configureren om het geconfigureerde beleid te herkennen
• Identity Groups: Kies de identiteiten die je wilt evalueren
• Operating Systems: Kies het besturingssysteem op basis van de toestand en vereiste die eerder zijn geconfigureerd
• Compliance Module: Kies de nalevingsmodule op basis van de toestand en vereiste die eerder zijn geconfigureerd
• Posture Type: Agent kiezen
• Requeriments: Kies de vereisten die zijn geconfigureerd voor de stap, Configure Posture Requirements
• Klik op de knop  Save

Clientprovisioning configureren

Als u de gebruikers de ISE-module wilt bieden, configureert u de clientprovisioning om de machines uit te rusten met de ISE-posture-module. Hiermee kunt u de positie van de machine controleren zodra de agent is geïnstalleerd. Om dit proces voort te zetten, zijn hier de volgende stappen:

Navigeer naar uw ISE Dashboard.

• Klik op Work Center > Client Provisioning
• kiezen Resources

Er zijn drie dingen die u moet configureren onder clientprovisioning:

Step 1 Bronnen van Agent downloaden en uploaden

• Als u een nieuwe agentbron wilt toevoegen, navigeert u naar het Cisco Download Portal en downloadt u het web deploy-pakket. Het web deploy-bestand moet de .pkg-indeling hebben.

• Klik op+ Add > Agent resources from local disk en upload de pakketten

Step 2Download de compliance module 

• Klik op + Add > Agent resources from Cisco Site

• Vink het selectievakje aan voor elke vereiste nalevingsmodule en klik op Save

Step 3Het agentprofiel configureren

• Klik op + Add > Agent Posture Profile

• Maak een Name website voor de Posture Profile

• Plaats onder Servernaamregels een * en klik Save daarna op

Step 4 De agentconfiguratie configureren

• Klik op + Add > Agent Configuration

• Configureer daarna de volgende parameters: 

• Select Agent Package : Kies het pakket dat is geüpload in Stap 1 Bronnen van Agent downloaden en uploaden
• Configuration Name: Kies een naam om de Agent Configuration
• Compliance Module: Kies de Compliance Module gedownload op de Step2 Download de compliance module
• Cisco Secure Client Module Selection
  
  • ISE Posture: vink het selectievakje aan
• Profile Selection
  
  • ISE Posture: Kies het ISE-profiel dat is geconfigureerd in stap 3 Het agentprofiel configureren
• Klik op de knop  Save

Opmerking: Het wordt aanbevolen dat elk besturingssysteem, Windows, Mac OS of Linux, één onafhankelijke clientconfiguratie heeft.

Beleid voor clientprovisioning configureren

Als u de provisioning van de ISE-houding en de modules die in de laatste stap zijn geconfigureerd, wilt inschakelen, moet u een beleid configureren om de provisioning uit te voeren.

• Navigeer naar uw ISE Dashboard
• Klik op Work Center > Client Provisioning

Opmerking: Het wordt aanbevolen dat elk besturingssysteem, Windows, Mac OS of Linux, één clientconfiguratiebeleid heeft.

• Rule Name: Configureer de naam van het beleid op basis van het apparaattype en de selectie van de identiteitsgroep zodat elk beleid eenvoudig kan worden geïdentificeerd
• Identity Groups: Kies de identiteiten die u wilt evalueren op het beleid
• Operating Systems: Kies het besturingssysteem op basis van het agentpakket dat is geselecteerd in de stap, selecteer agentpakket
• Other Condition: Kies Network Access op basis van de Authentication MethodEQUALSmethode die is geconfigureerd in de stap, voeg RADIUS-groep toe of u kunt leeg laten
• Result: Kies de Agent Config die is geconfigureerd in stap 4 Configureren van de Agent-configuratie 
  • Native Supplicant ConfigurationKiesConfig Wizarden Wizard Profile
• Markeer het beleid als ingeschakeld als het niet wordt vermeld als ingeschakeld in het selectievakje.

Machtigingsprofielen maken

Het autorisatieprofiel beperkt de toegang tot de bronnen, afhankelijk van de houding van de gebruiker na de verificatiepas. De autorisatie moet worden geverifieerd om te bepalen tot welke bronnen de gebruiker toegang heeft op basis van de houding.

Om de DACL te configureren, navigeert u naar het ISE Dashboard:

• Klik op Work Centers > Policy Elements > Downloadable ACLs
• Klik op +Add
• Creëer de Compliant DACL

• Name: Voeg een naam toe die verwijst naar de DACL-compliant
• IP versionKies: IPv4
• DACL Content: Maak een downloadbare toegangscontrolelijst (DACL) die toegang geeft tot alle bronnen van het netwerk

permit ip any any

Klik Save en maak de onbekende naleving DACL

• Klik op Work Centers > Policy Elements > Downloadable ACLs
• Klik op +Add
• Creëer de Unknown Compliant DACL

• Name: Voeg een naam toe die verwijst naar de DACL-Unknown-Compliant
• IP versionKies: IPv4
• DACL Content: Maak een DACL die beperkte toegang geeft tot het netwerk, DHCP, DNS, HTTP en het provisioningportaal via poort 8443

permit udp any any eq 67
permit udp any any eq 68 
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443

Opmerking: in dit scenario komt het IP-adres 192.168.10.206 overeen met de Cisco Identity Services Engine (ISE)-server en wordt poort 8443 aangewezen voor het provisioningportaal. Dit betekent dat TCP-verkeer naar het IP-adres 192.168.10.206 via poort 8443 is toegestaan, waardoor de toegang tot het provisioningportaal wordt vergemakkelijkt.

Op dit moment hebt u de vereiste DACL om de autorisatieprofielen te maken.

Om de autorisatieprofielen te configureren, navigeert u naar het ISE Dashboard:

• Klik op Work Centers > Policy Elements > Authorization Profiles
• Klik op +Add
• Creëer de Compliant Authorization Profile

• Name: Maak een naam die verwijst naar het compatibele autorisatieprofiel
• Access TypeKies: ACCESS_ACCEPT

• Common Tasks
  • DACL NAME: Kies de DACL die is geconfigureerd in de stap Conforme DACL

Klik Save en maak de Unknown Authorization Profile

• Klik op Work Centers > Policy Elements > Authorization Profiles
• Klik op +Add
• Creëer de Uknown Compliant Authorization Profile

• Name: Maak een naam die verwijst naar het onbekende compatibele autorisatieprofiel
• Access TypeKies: ACCESS_ACCEPT

• Common Tasks
  • DACL NAME: Kies de DACL die is geconfigureerd in de stap Onbekende compatibele DACL
  • Web Redirection (CWA,MDM,NSP,CPP)
    • kiezen Client Provisioning (Posture)
    • ACL: Moet zijn redirect
    • Value: Kies het standaardportaal voor provisioning of als u een ander portaal hebt gedefinieerd, kiest u dit portaal

Opmerking: De naam voor de omleiding ACL op Secure Access voor alle implementaties is redirectgewijzigd.

Nadat u al deze waarden hebt gedefinieerd, moet u iets soortgelijks onderAttributes Detailshebben.

Klik Save om de configuratie te beëindigen en verder te gaan met de volgende stap.

Beleidsinstelling voor houding configureren

Deze drie beleidsregels die u maakt, zijn gebaseerd op de autorisatieprofielen die u hebt geconfigureerd; u hoeft DenyAccesser bijvoorbeeld geen andere te maken.

Navigeer naar uw ISE Dashboard

• Klik op Work Center > Policy Sets
• Klik op het> scherm om toegang te krijgen tot het beleid dat u hebt gemaakt

• Klik op de Authorization Policy

• Maak de volgende drie beleidsregels in de volgende volgorde:

• Klik op + om het CSA-Compliance beleid te definiëren: 

• Voor de volgende stap, verander deRule Name,Conditionsen Profiles
• Wanneer u een naam instelt Name op CSA-Compliance
• Om het Conditionprogramma te configureren, klikt u op de +
• Hieronder Condition Studiovindt u de informatie: 

1. Om de voorwaarde te maken, zoekt u naar compliant
2. Je moet hebben weergegeven Compliant_Devices
3. Slepen en neerzetten onder de Editor
4. Klik onder deEditorin New
5. Klik op het Identity Group icoon
6. kiezen Internal User Identity Group
7. Kies Equalshieronder de User Identity Group pagina die u wilt matchen
8. Klik op de knop  Use

• Hierdoor heb je de volgende afbeelding

• Klik onder Profile de vervolgkeuzelijst en kies het klachtenmachtigingsprofiel dat is geconfigureerd in de stap Compatibel machtigingsprofiel

Nu heb je het Compliance Policy Setsysteem geconfigureerd.

• Klik op + om het CSA-Unknown-Compliance beleid te definiëren: 

• Voor de volgende stap, verander deRule Name,Conditionsen Profiles
• Wanneer u een naam instelt Name op CSA-Unknown-Compliance
• Om het Conditionprogramma te configureren, klikt u op de +
• Hieronder Condition Studiovindt u de informatie: 

1. Om de voorwaarde te maken, zoekt u naar compliance
2. Je moet hebben weergegeven Compliant_Unknown_Devices
3. Slepen en neerzetten onder de Editor
4. Klik onder deEditorin New
5. Klik op het Identity Group icoon
6. kiezen Internal User Identity Group
7. Kies Equalshieronder de User Identity Group pagina die u wilt matchen
8. Klik op de knop  Use

• Hierdoor heb je de volgende afbeelding

• Klik onder Profile de vervolgkeuzelijst en kies het klachtenautorisatieprofiel dat is geconfigureerd in de stap Onbekend Compliant Autorisatieprofiel

Nu heb je het Unknown Compliance Policy Setsysteem geconfigureerd.

• Klik op + om het CSA- Non-Compliant beleid te definiëren: 

• Voor de volgende stap, verander deRule Name,Conditionsen Profiles
• Wanneer u een naam instelt Name op CSA-Non-Compliance
• Om het Conditionprogramma te configureren, klikt u op de +
• Hieronder Condition Studiovindt u de informatie: 

1. Om de voorwaarde te maken, zoekt u naar non
2. Je moet hebben weergegeven Non_Compliant_Devices
3. Slepen en neerzetten onder de Editor
4. Klik onder deEditorin New
5. Klik op het Identity Group icoon
6. kiezen Internal User Identity Group
7. Kies Equalshieronder de User Identity Group pagina die u wilt matchen
8. Klik op de knop  Use

• Hierdoor heb je de volgende afbeelding

• Klik onder Profile de vervolgkeuzelijst en kies het klachtenautorisatieprofiel DenyAccess

Zodra u de configuratie van de drie profielen hebt beëindigd, bent u klaar om uw integratie met houding te testen.

Verifiëren

Houdingsvalidatie

Verbinding op de machine

Verbinding maken met uw FQDN RA-VPN-domein dat wordt aangeboden via Secure Access via Secure Client.

Opmerking: voor deze stap mag geen ISE-module worden geïnstalleerd.

1. Maak verbinding met behulp van de beveiligde client.

2. Geef de referenties op voor authenticatie via Duo.

3. Op dit punt wordt u verbonden met de VPN en meestal wordt u doorgestuurd naar ISE; zo niet, dan kunt u proberen naar te http:1.1.1.1navigeren.

Opmerking: op dit moment valt u onder de autorisatie - beleidsset CSA-Unknown-Compliance omdat u de ISE Posture Agent niet op de machine hebt geïnstalleerd en u wordt doorgestuurd naar het ISE Provisioning Portal om de agent te installeren.

4. Klik op Start om door te gaan met de agentprovisioning.

5. Klik + This is my first time hereop.

6. Klik op Click here to download and install agent

7. Installeer de agent 

8. Nadat u de agent hebt geïnstalleerd, begint de ISE-houding met het controleren van de huidige houding van de machine. Als niet aan de beleidsvereisten wordt voldaan, verschijnt een pop-upvenster dat u naar naleving leidt.

Opmerking: Als uCancelof de resterende tijd eindigt, wordt u automatisch niet-conform, valt u onder het autorisatiebeleid dat is ingesteld voor CSA-niet-naleving, en wordt u onmiddellijk losgekoppeld van de VPN.

9. Installeer de Secure Endpoint Agent en maak opnieuw verbinding met de VPN.

10. Nadat de agent heeft geverifieerd dat de machine voldoet, verandert uw houding om op klacht te zijn en toegang te geven tot alle bronnen op het netwerk.

Opmerking: Nadat u compliant bent geworden, valt u onder het autorisatiebeleid dat is ingesteld voor CSA-Compliance, en hebt u onmiddellijk toegang tot al uw netwerkbronnen.

Hoe Logs in ISE te verifiëren

Om het resultaat van de verificatie voor een gebruiker te verifiëren, hebt u twee voorbeelden van naleving en niet-naleving. Om het in ISE te bekijken, volgt u deze instructies:

• Navigeer naar uw ISE Dashboard
• Klik op Operations > Live Logs

Het volgende tho-scenario laat zien hoe succesvolle nalevings- en niet-nalevingsgebeurtenissen worden weergegeven onder Live Logs:

naleving

niet-naleving

Eerste stappen met veilige toegang en ISE-integratie

In het volgende voorbeeld, Cisco ISE is onder netwerk 192.168.10.0/24, en de configuratie van de netwerken bereikbaar via de tunnel moet worden toegevoegd onder de tunnel configuratie.

Step 1: Controleer uw tunnelconfiguratie:

Om dit te verifiëren, gaat u naar het Dashboard voor beveiligde toegang.

• Klik op Connect > Network Connections
• Klik op Network Tunnel Groups > Uw tunnel

• Controleer onder Samenvatting of de tunnel de adresruimte heeft geconfigureerd waar uw Cisco ISE zich bevindt:

Step 2: Laat het verkeer op uw firewall toe.

Om Secure Access toe te staan om uw ISE-apparaat te gebruiken voor Radius-verificatie, moet u een regel hebben geconfigureerd van Secure Access naar uw netwerk met de vereiste Radius-poorten:

Opmerking: Als u meer poorten met betrekking tot ISE wilt weten, raadpleegt u de Gebruikershandleiding - Poortreferentie.

Opmerking: Er is een DNS-regel nodig als u uw ISE hebt geconfigureerd om te worden ontdekt via een naam, zoals ise.ciscosspt.es

Beheerpool en IP-pools voor eindpunten

Om uw IP-pool voor Beheer en Eindpunt te verifiëren, gaat u naar het Dashboard voor beveiligde toegang:

• Klik op Connect > End User Connectivity
• Klik op Virtual Private Network
• onder Manage IP Pools
• Klik op Manage

Stap 3: Controleer of uw ISE is geconfigureerd onder Private Resources

Om de gebruikers die via de VPN zijn verbonden in staat te stellen om naar te ISE Provisioning Portalnavigeren, moet u er zeker van zijn dat u uw apparaat hebt geconfigureerd als een privébron om toegang te bieden, die wordt gebruikt om de automatische provisioning van hetISE Posture Moduleapparaat via de VPN mogelijk te maken.

Om te controleren of u ISE correct hebt geconfigureerd, navigeert u naar het Dashboard voor beveiligde toegang:

• Klik op Resources > Private Resources
• Klik op de ISE-bron

Indien nodig kunt u de regel beperken tot de portaalpoort voor provisioning (8443).

Opmerking: Zorg ervoor dat u het selectievakje voor VPN-verbindingen hebt gemarkeerd.

Stap 4: ISE-toegang toestaan onder het toegangsbeleid

Om de gebruikers die via de VPN zijn verbonden in staat te stellen om naar te ISE Provisioning Portalnavigeren, moet u er zeker van zijn dat u een Access Policy account hebt geconfigureerd om de gebruikers die onder die regel zijn geconfigureerd toegang te geven tot de Private Resource die is geconfigureerd inStep3.

Om te controleren of u ISE correct hebt geconfigureerd, navigeert u naar het Dashboard voor beveiligde toegang:

• Klik op Secure > Access Policy
• Klik op de regel die is geconfigureerd om de VPN-gebruikers toegang te geven tot ISE

Problemen oplossen

Hoe te downloaden ISE Posture Debug Logs

Als u ISE-logboeken wilt downloaden om een probleem met betrekking tot de houding te verifiëren, gaat u verder met de volgende stappen: 

• Navigeer naar uw ISE Dashboard
• Klik op Operations > Troubleshoot > Debug Wizard

• Klik op Debug Profile Configuration

• Vink het selectievakje aan voor Posture > Debug Nodes 

• Vink het selectievakje aan voor de ISE-knooppunten waarop u de foutopsporingsmodus inschakelt om het probleem op te lossen

• Klik op de knop  Save

Waarschuwing: na dit punt moet u beginnen met het reproduceren van uw probleem; the debug logs can affect the performance of your device.

Nadat u het probleem hebt gereproduceerd, gaat u verder met de volgende stappen:

• Klik op Operations > Download Logs
• Kies het knooppunt van waaruit u de logs wilt nemen

• Kies onder Support Bundlede volgende opties:

• Include debug logs
• onder Support Bundle Encryption
  • Shared Key Encryption
    • Vullen Encryption key en Re-Enter Encryption key
• Klik op de knop  Create Support Bundle
• Klik op de knop  Download

Waarschuwing: Schakel de foutopsporingsmodus uit die is ingeschakeld bij de stap Foutopsporingsprofielconfiguratie

Veilige toegang Logboeken voor externe toegang verifiëren

Navigeer naar het Secure Access Dashboard:

• Klik op Monitor > Remote Access Logs

DART-bundel genereren op beveiligde client

Als u DART Bundle op uw computer wilt genereren, controleert u het volgende artikel: 

Cisco Secure Client Diagnostic and Reporting Tool (DART)

Opmerking: nadat u de logboeken hebt verzameld die in het gedeelte Problemen oplossen zijn aangegeven, opent u een kwestie met TAC om door te gaan met de analyse van de informatie.

Gerelateerde informatie

• Cisco Technical Support en downloads
• Veilige toegang tot documentatie en gebruikershandleiding
• Cisco Secure Client-software downloaden
• Beheerdershandleiding voor de Cisco Identity Services-engine, release 3.3