De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt beschreven hoe u Posture Assessment configureert voor VPN-gebruikers met externe toegang met Identity Service Engine (ISE) en Secure Access met Duo.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
De integratie van Duo SAML met Cisco Identity Services Engine (ISE) verbetert het verificatieproces en voegt een extra beveiligingslaag toe aan Cisco Secure Access-oplossingen. Duo SAML biedt een Single Sign-On (SSO)-mogelijkheid die het aanmeldingsproces van de gebruiker vereenvoudigt en tegelijkertijd hoge beveiligingsstandaarden garandeert.
Na verificatie via Duo SAML wordt het autorisatieproces afgehandeld door Cisco ISE. Hierdoor kunnen dynamische beslissingen over toegangscontrole worden genomen op basis van de identiteit van de gebruiker en de houding van het apparaat. ISE kan gedetailleerde beleidsregels afdwingen die bepalen tot welke bronnen een gebruiker toegang heeft, wanneer en vanaf welke apparaten.
Opmerking: om de RADIUS-integratie te configureren, moet u ervoor zorgen dat u communicatie tussen beide platforms hebt.
Opmerking: Voordat u begint met het configuratieproces, moet u de eerste stappen met beveiligde toegang en ISE-integratie voltooien.
Ga als volgt te werk om de RA-VPN-toepassing te configureren:
Navigeer naar uw Duo Admin Panel
Applications > Protect an Application
Generic SAML Service Provider
Protect
U moet de toepassing op het scherm laten weergeven; onthoud de naam van de toepassing voor de VPN-configuratie.
In dit geval is Generic SAML Service Provider.
Ga als volgt te werk om het VPN-profiel met Radius te configureren:
Navigeer naar je Secure Access Dashboard.
Connect > Enduser Connectivity > Virtual Private Network
Manage IP Pools
Poolconfiguratie) opManage
Radius Group (Optional)
Add RADIUS Group
Group Name
: Configureer een naam voor uw ISE-integratie in Secure Access
AAA method
Authentication
: vink het selectievakje aan voor Authentication
en selecteer de standaard poort 1812
Microsoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)
u het selectievakje aanAuthorization
: Markeer het selectievakje voorAuthorization
en selecteer de poort, standaard is 1812
Authorization mode Only
en om de houdingChange of Authorization (CoA) mode
en wijzigingen van ISE toe te staanAccounting
: vink het selectievakje voor autorisatie aan en selecteer de poort, standaard 1813
Single or Simultaneous
(In één modus worden boekhoudgegevens naar slechts één server verzonden. In gelijktijdige modus, boekhoudgegevens naar alle servers in de groep)Accounting update
om de periodieke generatie van RADIUS-berichten voor tussentijdse boekhoudkundige updates mogelijk te maken.Let op: zowel de methodeAuthentication
als Authorization
de methode moeten dezelfde poort gebruiken.
RADIUS Servers
(ISE) configureren die wordt gebruikt om via AAA te verifiëren in de RADIUS Servers
sectie:+ Add
Server Name
: Configureer een naam om uw ISE-server te identificeren.IP Address
: Configureer het IP-adres van uw Cisco ISE-apparaat dat bereikbaar is via Secure AccessSecret Key
: Configureer de geheime RADIUS-sleutelPassword
: Uw Radius-wachtwoord configurerenSave
en wijs uw Radius-server toe onder deAssign Server
optie en selecteer uw ISE-server:Save
nogmaals om alle configuratie op te slaanNu u uw ISE-server hebt geconfigureerd onder de IP-pool, moet u deze onder uw VPN Profiles
computer configureren.
Als u het VPN-profiel wilt configureren, gaat u naar het Dashboard voor beveiligde toegang.
Connect > Enduser Connectivity > Virtual Private Network
VPN Profiles
klik + Add
VPN Profile name
: Configureer een naam voor uw profielnaamDefault Domain
: Stel uw domein in.DNS Server
: Kies de door u geconfigureerde Domain Name Server (DNS)-serverProtocol
: Configureer de protocollen die u moet toestaan onder de VPNConnect Time posture
: Kies een houding of laat het als GeenNext
Verificatie
Authentication
Protocols
Kies: SAML
Download Service Provider XML file
Save
op uw aanvraag op Duo.SAML Metadata
bestand downloaden door op de knop te klikken Download XML
SAML Metadata
bericht over beveiligde toegang onder de optie 3. Upload IdP security metadata XML file
en klik op Next
Ga verder met de autorisatie.
Opmerking: nadat u de verificatie met SAML hebt geconfigureerd, autoriseert u deze via ISE, wat betekent dat het radiuspakket dat door Secure Access wordt verzonden alleen de gebruikersnaam bevat. Het wachtwoordveld bestaat hier niet.
Authorization
Authorization
Enable Radius Authorization
: Vink het selectievakje aan om de radius Autorisatie in te schakelenNext
Nadat u alle onderdelen hebt Authorization
geconfigureerd, gaat u verder met de Accounting
procedure.
Opmerking: Als u de Radio Authorization
houding niet inschakelt, kan deze niet werken.
Accounting
Accounting
Map Authorization groups to regions
: Kies de regio's en kies uw Radius Groups
Next
After you have done configured the
Authentication, Authorization and Accounting
please continue withTraffic Steering
.
Onder verkeerssturing moet u het type communicatie configureren via Secure Access.
Connect to Secure Access
kiest, al uw internetverkeer routes door Secure Access
Als u uitsluitingen voor internetdomeinen of IP's wilt toevoegen, klikt u op de + Add
knop en klikt u Next
op.
Bypass Secure Access
doen, gaat al uw internetverkeer via uw internetprovider, niet viaSecure Access
(geen internetbescherming)Opmerking: voeg enroll.cisco.com
voor ISE-houding toe wanneer u Bypass Secure Access
kiest.
In deze stap selecteert u alle privé-netwerkbronnen die u wilt openen via de VPN. Om dit te doen, klikt u + Add
op en klikt u Next
op wanneer u alle bronnen hebt toegevoegd.
In deze stap kunt u alles als standaard handhaven en op Save
klikken, maar als u uw configuratie meer wilt aanpassen, raadpleegt u de Beheerdershandleiding voor Cisco Secure Client.
Als u de verificatie via Cisco ISE wilt configureren, moet u de toegestane apparaten configureren die vragen kunnen stellen aan uw Cisco ISE:
Administration > Network Devices
+ Add
Name
: Gebruik een naam om beveiligde toegang te identificerenIP Address
: DeManagement Interface
grootte van de stap configureren, IP-poolregioDevice Profile
Kies: Cisco
Radius Authentication Settings
Shared Secret
: hetzelfde gedeelde geheim configureren dat is geconfigureerd voor de stap, geheime sleutelCoA Port
: Laat het als standaard; 1700 wordt ook gebruikt in Secure AccessOm na die klik Save
te controleren of de integratie goed werkt, gaat u verder met het maken van een lokale gebruiker voor integratieverificatie.
Ga als volgt te werk om een groep te configureren voor gebruik met lokale gebruikers:
Administration > Groups
User Identity Groups
+ Add
Name
voor de groep en klik op Submit
U configureert als volgt een lokale gebruiker om uw integratie te verifiëren:
Administration > Identities
Add +
Username
: Configureer de gebruikersnaam met een bekende UPN-voorziening in Secure Access; dit is gebaseerd op de stap VereistenStatus
:ActiefPassword Lifetime
: U kunt het configureren With Expiration
ofNever Expires
, afhankelijk van uLogin Password
: Maak een wachtwoord aan voor de gebruikerUser Groups
: Kies de groep die in de stap is gemaakt en configureer een groepOpmerking: de op verificatie gebaseerde versie op basis van UPN is ingesteld om te worden gewijzigd in komende versies van Secure Access.
Daarna kunt u de configuratie wijzigen Save
en doorgaan met de Configure Policy Set
stap.
Configureer onder de beleidsset de actie die ISE onderneemt tijdens verificatie en autorisatie. Dit scenario toont de use case voor het configureren van een eenvoudig beleid om gebruikerstoegang te bieden. Ten eerste verifieert ISE de oorsprong van de RADIUS-authenticaties en controleert of de identiteiten in de ISE-gebruikersdatabase bestaan om toegang te bieden
Om dat beleid te configureren, navigeert u naar uw Cisco ISE Dashboard:
Policy > Policy Sets
+
om een nieuwe beleidsset toe te voegenMaak in dit geval een nieuwe beleidsset in plaats van onder de standaardset te werken. Configureer vervolgens de verificatie en autorisatie op basis van die beleidsset. Het geconfigureerde beleid geeft toegang tot het netwerkapparaat dat is gedefinieerd in de stap Netwerkapparatenlijst configureren om te controleren of deze verificaties afkomstig zijn vanCSA Network Device List
en vervolgens als Conditions
gebruiker in het beleid worden opgenomen. En tot slot, de toegestane Protocollen, zoals Default Network Access
gezegd.
Ga als volgt te werk om de informatie te maken condition
die overeenkomt met de beleidsset:
+
Condition Studio
de beschikbare informatie vallen: Click to add an attribute
Network Device
knop Network Access
- Network Device Name
optieNetwork Device
netwerk onder de stap Lijst netwerkapparaten configurerenSave
Dit beleid keurt alleen het verzoek van de bronCSA
om de Authentication
en de Authorization
installatie voort te zetten onder de beleidsset CSA-ISE
goed, en verifieert ook de toegestane protocollen op basis van de Default Network Access
voorwaarden voor de toegestane protocollen.
Het resultaat van het gedefinieerde beleid moet zijn:
Default Network Access Protocols
toegestaan is:
Policy > Results
Allowed Protocols
Default Network Access
Default Network Access
Ga als volgt te werk om het Authorization
beleid onder de Policy Set
naam te maken:
>
Authorization
beleid weergegeven: Het beleid is hetzelfde beleid dat is gedefinieerd in de stap Beleidsset configureren.
machtigingsbeleid
U kunt het autorisatiebeleid op verschillende manieren configureren. In dit geval machtigt u alleen de gebruikers in de groep die is gedefinieerd in de stap Een groep configureren. Zie het volgende voorbeeld om uw machtigingsbeleid te configureren:
Authorization Policy
+
om het beleid voor autorisatie als volgt te definiëren: Rule Name
,Conditions
en Profiles
Name
een naam om het autorisatiebeleid eenvoudig te identificeren Condition
programma te configureren, klikt u op de +
Condition Studio
vindt u de informatie: Click to add an attribute
Identity Group
knop IdentityGroup
optieEquals
optie om de Group
goedgekeurde optie voor verificatie te vinden in de stap, Groep configurerenSave
Use
Daarna moet je de Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.
Authorization Policy
knop op de dropdown-knop op Profiles
PermitAccess
Save
Daarna heeft u uw Authorization
beleid bepaald. Verifieer om te controleren of de gebruiker zonder problemen verbinding maakt en of u de logs kunt zien op Secure Access en ISE.
Als u verbinding wilt maken met de VPN, kunt u het profiel gebruiken dat is gemaakt op Secure Access en verbinding maken via Secure Client met het ISE-profiel.
Monitor > Remote Access Log
Cisco ISE Dashboard
Operations > Live Logs
Hoe wordt het logboek weergegeven in Duo wanneer de verificatie wordt goedgekeurd?
Reports > Authentication Log
In dit scenario maakt u de configuratie om de naleving van het eindpunt te controleren voordat u toegang tot interne bronnen verleent of weigert.
Ga als volgt te werk om de configuratie te maken:
Work Center > Policy Elements > Conditions
Anti-Malware
Opmerking: Er zijn veel opties om de houding van uw apparaten te controleren en de juiste beoordeling te maken op basis van uw interne beleid.
Anti-Malware Conditions
onder op + Add
Anti-Malware Condition
systeem om de antivirusinstallatie op het systeem te detecteren; u kunt ook de versie van het besturingssysteem kiezen als dat nodig is.Name
: Gebruik een naam om de anti-malwarevoorwaarde te herkennenOperating System
: Kies het operatieve systeem dat je onder de voorwaarde wilt plaatsenVendor
: Kies een leverancier of ELKECheck Type
: U kunt controleren of de agent is geïnstalleerd of de definitieversie voor die optie.Products for Selected Vendor
configureert bijvoorbeeld wat u wilt verifiëren over de antimalware op het apparaat.Zodra u het hebt geconfigureerd, kunt u doorgaan met de stap, Configure Posture Requirements
enz.
Work Center > Policy Elements > Requeriments
Edit
van de vereisten en klik op Insert new Requirement
Name
: Configureer een naam om de vereiste antimalware te herkennenOperating System
: Kies het besturingssysteem dat u kiest onder de voorwaarde stap, Operating System Compliance Module
: U moet ervoor zorgen dat u dezelfde nalevingsmodule selecteert die u hebt onder de voorwaarde stap, Anti-Malware voorwaardePosture Type
: Agent kiezenConditions
: Kies de voorwaarde of voorwaarden die u hebt gemaakt onder de stap, Configureer houdingsvoorwaardenRemediations Actions
: Kies Message Text Only
voor dit voorbeeld of als u een andere herstelactie hebt, gebruikt u dezeSave
Nadat u het hebt geconfigureerd, kunt u doorgaan met de stap, Configure Posture Policy
Work Center > Posture Policy
Edit
van de beleidsregels en klik op Insert new Policy
Status
: vink het selectievakje aan om het beleid niet in te schakelenRule Name
: Een naam configureren om het geconfigureerde beleid te herkennenIdentity Groups
: Kies de identiteiten die je wilt evaluerenOperating Systems
: Kies het besturingssysteem op basis van de toestand en vereiste die eerder zijn geconfigureerdCompliance Module
: Kies de nalevingsmodule op basis van de toestand en vereiste die eerder zijn geconfigureerdPosture Type
: Agent kiezenRequeriments
: Kies de vereisten die zijn geconfigureerd voor de stap, Configure Posture RequirementsSave
Als u de gebruikers de ISE-module wilt bieden, configureert u de clientprovisioning om de machines uit te rusten met de ISE-posture-module. Hiermee kunt u de positie van de machine controleren zodra de agent is geïnstalleerd. Om dit proces voort te zetten, zijn hier de volgende stappen:
Navigeer naar uw ISE Dashboard.
Work Center > Client Provisioning
Resources
Er zijn drie dingen die u moet configureren onder clientprovisioning:
Middelen om te configureren |
Beschrijving |
1. |
Beveiligde client-webprovisioningpakket. |
2. |
Cisco ISE Compliance Module |
3. |
Controle over het provisioningprofiel. |
3. |
Bepaal welke modules worden geleverd door het inrichtingsportaal in te stellen met behulp van het agentprofiel en de agentbronnen. |
Step 1
Bronnen van Agent downloaden en uploaden
+ Add > Agent resources from local disk
en upload de pakkettenStep 2
Download de compliance module
+ Add > Agent resources from Cisco Site
Save
Het agentprofiel configurerenStep 3
+ Add > Agent Posture Profile
Name
website voor de Posture Profile
*
en klik Save
daarna opStep 4
De agentconfiguratie configureren
+ Add > Agent Configuration
Select Agent Package
: Kies het pakket dat is geüpload in Stap 1 Bronnen van Agent downloaden en uploadenConfiguration Name
: Kies een naam om de Agent Configuration
Compliance Module
: Kies de Compliance Module gedownload op de Step2 Download de compliance moduleCisco Secure Client Module Selection
ISE Posture
: vink het selectievakje aanProfile Selection
ISE Posture
: Kies het ISE-profiel dat is geconfigureerd in stap 3 Het agentprofiel configurerenSave
Opmerking: Het wordt aanbevolen dat elk besturingssysteem, Windows, Mac OS of Linux, één onafhankelijke clientconfiguratie heeft.
Als u de provisioning van de ISE-houding en de modules die in de laatste stap zijn geconfigureerd, wilt inschakelen, moet u een beleid configureren om de provisioning uit te voeren.
Work Center > Client Provisioning
Opmerking: Het wordt aanbevolen dat elk besturingssysteem, Windows, Mac OS of Linux, één clientconfiguratiebeleid heeft.
Rule Name
: Configureer de naam van het beleid op basis van het apparaattype en de selectie van de identiteitsgroep zodat elk beleid eenvoudig kan worden geïdentificeerdIdentity Groups
: Kies de identiteiten die u wilt evalueren op het beleidOperating Systems
: Kies het besturingssysteem op basis van het agentpakket dat is geselecteerd in de stap, selecteer agentpakketOther Condition
: Kies Network Access
op basis van de Authentication Method
EQUALS
methode die is geconfigureerd in de stap, voeg RADIUS-groep toe of u kunt leeg latenResult
: Kies de Agent Config die is geconfigureerd in stap 4 Configureren van de Agent-configuratie
Native Supplicant Configuration
KiesConfig Wizard
en Wizard Profile
Het autorisatieprofiel beperkt de toegang tot de bronnen, afhankelijk van de houding van de gebruiker na de verificatiepas. De autorisatie moet worden geverifieerd om te bepalen tot welke bronnen de gebruiker toegang heeft op basis van de houding.
Autorisatieprofiel |
Beschrijving |
Compatibel met gebruiker - Agent geïnstalleerd - houding geverifieerd |
|
Compatibel met onbekende gebruiker - Omleiden om de agent te installeren - Houding in afwachting om te worden geverifieerd |
|
Gebruiker niet-conform - Toegang weigeren |
Om de DACL te configureren, navigeert u naar het ISE Dashboard:
Name
: Voeg een naam toe die verwijst naar de DACL-compliantIP version
Kies: IPv4
DACL Content
:
Maak een downloadbare toegangscontrolelijst (DACL) die toegang geeft tot alle bronnen van het netwerkpermit ip any any
Klik Save
en maak de onbekende naleving DACL
Work Centers > Policy Elements > Downloadable ACLs
+Add
Unknown Compliant DACL
Name
: Voeg een naam toe die verwijst naar de DACL-Unknown-CompliantIP version
Kies: IPv4
DACL Content:
Maak een DACL die beperkte toegang geeft tot het netwerk, DHCP, DNS, HTTP en het provisioningportaal via poort 8443permit udp any any eq 67
permit udp any any eq 68
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
Opmerking: in dit scenario komt het IP-adres 192.168.10.206 overeen met de Cisco Identity Services Engine (ISE)-server en wordt poort 8443 aangewezen voor het provisioningportaal. Dit betekent dat TCP-verkeer naar het IP-adres 192.168.10.206 via poort 8443 is toegestaan, waardoor de toegang tot het provisioningportaal wordt vergemakkelijkt.
Op dit moment hebt u de vereiste DACL om de autorisatieprofielen te maken.
Om de autorisatieprofielen te configureren, navigeert u naar het ISE Dashboard:
Work Centers > Policy Elements > Authorization Profiles
+Add
Compliant Authorization Profile
Name
: Maak een naam die verwijst naar het compatibele autorisatieprofielAccess Type
Kies: ACCESS_ACCEPT
Common Tasks
DACL NAME
: Kies de DACL die is geconfigureerd in de stap Conforme DACLKlik Save
en maak de Unknown Authorization Profile
Work Centers > Policy Elements > Authorization Profiles
+Add
Uknown Compliant Authorization Profile
Name
: Maak een naam die verwijst naar het onbekende compatibele autorisatieprofielAccess Type
Kies: ACCESS_ACCEPT
Common Tasks
DACL NAME
: Kies de DACL die is geconfigureerd in de stap Onbekende compatibele DACLWeb Redirection (CWA,MDM,NSP,CPP)
Client Provisioning (Posture)
ACL
: Moet zijn redirect
Value
: Kies het standaardportaal voor provisioning of als u een ander portaal hebt gedefinieerd, kiest u dit portaalOpmerking: De naam voor de omleiding ACL op Secure Access voor alle implementaties is redirect
gewijzigd.
Nadat u al deze waarden hebt gedefinieerd, moet u iets soortgelijks onderAttributes Details
hebben.
Klik Save
om de configuratie te beëindigen en verder te gaan met de volgende stap.
Deze drie beleidsregels die u maakt, zijn gebaseerd op de autorisatieprofielen die u hebt geconfigureerd; u hoeft DenyAccess
er bijvoorbeeld geen andere te maken.
beleidsbepaling-autorisatie |
Autorisatieprofiel |
conform |
|
Onbekend Compliant |
|
niet conform |
Navigeer naar uw ISE Dashboard
Work Center > Policy Sets
>
scherm om toegang te krijgen tot het beleid dat u hebt gemaaktAuthorization Policy
+
om het CSA-Compliance
beleid te definiëren: Rule Name
,Conditions
en Profiles
Name
op CSA-Compliance
Condition
programma te configureren, klikt u op de +
Condition Studio
vindt u de informatie: compliant
Compliant_Devices
Editor
Editor
in New
Identity Group
icoonInternal User Identity Group
Equals
hieronder de User Identity Group
pagina die u wilt matchenUse
Profile
de vervolgkeuzelijst en kies het klachtenmachtigingsprofiel dat is geconfigureerd in de stap Compatibel machtigingsprofielNu heb je het Compliance Policy Set
systeem geconfigureerd.
Rule Name
,Conditions
en Profiles
Name
op CSA-Unknown-Compliance
Condition
programma te configureren, klikt u op de +
Condition Studio
vindt u de informatie: compliance
Compliant_Unknown_Devices
Editor
Editor
in New
Identity Group
icoonInternal User Identity Group
Equals
hieronder de User Identity Group
pagina die u wilt matchenUse
Profile
de vervolgkeuzelijst en kies het klachtenautorisatieprofiel dat is geconfigureerd in de stap Onbekend Compliant AutorisatieprofielNu heb je het Unknown Compliance Policy Set
systeem geconfigureerd.
+
om het CSA- Non-Compliant
beleid te definiëren: Rule Name
,Conditions
en Profiles
Name
op CSA-Non-Compliance
Condition
programma te configureren, klikt u op de +
Condition Studio
vindt u de informatie: non
Non_Compliant_Devices
Editor
Editor
in New
Identity Group
icoonInternal User Identity Group
Equals
hieronder de User Identity Group
pagina die u wilt matchenUse
Profile
de vervolgkeuzelijst en kies het klachtenautorisatieprofiel DenyAccess
Zodra u de configuratie van de drie profielen hebt beëindigd, bent u klaar om uw integratie met houding te testen.
Verbinding maken met uw FQDN RA-VPN-domein dat wordt aangeboden via Secure Access via Secure Client.
Opmerking: voor deze stap mag geen ISE-module worden geïnstalleerd.
1. Maak verbinding met behulp van de beveiligde client.
2. Geef de referenties op voor authenticatie via Duo.
3. Op dit punt wordt u verbonden met de VPN en meestal wordt u doorgestuurd naar ISE; zo niet, dan kunt u proberen naar te http:1.1.1.1
navigeren.
Opmerking: op dit moment valt u onder de autorisatie - beleidsset CSA-Unknown-Compliance omdat u de ISE Posture Agent niet op de machine hebt geïnstalleerd en u wordt doorgestuurd naar het ISE Provisioning Portal om de agent te installeren.
4. Klik op Start om door te gaan met de agentprovisioning.
5. Klik + This is my first time here
op.
6. Klik op Click here to download and install agent
7. Installeer de agent
8. Nadat u de agent hebt geïnstalleerd, begint de ISE-houding met het controleren van de huidige houding van de machine. Als niet aan de beleidsvereisten wordt voldaan, verschijnt een pop-upvenster dat u naar naleving leidt.
Opmerking: Als uCancel
of de resterende tijd eindigt, wordt u automatisch niet-conform, valt u onder het autorisatiebeleid dat is ingesteld voor CSA-niet-naleving, en wordt u onmiddellijk losgekoppeld van de VPN.
9. Installeer de Secure Endpoint Agent en maak opnieuw verbinding met de VPN.
10. Nadat de agent heeft geverifieerd dat de machine voldoet, verandert uw houding om op klacht te zijn en toegang te geven tot alle bronnen op het netwerk.
Opmerking: Nadat u compliant bent geworden, valt u onder het autorisatiebeleid dat is ingesteld voor CSA-Compliance, en hebt u onmiddellijk toegang tot al uw netwerkbronnen.
Om het resultaat van de verificatie voor een gebruiker te verifiëren, hebt u twee voorbeelden van naleving en niet-naleving. Om het in ISE te bekijken, volgt u deze instructies:
Operations > Live Logs
Het volgende tho-scenario laat zien hoe succesvolle nalevings- en niet-nalevingsgebeurtenissen worden weergegeven onder Live Logs
:
In het volgende voorbeeld, Cisco ISE is onder netwerk 192.168.10.0/24, en de configuratie van de netwerken bereikbaar via de tunnel moet worden toegevoegd onder de tunnel configuratie.
Step 1
: Controleer uw tunnelconfiguratie:
Om dit te verifiëren, gaat u naar het Dashboard voor beveiligde toegang.
Connect > Network Connections
Network Tunnel Groups
> Uw tunnelStep 2
: Laat het verkeer op uw firewall toe.
Om Secure Access toe te staan om uw ISE-apparaat te gebruiken voor Radius-verificatie, moet u een regel hebben geconfigureerd van Secure Access naar uw netwerk met de vereiste Radius-poorten:
regel |
bron |
Bestemming |
bestemmingshaven |
ISE naar veilige toegang beheerpool |
ISE_Server |
IP-beheerpool (RA-VPN) |
COA UDP 1700 (standaardpoort) |
IP-pool voor veilig toegangsbeheer naar ISE |
IP-beheerpool |
ISE_Server |
Authenticatie, autorisatie UDP 1812 (standaardpoort) Accounting UDP 1813 (standaardpoort) |
Secure Access Endpoint IP-pool naar ISE |
IP-pool van eindpunt |
ISE_Server |
Provisioning Portal TCP 8443 (standaardpoort) |
IP-pool voor beveiligde toegang tot DNS SERVER |
IP-pool van eindpunt |
DNS-server |
DNS UDP en TCP 53 |
Opmerking: Als u meer poorten met betrekking tot ISE wilt weten, raadpleegt u de Gebruikershandleiding - Poortreferentie.
Opmerking: Er is een DNS-regel nodig als u uw ISE hebt geconfigureerd om te worden ontdekt via een naam, zoals ise.ciscosspt.es
Beheerpool en IP-pools voor eindpunten
Om uw IP-pool voor Beheer en Eindpunt te verifiëren, gaat u naar het Dashboard voor beveiligde toegang:
Connect > End User Connectivity
Virtual Private Network
Manage IP Pools
Klik op Manage
Stap 3: Controleer of uw ISE is geconfigureerd onder Private Resources
Om de gebruikers die via de VPN zijn verbonden in staat te stellen om naar te ISE Provisioning Portal
navigeren, moet u er zeker van zijn dat u uw apparaat hebt geconfigureerd als een privébron om toegang te bieden, die wordt gebruikt om de automatische provisioning van hetISE Posture Module
apparaat via de VPN mogelijk te maken.
Om te controleren of u ISE correct hebt geconfigureerd, navigeert u naar het Dashboard voor beveiligde toegang:
Resources > Private Resources
Indien nodig kunt u de regel beperken tot de portaalpoort voor provisioning (8443).
Opmerking: Zorg ervoor dat u het selectievakje voor VPN-verbindingen hebt gemarkeerd.
Stap 4: ISE-toegang toestaan onder het toegangsbeleid
Om de gebruikers die via de VPN zijn verbonden in staat te stellen om naar te ISE Provisioning Portal
navigeren, moet u er zeker van zijn dat u een Access Policy
account hebt geconfigureerd om de gebruikers die onder die regel zijn geconfigureerd toegang te geven tot de Private Resource die is geconfigureerd inStep3
.
Om te controleren of u ISE correct hebt geconfigureerd, navigeert u naar het Dashboard voor beveiligde toegang:
Secure > Access Policy
Als u ISE-logboeken wilt downloaden om een probleem met betrekking tot de houding te verifiëren, gaat u verder met de volgende stappen:
Operations > Troubleshoot > Debug Wizard
Posture > Debug Nodes
Save
Waarschuwing: na dit punt moet u beginnen met het reproduceren van uw probleem; the debug logs can affect the performance of your device
.
Nadat u het probleem hebt gereproduceerd, gaat u verder met de volgende stappen:
Operations > Download Logs
Support Bundle
de volgende opties:
Include debug logs
Support Bundle Encryption
Shared Key Encryption
Encryption key
en Re-Enter Encryption key
Create Support Bundle
Download
Waarschuwing: Schakel de foutopsporingsmodus uit die is ingeschakeld bij de stap Foutopsporingsprofielconfiguratie
Navigeer naar het Secure Access Dashboard:
Monitor > Remote Access Logs
Als u DART Bundle op uw computer wilt genereren, controleert u het volgende artikel:
Cisco Secure Client Diagnostic and Reporting Tool (DART)
Opmerking: nadat u de logboeken hebt verzameld die in het gedeelte Problemen oplossen zijn aangegeven, opent u een kwestie met TAC
om door te gaan met de analyse van de informatie.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
14-Apr-2024
|
Eerste vrijgave |