A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este original descreve serviços da postura, abastecimento do cliente, criação da política da postura, e configuração da política de acesso para o Cisco Identity Services Engine (ISE). Os resultados da avaliação do valor-limite para ambos os clientes prendidos (conectados aos switch Cisco) e clientes Wireless (conectados aos controladores do Cisco Wireless) são discutidos.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Os trabalhos dos serviços da postura são compreendidos de três seções de configuração principal:
A fim executar a avaliação da postura e determinar o estado da conformidade de um valor-limite, é necessário provision o valor-limite com um agente. O agente do Network Admission Control (NAC) pode ser persistente, por meio de que o agente é instalado e carregado automaticamente cada vez um usuário entra. Alternativamente, o agente NAC pode ser temporal, por meio de que um agente com suporte na internet é transferido dinamicamente ao valor-limite para cada sessão nova e removido então depois que o processo da avaliação da postura. Os agentes NAC igualmente facilitam a remediação e fornecem uma política de uso aceitável opcional (AUP) ao utilizador final.
Consequentemente, uma das primeiras etapas nos trabalhos é recuperar os arquivos do agente da site da Cisco na Web e criar as políticas que determinam que agente e arquivos de configuração são transferidos aos valores-limite, com base em atributos tais como a identidade do usuário e o tipo ósmio do cliente.
A política da postura define o grupo de exigências para que um valor-limite seja complacente julgado baseado na presença do arquivo, a chave de registro, o processo, o aplicativo, o Windows, e (AV) verificações anti-vírus e regras /anti-spyware (COMO). A política da postura é aplicada aos valores-limite baseados em um conjunto de condição definido tal como a identidade do usuário e o tipo ósmio do cliente. O estado da conformidade (postura) de um valor-limite pode ser:
As exigências da postura são baseadas em um grupo configurável de umas ou várias circunstâncias. As circunstâncias simples incluem uma única verificação da avaliação. As circunstâncias compostas são um grupo lógico de umas ou várias circunstâncias simples. Cada exigência é associada com uma ação da remediação que ajude valores-limite a satisfazer a exigência, tal como a atualização de assinatura AV.
A política da autorização define os níveis do acesso de rede e de serviços opcionais a ser entregados a um valor-limite baseado no estado da postura. Os valores-limite que são julgados não complacentes com política da postura podem opcionalmente ser quarantined até que o valor-limite se torne complacente; por exemplo, uma política típica da autorização pode limitar o acesso de rede de um usuário para posture e os recursos da remediação somente. Se a remediação pelo agente ou pelo utilizador final é bem sucedida, a seguir a política da autorização pode conceder acesso de rede privilegiado ao usuário. A política é reforçada frequentemente com listas de controle de acesso carregável (dACLs) ou atribuição do VLAN dinâmico. Neste exemplo de configuração, os dACLs são usados para a aplicação do acesso do valor-limite.
Nestes arquivos persistentes (agente NAC) e temporais do exemplo de configuração, (da Web do agente) do agente são transferidos ao ISE, e as políticas de abastecimento do cliente são definidas que exigem usuários de domínio transferir o agente e usuários convidado NAC para transferir o agente da Web.
Antes da avaliação da postura as políticas e as exigências são configuradas, a política da autorização é atualizada para aplicar perfis da autorização aos usuários de domínio e aos convidados que são embandeirados como noncompliant. O perfil novo da autorização definido no este limites de configuração alcança para posture e recursos da remediação. O acesso de rede é permitido aos empregados e os usuários convidado embandeirados como complacente regular. Uma vez que os serviços do abastecimento do cliente foram verificados, as exigências da postura estão configuradas a fim verificar para ver se há a instalação anti-vírus, atualizações da definição de vírus, e atualizações críticas de Windows.
Nota: Verifique todos os artigos nestes valor-limite e listas de verificação ISE antes que você tente configurar a postura.
Nota: O ISE já não usa a porta TCP 8906 do legado.
Esta configuração do exemplo ISE é compreendida destas etapas:
Atributo | Valor |
Web | (o) |
Alimentação URL da atualização | https://www.cisco.com/web/secure/pmbu/posture-update.xml |
Endereço de proxy | - |
Porta de proxy | - |
Verifique automaticamente para ver se há atualizações partir do retardo inicial |
[checked] |
cada 2 horas |
Nota: Se o ISE não tem o acesso ao Internet, as atualizações autônomas da postura estão disponíveis para a transferência no cisco.com.
Atributo | Valor |
RemediationTimer | 8 (minutos) |
Atraso da transição de rede | 3 (segundos) |
Estado da postura do padrão | Complacente |
Tela de login próxima do automóvel após - nos segundos (AutoCloseTimer): | [checked] segundos 5 |
Nota: Valores atribuídos através da ultrapassagem do perfil do agente estas configurações globais. O estado da postura do padrão define o estado para os clientes que não têm um agente NAC instalado. Se o abastecimento do cliente não está sendo usado, este valor pode ser ajustado a noncompliant.
Atributo | Valor |
Permita o abastecimento | Permita |
Permita a transferência automática |
Disable |
Alimentação URL da atualização | http://www.cisco.com/web/secure/pmbu/provisioning |
Política de abastecimento nativa do suplicante não disponível: | Permita o acesso de rede |
Nota: Se as versões múltiplas do mesmo tipo de arquivo (módulo da conformidade do agente da Web do agente NAC) foram transferidas ao repositório do abastecimento do cliente, selecione a maioria de versão atual disponível quando você configura a regra.
Ordene o nome | Grupos da identidade | OS | Condições | Resultados | É a elevação imperativa? |
Employee_Windows | Qualquer um | Windows todo | AD1:ExternalGroups IGUALA usuários do Domain Name >/Users/Domain <AD | Agente 4.9.0.51 + perfil NAC (opcional) + conformidade 3.5.5767.2 | [checked] |
Guest_Windows | Convidado | Windows todo | WebAgent 4.9.0.28 | [checked] |
Atributo | Valor |
Os usuários convidado devem transferir o cliente da postura | [checked] |
Os usuários convidado devem ser permitidos fazer o serviço do auto | [checked] |
Atributo | Valor |
Os usuários convidado devem concordar a uma política de uso aceitável | () Não usado (o) primeiro início de uma sessão () EveryLogin |
A política da autorização ajusta os tipos de acesso e de serviços a ser concedidos aos valores-limite baseados em seus atributos tais como a identidade, o método de acesso, e a conformidade com políticas da postura. As políticas da autorização neste exemplo asseguram-se de que os valores-limite que não são postura complacente quarantined; isto é, os valores-limite são concedidos acesso limitado suficiente para provision o agente de software e às exigências falhadas remediate. Somente os valores-limite complacentes da postura são concedidos acesso de rede privilegiado.
Atributo | Valor |
Nome | POSTURE_REMEDIATION |
Descrição | Acesso da licença a posture e serviços da remediação, e para negar todo acesso restante. Permita o HTTP geral e o HTTPS para a reorientação somente. |
Índice DACL |
entrada do dACL | Descrição |
UDP da licença algum algum domínio do eq | Permita o Domain Name System (DNS) para a resolução de nome |
permita o UDP todo o bootpc do eq qualquer bota picosegundo do eq | Permita o DHCP |
permita o tcp todo o IP address do host <ISE > eq 8443 | Permita o portal do abastecimento CWA/Cient (CPP) ao nó do serviço da política ISE |
permita o tcp todo o IP address do host <ISE > eq 8905 | Permita o agente que a descoberta dirige ao nó do serviço da política |
permita o UDP todo o IP address do host <ISE > eq 8905 | Permita a descoberta e as manutenções de atividade do agente |
permita o tcp todo o IP address do host <ISE > eq 8909 | Permita o agente de Cisco NAC, o agente da Web de Cisco NAC, e a instalação do assistente do abastecimento do suplicante |
permita o UDP todo o IP address do host <ISE > eq 8909 | |
permita o IP todo o endereço IP do servidor do host <REM > | Explícito permita ao server da remediação (WSUS, o server anti-vírus, e assim por diante) |
permita o IP todo o host 192.230.240.8 | Permita o tráfego ao servidor de base de dados da definição de ClamWin; esta entrada é específica a este exemplo |
deny ip any any | Negue todo tráfego restante |
Atributo | Valor |
Nome | Posture_Remediation |
Descrição | Acesso da licença a posture e serviços da remediação; reoriente o tráfego aos serviços do abastecimento e da postura do cliente |
Tipo de acesso | ACCESS_ACCEPT |
Nome DACL | [checked] POSTURE_REMEDIATION |
Autenticação da Web - Descoberta da postura | [checked] ACL-POSTURE-REDIRECT |
Nota: O ACL-POSTURE-REDIRECT ACL deve ser configurado localmente no interruptor ou no WLC. O ACL é provido por nome na política da autorização ISE. Para o interruptor reoriente o ACL, as entradas da licença determinam que tráfego deve ser reorientado ao ISE visto que, em um WLC, as entradas da licença definem que tráfego não deve ser reorientado.
Atributo | Valor |
Nome | CWA_Posture_Remediation |
Descrição | Acesso da licença a posture e serviços da remediação; reoriente o tráfego aos serviços centrais do AUTH da Web |
Tipo de acesso | ACCESS_ACCEPT |
Nome DACL | [checked] POSTURE_REMEDIATION |
Autenticação da Web - Autenticação da Web centralizada | [checked] ACL-POSTURE-REDIRECT |
Nota: A diferença entre os dois perfis é a URL reorienta o atributo do Cisco-av-pair. Os usuários que precisam de ser autenticados são reorientados ao portal do convidado para CWA. Uma vez que autenticado, os usuários são reorientados automaticamente ao CPP como necessários. Os usuários autenticados com o 802.1X são reorientados diretamente ao CPP.
Ordene o nome | Grupos da identidade | Outras circunstâncias | Permissões |
Empregado | Qualquer um | AD1:ExternalGroups IGUALA usuários do Domain Name >/Users/Domain <AD E Sessão: PostureStatus IGUALA complacente |
PermitAccess (ou perfil da autorização do empregado se você já tem um definido) |
Employee_PreCompliant | Qualquer um | AD1:ExternalGroups IGUALA usuários do Domain Name >/Users/Domain <AD E Sessão: PostureStatus NÃO IGUALA complacente |
Posture_Remediation |
Convidado | Convidado | Sessão: PostureStatus IGUALA complacente | PermitAccess (ou perfil da autorização do convidado se você já tem um definido) |
Padrão | Qualquer um | CWA_Posture_Remediation |
Nota: Este perfil da autorização é aplicado ao acesso prendido e de usuário Wireless. O WLC não toma na consideração o dACL. A característica do dACL é apoiada somente no Switches. Para o Sem fio, a reorientação ACL é bastante para negar todo o tráfego à exceção do server da remediação e da postura ISE.
Este exemplo mostra como definir uma política AV com estas condições da postura:
Atributo | Valor |
Nome | ClamWin_AV_Installed |
Descrição | A verificação ClamWin AV é instalada |
OS | Windows 7 (todos) |
Vendedor | ClamWin |
Verifique o tipo | (o) definição da instalação () |
Produtos para o vendedor selecionado | Antivirus de ClamWin do [checked] |
Atributo | Valor |
Nome | ClamWin_AV_Installed |
Descrição | A verificação ClamWin AV é instalada |
OS | Windows 7 (todos) |
Vendedor | ClamWin |
Verifique o tipo | (o) definição da instalação () |
dias mais velhos do que | O [checked] permite que os arquivos de definição de vírus sejam os dias 0 mais velhos do que (o) a data a mais atrasada do arquivo () data do sistema atual |
Produtos para o vendedor selecionado | Antivirus de ClamWin do [checked] O [checked] ClamWin LIVRA o Antivirus |
Atributo | Valor |
Nome | Any_AV_Installed |
Descrição | Verifique todo o AV é instalado |
OS | Windows todo |
Vendedor | QUALQUER UM |
Verifique o tipo | (o) a instalação |
Produtos para o vendedor selecionado | [checked] |
Atributo | Valor |
Nome | Install_ClamWin_AV |
Descrição | A distribuição da relação a ClamWin AV instala o pacote |
Tipo da remediação | Manual |
Contagem de novas tentativas | 0 |
Intervalo | 0 |
URL | SERVER IP>/clamwin-0..97.7-setup.exe de http:// <REM |
Nota: O IP DE SERVIDOR REM representa o IP address de seu server da remediação onde a instalação de ClamWin existe. O arquivo executável neste exemplo PRE-foi posicionado no server da remediação. Para que a remediação trabalhe, assegure-se de que o IP de servidor da atualização de ClamWin esteja incluído no dACL previamente configurado e reoriente-se o ACL.
Atributo | Valor |
Nome | Update_ClamWin_AV_Definitions |
Descrição | Atualizações de assinatura do disparador para ClamWin AV |
Tipo da remediação AV/AS | Atualização da definição AV |
Tipo da remediação | Manual |
Intervalo | 0 |
Contagem de novas tentativas | 0 |
OS | (o) Windows () Mac |
Nome de fornecedor AV | ClamWin |
Nome | OS | Condição | Ação | Mensagem mostrada ao usuário do agente |
Emp_AV_Installed | Windows 7 (tudo) | ClamWin_AV_Installed | Install_ClamWin_AV | (opcional) |
Emp_AV_Current | Windows 7 (tudo) | ClamWin_AV_Current |
Update_ClamWin_AV_ Definições |
(opcional) |
Guest_AV_Installed | Windows todo | Any_AV_Installed | Install_ClamWin_AV | Um programa de Antivirus aprovado não foi detectado em seu PC. Todos os usuários convidado devem ter um programa atual AV instalados antes que o acesso esteja concedido à rede. Se você gostaria de instalar uma versão livre de ClamAV, clique por favor sobre a relação abaixo. |
Nota: Se uma condição preconfigured não indica sob a lista de condições, verifique que o ósmio apropriado esteve selecionado para a condição assim como a regra da exigência. Somente circunstâncias que são as mesmas ou são um subconjunto do ósmio selecionado para o indicador da regra na lista da seleção das circunstâncias.
Ordene o nome | Grupos da identidade | OS | Outras circunstâncias | Requisitos |
Employee_Windows_AV_ Installed_and_Current |
Qualquer um | Windows 7 (todos) | AD1:ExternalGroups IGUALA usuários do Domain Name >/Users/Domain <AD |
AV_Installed (imperativo) AV_Current (imperativo) |
Guest_Windows_AV_ |
Convidado | Windows todo | - |
Guest_AV_Installed (imperativo) |
Este exemplo mostra como assegurar-se de que todos os computadores do empregado com Windows 7 tenham as correções de programa críticas as mais atrasadas instaladas. Os serviços da atualização de Windows Server (WSUS) são controlados internamente.
Atributo | Valor |
Nome | Install_Win_Critical_Updates |
Descrição | Verifique e instale atualizações críticas faltantes de Windows |
Tipo da remediação | Manual |
Valide a utilização das atualizações de Windows | Nível de seriedade |
Windows atualiza o nível de seriedade | Crítico |
Windows atualiza a fonte da instalação | Server controlado |
Ajuste da relação do wizard de instalação | Mostre o UI |
Nota: Se você quer usar regras de Cisco a fim validar a atualização de Windows, crie suas condições da postura, e defina suas condições em etapa 2.
Nome | OS | Condição | Ação | Mensagem mostrada ao usuário do agente |
Win_Critical_Update | Windows 7 (tudo) | pr_WSUSRule | Install_Win_Critical_Updates | (opcional) |
Nota: Você pode encontrar que pr_WSUSRule da circunstância sob Cisco definiu a circunstância > condição composta regular. (Esta é uma regra do manequim escolhida porque Step1 ajustou as atualizações de Windows a ser validadas pelo nível de seriedade.)
Ordene o nome | Grupos da identidade | OS | Outras circunstâncias | Requisitos |
Employee_Windows_latest_ Critical_Patches_Installed |
Qualquer um | Windows 7 (todos) | AD1:ExternalGroups IGUALA usuários do Domain Name >/Users/Domain <AD | Win_Critical_Update |
Esta seção fornece um trecho da configuração de switch. Pretende-se para a referência somente e não se deve ser copiado ou colado em um switch de produção.
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
dot1x system-auth-control
ip radius source-interface Vlan (x)
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-acce ss-req
radius-server attribute 25 access-request include
radius-server host <ISE IP> key <pre shared key>
radius-server vsa send accounting
radius-server vsa send authentication
ip access-list extended permitany
permit ip any any
aaa server radius dynamic-author
client <ISE IP> server-key <pre share d key>
Ip device tracking
Epm logging
Ip http server
Ip http secure server
ip access-list extended ACL-POSTURE-REDIRECT
deny udp any eq bootpc any eq bootps
deny udp any any eq domain
deny udp any host <ISE IP> eq 8905
deny tcp any host <ISE IP> eq 8905
deny tcp any host <ISE IP> eq 8909
deny udp any host <ISE IP> eq 8909
deny tcp any host <ISE IP> eq 8443
deny ip any host <REM SERVER IP>
deny ip any host 192.230.240.8 (one of the ip of CLAMwin database virus Definitions)
permit ip any any
Nota: O IP address do dispositivo de ponto final deve ser alcançável da interface virtual do interruptor (SVI) para que a reorientação trabalhe.
switchport access Vlan xx
switchport voice Vlan yy
switchport mode access
dot1x pae authenticator
authentication port-control auto
authentication host-mode multi-domain
authentication violation restrict
ip access-group permitany in (Note: This is mandatory for dACL for versions of Cisco IOS earlier than Release 12.2(55)SE.)
dot1x timeout tx-period 7
authentication order dot1x mab
authentication priority dot1x mab
mab
Segs. | Ação | Fonte IP/Mask | Destino IP/Mask | Protocolo | Porta de origem | Porta Dest | Sentidos |
1 | licença | Qualquer um | Qualquer um | UDP | DNS | Qualquer um | Qualquer um |
2 | licença | Qualquer um | Qualquer um | UDP | Qualquer um | DNS | Qualquer um |
3 | licença | Qualquer um | <ISE IP> | UDP | Qualquer um | 8905 | Qualquer um |
4 | licença | <ISE IP> | Qualquer um | UDP | 8905 | Qualquer um | Qualquer um |
5 | licença | Qualquer um | <ISE IP> | TCP | Qualquer um | 8905 | Qualquer um |
6 | licença | <ISE IP> | Qualquer um | TCP | 8905 | Qualquer um | Qualquer um |
7 | licença | Qualquer um | <ISE IP> | UDP | Qualquer um | 8909 | Qualquer um |
8 | licença | <ISE IP> | Qualquer um | UDP | 8909 | Qualquer um | Qualquer um |
9 | licença | Qualquer um | <ISE IP> | TCP | Qualquer um | 8909 | Qualquer um |
10 | licença | <ISE IP> | Qualquer um | TCP | 8909 | Qualquer um | Qualquer um |
11 | licença | Qualquer um | <ISE IP> | TCP | Qualquer um | 8443 | Qualquer um |
12 | licença | <ISE IP> | Qualquer um | TCP | 8443 | Qualquer um | Qualquer um |
13 | licença | Qualquer um | SERVER IP> <REM | Qualquer um | Qualquer um | Qualquer um | Qualquer um |
14 | licença | SERVER IP> <REM | Qualquer um | Qualquer um | Qualquer um | Qualquer um | Qualquer um |
15 | licença | 192.230.240.8 | Qualquer um | Qualquer um | Qualquer um | Qualquer um | Qualquer um |
16 | licença | Qualquer um | 192.230.240.8 | Qualquer um | Qualquer um | Qualquer um | Qualquer um |
Para FlexConnect com switching local, você deve criar um FlexConnect ACL, e aplica-o ao WebPolicy ACL. O ACL tem o mesmo nome que o ACL no WLC e tem os mesmos atributos.
Crie um Service Set Identifier (SSID) novo do empregado ou altere atual.
Crie um WLAN novo com o convidado SSID ou altere atual.
Este é o procedimento da postura próprio de uma perspectiva do cliente, uma vez que o cliente conecta aos WLAN configurados previamente.
Este é o procedimento que os usuários executam, uma vez que conectam ao convidado SSID com a postura permitida.
O agente NAC alcança o ponto de decisão de política direito ISE (PDP) em maneiras diferentes, segundo se o host da descoberta está definido:
Escolhendo o host da descoberta, um deve tomar na consideração, que o tráfego inicial do agente NAC para o host da descoberta deve ser visível ao PDP. Assim, as boas escolhas podiam ser: Endereço próprio PDP, host inexistente na mesma sub-rede como Nós PDP.
ip http port 8080
ip port-map http port 8080
config Network web-auth port 8080
Nota: O Switches permite a reorientação em uma porta. Consequentemente, se você especifica uma outra porta para a reorientação do interruptor, a descoberta da postura falha, e o tráfego da postura é enviado ao host da descoberta definido no NACAgentCFG.xml (o perfil do agente NAC).
A reorientação ACL é imperativa para o abastecimento do cliente, a autenticação da Web central, e a descoberta da postura. Contudo, o dACL é usado a fim limitar o acesso de rede e aplicado somente ao tráfego NON-reorientado.
A fim resolver esta situação, você pode:
Se todas estas etapas são bem sucedidas e se seu interruptor ou a configuração WLC seguem com este original, suas próximas etapas devem ser:
Contacte o tac Cisco uma vez que você recolheu a captura de pacote de informação, os logs do agente NAC, o arquivo de configuração de NACAgentCFG, e os logs do visualizador de eventos de Windows.
Se você está usando o 3.0 SP2 WSUS e o agente NAC é incapaz de alcançar atualizações WSUS Windows, verifique que você tem a correção de programa a mais atrasada de WSUS instalada. Esta correção de programa é imperativa para clientes do Windows a fim consultar atualizações de WSUS.
Verifique que você pode alcançar este arquivo: wsus /selfupdate/iuident.cab IP de http://.
Refira o guia passo a passo do 3.0 SP2 dos serviços da atualização de Windows Server para a informação adicional.
Você pode ainda usar server de Windows Update quando você configurar sua regra da remediação da postura.
O cliente deve ser permitido alcançar estes locais, assim que estas URL não devem ser reorientadas:
Você pôde ser tentado criar uma regra da política da autorização essa disparadores na condição de um cliente noncompliant a fim restringir o acesso. Contudo, você não verá que a tentativa de autenticação falha até que o temporizador da remediação expire, especialmente quando você está usando o agente da Web. De fato, o agente observa o descumprimento e começa o temporizador da remediação.
O ISE está notificado que a postura era uma falha somente quando o temporizador da remediação expira ou o cancelamento dos cliques do usuário. Consequentemente, é uma boa prática dar um acesso do padrão a todos os clientes que permita a remediação mas obstrui todo o outro formulário do acesso.
Alguns procedimentos de verificação são incluídos nas seções precedente.
Alguns procedimentos de Troubleshooting são incluídos nas seções precedente.