Configurar acesso seguro para avaliação de postura de RA-VPNaaS com ISE

Atualizado:12 de abril de 2024
ID do documento:221882

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar a Avaliação de postura para usuários de VPN de acesso remoto com o Identity Service Engine (ISE) e o Secure Access.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    Componentes Utilizados

    As informações neste documento são baseadas em: 

    • Patch 1 do Identity Service Engine (ISE) versão 3.3
    • Acesso seguro
    • Cisco Secure Client - Anyconnect VPN versão 5.1.2.42

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Acesso seguro - ISE - Diagrama de fluxoAcesso seguro - ISE - Diagrama

    A integração do Cisco Secure Access com o Identity Services Engine (ISE) oferece uma abordagem de segurança abrangente, aproveitando diferentes protocolos de autenticação, incluindo MS-CHAPv2, para proteger as conexões. O Cisco Secure Access, com sua solução Security Service Edge (SSE) avançada, aprimora a conectividade segura em ambientes hiperdistribuídos, oferecendo recursos como VPN as a Service (VPNaaS), que podem ser protegidos usando os recursos do ISE.

    Essa integração permite uma experiência de acesso transparente e segura, permitindo que os usuários se conectem a qualquer aplicativo, em qualquer lugar, com desempenho e segurança otimizados. A utilização dos recursos avançados do Cisco ISE, como a Avaliação de postura, reforça ainda mais esse modelo de segurança ao avaliar a conformidade dos PCs com as políticas internas do usuário antes de permitir o acesso. Isso garante que somente os dispositivos que atendem aos requisitos de segurança da organização possam acessar os recursos da rede, reduzindo o risco de vulnerabilidades.

    note-icon

    Observação: para configurar a integração do RADIUS, você precisa se certificar de que haja comunicação entre as duas plataformas.

    Diagrama de Rede

    Acesso seguro - ISE - Diagrama de rede

    Configurar

    note-icon

    Observação: antes de iniciar o processo de configuração, você deve concluir as primeiras etapas com acesso seguro e integração do ISE.

    Configuração de acesso seguro

    Configurar o grupo Radius nos pools IP

    Para configurar o perfil de VPN usando Radius, continue com as próximas etapas: 

    Navegue até o Painel do Secure Access.

    • Clique em Connect > Enduser Connectivity > Virtual Private Network
    • Em sua Configuração de Pool (Manage IP Pools), clique emManage
      •

    Acesso seguro - Gerenciar pools de IP

    • Selecione IP Pool Region e configure o Radius Server
      •

    Acesso Seguro - POP - Gerenciar Pool de IPs

    • Clique no lápis para editar
      •

    Acesso seguro - Botão Editar

    • Agora, na lista suspensa de configuração da seção IP Pool, em Radius Group (Optional)
    • Clique em Add RADIUS Group
      •

    Acesso seguro - Grupos RADIUS

    Acesso Seguro - Configuração Radius

    • Em Geral, configure as próximas opções: 
      •

    Acesso seguro - Radius AAA

    • Group Name: Configure um nome para sua integração do ISE no Secure Access
      • AAA method
        • Authentication: Marque a caixa de seleção para Authentication e selecione a porta, por padrão, é 1812
          • Caso sua autenticação exijaMicrosoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2), marque a caixa de seleção
        • Authorization: Marque a caixa de seleção para Authorization e selecione a porta, por padrão, é 1812
          • Marque a caixa de seleção para Authorization mode Only Change of Authorization (CoA) mode epara permitir a postura e as alterações do ISE
        • Accounting: Marque a caixa de seleção para Autorização e selecione a porta, por padrão, é 1813
          • Escolha Single or Simultaneous (em modo simples, os dados de contabilização são enviados para apenas um servidor. No modo simultâneo, contabilizar dados para todos os servidores do grupo)
          • Marque a caixa de seleção de Accounting update para ativar a geração periódica de mensagens de atualização de contabilidade provisória RADIUS.
            •
    ícone de cuidado

    Cuidado: os Authentication Authorization  métodos e, quando selecionados, devem usar a mesma porta.
    • Depois disso, você precisa configurar o RADIUS Servers (ISE) que é usado para autenticar via AAA na seção RADIUS Servers:
    • Clique em + Add
      •

    Acesso Seguro - Servidores Radius

    • Em seguida, configure as próximas opções:
      •

    Acesso Seguro - Configuração do Servidor Radius

    • Server Name: Configure um nome para identificar seu servidor ISE.
    • IP Address: Configure o IP do seu dispositivo Cisco ISE que pode ser acessado por meio do acesso seguro
    • Secret Key: Configure sua chave secreta RADIUS
    • Password: Configure sua senha do Radius
      •
    • Clique Save e atribua seu servidor Radius sob a Assign Server opção e selecione seu servidor ISE:
      •

    Servidores Radius - Atribuir Servidores

    • Clique Save novamente para salvar todas as configurações feitas
      •

    Servidores Radius - Servidores Atribuídos

    Agora que você configurou o servidor ISE no pool de IPs, é necessário configurá-lo no VPN Profiles.

    Pool de Gerenciamento - Radius Atribuído

    Configure seu perfil VPN para usar o ISE

    Para configurar o Perfil VPN, navegue até o Painel de Acesso Seguro.

    • Clique em Connect > Enduser Connectivity > Virtual Private Network
    • VPN Profiles Subclique + Add
    • Em seguida, configure as próximas opções:
      •

    Configurações gerais

    Acesso seguro - RA-VPN - Configurações gerais

    • VPN Profile name: Configure um nome para o seu perfil
    • Default Domain: Configure seu domínio.
    • DNS Server: Escolha o Servidor de Nomes de Domínio (DNS) configurado por você
    • Protocol: Configure os protocolos que você precisa permitir na VPN
    • Connect Time posture: Escolha uma postura ou deixe-a como Nenhuma
      •
    • Depois disso, clique em Next
      •

    Autenticação, autorização e contabilidade

    Autenticação

    Acesso seguro - RA-VPN - Autenticação

    • Authentication
      • Protocols: Escolher Radius
      • Map authentication groups to regions: Escolha as regiões e escolha seu Radius Groups
        •
    • Clique em Next
      •
    note-icon

    Observação: Você deve marcar todas as regiões e selecionar os grupos de raios se tiver várias regiões. Se você não fizer isso, o Next botão ficará esmaecido.

    Depois de configurar todas as partes de autenticação, prossiga com a Autorização.

    Autorização

    Acesso seguro - RA-VPN - Autorização

    • Authorization
      • Enable Radius Authorization: Marque a caixa de seleção para habilitar a autorização radius
      • Selecione um grupo para todas as regiões: marque a caixa de seleção para usar um servidor radius específico para todos os pools de acesso remoto - rede virtual privada (RA-VPN) ou defina-o para cada pool separadamente
        •
    • Clique em Next
      •

    Depois de configurar toda a Authorization peça, prossiga com o Accounting.

    note-icon

    Observação: se você não ativar Radio Authorization, a postura não funcionará.

    Relatório

    Acesso seguro - RA-VPN - Contabilidade

    • Accounting
      • Map Authorization groups to regions: Escolha as regiões e escolha seu Radius Groups
    • Clique em Next
      •

    After you have done configured the Authentication, Authorization and Accounting continue comTraffic Steering.

    Direção de tráfego

    Sob o controle de tráfego, você precisa configurar o tipo de comunicação por meio do Secure Access.

    Acesso seguro - RA-VPN - MODO VPN

    • Se você escolher, todo o tráfego da Internet Connect to Secure Accessserá encaminhado por Secure Access
      •

    Acesso seguro - RA-VPN - Conectar-se ao acesso seguro

    Se você quiser adicionar exclusões para domínios de Internet ou IPs, clique no + Add botão e, em seguida, clique em Next.

    • Se você decidir Bypass Secure Accessfazer isso, todo o tráfego da Internet passará pelo seu provedor de Internet, não peloSecure Access (Sem proteção da Internet)
      •

    Secure Access - RA-VPN - All Traffic is Steered outside the Tunnel

    note-icon

    Observação: adicione enroll.cisco.com para postura do ISE ao escolher Bypass Secure Access.

    Nesta etapa, você seleciona todos os recursos de rede privada que deseja acessar por meio da VPN. Para fazer isso, clique em + Add e em Next quando tiver adicionado todos os recursos.

    Configuração do Cisco Secure Client

    Acesso seguro - RA-VPN - Configurações de cliente seguro

    Nesta etapa, você pode manter tudo como padrão e clicar em Save, mas se quiser personalizar mais sua configuração, consulte o Guia do Administrador do Cisco Secure Client.

    Configurações do ISE

    Configurar lista de dispositivos de rede

    Para configurar a autenticação por meio do Cisco ISE, você precisa configurar os dispositivos permitidos que podem fazer consultas ao Cisco ISE:

    • Navegue até Administration > Network Devices
    • Clique em + Add 
      •

    ISE - Lista de dispositivos de rede - CSA

    • Name: use um nome para identificar o acesso seguro
    • IP  Address: Configure o Management Interface da etapa, Região do pool de IP
    • Device Profile: Escolha a Cisco
      • Radius Authentication Settings
        • Shared Secret: Configure o mesmo segredo compartilhado configurado na etapa, Chave secreta
        • CoA Port: Deixe como padrão; 1700 também é usado no acesso seguro
          •

    Após clicar em Save, para verificar se a integração funciona corretamente, continue para criar um usuário local para verificação da integração.

    Configurar um grupo

    Para configurar um grupo para uso com usuários locais, siga estas etapas:

    • Clique em Administration > Groups
    • Clique em User Identity Groups
    • Clique em + Add
    • Crie um Namepara o grupo e clique em Submit
      •

    ISE - Grupo de identidade do usuário

    Configurar Usuário Local

    Para configurar um usuário local para verificar sua integração:

    • Navegue até Administration > Identities
    • Clique em Add +
      •

    ISE - Usuário local

    ISE - Lista de dispositivos de rede

    • Username: Configure o nome de usuário com um provisionamento UPN conhecido no Secure Access; isso se baseia na etapa Pré-requisitos
    • Status:Ativo
    • Password Lifetime: Você pode configurá-lo With Expiration ou Never Expires, dependendo de você
    • Login Password: criar uma senha para o usuário
    • User Groups: Escolha o grupo criado na etapa, Configurar um grupo
      •
    note-icon

    Observação: a autenticação baseada em UPN está definida para alteração nas versões futuras do Secure Access.

    Depois disso, você poderá Save fazer a configuração e continuar com a etapa, Configure Policy Set.

    Configurar Conjunto de Políticas

    No conjunto de políticas, configure a ação que o ISE executa durante a autenticação e a autorização. Este cenário demonstra o caso de uso para configurar uma política simples para fornecer acesso ao usuário. Primeiro, o ISE verifica a origem das autenticações RADIUS e se as identidades existem no banco de dados de usuários do ISE para fornecer acesso

    Para configurar essa política, navegue até o painel do Cisco ISE: 

    • Clique em Policy > Policy Sets
    • Clique em + para adicionar um novo conjunto de políticas
      •

    ISE - Conjunto de políticas

    Nesse caso, crie um novo conjunto de políticas em vez de trabalhar com o padrão. Em seguida, configure a Autenticação e Autorização com base nesse conjunto de políticas. A política configurada permite o acesso ao dispositivo de rede definido na etapa Configurar lista de dispositivos de rede para verificar se essas autenticações vêm CSA Network Device List e, em seguida, entrar na política como Conditions. E, finalmente, os protocolos permitidos, como Default Network Access.

    Para criar o condition que corresponde ao conjunto de políticas, continue com as próximas instruções:

    • Clique em +
    • Na seção Condition Studio, as informações disponíveis incluem: 
      •

    ISE - Estúdio condicional

    1. Para criar as Condições, clique em Click to add an attribute
    2. Clique no Network Device botão 
    3. Nas opções atrás, clique em Network Access - Network Device Name opção
    4. Na opção Equals (Iguais), escreva o nome do Network Device na etapa Configure Network Devices List (Configurar lista de dispositivos de rede)
    5. Clique em Save
      6.

    ISE - Estúdio condicional 2

    Essa política apenas aprova a solicitação da origem CSA para continuar o Authentication e a Authorization configuração no conjunto de políticas CSA-ISE, e também verifica os protocolos permitidos com base no Default Network Access para os protocolos permitidos.

    O resultado da política definida deve ser: 

    ISE - Estúdio condicional 3

    • Para verificar o Default Network Access Protocols permitido, continue com as próximas instruções: 
      • Clique emPolicy > Results
      • Clique em Allowed Protocols
      • Clique em Default Network Access
        •

    ISE - Estúdio condicional 4

    • Em seguida, você verá todos os protocolos permitidos em Default Network Access
      •

    Configurar Autenticação e Autorização do Conjunto de Políticas

    Para criar o Authentication e a Authorization política sob o Policy Set, prossiga com as próximas etapas:

    • Clique em >
      •

    ISE - Conjunto de políticas - CSA ISE

    • Depois disso, você verá as Authentication políticas e Authorization exibidas: 
      •

    ISE - Conjunto de políticas - CSA ISE - Políticas

    Política de autenticação

    Para a política de autenticação, você pode configurar de várias maneiras. Nesse caso, você verá uma política para o dispositivo definido na etapa Configure Network Devices List e verificará a autenticação com base em critérios específicos: 

    • Os usuários autenticados por meio do Network Device CSA têm uma autenticação bem-sucedida ou rejeitada.
      •

    ISE - Conjunto de políticas - CSA ISE - Autenticação

    A política é a mesma definida na etapa Configure Policy Set.

    Política de Autorização

    Você pode configurar a política de autorização de várias maneiras. Nesse caso, autorize apenas os usuários no grupo definido na etapa Configurar um Grupo.Consulte o próximo exemplo para configurar sua política de autorização:

    ISE - Conjunto de políticas - CSA ISE - Autorização

    • Clique em Authorization Policy
    • Clique em + para definir a política de autorização da seguinte forma: 
      •

    ISE - Conjunto de políticas - CSA ISE - Autorização 2

    • Para a próxima etapa, altere o Rule Name Conditions e Profiles
    • Ao definir a Name configuração de um nome para identificar facilmente a política de autorização 
    • Para configurar o Condition, clique no botão +
    • Em Condition Studio, você encontrará as informações: 
      •

    ISE - Estúdio condicional

    1. Para criar as Condições, clique em Click to add an attribute
    2. Clique no Identity Group botão 
    3. Nas opções atrás, clique em Internal User - IdentityGroup opção
    4. Na Equals opção, use o menu suspenso para localizar o Group aprovado para autenticação na etapa, Configurar um grupo
    5. Clique em Save
    6. Clique em Use
      7.

    ISE - Conjunto de políticas - CSA ISE - Autorização 3

    Depois disso, você precisa definir o Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.

    1. Na Authorization Policy, clique no botão suspenso em Profiles
    2. Procurar permissão
    3. Selecionar PermitAccess
    4. Clique em Save
      5.

    ISE - Conjunto de políticas - CSA ISE - Autorização 4

    Depois disso, você definiu sua Authentication Authorization política e. Autentique para verificar se o usuário se conecta sem problemas e se você pode ver os logs no Secure Access e no ISE.

    Para se conectar à VPN, você pode usar o perfil criado no Secure Access e conectar-se através do Secure Client com o perfil do ISE.

    • Como o registro é exibido no Secure Access quando a autenticação é aprovada? 

    Acesso seguro - conectado ao usuário

    • Como o registro é exibido no ISE quando a autenticação é aprovada?
      • Navegue até a página Cisco ISE Dashboard
      • Clique em Operations > Live Logs
        •

    Acesso seguro - registros ao vivo do Radius

    Configurar usuários locais ou do Ative Diretory do Radius

    Configurar a postura do ISE

    Neste cenário, crie a configuração para verificar a conformidade do endpoint antes de conceder ou negar acesso a recursos internos.

    Para configurá-lo, siga para as próximas etapas:

    Configurar Condições de Postura

    • Navegue até o painel do ISE
    • Clique em Work Center > Policy Elements > Conditions
    • Clique em Anti-Malware
      •
    note-icon

    Observação: lá, você encontrará muitas opções para verificar a postura de seus dispositivos e fazer a avaliação correta com base em suas políticas internas.

    ISE - Postura - Condições

    • Em Anti-Malware Conditions, clique em + Add
      •

    ISE - Postura - Condições antimalware

    • Você configura o Anti-Malware Condition para detectar a instalação do antivírus no sistema; você também pode escolher a versão do sistema operacional, se necessário.
      •

    ISE - Postura - Condições antimalware 2

    • Name: use um nome para reconhecer a condição antimalware
    • Operating System: escolha o sistema operacional que você deseja colocar sob a condição
    • Vendor: Escolha um fornecedor ou QUALQUER UM
    • Check Type: você pode verificar se o agente está instalado ou a versão de definição para essa opção.
      •
    • Por Products for Selected Vendorexemplo, você configura o que deseja verificar sobre o antimalware no dispositivo.
      •

    ISE - Postura - Condições antimalware - Condição da linha de base

    1. Marque a caixa de seleção das condições que você deseja avaliar
    2. Configurar a versão mínima a ser verificada
    3. Clique em Salvar para continuar com a próxima etapa
      4.

    Depois de configurá-lo, você pode prosseguir com a etapa, Configure Posture Requirements.

    Configurar Requisitos de Postura

    • Navegue até o painel do ISE
    • Clique em Work Center > Policy Elements > Requeriments
    • Clique em um Edit dos requisitos e clique em Insert new Requirement
      •

    ISE - Postura - Ações corretivas

    • Sob o novo requisito, configure os próximos parâmetros:
      •

    ISE - Postura - Requisitos

    • Name: Configure um nome para reconhecer o requisito antimalware
    • Operating System: Escolha o sistema operacional escolhido na etapa de condição Sistema Operacional  
    • Compliance Module: Você precisa certificar-se de selecionar o mesmo módulo de conformidade que você tem sob a etapa de condição, Condição Anti-Malware
    • Posture Type: Escolher agente
    • Conditions: Escolha a condição ou condições que você criou na etapa, Configurar Condições de Postura
    • Remediations Actions: Escolha Message Text Only para este exemplo ou se você tiver outra ação de correção, use-a
    • Clique em Save
      •

    Depois de configurá-lo, você pode prosseguir com a etapa, Configure Posture Policy

    Configurar política de postura

    • Navegue até o painel do ISE
    • Clique em Work Center > Posture Policy
    • Clique em qualquer uma Edit das políticas e clique em Insert new Policy
      •

    ISE - Inserir nova política

    • Na nova política, configure os próximos parâmetros:
      •

    ISE - Opções de política

    • Status: Marque a caixa de seleção em habilitar a política
    • Rule Name: Configure um nome para reconhecer a política configurada
    • Identity Groups: escolha as identidades que deseja avaliar
    • Operating Systems: Escolha o sistema operacional com base na condição e no requisito configurado antes
    • Compliance Module: escolha o módulo de conformidade com base na condição e no requisito configurado antes
    • Posture Type: Escolher agente
    • Requeriments: Escolha os requisitos configurados na etapa, Configurar requisitos de postura
    • Clique em Save
      •

    Configurar Provisionamento de Cliente

    Para fornecer aos usuários o módulo ISE, configure o provisionamento do cliente para equipar as máquinas com o módulo de postura ISE. Isso permite verificar a postura do computador depois que o agente é instalado. Para continuar com esse processo, estas são as próximas etapas:

    Navegue até o painel do ISE.

    • Clique em Work Center > Client Provisioning
    • Escolher Resources
      •

    Há três coisas que você precisa configurar no provisionamento de clientes:

    Recursos a serem configurados

    Descrição

    1. Agent Resources

    Pacote de Provisionamento da Web para Cliente Seguro.

    2. Compliance Module

    Módulo de conformidade Cisco ISE

    3. Agent Profile

    Controle do perfil de provisionamento.

    3. Agent Configuration

    Defina quais módulos são provisionados configurando o portal de provisionamento, utilizando o Perfil do agente e os Recursos do agente.

    Step 1 Fazer download e upload de recursos do agente

    • Para adicionar um novo recurso de agente, navegue até o Cisco Download Portal e faça download do pacote de implantação na Web; o arquivo de implantação na Web deve estar no formato .pkg.
      •

    CISCO - Implantação da Web

    • Clique + Add > Agent resources from local disk e carregue os pacotes
      •

    ISE - Recursos de agente do disco local

    Step 2Faça o download do módulo de conformidade 

    • Clique em + Add > Agent resources from Cisco Site
      •

    ISE - Recursos de agente do site da Cisco

    • Marque a caixa de seleção para cada módulo de conformidade necessário e clique em Save
      •

    ISE - Download de recursos remotos

    Step 3Configurar o perfil do agente

    • Clique em + Add > Agent Posture Profile
      •

    ISE - Perfil de postura do agente

    • Crie um Name para o Posture Profile
      •

    ISE - Perfil de postura do agente 2

    • Em Regras de nome do servidor, coloque um * e clique Save depois disso
      •

    ISE - Protocolo de postura

    Step 4 Configurar a configuração do agente

    • Clique em + Add > Agent Configuration
      •

    jmorenoc_0-1712071678317

    • Depois disso, configure os próximos parâmetros: 
      •

    jmorenoc_2-1712071868425

    jmorenoc_3-1712072698677

    note-icon

    Observação: é recomendável que cada sistema operacional, Windows, Mac OS ou Linux, tenha uma configuração de cliente independente.

    Configurar Política de Provisionamento de Cliente

    Para habilitar o provisionamento da postura do ISE e dos módulos configurados na última etapa, você precisa configurar uma política para fazer o provisionamento.

    • Navegue até o painel do ISE
    • Clique em Work Center > Client Provisioning
      •
    note-icon

    Observação: é recomendável que cada sistema operacional, Windows, Mac OS ou Linux, tenha uma Política de Configuração de Cliente.

    Habilitando - Redirecionamento de Portal

    • Rule Name: configure o nome da política com base no tipo de dispositivo e na seleção do grupo de identidade para ter uma maneira fácil de identificar cada política
    • Identity Groups: escolha as identidades que você deseja avaliar na política
    • Operating Systems: Escolha o sistema operacional com base no pacote de agentes selecionado na etapa, Selecionar pacote de agentes
    • Other Condition: Escolha com Network Access base no Authentication MethodEQUALS para o método configurado na etapa, Adicionar grupo RADIUS ou você pode deixar em branco
    • Result: Escolha a Configuração do agente configurada na Etapa 4 Configurar a configuração do agente 
      • Native Supplicant Configuration: Escolha Config Wizard e Wizard Profile
    • Marque a política como habilitada se ela não estiver listada como habilitada na caixa de seleção.
      •

    Criar os perfis de autorização

    O perfil de autorização limita o acesso aos recursos, dependendo da postura dos usuários após a aprovação da autenticação. A autorização deve ser verificada para determinar quais recursos o usuário pode acessar com base na postura.

    Perfil de Autorização

    Descrição

    Compatível

    Compatível com Usuário - Agente Instalado - Postura Verificada

    Compatível Desconhecido

    Compatível com Usuário Desconhecido - Redirecionar para instalar o agente - Postura Pendente a ser verificada

    NegarAcesso

    Usuário Não Compatível - Negar Acesso

    Para configurar o DACL, navegue até o painel do ISE:

    • Clique em Work Centers > Policy Elements > Downloadable ACLs
    • Clique em +Add
    • Crie o Compliant DACL
      •

    ISE - DACL - Compatível com CSA

    • Name: Adicione um nome que faça referência ao DACL-Compliant
    • IP version: Escolher IPv4
    • DACL Content: criar uma lista de controle de acesso (DACL) que pode ser baixada e que dá acesso a todos os recursos da rede
      •  
    permit ip any any

    Clique Save e crie a DACL de conformidade desconhecida

    • Clique em Work Centers > Policy Elements > Downloadable ACLs
    • Clique em +Add
    • Crie o Unknown Compliant DACL
      •

    ISE - DACL - CSA-Redirect_To_ISE

    • Name: Adicione um nome que faça referência ao DACL-Unknown-Compliant
    • IP version: Escolher IPv4
    • DACL Content: Crie um DACL que forneça acesso limitado à rede, DHCP, DNS, HTTP e ao portal de provisionamento pela porta 8443
      •  

    permit udp any any eq 67
permit udp any any eq 68 
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
    note-icon

    Observação: neste cenário, o endereço IP 192.168.10.206 corresponde ao servidor Cisco Identity Services Engine (ISE) e a porta 8443 é designada para o portal de provisionamento. Isso significa que o tráfego TCP para o endereço IP 192.168.10.206 através da porta 8443 é permitido, facilitando o acesso ao portal de provisionamento.

    Neste ponto, você tem a DACL necessária para criar os perfis de autorização.

    Para configurar os perfis de autorização, navegue até o Painel do ISE:

    • Clique em Work Centers > Policy Elements > Authorization Profiles
    • Clique em +Add
    • Crie o Compliant Authorization Profile
      •

    ISE - Perfil de autorização - Compatível com CSA

    ISE - Perfil de autorização - Compatível com DACL CSA

    • Name: criar um nome que faça referência ao perfil de autorização compatível
    • Access Type: Escolher ACCESS_ACCEPT
      •

    • Common Tasks

    Clique Save e crie o Unknown Authorization Profile

    • Clique em Work Centers > Policy Elements > Authorization Profiles
    • Clique em +Add
    • Crie o Uknown Compliant Authorization Profile
      •

    ISE - Perfil de autorização - CSA-Compatível com Desconhecido

    ISE - Perfil de autorização - DACL CSA_Redirect_To_ISE

    ISE - Perfil de Autorização - Redirecionamento da Web

    • Name: criar um nome que faça referência ao perfil de autorização em conformidade desconhecido
    • Access Type: Escolher ACCESS_ACCEPT
      •

    • Common Tasks
      • DACL NAME: Escolha a DACL configurada na etapa DACL em conformidade desconhecida
      • Web Redirection (CWA,MDM,NSP,CPP)
        • Escolher Client Provisioning (Posture)
        • ACL: Deve ser redirect
        • Value: Escolha o portal de provisionamento padrão ou, se você definiu outro, escolha-o
          •
    note-icon

    Observação: o nome da ACL de redirecionamento no Secure Access para todas as implantações é redirect.

    Depois de definir todos esses valores, você deve ter algo semelhante em Attributes Details.

    ISE - Perfil de autorização - Detalhes do atributo

    Clique Save para encerrar a configuração e continue com a próxima etapa.

    Configurar Conjunto de Políticas de Postura

    Essas três políticas que você cria são baseadas nos perfis de autorização que você configurou; por DenyAccessexemplo, você não precisa criar outra.

    Conjunto de políticas - Autorização

    Perfil de Autorização

    Compatível

    Perfil de Autorização - Compatível

    Compatível Desconhecido

    Perfil de Autorização - Compatível Desconhecido

    Não compatível

    NegarAcesso

    Navegue até o painel do ISE

    • Clique em Work Center > Policy Sets
    • Clique > na para acessar a política criada
      •

    ISE - Conjunto de políticas - CSA - ISE

    • Clique no botão Authorization Policy
      •

    ISE - Conjunto de políticas - Política de autorização

    • Crie as três políticas a seguir na próxima ordem:
      •

    ISE - Conjunto de políticas - Políticas de autorização

    • Clique em + para definir a CSA-Compliance política: 
      •

    ISE - Conjunto de políticas - Regra de autorização

    • Para a próxima etapa, altere o Rule Name Conditions e Profiles
    • Ao definir a configuração Name de um nome para CSA-Compliance
    • Para configurar o Condition, clique no botão +
    • Em Condition Studio, você encontrará as informações: 
      •

    ISE - Estúdio condicional

    1. Para criar a condição, procure compliant
    2. Você deve ter exibido Compliant_Devices
    3. Arraste e solte sob a Editor
    4. Para criar a segunda condição, procure network
    5. Você deve ter exibido Network_Access_Authentication_Passed
    6. Arraste e solte sob a Editor
    7. Clique sob o Editor em New
    8. Clique no Identity Group ícone
    9. Escolher Internal User Identity Group
    10. Em Equals, escolha o User Identity Group que deseja corresponder
    11. Clique em Use
      12.

    ISE - Conditions Studio - Dispositivos compatíveis

    • Como resultado, você terá a próxima imagem
      •

    ISE - Conditions Studio - Dispositivos compatíveis 2

    ISE - Conditions Studio - Dispositivos compatíveis 3

    Agora você configurou o Compliance Policy Set.

    • Clique em + para definir a CSA-Unknown-Compliance política: 
      •

    ISE - Conjunto de políticas - Regra de autorização

    • Para a próxima etapa, altere o Rule Name Conditions e Profiles
    • Ao definir a configuração Name de um nome para CSA-Unknown-Compliance
    • Para configurar o Condition, clique no botão +
    • Em Condition Studio, você encontrará as informações: 
      •

    ISE - Estúdio condicional

    1. Para criar a condição, procure compliance
    2. Você deve ter exibido Compliant_Unknown_Devices
    3. Arraste e solte sob a Editor
    4. Para criar a segunda condição, procure network
    5. Você deve ter exibido Network_Access_Authentication_Passed
    6. Arraste e solte sob a Editor
    7. Clique sob o Editor em New
    8. Clique no Identity Group ícone
    9. Escolher Internal User Identity Group
    10. Em Equals, escolha o User Identity Group que deseja corresponder
    11. Clique em Use
      12.

    jmorenoc_0-1713112783946

    • Como resultado, você terá a próxima imagem
      •

    ISE - Conditions Studio - Compatível Desconhecido 2

    ISE - Conditions Studio - Compatível Desconhecido 3

    Agora você configurou o Unknown Compliance Policy Set.

    • Clique em + para definir a CSA- Non-Compliant política: 
      •

    ISE - Conjunto de políticas - Regra de autorização

    • Para a próxima etapa, altere o Rule Name Conditions e Profiles
    • Ao definir a configuração Name de um nome para CSA-Non-Compliance
    • Para configurar o Condition, clique no botão +
    • Em Condition Studio, você encontrará as informações: 
      •

    ISE - Estúdio condicional

    1. Para criar a condição, procure non
    2. Você deve ter exibido Non_Compliant_Devices
    3. Arraste e solte sob a Editor
    4. Para criar a segunda condição, procure network
    5. Você deve ter exibido Network_Access_Authentication_Passed
    6. Arraste e solte sob a Editor
    7. Clique sob o Editor em New
    8. Clique no Identity Group ícone
    9. Escolher Internal User Identity Group
    10. Em Equals, escolha o User Identity Group que deseja corresponder
    11. Clique em Use
      12.

    jmorenoc_1-1713112812001

    • Como resultado, você terá a próxima imagem
      •

    ISE - Conditions Studio - Não compatível 2

    • Em Profile clique no botão suspenso e escolha o perfil de autorização de reclamação DenyAccess
      •

    ISE - Conditions Studio - Não compatível 3

    Quando terminar a configuração dos três perfis, você estará pronto para testar sua integração com a postura.

    Verificar

    Validação de postura

    Conexão na máquina

    Conecte-se ao domínio FQDN RA-VPN fornecido no Secure Access via Secure Client.

    Observação: nenhum módulo ISE deve ser instalado para esta etapa.

    1. Conecte-se usando o Secure Client.

    Cliente seguro - Conectar

    2. Forneça as credenciais para autenticação.

    Cliente seguro - Nome de usuário - Senha

    3. Neste ponto, você se conecta à VPN e, provavelmente, será redirecionado para o ISE; caso contrário, tente navegar para http:1.1.1.1.

    Cliente seguro - Conexão VPN

    Cliente seguro - Portal de provisionamento

    note-icon

    Observação: neste momento, você está sob autorização - a política define CSA-Unknown-Compliance porque você não tem o ISE Posture Agent instalado na máquina e é redirecionado para o ISE Provisioning Portal para instalar o agente.

    4. Clique em Iniciar para continuar com o provisionamento do agente.

    Cliente seguro - Verificação de segurança do dispositivo

    5. Clique em + This is my first time here.

    Cliente seguro - Portal de provisionamento - Esta é minha primeira vez aqui

    6. Clique em Click here to download and install agent

    Cliente seguro - Portal de provisionamento - Download

    7. Instalar o agente 

    Cliente seguro - Portal de provisionamento - Download 2

    Cliente seguro - Instalação concluída

    8. Após a instalação do agente, a Postura do ISE começa a verificar a postura atual das máquinas. Se os requisitos da política não forem atendidos, uma janela pop-up será exibida para orientá-lo em relação à conformidade.

    Cliente seguro - Verificação de postura

    note-icon

    Observação: se vocêCancel ou o tempo restante terminar, você se tornará automaticamente não compatível, se enquadra no conjunto de políticas de autorização CSA-Não-Conformidade e será imediatamente desconectado da VPN.

    9. Instale o Secure Endpoint Agent e conecte novamente à VPN.

    Cliente seguro - Processo de verificação de postura

    10. Depois que o agente verifica se a máquina está em conformidade, sua postura muda para não receber reclamações e dar acesso a todos os recursos da rede.

    note-icon

    Observação: depois de se tornar compatível, você se enquadra no conjunto de políticas de autorização CSA-Compliance e tem acesso imediato a todos os seus recursos de rede.

    Como coletar registros no ISE

    Para verificar o resultado da autenticação para um usuário, você tem dois exemplos de conformidade e não conformidade. Para revisá-lo no ISE, siga estas instruções:

    • Navegue até o painel do ISE
    • Clique em Operations > Live Logs
      •

    ISE - Registros em tempo real Radius - Conformidade de postura

    O próximo cenário demonstra como os eventos de conformidade e não-conformidade bem-sucedidos são exibidos em Live Logs:

    Conformidade

    ISE - Registros em tempo real Radius - Conformidade

    Não-conformidade

    ISE - Registros em tempo real Radius - Não conformidade

    Primeiras etapas com acesso seguro e integração do ISE

    No próximo exemplo, o Cisco ISE está na rede 192.168.10.0/24, e a configuração das redes alcançáveis através do túnel precisa ser adicionada na configuração do túnel.

    Step 1: Verifique a configuração do túnel:

    Para verificar isso, navegue até o Painel de acesso seguro.

    • Clique em Connect > Network Connections
    • Clique em Network Tunnel Groups > Your Tunnel
      •

    Acesso seguro - Configuração de túnel

    • Em resumo, verifique se o túnel configurou o espaço de endereço onde o Cisco ISE está:
      •

    Acesso seguro - Configuração de túnel - Intervalo de endereços IP

    Step 2: permita o tráfego no seu firewall.

    Para permitir o acesso seguro para usar seu dispositivo ISE para autenticação Radius, você precisa ter configurado uma regra de acesso seguro à sua rede com as portas Radius necessárias:

    Regra

    Fonte

    Destino

    Porta de Destino

    ISE para acesso seguro

    Pool de Gerenciamento

    Servidor_ISE

    Pool de IPs de Gerenciamento (RA-VPN)

    COA

    UDP 1700 (porta padrão)

    Pool IP de gerenciamento de acesso seguro para ISE

    Pool de IPs de Gerenciamento

    Servidor_ISE

    Autenticação, autorização

    UDP 1812 (Porta padrão)

    Relatório

    UDP 1813 (Porta padrão)

    Pool de IPs de Ponto de Extremidade de Acesso Seguro para ISE

    Pool de IPs de Ponto de Extremidade

    Servidor_ISE

    Portal de provisionamento

    TCP 8443 (Porta Padrão)

    Pool IP de Ponto de Extremidade de Acesso Seguro para SERVIDOR DNS

    Pool de IPs de Ponto de Extremidade

    Servidor DNS

    DNS

    UDP e TCP 53
    note-icon

    Observação: se quiser saber mais sobre portas relacionadas ao ISE, consulte o Guia do usuário - Referência de porta.
    note-icon

    Observação: uma regra DNS é necessária se você tiver configurado seu ISE para ser descoberto através de um nome, como ise.ciscosspt.es

    Pool de gerenciamento e pools de endpoints IP

    Para verificar o pool de IPs de gerenciamento e endpoint, navegue até o painel de controle de acesso seguro:

    • Clique em Connect > End User Connectivity
    • Clique em Virtual Private Network
    • Sob Manage IP Pools
    • Clique em Manage
      •

    Acesso seguro - POP

    Etapa 3: Verifique se o ISE está configurado em Recursos privados

    Para permitir que os usuários conectados por meio da VPN naveguem para o ISE Provisioning Portal, você precisa ter certeza de que configurou seu dispositivo como um recurso privado para fornecer acesso, que é usado para permitir o provisionamento automático do ISE Posture Module por meio da VPN.

    Para verificar se você tem o ISE configurado corretamente, navegue até o Painel de acesso seguro:

    • Clique em Resources > Private Resources
    • Clique no ícone ISE Resource
      •

    Acesso seguro - Recurso privado

    Acesso seguro - Recurso privado - VPN

    Se necessário, você pode restringir a regra à porta do portal de provisionamento (8443).

    note-icon

    Observação: certifique-se de marcar a caixa de seleção para conexões VPN.

    Etapa 4: Permitir o acesso ao ISE sob a política de acesso

    Para permitir que os usuários conectados por meio da VPN naveguem até ISE Provisioning Portalo, você precisa ter certeza de que configurou um Access Policy para permitir que os usuários configurados sob essa regra acessem o recurso privado configurado no Step3.

    Para verificar se você tem o ISE configurado corretamente, navegue até o Painel de acesso seguro:

    • Clique em Secure > Access Policy
    • Clique na regra configurada para permitir o acesso aos usuários VPN ao ISE
      •

    Acesso seguro - Política de acesso

    Troubleshooting

    Como baixar logs de depuração de postura do ISE

    Para fazer o download dos logs do ISE para verificar um problema relacionado à postura, siga as próximas etapas: 

    • Navegue até o painel do ISE
    • Clique em Operations > Troubleshoot > Debug Wizard
      •

    ISE - Assistente de depuração

    • Clique em Debug Profile Configuration
      •

    ISE - Configuração do perfil de depuração

    • Marcar a caixa de seleção para Posture > Debug Nodes 
      •

    ISE - Nós de depuração

    • Marque a caixa de seleção dos nós do ISE nos quais você está habilitando o modo de depuração para solucionar o problema
      •

    ISE - NÓ DE DEPURAÇÃO - Aviso

    • Clique em Save
      •

    ISE - Nós de depuração - Salvar

    ícone de cuidado

    Cuidado: depois desse ponto, você deve começar a reproduzir o problema; the debug logs can affect the performance of your device.

    Depois que o problema for reproduzido, continue com as próximas etapas:

    • Clique em Operations > Download Logs
    • Escolha o nó de onde deseja obter os logs
      •

    ISE - Lista de nós do dispositivo

    • Em Support Bundle, escolha as próximas opções:
      •

    ISE - Incluir logs de depuração

    • Include debug logs
    • Sob Support Bundle Encryption
      • Shared Key Encryption
        • Preenchimento Encryption key e Re-Enter Encryption key
    • Clique em Create Support Bundle
    • Clique em Download
      •

    ISE - Logs de download

    ícone de aviso

    Aviso: Desative o modo de depuração ativado na etapa, Depurar Configuração de Perfil

    Como verificar os registros de acesso remoto seguro

    Navegue até o Painel do Secure Access:

    • Clique em Monitor > Remote Access Logs
      •

    Acesso seguro - Logs de acesso remoto

    Gerar pacote DART no cliente seguro

    Para gerar um pacote DART em sua máquina, verifique o próximo artigo: 

    Ferramenta de Diagnóstico e Relatórios do Cisco Secure Client (DART)

    note-icon

    Observação: depois de coletar os logs indicados na seção de solução de problemas, abra um caso com TAC o para continuar com a análise das informações.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    12-Apr-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Jairo Moreno
      Engenheiro de consultoria técnica
    • Emmanuel Cano Gutierrez
      Serviços profissionais
    • Amit Arora
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos