Configure o acesso seguro para RA-VPNaaS com SSO Duo e avaliação de postura com ISE

Atualizado:14 de abril de 2024
ID do documento:221887

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar a Avaliação de postura para usuários de VPN de acesso remoto com o Identity Service Engine (ISE) e o Secure Access com Duo.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    Componentes Utilizados

    As informações neste documento são baseadas em: 

    • Patch 1 do Identity Service Engine (ISE) versão 3.3
    • Acesso seguro
    • Cisco Secure Client - Anyconnect VPN versão 5.1.2.42

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    jmorenoc_0-1713124145538

    A integração do Duo SAML com o Cisco Identity Services Engine (ISE) aprimora o processo de autenticação, adicionando outra camada de segurança às soluções Cisco Secure Access. O Duo SAML fornece um recurso de Logon Único (SSO) que simplifica o processo de logon do usuário, garantindo altos padrões de segurança.

    Depois de autenticado por meio do Duo SAML, o processo de autorização é tratado pelo Cisco ISE. Isso permite decisões de controle de acesso dinâmico com base na identidade do usuário e na postura do dispositivo. O ISE pode aplicar políticas detalhadas que determinam quais recursos um usuário pode acessar, quando e de quais dispositivos.

    note-icon

    Observação: para configurar a integração do RADIUS, você precisa se certificar de que haja comunicação entre as duas plataformas.

    Diagrama de Rede

    jmorenoc_0-1713018988379

    Configurar

    note-icon

    Observação: antes de iniciar o processo de configuração, você deve concluir as primeiras etapas com acesso seguro e integração do ISE.

    Configuração Duo

    Para configurar o aplicativo RA-VPN, continue com as próximas etapas: 

    Navegue até o Painel de administração do Duo

    • Navegue até Applications > Protect an Application
    • Procurar Generic SAML Service Provider
    • Clique em  Protect
      •

    jmorenoc_0-1713013559557

    Você deve ter o aplicativo exibido na tela; lembre-se do nome do aplicativo para a configuração da VPN.

    jmorenoc_1-1713013734435

    Neste caso, Generic SAML Service Provider.

    Configuração de acesso seguro

    Configurar o grupo Radius nos pools IP

    Para configurar o perfil de VPN usando Radius, continue com as próximas etapas: 

    Navegue até o Painel do Secure Access.

    • Clique em Connect > Enduser Connectivity > Virtual Private Network
    • Em sua Configuração de Pool (Manage IP Pools), clique emManage
      •

    jmorenoc_0-1710845938808

    • Selecione IP Pool Region e configure o Radius Server
      •

    jmorenoc_1-1710846129191

    • Clique no lápis para editar
      •

    jmorenoc_2-1710846167445

    • Agora, na lista suspensa de configuração da seção IP Pool, em Radius Group (Optional)
    • Clique em Add RADIUS Group
      •

    jmorenoc_3-1710846315886

    jmorenoc_4-1710849365472

    • Em Geral, configure as próximas opções: 
      •

    jmorenoc_6-1710846663676

    • Group Name: Configure um nome para sua integração do ISE no Secure Access
      • AAA method
        • Authentication: Marque a caixa de seleção para Authentication e selecione a porta, por padrão, é 1812
          • Caso sua autenticação exijaMicrosoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2), marque a caixa de seleção
        • Authorization: Marque a caixa de seleção para Authorization e selecione a porta, por padrão, é 1812
          • Marque a caixa de seleção para Authorization mode Only Change of Authorization (CoA) mode epara permitir a postura e as alterações do ISE
        • Accounting: Marque a caixa de seleção para Autorização e selecione a porta, por padrão, é 1813
          • Escolha Single or Simultaneous (em modo simples, os dados de contabilização são enviados para apenas um servidor. No modo simultâneo, contabilizar dados para todos os servidores do grupo)
          • Marque a caixa de seleção de Accounting update para ativar a geração periódica de mensagens de atualização de contabilidade provisória RADIUS.
            •
    ícone de cuidado

    Cuidado: os Authentication Authorization  métodos e, quando selecionados, devem usar a mesma porta.
    • Depois disso, você precisa configurar o RADIUS Servers (ISE) que é usado para autenticar via AAA na seção RADIUS Servers:
    • Clique em + Add
      •

    jmorenoc_1-1710848712359

    • Em seguida, configure as próximas opções:
      •

    jmorenoc_2-1710848760616

    • Server Name: Configure um nome para identificar seu servidor ISE.
    • IP Address: Configure o IP do seu dispositivo Cisco ISE que pode ser acessado por meio do acesso seguro
    • Secret Key: Configure sua chave secreta RADIUS
    • Password: Configure sua senha do Radius
      •
    • Clique Save e atribua seu servidor Radius sob a Assign Server opção e selecione seu servidor ISE:
      •

    jmorenoc_3-1710849288371

    • Clique Save novamente para salvar todas as configurações feitas
      •

    jmorenoc_5-1710849371490

    Agora que você configurou o servidor ISE no pool de IPs, é necessário configurá-lo no VPN Profiles.

    jmorenoc_6-1710849494252

    Configure seu perfil VPN para usar o ISE

    Para configurar o Perfil VPN, navegue até o Painel de Acesso Seguro.

    • Clique em Connect > Enduser Connectivity > Virtual Private Network
    • VPN Profiles Subclique + Add
    • Em seguida, configure as próximas opções:
      •

    Configurações gerais

    jmorenoc_3-1713014373460

    • VPN Profile name: Configure um nome para o seu perfil
    • Default Domain: Configure seu domínio.
    • DNS Server: Escolha o Servidor de Nomes de Domínio (DNS) configurado por você
    • Protocol: Configure os protocolos que você precisa permitir na VPN
    • Connect Time posture: Escolha uma postura ou deixe-a como Nenhuma
      •
    • Depois disso, clique em Next
      •

    Autenticação, autorização e contabilidade

    Autenticação

    jmorenoc_0-1713011742105

    • Authentication
      • Protocols: Escolher SAML
    • Clique em Download Service Provider XML file
    • Substitua as informações no aplicativo configurado na etapa Configuração Duo
      •

    jmorenoc_0-1713131693476

    • Depois de ter configurado essas informações, mude o nome do Duo para algo relacionado à integração que você está fazendo
      •

    jmorenoc_6-1713016715577

    • Clique Save no aplicativo Duo.
    • Ao clicar em Salvar, você deve fazer o download do SAML Metadata clicando no botão Download XML
      •

    jmorenoc_0-1713017686663

    • Carregue o SAML Metadata em Acesso seguro sob a opção 3. Upload IdP security metadata XML file e clique em Next
      •

    jmorenoc_0-1713018462104

    Continue com a autorização.

    note-icon

    Observação: depois de configurar a autenticação com SAML, você a autorizará por meio do ISE, o que significa que o pacote radius enviado pelo Secure Access conterá apenas o nome de usuário. O campo de senha não existe aqui.

    Autorização

    jmorenoc_0-1711999081818

    • Authorization
      • Enable Radius Authorization: Marque a caixa de seleção para habilitar a autorização radius
      • Selecione um grupo para todas as regiões: marque a caixa de seleção para usar um servidor radius específico para todos os pools de acesso remoto - rede virtual privada (RA-VPN) ou defina-o para cada pool separadamente
        •
    • Clique em Next
      •

    Depois de configurar toda a Authorization peça, prossiga com o Accounting.

    note-icon

    Observação: se você não ativar Radio Authorization, a postura não funcionará.

    Relatório

    jmorenoc_1-1712312528497

    • Accounting
      • Map Authorization groups to regions: Escolha as regiões e escolha seu Radius Groups
    • Clique em Next
      •

    After you have done configured the Authentication, Authorization and Accounting continue comTraffic Steering.

    Direção de tráfego

    Sob o controle de tráfego, você precisa configurar o tipo de comunicação por meio do Secure Access.

    jmorenoc_6-1710936151907

    • Se você escolher, todo o tráfego da Internet Connect to Secure Accessserá encaminhado por Secure Access
      •

    jmorenoc_7-1710936570298

    Se você quiser adicionar exclusões para domínios de Internet ou IPs, clique no + Add botão e, em seguida, clique em Next.

    • Se você decidir Bypass Secure Accessfazer isso, todo o tráfego da Internet passará pelo seu provedor de Internet, não peloSecure Access (Sem proteção da Internet)
      •

    jmorenoc_8-1710936817690

    note-icon

    Observação: adicione enroll.cisco.com para postura do ISE ao escolher Bypass Secure Access.

    Nesta etapa, você seleciona todos os recursos de rede privada que deseja acessar por meio da VPN. Para fazer isso, clique em + Add e em Next quando tiver adicionado todos os recursos.

    Configuração do Cisco Secure Client

    jmorenoc_9-1710937260334

    Nesta etapa, você pode manter tudo como padrão e clicar em Save, mas se quiser personalizar mais sua configuração, consulte o Guia do Administrador do Cisco Secure Client.

    jmorenoc_0-1713117827443

    Configurações do ISE

    Configurar lista de dispositivos de rede

    Para configurar a autenticação por meio do Cisco ISE, você precisa configurar os dispositivos permitidos que podem fazer consultas ao Cisco ISE:

    • Navegue até Administration > Network Devices
    • Clique em + Add 
      •

    jmorenoc_1-1710946677593

    • Name: use um nome para identificar o acesso seguro
    • IP  Address: Configure o Management Interface da etapa, Região do pool de IP
    • Device Profile: Escolha a Cisco
      • Radius Authentication Settings
        • Shared Secret: Configure o mesmo segredo compartilhado configurado na etapa, Chave secreta
        • CoA Port: Deixe como padrão; 1700 também é usado no acesso seguro
          •

    Após clicar em Save, para verificar se a integração funciona corretamente, continue para criar um usuário local para verificação da integração.

    Configurar um grupo

    Para configurar um grupo para uso com usuários locais, siga estas etapas:

    • Clique em Administration > Groups
    • Clique em User Identity Groups
    • Clique em + Add
    • Crie um Namepara o grupo e clique em Submit
      •

    jmorenoc_3-1711024425878

    Configurar Usuário Local

    Para configurar um usuário local para verificar sua integração:

    • Navegue até Administration > Identities
    • Clique em Add +
      •

    jmorenoc_1-1710948422749

    jmorenoc_4-1711024871680

    • Username: Configure o nome de usuário com um provisionamento UPN conhecido no Secure Access; isso se baseia na etapa Pré-requisitos
    • Status:Ativo
    • Password Lifetime: Você pode configurá-lo With Expiration ou Never Expires, dependendo de você
    • Login Password: criar uma senha para o usuário
    • User Groups: Escolha o grupo criado na etapa, Configurar um grupo
      •
    note-icon

    Observação: a autenticação baseada em UPN está definida para alteração nas versões futuras do Secure Access.

    Depois disso, você poderá Save fazer a configuração e continuar com a etapa, Configure Policy Set.

    Configurar Conjunto de Políticas

    No conjunto de políticas, configure a ação que o ISE executa durante a autenticação e a autorização. Este cenário demonstra o caso de uso para configurar uma política simples para fornecer acesso ao usuário. Primeiro, o ISE verifica a origem das autenticações RADIUS e se as identidades existem no banco de dados de usuários do ISE para fornecer acesso

    Para configurar essa política, navegue até o painel do Cisco ISE: 

    • Clique em Policy > Policy Sets
    • Clique em + para adicionar um novo conjunto de políticas
      •

    jmorenoc_0-1711010273795

    Nesse caso, crie um novo conjunto de políticas em vez de trabalhar com o padrão. Em seguida, configure a Autenticação e Autorização com base nesse conjunto de políticas. A política configurada permite o acesso ao dispositivo de rede definido na etapa Configurar lista de dispositivos de rede para verificar se essas autenticações vêm CSA Network Device List e, em seguida, entrar na política como Conditions. E, finalmente, os protocolos permitidos, como Default Network Access.

    Para criar o condition que corresponde ao conjunto de políticas, continue com as próximas instruções:

    • Clique em +
    • Na seção Condition Studio, as informações disponíveis incluem: 
      •

    jmorenoc_0-1711021569306

    1. Para criar as Condições, clique em Click to add an attribute
    2. Clique no Network Device botão 
    3. Nas opções atrás, clique em Network Access - Network Device Name opção
    4. Na opção Equals (Iguais), escreva o nome do Network Device na etapa Configure Network Devices List (Configurar lista de dispositivos de rede)
    5. Clique em Save
      6.

    jmorenoc_1-1711022198861

    Essa política apenas aprova a solicitação da origem CSA para continuar o Authentication e a Authorization configuração no conjunto de políticas CSA-ISE, e também verifica os protocolos permitidos com base no Default Network Access para os protocolos permitidos.

    O resultado da política definida deve ser: 

    jmorenoc_0-1711025549049

    • Para verificar o Default Network Access Protocols permitido, continue com as próximas instruções: 
      • Clique emPolicy > Results
      • Clique em Allowed Protocols
      • Clique em Default Network Access
        •

    jmorenoc_0-1711014215626

    • Em seguida, você verá todos os protocolos permitidos em Default Network Access
      •

    Configurar Autorização de Definição de Política

    Para criar a Authorization política na Policy Set, siga as próximas etapas:

    • Clique em >
      •

    jmorenoc_0-1711026477959

    • Depois disso, você verá Authorization as políticas exibidas: 
      •

    jmorenoc_0-1713088241876

    A política é a mesma definida na etapa Configure Policy Set.

    Política de Autorização

    Você pode configurar a política de autorização de várias maneiras. Nesse caso, autorize apenas os usuários no grupo definido na etapa Configurar um Grupo.Consulte o próximo exemplo para configurar sua política de autorização:

    jmorenoc_0-1711036669900

    • Clique em Authorization Policy
    • Clique em + para definir a política de autorização da seguinte forma: 
      •

    jmorenoc_1-1711035368328

    • Para a próxima etapa, altere o Rule Name Conditions e Profiles
    • Ao definir a Name configuração de um nome para identificar facilmente a política de autorização 
    • Para configurar o Condition, clique no botão +
    • Em Condition Studio, você encontrará as informações: 
      •

    jmorenoc_0-1711021569306

    1. Para criar as Condições, clique em Click to add an attribute
    2. Clique no Identity Group botão 
    3. Nas opções atrás, clique em Internal User - IdentityGroup opção
    4. Na Equals opção, use o menu suspenso para localizar o Group aprovado para autenticação na etapa, Configurar um grupo
    5. Clique em Save
    6. Clique em Use
      7.

    jmorenoc_2-1711038033360

    Depois disso, você precisa definir o Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.

    1. Na Authorization Policy, clique no botão suspenso em Profiles
    2. Procurar permissão
    3. Selecionar PermitAccess
    4. Clique em Save
      5.

    jmorenoc_0-1711042542878

    Depois disso, você definiu sua Authorization política. Autentique para verificar se o usuário se conecta sem problemas e se você pode ver os logs no Secure Access e no ISE.

    Para se conectar à VPN, você pode usar o perfil criado no Secure Access e conectar-se através do Secure Client com o perfil do ISE.

    • Como o registro é exibido no Secure Access quando a autenticação é aprovada? 

    jmorenoc_1-1711043530673

    • Como o registro é exibido no ISE quando a autenticação é aprovada?
      • Navegue até a página Cisco ISE Dashboard
      • Clique em Operations > Live Logs
        •

    jmorenoc_1-1713089140132

    Como o registro é exibido no Duo quando a autenticação é aprovada?

    jmorenoc_0-1713114428882

    Configurar usuários locais ou do Ative Diretory do Radius

    Configurar a postura do ISE

    Neste cenário, crie a configuração para verificar a conformidade do endpoint antes de conceder ou negar acesso a recursos internos.

    Para configurá-lo, siga para as próximas etapas:

    Configurar Condições de Postura

    • Navegue até o painel do ISE
    • Clique em Work Center > Policy Elements > Conditions
    • Clique em Anti-Malware
      •
    note-icon

    Observação: lá, você encontrará muitas opções para verificar a postura de seus dispositivos e fazer a avaliação correta com base em suas políticas internas.

    jmorenoc_0-1712056293130

    • Em Anti-Malware Conditions, clique em + Add
      •

    jmorenoc_1-1712056717242

    • Você configura o Anti-Malware Condition para detectar a instalação do antivírus no sistema; você também pode escolher a versão do sistema operacional, se necessário.
      •

    jmorenoc_3-1712057765982

    • Name: use um nome para reconhecer a condição antimalware
    • Operating System: escolha o sistema operacional que você deseja colocar sob a condição
    • Vendor: Escolha um fornecedor ou QUALQUER UM
    • Check Type: você pode verificar se o agente está instalado ou a versão de definição para essa opção.
      •
    • Por Products for Selected Vendorexemplo, você configura o que deseja verificar sobre o antimalware no dispositivo.
      •

    jmorenoc_2-1712058757543

    1. Marque a caixa de seleção das condições que você deseja avaliar
    2. Configurar a versão mínima a ser verificada
    3. Clique em Salvar para continuar com a próxima etapa
      4.

    Depois de configurá-lo, você pode prosseguir com a etapa, Configure Posture Requirements.

    Configurar Requisitos de Postura

    • Navegue até o painel do ISE
    • Clique em Work Center > Policy Elements > Requeriments
    • Clique em um Edit dos requisitos e clique em Insert new Requirement
      •

    jmorenoc_5-1712059702840

    • Sob o novo requisito, configure os próximos parâmetros:
      •

    jmorenoc_6-1712060027113

    • Name: Configure um nome para reconhecer o requisito antimalware
    • Operating System: Escolha o sistema operacional escolhido na etapa de condição Sistema Operacional  
    • Compliance Module: Você precisa certificar-se de selecionar o mesmo módulo de conformidade que você tem sob a etapa de condição, Condição Anti-Malware
    • Posture Type: Escolher agente
    • Conditions: Escolha a condição ou condições que você criou na etapa, Configurar Condições de Postura
    • Remediations Actions: Escolha Message Text Only para este exemplo ou se você tiver outra ação de correção, use-a
    • Clique em Save
      •

    Depois de configurá-lo, você pode prosseguir com a etapa, Configure Posture Policy

    Configurar política de postura

    • Navegue até o painel do ISE
    • Clique em Work Center > Posture Policy
    • Clique em qualquer uma Edit das políticas e clique em Insert new Policy
      •

    jmorenoc_8-1712061474270

    • Na nova política, configure os próximos parâmetros:
      •

    jmorenoc_9-1712061605816

    • Status: Marque a caixa de seleção em habilitar a política
    • Rule Name: Configure um nome para reconhecer a política configurada
    • Identity Groups: escolha as identidades que deseja avaliar
    • Operating Systems: Escolha o sistema operacional com base na condição e no requisito configurado antes
    • Compliance Module: escolha o módulo de conformidade com base na condição e no requisito configurado antes
    • Posture Type: Escolher agente
    • Requeriments: Escolha os requisitos configurados na etapa, Configurar requisitos de postura
    • Clique em Save
      •

    Configurar Provisionamento de Cliente

    Para fornecer aos usuários o módulo ISE, configure o provisionamento do cliente para equipar as máquinas com o módulo de postura ISE. Isso permite verificar a postura do computador depois que o agente é instalado. Para continuar com esse processo, estas são as próximas etapas:

    Navegue até o painel do ISE.

    • Clique em Work Center > Client Provisioning
    • Escolher Resources
      •

    Há três coisas que você precisa configurar no provisionamento de clientes:

    Recursos a serem configurados

    Descrição

    1. Agent Resources

    Pacote de Provisionamento da Web para Cliente Seguro.

    2. Compliance Module

    Módulo de conformidade Cisco ISE

    3. Agent Profile

    Controle do perfil de provisionamento.

    3. Agent Configuration

    Defina quais módulos são provisionados configurando o portal de provisionamento, utilizando o Perfil do agente e os Recursos do agente.

    Step 1 Fazer download e upload de recursos do agente

    • Para adicionar um novo recurso de agente, navegue até o Cisco Download Portal e faça download do pacote de implantação na Web; o arquivo de implantação na Web deve estar no formato .pkg.
      •

    jmorenoc_0-1712069829605

    • Clique + Add > Agent resources from local disk e carregue os pacotes
      •

    jmorenoc_1-1712070024352

    Step 2Faça o download do módulo de conformidade 

    • Clique em + Add > Agent resources from Cisco Site
      •

    jmorenoc_2-1712070363853

    • Marque a caixa de seleção para cada módulo de conformidade necessário e clique em Save
      •

    jmorenoc_4-1712070629600

    Step 3Configurar o perfil do agente

    • Clique em + Add > Agent Posture Profile
      •

    jmorenoc_5-1712070811398

    • Crie um Name para o Posture Profile
      •

    jmorenoc_6-1712070936687

    • Em Regras de nome do servidor, coloque um * e clique Save depois disso
      •

    jmorenoc_7-1712071179823

    Step 4 Configurar a configuração do agente

    • Clique em + Add > Agent Configuration
      •

    jmorenoc_0-1712071678317

    • Depois disso, configure os próximos parâmetros: 
      •

    jmorenoc_2-1712071868425

    jmorenoc_3-1712072698677

    note-icon

    Observação: é recomendável que cada sistema operacional, Windows, Mac OS ou Linux, tenha uma configuração de cliente independente.

    Configurar Política de Provisionamento de Cliente

    Para habilitar o provisionamento da postura do ISE e dos módulos configurados na última etapa, você precisa configurar uma política para fazer o provisionamento.

    • Navegue até o painel do ISE
    • Clique em Work Center > Client Provisioning
      •
    note-icon

    Observação: é recomendável que cada sistema operacional, Windows, Mac OS ou Linux, tenha uma Política de Configuração de Cliente.

    jmorenoc_1-1712076326430

    • Rule Name: configure o nome da política com base no tipo de dispositivo e na seleção do grupo de identidade para ter uma maneira fácil de identificar cada política
    • Identity Groups: escolha as identidades que você deseja avaliar na política
    • Operating Systems: Escolha o sistema operacional com base no pacote de agentes selecionado na etapa, Selecionar pacote de agentes
    • Other Condition: Escolha com Network Access base no Authentication MethodEQUALS para o método configurado na etapa, Adicionar grupo RADIUS ou você pode deixar em branco
    • Result: Escolha a Configuração do agente configurada na Etapa 4 Configurar a configuração do agente 
      • Native Supplicant Configuration: Escolha Config Wizard e Wizard Profile
    • Marque a política como habilitada se ela não estiver listada como habilitada na caixa de seleção.
      •

    Criar os perfis de autorização

    O perfil de autorização limita o acesso aos recursos, dependendo da postura dos usuários após a aprovação da autenticação. A autorização deve ser verificada para determinar quais recursos o usuário pode acessar com base na postura.

    Perfil de Autorização

    Descrição

    Compatível

    Compatível com Usuário - Agente Instalado - Postura Verificada

    Compatível Desconhecido

    Compatível com Usuário Desconhecido - Redirecionar para instalar o agente - Postura Pendente a ser verificada

    NegarAcesso

    Usuário Não Compatível - Negar Acesso

    Para configurar o DACL, navegue até o painel do ISE:

    • Clique em Work Centers > Policy Elements > Downloadable ACLs
    • Clique em +Add
    • Crie o Compliant DACL
      •

    jmorenoc_0-1712081129052

    • Name: Adicione um nome que faça referência ao DACL-Compliant
    • IP version: Escolher IPv4
    • DACL Content: criar uma lista de controle de acesso (DACL) que pode ser baixada e que dá acesso a todos os recursos da rede
      •  
    permit ip any any

    Clique Save e crie a DACL de conformidade desconhecida

    • Clique em Work Centers > Policy Elements > Downloadable ACLs
    • Clique em +Add
    • Crie o Unknown Compliant DACL
      •

    jmorenoc_0-1712099220037

    • Name: Adicione um nome que faça referência ao DACL-Unknown-Compliant
    • IP version: Escolher IPv4
    • DACL Content: Crie um DACL que forneça acesso limitado à rede, DHCP, DNS, HTTP e ao portal de provisionamento pela porta 8443
      •  

    permit udp any any eq 67
permit udp any any eq 68 
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
    note-icon

    Observação: neste cenário, o endereço IP 192.168.10.206 corresponde ao servidor Cisco Identity Services Engine (ISE) e a porta 8443 é designada para o portal de provisionamento. Isso significa que o tráfego TCP para o endereço IP 192.168.10.206 através da porta 8443 é permitido, facilitando o acesso ao portal de provisionamento.

    Neste ponto, você tem a DACL necessária para criar os perfis de autorização.

    Para configurar os perfis de autorização, navegue até o Painel do ISE:

    • Clique em Work Centers > Policy Elements > Authorization Profiles
    • Clique em +Add
    • Crie o Compliant Authorization Profile
      •

    jmorenoc_1-1712082549474

    jmorenoc_2-1712082899311

    • Name: criar um nome que faça referência ao perfil de autorização compatível
    • Access Type: Escolher ACCESS_ACCEPT
      •

    • Common Tasks

    Clique Save e crie o Unknown Authorization Profile

    • Clique em Work Centers > Policy Elements > Authorization Profiles
    • Clique em +Add
    • Crie o Uknown Compliant Authorization Profile
      •

    jmorenoc_0-1712088839422

    jmorenoc_4-1712083492324

    jmorenoc_5-1712083537005

    • Name: criar um nome que faça referência ao perfil de autorização em conformidade desconhecido
    • Access Type: Escolher ACCESS_ACCEPT
      •

    • Common Tasks
      • DACL NAME: Escolha a DACL configurada na etapa DACL em conformidade desconhecida
      • Web Redirection (CWA,MDM,NSP,CPP)
        • Escolher Client Provisioning (Posture)
        • ACL: Deve ser redirect
        • Value: Escolha o portal de provisionamento padrão ou, se você definiu outro, escolha-o
          •
    note-icon

    Observação: o nome da ACL de redirecionamento no Secure Access para todas as implantações é redirect.

    Depois de definir todos esses valores, você deve ter algo semelhante em Attributes Details.

    jmorenoc_6-1712084199808

    Clique Save para encerrar a configuração e continue com a próxima etapa.

    Configurar Conjunto de Políticas de Postura

    Essas três políticas que você cria são baseadas nos perfis de autorização que você configurou; por DenyAccessexemplo, você não precisa criar outra.

    Conjunto de políticas - Autorização

    Perfil de Autorização

    Compatível

    Perfil de Autorização - Compatível

    Compatível Desconhecido

    Perfil de Autorização - Compatível Desconhecido

    Não compatível

    NegarAcesso

    Navegue até o painel do ISE

    • Clique em Work Center > Policy Sets
    • Clique > na para acessar a política criada
      •

    jmorenoc_1-1712090674809

    • Clique no botão Authorization Policy
      •

    jmorenoc_2-1712091082941

    • Crie as três políticas a seguir na próxima ordem:
      •

    jmorenoc_2-1713089820507

    • Clique em + para definir a CSA-Compliance política: 
      •

    jmorenoc_1-1712094048295

    • Para a próxima etapa, altere o Rule Name Conditions e Profiles
    • Ao definir a configuração Name de um nome para CSA-Compliance
    • Para configurar o Condition, clique no botão +
    • Em Condition Studio, você encontrará as informações: 
      •

    jmorenoc_0-1711021569306

    1. Para criar a condição, procure compliant
    2. Você deve ter exibido Compliant_Devices
    3. Arraste e solte sob a Editor
    4. Clique sob o Editor em New
    5. Clique no Identity Group ícone
    6. Escolher Internal User Identity Group
    7. Em Equals, escolha o User Identity Group que deseja corresponder
    8. Clique em Use
      9.

    jmorenoc_3-1713090297134

    • Como resultado, você terá a próxima imagem
      •

    jmorenoc_4-1713090373042

    jmorenoc_5-1713090464792

    Agora você configurou o Compliance Policy Set.

    • Clique em + para definir a CSA-Unknown-Compliance política: 
      •

    jmorenoc_1-1712094048295

    • Para a próxima etapa, altere o Rule Name Conditions e Profiles
    • Ao definir a configuração Name de um nome para CSA-Unknown-Compliance
    • Para configurar o Condition, clique no botão +
    • Em Condition Studio, você encontrará as informações: 
      •

    jmorenoc_0-1711021569306

    1. Para criar a condição, procure compliance
    2. Você deve ter exibido Compliant_Unknown_Devices
    3. Arraste e solte sob a Editor
    4. Clique sob o Editor em New
    5. Clique no Identity Group ícone
    6. Escolher Internal User Identity Group
    7. Em Equals, escolha o User Identity Group que deseja corresponder
    8. Clique em Use
      9.

    jmorenoc_8-1713111885164

    • Como resultado, você terá a próxima imagem
      •

    jmorenoc_1-1713110098186

    jmorenoc_2-1713110170388

    Agora você configurou o Unknown Compliance Policy Set.

    • Clique em + para definir a CSA- Non-Compliant política: 
      •

    jmorenoc_1-1712094048295

    • Para a próxima etapa, altere o Rule Name Conditions e Profiles
    • Ao definir a configuração Name de um nome para CSA-Non-Compliance
    • Para configurar o Condition, clique no botão +
    • Em Condition Studio, você encontrará as informações: 
      •

    jmorenoc_0-1711021569306

    1. Para criar a condição, procure non
    2. Você deve ter exibido Non_Compliant_Devices
    3. Arraste e solte sob a Editor
    4. Clique sob o Editor em New
    5. Clique no Identity Group ícone
    6. Escolher Internal User Identity Group
    7. Em Equals, escolha o User Identity Group que deseja corresponder
    8. Clique em Use
      9.

    jmorenoc_4-1713111663074

    • Como resultado, você terá a próxima imagem
      •

    jmorenoc_7-1713111815517

    • Em Profile clique no botão suspenso e escolha o perfil de autorização de reclamação DenyAccess
      •

    jmorenoc_6-1713111757796

    Quando terminar a configuração dos três perfis, você estará pronto para testar sua integração com a postura.

    Verificar

    Validação de postura

    Conexão na máquina

    Conecte-se ao domínio FQDN RA-VPN fornecido no Secure Access via Secure Client.

    jmorenoc_0-1713119677312

    Observação: nenhum módulo ISE deve ser instalado para esta etapa.

    1. Conecte-se usando o Secure Client.

    jmorenoc_1-1713115266241

    2. Forneça as credenciais para autenticação via Duo.

    jmorenoc_2-1713116363070

    3. Neste ponto, você se conecta à VPN e, provavelmente, será redirecionado para o ISE; caso contrário, tente navegar para http:1.1.1.1.

    jmorenoc_0-1712128718662

    jmorenoc_1-1712128931384

    note-icon

    Observação: neste momento, você está sob autorização - a política define CSA-Unknown-Compliance porque você não tem o ISE Posture Agent instalado na máquina e é redirecionado para o ISE Provisioning Portal para instalar o agente.

    4. Clique em Iniciar para continuar com o provisionamento do agente.

    jmorenoc_2-1712129309765

    5. Clique em + This is my first time here.

    jmorenoc_3-1712129349808

    6. Clique em Click here to download and install agent

    jmorenoc_4-1712129443745

    7. Instalar o agente 

    jmorenoc_5-1712129553975

    jmorenoc_6-1712129612493

    8. Após a instalação do agente, a Postura do ISE começa a verificar a postura atual das máquinas. Se os requisitos da política não forem atendidos, uma janela pop-up será exibida para orientá-lo em relação à conformidade.

    jmorenoc_0-1712133312426

    jmorenoc_2-1713120268916

    Observação: se vocêCancel ou o tempo restante terminar, você se tornará automaticamente não compatível, se enquadra no conjunto de políticas de autorização CSA-Não-Conformidade e será imediatamente desconectado da VPN.

    9. Instale o Secure Endpoint Agent e conecte novamente à VPN.

    jmorenoc_1-1712139472219

    10. Depois que o agente verifica se a máquina está em conformidade, sua postura muda para não receber reclamações e dar acesso a todos os recursos da rede.

    jmorenoc_3-1713120273127

    Observação: depois de se tornar compatível, você se enquadra no conjunto de políticas de autorização CSA-Compliance e tem acesso imediato a todos os seus recursos de rede.

    Como verificar registros no ISE

    Para verificar o resultado da autenticação para um usuário, você tem dois exemplos de conformidade e não conformidade. Para revisá-lo no ISE, siga estas instruções:

    • Navegue até o painel do ISE
    • Clique em Operations > Live Logs
      •

    jmorenoc_5-1713120399965

    O próximo cenário demonstra como os eventos de conformidade e não-conformidade bem-sucedidos são exibidos em Live Logs:

    Conformidade

    jmorenoc_1-1713119682671

    Não-conformidade

    jmorenoc_4-1713120316791

    Primeiras etapas com acesso seguro e integração do ISE

    No próximo exemplo, o Cisco ISE está na rede 192.168.10.0/24, e a configuração das redes alcançáveis através do túnel precisa ser adicionada na configuração do túnel.

    Step 1: Verifique a configuração do túnel:

    Para verificar isso, navegue até o Painel de acesso seguro.

    • Clique em Connect > Network Connections
    • Clique em Network Tunnel Groups > Your Tunnel
      •

    jmorenoc_0-1710843303813

    • Em resumo, verifique se o túnel configurou o espaço de endereço onde o Cisco ISE está:
      •

    jmorenoc_1-1710843349672

    Step 2: permita o tráfego no seu firewall.

    Para permitir o acesso seguro para usar seu dispositivo ISE para autenticação Radius, você precisa ter configurado uma regra de acesso seguro à sua rede com as portas Radius necessárias:

    Regra

    Fonte

    Destino

    Porta de Destino

    ISE para acesso seguro

    Pool de Gerenciamento

    Servidor_ISE

    Pool de IPs de Gerenciamento (RA-VPN)

    COA

    UDP 1700 (porta padrão)

    Pool IP de gerenciamento de acesso seguro para ISE

    Pool de IPs de Gerenciamento

    Servidor_ISE

    Autenticação, autorização

    UDP 1812 (Porta padrão)

    Relatório

    UDP 1813 (Porta padrão)

    Pool de IPs de Ponto de Extremidade de Acesso Seguro para ISE

    Pool de IPs de Ponto de Extremidade

    Servidor_ISE

    Portal de provisionamento

    TCP 8443 (Porta Padrão)

    Pool IP de Ponto de Extremidade de Acesso Seguro para SERVIDOR DNS

    Pool de IPs de Ponto de Extremidade

    Servidor DNS

    DNS

    UDP e TCP 53
    note-icon

    Observação: se quiser saber mais sobre portas relacionadas ao ISE, consulte o Guia do usuário - Referência de porta.
    note-icon

    Observação: uma regra DNS é necessária se você tiver configurado seu ISE para ser descoberto através de um nome, como ise.ciscosspt.es

    Pool de gerenciamento e pools de endpoints IP

    Para verificar o pool de IPs de gerenciamento e endpoint, navegue até o painel de controle de acesso seguro:

    • Clique em Connect > End User Connectivity
    • Clique em Virtual Private Network
    • Sob Manage IP Pools
    • Clique em Manage
      •

    jmorenoc_0-1711547865368

    Etapa 3: Verifique se o ISE está configurado em Recursos privados

    Para permitir que os usuários conectados por meio da VPN naveguem para o ISE Provisioning Portal, você precisa ter certeza de que configurou seu dispositivo como um recurso privado para fornecer acesso, que é usado para permitir o provisionamento automático do ISE Posture Module por meio da VPN.

    Para verificar se você tem o ISE configurado corretamente, navegue até o Painel de acesso seguro:

    • Clique em Resources > Private Resources
    • Clique no ícone ISE Resource
      •

    jmorenoc_4-1711565828988

    jmorenoc_3-1711565592322

    Se necessário, você pode restringir a regra à porta do portal de provisionamento (8443).

    note-icon

    Observação: certifique-se de marcar a caixa de seleção para conexões VPN.

    Etapa 4: Permitir o acesso ao ISE sob a política de acesso

    Para permitir que os usuários conectados por meio da VPN naveguem até ISE Provisioning Portalo, você precisa ter certeza de que configurou um Access Policy para permitir que os usuários configurados sob essa regra acessem o recurso privado configurado no Step3.

    Para verificar se você tem o ISE configurado corretamente, navegue até o Painel de acesso seguro:

    • Clique em Secure > Access Policy
    • Clique na regra configurada para permitir o acesso aos usuários VPN ao ISE
      •

    jmorenoc_5-1711566440621

    Troubleshooting

    Como baixar logs de depuração de postura do ISE

    Para fazer o download dos logs do ISE para verificar um problema relacionado à postura, siga as próximas etapas: 

    • Navegue até o painel do ISE
    • Clique em Operations > Troubleshoot > Debug Wizard
      •

    jmorenoc_0-1712231825165

    • Clique em Debug Profile Configuration
      •

    jmorenoc_2-1712233747829

    • Marcar a caixa de seleção para Posture > Debug Nodes 
      •

    jmorenoc_3-1712234246140

    • Marque a caixa de seleção dos nós do ISE nos quais você está habilitando o modo de depuração para solucionar o problema
      •

    jmorenoc_5-1712234519485

    • Clique em Save
      •

    jmorenoc_6-1712234580107

    ícone de cuidado

    Cuidado: depois desse ponto, você deve começar a reproduzir o problema; the debug logs can affect the performance of your device.

    Depois que o problema for reproduzido, continue com as próximas etapas:

    • Clique em Operations > Download Logs
    • Escolha o nó de onde deseja obter os logs
      •

    jmorenoc_0-1712239150130

    • Em Support Bundle, escolha as próximas opções:
      •

    jmorenoc_4-1712239952864

    • Include debug logs
    • Sob Support Bundle Encryption
      • Shared Key Encryption
        • Preenchimento Encryption key e Re-Enter Encryption key
    • Clique em Create Support Bundle
    • Clique em Download
      •

    jmorenoc_0-1712241946489

    ícone de aviso

    Aviso: Desative o modo de depuração ativado na etapa, Depurar Configuração de Perfil

    Como verificar os registros de acesso remoto seguro

    Navegue até o Painel do Secure Access:

    • Clique em Monitor > Remote Access Logs
      •

    jmorenoc_0-1712247598084

    Gerar pacote DART no cliente seguro

    Para gerar um pacote DART em sua máquina, verifique o próximo artigo: 

    Ferramenta de Diagnóstico e Relatórios do Cisco Secure Client (DART)

    note-icon

    Observação: depois de coletar os logs indicados na seção de solução de problemas, abra um caso com TAC o para continuar com a análise das informações.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    14-Apr-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Jairo Moreno
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos