Konfigurieren von ISE 2.0 und Verschlüsseln der AnyConnect 4.2-Posture BitLocker-Verschlüsselung

Einleitung

In diesem Dokument wird beschrieben, wie die Datenträgerpartition des Endpunkts mithilfe von Microsoft BitLocker verschlüsselt wird und wie die Cisco Identity Services Engine (ISE) konfiguriert wird, um den vollständigen Zugriff auf das Netzwerk zu ermöglichen, nur wenn die richtige Verschlüsselung konfiguriert ist. Die Cisco ISE Version 2.0 unterstützt zusammen mit AnyConnect Secure Mobility Client 4.2 den Status für die Festplattenverschlüsselung.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Konfiguration der Adaptive Security Appliance (ASA) CLI und der Secure Socket Layer (SSL) VPN-Konfiguration
• Konfiguration des Remote Access-VPN auf der ASA
• ISE und Statusservices

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf folgenden Software-Versionen:

• Cisco ASA Software Version 9.2.1 und höher
• Microsoft Windows Version 7 mit Cisco AnyConnect Secure Mobility Client Version 4.2 und höher
• Cisco ISE, Version 2.0 und höher

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Konfigurieren

Netzwerkdiagramm

Es wird wie folgt geströmt:

• Die vom AnyConnect-Client initiierte VPN-Sitzung wird über die ISE authentifiziert. Statusstatus des Endpunkts nicht bekannt, Regel: ASA VPN unbekannt ist betroffen, Sitzung wird zur Bereitstellung an die ISE umgeleitet

• Benutzer öffnet Webbrowser, HTTP-Datenverkehr wird von ASA an ISE umgeleitet Die ISE überträgt die neueste Version von AnyConnect zusammen mit dem Status- und Compliance-Modul an das Endgerät

• Sobald das Statusmodul ausgeführt wurde, überprüft es, ob Partition E: vollständig mit BitLocker verschlüsselt ist. Wenn ja, wird der Bericht an die ISE gesendet, die Radius Change of Authorization (CoA) ohne ACL (vollständiger Zugriff) auslöst.

• VPN-Sitzung auf ASA wird aktualisiert, Umleitungszugriffskontrollliste wird entfernt und Sitzung hat vollen Zugriff

Die VPN-Sitzung wird als Beispiel dargestellt. Die Statusfunktion funktioniert auch bei anderen Zugriffsarten einwandfrei.

ASA

Die Konfiguration erfolgt über SSL VPN-Fernzugriff unter Verwendung von ISE als AAA-Server (Authentication, Authorization, and Accounting). Radius CoA zusammen mit REDIRECT ACL muss konfiguriert werden:

aaa-server ISE20 protocol radius
 authorize-only
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE20 (inside) host 10.48.17.235
 key cisco

tunnel-group TAC type remote-access
tunnel-group TAC general-attributes
 address-pool POOL
authentication-server-group ISE20
 accounting-server-group ISE20
 default-group-policy AllProtocols
tunnel-group TAC webvpn-attributes
 group-alias TAC enable

group-policy AllProtocols internal
group-policy AllProtocols attributes
 vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless

webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-4.2.00096-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 error-recovery disable

access-list REDIRECT extended deny udp any any eq domain 
access-list REDIRECT extended deny ip any host 10.48.17.235 
access-list REDIRECT extended deny icmp any any 
access-list REDIRECT extended permit tcp any any eq www

ip local pool POOL 172.16.31.10-172.16.31.20 mask 255.255.255.0

Weitere Informationen finden Sie unter:

AnyConnect 4.0-Integration mit ISE Version 1.3 - Konfigurationsbeispiel

BitLocker unter Windows 7

Navigieren Sie zu Systemsteuerung > System und Sicherheit > BitLocker-Laufwerkverschlüsselung, und aktivieren Sie E: Partitionsverschlüsselung. Schützen Sie es mit einem Passwort (PIN), wie im Bild gezeigt.

Sobald es verschlüsselt ist, mounten Sie es (mit der Angabe des Passworts) und stellen Sie sicher, dass es zugänglich ist, wie im Bild gezeigt.

Weitere Informationen finden Sie in der Microsoft-Dokumentation:

Schrittweise Anleitung zur Windows BitLocker-Laufwerkverschlüsselung

ISE

Schritt 1: Netzwerkgerät

Navigieren Sie zu Administration > Network Resources > Network Devices, Add ASA with Device Type = ASA. Dies wird in den Autorisierungsregeln als Bedingung verwendet, ist jedoch nicht obligatorisch (andere Arten von Bedingungen können verwendet werden).

Falls erforderlich, ist keine Netzwerkgerätegruppe vorhanden. Navigieren Sie zum Erstellen zu Administration > Network Resources > Network Device Groups (Administration > Netzwerkressourcen > Netzwerkgerätegruppen).

Schritt 2: Statusbedingung und Richtlinien

Stellen Sie sicher, dass die Statusbedingungen aktualisiert wurden: Navigieren Sie zu Administration > System > Settings > Posture > Updates > Update Now.

Navigieren Sie zu Policy > Policy Elements > Conditions > Posture > Disk Encryption Condition, und fügen Sie eine neue Bedingung hinzu, wie im Bild dargestellt.

Diese Bedingung prüft, ob BitLocker für Windows 7 installiert ist und ob die Partition E: vollständig verschlüsselt ist.

Hinweis: BitLocker ist eine Verschlüsselung auf Festplattenebene und unterstützt kein spezifisches Location-Argument mit Pfad, nur Laufwerkbuchstaben.

Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Status > Anforderungen, um eine neue Anforderung zu erstellen, die die im Bild gezeigte Bedingung verwendet.

Navigieren Sie zu Richtlinie > Status, fügen Sie eine Bedingung für alle Windows hinzu, um die Anforderung wie im Bild dargestellt zu verwenden.

Schritt 3: Ressourcen und Richtlinien für die Client-Bereitstellung

Navigieren Sie zu Policy > Policy Elements > Client Provisioning > Resources (Richtlinie > Richtlinienelemente > Client-Bereitstellung > Ressourcen), laden Sie das Compliance Module von Cisco.com herunter, und laden Sie das AnyConnect 4.2-Paket manuell hoch, wie im Bild dargestellt.

Navigieren Sie zu Add > NAC Agent or AnyConnect Posture Profile, erstellen Sie ein AnyConnect Posture-Profil (Name: AnyConnectPosture) mit Standardeinstellungen.

Navigieren Sie zu Add > AnyConnect Configuration, und fügen Sie das AnyConnect-Profil (Name: AnyConnect Configuration) hinzu, wie im Bild dargestellt.

Navigieren Sie zu Policy > Client Provisioning, und ändern Sie die Standardrichtlinie für Windows, um das konfigurierte AnyConnect-Profil wie im Bild dargestellt zu verwenden.

Schritt 4: Autorisierungsregeln

Navigieren Sie zu Policy > Policy Elements > Results > Authorization, und fügen Sie ein Autorisierungsprofil (Name: RedirectForPosture) hinzu, das zu einem standardmäßigen Client-Bereitstellungsportal umgeleitet wird, wie im Bild dargestellt.

Die REDIRECT-ACL ist auf der ASA definiert.

Navigieren Sie zu Policy > Authorization (Richtlinie > Autorisierung), und erstellen Sie 3 Autorisierungsregeln, wie im Bild dargestellt.

Wenn der Endpunkt die Vorgaben erfüllt, ist vollständiger Zugriff möglich. Wenn der Status unbekannt oder nicht konform ist, wird die Umleitung für die Client-Bereitstellung zurückgegeben.

Überprüfung

Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Schritt 1: Einrichtung von VPN-Sitzungen

Nach dem Aufbau der VPN-Sitzung möchte die ASA möglicherweise ein Upgrade der AnyConnect-Module durchführen, wie im Image gezeigt.

Auf der ISE wird die letzte Regel getroffen, als Ergebnis werden RedirectForPosture-Berechtigungen wie im Bild dargestellt zurückgegeben.

Nach Abschluss der VPN-Sitzung meldet die ASA, dass eine Umleitung erfolgen muss:

ASAv# show vpn-sessiondb detail anyconnect 

Session Type: AnyConnect Detailed

Username     : cisco                  Index        : 32
Assigned IP  : 172.16.31.10           Public IP    : 10.61.90.226
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES256  DTLS-Tunnel: (1)AES256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 53201                  Bytes Rx     : 122712
Pkts Tx      : 134                    Pkts Rx      : 557
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : AllProtocols           Tunnel Group : TAC
Login Time   : 21:29:50 UTC Sat Nov 14 2015
Duration     : 0h:56m:53s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : c0a80101000200005647a7ce
Security Grp : none

<some output omitted for clarity>

ISE Posture:
  Redirect URL : https://mgarcarz-ise20.example.com:8443/portal/gateway?sessionId=&portal=0d2ed780-6d90-11e5-978e-00505...
  Redirect ACL : REDIRECT

Schritt 2: Client-Bereitstellung

Zu diesem Zeitpunkt wird der Datenverkehr des Endpunkt-Webbrowsers zur Client-Bereitstellung an die ISE umgeleitet (siehe Abbildung).

Bei Bedarf wird AnyConnect zusammen mit dem Posture and Compliance-Modul wie im Bild dargestellt aktualisiert.

Schritt 3: Statusüberprüfung und CoA

Das Statusmodul wird ausgeführt, die ISE wird ermittelt (möglicherweise ist für enroll.cisco.com ein DNS-A-Eintrag erforderlich), die Statusbedingungen werden heruntergeladen und geprüft, wie im Bild dargestellt.

Nachdem bestätigt wurde, dass die E:-Partition vollständig mit BitLocker verschlüsselt ist, wird der richtige Bericht an die ISE gesendet, wie im Bild gezeigt.

Dadurch veranlasst CoA die erneute Autorisierung der VPN-Sitzung, wie im Bild gezeigt.

ASA entfernt die Umleitungs-ACL, die vollständigen Zugriff ermöglicht. AnyConnect meldet die Konformität, wie im Bild gezeigt.

Zudem können detaillierte Berichte zur ISE bestätigen, dass beide Bedingungen erfüllt sind (Statusüberprüfung nach Bedingung ist der neue ISE 2.0-Bericht, der alle Bedingungen zeigt). Die erste Bedingung (hd_inst_BitLockerDriveEncryption_6_x) prüft die Installation/den Prozess, die zweite (hd_loc_bitlocker_specific_1) prüft, ob ein bestimmter Speicherort (E:) vollständig verschlüsselt ist, wie im Abbild dargestellt.

Der Bericht ISE Posture Assessment by Endpoint bestätigt, dass alle Bedingungen erfüllt sind, wie im Bild gezeigt.

Dasselbe kann von ise-psc.log-Debugs bestätigt werden. Statusanforderung, die von der ISE empfangen wurde, und Antwort:

2015-11-14 14:59:01,963 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -::c0a801010001700056473ebe:::- Received posture request [parameters: reqtype=validate, userip=10.62.145.44, clientmac=08-00-27-81-50-86, os=WINDOWS, osVerison=1.2.1.6.1.1, architecture=9, provider=Device Filter, state=, ops=1, avpid=, avvname=Microsoft Corp.:!::!::!:, avpname=Windows Defender:!::!::!:, avpversion=6.1.7600.16385:!::!::!:, avpfeature=AS:!::!::!:, userAgent=Mozilla/4.0 (compatible; WINDOWS; 1.2.1.6.1.1; AnyConnect Posture Agent v.4.2.00096), session_id=c0a801010001700056473ebe
2015-11-14 14:59:01,963 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Creating a new session info for mac 08-00-27-81-50-86
2015-11-14 14:59:01,963 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Turning on enryption for endpoint with mac 08-00-27-81-50-86 and os WINDOWS, osVersion=1.2.1.6.1.1
2015-11-14 14:59:01,974 DEBUG  [portal-http-service28][] cpm.posture.runtime.agent.AgentXmlGenerator -:cisco:c0a801010001700056473ebe:::- Agent criteria for rule [Name=bitlocker, Description=, Operating Systems=[Windows All], Vendor=com.cisco.cpm.posture.edf.AVASVendor@96b084e, Check Type=Installation, Allow older def date=0, Days Allowed=Undefined, Product Name=[com.cisco.cpm.posture.edf.AVASProduct@44870fea]] -  (  ( (hd_inst_BitLockerDriveEncryption_6_x) )  & (hd_loc_bitlocker_specific_1) )

Die Antwort mit den Statusanforderungen (Zustand + Behebung) ist im XML-Format:

2015-11-14 14:59:02,052 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- NAC agent xml <?xml version="1.0" encoding="UTF-8"?><cleanmachines>
  <version>2</version>
  <encryption>0</encryption>
  <package>
    <id>10</id>
    
       
       
         Bitlocker 
       
    <version/>
    
       
       
         Bitlocker encryption not enabled on the endpoint. Station not compliant. 
       
    <type>3</type>
    <optional>0</optional>
    <action>3</action>
    <check>
      <id>hd_loc_bitlocker_specific_1</id>
      <category>10</category>
      <type>1002</type>
      <param>180</param>
      
       
       
         E: 
       
      
       
       
         full 
       
      <value_type>2</value_type>
    </check>
    <check>
      
       
       
         hd_inst_BitLockerDriveEncryption_6_x 
       
      <category>10</category>
      <type>1001</type>
      <param>180</param>
      <operation>regex match</operation>
      <value>^6\..+$|^6$</value>
      <value_type>3</value_type>
    </check>
    <criteria>( (  ( (hd_inst_BitLockerDriveEncryption_6_x) )  &amp; (hd_loc_bitlocker_specific_1) ) )</criteria>
  </package>
</cleanmachines>

Nach Empfang des verschlüsselten Berichts durch die ISE:

2015-11-14 14:59:04,816 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Decrypting report
2015-11-14 14:59:04,817 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Decrypted report [[ <report><version>1000</version><encryption>0</encryption><key></key><os_type>WINDOWS</os_type><osversion>1.2.1.6.1.1</osversion><build_number>7600</build_number><architecture>9</architecture><user_name>[device-filter-AC]</user_name><agent>x.y.z.d-todo</agent><sys_name>ADMIN-KOMPUTER</sys_name><sys_user>admin</sys_user><sys_domain>n/a</sys_domain><sys_user_domain>admin-Komputer</sys_user_domain><av><av_vendor_name>Microsoft Corp.</av_vendor_name><av_prod_name>Windows Defender</av_prod_name><av_prod_version>6.1.7600.16385</av_prod_version><av_def_version>1.141.3676.0</av_def_version><av_def_date>01/11/2013</av_def_date><av_prod_features>AS</av_prod_features></av><package><id>10</id><status>1</status><check><chk_id>hd_loc_bitlocker_specific_1</chk_id>
       
       
         1 
       </check><check><chk_id>hd_inst_BitLockerDriveEncryption_6_x</chk_id><chk_status>1></check></package></report> ]]

2015-11-14 14:59:04,823 INFO   [portal-http-service28][] cisco.cpm.posture.runtime.PostureManager -:cisco:c0a801010001700056473ebe:::- Posture state is compliant for endpoint with mac 08-00-27-81-50-86
2015-11-14 14:59:06,825 DEBUG  [pool-5399-thread-1][] cisco.cpm.posture.runtime.PostureCoA -:cisco:c0a801010000f0005647358b:::- Posture CoA is triggered for endpoint [08-00-27-81-50-86] with session [c0a801010001700056473ebe

2015-11-14 14:59:04,827 DEBUG  [portal-http-service28][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a801010001700056473ebe:::- Sending response to endpoint 08-00-27-81-50-86 http response [[ <!--X-Perfigo-DM-Error=0--><!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0--><!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0--><!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey--><!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=--><!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter--><!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4--><!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:81:50:86--> ]]

Date        : 11/14/2015
Time        : 14:58:41
Type        : Warning
Source      : acvpnui

Description : Function: Module::UpdateControls
File: .\Module.cpp
Line: 344
No matching element found for updating: [System Scan], [label], [nac_panel_message_history], [Scanning system ... ] 

******************************************

Date        : 11/14/2015
Time        : 14:58:43
Type        : Warning
Source      : acvpnui

Description : Function: Module::UpdateControls
File: .\Module.cpp
Line: 344
No matching element found for updating: [System Scan], [label], [nac_panel_message_history], [Checking requirement 1 of 1. ]

******************************************

Date        : 11/14/2015
Time        : 14:58:46
Type        : Warning
Source      : acvpnui

Description : Function: CNacApiShim::PostureNotification
File: .\NacShim.cpp
Line: 461
Clearing Posture List.

     14:41:59    Searching for policy server.
     14:42:03    Checking for product updates...
     14:42:03    The AnyConnect Downloader is performing update checks...
     14:42:04    Checking for profile updates...
     14:42:04    Checking for product updates...
     14:42:04    Checking for customization updates...
     14:42:04    Performing any required updates...
     14:42:04    The AnyConnect Downloader updates have been completed.
     14:42:03    Update complete.
     14:42:03    Scanning system ... 
     14:42:05    Checking requirement 1 of 1. 
     14:42:05    Updating network settings. 
     14:42:10    Compliant.