Configuración de Cisco ISE 3.1 Posture con Linux

Opciones de descarga

  • PDF     (3.1 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (3.2 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.7 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de abril de 2022
ID del documento:217818

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el procedimiento para configurar e implementar una política de estado de archivo para Linux y Identity Services Engine (ISE).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • AnyConnect
    • Identity Services Engine (ISE)
    • Linux

    Componentes Utilizados

     La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Anyconnect 4.10.05085
    • ISE versión 3.1 P1
    • Linux Ubuntu 20.04
    • Switch Cisco Catalyst 3650. Versión 03.07.05.E (15.12(3)E5)

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Configuraciones en ISE

    Paso 1. Actualizar servicio de estado:

    Vaya a Centros de Trabajo > Estado > Configuración > Actualizaciones de Software > Actualizaciones de Estado. Seleccione Actualizar ahora y espere a que finalice el proceso:

    Screen Shot 2022-04-12 at 20.14.16

    Un paquete proporcionado por Cisco es un paquete de software que se descarga desde el sitio Cisco.com, como los paquetes de software de AnyConnect. Un paquete creado por el cliente es un perfil o una configuración que ha creado fuera de la interfaz de usuario de ISE y que desea cargar en ISE para su uso con la evaluación de estado. Para este ejercicio, puede descargar el paquete de implementación web de AnyConnect "anyconnect-linux64-4.10.05085-webDeploy-k9.pkg".

    Nota: Debido a las actualizaciones y los parches, la versión recomendada puede cambiar. Utilice la versión recomendada más reciente del sitio cisco.com.

    Paso 2.Cargue el paquete AnyConnect:

    Desde el centro de trabajo de estado, vaya a Aprovisionamiento de cliente > Recursos

    Picture1

    Paso 3. Seleccione Agregar > Recursos de agente en Disco local

    Resources

    Paso 4. Seleccione Cisco Provided Packages en el menú desplegable Category (Categoría).

    Local Disk

    Paso 5. Haga clic en Examinar.

    Paso 6. Elija uno de los paquetes de AnyConnect que descargó en el paso anterior. Se procesa la imagen de AnyConnect y se muestra la información sobre el paquete

    Pkg

    Paso 7. Haga clic en Submit (Enviar). Ahora que AnyConnect se carga en ISE, puede tener contacto con ISE y obtener los otros recursos de cliente de Cisco.com.

    Nota: Los recursos de agente incluyen los módulos utilizados por AnyConnect Client que proporcionan la capacidad de evaluar el cumplimiento de un terminal para una variedad de comprobaciones de condiciones, como antivirus, antispyware, antimalware, firewall, cifrado de disco, archivo, etc.

    Paso 8. Haga clic en Agregar > Recursos de agente desde el sitio de Cisco. La ventana tardará un minuto en completarse, ya que ISE se pondrá en contacto con Cisco.com y recuperará un manifiesto de todos los recursos publicados para el aprovisionamiento de clientes.

    Resources

    Paso 9. Seleccione los últimos módulos de cumplimiento de AnyConnect para Linux. Además, también puede seleccionar el módulo de cumplimiento para Windows y Mac.

    DownloadR

    Paso 10. Seleccione los agentes temporales más recientes para Windows y Mac.

    Temporal

    Paso 11. Click Save.

    Nota: Las configuraciones de estado de MAC y Windows están fuera del alcance de esta guía de configuración.

    En este momento, ha cargado y actualizado todas las piezas necesarias. Ha llegado el momento de crear la configuración y los perfiles necesarios para utilizar esos componentes.

    Paso 12. Haga clic en Add > NAC Agent o AnyConnect Status Profile.

    AC postureAC Posture2

    Los parámetros que deben modificarse son:

    • Intervalo de detección de VLAN: Esta configuración le permite establecer el número de segundos que el módulo espera entre sondeos para los cambios de VLAN. La recomendación es de 5 segundos.
    • Ping o ARP: Este es el método de detección de cambio de VLAN real. El agente puede hacer ping al gateway predeterminado o monitorear la memoria caché ARP para que la entrada del gateway predeterminado se detenga o ambas. La configuración recomendada es ARP.
    • Temporizador de remediación: Cuando se desconoce el estado de un terminal, éste pasa por un flujo de evaluación de estado. Se tarda tiempo en remediar los errores en las comprobaciones de estado; el tiempo predeterminado es 4 minutos antes de marcar el terminal como no conforme, pero los valores pueden oscilar entre 1 y 300 minutos (5 horas). La recomendación es de 15 minutos; sin embargo, esto puede requerir ajustes si se espera que la remediación tome más tiempo.

    Nota: El estado del archivo Linux no admite la corrección automática.

    Para obtener una descripción completa de todos los parámetros, consulte la documentación de estado de ISE o AnyConnect.

    Paso 13. Comportamiento del agente seleccione Lista de copias de seguridad de sondas de estado y seleccione Elegir, seleccione el FQDN de PSN/Standalone y seleccione Guardar

    PSNs

    Paso 14. En Status Protocols > Discovery Host (Protocolos de estado > Host de detección), defina la dirección IP del nodo PSN/independiente.

    Paso 15. En la lista de servidores de respaldo de Discovery y Select elija, seleccione su FQDN PSN o FQDN independiente y seleccione Select.

    PSNs

    Paso 16. En Reglas de nombre de servidor, escriba * para ponerse en contacto con todos los servidores y definir la dirección IP PSN/Standalone en lista de inicio de llamada. Alternativamente, se puede utilizar un comodín para que coincida con todos los PSN potenciales de la red (es decir, *.acme.com).

    Servername

    Paso 17. Haga clic en Agregar > Configuración de AnyConnect

    ACConfig

    Select

    Desc

    Mod

    Pro

    Desplácese hacia abajo y seleccione Enviar

    Paso 18. Cuando haya terminado de hacer selecciones, haga clic en Enviar.

    Paso 19. Seleccione Centros de Trabajo > Estado > Aprovisionamiento de Cliente > Portales de Aprovisionamiento de Cliente.

    Client Provis

    Paso 20. En la sección Configuración del portal, puede seleccionar la interfaz y el puerto, así como los grupos autorizados a la página Seleccionar empleado, Usuarios SISE y Usuarios de dominio.

    authuse

    Paso 21. En Configuración de inicio de sesión en la página, asegúrese de que la opción Habilitar inicio de sesión automático esté habilitada

    Login

    Paso 22. En la esquina superior derecha, seleccione Guardar

    Paso 23. Seleccione Centros de Trabajo > Estado > Aprovisionamiento de Cliente > Política de Aprovisionamiento de Cliente.

    Paso 24. Haga clic en la flecha hacia abajo junto a la regla IOS en el CPP y elija Duplicar arriba

    Paso 25. Nombre la regla LinuxPosture

    Paso 26. Para Resultados, seleccione AnyConnect Configuration como agente.

    Nota: En este caso, no verá un menú desplegable del módulo de cumplimiento porque está configurado como parte de la configuración de AnyConnect.

    ClientProvisionin

    Paso 27.Haga clic en Finalizado.

    Paso 28. Click Save.

    Elementos de la política de estado

    Paso 29. Seleccione Centros de Trabajo > Estado > Elementos de Política > Condiciones > Archivo. Seleccione Agregar.

    Paso 30.Defina TESTFile como el nombre de la condición de archivo y defina los siguientes valores

    test

    Nota: La ruta se basa en la ubicación del archivo.

    Paso 31. Seleccione Save (Guardar).

    FileExistence.Este tipo de condición de archivo busca ver si existe un archivo en el sistema donde se supone que debe existir, y eso es todo. Con esta opción seleccionada, no hay ningún problema para validar las fechas del archivo, los hash, etc.

    Paso 32. Seleccione Requisitos y cree una nueva política de la siguiente manera:

    Image

    Nota: Linux no admite el texto del mensaje sólo como acción de corrección

    Componentes necesarios

    • Sistema operativo: Linux All
    • Módulo de cumplimiento: 4,x
    • Tipo de estado: AnyConnect
    • Condiciones: Módulos de cumplimiento y agentes (que estarán disponibles después de seleccionar el SO)
    • Acciones de remediación: Remediaciones disponibles para su selección después de haber elegido el resto de condiciones.

    Paso 33. Seleccione Centros de trabajo > Estado > Política de estado

    Paso 34. Seleccione Edit en cualquier política y Seleccione Insert New policy Define LinuxPosturePolicy como el nombre y asegúrese de agregar el requisito creado en el paso 32.

    Screen Shot 2022-04-12 at 20.43.38

    Paso 35. Seleccione Finalizado y Guardar

    Otras configuraciones importantes de estado (sección Configuración general de estado)

    Posture

    Los parámetros importantes de la sección Configuración general de estado son los siguientes:

    • Temporizador de remediación: Esta configuración define la cantidad de tiempo que un cliente tiene para corregir una condición de estado fallida. También hay un temporizador de remediación en la configuración de AnyConnect; este temporizador es para ISE, no para AnyConnect.
    • Estado de estado predeterminado: Esta configuración proporciona el estado de los dispositivos sin el agente de estado o los sistemas operativos que no pueden ejecutar el agente temporal, como los sistemas operativos basados en Linux.
    • Intervalo de monitoreo continuo: Esta configuración se aplica a las condiciones de la aplicación y del hardware que están realizando el inventario del terminal. La configuración especifica la frecuencia con la que AnyConnect debe enviar los datos de supervisión.
    • Política de uso aceptable en modo sigiloso: Las dos únicas opciones para esta configuración son bloquear o continuar. Block evita que los clientes de AnyConnect en modo sigiloso continúen si la AUP no ha sido reconocida. Continue permite que el cliente del modo sigiloso continúe incluso sin reconocer la AUP (que suele ser la intención al utilizar la configuración del modo sigiloso de AnyConnect).

    Configuraciones de reevaluación

    Las reevaluaciones de estado son un componente fundamental del flujo de trabajo de estado. Ha visto cómo configurar el agente de AnyConnect para la reevaluación del estado en la sección "Protocolo de estado". El agente se conecta periódicamente con los PSN definidos en función del temporizador de esa configuración.

    Cuando una solicitud llega al PSN, el PSN determina si se necesita una reevaluación del estado, en función de la configuración de ISE para la función de ese terminal. Si el cliente pasa la reevaluación, el PSN mantiene el estado de cumplimiento de estado del terminal y se restablece el arrendamiento de estado. Si el terminal falla en la reevaluación, el estado cambia a no conforme y se elimina el arrendamiento de estado existente.

    Paso 36. Seleccione Policy > Policy Elements > Results > Authorization > Authorization Profile. Seleccione Agregar

    Paso 37. Defina Wired_Redirect como el Perfil de autorización y configure los siguientes parámetros

    Common Tasks

    Paso 38. Seleccione Save (Guardar).

    Paso 39. Configurar políticas de autorización

    Hay tres reglas de autorización preconfiguradas para el estado:

    1. El primero se configura para que coincida cuando la autenticación se realice correctamente y se desconoce el cumplimiento de un dispositivo.
    2. La segunda regla coincide con las autenticaciones exitosas con los extremos no conformes.

    Nota: Ambas de las dos primeras reglas tienen el mismo resultado, que es utilizar un perfil de autorización preconfigurado que redirige el extremo al portal de aprovisionamiento de clientes.

    1. La regla final coincide con los terminales conformes con la autenticación y el estado y utiliza el perfil de autorización de PermitAccess predefinido.

    Seleccione Policy > Policy Set y seleccione la flecha derecha para Wired 802.1x - MAB Creado en el laboratorio anterior.

    Paso 40. Seleccione Política de autorización y cree las siguientes reglas

    Menu

    Configuraciones en el switch

    Nota: La siguiente configuración se refiere a IBNS 1.0. Puede haber diferencias para los switches compatibles con IBNS 2.0. Incluye la implementación del modo de bajo impacto.

    username <admin> privilege 15 secret <password>
    aaa new-model
    !
    aaa group server radius RAD_ISE_GRP
    server name <isepsnnode_1>
server name 
!
aaa authentication dot1x default group RAD_ISE_GRP
aaa authorization network default group RAD_ISE_GRP
aaa accounting update periodic 5
aaa accounting dot1x default start-stop group RAD_ISE_GRP
aaa accounting dot1x default start-stop group RAD_ISE_GRP
!
aaa server radius dynamic-author
 client  server-key 
 client  server-key 
!
aaa session-id common
!
authentication critical recovery delay 1000
access-session template monitor
epm logging
!
dot1x system-auth-control
dot1x critical eapol
!

# For Access Interfaces:
interface range GigabitEthernetx/y/z - zz
 description VOICE-and-Data
 switchport access vlan 
 switchport mode access
 switchport voice vlan 
 ip access-group ACL_DEFAULT in
 authentication control-direction in # If supported
 authentication event fail action next-method
 authentication host-mode multi-auth
 authentication open
 authentication order dot1x mab
 authentication priority dot1x mab
 authentication port-control auto

 # Enables preiodic re-auth, default = 3,600secs
 authentication periodic
    
 # Configures re-auth and inactive timers to be sent by the server
 authentication timer reauthenticate server
 authentication timer inactivity server
 authentication violation restrict
 mab
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 dot1x pae authenticator
 dot1x timeout tx-period 10
 dot1x timeout server-timeout 10
 dot1x max-req 3
 dot1x max-reauth-req 3
 auto qos trust

# BEGIN - Dead Server Actions -
 authentication event server dead action authorize vlan 
 authentication event server dead action authorize voice
 authentication event server alive action reinitialize
# END - Dead Server Actions -
 spanning-tree portfast
!

# ACL_DEFAULT #
! This ACL can be customized to your needs, this is the very basic access allowed prior
! to authentication/authorization. Normally ICMP, Domain Controller, DHCP and ISE
! http/https/8443 is included. Can be tailored to your needs.
!
ip access-list extended ACL_DEFAULT
 permit udp any eq bootpc any eq bootps
 permit udp any any eq domain
 permit icmp any any
 permit udp any any eq tftp
 permit ip any host 
 permit ip any host 
 permit tcp any host  eq www
 permit tcp any host  eq 443
 permit tcp any host  eq 8443
 permit tcp any host  eq www
 permit tcp any host  eq 443
 permit tcp any host  eq 8443
!
# END-OF ACL_DEFAULT #
!

# ACL_REDIRECT #
! This ACL can be customized to your needs, this ACL defines what is not redirected
! (with deny statement) to the ISE. This ACL is used for captive web portal,
! client provisioning, posture remediation, and so on.
!
ip access-list extended ACL_REDIRECT_AV
 remark Configure deny ip any host  to allow access to 
 deny   udp any any eq domain
 deny   tcp any any eq domain
 deny   udp any eq bootps any
 deny   udp any any eq bootpc
 deny   udp any eq bootpc any
 remark deny redirection for ISE CPP/Agent Discovery
 deny   tcp any host  eq 8443
 deny   tcp any host  eq 8905
 deny   udp any host  eq 8905
 deny   tcp any host  eq 8909
 deny   udp any host  eq 8909
 deny   tcp any host  eq 8443
 deny   tcp any host  eq 8905
 deny   udp any host  eq 8905
 deny   tcp any host  eq 8909
 deny   udp any host  eq 8909
 remark deny redirection for remediation AV servers
 deny   ip any host 
 deny   ip any host 
 remark deny redireciton for remediation Patching servers
 deny   ip any host 
 remark redirect any http/https
 permit tcp any any eq www
 permit tcp any any eq 443
!
# END-OF ACL-REDIRECT #
!
ip radius source-interface 
!
radius-server attribute 6 on-for-login-auth
radius-server attribute 6 support-multiple
radius-server attribute 8 include-in-access-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 55 access-request include
radius-server attribute 25 access-request include
radius-server attribute 31 mac format ietf upper-case
radius-server attribute 31 send nas-port-detail
radius-server vsa send accounting
radius-server vsa send authentication
radius-server dead-criteria time 30 tries 3
!
ip http server
ip http secure-server
ip http active-session-modules none
ip http secure-active-session-modules none
!
radius server 
 address ipv4  auth-port 1812 acct-port 1813
 timeout 10
 retransmit 3
 key 
!
radius server 
 address ipv4  auth-port 1812 acct-port 1813
 timeout 10
 retransmit 3
 key 
!
aaa group server radius RAD_ISE_GRP
 server name 
 server name 
!
mac address-table notification change
mac address-table notification mac-move

    Verificación

    Verificación de ISE:

    Esta sección asume que AnyConnect con el módulo de estado de ISE se ha instalado previamente en el sistema Linux.

    Autenticar PC con dot1x

    Paso 1. Vaya a Network Settings (Parámetros de red)

    dot1

    Paso 2. Seleccione la ficha Seguridad y proporcione la configuración 802.1x y las credenciales de usuario

    Step2

    Paso 3.Haga clic en "Aplicar".

    Paso 4.Conecte el sistema Linux a la red con cables 802.1x y valide en el registro en vivo de ISE:

    Screen Shot 2022-04-12 at 20.47.38

    En ISE, utilice la barra de desplazamiento horizontal para ver información adicional, como el PSN que proporcionó el flujo o el estado de estado:

    Screen Shot 2022-04-12 at 20.48.05

    Paso 5. En el cliente Linux, se debe redireccionar, y presenta el portal de aprovisionamiento del cliente que indica que se produce la verificación de estado y para hacer clic en "Inicio":

    LinuxClient

    Espere unos segundos mientras el conector intenta detectar AnyConnect:

    wait

    Debido a una advertencia conocida, aunque AnyConnect esté instalado, no la detecta. Utilice Alt-Tab o el menú Actividades para cambiar al cliente AnyConnect.

    Caveat

    AnyConnect intenta alcanzar el PSN para la política de estado y evaluar el terminal en su contra.

    PSNPostr

    AnyConnect devuelve la determinación de la política de estado a ISE. En este caso, cumple

    Det

    sucess

    Screen Shot 2022-04-12 at 20.53.40

    Por otra parte, si el archivo no existe, el módulo de estado de AnyConnect informa de la determinación a ISE

    error

    Screen Shot 2022-04-12 at 20.54.47

    Nota: El FQDN de ISE debe resolverse en el sistema Linux a través de DNS o archivo de host local.

    Troubleshoot

    show authentication sessions int fa1/0/35

    Redirigir en su lugar:

    REdirect

    Autorización correcta:

    Autho

    No conforme, se pasa a la VLAN y ACL de cuarentena:

    Non

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    21-Apr-2022
    Versión inicial

    Contribución realizada por

    • Emmanuel Cano
      Ingeniero de consultoría de seguridad de Cisco
    • Homero Ruiz
      Ingeniero de consultoría de seguridad de Cisco
    • Berenice Guerra
      Ingeniero de consultoría técnica de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos