Microsoft WSUS에서 ISE 버전 1.4 상태 구성
목차
소개
이 문서에서는 Microsoft WSUS(Windows Server Update Services)와 통합된 Cisco ISE(Identity Services Engine) 상태 기능을 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco ISE 구축, 인증 및 권한 부여
- ISE 및 Cisco AnyConnect Posture Agent가 작동하는 방식에 대한 기본 지식
- Cisco ASA(ASA) 구성
- 기본 VPN 및 802.1x 지식
- Microsoft WSUS 구성
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Microsoft Windows 버전 7
- Microsoft Windows 버전 2012(WSUS 버전 6.3 포함)
- Cisco ASA 버전 9.3.1 이상
- Cisco ISE 소프트웨어 버전 1.3 이상
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
이 섹션에서는 ISE 및 관련 네트워크 요소를 구성하는 방법에 대해 설명합니다.
네트워크 다이어그램
다음은 이 문서 전반의 예에 사용되는 토폴로지입니다.
다음은 네트워크 다이어그램에 나와 있는 트래픽 흐름입니다.
- 원격 사용자는 ASA에 대한 VPN 액세스를 위해 Cisco AnyConnect를 통해 연결합니다. 이는 스위치에서 종료되는 802.1x/MAB(MAC Authentication Bypass) 유선 세션 또는 WLC(Wireless LAN Controller)에서 종료되는 무선 세션과 같은 모든 유형의 통합 액세스일 수 있습니다.
- 인증 프로세스의 일부로서 ISE는 엔드 스테이션의 포스처 상태가 규정 준수(ASA-VPN_quarantine 권한 부여 규칙)와 같지 않으며 리디렉션 특성이 Radius Access-Accept 메시지에 반환되는지 확인합니다. 그 결과 ASA는 모든 HTTP 트래픽을 ISE로 리디렉션합니다.
- 사용자가 웹 브라우저를 열고 아무 주소나 입력합니다. ISE로 리디렉션된 후 Cisco AnyConnect 4 상태 모듈이 스테이션에 설치됩니다. 그런 다음 Posture 모듈은 ISE에서 정책을 다운로드합니다(WSUS의 요구 사항).
- Posture 모듈은 Microsoft WSUS를 검색하고 교정을 수행합니다.
- 성공적으로 교정이 완료되면 포스처 모듈은 ISE에 보고서를 전송합니다.
- ISE는 규정 준수 VPN 사용자( 권한 부여 규칙)에 대한 전체 네트워크 액세스를 제공하는 CoA(Radius Change of Authorization)를 실행합니다.
Microsoft WSUS
WSUS 서비스는 표준 TCP 포트 8530을 통해 구축됩니다. 교정을 위해 다른 포트도 사용된다는 점을 기억해야 합니다. 따라서 WSUS의 IP 주소를 ASA의 리디렉션 ACL(Access Control List)에 추가해야 합니다(이 문서의 뒷부분에서 설명).
도메인에 대한 그룹 정책이 Microsoft Windows 업데이트용으로 구성되어 있으며 로컬 WSUS 서버를 가리킵니다.
다음은 서로 다른 심각도를 기반으로 하는 세분화된 정책에 대해 활성화된 권장 업데이트입니다.
클라이언트 측 타겟팅은 훨씬 더 큰 유연성을 제공합니다. ISE는 다른 Microsoft AD(Active Directory) 컴퓨터 컨테이너를 기반으로 하는 포스처 정책을 사용할 수 있습니다. WSUS는 이 구성원 자격을 기반으로 하는 업데이트를 승인할 수 있습니다.
ASA
원격 사용자를 위한 SSL(Simple Secure Sockets Layer) VPN 액세스가 사용됩니다. 자세한 내용은 이 문서의 범위를 벗어납니다.
다음은 컨피그레이션의 예입니다.
interface GigabitEthernet0/0
nameif outside
security-level 10
ip address 172.16.32.100 255.255.255.0
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.31.100 255.255.255.0
aaa-server ISE protocol radius
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE (inside) host 172.16.31.202
key cisco
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
group-policy POLICY internal
group-policy POLICY attributes
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
address-pool POOL-VPN
authentication-server-group ISE
accounting-server-group ISE
default-group-policy POLICY
ip local pool POOL-VPN 172.16.50.50-172.16.50.60 mask 255.255.255.0
ASA에 액세스 목록을 구성하는 것이 중요합니다. 이 액세스 목록은 ISE로 리디렉션해야 하는 트래픽을 결정하는 데 사용됩니다(아직 규정을 준수하지 않은 사용자의 경우).
access-list Posture-redirect extended deny udp any any eq domain
access-list Posture-redirect extended deny ip any host 172.16.31.103
access-list Posture-redirect extended deny ip any host 172.16.31.202
access-list Posture-redirect extended deny icmp any any
access-list Posture-redirect extended permit tcp any any eq www
규정을 준수하지 않는 사용자는 DNS(Domain Name System), ISE, WSUS 및 ICMP(Internet Control Message Protocol) 트래픽만 허용됩니다. 다른 모든 트래픽(HTTP)은 포스처 및 교정을 담당하는 AnyConnect 4 프로비저닝을 위해 ISE로 리디렉션됩니다.
ISE
WSUS에 대한 포스처 교정
WSUS에 대한 포스처 교정을 구성하려면 다음 단계를 완료합니다.
- 새 규칙을 만들기 위해 Policy > Conditions > Posture > Remediation Actions > Windows Server Update Services Remediation으로 이동합니다.
- Microsoft Windows Updates 설정이 Severity Level(심각도 수준)로 설정되어 있는지 확인합니다. 이 부분은 리미디에이션 프로세스가 시작되면 탐지를 담당합니다.
그러면 Microsoft Windows Update Agent가 WSUS에 연결되고 해당 PC에 대한 중요 업데이트가 설치를 대기하는지 확인합니다.
WSUS의 상태 요구 사항
새 규칙을 생성하려면 Policy > Conditions > Posture > Requirements로 이동합니다. 이 규칙은 pr_WSUSRule이라는 더미 조건을 사용하는데, 이는 교정이 필요한 경우 상태를 확인하기 위해 WSUS에 연결됨을 의미합니다(중요 업데이트).
이 조건이 충족되면 WSUS는 해당 PC에 대해 구성된 업데이트를 설치합니다. 여기에는 모든 유형의 업데이트가 포함될 수 있으며, 심각도 수준이 낮은 업데이트도 포함됩니다.
AnyConnect 프로파일
AnyConnect 4 프로파일과 함께 Posture 모듈 프로파일을 구성합니다(ISE 버전 1.3과의 AnyConnect 4.0 통합 컨피그레이션 예시에 설명된 대로).
클라이언트 프로비저닝 규칙
AnyConnect 프로파일이 준비되면 클라이언트 프로비저닝 정책에서 참조할 수 있습니다.
컨피그레이션과 함께 전체 애플리케이션이 엔드포인트에 설치되며, 엔드포인트는 클라이언트 프로비저닝 포털 페이지로 리디렉션됩니다. AnyConnect 4를 업그레이드하고 추가 모듈(상태)을 설치할 수 있습니다.
권한 부여 프로파일
클라이언트 프로비저닝 프로파일로 리디렉션하기 위한 권한 부여 프로파일을 생성합니다.
권한 부여 규칙
이 그림에서는 권한 부여 규칙을 보여줍니다.
처음으로 ASA-VPN_quarantine 규칙이 사용됩니다. 그 결과 Posture 권한 부여 프로파일이 반환되고 엔드포인트가 AnyConnect 4(상태 모듈 포함) 프로비저닝을 위한 클라이언트 프로비저닝 포털로 리디렉션됩니다.
규정을 준수하면 ASA-VPN_compliant 규칙이 사용되며 전체 네트워크 액세스가 허용됩니다.
다음을 확인합니다.
이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하기 위해 사용할 수 있는 정보를 제공합니다.
GPO 정책이 업데이트된 PC
WSUS 컨피그레이션의 도메인 정책은 PC가 도메인에 로그인한 후에 푸시해야 합니다. 이는 VPN 세션이 설정되기 전(대역 외) 또는 로그온 전 시작 기능이 사용된 경우(802.1x 유선/무선 액세스에도 사용 가능) 발생할 수 있습니다.
Microsoft Windows 클라이언트의 구성이 올바르면 Windows Update 설정에서 이를 반영할 수 있습니다.
필요한 경우 GPO(그룹 정책 개체) 새로 고침 및 Microsoft Windows Update 에이전트 서버 검색을 사용할 수 있습니다.
C:\Users\Administrator>gpupdate /force
Updating Policy...
User Policy update has completed successfully.
Computer Policy update has completed successfully.
C:\Users\Administrator>wuauclt.exe /detectnow
C:\Users\Administrator>
WSUS에서 중요 업데이트 승인
승인 프로세스에는 클라이언트 사이트 타겟팅의 이점이 있습니다.
필요한 경우 wuauclt로 보고서를 다시 보냅니다.
WSUS에서 PC 상태 확인
이 그림에서는 WSUS에서 PC 상태를 확인하는 방법을 보여 줍니다.
WSUS를 사용하여 다음 번 새로 고치려면 하나의 업데이트를 설치해야 합니다.
VPN 세션 설정됨
VPN 세션이 설정되면 이 사용되며, 이는 Posture 권한 부여 프로파일을 반환합니다. 따라서 엔드포인트의 HTTP 트래픽은 AnyConnect 4 업데이트 및 포스처 모듈 프로비저닝을 위해 리디렉션됩니다.
이 시점에서 ASA의 세션 상태는 HTTP 트래픽을 ISE로 리디렉션하여 제한된 액세스를 나타냅니다.
asav# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 69
Assigned IP : 172.16.50.50 Public IP : 192.168.10.21
<...some output omitted for clarity...>
ISE Posture:
Redirect URL : https://ise14.example.com:8443/portal/gateway?sessionId=ac101f64000
45000556b6a3b&portal=283258a0-e96e-...
Redirect ACL : Posture-redirec
Posture Module이 ISE로부터 정책을 수신하고 교정을 수행합니다.
상태 모듈은 ISE에서 정책을 수신합니다. ise-psc.log 디버깅은 상태 모듈로 전송되는 요구 사항을 보여줍니다.
2015-06-05 07:33:40,493 DEBUG [portal-http-service12][] cisco.cpm.posture.runtime.
PostureHandlerImpl -:cisco:ac101f6400037000556b40c1:::- NAC agent xml
<?xml version="1.0" encoding="UTF-8"?><cleanmachines>
<version>2</version>
<encryption>0</encryption>
<package>
<id>10</id>
WSUS
<version/>
<description>This endpoint has failed check for any AS installation</description>
<type>10</type>
<optional>0</optional>
42#1
<remediation_type>1</remediation_type>
<remediation_retry>0</remediation_retry>
<remediation_delay>0</remediation_delay>
<action>10</action>
<check>
pr_WSUSCheck
</check>
<criteria/>
</package>
</cleanmachines>
Posture 모듈은 WSUS에 연결하고 WSUS 정책에 구성된 대로 업데이트를 다운로드하도록 Microsoft Windows Update 에이전트를 자동으로 트리거합니다(모두 사용자 작업 없이 자동으로).
전체 네트워크 액세스
스테이션이 AnyConnect Posture 모듈에서 규정 준수로 보고된 후 이 내용이 표시됩니다.
이 보고서는 ISE로 전송되며, ISE는 정책을 재평가하고 권한 부여에 도달합니다. 그러면 (Radius CoA를 통해) 전체 네트워크 액세스가 제공됩니다. 이를 확인하려면 Operations(운영) > Authentications(인증)로 이동합니다.
디버그(ise-psc.log)는 또한 규정 준수 상태, CoA 트리거, 상태에 대한 최종 설정을 확인합니다.
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureManager -:cisco:
ac101f6400039000556b4200:::- Posture report token for endpoint mac
08-00-27-DA-EF-AD is Healthy
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400039000556b4200:::- entering triggerPostureCoA for session
ac101f6400039000556b4200
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:ac
101f6400039000556b4200:::- Posture CoA is scheduled for session id
[ac101f6400039000556b4200]
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:
ac101f6400039000556b4200:::- DM_PKG report non-AUP:html = <!--X-Perfigo-DM-Error=0-->
<!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0-->
<!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0-->
<!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey-->
<!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=-->
<!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter-->
<!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4-->
<!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:DA:EF:AD-->
DEBUG [pool-183-thread-1][]cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400036000556b3f52:::- Posture CoA is triggered for endpoint [08-00-27-da-ef-ad]
with session [ac101f6400039000556b4200]
또한 ISE Detailed Posture Assessment(ISE 세부 포스처 평가) 보고서에서 스테이션이 규정을 준수함을 확인합니다.
문제 해결
현재 이 구성에 사용할 수 있는 문제 해결 정보가 없습니다.
중요 참고 사항
이 섹션에서는 이 문서에서 설명하는 컨피그레이션에 대한 몇 가지 중요한 정보를 제공합니다.
WSUS 교정을 위한 옵션 세부사항
요구 사항 조건을 교정과 구별하는 것이 중요합니다. AnyConnect는 Microsoft Windows Update 에이전트가 Validate Windows updates using remediation(교정 설정을 사용하여 Windows 업데이트 검증)에 따라 규정 준수를 확인하도록 트리거합니다.
이 예에서는 Severity Level이 사용됩니다. 중요 설정을 사용하면 Microsoft Windows 에이전트는 보류 중인(설치되지 않은) 중요 업데이트가 있는지 확인합니다. 있는 경우 교정이 시작됩니다.
그런 다음 리미디에이션 프로세스에서는 WSUS 컨피그레이션(특정 시스템에 대해 승인된 업데이트)에 따라 중요도가 낮은 모든 업데이트를 설치할 수 있습니다.
Cisco Rules로 설정된 Validate Windows updates(Windows 업데이트 검증)를 사용하면 요구 사항에 자세히 설명된 조건에 따라 스테이션이 규정을 준수하는지 여부가 결정됩니다.
Windows Update 서비스
WSUS 서버가 없는 구축의 경우 Windows Update Remediation이라는 다른 리미디에이션 유형을 사용할 수 있습니다.
이 교정 유형을 사용하면 Microsoft Windows Update 설정을 제어할 수 있으며 즉시 업데이트를 수행할 수 있습니다. 이 교정 유형에 사용되는 일반적인 조건은 pc_AutoUpdateCheck입니다. 이렇게 하면 엔드포인트에서 Microsoft Windows Update 설정이 활성화되어 있는지 확인할 수 있습니다. 그렇지 않은 경우 이를 활성화하고 업데이트를 수행할 수 있습니다.
SCCM 통합
패치 관리라고 하는 ISE 버전 1.4의 새로운 기능을 사용하면 여러 서드파티 벤더와 통합할 수 있습니다. 공급업체에 따라 여러 옵션을 조건과 교정 모두에 사용할 수 있습니다.
Microsoft의 경우 SMS(System Management Server) 및 SCCM(System Center Configuration Manager)이 모두 지원됩니다.
관련 정보
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
03-Aug-2015 |
최초 릴리스 |
피드백