Configureer ISE 2.1 en AnyConnect 4.3 houding USB-controle

Downloadopties

  • PDF     (2.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.7 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.2 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:7 juni 2016
Document-id:200508

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u de Cisco Identity Services Engine (ISE) kunt configureren om alleen volledige toegang tot het netwerk te bieden wanneer grote USB-opslagapparaten worden losgekoppeld.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • Basiskennis van de CLI-configuratie van adaptieve security applicatie (ASA) en de configuratie van Secure Socket Layer (SSL) VPN
  • Basiskennis van de configuratie van VPN voor externe toegang op de ASA
  • Basiskennis van ISE en posterijen

Gebruikte componenten

Cisco Identity Services Engine (ISE) versie 2.1, samen met AnyConnect Secure Mobility Client 4.3, ondersteunt massaopslagcontrole en -herstel met USB. De informatie in dit document is gebaseerd op de volgende softwareversies:

  • Cisco ASA-softwareversies 9.2(4) en hoger
  • Microsoft Windows versie 7 met Cisco AnyConnect Secure Mobility Client versie 4.3 en hoger
  • Cisco ISE, release 2.1 en hoger

Configureren

Netwerkdiagram

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-00.png

De stroom is als volgt:

  • Gebruiker is nog niet verbonden met VPN, private USB Mass Storage apparaat is aangesloten en inhoud is beschikbaar voor de gebruiker
  • VPN-sessie die is geïnitieerd door AnyConnect-client is geverifieerd via ISE. Positie status van het eindpunt is niet bekend, regel "Posture_Unknown" wordt geraakt en als gevolg daarvan zal de sessie worden omgeleid naar de ISE
  • De USB-controles introduceren een nieuwe klasse van controles in AC ISE-houding, in die zin dat ze het eindpunt continu zullen bewaken zolang het in hetzelfde ISE-gecontroleerde netwerk blijft.De enige logische herstelactie die beschikbaar is is om de USB-apparaten te blokkeren die worden geïdentificeerd door hun stationsaanduiding
  • VPN-sessie op ASA wordt bijgewerkt, omleiden van ACL wordt verwijderd en volledige toegang wordt verleend

Een VPN-sessie is alleen maar als voorbeeld gepresenteerd. Posture functionaliteit werkt prima ook voor andere soorten van de toegang.

ASA

ASA wordt geconfigureerd voor externe SSL VPN-toegang met ISE als AAA-server. Radius CoA moet samen met omgeleid ACL worden geconfigureerd:

aaa-server ISE21 protocol radius
 authorize-only
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE21 (outside) host 10.48.23.88
 key cisco



tunnel-group RA type remote-access
tunnel-group RA general-attributes
 address-pool POOL
 authentication-server-group ISE21
 accounting-server-group ISE21
 default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
 group-alias RA enable



webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-4.3.00520-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 error-recovery disable
group-policy GP-SSL internal
group-policy GP-SSL attributes
 dns-server value 10.62.145.72
 vpn-tunnel-protocol ssl-client



access-list ACL_WEBAUTH_REDIRECT extended deny udp any any eq domain 
access-list ACL_WEBAUTH_REDIRECT extended deny ip any host 10.48.23.88 
access-list ACL_WEBAUTH_REDIRECT extended deny icmp any any 
access-list ACL_WEBAUTH_REDIRECT extended permit tcp any any

Zie voor meer informatie:

Configuratie-voorbeeld van AnyConnect 4.0 met ISE-versie 1.3

ISE

Stap 1. Netwerkapparaat configureren

Van Beheer > Netwerkbronnen > Netwerkapparaten > ASA toevoegen.

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-01.png

Stap 2. Postervoorwaarden en -beleid configureren

Zorg dat de houdingsvoorwaarden zijn bijgewerkt: Beheer > Systeem > Instellingen > Houding > Updates > Nu bijwerken optie.

ISE 2.1 wordt geleverd met een vooraf ingestelde USB-conditie, die controleert of een USB-massaopslagapparaat is aangesloten.

Vanuit Policy > Policy Elements > Conditions > Positie > USB Condition bestaande conditie controleren:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-02.png

Van Beleid > Beleidselementen > Resultaten > Houding > Vereisten, verifieer preconfigured vereiste dat die voorwaarde gebruikt.

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-03.png

Van Beleid > Houding, voeg een voorwaarde voor alle Windows toe om dat vereiste te gebruiken:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-04.png

Van Beleid > Beleidselementen > Resultaten > Houding > Remediation Actions > USB Remediations verifiëren vooraf ingestelde remediëringsactie om USB-opslagapparaten te blokkeren:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-05.png

Stap 3. Configureren van resources en beleid voor clientprovisioning

Van Policy > Policy Elements > Client Provisioning > Resources download compliance module van Cisco.com en upload handmatig het AnyConnect 4.3 pakket:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-06.png

Met Add > NAC Agent of AnyConnect Posture Profile maakt u een AnyConnect Posture-profiel (naam: AnyConnect_Posture_Profile) met standaardinstellingen.

Gebruik Add > AnyConnect Configuration om een AnyConnect-configuratie toe te voegen (naam: AnyConnect Configuration):

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-07.png

Via Policy > Client Provisioning maakt u een nieuw beleid (Windows_Posture) voor Windows om de AnyConnect-configuratie te gebruiken:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-08.png

Stap 4. Autorisatieregels configureren

Van Policy > Policy Elements > Results > Authorisation voeg een Authorisation Profile (naam: Posture_Redirect) toe dat wordt omgeleid naar een standaard Client Provisioning Portal:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-09.png

Opmerking: ACL_WEBAUTH_REDIRECT ACL is gedefinieerd op ASA.

Van Beleid > Vergunning creeer een vergunningsregel voor omleiding. Een autorisatieregel voor conforme apparaten is vooraf geconfigureerd op ISE:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-10.png

Als het eindpunt compatibel is, wordt volledige toegang geboden. Als de status onbekend of niet-compatibel is, wordt omleiding voor clientprovisioning geretourneerd.

Verifiëren

Vóór VPN-sessieinstelling

USB-apparaat aangesloten, en de inhoud is beschikbaar voor de gebruiker.

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-11.png

VPN-sessieinstelling

Tijdens verificatie zal ISE de toegangslijst omleiden en url omleiden als onderdeel van het Posture_Redirect-autorisatieprofiel

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-12.png

Zodra de VPN-sessie is ingesteld, wordt ASA-verkeer van de client omgeleid volgens de omleidingslijst:

BSNS-ASA5515-11# sh vpn-sessiondb detail anyconnect 

Session Type: AnyConnect Detailed

Username     : cisco                  Index        : 29
Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES128  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 14696                  Bytes Rx     : 18408
Pkts Tx      : 20                     Pkts Rx      : 132
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : GP-SSL                 Tunnel Group : RA
Login Time   : 15:57:39 CET Fri Mar 11 2016
Duration     : 0h:07m:22s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 0a3042ca0001d00056e2dce3
Security Grp : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 29.1
  Public IP    : 10.229.16.34
  Encryption   : none                   Hashing      : none                   
  TCP Src Port : 61956                  TCP Dst Port : 443                    
  Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 22 Minutes             
  Client OS    : win
  Client OS Ver: 6.1.7601 Service Pack 1
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 6701                   Bytes Rx     : 774                    
  Pkts Tx      : 5                      Pkts Rx      : 1                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
SSL-Tunnel:
  Tunnel ID    : 29.2
  Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
  Encryption   : AES128                 Hashing      : SHA1                   
  Encapsulation: TLSv1.0                TCP Src Port : 61957                  
  TCP Dst Port : 443                    Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 22 Minutes             
  Client OS    : Windows                
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 6701                   Bytes Rx     : 1245                   
  Pkts Tx      : 5                      Pkts Rx      : 5                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
DTLS-Tunnel:
  Tunnel ID    : 29.3
  Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
  Encryption   : AES128                 Hashing      : SHA1                   
  Encapsulation: DTLSv1.0               UDP Src Port : 55708                  
  UDP Dst Port : 443                    Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 26 Minutes             
  Client OS    : Windows                
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 1294                   Bytes Rx     : 16389                  
  Pkts Tx      : 10                     Pkts Rx      : 126                    
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
ISE Posture:
  Redirect URL : https://ISE21-1ek.example.com:8443/portal/gateway?sessionId=0a3042ca0001d00056e2dce3&portal=2b1ba210-e...
  Redirect ACL : ACL_WEBAUTH_REDIRECT

Clientprovisioning

In dat stadium wordt het webbrowserverkeer voor endpoints omgeleid naar ISE voor clientprovisioning:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-13.png

Indien nodig wordt AnyConnect samen met de Posture en Compliance module bijgewerkt.

Posture check en CoA

Posture module wordt uitgevoerd, ontdek ISE (het kan nodig zijn om DNS A record te hebben voor enroll.cisco.com om te slagen), download en controleer postuur voorwaarden, nieuwe OPSWAT v4 blok USB apparaat actie. Het ingestelde bericht wordt weergegeven voor de gebruiker:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-14.png

Na bevestiging van het bericht is USB-apparaat niet meer beschikbaar voor de gebruiker:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-15.png

ASA verwijdert omleidingsACL die volledige toegang verleent. AnyConnect meldt naleving van:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-16.png

Ook gedetailleerde rapporten over ISE kunnen bevestigen dat de vereiste voorwaarden zijn doorgegeven.

Houdbaarheidsbeoordeling per voorwaarde:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-17.png

Standaardevaluatie op eindpunt:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-18.png

Details van het eindpuntrapport:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-19.png

Problemen oplossen

ISE in staat is om de details van de falende voorwaarden te geven, moeten dienovereenkomstig maatregelen worden genomen.

Referenties

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
07-Jun-2016
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Eugene Korneychuk
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten