配置ISE 2.1和AnyConnect 4.3安全評估USB檢查

下載選項

  • PDF     (2.2 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (2.7 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (2.2 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2016 年 6 月 7 日
文件 ID:200508

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔介紹如何配置思科身份服務引擎(ISE),以便僅在USB大容量儲存裝置斷開連線時提供對網路的完全訪問。

必要條件

需求

思科建議您瞭解以下主題:

  • 自適應安全裝置(ASA) CLI配置和安全套接字層(SSL) VPN配置的基本知識
  • ASA上遠端訪問VPN配置的基本知識
  • ISE和狀態服務基礎知識

採用元件

思科身份服務引擎(ISE)版本2.1與AnyConnect安全移動客戶端4.3支援USB大容量儲存檢查和補救。本檔案中的資訊是根據以下軟體版本:

  • Cisco ASA軟體版本9.2(4)及更高版本
  • 帶有Cisco AnyConnect安全移動客戶端版本4.3及更高版本的Microsoft Windows版本7
  • Cisco ISE,版本2.1及更高版本

設定

網路圖表

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-00.png

流程如下:

  • 使用者尚未連線到VPN,已插入私有USB大容量儲存裝置,使用者可以訪問內容
  • 由AnyConnect客戶端發起的VPN會話透過ISE進行身份驗證。終端的安全評估狀態未知,規則「Posture_Unknown」被命中,因此會話將被重定向到ISE
  • USB檢查在AC ISE狀態中引入了一種新的檢查類別,只要終端保持在同一個ISE控制的網路中,它們就會持續監控終端。唯一可用的邏輯補救措施是阻止由其驅動器號標識的USB裝置
  • 更新ASA上的VPN會話,刪除重定向ACL並授予完全訪問許可權

VPN會話只是一個示例。安全評估功能對於其他型別的訪問也運行良好。

ASA

ASA配置為使用ISE作為AAA伺服器進行遠端SSL VPN訪問。需要配置RADIUS CoA以及重定向ACL:

aaa-server ISE21 protocol radius
 authorize-only
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE21 (outside) host 10.48.23.88
 key cisco



tunnel-group RA type remote-access
tunnel-group RA general-attributes
 address-pool POOL
 authentication-server-group ISE21
 accounting-server-group ISE21
 default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
 group-alias RA enable



webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-4.3.00520-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 error-recovery disable
group-policy GP-SSL internal
group-policy GP-SSL attributes
 dns-server value 10.62.145.72
 vpn-tunnel-protocol ssl-client



access-list ACL_WEBAUTH_REDIRECT extended deny udp any any eq domain 
access-list ACL_WEBAUTH_REDIRECT extended deny ip any host 10.48.23.88 
access-list ACL_WEBAUTH_REDIRECT extended deny icmp any any 
access-list ACL_WEBAUTH_REDIRECT extended permit tcp any any

有關詳情,請參閱:

AnyConnect 4.0與ISE版本1.3整合的配置示例

ISE

步驟 1.配置網路裝置

Administration > Network Resources > Network Devices >增加ASA。

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-01.png

步驟 2.配置狀態條件和策略

確保狀態條件已更新:Administration > System > Settings > Posture > Updates > Update now選項

ISE 2.1附帶預配置的USB條件,用於檢查USB大容量儲存裝置是否已連線。

Policy > Policy Elements > Conditions > Posture > USB Condition 驗證現有條件:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-02.png

Policy > Policy Elements > Results > Posture > Requirements,驗證使用該條件的預配置要求。

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-03.png

Policy > Posture中,為所有Windows增加一個使用該要求的條件:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-04.png

Policy > Policy Elements > Results > Posture > Remediation Actions > USB Remediations驗證為阻止USB儲存裝置而預配置的補救操作:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-05.png

步驟 3.配置客戶端調配資源和策略

策略>策略元素>客戶端調配>資源從Cisco.com下載合規性模組並手動上傳AnyConnect 4.3軟體套件:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-06.png

使用Add > NAC Agent或AnyConnect Posture Profile以預設設定建立AnyConnect狀態配置檔案(名稱:Anyconnect_Posture_Profile)。

使用Add > AnyConnect Configuration增加AnyConnect配置(名稱:AnyConnect配置):

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-07.png

策略>客戶端調配中,為Windows建立一個新策略(Windows_Posture)以使用AnyConnect配置:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-08.png

步驟 4.設定授權規則

Policy > Policy Elements > Results > Authorization增加重定向到預設客戶端調配門戶的授權配置檔案(名稱:Posture_Redirect):

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-09.png

注意:ACL_WEBAUTH_REDIRECT ACL是在ASA上定義的。

策略>授權為重定向建立授權規則。在ISE上預先配置合規裝置的授權規則:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-10.png

如果終端相容,則提供完全訪問許可權。如果狀態為未知或不相容,則會傳回使用者端布建的重定向。

驗證

建立VPN會話之前

已插入USB裝置,且使用者可以使用其內容。

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-11.png

VPN會話建立

在身份驗證期間,ISE將返回重定向訪問清單和重定向URL作為Posture_Redirect授權配置檔案的一部分

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-12.png

一旦建立VPN會話,來自客戶端的ASA流量將根據重定向訪問清單進行重定向:

BSNS-ASA5515-11# sh vpn-sessiondb detail anyconnect 

Session Type: AnyConnect Detailed

Username     : cisco                  Index        : 29
Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES128  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 14696                  Bytes Rx     : 18408
Pkts Tx      : 20                     Pkts Rx      : 132
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : GP-SSL                 Tunnel Group : RA
Login Time   : 15:57:39 CET Fri Mar 11 2016
Duration     : 0h:07m:22s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : 0a3042ca0001d00056e2dce3
Security Grp : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 29.1
  Public IP    : 10.229.16.34
  Encryption   : none                   Hashing      : none                   
  TCP Src Port : 61956                  TCP Dst Port : 443                    
  Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 22 Minutes             
  Client OS    : win
  Client OS Ver: 6.1.7601 Service Pack 1
  Client Type  : AnyConnect
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 6701                   Bytes Rx     : 774                    
  Pkts Tx      : 5                      Pkts Rx      : 1                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
SSL-Tunnel:
  Tunnel ID    : 29.2
  Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
  Encryption   : AES128                 Hashing      : SHA1                   
  Encapsulation: TLSv1.0                TCP Src Port : 61957                  
  TCP Dst Port : 443                    Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 22 Minutes             
  Client OS    : Windows                
  Client Type  : SSL VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 6701                   Bytes Rx     : 1245                   
  Pkts Tx      : 5                      Pkts Rx      : 5                      
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
DTLS-Tunnel:
  Tunnel ID    : 29.3
  Assigned IP  : 10.10.10.10            Public IP    : 10.229.16.34
  Encryption   : AES128                 Hashing      : SHA1                   
  Encapsulation: DTLSv1.0               UDP Src Port : 55708                  
  UDP Dst Port : 443                    Auth Mode    : userPassword           
  Idle Time Out: 30 Minutes             Idle TO Left : 26 Minutes             
  Client OS    : Windows                
  Client Type  : DTLS VPN Client
  Client Ver   : Cisco AnyConnect VPN Agent for Windows 4.3.00520
  Bytes Tx     : 1294                   Bytes Rx     : 16389                  
  Pkts Tx      : 10                     Pkts Rx      : 126                    
  Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
  
ISE Posture:
  Redirect URL : https://ISE21-1ek.example.com:8443/portal/gateway?sessionId=0a3042ca0001d00056e2dce3&portal=2b1ba210-e...
  Redirect ACL : ACL_WEBAUTH_REDIRECT

使用者端布建

在該階段,終端Web瀏覽器流量重定向到ISE進行客戶端調配:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-13.png

如果需要,會更新AnyConnect以及狀態與合規性模組。

狀況檢查和CoA

執行終端安全評估模組、發現ISE(可能需要有DNS A記錄才能使enroll.cisco.com成功)、下載並檢查終端安全評估條件、新的OPSWAT v4阻止USB裝置操作。系統將為使用者顯示已配置的消息:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-14.png

確認訊息後,使用者無法再使用USB裝置:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-15.png

ASA刪除重定向ACL以提供完全訪問。AnyConnect報告合規性:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-16.png

此外,有關ISE的詳細報告可以確認是否透過所需的條件。

狀況評估(按條件):

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-17.png

終端狀態評估:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-18.png

終端報告的詳細資訊:

200508-Configure-ISE-2-1-and-AnyConnect-4-3-Pos-19.png

疑難排解

ISE能夠提供關於故障情況的詳細資訊,應相應地採取措施。

參考資料

修訂記錄

修訂 發佈日期 意見
1.0
07-Jun-2016
初始版本
TAC Authored

由思科工程師貢獻

  • 尤金·科爾內丘克
    Cisco TAC工程師

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品