Igualmente o CSD e AnyConnect 4.0 fluxos do abastecimento são apresentados.

Documentos relacionados
Configurar a postura ASA VPN com CSD, DAP e AnyConnect 4.0

Configurar o 2.1 ISE e a verificação da postura USB de AnyConnect 4.3

Postura da versão ASA VPN com exemplo de configuração ISE

AnyConnect SSL sobre IPv4+IPv6 à configuração ASA

Configurar ISE 2.0 e cifre a criptografia de BitlLocker da postura de AnyConnect 4.2

ASA: Acesso remoto do modo do Multi-contexto (AnyConnect) VPN

Configurar a integração WSA com o ISE para serviços cientes de TrustSec

Autenticação dupla ASA AnyConnect com validação certificada, mapeamento, e manual de configuração do Pre-Fill

AnyConnect sobre IKEv2 ao ASA com AAA e certificado de autenticação

Configurar a postura da versão 1.4 ISE com Microsoft WSUS

Configurar o Acesso remoto ASA IKEv2 com EAP-PEAP e cliente das janelas nativas

Exemplo de configuração do ponto quente da versão 1.3 ISE

Distribuição de segurança da Web de AnyConnect com o ASA

Este documento não se restringe a versões de software e hardware específicas.

Autenticação dupla ASA AnyConnect com validação certificada, mapeamento, e manual de configuração do Pre-Fill

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Transferência de arquivo ASA com exemplo de configuração FXP

Índice. Introdução. Pré-requisitos. Requisitos

AnyConnect FAQ: Os túneis, reconectam o comportamento, e o temporizador de inatividade

Exemplo de configuração local da autenticação da Web do portal do convidado do Identity Services Engine

Configurar a Conectividade do Virtual Private Network (VPN) de AnyConnect no roteador do RV34x Series

Cisco FirePOWER pesquisa defeitos procedimentos de geração do arquivo

Configurar o RAIO para o server de Windows 2008 NP - WAAS AAA

Configurando a Autenticação de Requisições HTTP com o CE Executando o ACNS e o Microsoft Active Directory

A instalação e configuração do módulo ampère com AnyConnect 4.x e ampère Habilitador

Configurar a colocação de etiquetas Inline ASA TrustSec

Verifique a Conectividade do servidor Radius com comando dos radius AAA do teste

Configurando Modo de Roteador-config, Caractere Geral, Chaves Pré-compartilhadas, sem NAT

SSLVPN com exemplo de configuração dos Telefones IP

List baseado papel (RBACL) transferido do Identity Services Engine (ISE).

Integração do sistema de FireSIGHT com o ISE para a autenticação de usuário RADIUS

Aplicação do aprimoramento de recursos ASA SNMP

Configuração do acesso remoto VPN de AnyConnect em FTD

Como configurar o Cisco VPN 3000 Concentrator para apoiar a autenticação TACACS+ para contas de gerenciamento

Falha dos serviços de telefone MRA devido à tradução IP da fonte sobre a reflexão NAT (única configuração de NIC com o NAT estático permitido)

Configurar o Concentradores Cisco VPN série 3000 para apoiar os recursos de expiração de senha de NT com o servidor Radius

Reorientação do tráfego ISE no Catalyst 3750 Series Switch

Configurar irules no F5 LTM para o raio ISE e o HTTP Loadbalancing

Configurar o RAIO DTL no Identity Services Engine

Cisco IOS Router: Local, TACACS+ e autenticação RADIUS do exemplo de configuração da conexão de HTTP

Configurar o ASA com regras do controle de acesso dos serviços da potência de fogo para filtrar o tráfego do cliente VPN de AnyConnect ao Internet

ASA 8.X e mais tarde: Adicionar ou altere uma lista de acessos com o exemplo da configuração GUI ASDM

Configurar o Access point de pouco peso como um suplicante do 802.1x

Tráfego em linha do Multi-jogador de Xbox Live (túnel UDP 3544 do Teredo) obstruído por FTD

Este documento fornece informações sobre as perguntas mais frequentes (FAQ) relacionadas ao Cisco Secure Desktop (CSD).

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

Ferramenta NAC: Postura do Mac OSX AV no exemplo de configuração da liberação 4.5 de Cisco NAC

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

Kerberos com ADFS 2.0 para o utilizador final SAML SSO para o exemplo de configuração do Jabber

Kerberos com ADFS 2.0 para o utilizador final SAML SSO para o exemplo de configuração do Jabber

O cliente de AnyConnect reconecta cada minuto que causa um rompimento no fluxo de tráfego

Substituindo o Cisco WebAttendant/a instalação do console de atendimento do CallManager

Legado SCEP com o uso do exemplo da configuração de CLI

Este documento descreve como configurar a autenticação da Web a fim trabalhar com uma instalação do proxy.

Encaixe da importação RDP ASA 8.x para o uso com exemplo de configuração WebVPN

PIX/ASA 7.x e mais tarde: Exemplo de configuração do filtro VPN (porta específica ou protocolo da licença) para o L2L e o Acesso remoto

Aborto do Módulo de serviços TLS NGFW erros devido ao erro da falha ou da validação certificada do aperto de mão

Configurar capturas de pacote de informação em AireOS WLC

RADIUS avançado para clientes PPP de discagem

Do Wireless LAN taxa por usuário que limita a solução

Índice. Introdução. Pré-requisitos. Requisitos

Configurar o módulo de FirePOWER para a rede AMP ou o controle de arquivos com ASDM.

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

Conhecimento do Firewall da ferramenta de segurança (ASA) e do ASDM adaptáveis. Conhecimento do dispositivo da potência de fogo.

Detecção e remediação portais prisioneiras de AnyConnect

Configurar o ASA como o gateway SSL para os clientes de AnyConnect que usam a autenticação baseada certificados múltiplos

Configurar o Access point de pouco peso como um suplicante do 802.1x

Configurar os sem clientes SSL VPN (WebVPN) no ASA

Configurar o fluxo do convidado com ISE 2.0 e Aruba WLC

ASA 8.X: Exemplo de configuração do registro SCEP de AnyConnect

Políticas ISE baseadas em exemplos de configuração SSID

Integração do sistema de FireSIGHT com ACS 5.x para a autenticação de usuário RADIUS

Permita o LAT sobre um túnel GRE com exemplo de configuração da Conversão de protocolo

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

FTD: Como permitir a configuração do desvio do estado TCP usando a política de FlexConfig

As conexões wireless da mobilidade falham e não recuperam quando o ASA é recarregado

O ISE com estática reorienta para o exemplo de configuração isolado das redes de convidado

Configurando o PPTP através da PAT para um Microsoft PPTP Server

Configurar o WLC com autenticação LDAP para o 802.1x e o Web-AUTH WLAN

Configurar a detecção e a aplicação anômalas do valor-limite em ISE 2.2

Listas de verificação de suporte do Cisco IPCC Express

Configurar o ISE para a integração com um servidor ldap

O módulo ASA FirePOWER (SFR) pesquisa defeitos procedimentos de geração do arquivo usando ASDM (o Gerenciamento da Em-caixa)

Exemplo de configuração da transmissão da Web do controlador do Wireless LAN

Configurar o ISE para a integração com um servidor ldap

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

Configurar o acesso provisório e permanente do convidado ISE

Acesso portal administrativo ISE com exemplo de configuração das credenciais AD

PIX/ASA: Exemplo de configuração da característica da atualização automática do cliente do IPSec VPN

Permita o acesso ao Internet para o módulo ips ASA 5500-X

Configurar um server público com Cisco ASDM

ACS 5.x: Exemplo de configuração do servidor ldap

Transcrição:

Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Topologia e fluxo Configurar ASA Step1. Configuração de VPN básica SSL Step2. A instalação CSD Step3. Políticas DAP ISE Verificar Abastecimento CSD e de AnyConnect Sessão de VPN de AnyConnect com a postura - não complacente Sessão de VPN de AnyConnect com a postura - complacente Troubleshooting DARDO de AnyConnect Referências Cisco relacionado apoia discussões da comunidade Introdução Este exemplo de configuração apresenta como executar a postura para as sessões de VPN remotas terminadas no ASA. A postura será executada localmente pelo ASA usando o Cisco Secure Desktop com o módulo de HostScan. Depois que a sessão de VPN é estabelecida a estação complacente estará permitido o acesso de rede completo, limitado o não complacente. Igualmente o CSD e AnyConnect 4.0 fluxos do abastecimento são apresentados. Pré-requisitos Requisitos A Cisco recomenda que você tenha conhecimento destes tópicos: Configuração de VPN de Cisco ASA Cliente de mobilidade Cisco AnyConnect Secure Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware: Microsoft Windows 7

Ferramenta de segurança adaptável de Cisco, versão 9.3 ou mais recente Software do Cisco Identity Services Engine (ISE), versões 1.3 e mais recente Cliente de mobilidade Cisco AnyConnect Secure, Vesion 4.0 e mais atrasado Cisco Secure Desktop, versão 3.6 ou mais recente Topologia e fluxo A política corporativa é a seguinte: Os usuários remotos VPN que estão tendo o arquivo c:\test.txt (complacente) devem ter o acesso de rede completo aos recursos internos da empresa Os usuários remotos VPN que não estão tendo o arquivo c:\test.txt (não complacente) devem ter limitado o acesso de rede aos recursos internos da empresa: somente o acesso ao server 1.1.1.1 da remediação deve ser fornecido. A existência do arquivo é o exemplo o mais simples. Toda a outra circunstância (antivirus, antispyware, processo, aplicativo, registro) poderia ser usada. O fluxo é o seguinte: Os usuários remotos não têm AnyConnect instalaram. Alcançam o página da web ASA para o abastecimento CSD e de AnyConnect (junto com o perfil VPN) Uma vez que conectar através do usuário não complacente de AnyConnect será permitida com acesso de rede limitado. A política do acesso dinâmico (DAP) FileNotExists chamado será combinada.

O usuário executa a remediação (instale manualmente o arquivo c:\test.txt) e conecta-a outra vez usando AnyConnect. Este acesso de rede completo do tempo é fornecido (o DAP FileExists chamado política será combinado). O módulo de HostScan pode ser instalado manualmente no valor-limite. Os arquivos de exemplo (hostscan-win-4.0.00051-pre-deploy-k9.msi) são compartilhados no CCO. Mas poderia igualmente ser empurrado do ASA. HostScan é parte de um CSD que poderia ser fornecida do ASA. Que a aproximação está usada em segundo neste exemplo. Para umas versões mais velhas de AnyConnect (3.1 e antes) havia um pacote separado disponível em CCO (exemplo: hostscan_3.1.06073-k9.pkg) qual poderia ter sido configurado e fornecida no ASA separadamente (usando o comando da imagem hostscan CDD ) - mas essa opção não é existente anymore para a versão 4.0 de AnyConnect. Configurar ASA Step1. Configuração de VPN básica SSL O ASA preconfigured com acesso básico do telecontrole VPN (SSL). O pacote de AnyConnect foi transferido e usado. Step2. A instalação CSD A configuração subsequente é executada usando o ASDM. O pacote CSD precisa de ser transferido para piscar e de ser provido da configuração: Sem permitir o Secure Desktop não seria possível usar atributos CSD em políticas DAP:

Após ter permitido opções múltiplas CSD sob o gerente do Secure Desktop aparece. Seja informado por favor que alguns delas estão suplicados já. Mais informação em relação às características suplicadas pode ser encontrada: Observação do Deprecation da característica para o Secure Desktop (cofre-forte), o líquido de limpeza do esconderijo, a detecção do registador da introdução por teclado, e a detecção da emulation do host HostScan é apoiado ainda inteiramente, regra básica nova de HostScan está sendo adicionado. A existência de c:\test.txt será verificada. A regra avançada adicional da avaliação do valor-limite está sendo adicionada igualmente:

Que se está verificando para ver se há a existência do antivírus Norton 20.x de Symantec e do módulo da postura do Firewall 7. de Microsoft Windows (HostScan) verificará aqueles valores mas não haverá nenhuma aplicação (a política DAP não verificará aquela). Step3. Políticas DAP As políticas DAP são responsáveis para usar os dados recolhidos por HostScan como circunstâncias e aplicam atributos específicos à sessão de VPN em consequência. Para criar a política DAP do ASDM: Acesso remoto VPN - > acesso dos sem clientes SSL VPN - > políticas do acesso dinâmico: A primeira política (FileExists) verificará o nome de grupo de túneis que é usado pelo perfil configurado VPN (configuração de perfil VPN foi omitida para maior clareza). A verificação adicional para o arquivo c:\test.txt está sendo executada então:

Em consequência nenhuma ação está sendo executada com a configuração padrão para permitir a Conectividade. Nenhum ACL está sendo usado - o acesso de rede completo será fornecido. Detalhes para a verificação do arquivo: A segunda política (FileNonExists) é similar - mas esta condição do tempo é se o arquivo não é existente.

O resultado tem a lista de acesso ACL1 configurada. Isso será aplicado para os usuários não complacentes VPN que fornecem acesso de rede limitado. Ambas as políticas DAP estão incrementando o acesso de AnyConnect: ISE O Identity Services Engine é usado para a autenticação de usuário. Somente o dispositivo de rede (ASA) e o username correto (Cisco) devem ser configurados. Essa parte não é coberta neste artigo. Verificar Abastecimento CSD e de AnyConnect No usuário do começo não é fornecida com cliente de AnyConnect. O usuário não é igualmente complacente com a política (o arquivo c:\test.txt não existe). Entrar em https://10.62.145.45 e é reorientada imediatamente para a instalação do Cisco Secure Desktop:

Isso pode ser feito usando Javas ou ActiveX. Uma vez que o CSD está sendo instalado que está sendo relatado: O usuário está sendo reorientado então para a autenticação: Se AnyConnect bem sucedido junto com o perfil configurado está sendo distribuído - outra vez ActiveX ou as Javas podem ser usados: E a conexão de VPN está sendo estabelecida: A primeira etapa para AnyConnect é executar verificações da postura (HostScan) e enviar os relatórios ao ASA:

Então AnyConnect autentica e termina a sessão de VPN: Sessão de VPN de AnyConnect com a postura - não complacente Ao estabelecer uma sessão de VPN nova que usa AnyConnect a primeira etapa seria a postura (HostScan) como apresentado no tiro de tela acima. Então a autenticação ocorre e a sessão de VPN é estabelecida: O ASA relataria que o relatório de HostScan está sendo recebido: %ASA-7-716603: Received 4 KB Hostscan data from IP <10.61.87.251> Executa então a autenticação de usuário: %ASA-6-113004: AAA user authentication Successful : server = 10.62.145.42 : user = cisco E autorização dos começos para essa sessão de VPN. Ao ter debugar o traço 255" do dap permitiu a informação em relação à existência arquivo de c:\test.txt do está sendo retornado: DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.file["1"].exists="false" DAP_TRACE: endpoint.file["1"].exists = "false"

DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.file["1"].path="c:\test.txt" DAP_TRACE: endpoint.file["1"].path = "c:\\test.txt" Igualmente informação em relação ao Firewall de Microsoft Windows: DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["mswindowsfw"].exists="false" DAP_TRACE: endpoint.fw["mswindowsfw"].exists = "false" DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["mswindowsfw"].description="microsoft Windows Firewall" DAP_TRACE: endpoint.fw["mswindowsfw"].description = "Microsoft Windows Firewall" DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["mswindowsfw"].version="7" DAP_TRACE: endpoint.fw["mswindowsfw"].version = "7" DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["mswindowsfw"].enabled="failed" DAP_TRACE: endpoint.fw["mswindowsfw"].enabled = "failed" E antivírus Symantec (conforme HostScan avançou as regras da avaliação do valor-limite configuradas antes). Em consequência a política DAP está sendo combinada: DAP_TRACE: Username: cisco, Selected DAPs:,FileNotExists Que a política está forçando para usar AnyConnect e também aplica a lista de acesso ACL1 que fornece acesso de rede restrito para o usuário (não complacente com a política corporativa). DAP_TRACE:The DAP policy contains the following attributes for user: cisco DAP_TRACE:-------------------------------------------------------------------------- DAP_TRACE:1: tunnel-protocol = svc DAP_TRACE:2: svc ask = ask: no, dflt: svc DAP_TRACE:3: action = continue DAP_TRACE:4: network-acl = ACL1 Os logs apresentam igualmente os Ramais de ACIDEX que poderiam ser usados pela política DAP (ou mesmo passado nas requisições RADIUS ao ISE e sendo usado em regras da autorização como circunstâncias): endpoint.anyconnect.clientversion = "4.0.00051"; endpoint.anyconnect.platform = "win"; endpoint.anyconnect.devicetype = "innotek GmbH VirtualBox"; endpoint.anyconnect.platformversion = "6.1.7600 "; endpoint.anyconnect.deviceuniqueid = "A1EDD2F14F17803779EB42C281C98DD892F7D34239AECDBB3FEA69D6567B2591"; endpoint.anyconnect.macaddress["0"] = "08-00-27-7f-5f-64"; endpoint.anyconnect.useragent = "AnyConnect Windows 4.0.00051"; Em consequência a sessão de VPN é acima mas com o acesso de rede restrito: ASAv2# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : cisco Index : 4 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : 11432 Bytes Rx : 14709 Pkts Tx : 8 Pkts Rx : 146 Group Policy : AllProtocols Tunnel Group : TAC Login Time : 11:58:54 UTC Fri Dec 26 2014 Duration : 0h:07m:54s Inactivity : 0h:00m:00s

VLAN Mapping : N/A VLAN : none Audt Sess ID : 0add006400004000549d4d7e Security Grp : none AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 4.1 Public IP : 10.61.87.251 Encryption : none Hashing : none TCP Src Port : 49514 TCP Dst Port : 443 Auth Mode : userpassword Idle TO Left : 22 Minutes Client OS : win Client OS Ver: 6.1.7600 Client Type : AnyConnect Bytes Tx : 5716 Bytes Rx : 764 Pkts Tx : 4 Pkts Rx : 1 SSL-Tunnel: Tunnel ID : 4.2 Encryption : RC4 Hashing : SHA1 Encapsulation: TLSv1.0 TCP Src Port : 49517 TCP Dst Port : 443 Auth Mode : userpassword Idle TO Left : 22 Minutes Client OS : Windows Client Type : SSL VPN Client Bytes Tx : 5716 Bytes Rx : 2760 Pkts Tx : 4 Pkts Rx : 12 Filter Name : ACL1 DTLS-Tunnel: Tunnel ID : 4.3 Encryption : AES128 Hashing : SHA1 Encapsulation: DTLSv1.0 UDP Src Port : 52749 UDP Dst Port : 443 Auth Mode : userpassword Idle TO Left : 24 Minutes Client OS : Windows Client Type : DTLS VPN Client Bytes Tx : 0 Bytes Rx : 11185 Pkts Tx : 0 Pkts Rx : 133 Filter Name : ACL1 ASAv2# show access-list ACL1 access-list ACL1; 1 elements; name hash: 0xe535f5fe access-list ACL1 line 1 extended permit ip any host 1.1.1.1 (hitcnt=0) 0xe6492cbf Etapas detalhadas das mostras da história de AnyConnect para o processo da postura: 12:57:47 Contacting 10.62.145.45. 12:58:01 Posture Assessment: Required for access 12:58:01 Posture Assessment: Checking for updates... 12:58:02 Posture Assessment: Updating...

12:58:03 Posture Assessment: Initiating... 12:58:13 Posture Assessment: Active 12:58:13 Posture Assessment: Initiating... 12:58:37 User credentials entered. 12:58:43 Establishing VPN session... 12:58:43 The AnyConnect Downloader is performing update checks... 12:58:43 Checking for profile updates... 12:58:43 Checking for product updates... 12:58:43 Checking for customization updates... 12:58:43 Performing any required updates... 12:58:43 The AnyConnect Downloader updates have been completed. 12:58:43 Establishing VPN session... 12:58:43 Establishing VPN - Initiating connection... 12:58:48 Establishing VPN - Examining system... 12:58:48 Establishing VPN - Activating VPN adapter... 12:58:52 Establishing VPN - Configuring system... 12:58:52 Establishing VPN... 12:58:52 Connected to 10.62.145.45. Sessão de VPN de AnyConnect com a postura - complacente Após ter criado o arquivo de c:\test.txt o fluxo será similar. Uma vez que a sessão nova de AnyConnect é iniciada os logs indicariam a existência do arquivo: %ASA-7-734003: DAP: User cisco, Addr 10.61.87.251: Session Attribute endpoint.file["1"].exists="true" %ASA-7-734003: DAP: User cisco, Addr 10.61.87.251: Session Attribute endpoint.file["1"].path="c:\test.txt" E em consequência uma outra política DAP está sendo usada: DAP_TRACE: Username: cisco, Selected DAPs:,FileExists A política não impõe nenhum ACL como a limitação para o tráfego de rede. E a sessão está ACIMA sem nenhum ACL (acesso de rede completo): ASAv2# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : cisco Index : 5 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : 11432 Bytes Rx : 6298 Pkts Tx : 8 Pkts Rx : 38 Group Policy : AllProtocols Tunnel Group : TAC Login Time : 12:10:28 UTC Fri Dec 26 2014 Duration : 0h:00m:17s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0add006400005000549d5034 Security Grp : none AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent:

Tunnel ID : 5.1 Public IP : 10.61.87.251 Encryption : none Hashing : none TCP Src Port : 49549 TCP Dst Port : 443 Auth Mode : userpassword Idle TO Left : 29 Minutes Client OS : win Client OS Ver: 6.1.7600 Client Type : AnyConnect Bytes Tx : 5716 Bytes Rx : 764 Pkts Tx : 4 Pkts Rx : 1 SSL-Tunnel: Tunnel ID : 5.2 Encryption : RC4 Hashing : SHA1 Encapsulation: TLSv1.0 TCP Src Port : 49552 TCP Dst Port : 443 Auth Mode : userpassword Idle TO Left : 29 Minutes Client OS : Windows Client Type : SSL VPN Client Bytes Tx : 5716 Bytes Rx : 1345 Pkts Tx : 4 Pkts Rx : 6 DTLS-Tunnel: Tunnel ID : 5.3 Encryption : AES128 Hashing : SHA1 Encapsulation: DTLSv1.0 UDP Src Port : 54417 UDP Dst Port : 443 Auth Mode : userpassword Idle TO Left : 30 Minutes Client OS : Windows Client Type : DTLS VPN Client Bytes Tx : 0 Bytes Rx : 4189 Pkts Tx : 0 Pkts Rx : 31 Igualmente Anyconnect está relatando que HostScan é inativo e esperando o pedido de varredura seguinte: ASAv2# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : cisco Index : 5 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : 11432 Bytes Rx : 6298 Pkts Tx : 8 Pkts Rx : 38 Group Policy : AllProtocols Tunnel Group : TAC Login Time : 12:10:28 UTC Fri Dec 26 2014 Duration : 0h:00m:17s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0add006400005000549d5034

Security Grp : none AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 5.1 Public IP : 10.61.87.251 Encryption : none Hashing : none TCP Src Port : 49549 TCP Dst Port : 443 Auth Mode : userpassword Idle TO Left : 29 Minutes Client OS : win Client OS Ver: 6.1.7600 Client Type : AnyConnect Bytes Tx : 5716 Bytes Rx : 764 Pkts Tx : 4 Pkts Rx : 1 SSL-Tunnel: Tunnel ID : 5.2 Encryption : RC4 Hashing : SHA1 Encapsulation: TLSv1.0 TCP Src Port : 49552 TCP Dst Port : 443 Auth Mode : userpassword Idle TO Left : 29 Minutes Client OS : Windows Client Type : SSL VPN Client Bytes Tx : 5716 Bytes Rx : 1345 Pkts Tx : 4 Pkts Rx : 6 DTLS-Tunnel: Tunnel ID : 5.3 Encryption : AES128 Hashing : SHA1 Encapsulation: DTLSv1.0 UDP Src Port : 54417 UDP Dst Port : 443 Auth Mode : userpassword Idle TO Left : 30 Minutes Client OS : Windows Client Type : DTLS VPN Client Bytes Tx : 0 Bytes Rx : 4189 Pkts Tx : 0 Pkts Rx : 31 Para a reavaliação recomendou para usar o módulo da postura integrado com ISE: Troubleshooting DARDO de AnyConnect AnyConnect fornece diagnósticos:

Qual é de recolhimento e de salvamento todos os logs de AnyConnect a um arquivo zip no desktop. Que o arquivo zip inclui entra o Cliente de mobilidade Cisco AnyConnect Secure/Anyconnect.txt. Isso fornecerá a informação sobre o ASA está pedindo HostScan para recolher o data&colon; Date : 12/26/2014 Time : 12:58:01 Type : Information Source : acvpnui Description : Function: ConnectMgr::processResponseString File:.\ConnectMgr.cpp Line: 10286 Invoked Function: ConnectMgr::processResponseString Return Code: 0 (0x00000000) Description: HostScan request detected. Então o múltiplo outros logs revela que o CSD está instalado. Este é o exemplo para um abastecimento CSD e uma conexão subsequente de AnyConnect junto com a postura: CSD detected, launching CSD Posture Assessment: Required for access Gathering CSD version information. Posture Assessment: Checking for updates... CSD version file located Downloading and launching CSD Posture Assessment: Updating... Downloading CSD update CSD Stub located Posture Assessment: Initiating... Launching CSD Initializing CSD Performing CSD prelogin verification. CSD prelogin verification finished with return code 0 Starting CSD system scan. CSD successfully launched Posture Assessment: Active CSD launched, continuing until token is validated. Posture Assessment: Initiating... Checking CSD token for validity Waiting for CSD token validity result CSD token validity check completed CSD Token is now valid CSD Token validated successfully Authentication succeeded Establishing VPN session... Uma comunicação entre o ASA e o AnyConnect é aperfeiçoada, pedidos ASA executar somente verificações específicas - dados adicionais das transferências de AnyConnect para poder executar isso (por exemplo verificação específica do AntiVirus). Ao abrir o caso com TAC anexe por favor logs do dardo junto com da a tecnologia mostra e debugar o traço 255" do dap do ASA. Referências Configurando a varredura do host e o módulo da postura - guia do administrador do Cliente de mobilidade Cisco AnyConnect Secure

Configurando a varredura do host - Manual de configuração do Cisco Secure Desktop Serviços da postura no manual de configuração de Cisco ISE Guia de administradores de Cisco ISE 1.3 Suporte Técnico e Documentação - Cisco Systems