Postura da versão ASA VPN com exemplo de configuração ISE

Documentos relacionados
Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

AnyConnect sobre IKEv2 ao ASA com AAA e certificado de autenticação

Ferramenta NAC: Postura do Mac OSX AV no exemplo de configuração da liberação 4.5 de Cisco NAC

Transferência de arquivo ASA com exemplo de configuração FXP

Este documento descreve como configurar a autenticação da Web a fim trabalhar com uma instalação do proxy.

Configurar o Acesso remoto ASA IKEv2 com EAP-PEAP e cliente das janelas nativas

ASA 8.0: Configurar a autenticação RADIUS para usuários WebVPN

As informações neste documento são baseadas nestas versões de software e hardware:

Cisco IOS Router: Local, TACACS+ e autenticação RADIUS do exemplo de configuração da conexão de HTTP

Este documento descreve o portal da configuração e do abastecimento do certificado do motor dos serviços da funcionalidade de identidade (ISE).

Encaixe da importação RDP ASA 8.x para o uso com exemplo de configuração WebVPN

Índice. Introdução. Pré-requisitos. Configurar. Requisitos. Componentes Utilizados. Etapa 1. Configuração básica MS SQL

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Índice. Introdução. Pré-requisitos. Requisitos

Índice. Introdução. Pré-requisitos. Requisitos

Autenticação de usuário ASA VPN contra o server de Windows 2008 NP (diretório ativo) com exemplo da configuração RADIUS

Este documento não se restringe a versões de software e hardware específicas.

ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas

Aplicações e comportamento da fragmentação EAP

Autenticação dupla ASA AnyConnect com validação certificada, mapeamento, e manual de configuração do Pre-Fill

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

Índice. Introdução. As limitações da autenticação remota central UCS incluem:

Configurando o Cisco VPN Client 3.5 e o Cisco Integrated Client para tráfego não criptografado seguro ao utilizar o tunelamento por divisão

Autenticação de servidor Radius de usuários do Gerenciamento no exemplo de configuração do controlador do Wireless LAN (WLC)

Configurando o Cisco Secure ACS for Windows v3.2 com autenticação da máquina PEAP-MS- CHAPv2

Como Permitir a Navegação Usando o NetBIOS Over IP

Diferenças comportáveis em relação às perguntas DNS e definição do Domain Name em OS diferentes

Pesquisando defeitos a vizinhança de rede Microsoft após ter estabelecido um túnel VPN com o Cisco VPN Client

SASAC (IMPLEMENTING CORE CISCO ASA SECURITY) 1.0

Este documento fornece um exemplo de configuração para restringir o acesso por usuário a uma WLAN com base no Service Set Identifier (SSID).

Índice. Introdução. Razões possíveis para a falha. Impacto

Cisco recomenda que você tem o conhecimento da configuração de VPN SSL no Roteadores do Cisco IOS.

Exemplo de configuração da opção de DHCP 82 do controlador do Wireless LAN

Pesquise defeitos edição faltante dos seletores da velocidade no IPMA

As conexões wireless da mobilidade falham e não recuperam quando o ASA é recarregado

EAP-TLS do 802.1x com comparação binária do certificado exemplo de configuração dos perfis AD e NAM

L2 que constrói uma ponte sobre através de um exemplo da configuração de rede L3

As informações neste documento são baseadas nestas versões de software:

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

Grupos da autorização do comando shell ACS no exemplo de configuração IO e ASA/PIX/FWSM

Utilização de Números de Porta FTP Não- Padrão com NAT

Autenticação do Administrador do Lobby de Controladoras Wireless LAN via servidor RADIUS

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Acesso remoto VPN ASA com verificação OCSP sob Microsoft Windows 2012 e o OpenSSL

Troubleshooting da configuração da tradução de endereço de rede ASA

As informações neste documento são baseadas nestas versões de software e hardware:

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

Desenvolvimento do centro de gerenciamento de FireSIGHT em VMware ESXi

O uso ASA do atributo LDAP traça o exemplo de configuração

SEGURANÇA APLICADA MATERIAL 19

Este documento descreve como configurar o Cisco Unified Contact Center Express (UCCX) para o uso do auto-assinado e certificados assinados.

Balanceamento de Carga de NAT no IOS para Duas Conexões de ISP

Você precisa de executar uma fábrica de Cisco DCM restaurada caso que alguns dos seguintes eventos ocorrem:

Exemplos de configuração para agregação de banda larga do Cisco 7200

Compreenda como a característica automática da atualização de assinatura do ips Cisco trabalha

Cisco TrustSec. Software Defined Segmentation Segurança e Mobilidade. Wilson Rogério Lopes GTS 27 05/2016

Este documento descreve o procedimento para configurar a conformidade em Cisco Unified Presence Server (COPOS) com o uso de PostgreSQL para Windows.

Comparação do estilo da postura ISE para pre e cargo 2.2

Configurar WMI no controlador do domínio do Windows para o CEM

Mude a definição do server CUCM do endereço IP ou nome do host ao formato FQDN

PIX/ASA 7.x ASDM: Restrição do Acesso à Rede de Usuários de VPN de Acesso Remoto

As informações neste documento são baseadas nestas versões de software e hardware:

Configurando o firewall PIX e clientes VPN utilizando PPTP, MPPE e IPSec.

Instalando e configurando Cisco IP SoftPhone no PC cliente

Cisco recomenda que você tem o conhecimento do CUCM e dos pontos de acesso da Cisco.

Configurando a tradução de endereço de rede: Introdução

ASA 8.2: Redirecionamento de porta (transmissão) com nat, o global, o estático, e comandos access-list que usam o ASDM

Compreendendo o imsi-auth da autenticação configuração do msisdn-auth para L2TP corporativo APNs

Firewall - Inspeção com estado. (Stateful Inspection)

Instale uma chave da liberação VC através do exemplo da interface da WEB e da configuração de CLI

Configurar a autenticação do Windows para a conexão TMS aos bancos de dados TMSNG (e TMSPE)

Índice. Introdução. O SSL grava a vista geral. Formato de registro. Tipo de registro

Conhecimento do Firewall da ferramenta de segurança (ASA) e do ASDM adaptáveis. Conhecimento do dispositivo da potência de fogo.

Configuração de VLAN em Cisco UCS

Este documento descreve as mensagens da desconexão de RADIUS (DM).

As informações neste documento são baseadas nestas versões de software e hardware:

Configurando o Cisco VPN 3000 Concentrator 4.7.x para obter um certificado digital e um certificado SSL

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

Configurando o NAT Estático e o NAT Dinâmico Simultaneamente

Integre UCCX com o SocialMiner para o do agente - melhores prática da troca

Corrija o serviço da reputação do arquivo na nuvem é erro inacessível recebido para o ampère

Exemplo de configuração do gerenciamento de largura de banda do VPN 3000 concentrator

As informações neste documento são baseadas nestas versões de software e hardware:

Cisco recomenda que você tem o conhecimento básico destes assuntos:

Configurando dinamicamente as opções do servidor de DHCP

Índice. Introdução. Pré-requisitos. Configuração. Requisitos. Componentes Utilizados. Crie alguns usuários de teste no ACS

Cisco Secure ACS para Compatibilidade com UNIX

Criptografia da próxima geração CUCM Criptografia elíptico da curva

Criação do certificado ESA para o uso com assinatura S/MIME

Contribuído por Manchur romano e por Nicolas Darchis, engenheiros de TAC da Cisco.

A instalação e desinstalação do agente de usuário de Sourcefire

Cisco unificou as definições do estado da licença do proxy do SORVO (LIMITE)

ISE: Mecanismos da recuperação de senha

Abastecimento do cliente ISE 2.2 e exemplo de configuração da visibilidade do aplicativo

Troubleshooting Esta seção fornece a informação em como pesquisar defeitos as três edições. As primeiras duas

Configurando AAA básico em um servidor de acesso

Este documento descreve o processo da coleção do log para o Cisco Emergency Responder (CER). Um cenário comum é usado para a ilustração.

Instalação do servidor radius com autenticação via ldap e entrega de vlan dinâmica por grupo de usuário do Ldap.

Transcrição:

Postura da versão ASA 9.2.1 VPN com exemplo de configuração ISE Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Informações de Apoio Configurar Diagrama da rede e fluxo de tráfego Configurações ASA ISE Reavaliação periódica Verificar Troubleshooting Debuga no ISE Debuga no ASA Debuga para o agente Falha da postura do agente NAC Informações Relacionadas Introdução Este documento descreve como configurar a versão 9.2.1 adaptável da ferramenta de segurança de Cisco (ASA) a fim posture usuários VPN contra o Cisco Identity Services Engine (ISE) sem a necessidade para um nó Inline da postura (IPN). Pré-requisitos Requisitos A Cisco recomenda que você tenha conhecimento destes tópicos: Conhecimento básico da configuração de CLI ASA e da configuração de VPN do Secure Socket Layer (SSL) Conhecimento básico da configuração do acesso remoto VPN no ASA

Conhecimento básico do ISE e dos serviços da postura Componentes Utilizados As informações neste documento são baseadas nestas versões de software: Versões de software 9.2.1 de Cisco ASA e mais atrasado Versão 7 de Microsoft Windows com versão 3.1 do Cliente de mobilidade Cisco AnyConnect Secure Versão 1.2 de Cisco ISE com correção de programa 5 ou mais tarde Informações de Apoio A mudança do RAIO dos apoios da versão ASA 9.2.1 de Cisco da autorização (CoA) (RFC 5176). Isto permite posturing de usuários VPN contra Cisco ISE sem a necessidade para um IPN. Depois que um usuário VPN entra, o ASA reorienta o tráfego de web ao ISE, onde o usuário é fornecida com um agente do Network Admission Control (NAC) ou o agente da Web. O agente executa verificações específicas na máquina do usuário a fim determinar sua conformidade contra um grupo configurado de regras da postura, tais como o operating system (OS), as correções de programa, as regras do AntiVirus, do serviço, do aplicativo, ou do registro. Os resultados da validação da postura são enviados então ao ISE. Se a máquina é queixa julgada, a seguir o ISE pode enviar um CoA do RAIO ao ASA com o grupo novo de políticas da autorização. Após a validação de postura bem-sucedida e o CoA, o acesso é permitido ao usuário aos recursos internos. Configurar Diagrama da rede e fluxo de tráfego

Está aqui o fluxo de tráfego, como ilustrado no diagrama da rede: 1. O usuário remoto usa Cisco Anyconnect para o acesso VPN ao ASA. 2. O ASA envia uma solicitação de acesso do RAIO para esse usuário ao ISE. 3. Que o pedido bate a política nomeou ASA92-posture no ISE. Em consequência, o perfil da autorização ASA92-posture é retornado. O ISE envia uma aceitação de acesso do RAIO com dois pares de valor de atributo de Cisco: url-redirect-acl=redirect - este é o nome do Access Control List (ACL) que é definido localmente no ASA, que decide o tráfego que deve ser reorientado. url-redirect=https://ise2.test-cisco.com:8443/guestportal/gateway?sessionid=xx&action=cpp - esta é a URL a que o usuário remoto deve ser reorientado.tip: Os server do Domain Name System (DNS) que são atribuídos aos clientes VPN devem poder resolver o nome de domínio totalmente qualificado (FQDN) que está retornado na reorientação URL. Se os filtros VPN são configurados a fim restringir o acesso a nível do grupo de túneis, assegurese de que o conjunto de clientes possa alcançar o server ISE na porta configurada (TCP 8443 neste exemplo). 4. O ASA envia um pacote do começo do Contabilidade-pedido do RAIO e recebe uma resposta. Isto é precisado a fim enviar todos os detalhes com respeito à sessão ao ISE. Estes detalhes incluem o session_id, o endereço IP externo do cliente VPN, e o endereço IP de Um ou Mais Servidores Cisco ICM NT do ASA. O ISE usa o session_id a fim identificar essa sessão. O ASA igualmente envia a informação de conta provisória periódica, onde a maioria de atributo importante é o Framed-IP-endereço com o IP que é atribuído ao cliente

pelo ASA (10.10.10.10 neste exemplo). 5. Quando o tráfego do usuário VPN combinar o ACL local-definido (reoriente), está reorientado a https://ise2.test-cisco.com:8443. O dependente em cima da configuração, o ISE provisions o agente NAC ou o agente da Web. 6. Depois que o agente é instalado na máquina cliente, executa automaticamente verificações específicas. Neste exemplo, procura pelo arquivo de c:\test.txt. Igualmente envia um relatório da postura ao ISE, que pode incluir trocas múltiplas com o uso do protocolo suíço e move TCP/UDP 8905 a fim alcançar o ISE. 7. Quando o ISE recebe o relatório da postura do agente, processa as regras da autorização mais uma vez. Esta vez, o resultado da postura é sabido e uma outra regra é batida. Envia um pacote CoA do RAIO: Se o usuário é complacente, a seguir um nome (DACL) ACL baixável que permita acesso direto está enviado (regra ASA92-compliant de AuthZ). Se o usuário é NON-complacente, a seguir um nome DACL que as licenças limitem o acesso está enviado (regra ASA92-noncompliant de AuthZ).Note: O CoA do RAIO é confirmado sempre; isto é, o ASA envia uma resposta ao ISE a fim confirmar. 8. O ASA remove a reorientação. Se não tem o DACLs posto em esconderijo, deve enviar uma solicitação de acesso a fim transferi-los do ISE. O DACL específico é anexado à sessão de VPN. 9. A próxima vez que isso que o usuário VPN tenta alcançar o página da web, pode alcançar todos os recursos que são permitidos pelo DACL que é instalado no ASA. Se o usuário não é complacente, simplesmente o acesso limitado está concedido. Note: Este modelo de fluxo difere da maioria de encenações que usam o CoA do RAIO. Para autenticações prendidas/wireless do 802.1x, o CoA do RAIO não inclui nenhuns atributos. Provoca somente a segunda autenticação em que todos os atributos, tais como DACL, são anexados. Para a postura ASA VPN, não há nenhuma segunda autenticação. Todo o os atributos são retornados no CoA do RAIO. A sessão de VPN é ativa e não é possível mudar a maioria das configurações de usuário VPN. Configurações Use esta seção a fim configurar o ASA e o ISE. ASA Está aqui a configuração básica ASA para o acesso de Cisco AnyConnect: ip local pool POOL 10.10.10.10-10.10.10.100 mask 255.255.255.0 interface GigabitEthernet0/0 nameif outside

security-level 0 ip address xxxx 255.255.255.0! interface GigabitEthernet0/1 nameif inside security-level 100 ip address 192.168.111.10 255.255.255.0 aaa-server ISE protocol radius aaa-server ISE (inside) host 10.48.66.74 key cisco webvpn enable outside anyconnect-essentials anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1 anyconnect enable tunnel-group-list enable group-policy GP-SSL internal group-policy GP-SSL attributes vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless tunnel-group RA type remote-access tunnel-group RA general-attributes address-pool POOL authentication-server-group ISE default-group-policy GP-SSL tunnel-group RA webvpn-attributes group-alias RA enable Para a integração ASA com a postura ISE, assegure-se de que você: Configurar o server do Authentication, Authorization, and Accounting (AAA) para a autorização dinâmica a fim aceitar o CoA. Configurar a contabilidade como um grupo de túneis a fim enviar detalhes da sessão de VPN para o ISE. Configurar a contabilidade provisória que enviará o endereço IP de Um ou Mais Servidores Cisco ICM NT atribuído ao usuário e atualize periodicamente o estado da sessão no ISE Configurar a reorientação ACL, que decide se o DNS e o tráfego ISE são permitidos. Todo tráfego de HTTP restante é reorientado ao ISE para a postura. Está aqui o exemplo de configuração: access-list redirect extended deny udp any any eq domain access-list redirect extended deny ip any host 10.48.66.74 access-list redirect extended deny icmp any any access-list redirect extended permit tcp any any eq www aaa-server ISE protocol radius authorize-only interim-accounting-update periodic 1 dynamic-authorization aaa-server ISE (inside) host 10.48.66.74 key cisco tunnel-group RA general-attributes

address-pool POOL authentication-server-group ISE accounting-server-group ISE default-group-policy GP-SSL ISE Termine estas etapas a fim configurar o ISE: 1. Navegue à administração > aos recursos de rede > aos dispositivos de rede e adicionar o ASA como um dispositivo de rede: 2. Navegue à política > aos resultados > à autorização > ACL baixável e configurar o DACL de modo que permita o acesso direto. A configuração do ACL padrão permite todo o tráfego IP no ISE:

3. Configurar um ACL similar que forneça acesso limitado (para usuários não complacentes). 4. Navegue à política > aos resultados > à autorização > aos perfis da autorização e configurar o perfil da autorização nomeado ASA92-posture, que reorienta usuários para a postura. Verifique a caixa de verificação da reorientação da Web, selecione o abastecimento do cliente da lista de drop-down, e assegure-se de que que reorienta aparece no campo ACL (que o ACL está definido localmente no ASA):

5. Configurar o perfil da autorização nomeado ASA92-compliant, que deve somente retornar o PERMIT_ALL_TRAFFIC nomeado DACL que fornece o acesso direto para os usuários complacentes: 6. Configurar um perfil similar da autorização nomeado ASA92-noncompliant, que deve retornar o DACL com acesso limitado (para usuários não complacentes). 7. Navegue à política > à autorização e configurar as regras da autorização: Crie uma regra que permita o acesso direto se os resultados da postura são complacentes. O resultado é a política ASA92-compliant da autorização. Crie uma regra que permita acesso limitado se os resultados da postura são NONcomplacentes. O resultado é a política ASA92-noncompliant da autorização. Assegure-se de que se nenhumas das duas regras precedentes são batidas, a seguir a regra de padrão retorna o ASA92-posture, que força uma reorientação no ASA. 8. As regras da autenticação padrão verificam o nome de usuário na loja interna da identidade. Se isto deve ser mudado (verificado dentro o diretório ativo (AD), por exemplo), a seguir navega à política > à autenticação e faz a mudança:

9. Navegue à política > ao abastecimento do cliente e configurar as regras do abastecimento. Estas são as regras que decidem o tipo de agente que deve ser fornecida. Neste exemplo, somente um regar simples existe, e o ISE seleciona o agente NAC para todos os sistemas de Microsoft Windows: Quando os agentes não estão no ISE, é possível transferi-los:

10. Caso necessário, você pode navegar à administração > ao sistema > aos ajustes > ao proxy e configurar o proxy para o ISE (para alcançar o Internet). 11. Configurar as regras da postura, que verificam a configuração de cliente. Você pode configurar as regras que verificam: arquivos - existência, versão, data chave de registro, valor, existência nome do processo de aplicativo, corredor, não sendo executado serviço - preste serviços de manutenção ao nome, corredor, não sendo executado antivirus - mais de 100 vendedores apoiados, versão, quando as definições forem atualizadas antispyware - mais de 100 vendedores apoiados, versão, quando as definições forem atualizadas condição composta - mistura de tudo o dicionário personalizado condiciona - o uso da maioria dos dicionários ISE 12. Neste exemplo, somente uma verificação simples da existência do arquivo é executada. Se o arquivo de c:\test.txt esta presente na máquina cliente, é acesso direto complacente e permitido. Navegue à política > às circunstâncias > às condições do arquivo e configurar a

condição do arquivo: 13. Navegue à política > aos resultados > à postura > às exigências e crie uma exigência. Esta exigência deve ser cumprida quando a condição precedente é satisfeita. Se não é, a seguir a ação da remediação está executada. Pôde haver muitos tipos de ações da remediação disponíveis, mas neste exemplo, o mais simples é usado: uma mensagem específica é indicada. Note: Em um cenário normal, a ação da remediação do arquivo pode ser usada (o ISE fornece o arquivo carregável). 14. Navegue à política > à postura e use a exigência que você criou na etapa precedente (file_requirement Nomeado) nas regras da postura. A única regra da postura exige que todos os sistemas de Microsoft Windows encontram o file_requirement. Se esta exigência é cumprida, a seguir a estação é complacente; se não é encontrada, a seguir a estação é NON-complacente.

Reavaliação periódica Àrevelia, a postura é um único evento. Contudo, há às vezes uma necessidade de verificar a conformidade do usuário e de ajustar periodicamente o acesso aos recursos baseados nos resultados. Esta informação é empurrada através do protocolo suíço (agente NAC) ou codificada dentro do aplicativo (agente da Web). Termine estas etapas a fim verificar a conformidade do usuário: 1. Navegue à administração > aos ajustes > à postura > às reavaliações e permita a reavaliação globalmente (pela configuração de grupo da identidade): 2. Crie uma condição da postura que combine todas as reavaliações:

3. Crie uma condição similar essa fósforos somente as avaliações iniciais: Both of these circunstâncias podem ser usadas nas regras da postura. A primeira regra combina somente as avaliações iniciais e segunda combina todas as avaliações subsequentes: Verificar A fim confirmar que sua configuração trabalha corretamente, assegure-se de que estas etapas

estejam terminadas como descritas: 1. O usuário VPN conecta ao ASA. 2. O ASA envia uma requisição RADIUS e recebe uma resposta com a URL-reorientação e os atributos URL-reorientar-ACL: 3. Os logs ISE indicam que a autorização combina o perfil da postura (primeira entrada de registro): 4. O ASA adiciona uma reorientação à sessão de VPN: aaa_url_redirect: Added url redirect:https://ise2.test-cisco.com:8443/ guestportal/gateway?sessionid=c0a8700a0000900052b840e6&action=cpp acl:redirect for 10.10.10.10 5. O estado da sessão de VPN no ASA mostra que a postura está exigida e reorienta o tráfego de HTTP: ASA# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : cisco Index : 9 Assigned IP : 10.10.10.10 Public IP : 10.147.24.61 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Essentials Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : 16077 Bytes Rx : 19497 Pkts Tx : 43 Pkts Rx : 225 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : GP-SSL Tunnel Group : RA Login Time : 14:55:50 CET Mon Dec 23 2013 Duration : 0h:01m:34s Inactivity : 0h:00m:00s

6. VLAN Mapping : N/A VLAN : none Audt Sess ID : c0a8700a0000900052b840e6 Security Grp : 0 AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 9.1 Public IP : 10.147.24.61 Encryption : none Hashing : none TCP Src Port : 50025 TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes Client OS : win Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040 Bytes Tx : 5204 Bytes Rx : 779 Pkts Tx : 4 Pkts Rx : 1 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 9.2 Assigned IP : 10.10.10.10 Public IP : 10.147.24.61 Encryption : RC4 Hashing : SHA1 Encapsulation: TLSv1.0 TCP Src Port : 50044 TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 28 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040 Bytes Tx : 5204 Bytes Rx : 172 Pkts Tx : 4 Pkts Rx : 2 Pkts Tx Drop : 0 Pkts Rx Drop : 0 DTLS-Tunnel: Tunnel ID : 9.3 Assigned IP : 10.10.10.10 Public IP : 10.147.24.61 Encryption : AES128 Hashing : SHA1 Encapsulation: DTLSv1.0 UDP Src Port : 63296 UDP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040 Bytes Tx : 5669 Bytes Rx : 18546 Pkts Tx : 35 Pkts Rx : 222 Pkts Tx Drop : 0 Pkts Rx Drop : 0 ISE Posture: Redirect URL : https://ise2.test-cisco.com:8443/guestportal/gateway? sessionid=c0a8700a0000900052b840e6&action=cpp Redirect ACL : redirect O cliente que inicia o tráfego de HTTP que combina a reorientação ACL é reorientado ao ISE: aaa_url_redirect: Created proxy for 10.10.10.10 aaa_url_redirect: Sending url redirect:https://ise2.test-cisco.com:8443/ guestportal/gateway?sessionid=c0a8700a0000900052b840e6&action=cpp for 10.10.10.10 7. O cliente é reorientado ao ISE para a postura:

8. O agente NAC é instalado. Depois que o agente NAC é instalado, transfere as regras da postura através do protocolo suíço e executa verificações a fim determinar a conformidade. O relatório da postura é enviado então ao ISE. 9. O ISE recebe o relatório da postura, reavalia as regras da autorização, e (se necessário) muda o estado de autorização e envia um CoA. Isto pode ser verificado em ise-psc.log: cisco.cpm.posture.runtime.posturehandlerimpl -:cisco:c0a8700a0000900052b840e6 :::- Decrypting report cisco.cpm.posture.runtime.posturemanager -:cisco:c0a8700a0000900052b840e6 :::- User cisco belongs to groups NAC Group:NAC:IdentityGroups:User Identity Groups:Employee,NAC Group:NAC:IdentityGroups:An cisco.cpm.posture.runtime.posturemanager -:cisco:c0a8700a0000900052b840e6 :::- Posture report token for endpoint mac 08-00-27-CD-E8-A2 is Healthy cisco.cpm.posture.runtime.posturemanager -:cisco:c0a8700a0000900052b840e6 :::- Posture state is compliant for endpoint with mac 08-00-27-CD-E8-A2 cisco.cpm.posture.runtime.posturecoa -:cisco:c0a8700a0000900052b840e6 :::- Posture CoA is triggered for endpoint [null] with session [c0a8700a0000900052b840e6]

10. O ISE envia um CoA do RAIO que inclua o session_id e o nome DACL que permite o acesso direto: Isto é refletido nos logs ISE: A primeira entrada de registro é para a autenticação inicial que retorna o perfil da postura (com reorientação). A segunda entrada de registro é povoada depois que o relatório SUÍÇO complacente é recebido. A terceira entrada de registro é povoada quando o CoA é enviado, junto com a confirmação (descrita como a autorização dinâmica sucedida). A entrada de registro final é criada quando o ASA transfere o DACL. 11. Debuga na mostra ASA que o CoA está recebido e a reorientação está removida. O ASA transfere o DACLs se necessário: ASA# Received RAD_COA_REQUEST RADIUS packet decode (CoA-Request) Radius: Value (String) = 41 43 53 3a 43 69 73 63 6f 53 65 63 75 72 65 2d ACS:CiscoSecure- 44 65 66 69 6e 65 64 2d 41 43 4c 3d 23 41 43 53 Defined-ACL=#ACS 41 43 4c 23 2d 49 50 2d 50 45 52 4d 49 54 5f 41 ACL#-IP-PERMIT_A 4c 4c 5f 54 52 41 46 46 49 43 2d 35 31 65 66 37 LL_TRAFFIC-51ef7 64 62 31 db1 Got AV-Pair with value audit-session-id=c0a8700a0000900052b840e6

Got AV-Pair with value ACS:CiscoSecure-Defined-ACL= #ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1 aaa_url_redirect: Deleted url redirect for 10.10.10.10 12. Após a sessão de VPN, Cisco tem o DACL aplicado (acesso direto) para o usuário: ASA# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : cisco Index : 9 Assigned IP : 10.10.10.10 Public IP : 10.147.24.61 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Essentials Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : 94042 Bytes Rx : 37079 Pkts Tx : 169 Pkts Rx : 382 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : GP-SSL Tunnel Group : RA Login Time : 14:55:50 CET Mon Dec 23 2013 Duration : 0h:05m:30s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : c0a8700a0000900052b840e6 Security Grp : 0 AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 9.1 Public IP : 10.147.24.61 Encryption : none Hashing : none TCP Src Port : 50025 TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 24 Minutes Client OS : win Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040 Bytes Tx : 5204 Bytes Rx : 779 Pkts Tx : 4 Pkts Rx : 1 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 9.2 Assigned IP : 10.10.10.10 Public IP : 10.147.24.61 Encryption : RC4 Hashing : SHA1 Encapsulation: TLSv1.0 TCP Src Port : 50044 TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 24 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040 Bytes Tx : 5204 Bytes Rx : 172 Pkts Tx : 4 Pkts Rx : 2 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1 DTLS-Tunnel: Tunnel ID : 9.3 Assigned IP : 10.10.10.10 Public IP : 10.147.24.61

Encryption : AES128 Hashing : SHA1 Encapsulation: DTLSv1.0 UDP Src Port : 63296 UDP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040 Bytes Tx : 83634 Bytes Rx : 36128 Pkts Tx : 161 Pkts Rx : 379 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : #ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1 Note: O ASA remove sempre as regras da reorientação, mesmo quando o CoA não tem nenhum DACL anexado. Troubleshooting Esta seção fornece a informação que você pode se usar a fim pesquisar defeitos sua configuração. Debuga no ISE Navegue à administração > registrando > debugam a configuração do log a fim permitir debuga. Cisco recomenda que você permite provisório debuga para: SUÍÇO Transmissão contínuo (NSF) NSF-sessão Disposição Postura Incorpore este comando ao CLI a fim ver debuga: ise2/admin# show logging application ise-psc.log tail count 100 Navegue às operações > aos relatórios > ao ISE relata > valores-limite e usuários > detalhes da postura avaliação a fim ver os relatórios da postura:

Na postura mais página da avaliação do detalhe, lá é nome da política com um nome da exigência que seja indicado, junto com os resultados:

Debuga no ASA Você pode permitir estes debuga no ASA: debugar o aaa URL-reorientam debug aaa authorization debugar a dinâmico-autorização do raio debugar o raio descodificam debugar o usuário RADIUS Cisco Debuga para o agente Para o agente NAC, é possível recolher debuga com o embalador do log de Cisco, que é iniciado do GUI ou com o CLI: CCAAgentLogPackager.app. Tip: Você pode descodificar os resultados com a ferramenta do centro de assistência técnica (TAC). A fim recuperar os logs para o agente da Web, navegue a estes lugar: C : > documento e ajustes > <user> > configurações local > Temp > webagent.log (descodificado com a ferramenta tac) C : > documento e ajustes > <user> > configurações local > Temp > webagentsetup.log Note: Se os logs não estão nestes lugar, a seguir verifique o variável de ambiente TEMP. Falha da postura do agente NAC

Se a postura falha, o usuário é presentado com a razão: Ações da remediação estão permitidas então ao usuário se são configurados:

Informações Relacionadas Configurando um servidor interno para a autorização de usuário da ferramenta de segurança Guia de configuração de CLI da série VPN de Cisco ASA, 9.1 Guia do Usuário do Cisco Identity Services Engine, liberação 1.2 Suporte Técnico e Documentação - Cisco Systems

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback