CSD、DAP および AnyConnect 4.0 の設定 ASA VPN ポスチャ

Transcription

1 CSD DAP および AnyConnect 4.0 の設定 ASA VPN ポスチャ 目次 はじめに前提条件要件使用するコンポーネント設定ネットワーク図 ASA ステップ 1. 基本 SSL VPN 設定ステップ 2. CSD インストールステップ 3. DAP ポリシー ISE 確認 CSD および AnyConnect プロビジョニングポスチャの AnyConnect VPN セッション - 非対応ポスチャの AnyConnect VPN セッション - 対応トラブルシューティング AnyConnect 投げ矢関連情報 概要 この資料に適応型セキュリティアプライアンス (ASA) ソフトウェアで終了されるリモート VPN セッションのためのポスチャを行う方法を記述されています (ASA) ポスチャは HostScan モジュールが付いている Cisco Secure Desktop (CSD) の使用の ASA によってローカルで実行された VPN セッションが設定された後 対応ステーションは不適合なステーションがネットワークアクセスを制限した一方完全なネットワークアクセスを許可されます また CSD および AnyConnect は 4.0 提供フロー示されます 前提条件 要件 次の項目に関する知識が推奨されます Cisco ASA VPN 設定 Cisco AnyConnect セキュアモビリティクライアント 使用するコンポーネント

2 このドキュメントの情報は 次のソフトウェアとハードウェアのバージョンに基づくものです Microsoft Windows 7 Cisco ASA バージョン 9.3 またはそれ以降 Cisco Identity Services Engine (ISE) ソフトウェア バージョン 1.3 およびそれ以降 Cisco AnyConnect セキュアモビリティクライアント バージョン 4.0 およびそれ以降 CSD バージョン 3.6 またはそれ以降本書の情報は 特定のラボ環境にあるデバイスに基づいて作成されたものです このドキュメントで使用するすべてのデバイスは 初期 ( デフォルト ) 設定の状態から起動しています 対象のネットワークが実稼働中である場合には どのような作業についても その潜在的な影響について確実に理解しておく必要があります 設定 ネットワーク図 団体ポリシーは次の通りです : リモート VPN ユーザはファイル c:\test.txt がある ( 対応 ) 内部会社リソースへの完全なネットワークアクセスがなければなりません ファイル c:\test.txt を持っていないリモート VPN ユーザは ( 不適合な ) 内部会社リソースへのネットワークアクセスを制限したにちがいありません : 治療サーバ へのアクセスだけ提供されます ファイルプロシージャは簡単な例です 他のどの条件 ( ウイルス対策 antispyware プロセス

3 アプリケーション レジストリ ) 使用することができます フローは次の通りです : リモートユーザに AnyConnect がインストールしましたありません 彼らは CSD および AnyConnect プロビジョニングのための ASA Webページにアクセスします (VPN プロファイルと共に ) 限られたネットワークアクセスを用いる AnyConnect による接続が 不適合なユーザ許可されれば ダイナミックアクセスポリシー (DAP) 呼出された FileNotExists は一致します ユーザは治療を ( 手動でファイル c:\test.txt をインストールして下さい ) 行い AnyConnect と再度接続します 今回 完全なネットワークアクセスは提供されます (FileExists と呼ばれる DAP ポリシーは一致します ) HostScan モジュールはエンドポイントで手動でインストールすることができます サンプルファイル (hostscan-win pre-deploy-k9.msi) は共用 on Cisco 接続オンライン (CCO) です しかし それはまた ASA から押すことができます HostScan は ASA から提供できる CSD の一部です 第 2 アプローチはこの例で利用すること AnyConnect のより古いバージョンに関しては (3.1 およびより早い ) CCO ( 例で利用可能な別途のパッケージがありました : hostscan_ k9.pkg は ) 別々に設定され 提供されたかもしれないかどれが ASA で (csd hostscan イメージコマンドと ) - そのオプションが AnyConnect バージョン 4.0 のためにもう存在しません ASA ステップ 1. 基本 SSL VPN 設定 ASA は基本的な遠隔 VPN アクセス (Secure Sockets Layer (SSL)) と前もって構成されます : webvpn enable outside no anyconnect-essentials anyconnect image disk0:/anyconnect-win k9.pkg 1 anyconnect enable tunnel-group-list enable group-policy AllProtocols internal group-policy AllProtocols attributes vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless tunnel-group TAC type remote-access tunnel-group TAC general-attributes address-pool POOL authentication-server-group ISE3 default-group-policy AllProtocols tunnel-group TAC webvpn-attributes group-alias TAC enable ip local pool POOL mask aaa-server ISE3 protocol radius aaa-server ISE3 (inside) host key *****

4 AnyConnect パッケージはダウンロードされ 使用されました ステップ 2. CSD インストール それに続く設定は Adaptive Security Device Manager (ASDM) と行われます CSD は点滅し イメージに示すように設定からの参照を引き継ぐためにダウンロードされる必要があります実装します Secure Desktop を有効にすることなしでイメージに示すように DAP ポリシーで CSD 属性を利用することはできません

5 CSD を有効にした後 Secure Desktop マネージャの下の複数のオプションは現われます 注 : そのうちのいくつかが既に非難されていること知識のあってであって下さい 非推奨機能に関する詳細は見つけることができます : Secure Desktop ( 地下 ) キャッシュ洗剤 キーストロークロガー検出およびホストエミュレーション検出のための機能非推奨表記 HostScan はまだ ルールが追加される新しい基本的な HostScan フルサポートされます c:\test.txt のプロシージャはイメージに示すように確認されます また 追加高度エンドポイントアセスメントルールはイメージに示すように追加されます

6 は Symantec ノートン アンチウイルス 20.x および Microsoft Windows ファイアウォール 7. ポスチャモジュール (HostScan) の存在があるように確認することこれらの値をチェックしますしかし施行がありません (DAP ポリシーはそれを確認しません ) ステップ 3. DAP ポリシー DAP ポリシーは責任があります条件として HostScan によって収集されるデータを使用し その結果 VPN セッションに仕様属性を適用するために ASDM から DAP ポリシーを 移動 > ダイナミックアクセスポリシーイメージに示すように設定 > リモートアクセス VPN > Clientless SSL VPN アクセスに作成するため 最初ポリシー (FileExists) は設定された VPN プロファイル (VPN プロファイルによって設定使用されるグループ名を明確にするために省略されましたチェックします ) それから 追加ファイル c:\test.txt があるように実行されたイメージに示すように確認して下さい

7 その結果 操作はデフォルト設定割り当て接続と実行された ACL は使用されません - 完全なネットワークアクセスは提供されます ファイルチェックのための詳細はイメージに示すようにあります 第 2 ポリシー (FileNotExists) は類似したですが - 今回状態はファイルがイメージに示すように

8 存在しない場合です 結果に設定される access-list ACL1 があります それは限られたネットワークアクセスのプロビジョニングするの不適合な VPN ユーザ向けに適用します DAP ポリシーは両方ともイメージに示すように AnyConnect クライアントアクセスのために押します ISE ISE はユーザ認証のために使用されます ネットワークデバイス (ASA) および正しいユーザー名だけ (cisco) 設定する必要があります その一部はこの技術情報でカバーされません 確認

9 このセクションでは 設定が正常に機能していることを確認します CSD および AnyConnect プロビジョニング 最初に ユーザは AnyConnect クライアントと提供されません ユーザはまたポリシーと対応しません ( ファイル c:\test.txt はありません ) を入力すればユーザはイメージに示すように CSD インストールのためにすぐにリダイレクトされます それは Java か ActiveX とすることができます CSD がインストールされていれば イメージに示すように報告されます

10 それからユーザはイメージに示すように認証のためにリダイレクトされます AnyConnect は設定されたプロファイルと共に正常なら展開されます - 再度 ActiveX か Java はイメージに示すように使用することができます

11 そして VPN 接続はイメージに示すように確立されます AnyConnect のための第一歩はポスチャチェック (HostScan) を行い イメージに示すように ASA へレポートを送ることです

12 それから AnyConnect は VPN セッションを認証し 終えます ポスチャの AnyConnect VPN セッション - 非対応 AnyConnect の新しい VPN セッションを設定するとき 第一歩はスクリーンショットで先に示されるようにポスチャ (HostScan) です それから 認証は行われ VPN セッションはイメージに示すように設定されます

13 ASA は HostScan レポートが受け取られることを報告します : %ASA : Received 4 KB Hostscan data from IP < > それからユーザ認証を行います : %ASA : AAA user authentication Successful : server = : user = cisco そしてその VPN セッションのための許可を開始します 有効になるデバッグ DAP トレース 255" があるとき c:\test.txt ファイルのプロシージャに関する情報は返されます : DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.file["1"].exists="false" DAP_TRACE: endpoint.file["1"].exists = "false" DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.file["1"].path="c:\test.txt" DAP_TRACE: endpoint.file["1"].path = "c:\\test.txt" また Microsoft Windows ファイアウォールに関する情報 : DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["mswindowsfw"].exists="false" DAP_TRACE: endpoint.fw["mswindowsfw"].exists = "false" DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["mswindowsfw"].description="microsoft Windows Firewall" DAP_TRACE: endpoint.fw["mswindowsfw"].description = "Microsoft Windows Firewall" DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["mswindowsfw"].version="7" DAP_TRACE: endpoint.fw["mswindowsfw"].version = "7" DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["mswindowsfw"].enabled="failed" DAP_TRACE: endpoint.fw["mswindowsfw"].enabled = "failed" そして Symantec ウイルス対策 (HostScan によって先に設定されたエンドポイントアセスメントルールを進めました ) その結果 DAP ポリシーは一致します : DAP_TRACE: Username: cisco, Selected DAPs:,FileNotExists ユーザ向けに制限ネットワークアクセスを提供する AnyConnect を使用するポリシー強制はまたおよび access-list ACL1 を適用すること ( 団体ポリシーと対応 ): DAP_TRACE:The DAP policy contains the following attributes for user: cisco DAP_TRACE: DAP_TRACE:1: tunnel-protocol = svc DAP_TRACE:2: svc ask = ask: no, dflt: svc DAP_TRACE:3: action = continue DAP_TRACE:4: network-acl = ACL1 DAP ポリシーによって使用することができる ACIDEX 現在の拡張機能をまた記録します ( また更に ISE に RADIUS 要求で通じて条件として許可ルールで使用され ): endpoint.anyconnect.clientversion = " "; endpoint.anyconnect.platform = "win"; endpoint.anyconnect.devicetype = "innotek GmbH VirtualBox"; endpoint.anyconnect.platformversion = " "; endpoint.anyconnect.deviceuniqueid = "A1EDD2F14F EB42C281C98DD892F7D34239AECDBB3FEA69D6567B2591"; endpoint.anyconnect.macaddress["0"] = " f-5f-64";

14 endpoint.anyconnect.useragent = "AnyConnect Windows "; その結果 VPN セッションはしかし制限ネットワークアクセスと稼働しています : ASAv2# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : cisco Index : 4 Assigned IP : Public IP : Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : Bytes Rx : Pkts Tx : 8 Pkts Rx : 146 Group Policy : AllProtocols Tunnel Group : TAC Login Time : 11:58:54 UTC Fri Dec Duration : 0h:07m:54s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0add d4d7e Security Grp : none AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 4.1 Public IP : Encryption : none Hashing : none TCP Src Port : TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes Client OS : win Client OS Ver: Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows Bytes Tx : 5716 Bytes Rx : 764 Pkts Tx : 4 Pkts Rx : 1 SSL-Tunnel: Tunnel ID : 4.2 Assigned IP : Public IP : Encryption : RC4 Hashing : SHA1 Encapsulation: TLSv1.0 TCP Src Port : TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows Bytes Tx : 5716 Bytes Rx : 2760 Pkts Tx : 4 Pkts Rx : 12 Filter Name : ACL1 DTLS-Tunnel: Tunnel ID : 4.3 Assigned IP : Public IP : Encryption : AES128 Hashing : SHA1

15 Encapsulation: DTLSv1.0 UDP Src Port : UDP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 24 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows Bytes Tx : 0 Bytes Rx : Pkts Tx : 0 Pkts Rx : 133 Filter Name : ACL1 ASAv2# show access-list ACL1 access-list ACL1; 1 elements; name hash: 0xe535f5fe access-list ACL1 line 1 extended permit ip any host (hitcnt=0) 0xe6492cbf AnyConnect 履歴はポスチャプロセスのための詳細な手順を示します : 12:57:47 Contacting :58:01 Posture Assessment: Required for access 12:58:01 Posture Assessment: Checking for updates... 12:58:02 Posture Assessment: Updating... 12:58:03 Posture Assessment: Initiating... 12:58:13 Posture Assessment: Active 12:58:13 Posture Assessment: Initiating... 12:58:37 User credentials entered. 12:58:43 Establishing VPN session... 12:58:43 The AnyConnect Downloader is performing update checks... 12:58:43 Checking for profile updates... 12:58:43 Checking for product updates... 12:58:43 Checking for customization updates... 12:58:43 Performing any required updates... 12:58:43 The AnyConnect Downloader updates have been completed. 12:58:43 Establishing VPN session... 12:58:43 Establishing VPN - Initiating connection... 12:58:48 Establishing VPN - Examining system... 12:58:48 Establishing VPN - Activating VPN adapter... 12:58:52 Establishing VPN - Configuring system... 12:58:52 Establishing VPN... 12:58:52 Connected to ポスチャの AnyConnect VPN セッション - 対応 c:\test.txt ファイルを作成した後 フローは類似したです AnyConnect 新しいセッションが始められれば ログはファイルのプロシージャを示します : %ASA : DAP: User cisco, Addr : Session Attribute endpoint.file["1"].exists="true" %ASA : DAP: User cisco, Addr : Session Attribute endpoint.file["1"].path="c:\test.txt" そしてその結果別の DAP ポリシーは使用されます : DAP_TRACE: Username: cisco, Selected DAPs:,FileExists ポリシーはネットワークトラフィックのための制限として ACL を課しません そしてセッションは ACL ( 完全なネットワークアクセス ) なしに稼働しています :

16 ASAv2# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : cisco Index : 5 Assigned IP : Public IP : Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : Bytes Rx : 6298 Pkts Tx : 8 Pkts Rx : 38 Group Policy : AllProtocols Tunnel Group : TAC Login Time : 12:10:28 UTC Fri Dec Duration : 0h:00m:17s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0add d5034 Security Grp : none AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 5.1 Public IP : Encryption : none Hashing : none TCP Src Port : TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : win Client OS Ver: Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows Bytes Tx : 5716 Bytes Rx : 764 Pkts Tx : 4 Pkts Rx : 1 SSL-Tunnel: Tunnel ID : 5.2 Assigned IP : Public IP : Encryption : RC4 Hashing : SHA1 Encapsulation: TLSv1.0 TCP Src Port : TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows Bytes Tx : 5716 Bytes Rx : 1345 Pkts Tx : 4 Pkts Rx : 6 DTLS-Tunnel: Tunnel ID : 5.3 Assigned IP : Public IP : Encryption : AES128 Hashing : SHA1 Encapsulation: DTLSv1.0 UDP Src Port : UDP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes Client OS : Windows

17 Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows Bytes Tx : 0 Bytes Rx : 4189 Pkts Tx : 0 Pkts Rx : 31 また Anyconnect は報告しま HostScan がであることをアイドル状態および次のスキャン要求を 待っています : ASAv2# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : cisco Index : 5 Assigned IP : Public IP : Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : Bytes Rx : 6298 Pkts Tx : 8 Pkts Rx : 38 Group Policy : AllProtocols Tunnel Group : TAC Login Time : 12:10:28 UTC Fri Dec Duration : 0h:00m:17s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0add d5034 Security Grp : none AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 5.1 Public IP : Encryption : none Hashing : none TCP Src Port : TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : win Client OS Ver: Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows Bytes Tx : 5716 Bytes Rx : 764 Pkts Tx : 4 Pkts Rx : 1 SSL-Tunnel: Tunnel ID : 5.2 Assigned IP : Public IP : Encryption : RC4 Hashing : SHA1 Encapsulation: TLSv1.0 TCP Src Port : TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows Bytes Tx : 5716 Bytes Rx : 1345 Pkts Tx : 4 Pkts Rx : 6

18 DTLS-Tunnel: Tunnel ID : 5.3 Assigned IP : Public IP : Encryption : AES128 Hashing : SHA1 Encapsulation: DTLSv1.0 UDP Src Port : UDP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows Bytes Tx : 0 Bytes Rx : 4189 Pkts Tx : 0 Pkts Rx : 31 注 : 再査定に関しては ISE と統合ポスチャモジュールを使用することを 助言します トラブルシューティング このセクションでは 設定のトラブルシューティングに役立つ情報を提供します AnyConnect 投げ矢 AnyConnect はイメージに示すように診断を提供します

19 AnyConnect すべてのログを収集し 保存するかどれがデスクトップで ZIP ファイルに ZIP ファイルは含まれていること Cisco AnyConnect セキュアモビリティクライアント /Anyconnect.txt をログオンします それは ASA についての情報を提供し データを収集するように HostScan を要求します : Date : 12/26/2014 Time : 12:58:01 Type : Information Source : acvpnui Description : Function: ConnectMgr::processResponseString File:.\ConnectMgr.cpp Line: Invoked Function: ConnectMgr::processResponseString Return Code: 0 (0x ) Description: HostScan request detected. それから 倍数は他のログ CSD がインストールされていることを明らかにします これはポスチャと共に AnyConnect CSD プロビジョニングおよびそれに続く接続のための例です : CSD detected, launching CSD Posture Assessment: Required for access Gathering CSD version information. Posture Assessment: Checking for updates... CSD version file located Downloading and launching CSD Posture Assessment: Updating... Downloading CSD update CSD Stub located Posture Assessment: Initiating... Launching CSD Initializing CSD Performing CSD prelogin verification. CSD prelogin verification finished with return code 0 Starting CSD system scan. CSD successfully launched Posture Assessment: Active CSD launched, continuing until token is validated. Posture Assessment: Initiating... Checking CSD token for validity Waiting for CSD token validity result CSD token validity check completed CSD Token is now valid CSD Token validated successfully Authentication succeeded Establishing VPN session... ASA と AnyConnect 間の通信はそれを行えます ASA 要求特定のチェックだけ行うために - AnyConnect ダウンロード追加データ最適化されます ( たとえば特定のウイルス対策確認 ) TAC のケースをオープンするとき 付加投げ矢は show tech および ASA からのデバッグ DAP トレース 255" と共に記録します 関連情報

20 ホストスキャンおよびポスチャモジュールの設定 - Cisco AnyConnect セキュアモビリティクライアント管理者ガイド ホストスキャンの設定 - Cisco Secure Desktop コンフィギュレーションガイド Cisco ISE コンフィギュレーションガイドのポスチャサービス Cisco ISE 1.3 アドミニストレータガイド テクニカルサポートとドキュメント Cisco Systems