ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

Similar documents
設定 ISE 2.0 および暗号化 AnyConnect 4.2 ポスチャ BitlLocker 暗号化

CSD、DAP および AnyConnect 4.0 の設定 ASA VPN ポスチャ

Microsoft WSUS と ISE バージョン 1.4 ポスチャの設定

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

ISE と FirePOWER の統合 - 修復サービスの例

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

証明書の検証による ASA AnyConnect の二重認証、マッピング、およびプレフィル コンフィギュレーション ガイド

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

ASA および Cisco IOS グループ ロック機能と AAA 属性および WebVPN の設定例

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

Catalyst 3750 シリーズ スイッチでの ISE トラフィック リダイレクション

リモート アクセス VPN の ASA IKEv2 デバッグのトラブルシューティング

設定 2.2 クライアント プロビジョニングおよびアプリケーション

EAP-PEAP とネイティブ Windows クライアントによる ASA IKEv2 リモート アクセスの設定

IOS ゾーン ベースのポリシー ファイアウォールを使用した IOS ルータでの AnyConnect VPN クライアントの設定例

VPN の IP アドレス

FQDN を使用した ACL の設定

Catalyst 9800 ワイヤレス コントローラ AP 許可 リスト

ローカル認証の設定例を含む WLC 5760/3850 Custom WebAuth

Cisco® ASA シリーズルーター向けDigiCert® 統合ガイド

8021.X 認証を使用した Web リダイレクトの設定

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

Microsoft Word - ID32.doc

URL ACL(Enhanced)導入ガイド

ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

インターネットVPN_IPoE_IPv6_fqdn

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

Cisco ISE ポート リファレンス

索引

シスコ セキュア アクセス ハウツー ガイド:中央 Web 認証

適応型セキュリティ アプライ アンスの設定

Windows GPO のスクリプトと Cisco NAC 相互運用性

詳細設定

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

シナリオ:DMZ の設定

R80.10_FireWall_Config_Guide_Rev1

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 16 日ネットワールド 新規 I

設定例: 基本 ISDN 設定

使用する前に

Mobile Access IPSec VPN設定ガイド

LDAP サーバと統合するための ISE の設定

VPN 接続の設定

レイヤ 3 アウトオブバンド(L3 OOB) の設定

Win XP SP3 Japanese Ed. NCP IPSec client Hub L3 SW SRX100 Policy base VPN fe-0/0/0 vlan.0 Win 2003 SVR /

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

ISE ポスチャ スタイルの 2.2 前後の比較

Web 認証拡張機能簡易ドキュメント

はじめに

Mobile Access簡易設定ガイド

CLI を使用するレガシー SCEP の設定例

Windows Phone 用 Cisco AnyConnect セキュアモビリティクライ アントユーザガイド(リリース 4.1.x)

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

WeChat 認証ベースのインターネット アクセス

SRT/RTX/RT設定例集

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

ローカル ポリシーでの FIPS の有効化

authentication command bounce-port ignore ~ auth-type

Lync Server 2010 Lync Server Topology Builder BIG-IP LTM Topology Builder IP Lync 2010 BIG IP BIG-IP VE Virtual Edition BIG-IP SSL/TLS BIG-IP Edge Web

RADIUS を使用した Windows 2008 NPS サーバ(Active Directory)に対する ASA VPN ユーザ認証の設定例

設定例集_Rev.8.03, Rev.9.00, Rev.10.01対応

シナリオ:サイトツーサイト VPN の設定

IPSEC(Si-RGX)

セキュリティ機能の概要

アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール

ASA: ASDM 設定を使用したスマート トンネルの設定例

Juniper Networks Corporate PowerPoint Template

AW-PCS認証設定手順1805

FUI 機能付きの OCS サーバ URL リダイレクトの設定例

音声認識サーバのインストールと設定

RADIUS NAS-IP-Address アトリビュート 設定可能性

適応型セキュリティ アプライ アンスの設定

Microsoft PowerPoint - SSO.pptx[読み取り専用]

Net'Attest EPS設定例

VPN クライアントと AnyConnect クライアントからローカル LAN へのアクセスの設定例

PowerPoint Presentation

ユーザ デバイス プロファイル エクス ポートの使用方法

セキュリティ機能の概要

LAN

ScreenOS 5.0 ScreenOS 5.0 Deep Inspection VLAN NetScreen-25/-50/-204/-208 HA NetScreen-25 HA Lite NetScreen-25 NetScreen-50) ALG(Application Layer Gat

はじめに 注意事項 本資料に記載の内容は 弊社が特定の環境において 基本動作や接続動作を確認したものであり すべての環境で機能 性能 信頼性を保証するものではありません 商標一覧 RSA RSA ロゴ SecurID については RSA Security Inc. の米国およびその他の国における商標

Dynamic VPN Dynamic VPN IPSec VPN PC SRX IPSec VPN SRX PC IPSec 2 Copyright 2010 Juniper Networks, Inc.

Microsoft Word - SSL-VPN接続サービスの使い方

untitled

シングル サインオンとキャプティブ ポータル認証(On-Box Management)用に ASDM と Active Directory を設定する

Configuring VPN from Proventia M Series Appliance to Cisco PIX 515E

Cisco Security Device Manager サンプル設定ガイド

CEM 用の Windows ドメイン コントローラ上の WMI の設定

パスワード暗号化の設定

使用する前に

索引

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

シスコ以外の SIP 電話機の設定

実習 : 拡張 ACL の設定と確認 トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 9 ページ

WLC で画面設定をキャストするための mDNS サービスとしての Chromecast

SCREENOS NAT ScreenOS J-Series(JUNOS9.5 ) NAT ScreenOS J-Series(JUNOS9.5 ) NAT : Destination NAT Zone NAT Pool DIP IF NAT Pool Egress IF Loopback Grou

Untitled

Aventail EX-2500/1600/750 STv(Ver.8.9) Sep 2007 c 2007 SonicWALL,Inc. All rights reserved.

WSA に対する AnyConnect テレメトリの設定

BIG-IP APM ネットワークアクセスかんたんセットアップガイド (v 対応 ) View Proxy 編 F5 Networks Japan V1.1

Transcription:

ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定 目次 はじめに前提条件要件使用するコンポーネント設定ネットワーク図 ASA ISE 手順 1: ネットワークデバイスの設定手順 2: ポスチャの条件およびポリシーの設定手順 3: クライアントプロビジョニングのリソースとポリシーの設定手順 4: 許可ルールの設定確認 VPN セッションの確立前 VPN セッションの確立クライアントプロビジョニングポスチャのチェックと CoA トラブルシューティング参考資料 概要 このドキュメントでは USB マスストレージデバイスが切断されている場合のみ ネットワークへのフルアクセスを提供するよう Cisco Identity Services Engine(ISE) を設定する手順について説明します 前提条件 要件 次の項目に関する知識が推奨されます 適応型セキュリティアプライアンス (ASA)CLI の設定およびセキュアソケットレイヤ (SSL)VPN の設定に関する基本的知識 ASA でのリモートアクセス VPN 設定に関する基本的な知識 ISE サービスとポスチャサービスに関する基本的な知識 使用するコンポーネント

Cisco Identity Services Engine(ISE) バージョン 2.1 および AnyConnect Secure Mobility Client 4.3 は USB マスストレージのチェックおよび修復機能をサポートしています このドキュメントの情報は 次のソフトウェアのバージョンに基づくものです Cisco ASA ソフトウェアバージョン 9.2(4) 以降 Cisco AnyConnect セキュアモビリティクライアントバージョン 4.3 以降を備えた Microsoft Windows Version 7 Cisco ISE リリース 2.1 以降 設定 ネットワーク図 フローは次のとおりです この時点では ユーザはまだ VPN に接続していません プライベートの USB マスストレージデバイスが接続され ユーザはデバイス内のデータにアクセスできます AnyConnect クライアントから開始された VPN セッションが ISE を介して認証されます エンドポイントのポスチャステータスは不明です Posture_Unknown というルールが該当し この結果 セッションは ISE にリダイレクトされます USB チェックにより AC ISE ポスチャの新たなチェッククラスが導入されます これにより 同一の ISE によって管理されるネットワークに属しているかぎり エンドポイントは継続的にモニタされます 使用可能となる唯一の論理的な修復アクションは ドライブ文字で識別された USB デバイスをブロックすることです ASA 上の VPN セッションが更新され リダイレクト ACL が削除され フルアクセスが許可されます ここでは VPN セッションの例を挙げていますが ポスチャ機能は 他のタイプのアクセスに対しても適切に機能します ASA ASA は AAA サーバとして ISE を使用して リモート SSL VPN アクセス用に設定されています

RADIUS CoA およびリダイレクト ACL は 次のように設定する必要があります aaa-server ISE21 protocol radius authorize-only interim-accounting-update periodic 1 dynamic-authorization aaa-server ISE21 (outside) host 10.48.23.88 key cisco tunnel-group RA type remote-access tunnel-group RA general-attributes address-pool POOL authentication-server-group ISE21 accounting-server-group ISE21 default-group-policy GP-SSL tunnel-group RA webvpn-attributes group-alias RA enable webvpn enable outside anyconnect image disk0:/anyconnect-win-4.3.00520-k9.pkg 1 anyconnect enable tunnel-group-list enable error-recovery disable group-policy GP-SSL internal group-policy GP-SSL attributes dns-server value 10.62.145.72 vpn-tunnel-protocol ssl-client access-list ACL_WEBAUTH_REDIRECT extended deny udp any any eq domain access-list ACL_WEBAUTH_REDIRECT extended deny ip any host 10.48.23.88 access-list ACL_WEBAUTH_REDIRECT extended deny icmp any any access-list ACL_WEBAUTH_REDIRECT extended permit tcp any any 詳細については 次のドキュメントを参照してください AnyConnect 4.0 と ISE バージョン 1.3 統合の設定例 ISE 手順 1: ネットワークデバイスの設定 [Administration] > [Network Resources] > [Network Devices] の順に選択し ASA を追加します

手順 2: ポスチャの条件およびポリシーの設定 次のように移動して ポスチャの条件が更新されていることを確認します これには [Administration] > [System] > [Settings] > [Posture] > [Updates] > [Update now] オプションの順に選択します ISE 2.1 では USB 条件が事前に設定されています これにより USB マスストレージデバイスが接続されているかどうかがチェックされます [Policy] > [Policy Elements] > [Conditions] > [Posture] > [USB Condition] の順に選択して 既存の条件を確認します

[Policy] > [Policy Elements] > [Results] > [Posture] > [Requirements] の順に選択して この条件を使用する 事前設定された要件を確認します [Policy] > [Posture] を選択して すべての Windows がこの要件を使用するための条件を追加します

[Policy] > [Policy Elements] > [Results] > [Posture] > [Remediation Actions] > [USB Remediations] の順に選択して USB ストレージデバイスをブロックする 事前設定された修復アクションを確認します 手順 3: クライアントプロビジョニングのリソースとポリシーの設定 [Policy] > [Policy Elements] > [Client Provisioning] > [Resources] の順に選択して Cisco.com からコンプライアンスモジュールをダウンロードし AnyConnect 4.3 パッケージを手動でアップロードします

[Add] > [NAC Agent] または [AnyConnect Posture Profile] を使用して AnyConnect Posture プロファイル ( 名前は Anyconnect_Posture_Profile ) をデフォルト設定で作成します [Add] > [AnyConnect Configuration] を使用して AnyConnect 設定 ( 名前は AnyConnect Configuration ) を追加します [Policy] > [Client Provisioning] の順に選択して Windows が AnyConnect Configuration を使用するための新しいルール (Windows_Posture) を作成します

手順 4: 許可ルールの設定 [Policy] > [Policy Elements] > [Results] > [Authorization] の順に選択して デフォルトのクライアントプロビジョニングポータルへリダイレクトする許可プロファイル ( 名前は Posture_Redirect ) を追加します 注 : ACL_WEBAUTH_REDIRECT ACL は ASA 上で定義されます [Policy] > [Authorization] の順に選択して リダイレクトの許可ルールを作成します ISE では 準拠デバイスに対する許可ルールが事前設定されています

エンドポイントがルールに準拠している場合は フルアクセスが許可されます ステータスが不明 または非準拠のエンドポイントに対しては クライアントプロビジョニングのリダイレクションが返されます 確認 VPN セッションの確立前 USB デバイスが接続され ユーザがこのデバイス内のデータにアクセスできます

VPN セッションの確立 認証中 ISE は Posture_Redirect Authorization プロファイルの一環として リダイレクトアクセスリストおよびリダイレクト URL を返します VPN セッションの確立後は クライアントからの ASA トラフィックはリダイレクトアクセスリ

ストに基づきリダイレクトされます BSNS-ASA5515-11# sh vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed Username : cisco Index : 29 Assigned IP : 10.10.10.10 Public IP : 10.229.16.34 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel License : AnyConnect Premium Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES128 DTLS-Tunnel: (1)AES128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : 14696 Bytes Rx : 18408 Pkts Tx : 20 Pkts Rx : 132 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : GP-SSL Tunnel Group : RA Login Time : 15:57:39 CET Fri Mar 11 2016 Duration : 0h:07m:22s Inactivity : 0h:00m:00s VLAN Mapping : N/A VLAN : none Audt Sess ID : 0a3042ca0001d00056e2dce3 Security Grp : none AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 29.1 Public IP : 10.229.16.34 Encryption : none Hashing : none TCP Src Port : 61956 TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes Client OS : win Client OS Ver: 6.1.7601 Service Pack 1 Client Type : AnyConnect Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520 Bytes Tx : 6701 Bytes Rx : 774 Pkts Tx : 5 Pkts Rx : 1 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 29.2 Assigned IP : 10.10.10.10 Public IP : 10.229.16.34 Encryption : AES128 Hashing : SHA1 Encapsulation: TLSv1.0 TCP Src Port : 61957 TCP Dst Port : 443 Auth Mode : userpassword Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes Client OS : Windows Client Type : SSL VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520 Bytes Tx : 6701 Bytes Rx : 1245 Pkts Tx : 5 Pkts Rx : 5 Pkts Tx Drop : 0 Pkts Rx Drop : 0 DTLS-Tunnel: Tunnel ID : 29.3 Assigned IP : 10.10.10.10 Public IP : 10.229.16.34 Encryption : AES128 Hashing : SHA1 Encapsulation: DTLSv1.0 UDP Src Port : 55708 UDP Dst Port : 443 Auth Mode : userpassword

Idle Time Out: 30 Minutes Idle TO Left : 26 Minutes Client OS : Windows Client Type : DTLS VPN Client Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520 Bytes Tx : 1294 Bytes Rx : 16389 Pkts Tx : 10 Pkts Rx : 126 Pkts Tx Drop : 0 Pkts Rx Drop : 0 ISE Posture: Redirect URL : https://ise21-1ek.example.com:8443/portal/gateway?sessionid=0a3042ca0001d00056e2dce3&portal=2b1ba210-e... Redirect ACL : ACL_WEBAUTH_REDIRECT クライアントプロビジョニング この段階では エンドポイントの Web ブラウザトラフィックは ISE にリダイレクトされ クライアントプロビジョニングが行われます 必要に応じて AnyConnect とともに ポスチャおよびコンプライアンスモジュールが更新されます ポスチャのチェックと CoA ポスチャモジュールが実行され ISE が検出され (enroll.cisco.com での処理が正常に行われるために DNS A レコードが必要になる場合があります ) ポスチャ条件がダウンロードおよびチェックされます USB デバイスをブロックする新たな OPSWAT v4 アクションが使用されます 設定したメッセージがユーザに表示されます

ユーザがこのメッセージを確認すると ユーザはこの USB デバイスを使用できなくなります ASA はリダイレクション ACL を削除し フルアクセスを許可します 適合していることが AnyConnect によって報告されます

また ISE の詳細レポートでは 要求される条件を満たしたエンドポイントを確認できます 条件別のポスチャアセスメント : エンドポイント別のポスチャアセスメント :

エンドポイントの詳細レポート : トラブルシューティング ISE では不適合条件の詳細を確認できます これに従い 適切なアクションを実行する必要があります 参考資料 セキュリティアプライアンスのユーザ承認用の外部サーバの設定 Cisco ASA シリーズ VPN CLI 構成ガイド 9.1 Cisco Identity Services Engine 管理者ガイドリリース 2.0 テクニカルサポートとドキュメント Cisco Systems

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック