In questo documento viene descritto come configurare la funzionalità di postura di Cisco Identity Services Engine (ISE) quando è integrata con Microsoft Windows Server Update Services (WSUS).
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
In questa sezione viene descritto come configurare l'ISE e i relativi elementi di rete.
Questa è la topologia utilizzata per gli esempi riportati nel presente documento:
Di seguito è riportato il flusso del traffico, come mostrato nello schema della rete:
Il servizio WSUS viene distribuito tramite la porta TCP standard 8530. È importante ricordare che per il monitoraggio e l'aggiornamento vengono utilizzate anche altre porte. Per questo motivo, è consigliabile aggiungere l'indirizzo IP di WSUS all'elenco di controllo di accesso (ACL) di reindirizzamento sull'appliance ASA (descritto più avanti in questo documento).
I Criteri di gruppo per il dominio sono configurati per gli aggiornamenti di Microsoft Windows e puntano al server WSUS locale:
Di seguito sono riportati gli aggiornamenti consigliati abilitati per i criteri granulari basati su livelli di gravità diversi:
Il targeting lato client offre una flessibilità molto maggiore. L'ISE può utilizzare criteri di postura basati sui diversi contenitori di computer di Microsoft Active Directory (AD). WSUS può approvare gli aggiornamenti basati su questa appartenenza.
Viene utilizzato l'accesso VPN SSL (Secure Sockets Layer) semplice per l'utente remoto (i cui dettagli non rientrano nell'ambito di questo documento).
Di seguito è riportato un esempio di configurazione:
interface GigabitEthernet0/0
nameif outside
security-level 10
ip address 172.16.32.100 255.255.255.0
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.16.31.100 255.255.255.0
aaa-server ISE protocol radius
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE (inside) host 172.16.31.202
key cisco
webvpn
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
group-policy POLICY internal
group-policy POLICY attributes
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
tunnel-group SSLVPN type remote-access
tunnel-group SSLVPN general-attributes
address-pool POOL-VPN
authentication-server-group ISE
accounting-server-group ISE
default-group-policy POLICY
ip local pool POOL-VPN 172.16.50.50-172.16.50.60 mask 255.255.255.0
È importante configurare un elenco degli accessi sull'appliance ASA, in modo da determinare il traffico che deve essere reindirizzato all'ISE (per gli utenti non ancora conformi):
access-list Posture-redirect extended deny udp any any eq domain
access-list Posture-redirect extended deny ip any host 172.16.31.103
access-list Posture-redirect extended deny ip any host 172.16.31.202
access-list Posture-redirect extended deny icmp any any
access-list Posture-redirect extended permit tcp any any eq www
Per gli utenti non conformi è consentito solo il traffico DNS (Domain Name System), ISE, WSUS e ICMP (Internet Control Message Protocol). Tutto il resto del traffico (HTTP) viene reindirizzato all'ISE per il provisioning AnyConnect 4, che è responsabile della postura e delle operazioni di monitoraggio e aggiornamento.
Completare questi passaggi per configurare la correzione della postura per WSUS:
L'agente di Microsoft Windows Update si connette quindi a Windows Server Update Services e verifica se sono presenti aggiornamenti critici per il PC in attesa dell'installazione:
Per creare una nuova regola, passare a Criterio > Condizioni > Postura > Requisiti. La regola utilizza una condizione fittizia denominata pr_WSUSRule, ovvero viene contattato WSUS per verificare la condizione quando è necessario eseguire il monitoraggio e l'aggiornamento (aggiornamenti critici).
Quando questa condizione viene soddisfatta, WSUS installa gli aggiornamenti configurati per il PC. Tra questi sono inclusi tutti i tipi di aggiornamenti e quelli con livelli di gravità inferiori:
Configurare il profilo del modulo di postura insieme al profilo AnyConnect 4 (come descritto nell'esempio di configurazione di AnyConnect 4.0 Integration con ISE versione 1.3):
Quando il profilo AnyConnect è pronto, è possibile farvi riferimento dai criteri di provisioning client:
L'intera applicazione, insieme alla configurazione, viene installata sull'endpoint, che viene reindirizzato alla pagina del portale di provisioning client. È possibile aggiornare AnyConnect 4 e installare un modulo aggiuntivo (postura).
Creare un profilo di autorizzazione per il reindirizzamento al profilo di provisioning client:
Nell'immagine sono illustrate le regole di autorizzazione:
Per la prima volta, viene utilizzata la regola ASA-VPN_quarantine. Di conseguenza, viene restituito il profilo di autorizzazione Posture e l'endpoint viene reindirizzato al portale di provisioning client per AnyConnect 4 (con modulo posture).
Una volta ottenuta la conformità, viene utilizzata la regola ASA-VPN_compliant e viene consentito l'accesso completo alla rete.
Le informazioni contenute in questa sezione permettono di verificare che la configurazione funzioni correttamente.
I criteri di dominio con la configurazione WSUS devono essere sottoposti a push dopo che il PC ha eseguito l'accesso al dominio. Questa situazione può verificarsi prima che la sessione VPN venga stabilita (fuori banda) o dopo l'utilizzo della funzionalità Avvia prima dell'accesso (utilizzabile anche per l'accesso wireless/cablato 802.1x).
Una volta che il client Microsoft Windows ha la configurazione corretta, questa può essere riflessa dalle impostazioni di Windows Update:
Se necessario, è possibile aggiornare un oggetto Criteri di gruppo e utilizzare l'individuazione del server dell'agente Microsoft Windows Update:
C:\Users\Administrator>gpupdate /force
Updating Policy...
User Policy update has completed successfully.
Computer Policy update has completed successfully.
C:\Users\Administrator>wuauclt.exe /detectnow
C:\Users\Administrator>
Il processo di approvazione può trarre vantaggio dall'assegnazione dei siti client:
Se necessario, inviare nuovamente il report con wuclt.
In questa immagine viene illustrato come controllare lo stato del PC in Windows Server Update Services:
È necessario installare un aggiornamento per l'aggiornamento successivo con WSUS.
Dopo aver stabilito la sessione VPN, viene utilizzata la regola di autorizzazione
ISE, che restituisce il profilo di autorizzazione Posture. Di conseguenza, il traffico HTTP dall'endpoint viene reindirizzato per il provisioning del modulo di aggiornamento e postura di AnyConnect 4:A questo punto, lo stato della sessione sull'appliance ASA indica che l'accesso è limitato con il reindirizzamento del traffico HTTP all'ISE:
asav# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 69
Assigned IP : 172.16.50.50 Public IP : 192.168.10.21
<...some output omitted for clarity...>
ISE Posture:
Redirect URL : https://ise14.example.com:8443/portal/gateway?sessionId=ac101f64000
45000556b6a3b&portal=283258a0-e96e-...
Redirect ACL : Posture-redirec
Il modulo di postura riceve le policy dall'ISE. I debug ise-psc.log mostrano il requisito inviato al modulo della postura:
2015-06-05 07:33:40,493 DEBUG [portal-http-service12][] cisco.cpm.posture.runtime.
PostureHandlerImpl -:cisco:ac101f6400037000556b40c1:::- NAC agent xml
<?xml version="1.0" encoding="UTF-8"?><cleanmachines>
<version>2</version>
<encryption>0</encryption>
<package>
<id>10</id>
WSUS
<version/>
<description>This endpoint has failed check for any AS installation</description>
<type>10</type>
<optional>0</optional>
42#1
<remediation_type>1</remediation_type>
<remediation_retry>0</remediation_retry>
<remediation_delay>0</remediation_delay>
<action>10</action>
<check>
pr_WSUSCheck
</check>
<criteria/>
</package>
</cleanmachines>
Il modulo di postura attiva automaticamente l'agente di Microsoft Windows Update per la connessione a Windows Server Update Services e il download degli aggiornamenti come configurato nei criteri di Windows Server Update Services (il tutto automaticamente senza alcun intervento da parte dell'utente):
Ciò si verifica dopo che la stazione è stata segnalata come conforme dal modulo di postura di AnyConnect:
Il report viene inviato all'ISE, che valuta nuovamente la policy e incontra la regola di autorizzazione
. Ciò consente l'accesso completo alla rete (tramite Radius CoA). Per verificare questa condizione, passare a Operazioni > Autenticazioni:I debug (ise-psc.log) confermano anche lo stato di conformità, il trigger CoA e le impostazioni finali per la postura:
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureManager -:cisco:
ac101f6400039000556b4200:::- Posture report token for endpoint mac
08-00-27-DA-EF-AD is Healthy
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400039000556b4200:::- entering triggerPostureCoA for session
ac101f6400039000556b4200
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureCoA -:cisco:ac
101f6400039000556b4200:::- Posture CoA is scheduled for session id
[ac101f6400039000556b4200]
DEBUG [portal-http-service17][] cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:
ac101f6400039000556b4200:::- DM_PKG report non-AUP:html = <!--X-Perfigo-DM-Error=0-->
<!--error=0--><!--X-Perfigo-DmLogoff-Exit=0--><!--X-Perfigo-Gp-Update=0-->
<!--X-Perfigo-Auto-Close-Login-Scr=0--><!--X-Perfigo-Auto-Close-Login-Scr-Time=0-->
<!--user role=--><!--X-Perfigo-OrigRole=--><!--X-Perfigo-UserKey=dummykey-->
<!--X-Perfigo-RedirectUrl=--><!--X-Perfigo-ShowInfo=--><!--X-Perfigo-Session=-->
<!--X-Perfigo-SSO-Done=1--><!--X-Perfigo-Provider=Device Filter-->
<!--X-Perfigo-UserName=cisco--><!--X-Perfigo-DHCP-Release-Delay=4-->
<!--X-Perfigo-DHCP-Renew-Delay=1--><!--X-Perfigo-Client-MAC=08:00:27:DA:EF:AD-->
DEBUG [pool-183-thread-1][]cisco.cpm.posture.runtime.PostureCoA -:cisco:
ac101f6400036000556b3f52:::- Posture CoA is triggered for endpoint [08-00-27-da-ef-ad]
with session [ac101f6400039000556b4200]
Inoltre, il report ISE (Detailed Posture Assessment) conferma che la stazione è conforme:
Non sono attualmente disponibili informazioni sulla risoluzione dei problemi per questa configurazione.
In questa sezione vengono fornite alcune informazioni importanti sulla configurazione descritta in questo documento.
È importante distinguere la condizione del requisito dalla correzione. AnyConnect attiva l'agente di Microsoft Windows Update per verificare la conformità, a seconda dell'impostazione di convalida degli aggiornamenti di Windows tramite monitoraggio e aggiornamento.
Per questo esempio viene utilizzato il livello di gravità. Con l'impostazione Critico, l'agente di Microsoft Windows controlla se sono presenti aggiornamenti critici in sospeso (non installati). In caso affermativo, verrà avviata la risoluzione.
Il processo di monitoraggio e aggiornamento potrebbe quindi installare tutti gli aggiornamenti critici e meno importanti in base alla configurazione di WSUS (aggiornamenti approvati per il computer specifico).
Se l'opzione Convalida aggiornamenti di Windows tramite è impostata su Cisco Rules, la conformità della stazione è determinata dalle condizioni descritte nei requisiti.
Per le distribuzioni senza un server WSUS, è possibile utilizzare un altro tipo di monitoraggio e aggiornamento denominato Monitoraggio e aggiornamento di Windows Update:
Questo tipo di monitoraggio e aggiornamento consente di controllare le impostazioni di Microsoft Windows Update e di eseguire aggiornamenti immediati. Una condizione tipica utilizzata con questo tipo di monitoraggio e aggiornamento è pc_AutoUpdateCheck. In questo modo è possibile verificare se l'impostazione di Microsoft Windows Update è abilitata sull'endpoint. In caso contrario, è possibile attivarlo ed eseguire l'aggiornamento.
Una nuova funzione di ISE versione 1.4, chiamata gestione delle patch, consente l'integrazione con molti fornitori terzi. A seconda del fornitore, sono disponibili diverse opzioni sia per le condizioni che per le soluzioni.
Per Microsoft, sono supportati sia il server di gestione del sistema (SMS) che System Center Configuration Manager (SCCM).
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
03-Aug-2015 |
Versione iniziale |