본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 Cisco ISE(Identity Service Engine) 3.1 버전에 도입된 포스처 상태 동기화의 구성 및 사용에 대해 설명합니다.
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
모든 유형 대신 Posture 컨피그레이션이 있어야 합니다.
나중에 설명하는 개념을 더 잘 이해하려면 다음 단계를 거치는 것이 좋습니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
ISE Posture 플로우는 일반적으로 ISE의 클라이언트에서 포스처 상태를 업데이트할 수 없습니다. Cisco Secure Client Posture Module은 엔드포인트의 상태(Posture) 상태를 평가하고 네트워크 변경, 정기 재평가 또는 기타 클라이언트측이 트리거될 때까지 이를 유지하는 데 사용됩니다. 세션 종료 또는 기타 이유로 인해 ISE에서 엔드포인트 상태 상태가 변경되면 Secure Client Posture Module은 해당 변경 사항을 인식하지 못할 수 있으므로, 엔드포인트는 클라이언트측 트리거 중 하나가 발생할 때까지 네트워크 액세스가 제한된 상태 알 수 없음 상태로 유지됩니다.
이 문서는 새로운 기능, 즉 Posture Status Synchronization에 초점을 맞추고 있습니다. 이 기능은 이러한 종류의 문제를 해결하고 ISE가 엔드포인트의 현재 Posture Status에 대한 피드백을 Secure Client Posture Module에 제공할 수 있도록 개발되었습니다.
Posture State Synchronization(포스처 상태 동기화)이 활성화된 경우 포스처 상태 프로브 포트가 각 ISE PSN 노드에 도입되었습니다(기본적으로 TCP 8449). 엔드 포인트 상태 상태가 알 수 없음 또는 보류 중 인 경우 엔드 포인트에서 연결 할 수 있어야 하고 엔드 포인트 상태가 규정 준수 인 경우 도달 할 수 없습니다.
포스처 상태 동기화 기능 컨피그레이션은 다음 두 부분으로 구성됩니다.
1.1 Cisco ISE GUI에서 Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Client Provisioning(클라이언트 프로비저닝) > Resources(리소스)로 이동합니다.
1.2 이미 사용 중인 AnyConnect Posture 프로파일을 선택하거나 새 프로파일을 생성합니다.
1.3 Agent Behavior(에이전트 동작) 영역에서 Posture State Synchronization Interval(포스처 상태 동기화 간격)을 1~300초 사이의 값으로 구성합니다. 0은 포스처 상태 동기화를 비활성화합니다
1.4 Posture Probing Backup List(포스처 프로빙 백업 목록)를 구성할 수 있습니다. 보안 클라이언트는 이 목록을 사용하여 선택한 PSN의 포스처 상태를 확인합니다. PSN을 선택하지 않으면 포스처 상태 동기화를 위한 백업으로 연결된 PSN과 두 개의 백업 서버가 사용됩니다.
2. 클라이언트 포스처 상태가 Compliant 또는 Non-Compliant인 경우 Cisco ISE의 포스처 상태 동기화 포트에 대한 액세스를 차단하기 위한 dACL(downloadable ACL)의 구성 엔드포인트 상태가 알려진 경우 포스처 상태 동기화 포트에 대한 액세스를 제한하려면 규정 준수 엔드포인트에 사용되는 ACL의 맨 위에 있는 모든 PSN에 대해 포스처 상태 동기화 포트로 액세스 제어 거부 항목을 추가해야 합니다. 예를 들면 다음과 같습니다.
deny tcp any host PSN1-IP-ADDRESS eq 8449
deny tcp any host PSN2-IP-ADDRESS eq 8449
permit ip any any
permit ip any any는 필수 사항이 아니며 필요에 따라 규칙 집합으로 대체할 수 있습니다.
참고: dACL의 거부 항목이 구성되지 않은 경우 Cisco ISE 대시보드에서 상태 컨피그레이션 탐지 경보가 트리거되며 Cisco Secure Client가 다시 시작될 때까지 엔드포인트에서 상태 동기화가 비활성화됩니다.
Posture State Synchronization 포트(양방향 포트)는 클라이언트 프로비저닝 포털 컨피그레이션 페이지에서 변경할 수 있습니다. Administration(관리) > Device Portal Management(디바이스 포털 관리) > Client Provisioning(클라이언트 프로비저닝) > Select desired portal(원하는 포털) > Portal Behavior and Flow Settings(포털 동작 및 플로우 설정)로 이동하고 Portal Settings(포털 설정)를 엽니다. 기본 클라이언트 프로비저닝 포털의 상태 동기화 포트를 변경할 수 없습니다.
상태 동기화는 DART 번들의 Cisco Secure Client Posture Module 로그(AnyConnect_ISEPosture.txt)를 확인하여 클라이언트 측에서 확인할 수 있습니다.
1. 상태 평가가 완료, 상태 상태가 규정 준수 입니다.
2022/11/09 12:22:47 [Information] aciseagent Function: Authenticator::sendUIStatus Thread Id: 0xC60 File: authenticator.cpp Line: 1905 Level: debug MSG_SU_STEP_STATUS, {Status:4,Compliant:2,RemStatus:2,Phase:0,StepNumber:-1,Progress:-1,Attention:1,Cancellable:0,Restartable:0,ErrorMessage:0,Description1:"Compliant.",Description2:"Network access allowed."}.
2. 상태 동기화 프로브가 시작되었습니다.
2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 143 Level: info Session Sync Periodic Probing start.
2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 335 Level: info Session sync periodic probing thread start.
3. 포스처 상태 동기화 포트(8449)에서 ISE PSN에 대한 HTTPS 연결이 시작되었습니다.
2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 357 Level: debug Sending http session sync periodic probe to [ISE-PSN-FQDN].
2022/11/09 12:22:47 [Information] aciseagent Function: HttpConnection::MakeRequest Thread Id: 0x296C File: httpconnection.cpp Line: 330 Level: debug Url=https://ISE-PSN-FQDN:8449/auth/StateSynch.
4. 포스처 상태 동기화 프로빙 시간 초과.
2022/11/09 12:22:54 [Information] aciseagent Function: hs_transport_winhttp_post Thread Id: 0x296C File: hs_transport_winhttp.c Line: 5815 Level: debug unable to send request: 12002.
2022/11/09 12:22:54 [Information] aciseagent Function: hs_transport_post Thread Id: 0x296C File: hs_transport.c Line: 1425 Level: trace posting data failed.
2022/11/09 12:22:54 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 394 Level: debug HTTP Probe failed/timed-out, Retrying...
클라이언트에서 수행된 패킷 캡처는 ISE PSN의 SYN-ACK 응답 없이 포스처 상태 동기화 포트(8449)에서 ISE PSN 노드로 전송된 SYN 패킷을 보여줍니다.
Posture State Synchronization 포트(8449)의 연결이 실패해야 하므로 ISE측에서 Correct Posture Status Synchronization 컨피그레이션을 확인할 수 없습니다.
1) Cisco Secure Client가 "호환" 상태에 있는 동안 ISE에서 상태 정보가 "알 수 없음"으로 수신되었습니다.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 430 Level: debug --- Http Response Headers ---.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug HTTP-Version: 1.1.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Status-Code: 200.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Connection: keep-alive.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Date: Wed, 09 Nov 2022 11:26:24 GMT.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Keep-Alive: timeout=20.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Content-Length: 0.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Server: server.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug X-Frame-Options: SAMEORIGIN.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Strict-Transport-Security: max-age=31536000; includeSubDomains.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug X-Content-Type-Options: nosniff.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' http://www.cisco.com/ data:;.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug X-XSS-Protection: 1; mode=block.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug Accept-CH: Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Platform, Sec-CH-UA.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug X-ISE-POSTURE_STATUS: Unknown.
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 442 Level: debug --------------------.
2) Cisco Secure Client는 상태 변경을 승인하고 상태 검색을 재시작합니다.
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 379 Level: debug Different Session state on ISE = [ ISE-PSN-FQDN]. Restarting discovery.
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 387 Level: debug MSG_NS_SWIFT_RESTART_SEARCH, {manualRescan:0,stopPeriodicProbe:1}.
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1431 Level: debug Restarting Discovery.
3) Cisco Secure Client는 상태 평가가 수행될 때까지 상태 동기화를 중지합니다.
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::processMessage Thread Id: 0xC60 File: swifthttprunner.cpp Line: 383 Level: debug Periodic Probes requested to be stopped.
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1436 Level: debug MSG_PN_STOP_PERIODIC_PROBE sent.
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1437 Level: debug MSG_PN_STOP_PERIODIC_PROBE, .
2022/11/09 12:26:24 [Information] aciseagent Function: hs_transport_free Thread Id: 0xC60 File: hs_transport.c Line: 606 Level: trace de-initialization done.
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 210 Level: debug MSG_PN_STOP_PERIODIC_PROBE received..
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 224 Level: debug Periodic Probing stopped.
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 411 Level: info Session sync periodic probing thread end.
AnyConnect_ISEPosture.txt 로그 파일에 포스처 상태 동기화 시작에 대한 표시가 없고 클라이언트가 포스처 상태 동기화 포트(8449)에서 ISE PSN 노드와의 연결을 설정하지 않는 경우 DART 번들에서 또는 Windows PC용 클라이언트 시스템에서 직접 포스처 구성 파일 ISEPostureCFG.xml을 확인하십시오. "%ProgramData%\Cisco\Cisco Secure Client\ISE Posture\"
상태 동기화를 담당하는 매개 변수는 "StateSyncProbeInterval"이며 0보다 큰 값으로 설정되어야 합니다.
"StateSyncProbeInterval" 또는 "0" 값이 없으면 상태 동기화가 비활성화되었음을 의미합니다.
ISE의 Posture Profile에서 "Posture State Synchronization Interval"이 설정되었지만 클라이언트의 컨피그레이션 파일에 반영되지 않은 경우 Posture 프로비저닝을 조사해야 합니다.
ISE에서 포스처 상태 동기화가 경보와 함께 실패하는 경우 Cisco Secure Client가 포스처 상태 동기화 포트(8449)에서 ISE에 연결할 수 있었고 "호환" 상태의 세션에 대한 상태를 요청했음을 의미합니다.
포스처 상태 동기화 포트(8449)에서 TCP 연결이 설정되었습니다.
DART 번들에서 AnyConnect_ISEPosture.txt를 선택합니다.
1) 포스처 상태 동기화 포트(8449)에서 ISE PSN에 대한 HTTPS 연결이 시작되었습니다.
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 357 Level: debug Sending http session sync periodic probe to [ISE-PSN-FQDN].
2) 세션 상태 정보가 Posture Status "Compliant"(포스처 상태 "Compliant")로 ISE에서 수신되었습니다.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 430 Level: debug --- Http Response Headers ---.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug HTTP-Version: 1.1.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Status-Code: 200.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Connection: keep-alive.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Date: Wed, 09 Nov 2022 11:26:34 GMT.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Keep-Alive: timeout=20.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Content-Length: 0.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Server: server.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug X-Frame-Options: SAMEORIGIN.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Strict-Transport-Security: max-age=31536000; includeSubDomains.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug X-Content-Type-Options: nosniff.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' http://www.cisco.com/ data:;.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug X-XSS-Protection: 1; mode=block.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug Accept-CH: Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Platform, Sec-CH-UA.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug X-ISE-POSTURE_STATUS: Compliant.
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 442 Level: debug --------------------.
3) 잘못된 컨피그레이션이 탐지되어 포스처 상태 동기화가 중지됩니다.
2022/11/09 12:26:34 [Error] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 370 Level: error Incorrect configuration detected by ISE = [ISE-PSN-FQDN], compliant status is not expected.
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 371 Level: debug MSG_PN_STOP_PERIODIC_PROBE, .
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 210 Level: debug MSG_PN_STOP_PERIODIC_PROBE received..
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 224 Level: debug Periodic Probing stopped.
상태 평가 또는 네트워크 변경을 다시 시작하여 Cisco Secure Client GUI에서 상태 동기화를 다시 시작할 수 없습니다. 대신 포스처 상태 동기화가 다시 작동하려면 Cisco Secure Client를 다시 시작해야 합니다.
1. 상태 "규정 준수" 권한 부여 프로파일에 대해 적절한 dACL이 구성되었는지 확인합니다.
2. "Compliant" 엔드포인트 인증 결과 세부 인증 보고서 dACL이 올바르게 전송되었는지 확인합니다.
3. dACL이 네트워크 액세스 장치에 올바르게 적용되었는지 확인합니다.
avakhrus_3560C#sh authe sess int fa0/12 det
Interface: FastEthernet0/12
MAC Address: 0050.56a8.be02
IPv6 Address: Unknown
IPv4 Address: 192.168.255.193
User-Name: TRAINING\bob
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: 172800s (local), Remaining: 92111s
Session Uptime: 1515s
Common Session ID: C0A8FF0C00000012679EAF14
Acct Session ID: 0x00000012
Handle: 0x5D000005
Current Policy: POLICY_Fa0/12
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Server Policies:
ACS ACL: xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac
Method status list:
Method State
mab Stopped
dot1x Authc Success
avakhrus_3560C#sh access-lists | s xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac
Extended IP access list xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac (per-user)
1 deny tcp any host PSN1-IP-ADDRESS eq 8449
2 deny tcp any host PSN2-IP-ADDRESS eq 8449
3 permit ip any any
상태 동기화는 적절한 dACL이 네트워크 액세스 장치에 클라이언트 엔드포인트에 적용되더라도 ISE에서 알람과 함께 실패할 수 있습니다. 상태 동기화 프로브가 dACL이 적용된 것보다 빠르게 수행되거나 상태 동기화 프로브가 이미 진행 중인 경우 dACL이 적용된 경우 발생합니다. 이 문제는 Cisco 버그 ID CSCwd에서 조사되었습니다58316 . 이를 해결하려면 Anyconnect Posture 프로파일(ISE Posture 에이전트 프로파일 설정)에서 "네트워크 전환 지연"을 10초로 설정해야 합니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
18-Oct-2024 |
최초 릴리스 |