소개
이 문서에서는 USB 대용량 스토리지 장치의 연결이 끊어진 경우에만 네트워크에 대한 전체 액세스를 제공하도록 Cisco ISE(Identity Services Engine)를 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- ASA(Adaptive Security Appliance) CLI 컨피그레이션 및 SSL(Secure Socket Layer) VPN 컨피그레이션에 대한 기본 지식
- ASA의 원격 액세스 VPN 구성에 대한 기본 지식
- ISE 및 상태 서비스에 대한 기본 지식
사용되는 구성 요소
Cisco ISE(Identity Services Engine) 버전 2.1과 AnyConnect Secure Mobility Client 4.3은 USB Mass Storage Check and Remediation을 지원합니다. 이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.
- Cisco ASA 소프트웨어 버전 9.2(4) 이상
- Microsoft Windows 버전 7(Cisco AnyConnect Secure Mobility Client 버전 4.3 이상)
- Cisco ISE, 릴리스 2.1 이상
구성
네트워크 다이어그램
흐름은 다음과 같습니다.
- 사용자가 VPN에 아직 연결되어 있지 않으며 개인 USB 대용량 저장 장치가 연결되어 있으며 사용자가 콘텐츠를 사용할 수 있습니다.
- AnyConnect 클라이언트에서 시작한 VPN 세션은 ISE를 통해 인증됩니다. 엔드포인트의 포스처 상태를 알 수 없습니다. 규칙 "Posture_Unknown"에 도달하면 세션이 ISE로 리디렉션됩니다.
- USB 검사는 AC ISE 상태의 새로운 확인 클래스를 도입하며, 동일한 ISE 제어 네트워크에 있는 한 엔드포인트를 지속적으로 모니터링합니다. 사용 가능한 논리적 교정 작업은 드라이브 문자로 식별된 USB 장치를 차단하는 것입니다
- ASA의 VPN 세션이 업데이트되고 리디렉션 ACL이 제거되며 전체 액세스 권한이 부여됩니다.
VPN 세션은 한 가지 예로 제시되었습니다. 포스처 기능은 다른 액세스 유형에도 잘 작동합니다.
ASA
ASA는 ISE를 AAA 서버로 사용하여 원격 SSL VPN 액세스를 위해 구성됩니다. 리디렉션 ACL과 함께 RADIUS CoA를 구성해야 합니다.
aaa-server ISE21 protocol radius
authorize-only
interim-accounting-update periodic 1
dynamic-authorization
aaa-server ISE21 (outside) host 10.48.23.88
key cisco
tunnel-group RA type remote-access
tunnel-group RA general-attributes
address-pool POOL
authentication-server-group ISE21
accounting-server-group ISE21
default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
group-alias RA enable
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-4.3.00520-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
group-policy GP-SSL internal
group-policy GP-SSL attributes
dns-server value 10.62.145.72
vpn-tunnel-protocol ssl-client
access-list ACL_WEBAUTH_REDIRECT extended deny udp any any eq domain
access-list ACL_WEBAUTH_REDIRECT extended deny ip any host 10.48.23.88
access-list ACL_WEBAUTH_REDIRECT extended deny icmp any any
access-list ACL_WEBAUTH_REDIRECT extended permit tcp any any
자세한 내용은 다음을 참조하십시오.
ISE 버전 1.3과의 AnyConnect 4.0 통합 컨피그레이션 예
ISE
1단계. 네트워크 디바이스 구성
Administration(관리) > Network Resources(네트워크 리소스) > Network Devices(네트워크 디바이스) > add ASA(ASA 추가)에서
2단계. 상태 조건 및 정책 구성
Posture Conditions(포스처 조건)가 업데이트되었는지 확인합니다. Administration(관리) > System(시스템) > Settings(설정) > Posture(포스처) > Updates(업데이트) > Update now(지금 업데이트) 옵션입니다.
ISE 2.1에는 USB 대용량 스토리지 장치가 연결되었는지 확인하는 사전 구성된 USB 조건이 포함되어 있습니다.
Policy(정책) > Policy Elements(정책 요소) > Conditions(조건) > Posture(포스처) > USB Condition(USB 조건)에서 기존 조건을 확인합니다.
Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Posture(포스처) > Requirements(요구 사항)에서 해당 조건을 사용하는 사전 구성된 요구 사항을 확인합니다.
Policy(정책) > Posture(포스처)에서 모든 Windows가 해당 요구 사항을 사용하도록 조건을 추가합니다.
Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Posture(포스처) > Remediation Actions(교정 작업) > USB Remediations(USB 교정)에서 USB 스토리지 디바이스를 차단하기 위해 사전 구성된 교정 작업을 확인합니다.
3단계. 클라이언트 프로비저닝 리소스 및 정책 구성
Policy(정책) > Policy Elements(정책 요소) > Client Provisioning(클라이언트 프로비저닝) > Resources(리소스)에서 Cisco.com에서 규정준수 모듈을 다운로드하고 AnyConnect 4.3 패키지를 수동으로 업로드합니다.
Add(추가) > NAC Agent(NAC 에이전트) 또는 AnyConnect Posture Profile(AnyConnect 포스처 프로파일)을 사용하여 기본 설정으로 AnyConnect Posture 프로파일(이름: Anyconnect_Posture_Profile)을 생성합니다.
Add(추가) > AnyConnect Configuration(AnyConnect 컨피그레이션)을 사용하여 AnyConnect 컨피그레이션(이름: AnyConnect Configuration)을 추가합니다.
Policy(정책) > Client Provisioning(클라이언트 프로비저닝)에서 Windows용 새 정책(Windows_Posture)을 생성하여 AnyConnect 컨피그레이션을 사용합니다.
4단계. 권한 부여 규칙 구성
Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Authorization(권한 부여)에서 기본 클라이언트 프로비저닝 포털로 리디렉션하는 권한 부여 프로파일(이름: Posture_Redirect)을 추가합니다.
참고: ACL_WEBAUTH_REDIRECT ACL은 ASA에서 정의됩니다.
Policy(정책) > Authorization(권한 부여)에서 리디렉션을 위한 권한 부여 규칙을 생성합니다. 규정 준수 디바이스에 대한 권한 부여 규칙은 ISE에서 미리 구성됩니다.
엔드포인트가 규정을 준수하는 경우 전체 액세스 권한이 제공됩니다. 상태가 알 수 없거나 호환되지 않으면 클라이언트 프로비저닝에 대한 리디렉션이 반환됩니다.
다음을 확인합니다.
VPN 세션 설정 전
USB 장치가 연결되었으며, 해당 콘텐츠는 사용자가 사용할 수 있습니다.
VPN 세션 설정
인증 중에 ISE는 Posture_Redirect 권한 부여 프로파일의 일부로 리디렉션 액세스 목록 및 리디렉션 url을 반환합니다
VPN 세션이 설정되면 클라이언트에서 오는 ASA 트래픽이 리디렉션 액세스 목록에 따라 리디렉션됩니다.
BSNS-ASA5515-11# sh vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 29
Assigned IP : 10.10.10.10 Public IP : 10.229.16.34
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)AES128 DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1
Bytes Tx : 14696 Bytes Rx : 18408
Pkts Tx : 20 Pkts Rx : 132
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : GP-SSL Tunnel Group : RA
Login Time : 15:57:39 CET Fri Mar 11 2016
Duration : 0h:07m:22s
Inactivity : 0h:00m:00s
VLAN Mapping : N/A VLAN : none
Audt Sess ID : 0a3042ca0001d00056e2dce3
Security Grp : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 29.1
Public IP : 10.229.16.34
Encryption : none Hashing : none
TCP Src Port : 61956 TCP Dst Port : 443
Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes
Client OS : win
Client OS Ver: 6.1.7601 Service Pack 1
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520
Bytes Tx : 6701 Bytes Rx : 774
Pkts Tx : 5 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 29.2
Assigned IP : 10.10.10.10 Public IP : 10.229.16.34
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 61957
TCP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520
Bytes Tx : 6701 Bytes Rx : 1245
Pkts Tx : 5 Pkts Rx : 5
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 29.3
Assigned IP : 10.10.10.10 Public IP : 10.229.16.34
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 55708
UDP Dst Port : 443 Auth Mode : userPassword
Idle Time Out: 30 Minutes Idle TO Left : 26 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 4.3.00520
Bytes Tx : 1294 Bytes Rx : 16389
Pkts Tx : 10 Pkts Rx : 126
Pkts Tx Drop : 0 Pkts Rx Drop : 0
ISE Posture:
Redirect URL : https://ISE21-1ek.example.com:8443/portal/gateway?sessionId=0a3042ca0001d00056e2dce3&portal=2b1ba210-e...
Redirect ACL : ACL_WEBAUTH_REDIRECT
클라이언트 프로비저닝
이 단계에서 엔드포인트 웹 브라우저 트래픽은 클라이언트 프로비저닝을 위해 ISE로 리디렉션됩니다.
필요한 경우 Posture 및 Compliance 모듈과 함께 AnyConnect가 업데이트됩니다.
상태 확인 및 CoA
Posture 모듈이 실행되고 ISE를 검색하고(enroll.cisco.com에 대한 DNS A 레코드가 있어야 성공할 수 있음), 포스처 조건, 새 OPSWAT v4 블록 USB 디바이스 작업을 다운로드하고 확인합니다. 구성된 메시지가 사용자에게 표시됩니다.
메시지가 확인되면 사용자가 USB 장치를 더 이상 사용할 수 없습니다.
ASA는 전체 액세스를 제공하는 리디렉션 ACL을 제거합니다. AnyConnect는 규정 준수를 보고합니다.
또한 ISE에 대한 자세한 보고서를 통해 필수 조건이 통과되었음을 확인할 수 있습니다.
조건별 상태 평가:
엔드포인트별 상태 평가:
엔드포인트 보고서 세부 정보:
문제 해결
ISE는 실패 한 조건에 대한 세부 정보를 제공 할 수 있으며, 그에 따라 조치를 취해야 합니다.
참조