Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Services de posture sur le guide de configuration de Cisco ISE Contenu Introduc

Services de posture sur le guide de configuration de Cisco ISE Contenu Introduction Conditions préalables Conditions requises Composants utilisés Informations générales Services de posture ISE Ravitaillement de client Stratégie de posture Stratégie d'autorisation Processus d'exemple de posture Liste de contrôle de point final Liste de contrôle ISE Configurez ISE Aperçu de configuration ISE Configurez et déployez les services de ravitaillement de client Configurez la stratégie d'autorisation pour le ravitaillement et la posture de client Configurez la stratégie de posture poids du commerce Configurez la correction WSUS Configuration de commutateur témoin Radius global et configuration de dot1x ACL par défaut à appliquer sur le port Modification de Radius d'enable de l'autorisation Redirection et se connecter URL d'enable ACL de redirection Configuration switchport Configuration de l'échantillon WLC Configuration globale Configuration des employés SSID Configuration de l'invité SSID Posture de dot1x des employés (agent NAC) Posture de l'invité CWA (agent de Web NAC) Forum aux questions Options de déploiement autres que le ravitaillement de client Hôte de détection pour l'agent NAC Des navigateurs des employés sont configurés avec le proxy ACL de dACL et de redirection L'agent NAC ne s'affiche pas Incapable d'accéder à WSUS pour la correction N'ayez pas un WSUS géré interne Aucune authentification défaillante vue dans ISE ne vivent des logs Vérifier Dépanner Introduction Ce document décrit des services de posture, le ravitaillement de client, la création de stratégie de posture, et la configuration de politique d'accès pour le Logiciel Cisco Identity Services Engine (ISE). Des résultats d'estimation de point final pour des clients câblés (connectés à Cisco des Commutateurs) et des clients sans fil (connectés à Cisco des contrôleurs sans-fil) sont discutés. Conditions préalables Exigences Cisco vous recommande de prendre connaissance des rubriques suivantes : Logiciel Cisco Identity Services Engine (ISE) G Configuration de commutateur de logiciel de Cisco IOS® G Configuration Sans fil du contrôleur LAN de Cisco (WLC) G Composants utilisés Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : Version 1.1.3 de Cisco ISE G Version 15.0(2) SE2 de commutateur de gamme Cisco Catalyst 3560 G Version 7.4.100.0 de la gamme Cisco 2504 WLC G Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez- vous que vous comprenez l'effet potentiel de toute commande. Informations générales Services de posture ISE Le processus de services de posture est composé de trois sections de configuration principale : Ravitaillement de client G Stratégie de posture G Stratégie d'autorisation G Ravitaillement de client Afin d'exécuter l'estimation de posture et déterminer l'état de conformité d'un point final, il est nécessaire de provision le point final avec un agent. L'agent de Contrôle d'admission au réseau (NAC) peut être persistant, par lequel l'agent soit installé et soit automatiquement chargés chaque fois les logins d'un utilisateur. Alternativement, l'agent NAC peut être temporel, par lequel un agent basé sur le WEB soit dynamiquement téléchargé au point final pour chaque nouvelle session et alors retiré après le processus d'estimation de posture. Les agents NAC également facilitent la correction et fournissent une politique d'utilisation acceptable facultative (AUP) à l'utilisateur final. Par conséquent, une des premières étapes dans le processus est de récupérer les fichiers d'agent du site Web Cisco et de créer les stratégies qui déterminent quels agent et fichiers de configuration sont téléchargés aux points finaux, basés sur des attributs tels que le type d'identité de l'utilisateur et de SYSTÈME D'EXPLOITATION de client. Stratégie de posture La stratégie de posture définit l'ensemble de conditions requises pour qu'un point final soit conforme considéré basé sur la présence de fichier, clé de registre, processus, application, Windows, et le (AS) de l'antivirus (poids du commerce) /anti-spyware vérifie et ordonne. La stratégie de posture est appliquée aux points finaux basés sur un ensemble de conditions défini tel que le type d'identité de l'utilisateur et de SYSTÈME D'EXPLOITATION de client. Le statut de conformité (posture) d'un point final peut être : Inconnu : Aucune donnée n'a été collectée afin de déterminer l'état de posture. G Noncompliant : Une estimation de posture a été exécutée, et un ou plusieurs conditions requises ont manqué. G Conforme : Le point final est conforme avec toutes les conditions obligatoires. G Des conditions requises de posture sont basées sur un ensemble configurable d'un ou plusieurs conditions. Les conditions simples incluent un contrôle simple d'estimation. Les conditions composées sont un groupe logique d'un ou plusieurs conditions simples. Chaque condition requise est associée avec une action de correction qui aide des points finaux à répondre à l'exigence, telle que la mise à jour de signature poids du commerce. Stratégie d'autorisation La stratégie d'autorisation définit les niveaux de l'accès au réseau et des services en option à livrer à un point final basé sur l'état de posture. Des points finaux qui sont considérés non conformes avec la stratégie de posture peuvent être sur option mis en quarantaine jusqu'à ce que le point final devienne conforme ; par exemple, une stratégie typique d'autorisation peut limiter l'accès au réseau d'un utilisateur pour poser et les ressources en correction seulement. Si la correction par l'agent ou l'utilisateur final est réussie, alors la stratégie d'autorisation peut accorder l'accès au réseau privilégié à l'utilisateur. La stratégie est souvent imposée avec les listes téléchargeables de contrôle d'accès (dACLs) ou l'affectation dynamique VLAN. Dans cet exemple de configuration, des dACLs sont utilisés pour l'application d'accès de point final. Processus d'exemple de posture Dans ces fichiers persistants (agent NAC) et temporels d'exemple de configuration, de Web (d'agent) d'agent sont téléchargés à ISE, et des stratégies de ravitaillement de client sont définies qui exigent des utilisateurs de domaine de télécharger les utilisateurs d'agent et d'invité NAC pour télécharger l'agent de Web. Avant estimation de posture des stratégies et les conditions requises sont configurées, la stratégie d'autorisation est mise à jour pour s'appliquer des profils d'autorisation aux utilisateurs et aux invités de domaine qui sont signalés comme noncompliant. Le nouveau profil d'autorisation défini dans cette configuration limite l'accès pour poser et les ressources en correction. On permet à des employés et les utilisateurs d'invité signalés en tant que conforme l'accès au réseau régulier. Une fois que des services de ravitaillement de client ont été vérifiés, des conditions requises de posture sont configurées afin de vérifier l'installation d'antivirus, les mises à jour de définition de virus, et les mises à jour essentielles de Windows. Note: Vérifiez tous les éléments sur des ces point final et listes de contrôle ISE avant que vous tentiez de configurer la posture. Liste de contrôle de point final Le nom de domaine complet ISE (FQDN) doit être résoluble par le périphérique d'extrémité. 1. Vérifiez que le navigateur de point final est configuré comme affiché ici : Firefox ou Chrome : Le module d'extension de Javas doit être activé sur les navigateurs.Internet Explorer : ActiveX doit être activé en configurations du navigateur.Internet Explorer 10 :Importer le certificat Auto-signé : Si vous utilisez un certificat auto-signé pour ISE, exécutez l'Internet Explorer 10 en mode d'administrateur afin d'installer ces Certificats.Mode compatible : Le mode compatible doit être changé sur des configurations de l'Internet Explorer 10 afin de permettre le téléchargement d'agent NAC. Afin de changer cette configuration, cliquez avec le bouton droit la barre bleue en haut de l'écran de l'Internet Explorer 10, et choisissez la barre de commande. Naviguez vers des outils > des configurations de vue de compatibilité, et ajoutez l'IP ou le FQDN ISE à la liste de site. Activation du contrôle ActiveX : Cisco ISE installe l'agent de Cisco NAC et l'agent de Web avec le contrôle ActiveX. En Internet Explorer 10, l'option d'inciter pour des contrôles d'ActiveX est désactivée par défaut. Prenez ces mesures afin d'activer cette option : Naviguez vers des outils > des options Internet.Naviguez vers l'onglet Sécurité, et cliquez sur le niveau d'Internet et de coutume.Dans les contrôles et les modules d'extension d'ActiveX sectionnez, activez l'incitation automatique pour des contrôles d'ActiveX. 2. Si un Pare-feu existe localement sur le client ou le long du chemin réseau à l'ISE, vous devez ouvrir ces ports pour la transmission ISE NAC : UDP/TCP 8905 : Utilisé pour la transmission de posture entre l'agent NAC et l'ISE (port de Suisse).UDP/TCP 8909 : Utilisé pour le ravitaillement de client.TCP 8443 : Utilisé pour l'invité et la détection de posture.Note: ISE n'utilise plus le TCP existant 8906 de port. 3. Si le client fait configurer un serveur proxy, modifiez les paramètres de proxy afin d'exclure l'adresse IP de l'ISE. Le manque de faire casse ainsi les transmissions exigées pour l'authentification Web centrale (CWA) et le ravitaillement de client. 4. Liste de contrôle ISE Naviguez vers la gestion > les sources extérieures > le Répertoire actif d'identité, et vérifiez qu'ISE est joint au domaine de Répertoire actif (AD). G Cliquez sur l'onglet de groupes, et le vérifiez que les users group de domaine sont ajoutés à la configuration d'AD. uploads/Management/ config-cise-posture-00.pdf