CSD、DAP および AnyConnect 4.0 の設定 ASA VPN ポスチャ

(1)

CSD、DAP および AnyConnect 4.0 の設定 ASA

VPN ポスチャ

はじめに

前提条件

要件

使用するコンポーネント

設定

ネットワーク図

ASA

ステップ 1.基本 SSL VPN 設定

ステップ 2. CSD インストール

ステップ 3. DAP ポリシー

ISE

確認

CSD および AnyConnect プロビジョニング

ポスチャの AnyConnect VPN セッション-非対応

ポスチャの AnyConnect VPN セッション-対応

トラブルシューティング

AnyConnect 投げ矢

概要

この資料に適応型セキュリティアプライアンス（ASA）ソフトウェアで終了されるリモート

VPN セッションのためのポスチャを行う方法を記述されています（ASA）。ポスチャは

HostScan モジュールが付いている Cisco Secure Desktop （CSD）の使用の ASA によってロー

カルで実行された。 VPN セッションが設定された後、対応ステーションは不適合なステーショ

ンがネットワークアクセスを制限した一方完全なネットワークアクセスを許可されます。

また、CSD および AnyConnect は 4.0 提供フロー示されます。

前提条件

要件

次の項目に関する知識が推奨されます。

Cisco ASA VPN 設定

●

Cisco AnyConnect セキュアモビリティクライアント

●

使用するコンポーネント

(2)

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

Microsoft Windows 7

●

Cisco ASA、バージョン 9.3 またはそれ以降

●

Cisco Identity Services Engine （ISE）ソフトウェア、バージョン 1.3 およびそれ以降

●

Cisco AnyConnect セキュアモビリティクライアント、バージョン 4.0 およびそれ以降

●

CSD、バージョン 3.6 またはそれ以降

●

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメン

トで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象の

ネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響につい

て確実に理解しておく必要があります。

設定

ネットワーク図

団体ポリシーは次の通りです:

リモート VPN ユーザはファイル c:\test.txt がある（対応）内部会社リソースへの完全なネッ

トワークアクセスがなければなりません

●

ファイル c:\test.txt を持っていないリモート VPN ユーザは（不適合な）内部会社リソースへ

のネットワークアクセスを制限したにちがいありません: 治療サーバ 1.1.1.1 へのアクセスだ

け提供されます。

●

ファイルプロシージャは簡単な例です。他のどの条件（ウイルス対策、antispyware、プロセス

(3)

、アプリケーション、レジストリ）使用することができます。

フローは次の通りです:

リモートユーザに AnyConnect がインストールしましたありません。彼らは CSD および

AnyConnect プロビジョニングのための ASA Webページにアクセスします（VPN プロファイ

ルと共に）

●

限られたネットワークアクセスを用いる AnyConnect による接続が、不適合なユーザ許可さ

れれば。ダイナミックアクセスポリシー（DAP）呼出された FileNotExists は一致します。

●

ユーザは治療を（手動でファイル c:\test.txt をインストールして下さい）行い、AnyConnect

と再度接続します。今回、完全なネットワークアクセスは提供されます（FileExists と呼ば

れる DAP ポリシーは一致します）。

●

HostScan モジュールはエンドポイントで手動でインストールすることができます。サンプルフ

ァイル（hostscan-win-4.0.00051-pre-deploy-k9.msi）は共用 on Cisco 接続オンライン（CCO）で

す。しかし、それはまた ASA から押すことができます。 HostScan は ASA から提供できる

CSD の一部です。第 2 アプローチはこの例で利用すること。

AnyConnect のより古いバージョンに関しては（3.1 およびより早い）、CCO （例で利用可能な

別途のパッケージがありました: hostscan_3.1.06073-k9.pkg は）別々に設定され、提供されたか

もしれないかどれが ASA で（csd hostscan イメージコマンドと） -そのオプションが、

AnyConnect バージョン 4.0 のためにもう存在しません。

ASA

ステップ 1.基本 SSL VPN 設定

ASA は基本的な遠隔 VPN アクセス（Secure Sockets Layer （SSL））と前もって構成されます:

webvpn

enable outside

no anyconnect-essentials

anyconnect image disk0:/anyconnect-win-4.0.00051-k9.pkg 1 anyconnect enable

tunnel-group-list enable

group-policy AllProtocols internal group-policy AllProtocols attributes

vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless tunnel-group TAC type remote-access

tunnel-group TAC general-attributes address-pool POOL

authentication-server-group ISE3 default-group-policy AllProtocols tunnel-group TAC webvpn-attributes group-alias TAC enable

ip local pool POOL 192.168.1.10-192.168.1.20 mask 255.255.255.0 aaa-server ISE3 protocol radius

aaa-server ISE3 (inside) host 10.1.1.100 key *****

(4)

AnyConnect パッケージはダウンロードされ、使用されました。

ステップ 2. CSD インストール

それに続く設定は Adaptive Security Device Manager （ASDM）と行われます。 CSD は点滅し、

イメージに示すように設定からの参照を引き継ぐためにダウンロードされる必要があります実装

します。

Secure Desktop を有効にすることなしでイメージに示すように DAP ポリシーで CSD 属性を利

用することはできません。

(5)

CSD を有効にした後、Secure Desktop マネージャの下の複数のオプションは現われます。

注: そのうちのいくつかが既に非難されていること知識のあってであって下さい。非推奨機

能に関する詳細は見つけることができます:

Secure Desktop （地下）、キャッシュ洗剤、キ

ーストロークロガー検出およびホストエミュレーション検出のための機能非推奨表記

HostScan はまだ、ルールが追加される新しい基本的な HostScan フルサポートされます。

c:\test.txt のプロシージャはイメージに示すように確認されます。

また、追加高度エンドポイントアセスメントルールはイメージに示すように追加されます。

(6)

は Symantec ノートン・アンチウイルス 20.x および Microsoft Windows ファイアウォール 7.ポス

チャモジュール（HostScan）の存在があるように確認することこれらの値をチェックしますし

かし施行がありません（DAP ポリシーはそれを確認しません）。

ステップ 3. DAP ポリシー

DAP ポリシーは責任があります条件として HostScan によって収集されるデータを使用し、その

結果 VPN セッションに仕様属性を適用するために。 ASDM から DAP ポリシーを、移動 > ダイ

ナミックアクセスポリシーイメージに示すように設定 > リモートアクセス VPN > Clientless

SSL VPN アクセスに作成するため。

最初ポリシー（FileExists）は設定された VPN プロファイル（VPN プロファイルによって設定使

用されるグループ名を明確にするために省略されましたチェックします）。それから、追加ファ

イル c:\test.txt があるように実行されたイメージに示すように確認して下さい。

(7)

その結果、操作はデフォルト設定割り当て接続と実行された。 ACL は使用されません-完全なネ

ットワークアクセスは提供されます。

ファイルチェックのための詳細はイメージに示すようにあります。

(8)

存在しない場合です。

結果に設定される access-list ACL1 があります。それは限られたネットワークアクセスのプロビ

ジョニングするの不適合な VPN ユーザ向けに適用します。

DAP ポリシーは両方ともイメージに示すように AnyConnect クライアントアクセスのために押し

ます。

ISE

ISE はユーザ認証のために使用されます。ネットワークデバイス（ASA）および正しいユーザー

名だけ（cisco）設定する必要があります。その一部はこの技術情報でカバーされません。

確認

(9)

このセクションでは、設定が正常に機能していることを確認します。

CSD および AnyConnect プロビジョニング

最初に、ユーザは AnyConnect クライアントと提供されません。ユーザはまたポリシーと対応し

ません（ファイル c:\test.txt はありません）。

https://10.62.145.45 を

入力すればユーザはイメー

ジに示すように CSD インストールのためにすぐにリダイレクトされます。

それは Java か ActiveX とすることができます。 CSD がインストールされていれば、イメージに

示すように報告されます。

(10)

それからユーザはイメージに示すように認証のためにリダイレクトされます。

、AnyConnect は設定されたプロファイルと共に正常なら展開されます-再度 ActiveX か Java は

イメージに示すように使用することができます。

(11)

そして、VPN 接続はイメージに示すように確立されます。

AnyConnect のための第一歩はポスチャチェック（HostScan）を行い、イメージに示すように

ASA へレポートを送ることです。

(12)

それから、AnyConnect は VPN セッションを認証し、終えます。

ポスチャの AnyConnect VPN セッション-非対応

AnyConnect の新しい VPN セッションを設定するとき、第一歩はスクリーンショットで先に示

されるようにポスチャ（HostScan）です。それから、認証は行われ、VPN セッションはイメー

ジに示すように設定されます。

(13)

ASA は HostScan レポートが受け取られることを報告します:

%ASA-7-716603: Received 4 KB Hostscan data from IP <10.61.87.251>

それからユーザ認証を行います:

%ASA-6-113004: AAA user authentication Successful : server = 10.62.145.42 : user = cisco

そしてその VPN セッションのための許可を開始します。「有効になるデバッグ DAP トレース

255" があるとき c:\test.txt ファイルのプロシージャに関する情報は返されます:

DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.file["1"].exists="false" DAP_TRACE: endpoint.file["1"].exists = "false"

DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.file["1"].path="c:\test.txt" DAP_TRACE: endpoint.file["1"].path = "c:\\test.txt"

また、Microsoft Windows ファイアウォールに関する情報:

DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["MSWindowsFW"].exists="false" DAP_TRACE: endpoint.fw["MSWindowsFW"].exists = "false"

DAP_TRACE[128]:

dap_install_endpoint_data_to_lua:endpoint.fw["MSWindowsFW"].description="Microsoft Windows Firewall"

DAP_TRACE: endpoint.fw["MSWindowsFW"].description = "Microsoft Windows Firewall"

DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["MSWindowsFW"].version="7" DAP_TRACE: endpoint.fw["MSWindowsFW"].version = "7"

DAP_TRACE[128]: dap_install_endpoint_data_to_lua:endpoint.fw["MSWindowsFW"].enabled="failed" DAP_TRACE: endpoint.fw["MSWindowsFW"].enabled = "failed"

そして Symantec ウイルス対策（HostScan によって先に設定されたエンドポイントアセスメン

トルールを進めました）。

その結果、DAP ポリシーは一致します:

DAP_TRACE: Username: cisco, Selected DAPs: ,FileNotExists

ユーザ向けに制限ネットワークアクセスを提供する AnyConnect を使用するポリシー強制はまた

および access-list ACL1 を適用すること（団体ポリシーと対応）:

DAP_TRACE:The DAP policy contains the following attributes for user: cisco

DAP_TRACE:---DAP_TRACE:1: tunnel-protocol = svc

DAP_TRACE:2: svc ask = ask: no, dflt: svc DAP_TRACE:3: action = continue

DAP_TRACE:4: network-acl = ACL1

DAP ポリシーによって使用することができる ACIDEX 現在の拡張機能をまた記録します（また

更に ISE に RADIUS 要求で通じて条件として許可ルールで使用され、）:

endpoint.anyconnect.clientversion = "4.0.00051"; endpoint.anyconnect.platform = "win";

endpoint.anyconnect.devicetype = "innotek GmbH VirtualBox"; endpoint.anyconnect.platformversion = "6.1.7600 ";

endpoint.anyconnect.deviceuniqueid =

"A1EDD2F14F17803779EB42C281C98DD892F7D34239AECDBB3FEA69D6567B2591"; endpoint.anyconnect.macaddress["0"] = "08-00-27-7f-5f-64";

(14)

endpoint.anyconnect.useragent = "AnyConnect Windows 4.0.00051";

その結果、VPN セッションはしかし制限ネットワークアクセスと稼働しています:

ASAv2# show vpn-sessiondb detail anyconnect Session Type: AnyConnect Detailed

Username : cisco Index : 4

Assigned IP : 192.168.1.10 Public IP : 10.61.87.251 Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel

License : AnyConnect Premium

Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4 DTLS-Tunnel: (1)AES128 Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1 DTLS-Tunnel: (1)SHA1 Bytes Tx : 11432 Bytes Rx : 14709

Pkts Tx : 8 Pkts Rx : 146 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Group Policy : AllProtocols Tunnel Group : TAC Login Time : 11:58:54 UTC Fri Dec 26 2014

Duration : 0h:07m:54s Inactivity : 0h:00m:00s

VLAN Mapping : N/A VLAN : none Audt Sess ID : 0add006400004000549d4d7e

Security Grp : none AnyConnect-Parent Tunnels: 1 SSL-Tunnel Tunnels: 1 DTLS-Tunnel Tunnels: 1 AnyConnect-Parent: Tunnel ID : 4.1 Public IP : 10.61.87.251

Encryption : none Hashing : none TCP Src Port : 49514 TCP Dst Port : 443 Auth Mode : userPassword

Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes Client OS : win

Client OS Ver: 6.1.7600 Client Type : AnyConnect

Client Ver : Cisco AnyConnect VPN Agent for Windows 4.0.00051

Bytes Tx : 5716 Bytes Rx : 764 Pkts Tx : 4 Pkts Rx : 1 Pkts Tx Drop : 0 Pkts Rx Drop : 0 SSL-Tunnel: Tunnel ID : 4.2 Assigned IP : 192.168.1.10 Public IP : 10.61.87.251

Encryption : RC4 Hashing : SHA1 Encapsulation: TLSv1.0 TCP Src Port : 49517 TCP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 22 Minutes Client OS : Windows

Client Type : SSL VPN Client

Bytes Tx : 5716 Bytes Rx : 2760 Pkts Tx : 4 Pkts Rx : 12 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : ACL1

DTLS-Tunnel:

Tunnel ID : 4.3

Assigned IP : 192.168.1.10 Public IP : 10.61.87.251

(15)

Encapsulation: DTLSv1.0 UDP Src Port : 52749 UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 24 Minutes Client OS : Windows

Client Type : DTLS VPN Client

Bytes Tx : 0 Bytes Rx : 11185 Pkts Tx : 0 Pkts Rx : 133 Pkts Tx Drop : 0 Pkts Rx Drop : 0 Filter Name : ACL1

ASAv2# show access-list ACL1

access-list ACL1; 1 elements; name hash: 0xe535f5fe

access-list ACL1 line 1 extended permit ip any host 1.1.1.1 (hitcnt=0) 0xe6492cbf

AnyConnect 履歴はポスチャプロセスのための詳細な手順を示します:

12:57:47 Contacting 10.62.145.45.

12:58:01 Posture Assessment: Required for access 12:58:01 Posture Assessment: Checking for updates... 12:58:02 Posture Assessment: Updating...

12:58:03 Posture Assessment: Initiating... 12:58:13 Posture Assessment: Active

12:58:13 Posture Assessment: Initiating... 12:58:37 User credentials entered.

12:58:43 Establishing VPN session...

12:58:43 The AnyConnect Downloader is performing update checks... 12:58:43 Checking for profile updates...

12:58:43 Checking for product updates... 12:58:43 Checking for customization updates... 12:58:43 Performing any required updates...

12:58:43 The AnyConnect Downloader updates have been completed. 12:58:43 Establishing VPN session...

12:58:43 Establishing VPN - Initiating connection... 12:58:48 Establishing VPN - Examining system... 12:58:48 Establishing VPN - Activating VPN adapter... 12:58:52 Establishing VPN - Configuring system... 12:58:52 Establishing VPN...

12:58:52 Connected to 10.62.145.45.

ポスチャの AnyConnect VPN セッション-対応

c:\test.txt ファイルを作成した後、フローは類似したです。 AnyConnect 新しいセッションが始め

られれば、ログはファイルのプロシージャを示します:

%ASA-7-734003: DAP: User cisco, Addr 10.61.87.251: Session Attribute endpoint.file["1"].exists="true"

%ASA-7-734003: DAP: User cisco, Addr 10.61.87.251: Session Attribute endpoint.file["1"].path="c:\test.txt"

そしてその結果別の DAP ポリシーは使用されます:

DAP_TRACE: Username: cisco, Selected DAPs: ,FileExists

ポリシーはネットワークトラフィックのための制限として ACL を課しません。

そしてセッションは ACL （完全なネットワークアクセス）なしに稼働しています:

(16)

VLAN Mapping : N/A VLAN : none Audt Sess ID : 0add006400005000549d5034

Bytes Tx : 5716 Bytes Rx : 1345 Pkts Tx : 4 Pkts Rx : 6 Pkts Tx Drop : 0 Pkts Rx Drop : 0 DTLS-Tunnel: Tunnel ID : 5.3 Assigned IP : 192.168.1.10 Public IP : 10.61.87.251

Encryption : AES128 Hashing : SHA1 Encapsulation: DTLSv1.0 UDP Src Port : 54417 UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes Client OS : Windows

(17)

Bytes Tx : 0 Bytes Rx : 4189 Pkts Tx : 0 Pkts Rx : 31 Pkts Tx Drop : 0 Pkts Rx Drop : 0

また、Anyconnect は報告しま HostScan がであることをアイドル状態および次のスキャン要求を

待っています:

VLAN Mapping : N/A VLAN : none Audt Sess ID : 0add006400005000549d5034

(18)

DTLS-Tunnel:

Tunnel ID : 5.3

Assigned IP : 192.168.1.10 Public IP : 10.61.87.251

Encryption : AES128 Hashing : SHA1 Encapsulation: DTLSv1.0 UDP Src Port : 54417 UDP Dst Port : 443 Auth Mode : userPassword Idle Time Out: 30 Minutes Idle TO Left : 30 Minutes Client OS : Windows

注: 再査定に関しては ISE と統合ポスチャモジュールを使用することを、助言します。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

AnyConnect 投げ矢

AnyConnect はイメージに示すように診断を提供します。

(19)

AnyConnect すべてのログを収集し、保存するかどれがデスクトップで ZIP ファイルに。 ZIP フ

ァイルは含まれていること Cisco AnyConnect セキュアモビリティクライアント/Anyconnect.txt

をログオンします。

それは ASA についての情報を提供し、データを収集するように HostScan を要求します:

Date : 12/26/2014 Time : 12:58:01 Type : Information Source : acvpnui

Description : Function: ConnectMgr::processResponseString File: .\ConnectMgr.cpp

Line: 10286

Invoked Function: ConnectMgr::processResponseString Return Code: 0 (0x00000000)

Description: HostScan request detected.

それから、倍数は他のログ CSD がインストールされていることを明らかにします。これはポス

チャと共に AnyConnect CSD プロビジョニングおよびそれに続く接続のための例です:

CSD detected, launching CSD

Posture Assessment: Required for access Gathering CSD version information.

Posture Assessment: Checking for updates... CSD version file located

Downloading and launching CSD

Posture Assessment: Updating... Downloading CSD update

CSD Stub located

Posture Assessment: Initiating...

Launching CSD

Initializing CSD

Performing CSD prelogin verification.

CSD prelogin verification finished with return code 0 Starting CSD system scan.

CSD successfully launched

Posture Assessment: Active

CSD launched, continuing until token is validated. Posture Assessment: Initiating...

Checking CSD token for validity Waiting for CSD token validity result CSD token validity check completed CSD Token is now valid

CSD Token validated successfully Authentication succeeded

Establishing VPN session...

ASA と AnyConnect 間の通信はそれを行えます、ASA

要求特定のチェックだけ行うために-AnyConnect ダウンロード追加データ最適化されます（たとえば特定のウイルス対策確認）。

TAC のケースをオープンするとき、付加投げ矢は「show tech」および「ASA からのデバッグ

DAP トレース 255" と共に記録します。

(20)

ホストスキャンおよびポスチャモジュールの設定- Cisco AnyConnect セキュアモビリティ

クライアント管理者ガイド

●

ホストスキャンの設定- Cisco Secure Desktop コンフィギュレーションガイド

●

Cisco ISE コンフィギュレーションガイドのポスチャサービス

●

Cisco ISE 1.3 アドミニストレータガイド

●

テクニカルサポートとドキュメント – Cisco Systems

●

CSD、DAP および AnyConnect 4.0 の設定 ASA VPN ポスチャ