購入する または契約更新する
購入する または契約更新する
Cisco + Splunk: It’s a new day for your data. Learn more.
 
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
1586
閲覧回数
15
いいね!
5
返信

Cisco ISE で AnyConnect接続時にUmbrellaモジュールの有無で接続制御を行いたい。

解決策を見る
cja56910tf
VIP
VIP

‎2021-10-22 12:55 PM

認証サーバにCisco ISE (Ver3.1) を指定した Cisco ASA で AnyConnectを利用しています。 

この度、Umbrellaを導入する事になりましたので、AnyConnectの追加モジュールとしてUmbrellaもインストールします。

Umbrellaのインストールと利用を強制したいので、AnyConnect接続時にUmbrellaモジュールがインストールされているかどうかを検査し、インストールされていれば許可、インストールされていなければ拒否という制御を行いたいと考えています。

 

実現方法としてはISEのポスチャ機能を利用すれば出来そうなのですが、どのように設定したら良いかが分かりません。

もしご存じの方がおられましたら、具体的な設定例をご教授いただけませんでしょうか。

 

または、ポスチャ機能を使わなくても、例えばASAのHostScanとDAPを組み合わせれば可能という事であれば、そちらの方法でも構いませんのでご教授いただけると大変助かります。

ラベル:
0 いいね!
2 件の受理された解決策

受理された解決策

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2021-10-25 09:44 AM

おはようございます!

 

Umbrlla Roaming Moduleの ISE Posture使っての検知はやったことないのですが、例えばWindowsの場合は「UmbrellaDiagnostic.exe」というファイルがインストールされるようなので、こちらを検知に利用してみると如何でしょうか? 私の使ってる AnyConnectアプリにも Umbrellaモジュールははいってますが、「UmbrellaDiagnostic.exe」があるのは確認済みです。逆にUmbrellaモジュール導入してない 別のAnyConnect端末は当ファイルはありませんでした。

https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200940-Anyconnect-OpenDNS-Roaming-Security-Modu.html

Collect Umbrella diagnostic logs and send the resulting URL to your OpenDNS administrator. Only you and OpenDNS administrator have access to this information.

For Windows: C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\UmbrellaDiagnostic.exe
For Mac OSX: /opt/cisco/anyconnect/bin/UmbrellaDiagnostic

 

ISE Postureの File Conditionの設定方法は以下You Tubeが参考になるかと思います。

https://www.youtube.com/watch?v=6Kj8P8Hn7dY

元の投稿で解決策を見る

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2021-10-26 06:56 AM ‎2021-10-26 06:57 AM 更新

Hostscan/DAPは ファイル検知周りは弱かった記憶です。以下マニュアルの175Pに記載ありますが、 例えば File Endpoint Attributeは「Cisco Secure Desktop」用となりますが、既にこの機能は2014年にサポート終了してるので、利用は難しいのでは、と思いますー。。

https://www.cisco.com/c/en/us/td/docs/security/asa/asa914/asdm714/vpn/asdm-714-vpn-config.pdf

https://www.cisco.com/c/en/us/obsolete/security/cisco-secure-desktop.html

抜粋:
Add a File Endpoint Attribute to a DAP Before you begin Before configuring a File endpoint attribute, define the file for which you want to scan in the Host Scan window for Cisco Secure Desktop. In ASDM choose Configuration > Remote Access VPN > Secure Desktop Manager > Host Scan. Click Help on that page for more information.

 

逆にISE Posture使うと、端末側でAnyConnect利用時に System Scanを自動で行ってくれるので(※スキャンしてるのを目視でも確認できる)、端末のシステムをAnyConnectががっつりチェックしてくれてるな、と安心感が(気持ち的に)あります。

元の投稿で解決策を見る

5件の返信5

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2021-10-25 09:44 AM

おはようございます!

 

Umbrlla Roaming Moduleの ISE Posture使っての検知はやったことないのですが、例えばWindowsの場合は「UmbrellaDiagnostic.exe」というファイルがインストールされるようなので、こちらを検知に利用してみると如何でしょうか? 私の使ってる AnyConnectアプリにも Umbrellaモジュールははいってますが、「UmbrellaDiagnostic.exe」があるのは確認済みです。逆にUmbrellaモジュール導入してない 別のAnyConnect端末は当ファイルはありませんでした。

https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/200940-Anyconnect-OpenDNS-Roaming-Security-Modu.html

Collect Umbrella diagnostic logs and send the resulting URL to your OpenDNS administrator. Only you and OpenDNS administrator have access to this information.

For Windows: C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\UmbrellaDiagnostic.exe
For Mac OSX: /opt/cisco/anyconnect/bin/UmbrellaDiagnostic

 

ISE Postureの File Conditionの設定方法は以下You Tubeが参考になるかと思います。

https://www.youtube.com/watch?v=6Kj8P8Hn7dY

解決策を見る
cja56910tf
VIP
VIP
Akira Muranakaに対する応答

‎2021-10-25 07:26 PM

いつもご回答・ご指南いただき、誠にありがとうございます。

"UmbrellaDiagnostic.exe"が端末側に存在するかをチェックする事で判定・制御が可能になると理解しました。

また、ISE Postureの設定方法に関する動画URLもご教授いただき、大変助かります。

 

ただ、いただいた回答に対してもう少々確認させて下さい。

"UmbrellaDiagnostic.exe"が端末側に存在するかをチェックする」という事であれば、もしかするとISE の Posture機能を使わなくても、ASAのHostScanとDAP機能を組み合わせて使用する事でも可能になるのでは?と思ったのですが如何でしょうか。ご意見頂戴できると幸いです。(ISE で Posture機能を使うにはPremier(旧Apex)ライセンスが必要になるので、HostScanで実現できるなら、わざわざライセンスを購入しなくても良いと思いまして・・・)

 

 

0 いいね!

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2021-10-26 06:56 AM ‎2021-10-26 06:57 AM 更新

Hostscan/DAPは ファイル検知周りは弱かった記憶です。以下マニュアルの175Pに記載ありますが、 例えば File Endpoint Attributeは「Cisco Secure Desktop」用となりますが、既にこの機能は2014年にサポート終了してるので、利用は難しいのでは、と思いますー。。

https://www.cisco.com/c/en/us/td/docs/security/asa/asa914/asdm714/vpn/asdm-714-vpn-config.pdf

https://www.cisco.com/c/en/us/obsolete/security/cisco-secure-desktop.html

抜粋:
Add a File Endpoint Attribute to a DAP Before you begin Before configuring a File endpoint attribute, define the file for which you want to scan in the Host Scan window for Cisco Secure Desktop. In ASDM choose Configuration > Remote Access VPN > Secure Desktop Manager > Host Scan. Click Help on that page for more information.

 

逆にISE Posture使うと、端末側でAnyConnect利用時に System Scanを自動で行ってくれるので(※スキャンしてるのを目視でも確認できる)、端末のシステムをAnyConnectががっつりチェックしてくれてるな、と安心感が(気持ち的に)あります。

解決策を見る
cja56910tf
VIP
VIP
Akira Muranakaに対する応答

‎2021-10-26 01:15 PM

早速のご回答、誠にありがとうございます。

HostScanでは実現が不可能な理由が分かり、大変勉強になりました。

Umbrellaのインストール有無で制御する場合は、Premierライセンスを購入して行う事にします。

 

ご指南・ご教授いただきましてありがとうございました。

0 いいね!

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2021-10-26 07:02 AM

ISE Postureと ASA Hostscanの Comparisonは 以下CiscoLive資料の表が参考になるので、ご参考になれば!・・Hostscanは 詳細チェックが苦手なのがわかります。

https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2018/pdf/BRKSEC-2051-MEGA.pdf

 

HostScan vs ISE Posture.JPG

Customers Also Viewed These Support Documents