購入する または契約更新する
購入する または契約更新する
Cisco + Splunk: It’s a new day for your data. Learn more.
 
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
380
閲覧回数
3
いいね!
1
コメント

Hostscan の Dynamic access policies (DAP) を用いた Anyconnect 認証の設定例と動作確認

jianzh3
Cisco Employee
Cisco Employee

‎2024-03-07 11:13 AM

 

はじめに

HostScanは、CiscoのAnyConnect Secure Mobility Clientに統合されているセキュリティ機能です。このモジュールは、リモートアクセスVPN接続が確立される前に、接続しようとしているクライアントデバイスのセキュリティ状態を評価し、情報を収集します。HostScanによる集められた情報は、Adaptive Security Appliance(ASA)に送られ、ネットワーク管理者が設定したセキュリティポリシーに基づいて、クライアントデバイスのネットワークリソースへのアクセスを許可されるかどうかを決定するために使用されます。

本ドキュメントでは、AnyConnect を実行するデバイスのMACアドレスをチェックするために、ASDMを介してダイナミックアクセスポリシー(DAP)を設定する方法と動作確認について説明します。
本ドキュメントでは、ASA 9.18(4)、7.20(1)、AnyConnect 4.10.07073、Hostscan 4.10.07073のソフトウェアバージョンを利用して確認しております。

 

 

構成

本ドキュメントは、以下の構成で、設定・動作確認をしています。

Diagram.png

 

 

ASA側 の設定例

ASA CLI で最小限の設定を実施します。

tunnel-group dap_test_tg type remote-access
tunnel-group dap_test_tg general-attributes
default-group-policy dap_test_gp
tunnel-group dap_test_tg webvpn-attributes
group-alias dap_test enable

group-policy dap_test_gp internal
group-policy dap_test_gp attributes
vpn-tunnel-protocol ssl-client
address-pools value ac_pool
webvpn
anyconnect keep-installer installed
always-on-vpn profile-setting

ip local pool ac_pool 172.16.1.11-172.16.1.20 mask 255.255.255.0

webvpn
 enable outside
 hostscan image disk0:/hostscan_4.10.07073-k9.pkg
 hostscan enable
 anyconnect image disk0:/anyconnect-win-4.10.07073-webdeploy-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable

 

 

ASDM側(DAP)の設定例

この例では、endpoint.device.MAC 属性をDAPの条件として使用し、下記 3つのDAPレコードを設定します。

  • 01_dap_test:endpoint.device.MAC=0050.5698.e608
  • 02_dap_test:endpoint.device.MAC=0050.5698.e605 = MAC of Anyconnect Endpoint
  • 03_dap_test:endpoint.device.MAC=0050.5698.e609

ASDMでの操作手順は以下の通りです。

1. 1番目のDAP(名前:01_dap_test)を設定します。

ASDM の Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies 画面に遷移します。Add ボタンをクリックし、Policy Name, AAA Attribute, endpoint attributes, Action, User Message などの情報を設定します。

DAP setting_01.png

Group Policy の AAA Attribute を設定します。

DAP setting_001.png

Endpoint Attribute の MAC アドレスを設定します。

DAP setting_02.png

2. 2番目のDAP(名前:02_dap_test)を設定します。

DAP setting_03.png

3. 3番目のDAP(名前:03_dap_test)を設定します。

DAP setting_04.png

4. more flash:/dap.xml コマンドにより、dap.xml 中のDAPレコードを確認します。

ASDM上でDAPレコードを設定した後、各DAPレコードの詳細は dap.xml ファイルにも保存されます。Anyconnect接続時、ASA側が dap.xml ファイルでのDAPの表示順番を持って、DAPの評価を行います。dap.xml ファイル中のいずれかのDAPレコードもマッチされない場合、デフォルトDAP (DfltAccessPolicy) の評価を行います。

ciscoasa# more flash:/dap.xml
<dapRecordList>
<dapRecord>
<dapName>
<value>01_dap_test</value>                             <--- 1番目のDAPの名前
</dapName>
<dapViewsRelation>
<value>and</value>
</dapViewsRelation>
<dapBasicView>
<dapSelection>
<dapPolicy>
<value>match-all</value>
</dapPolicy>
<attr>
<name>aaa.cisco.grouppolicy</name>
<value>dap_test_gp</value>                             <--- 1番目のDAPのgroup policy
<operation>EQ</operation>
<type>caseless</type>
</attr>
</dapSelection>
<dapSelection>
<dapPolicy>
<value>match-any</value>
</dapPolicy>
<dapSubSelection>
<dapPolicy>
<value>match-all</value>
</dapPolicy>
<attr>
<name>endpoint.device.MAC["0050.5698.e608"]</name>     <--- 1番目のDAPのMACアドレス条件
<value>true</value>
<type>caseless</type>
<operation>EQ</operation>
</attr>
</dapSubSelection>
</dapSelection>
</dapBasicView>
</dapRecord>
<dapRecord>
<dapName>
<value>02_dap_test</value>                              <--- 2番目のDAPの名前
</dapName>
<dapViewsRelation>
<value>and</value>
</dapViewsRelation>
<dapBasicView>
<dapSelection>
<dapPolicy>
<value>match-any</value>
</dapPolicy>
<attr>
<name>aaa.cisco.grouppolicy</name>
<value>dap_test_gp</value>                             <--- 2番目のDAPのgroup policy
<operation>EQ</operation>
<type>caseless</type>
</attr>
</dapSelection>
<dapSelection>
<dapPolicy>
<value>match-any</value>
</dapPolicy>
<dapSubSelection>
<dapPolicy>
<value>match-all</value>
</dapPolicy>
<attr>
<name>endpoint.device.MAC["0050.5698.e605"]</name>      <--- 2番目のDAPのMACアドレス条件
<value>true</value>
<type>caseless</type>
<operation>EQ</operation>
</attr>
</dapSubSelection>
</dapSelection>
</dapBasicView>
</dapRecord>
<dapRecord>
<dapName>
<value>03_dap_test</value>                             <--- 3番目のDAPの名前
</dapName>
<dapViewsRelation>
<value>and</value>
</dapViewsRelation>
<dapBasicView>
<dapSelection>
<dapPolicy>
<value>match-any</value>
</dapPolicy>
<attr>
<name>aaa.cisco.grouppolicy</name>
<value>dap_test_gp</value>                              <--- 3番目のDAPのgroup policy
<operation>EQ</operation>
<type>caseless</type>
</attr>
</dapSelection>
<dapSelection>
<dapPolicy>
<value>match-any</value>
</dapPolicy>
<dapSubSelection>
<dapPolicy>
<value>match-all</value>
</dapPolicy>
<attr>
<name>endpoint.device.MAC["0050.5698.e609"]</name>      <--- 3番目のDAPのMACアドレス条件
<value>true</value>
<type>caseless</type>
<operation>EQ</operation>
</attr>
</dapSubSelection>
</dapSelection>
</dapBasicView>
</dapRecord>
</dapRecordList>

 

 

動作確認

パターン1 : 1つのDAPレコードのみがマッチされる

1. WindowsPCのMACが「0050.5698.e605」であることを確認します。

2. WindowsPCで、Anyconnectの接続を実施し、ユーザー名とパスワードを入力します。

DAP confirm1_01.png

3. Anyconnect UIで、 02_dap_test がマッチされたことを確認します。

DAP confirm1_02.png

4. ASA側のデバッグログで 02_dap_test がマッチされたことを確認します。

Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"

Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 11:46:11: %ASA-4-711001: Selected DAPs: ,02_dap_test
Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Dec 30 2023 11:46:11: %ASA-4-711001: dap_process_selected_daps: selected 1 records

Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 11:46:11: %ASA-4-711001: DAP_close: 17

  

パターン2 : デフォルトDAPがマッチされる

1. 02_dap_test の endpoint.device.MAC の値を 0050.5698.e607 に変更します。

2. WindowsPCで、Anyconnectの接続を実施し、ユーザー名とパスワードを入力します。

3. Anyconnect接続が拒否されたことを確認します。

DAP confirm2_01.png

4. ASA側のデバッグログでデフォルトの DfltAccessPolicy がマッチされたことを確認します。

  ※デフォルトDAP(DfltAccessPolicy) のアクションはデフォルトで Terminate となります。

Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"

Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: Selected DAPs:
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Dec 30 2023 12:13:39: %ASA-4-711001: dap_process_selected_daps: selected 0 records
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: Selected DAPs: DfltAccessPolicy
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: DAP_close: 1B

 

パターン3 : 複数の DAP (Action : Continue) がマッチされる

1. 各DAPレコードに対し、以下の設定変更を実施します。

  • 01_dap_test :
    dapSelection (MAC Address) = endpoint.device.MAC[0050.5698.e605] (WindowsPCのMACです)
    Action = Continue
  • 02_dap_test :
    dapSelection (Host Name) = endpoint.device.hostname[DESKTOP-VCKHRG1] (WindowsPCのホスト名です)
    Action = Continue
  • 03_dap_test を削除します。

2. WindowsPCで、Anyconnectの接続を実施し、ユーザー名とパスワードを入力します。

3. Anyconnect UIで、2つのDAPがマッチされたことを確認します。

  ※複数のDAPがマッチされた場合、それぞれのDAPのユーザーメッセージが統合され、AnyConnect UIに一緒に表示されます。

S3_00.png

4. ASA側のデバッグログで2つのDAPがマッチされたことを確認します。

Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: endpoint.device.hostname = "DESKTOP-VCKHRG1"

Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: Selected DAPs: ,01_dap_test,02_dap_test
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: dap_process_selected_daps: selected 2 records

Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: DAP_close: 4

 

パターン4 : 複数の DAP (Action : Terminate) がマッチされる

1. 各DAPレコードに対し、以下の設定変更を実施します。

  • 01_dap_test :
    dapSelection (MAC Address) = endpoint.device.MAC[0050.5698.e605] (WindowsPCのMACです)
    Action = Terminate
  • 02_dap_test :
    dapSelection (Host Name) = endpoint.device.hostname[DESKTOP-VCKHRG1] (WindowsPCのホスト名です)
    Action = Continue

2. WindowsPCで、Anyconnectの接続を実施し、ユーザー名とパスワードを入力します。

3. Anyconnect UIで、01_dap_test がマッチされたことを確認します。

  ※terminate アクションに設定されたDAPレコードがマッチされた後、次のレコード以降のDAP評価処理を行いません。

S4_01.png

4. ASA側のデバッグログで 01_dap_test がマッチされたことを確認します。

Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.hostname = "DESKTOP-VCKHRG1"

Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:55:37: %ASA-4-711001: Selected DAPs: ,01_dap_test
Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: dap_process_selected_daps: selected 1 records

Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:55:37: %ASA-4-711001: DAP_close: 6

 

 

Dynamic Access Policyのデバッグログ

DAPの詳細な動作を確認する場合は、下記のデバッグログを取得します。

  • debug dap trace
  • debug dap trace errors

 

 

参考情報

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html#toc-hId-981572249

コメント
cja56910tf
VIP
VIP
‎2024-03-09 09:58 AM

こんにちは。

HOSTSCANについてご教授いただきたいのですが、どのような情報が得られますでしょうか。また、得られた情報をCisco ISEやDNA Centerと連携する事は可能でしょうか。(ASA本体のみにしか記録されないのでしょうか)

可能であればご回答をいただけますと幸いです。

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents