2024-03-07 11:13 AM
HostScanは、CiscoのAnyConnect Secure Mobility Clientに統合されているセキュリティ機能です。このモジュールは、リモートアクセスVPN接続が確立される前に、接続しようとしているクライアントデバイスのセキュリティ状態を評価し、情報を収集します。HostScanによる集められた情報は、Adaptive Security Appliance(ASA)に送られ、ネットワーク管理者が設定したセキュリティポリシーに基づいて、クライアントデバイスのネットワークリソースへのアクセスを許可されるかどうかを決定するために使用されます。
本ドキュメントでは、AnyConnect を実行するデバイスのMACアドレスをチェックするために、ASDMを介してダイナミックアクセスポリシー(DAP)を設定する方法と動作確認について説明します。
本ドキュメントでは、ASA 9.18(4)、7.20(1)、AnyConnect 4.10.07073、Hostscan 4.10.07073のソフトウェアバージョンを利用して確認しております。
本ドキュメントは、以下の構成で、設定・動作確認をしています。
ASA CLI で最小限の設定を実施します。
tunnel-group dap_test_tg type remote-access
tunnel-group dap_test_tg general-attributes
default-group-policy dap_test_gp
tunnel-group dap_test_tg webvpn-attributes
group-alias dap_test enable
group-policy dap_test_gp internal
group-policy dap_test_gp attributes
vpn-tunnel-protocol ssl-client
address-pools value ac_pool
webvpn
anyconnect keep-installer installed
always-on-vpn profile-setting
ip local pool ac_pool 172.16.1.11-172.16.1.20 mask 255.255.255.0
webvpn
enable outside
hostscan image disk0:/hostscan_4.10.07073-k9.pkg
hostscan enable
anyconnect image disk0:/anyconnect-win-4.10.07073-webdeploy-k9.pkg 1
anyconnect enable
tunnel-group-list enable
この例では、endpoint.device.MAC 属性をDAPの条件として使用し、下記 3つのDAPレコードを設定します。
ASDMでの操作手順は以下の通りです。
1. 1番目のDAP(名前:01_dap_test)を設定します。
ASDM の Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies 画面に遷移します。Add ボタンをクリックし、Policy Name, AAA Attribute, endpoint attributes, Action, User Message などの情報を設定します。
Group Policy の AAA Attribute を設定します。
Endpoint Attribute の MAC アドレスを設定します。
2. 2番目のDAP(名前:02_dap_test)を設定します。
3. 3番目のDAP(名前:03_dap_test)を設定します。
4. more flash:/dap.xml コマンドにより、dap.xml 中のDAPレコードを確認します。
ASDM上でDAPレコードを設定した後、各DAPレコードの詳細は dap.xml ファイルにも保存されます。Anyconnect接続時、ASA側が dap.xml ファイルでのDAPの表示順番を持って、DAPの評価を行います。dap.xml ファイル中のいずれかのDAPレコードもマッチされない場合、デフォルトDAP (DfltAccessPolicy) の評価を行います。
ciscoasa# more flash:/dap.xml
<dapRecordList>
<dapRecord>
<dapName>
<value>01_dap_test</value> <--- 1番目のDAPの名前
</dapName>
<dapViewsRelation>
<value>and</value>
</dapViewsRelation>
<dapBasicView>
<dapSelection>
<dapPolicy>
<value>match-all</value>
</dapPolicy>
<attr>
<name>aaa.cisco.grouppolicy</name>
<value>dap_test_gp</value> <--- 1番目のDAPのgroup policy
<operation>EQ</operation>
<type>caseless</type>
</attr>
</dapSelection>
<dapSelection>
<dapPolicy>
<value>match-any</value>
</dapPolicy>
<dapSubSelection>
<dapPolicy>
<value>match-all</value>
</dapPolicy>
<attr>
<name>endpoint.device.MAC["0050.5698.e608"]</name> <--- 1番目のDAPのMACアドレス条件
<value>true</value>
<type>caseless</type>
<operation>EQ</operation>
</attr>
</dapSubSelection>
</dapSelection>
</dapBasicView>
</dapRecord>
<dapRecord>
<dapName>
<value>02_dap_test</value> <--- 2番目のDAPの名前
</dapName>
<dapViewsRelation>
<value>and</value>
</dapViewsRelation>
<dapBasicView>
<dapSelection>
<dapPolicy>
<value>match-any</value>
</dapPolicy>
<attr>
<name>aaa.cisco.grouppolicy</name>
<value>dap_test_gp</value> <--- 2番目のDAPのgroup policy
<operation>EQ</operation>
<type>caseless</type>
</attr>
</dapSelection>
<dapSelection>
<dapPolicy>
<value>match-any</value>
</dapPolicy>
<dapSubSelection>
<dapPolicy>
<value>match-all</value>
</dapPolicy>
<attr>
<name>endpoint.device.MAC["0050.5698.e605"]</name> <--- 2番目のDAPのMACアドレス条件
<value>true</value>
<type>caseless</type>
<operation>EQ</operation>
</attr>
</dapSubSelection>
</dapSelection>
</dapBasicView>
</dapRecord>
<dapRecord>
<dapName>
<value>03_dap_test</value> <--- 3番目のDAPの名前
</dapName>
<dapViewsRelation>
<value>and</value>
</dapViewsRelation>
<dapBasicView>
<dapSelection>
<dapPolicy>
<value>match-any</value>
</dapPolicy>
<attr>
<name>aaa.cisco.grouppolicy</name>
<value>dap_test_gp</value> <--- 3番目のDAPのgroup policy
<operation>EQ</operation>
<type>caseless</type>
</attr>
</dapSelection>
<dapSelection>
<dapPolicy>
<value>match-any</value>
</dapPolicy>
<dapSubSelection>
<dapPolicy>
<value>match-all</value>
</dapPolicy>
<attr>
<name>endpoint.device.MAC["0050.5698.e609"]</name> <--- 3番目のDAPのMACアドレス条件
<value>true</value>
<type>caseless</type>
<operation>EQ</operation>
</attr>
</dapSubSelection>
</dapSelection>
</dapBasicView>
</dapRecord>
</dapRecordList>
1. WindowsPCのMACが「0050.5698.e605」であることを確認します。
2. WindowsPCで、Anyconnectの接続を実施し、ユーザー名とパスワードを入力します。
3. Anyconnect UIで、 02_dap_test がマッチされたことを確認します。
4. ASA側のデバッグログで 02_dap_test がマッチされたことを確認します。
Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 11:46:11: %ASA-4-711001: Selected DAPs: ,02_dap_test
Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Dec 30 2023 11:46:11: %ASA-4-711001: dap_process_selected_daps: selected 1 records
Dec 30 2023 11:46:11: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 11:46:11: %ASA-4-711001: DAP_close: 17
1. 02_dap_test の endpoint.device.MAC の値を 0050.5698.e607 に変更します。
2. WindowsPCで、Anyconnectの接続を実施し、ユーザー名とパスワードを入力します。
3. Anyconnect接続が拒否されたことを確認します。
4. ASA側のデバッグログでデフォルトの DfltAccessPolicy がマッチされたことを確認します。
※デフォルトDAP(DfltAccessPolicy) のアクションはデフォルトで Terminate となります。
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: Selected DAPs:
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Dec 30 2023 12:13:39: %ASA-4-711001: dap_process_selected_daps: selected 0 records
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: Selected DAPs: DfltAccessPolicy
Dec 30 2023 12:13:39: %ASA-4-711001: DAP_TRACE: Username: cisco, Dec 30 2023 12:13:39: %ASA-4-711001: DAP_close: 1B
1. 各DAPレコードに対し、以下の設定変更を実施します。
2. WindowsPCで、Anyconnectの接続を実施し、ユーザー名とパスワードを入力します。
3. Anyconnect UIで、2つのDAPがマッチされたことを確認します。
※複数のDAPがマッチされた場合、それぞれのDAPのユーザーメッセージが統合され、AnyConnect UIに一緒に表示されます。
4. ASA側のデバッグログで2つのDAPがマッチされたことを確認します。
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: endpoint.device.hostname = "DESKTOP-VCKHRG1"
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: Selected DAPs: ,01_dap_test,02_dap_test
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:49:02: %ASA-4-711001: dap_process_selected_daps: selected 2 records
Feb 01 2024 08:49:02: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:49:02: %ASA-4-711001: DAP_close: 4
1. 各DAPレコードに対し、以下の設定変更を実施します。
2. WindowsPCで、Anyconnectの接続を実施し、ユーザー名とパスワードを入力します。
3. Anyconnect UIで、01_dap_test がマッチされたことを確認します。
※terminate アクションに設定されたDAPレコードがマッチされた後、次のレコード以降のDAP評価処理を行いません。
4. ASA側のデバッグログで 01_dap_test がマッチされたことを確認します。
Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.MAC["0050.5698.e605"] = "true"
Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: endpoint.device.hostname = "DESKTOP-VCKHRG1"
Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:55:37: %ASA-4-711001: Selected DAPs: ,01_dap_test
Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Feb 01 2024 08:55:37: %ASA-4-711001: dap_process_selected_daps: selected 1 records
Feb 01 2024 08:55:37: %ASA-4-711001: DAP_TRACE: Username: cisco, Feb 01 2024 08:55:37: %ASA-4-711001: DAP_close: 6
DAPの詳細な動作を確認する場合は、下記のデバッグログを取得します。
こんにちは。
HOSTSCANについてご教授いただきたいのですが、どのような情報が得られますでしょうか。また、得られた情報をCisco ISEやDNA Centerと連携する事は可能でしょうか。(ASA本体のみにしか記録されないのでしょうか)
可能であればご回答をいただけますと幸いです。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
下記より関連するコンテンツにアクセスできます