Pozn.:Popis vychází z Cisco ASA 5510 verze 9.1(4) a ASDM verze 7.1(5)100. O tomto tématu jsem již psal v pátém díle tohoto seriálu. Ale od té doby se hodně změnilo, tento popis je podrobnější a primárně zaměřen na SSL VPN.

Asi hlavní oficiální dokumentace k tomuto tématu je Cisco Secure Desktop Configuration Guide for Cisco ASA 5500 Series Administrators, Release 3.6. Více o DAPu se dozvíme v Configuring Dynamic Access Policies a Dynamic Access Policies (DAP), zajímavý je také článek DAP Advanced Functions Configuration Example.

Pokud jsme si zaplatili AnyConnect Premium licence, tak jsme získali Clientless SSL VPN a Cisco Secure Desktop (CSD, který obsahuje několik víceméně samostatných funkcí včetně Host Scan). Cisco dne 20. 11. 2012 oznámilo zrušení vlastností Secure Desktop (Vault), Cache Cleaner, Host Emulation Detection a Keystroke Logger Detection. Takže z CSD nám zůstává pouze Host Scan. Ostatní funkce můžeme zatím ještě využít (než budou odstraněny z nových aktualizací), ale třeba Secure Desktop se přestal vyvíjet již dávno, takže poslední podporovaný OS je 32 bitový Windows 7. Oficiální zpráva o zrušení Feature Deprecation Notice for Secure Desktop (Vault), Cache Cleaner, Keystroke Logger Detection, and Host Emulation Detection.

Cisco Secure Desktop a Host Scan

Jak bylo uvedeno, řada funkcí se hromadně zařazuje pod označení Cisco Secure Desktop (CSD), ale asi z nich zůstane pouze Host Scan. Od CSD 3.6 byl balíček HostScan oddělen a stal se sdílenou komponentou, takže může být instalován spolu s CSD, s plným AnyConnect client image nebo samostatně. Instalovat samostatný balík se doporučuje, protože je vydáván častěji než CSD. Například poslední verze CSD je 3.6.6249 (z 8. 5. 2013), ta v sobě obsahuje HostScan 3.1.03104 (z 29. 4. 2013). Ale samostatně ke stažení je HostScan 3.1.05152 (z 19. 12. 2013). Tomu odpovídá i verze AnyConnect klienta, která je 3.1.05152 (z 19. 12. 2013). Nastavení CSD se nachází pod rozhraním Cisco Secure Desktop Manager (CSDM), které je součástí ASDM. Zde je vidět verze a ta odpovídá verzi Host Scan.

Host Scan je podporovaný na různých verzích Windows (včetně 64 bitových Windows 8.1), Mac OS X a pár distribucích Linuxu. Více informací v Release Notes for Cisco Secure Desktop, Release 3.6. Celá konfigurace CSD se na ASA ukládá do disk0:/sdesktop/data.xml.

Aplikace/zapnutí CSD

Vlastnosti CSD fungují pro Clientless SSL VPN nebo připojení pomocí AnyConnect klienta. Pokud zapneme CSD, tak se zapíná globálně a uplatní se na všechna připojení do Clientless SSL VPN a pomocí AnyConnect klienta. Je to proto, že některé kontroly se provádí ještě před vlastním přihlášením (pre-login) a mohou zabránit i zobrazení přihlašovacího dialogu. Jediná možnost, jak to pro některý AnyConnect Connection Profiles vypnout, je využití Group URL (funguje to pak pouze při připojení přes toto URL) a zatržení následující volby na profilu.

Do not run Cisco Secure Desktop (CSD) on client machine when using group URLs defined above to access the ASA. (If a client connects using a connection alias, this setting is ignored.)

Prelogin Policy

Součástí CSD je také Prelogin Policy (Prelogin Assessment), která se vyhodnocuje hned po navázání spojení a stažení aktuální verze HostScan. Kontroly před přihlášením mohou obsahovat kontrolu registrů, souboru, certifikátu (kontroluje se pouze existence a určitý atribut, ne validita), verze OS (ne moc detailně), IPv4/IPv6 adresy/rozsahu. Pokud nejsou splněny požadavky Prelogin Policy, tak se zobrazí informace o odmítnutí a spojení je ukončeno. V opačném případě se přiřadí určité jméno Prelogin Policy a ta se aplikuje (v ní můžeme definovat funkce, které jsou nyní již všechny deprecated).

Endpoint Assessment

Pomocí Endpoint Assessment, což je funkce HostScan, se získávají informace o antiviru, firewallu a antispywaru. Po zapnutí se automaticky detekuje velké množství produktů (jde opravdu o stovky produktů) a informace o poslední aktualizaci. Pokud máme licenci Advanced Endpoint Assessment license (L-ASA-ADV-END-SEC=, cena je více než 15 tisíc korun), tak se může pokusit o nápravu nedostatků (zapnutí, aktualizaci definic, nastavení FW). Parametry Endpoint Assessment se vyhodnotí ještě před přihlášením, ale využít je můžeme po přihlášení pomocí Dynamic Access Policies (DAP).

Teprve následně dochází k autentizaci uživatele. Poté se aplikuje DAP a může využít informace z HostScan. V této fází může být odmítnuto přihlášení nebo se nastaví určené atributy.

Host Scan

HostScan se skládá z několika modulů Basic HostScan, Endpoint Assessment a Advanced Endpoint Assessment. Pokud je zapnuto HostScan/CSD nebo Secure Desktop, tak se na klientovi automaticky identifikuje OS a jeho Service Pack, poslouchající porty (na Windows), CSD komponenty, instalované MS KB (aktualizace). Pomocí Basic HostScan dále můžeme nechat hledat určitý proces, soubor, klíč v registrech. Účel je takový, abychom rozlišili firemní počítače od soukromých nebo veřejných. Pomocí Endpoint Assessment pak ještě můžeme detekovat antivir, firewall a antispyware.

Použití CSD na klientovi

Pokud máme CSD zapnuto, tak se po připojení pomocí AnyConnect klienta kontroluje verze HostScan (která je součástí klienta) a případně se stáhne verze ze serveru. AnyConnect klient pak provádí nastavené detekce a kontroly, zjištěné údaje předává na ASA.

Pokud se připojujeme přes prohlížeč do Clientless SSL VPN, tak se po navázání session využije ActiveX nebo Java. Stáhne se a použije CSD (soubor cstub.exe), ten provede detekce a kontroly a údaje odešle na ASA. CSD/HostScan by mělo fungovat i bez administrátorských oprávnění.

Integrace CSD (HostScan) s DAP

To, že nám HostScan detekuje určitý parametr, samo o sobě nic neprovede. Pouze Prelogin Assessment může zabránit zobrazení přihlašovacího dialogu. HostScan nám zjistí údaje a je na nás, abychom je nějak využili. Jediné, kde je můžeme použít, je pomocí Dynamic Access Policies (DAP).

Můžeme vytvořit různé DAP politiky, které se přiřadí k připojení podle hodnoty jednoho nebo více endpoint atributu, případně v kombinaci s AAA atributem. Z CSD můžeme využít OS detection, CSD prelogin policies, Basic HostScan a Endpoint Assessment. Případně můžeme využít jako podmínku free-form Lua text, který zadáme do Advanced - Logical Expressions. V politice pak nastavujeme určité přístupové a autorizační atributy.

HostScan je vždy svázaný s CSD, ale v CSD Prelogin Policy můžeme zrušit zatržítko u Secure Desktop a Cache Cleaner a pak se použije pouze HostScan.

Konfigurace prakticky

Configuration > Remote Access VPN > Host Scan Image

Abychom mohli funkce CSD použít, tak musíme vybrat obraz CSD nebo HostScan nebo oba. Na tomto místě můžeme vybrat obraz HostScan z flash paměti ASA, nainstalovat nový (který jsme stáhli z Cisco Download) nebo odinstalovat (zruší se tím výběr obrazu v konfiguraci). Příklad disk0:/hostscan_3.1.05152-k9.pkg.

Je zde také zatržítko Enable Host Scan/CSD, kterým zapneme CSD (a tím také Host Scan). Po aplikaci se hned uplatní na všechna připojení AnyConnectem nebo Clientless. Po zapnutí se také v ASDM zobrazí volby pro konfiguraci.

Configuration > Remote Access VPN > Secure Desktop Manager > Setup

Na tomto místě můžeme vybrat obraz CSD, možnosti jsou stejné jako u Host Scan obrazu. Pokud nechceme používat Secure Desktop, tak můžeme nastavit pouze Host Scan. Příklad disk0:/csd_3.6.6249-k9.pkg.

Je zde také zatržítko Enable Secure Desktop, které se chová stejně jako Enable Host Scan/CSD.

Configuration > Remote Access VPN > Secure Desktop Manager > Global Settings

Zde pouze volíme možnosti logování.

Configuration > Remote Access VPN > Secure Desktop Manager > Prelogin Policy

Na tomto místě se nachází grafický návrhář pro vytvoření stromu rozhodnutí (decision tree). Můžeme nastavit různé kontroly, které se provedou před přihlášením a pomocí nich přidělit určitou Prelogin Policy nebo odmítnout přihlášení.

Pod Prelogin Policy se nachází vytvořené politiky, je zde minimálně jedna, která se na začátku jmenuje Default. Přímo na ní povolujeme využití Cache Cleaner a případně Secure Desktop (Vault), a pak definujeme jejich parametry. Pokud žádnou z těchto položek nezapneme, tak politika nic neprovádí (ale v DAP můžeme využít její jméno).

Configuration > Remote Access VPN > Secure Desktop Manager > Host Scan

Možnosti Host Scan jsme si popsali, zde můžeme konfigurovat všechny vlastnosti. V sekci Basic Host Scan můžeme přidat detekci různých souborů, klíčů v registrech nebo procesů. V sekci Host Scan Extensions můžeme povolit nějaké rozšíření, defaultně zde máme Endpoint Assessment ver 3.6.8133.2.

Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies

DAP politiky se uplatňují jako poslední, při aplikaci na přihlášení do VPN, takže mohou přepsat některé hodnoty, které byly nastaveny třeba pomocí Group Policy. Vždy existuje defaultní politika DfltAccessPolicy, která se použije, pokud se nepřiřadila jiná DAP. Takže defaultní politika nemá žádná kritéria pro výběr a v seznamu je poslední. Pokud chceme vytvořit různé politiky, které povolí přístup (a kontrolujeme na nich splnění určitých podmínek), tak nesmíme zapomenout defaultní politiku nastavit, aby blokovala přístup (Action: Terminate). Samozřejmě to můžeme řešit i opačně, defaultně máme povoleno a volíme situace, kdy blokujeme, Nesmíme také zapomenout, že DAP se uplatňují na všechny typy Remote Access VPN.

Když vytváříme nové politiky, tak nejprve definujeme, kdy se má uplatnit (Selection Criteria). Použít můžeme spousty atributů z AAA (třeba použitou Group Policy, Connection Profile, IP adresu, uživatelské jméno, libovolný RADIUS nebo LDAP atribut) nebo Endpoint (to jsou právě vlastnosti z CSD), případně Logical Expression. A co se má nastavit, tedy Access/Authorization Policy Attributes. Můžeme určit akci Continue, Quarantine, Terminate a zadat zobrazenou zprávu. Aplikovat ACL, změnit možnost přístupu (AnyConnect, Web-portal), povolit/zakázat určité vlastnosti Clientless SSL VPN.

Pozn.: Akce Quarantine umožní na klienta aplikovat speciální omezující ACL, aby se dostal pouze k určitým službám a zjednal nápravu svého stavu. Tato funkce vyžaduje Advanced Endpoint Assessment (a tedy patřičnou licenci).

Každá vytvořená politika má určitou prioritu a podle nich se prochází seznam (od 0 nahoru), když se vytváří session a hledá shoda ve výběrových kritériích. Všechny záznamy, které vyhovují, se spojí a sestaví se výsledná politika, která se aplikuje.

Dole na stránce můžeme použít tlačítko Test Dynamic Access Policies. Zadáme atributy a dostaneme výstup jaké politiky a jak se v takovém případě aplikují.