セキュリティ : Cisco Web セキュリティ仮想アプライアンス

TrustSec わかっているサービスのための ISE で WSA 統合を設定して下さい

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 7 月 30 日) | フィードバック

概要

この資料に Identity Services Engine (ISE)によって Web セキュリティ アプライアンス(WSA)を統合方法を記述されています。 ISE バージョン 1.3 は新しい API によって呼出される pxGrid をサポートします。 他のセキュリティソリューションの容易な統合を可能にするこの現代および適用範囲が広いプロトコル サポート 認証、暗号化および特権(グループ)。

WSA バージョン 8.7 は pxGrid プロトコルをサポートし、ISE からコンテキスト ID情報を検索できます。 その結果、WSA は ISE から取得される TrustSec セキュリティグループ タグ(SGT)グループに基づいてポリシーを構築することを可能にします。

著者:Cisco TAC エンジニア、Michal Garcarz

前提条件

要件

Cisco ISE 構成の経験と、次のトピックに関する基本的な知識があることが推奨されます。

  • ISE の導入および認可の設定
  • TrustSec および VPN アクセスのための適応性があるセキュリティ アプライアンス モデル(ASA) CLI 設定
  • WSA 設定
  • TrustSec 配備の基本的な知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Microsoft Windows 7
  • Cisco ISE ソフトウェア バージョン 1.3 およびそれ以降
  • Cisco AnyConnect モービル セキュリティ バージョン 3.1 および それ 以降
  • Cisco ASA バージョン 9.3.1 および それ 以降
  • Cisco WSA バージョン 8.7 および それ 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図とトラフィック フロー

TrustSec SGT タグは社内ネットワークにアクセスするユーザのすべての型に認証サーバとして使用する ISE によって割り当てられます。 これは 802.1X または ISE ゲスト ポータルによって認証する配線されて/無線ユーザ含みます。 また、認証のために ISE を使用するリモート VPN ユーザ。

WSA に関しては、によってユーザがネットワークをどのようにがか重要ではありません。

この例は ASA-VPN のセッションを終了しているリモート VPN ユーザを示したものです。 それらのユーザ仕様 SGT タグは割り当てられました。 インターネットへのすべての HTTPトラフィックは ASA-FW (ファイアウォール)によって代行受信され、インスペクション用の WSA にリダイレクトされます。 それがそれに基づいて SGT タグおよびビルド アクセスか復号化ポリシーに基づいてユーザを分類するようにする WSA は識別プロファイルを使用します。

詳しいフローは次のとおりです:

  1. AnyConnect VPN ユーザは ASA-VPN の Secure Sockets Layer (SSL)セッションを終了します。 ASA-VPN は TrustSec のために設定され、VPN ユーザの認証のために ISE を使用します。 認証済みユーザ SGT タグ値は = 2 割り当てられます(名前 = IT)。 ユーザは 172.16.32.0/24 ネットワークから IP アドレスを受け取ります(この例の 172.16.32.50)。
  2. ユーザはインターネットの Webページにアクセスすることを試みます。 WSA にトラフィックをリダイレクトする ASA-FW は Web Cache Communication Protocol (WCCP)のために設定されます。
  3. WSA は ISE 統合のために設定されます。 それは ISE から情報をダウンロードするために pxGrid を使用します: ユーザ IP アドレス 172.16.32.50 は SGT タグ 2.を割り当てられました。
  4. WSA はユーザからの HTTP 要求を処理し、アクセスポリシー PolicyForIT を見つけます。 そのポリシーはスポーツ サイトにトラフィックをブロックするために設定されます。 (SGT に 2)見つけ、既定のアクセス ポリシーをスポーツ サイトにあるフルアクセスが属さない他のすべてのユーザ。

ASA-VPN

これは TrustSec のために設定される VPNゲートウェイです。 詳細なコンフィギュレーションはこの資料のスコープからあります。 次の例を参照してください。

ASA-FW

ASA ファイアウォールは WSA に WCCP リダイレクションに責任があります。 このデバイスは TrustSec に気づいていません。

interface GigabitEthernet0/0
 nameif outside
 security-level 100
 ip address 172.16.33.110 255.255.255.0

interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 172.16.32.110 255.255.255.0

access-list wccp-routers extended permit ip host 172.16.32.204 any
access-list wccp-redirect extended deny tcp any host 172.16.32.204
access-list wccp-redirect extended permit tcp any any eq www
access-list wccp-redirect extended permit tcp any any eq https

wccp 90 redirect-list wccp-redirect group-list wccp-routers
wccp interface inside 90 redirect in

ISE

ISE は TrustSec 配備の中心点です。 それはネットワークにアクセスし、認証するすべてのユーザに SGT タグを割り当てます。 基本設定に必要なステップがこのセクションにリストされています。

ステップ 1. IT および他のグループのための SGT

ポリシー > 結果 > Security グループ アクセス > Security グループ選択し、SGT を作成して下さい:

ステップ 2. SGT = 2 割り当てる VPN アクセスのための承認規則(IT)

ポリシー > 許可を選択し、リモート VPN アクセスのためのルールを作成して下さい。 ASA-VPN によって確立された接続すべての VPN はフルアクセス(PermitAccess)をおよびために割り当てられます SGT タグ 2 (IT)を得ます。

ステップ 3.ネットワークデバイスを追加し、ASA-VPN のための PAC ファイルを生成して下さい

ASA-VPN を TrustSec ドメインに追加するために、手動で プロキシ自動設定(PAC)ファイルを生成することは必要です。 そのファイルは ASA でインポートされます。

それは Administration > ネットワークデバイスから設定することができます ASA が追加された後、TrustSec 設定にスクロールし、PAC ファイルを生成して下さい。 それのための詳細は別途の(参照された)資料に説明があります。

ステップ 4.イネーブル pxGrid ロール

> 配備 pxGrid ロールを有効に するために『管理』 を選択 して下さい。

ステップ 5.管理および pxGrid ロールのための認証を生成して下さい

pxGrid プロトコルはクライアントおよびサーバ両方のために証明書認証を使用します。 ISE および WSA 両方のための正しい認証を設定することは非常に重要です。 認証は両方ともサブジェクトに完全修飾ドメイン名 (FQDN)およびクライアント認証およびサーバ認証のための x509 拡張を含める必要があります。 また正しい DNS A レコードが ISE および WSA 両方のために作成され、対応する FQDN を一致することを、確かめて下さい。

認証が両方とも別の認証局 (CA)によって署名する場合、信頼されたストアにそれらの CA を含めることは重要です。

認証を設定するために、> 認証 『管理』 を選択 して下さい。

ISE は各ロールのための証明書署名要求(CSR)を生成できます。 pxGrid ロールに関しては、外部 CA の CSR をエクスポートし、署名して下さい。

この例では、Microsoft CA はこのテンプレートによって使用されました:

最終結果はのように検知 するかもしれません:

172.16.31.202 を指す ise14.example.com および pxgrid.example.com のための DNS A レコードを作成することを忘れないで下さい。

ステップ 6. pxGrid 自動登録

デフォルトで、ISE は自動的に pxGrid サブスクライバを登録しません。 それは管理者によって手動で承認する必要があります。 その設定は WSA 統合のために変更する必要があります。

> pxGrid サービスおよび設定 された イネーブル自動登録『管理』 を選択 して下さい。

WSA

ステップ 1.透過モードおよびリダイレクション

この例では、WSA は ASA からのちょうどマネージメントインターフェイス、透過モードおよびリダイレクションで設定されます:

 

ステップ 2.認証 生成

WSA はすべての認証に署名するために CA を信頼する必要があります。 CA 認証を追加するためにネットワーク > Certificate Management を選択して下さい:

WSA が pxGrid に認証するために使用する認証を生成することもまた必要です。 ネットワーク > Identity Services Engine > WSA クライアント 認証を CSR を生成するために選択し、正しい CA テンプレート(ISEpxgrid)によって署名し、インポートして下さい。

また、「ISE Admin 認証」および「ISE pxGrid 認証のために」、CA 認証をインポートして下さい(ISE によって示される pxGrid 認証を信頼するため):

ステップ 3. ISE 接続をテストして下さい

ネットワーク > Identity Services Engine を ISE への接続をテストするために選択して下さい:

ステップ 4. ISE 識別プロファイル

Web セキュリティ マネージャ > 識別プロファイルを ISE のための新しいプロファイルを追加するために選択して下さい。 「識別および認証」使用に関しては「透過的に ISE のユーザを」識別して下さい。

ステップ 5. SGT タグに基づいてポリシーにアクセスして下さい

Web セキュリティ マネージャ > アクセスポリシーを新しいポリシーを追加するために選択して下さい。 メンバシップは ISE プロファイルを使用します:

選択したグループおよびユーザ向けに SGT タグ 2 は追加されます(IT):

ポリシー拒否はすべてのスポーツに SGT IT に属するユーザ向けのサイトにアクセスします:

確認

このセクションでは、設定が正常に機能していることを確認します。

ステップ 1. VPN セッション

VPN ユーザは ASA-VPN の方の VPN セッションを始めます:

ASA-VPN は認証のために ISE を使用します。 ISE はセッションを作成し、SGT タグ 2 (IT)を割り当てます:

認証の成功の後で、ASA-VPN は SGT タグ 2 で VPN セッションを作成します(cisco-av-pair の Radius Access-Accept で戻る):

asa-vpn# show vpn-sessiondb anyconnect 

Session Type: AnyConnect

Username     : cisco                  Index        : 2
Assigned IP  : 172.16.32.50           Public IP    : 192.168.10.67
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Essentials
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
Bytes Tx     : 12979961               Bytes Rx     : 1866781
Group Policy : POLICY                 Tunnel Group : SSLVPN
Login Time   : 21:13:26 UTC Tue May 5 2015
Duration     : 6h:08m:03s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : ac1020640000200055493276
Security Grp : 2:IT

ASA-VPN と ASA-FW 間のリンクが有効に なる TrustSec ではないので ASA-VPN はそのトラフィックのためのタグなしフレームを送信 します(インジェクトされた CMD/TrustSec フィールドの GRE カプセル化する イーサネットフレームにできてであってはなりません)。

ステップ 2. WSA によって検索されるセッション情報

この段階では、WSA は IP アドレス、ユーザ名および SGT 間のマッピングを受け取る必要があります(pxGrid プロトコルによって):

ステップ 3. WSA へのトラフィック リダイレクション

VPN ユーザは ASA-FW によって代行受信される sport.pl への接続を開始します、:

asa-fw# show wccp 

Global WCCP information:
    Router information:
        Router Identifier:                   172.16.33.110
        Protocol Version:                    2.0

    Service Identifier: 90
        Number of Cache Engines:             1
        Number of routers:                   1
        Total Packets Redirected:            562
        Redirect access-list:                wccp-redirect
        Total Connections Denied Redirect:   0
        Total Packets Unassigned:            0
        Group access-list:                   wccp-routers
        Total Messages Denied to Group:      0
        Total Authentication failures:       0
        Total Bypassed Packets Received:     0

asa-fw# show access-list wccp-redirect
access-list wccp-redirect; 3 elements; name hash: 0x9bab8633
access-list wccp-redirect line 1 extended deny tcp any host 172.16.32.204 (hitcnt=0)
0xfd875b28
access-list wccp-redirect line 2 extended permit tcp any any eq www (hitcnt=562)
0x028ab2b9
access-list wccp-redirect line 3 extended permit tcp any any eq https (hitcnt=0)
0xe202a11e

そして WCCP router-id が設定される最も高い IP アドレスであるという)表記 WSA (に GRE でトンネル伝送されて:

asa-fw# show capture 
capture CAP type raw-data interface inside [Capturing - 70065 bytes]
  match gre any any

asa-fw# show capture CAP

525 packets captured

   1: 03:21:45.035657       172.16.33.110 > 172.16.32.204:  ip-proto-47, length 60
   2: 03:21:45.038709       172.16.33.110 > 172.16.32.204:  ip-proto-47, length 48
   3: 03:21:45.039960       172.16.33.110 > 172.16.32.204:  ip-proto-47, length 640

WSA は TCP ハンドシェイクを続け、GET 要求を処理します。 その結果、PolicyForIT と指名されるポリシーは見つかることであり、トラフィックはブロックされます:

それは WSA レポートによって確認されます:

ISE がユーザ名を表示することに注意して下さい。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

不正確な認証

WSA が正しく(認証)初期化されない時、ISE 接続障害のためにテストして下さい:

ISE pxgrid-cm.log レポート:

[2015-05-06T16:26:51Z] [INFO ] [cm-1.jabber-172-16-31-202]
[TCPSocketStream::_doSSLHandshake] [] Failure performing SSL handshake: 1

失敗のための原因は Wireshark と見られる場合があります:

サーバによって示される未知証明書 チェーンが理由で拡張可能なメッセージングおよび存在プロトコル(XMPP)交換を(pxGrid によって使用される)、Client レポート SSL 障害保護するのに利用される SSL セッションに関しては。

正しいシナリオ

正しいシナリオに関しては、ISE pxgrid-controller.log ログ:

2015-05-06 18:40:09,153 INFO [Thread-7][] cisco.pxgrid.controller.sasl.SaslWatcher
-:::::- Handling authentication for user name wsa.example.com-test_client

また、ISE GUI は正しい機能のサブスクライバとして WSA を示します:

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 119212