In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird die Konfiguration und Fehlerbehebung von Threat-Centric NAC mit Rapid7 auf der Identity Service Engine (ISE) 2.2 beschrieben. Mit der Threat Centric Network Access Control (TC-NAC)-Funktion können Sie Autorisierungsrichtlinien erstellen, die auf den Bedrohungs- und Schwachstellenattributen basieren, die von den Bedrohungs- und Schwachstellenadaptern empfangen wurden.
Cisco empfiehlt, dass Sie über Grundkenntnisse in diesen Themen verfügen:
Cisco Identity Service Engine
Nexus Vulnerability Scanner
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Dies ist der Fluss:
Vorsicht: Die Nexpose-Konfiguration in diesem Dokument dient Laborzwecken. Weitere Informationen zu Designüberlegungen erhalten Sie von den Rapid7-Technikern.
Nexpose-Scanner kann über eine OVA-Datei bereitgestellt und auf Linux und Windows installiert werden. In diesem Dokument wird die Installation auf Windows Server 2012 R2 durchgeführt. Laden Sie das Image von der Rapid7-Website herunter und starten Sie die Installation. Wenn Sie Typ und Ziel konfigurieren, wählen Sie Nexpose Security Console mit lokaler Scan Engine
Nach Abschluss der Installation wird der Server neu gestartet. Nach dem Start muss der Nexpose-Scanner über einen 3780-Port zugänglich sein, wie im Bild gezeigt:
Wie in der Abbildung dargestellt, durchläuft der Scanner den Startprozess der Sicherheitskonsole:
Anschließend muss der Lizenzschlüssel zur Verfügung gestellt werden, um Zugriff auf die GUI zu erhalten. Beachten Sie, dass die Enterprise Edition von Nexpose Scanner erforderlich ist, da Scans nicht ausgelöst werden, wenn die Community Edition installiert ist.
Der erste Schritt besteht darin, das Installationszertifikat auf dem Nexpose Scanner zu installieren. Das Zertifikat in diesem Dokument wird von derselben Zertifizierungsstelle ausgestellt wie das Administratorzertifikat für die ISE (LAB-Zertifizierungsstelle). Navigieren Sie zu Administration > Global and Console Settings. Wählen Sie Verwalten unter Konsole aus, wie im Bild dargestellt.
Klicken Sie auf Zertifikat verwalten, wie im Bild gezeigt:
Klicken Sie, wie im Bild dargestellt, auf Neues Zertifikat erstellen. Geben Sie Common Name und alle anderen Daten ein, die im Identitätszertifikat von Nexpose Scanner enthalten sein sollen. Stellen Sie sicher, dass die ISE den FQDN des Nexpose Scanners mit DNS auflösen kann.
Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) an das Terminal exportieren
An dieser Stelle müssen Sie den CSR-Bericht mit der Zertifizierungsstelle (Certificate Authority, CA) signieren.
Importieren Sie das von der Zertifizierungsstelle ausgestellte Zertifikat, indem Sie auf Zertifikat importieren klicken.
Konfigurieren eines Standorts Die Website enthält Ressourcen, die Sie scannen können sollten, und das Konto, das für die Integration von ISE mit Nexpose Scanner verwendet wird, sollte über Berechtigungen zum Verwalten von Sites und zum Erstellen von Berichten verfügen. Navigieren Sie zu Erstellen > Site, wie im Bild dargestellt.
Wie im Bild gezeigt, geben Sie den Namen der Website auf der Registerkarte Info & Security ein. Die Registerkarte "Assets" (Ressourcen) sollte IP-Adressen der gültigen Ressourcen enthalten, d. h. Endpunkte, die für die Suche nach Schwachstellen qualifiziert sind.
Importieren Sie ein Zertifizierungsstellenzertifikat, das ein ISE-Zertifikat signiert hat, in den vertrauenswürdigen Speicher. Navigieren Sie zu Administration > Root Certificates > Manage > Import Certificates.
Aktivieren Sie TC-NAC Services auf dem ISE-Knoten. Beachten Sie Folgendes:
Importieren Sie das Zertifikat der Nexpose Scanner-Zertifizierungsstelle in den Speicher für vertrauenswürdige Zertifikate in Cisco ISE (Administration > Certificates > Certificate Management > Trusted Certificates > Import). Stellen Sie sicher, dass die entsprechenden Stamm- und Zwischenzertifikate in den Speicher für vertrauenswürdige Zertifikate der Cisco ISE importiert werden (oder vorhanden sind).
Hinzufügen einer Rapid7-Instanz unter Administration > Threat Centric NAC > Drittanbieter.
Nach dem Hinzufügen wechselt die Instanz in den Status Ready to Configure (Bereit für Konfiguration). Klicken Sie auf diesen Link. Konfigurieren Sie Nexpose-Host (Scanner) und Port, der Standardwert ist 3780. Geben Sie Benutzername und Passwort mit Zugriff auf die richtige Site an.
Erweiterte Einstellungen sind im ISE 2.2 Admin Guide gut dokumentiert. Den Link finden Sie im Abschnitt Referenzen dieses Dokuments. Klicken Sie auf Weiter und Beenden. Nexpose-Instanz wechselt in den aktiven Status, und der Download der Wissensdatenbank wird gestartet.
Navigieren Sie zu Policy > Policy Elements > Results > Authorization > Authorization Profiles (Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile). Neues Profil hinzufügen. Aktivieren Sie unter Allgemeine Aufgaben das Kontrollkästchen Schwachstellenbewertung. Das Scan-Intervall auf Anforderung sollte entsprechend Ihrem Netzwerkdesign ausgewählt werden.
Das Autorisierungsprofil enthält diese AV-Paare:
cisco-av-pair = on-demand-scan-interval=48 cisco-av-pair = periodic-scan-enabled=0 cisco-av-pair = va-adapter-instance=c2175761-0e2b-4753-b2d6-9a9526d85c0c
Sie werden an Netzwerkgeräte innerhalb des Access-Accept-Pakets gesendet, obwohl der eigentliche Zweck darin besteht, dem Monitoring-Knoten (MNT) mitzuteilen, dass der Scan ausgelöst werden sollte. MNT weist den TC-NAC-Knoten an, mit dem Nexpose Scanner zu kommunizieren.
Die erste Verbindung löst den VA-Scan aus. Nach Abschluss des Scans wird die CoA-Neuauthentifizierung ausgelöst, um eine neue Richtlinie anzuwenden, wenn sie zugeordnet wird.
Um zu überprüfen, welche Schwachstellen erkannt wurden, navigieren Sie zu Context Visibility > Endpoints. Mit den Bewertungen von Nexpose Scanner können Sie Schwachstellen auf Endgeräten überprüfen.
Unter Operations > TC-NAC Live Logs (Vorgänge > TC-NAC Live-Protokolle) werden die angewendeten Autorisierungsrichtlinien sowie Details zu CVSS_Base_Score angezeigt.
Wenn der VA-Scan durch den TC-NAC Nexpose-Scan ausgelöst wird, wechselt er in den In-Progress-Status, und der Scanner beginnt, den Endpunkt zu untersuchen. Wenn Sie die Wireshark-Erfassung auf dem Endpunkt ausführen, sehen Sie an dieser Stelle den Paketaustausch zwischen der Endstation und dem Scanner. Nach Abschluss des Scanners stehen die Ergebnisse auf der Startseite zur Verfügung.
Auf der Seite Assets (Ressourcen) können Sie sehen, dass ein neuer Endpunkt mit den Suchergebnissen verfügbar ist, das Betriebssystem identifiziert wird und 10 Schwachstellen erkannt werden.
Wenn Sie auf die IP-Adresse des Endpunkts klicken, gelangen Sie mit Nexpose Scanner in das neue Menü, wo Sie weitere Informationen wie Hostname, Risc Score und eine detaillierte Liste der Schwachstellen sehen können
Wenn Sie auf die Schwachstelle selbst klicken, wird eine vollständige Beschreibung angezeigt.
Um das Debugging auf ISE zu aktivieren, navigieren Sie zu Administration > System > Logging > Debug Log Configuration, wählen Sie TC-NAC Node aus, und ändern Sie die Log Level va-runtime und va-service Komponente in DEBUG.
Zu überprüfende Protokolle - varuntime.log. Sie können das Paket direkt über die ISE-CLI weiterleiten:
ISE21-3ek/admin# show logging application varuntime.log tail
Der TC-NAC Docker erhielt die Anweisung, eine Suche nach einem bestimmten Endpunkt durchzuführen.
2016-11-24 13:32:04,436 DEBUG [Thread-94][] va.runtime.admin.mnt.EndpointFileReader -:::::- VA: Read va runtime. [{"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}, {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}]
2016-11-24 13:32:04,437 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}
2016-11-24 13:32:04,439 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}
Sobald das Ergebnis empfangen wurde, werden alle Schwachstellendaten im Kontextverzeichnis gespeichert.
2016-11-24 13:45:28,378 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":2,"isPeriodicScanEnabled":false,"heartBeatTime":1479991526437,"lastScanTime":0}
2016-11-24 13:45:33,642 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- Got message from VaService: [{"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","lastScanTime":1479962572758,"vulnerabilities":["{\"vulnerabilityId\":\"ssl-cve-2016-2183-sweet32\",\"cveIds\":\"CVE-2016-2183\",\"cvssBaseScore\":\"5\",\"vulnerabilityTitle\":\"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-static-key-ciphers\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports The Use of Static Key Ciphers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"rc4-cve-2013-2566\",\"cveIds\":\"CVE-2013-2566\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-prime-under-2048-bits\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"Diffie-Hellman group smaller than 2048 bits\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-primes\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Is Using Commonly Used Prime Numbers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-cve-2011-3389-beast\",\"cveIds\":\"CVE-2011-3389\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server is enabling the BEAST attack\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tlsv1_0-enabled\",\"cveIds\":\"\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS Server Supports TLS version 1.0\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}"]}]
2016-11-24 13:45:33,643 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- VA: Save to context db, lastscantime: 1479962572758, mac: 3C:97:0E:52:3F:D9
2016-11-24 13:45:33,675 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaPanRemotingHandler -:::::- VA: Saved to elastic search: {3C:97:0E:52:3F:D9=[{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"}]}
Zu überprüfende Protokolle - vaservice.log. Sie können das Paket direkt über die ISE-CLI weiterleiten:
ISE21-3ek/admin# show logging application vaservice.log tail
Anfrage zur Schwachstellenbewertung an Adapter gesendet.
2016-11-24 12:32:05,783 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA request submitted to adapter","TC-NAC.Details","VA request submitted to adapter for processing","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:32:05,810 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}
AdapterMessageListener überprüft alle 5 Minuten den Status des Scans, bis dieser abgeschlossen ist.
2016-11-24 12:36:28,143 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"AdapterInstanceName":"Rapid7","AdapterInstanceUid":"7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","VendorName":"Rapid7 Nexpose","OperationMessageText":"Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1"}
2016-11-24 12:36:28,880 DEBUG [endpointPollerScheduler-5][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","Adapter Statistics","TC-NAC.Details","Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1","TC-NAC.AdapterInstanceUuid","7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
Der Adapter erhält die CVEs zusammen mit den CVSS-Bewertungen.
2016-11-24 12:45:33,132 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"returnedMacAddress":"","requestedMacAddress":"3C:97:0E:52:3F:D9","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1479962572758,"ipAddress":"10.229.20.32","vulnerabilities":[{"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,137 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Endpoint Details sent to IRF is {"3C:97:0E:52:3F:D9":[{"vulnerability":{"CVSS_Base_Score":5.0,"CVSS_Temporal_Score":0.0},"time-stamp":1479962572758,"title":"Vulnerability","vendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,221 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA successfully completed","TC-NAC.Details","VA completed; number of vulnerabilities found: 7","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:45:33,299 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
14-Feb-2017 |
Erstveröffentlichung |