Konfigurieren von Threat-Centric NAC (TC-NAC) der ISE 2.2 mit Rapid7

Download-Optionen

  • PDF     (2.7 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (3.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (2.4 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:10. Februar 2017
Dokument-ID:200974

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die Konfiguration und Fehlerbehebung von Threat-Centric NAC mit Rapid7 auf der Identity Service Engine (ISE) 2.2 beschrieben. Mit der Threat Centric Network Access Control (TC-NAC)-Funktion können Sie Autorisierungsrichtlinien erstellen, die auf den Bedrohungs- und Schwachstellenattributen basieren, die von den Bedrohungs- und Schwachstellenadaptern empfangen wurden. 

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Grundkenntnisse in diesen Themen verfügen:

  • Cisco Identity Service Engine

  • Nexus Vulnerability Scanner

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco Identity Service Engine Version 2.2
  • Cisco Catalyst 2960S Switch 15.2(2a)E1
  • Rapid7 Nexpose Vulnerability Scanner Enterprise Edition
  • Windows 7 Service Pack 1
  • Windows Server 2012 R2

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konfigurieren

Übergeordnetes Flussdiagramm

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-00.png

Dies ist der Fluss:

  1. Der Client stellt eine Verbindung zum Netzwerk her, der Zugriff ist eingeschränkt, und das Profil mit aktiviertem Kontrollkästchen Schwachstellen bewerten wird zugewiesen.

  2. Der PSN-Knoten sendet eine Syslog-Meldung an den MNT-Knoten, in der bestätigt wird, dass die Authentifizierung stattgefunden hat und dass die VA-Suche das Ergebnis der Autorisierungsrichtlinie war.

  3. Der MNT-Knoten sendet SCAN an den TC-NAC-Knoten (mithilfe von Admin WebApp). Dabei werden folgende Daten verwendet:
    -MAC-Adresse
    -IP-Adresse
    - Scan-Intervall
    - Periodische Suche aktiviert
    - Ursprungs-PSN

  4. Nexpose TC-NAC (in Docker Container eingekapselt) kommuniziert mit Nexpose Scanner, um bei Bedarf einen Scan auszulösen.

  5. Nexpose Scanner scannt den von der ISE angeforderten Endpunkt.

  6. Nexpose Scanner sendet die Ergebnisse des Scans an die ISE.

  7. Ergebnisse des Scans werden an TC-NAC zurückgesendet:
    -MAC-Adresse
    - Alle CVSS-Bewertungen
    - Alle Schwachstellen (Titel, CVEIDs)

  8. TC-NAC aktualisiert PAN mit allen Daten aus Schritt 7.

  9. CoA wird bei Bedarf gemäß konfigurierter Autorisierungsrichtlinie ausgelöst.

Bereitstellen und Konfigurieren des Nexpose Scanners

Vorsicht: Die Nexpose-Konfiguration in diesem Dokument dient Laborzwecken. Weitere Informationen zu Designüberlegungen erhalten Sie von den Rapid7-Technikern.

Schritt 1: Nexpose Scanner bereitstellen.

Nexpose-Scanner kann über eine OVA-Datei bereitgestellt und auf Linux und Windows installiert werden. In diesem Dokument wird die Installation auf Windows Server 2012 R2 durchgeführt. Laden Sie das Image von der Rapid7-Website herunter und starten Sie die Installation. Wenn Sie Typ und Ziel konfigurieren, wählen Sie Nexpose Security Console mit lokaler Scan Engine

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-01.png

Nach Abschluss der Installation wird der Server neu gestartet. Nach dem Start muss der Nexpose-Scanner über einen 3780-Port zugänglich sein, wie im Bild gezeigt:

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-02.png

Wie in der Abbildung dargestellt, durchläuft der Scanner den Startprozess der Sicherheitskonsole:

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-03.png

Anschließend muss der Lizenzschlüssel zur Verfügung gestellt werden, um Zugriff auf die GUI zu erhalten. Beachten Sie, dass die Enterprise Edition von Nexpose Scanner erforderlich ist, da Scans nicht ausgelöst werden, wenn die Community Edition installiert ist.

Schritt 2: Konfigurieren Sie den Nexpose-Scanner.

Der erste Schritt besteht darin, das Installationszertifikat auf dem Nexpose Scanner zu installieren. Das Zertifikat in diesem Dokument wird von derselben Zertifizierungsstelle ausgestellt wie das Administratorzertifikat für die ISE (LAB-Zertifizierungsstelle). Navigieren Sie zu Administration > Global and Console Settings. Wählen Sie Verwalten unter Konsole aus, wie im Bild dargestellt.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-04.png

Klicken Sie auf Zertifikat verwalten, wie im Bild gezeigt:

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-05.png

Klicken Sie, wie im Bild dargestellt, auf Neues Zertifikat erstellen. Geben Sie Common Name und alle anderen Daten ein, die im Identitätszertifikat von Nexpose Scanner enthalten sein sollen. Stellen Sie sicher, dass die ISE den FQDN des Nexpose Scanners mit DNS auflösen kann.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-06.png

Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) an das Terminal exportieren

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-07.png

An dieser Stelle müssen Sie den CSR-Bericht mit der Zertifizierungsstelle (Certificate Authority, CA) signieren.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-08.png

Importieren Sie das von der Zertifizierungsstelle ausgestellte Zertifikat, indem Sie auf Zertifikat importieren klicken.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-09.png

Konfigurieren eines Standorts Die Website enthält Ressourcen, die Sie scannen können sollten, und das Konto, das für die Integration von ISE mit Nexpose Scanner verwendet wird, sollte über Berechtigungen zum Verwalten von Sites und zum Erstellen von Berichten verfügen. Navigieren Sie zu Erstellen > Site, wie im Bild dargestellt.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-10.png

Wie im Bild gezeigt, geben Sie den Namen der Website auf der Registerkarte Info & Security ein. Die Registerkarte "Assets" (Ressourcen) sollte IP-Adressen der gültigen Ressourcen enthalten, d. h. Endpunkte, die für die Suche nach Schwachstellen qualifiziert sind.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-11.png200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-12.png

Importieren Sie ein Zertifizierungsstellenzertifikat, das ein ISE-Zertifikat signiert hat, in den vertrauenswürdigen Speicher. Navigieren Sie zu Administration > Root Certificates > Manage > Import Certificates.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-13.png

Konfigurieren der ISE

Schritt 1: Aktivieren Sie TC-NAC Services.

Aktivieren Sie TC-NAC Services auf dem ISE-Knoten. Beachten Sie Folgendes:

  • Der Threat Centric NAC-Service erfordert eine Apex-Lizenz.
  • Für den bedrohungsorientierten NAC-Service benötigen Sie einen separaten Policy Service Node (PSN).
  • Der bedrohungsorientierte NAC-Service kann nur auf einem Knoten in einer Bereitstellung aktiviert werden.
  • Sie können für den Vulnerability Assessment-Service nur eine Adapterinstanz pro Anbieter hinzufügen.
200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-14.png

Schritt 2: Nexpose Scanner-Zertifikat importieren

Importieren Sie das Zertifikat der Nexpose Scanner-Zertifizierungsstelle in den Speicher für vertrauenswürdige Zertifikate in Cisco ISE (Administration > Certificates > Certificate Management > Trusted Certificates > Import). Stellen Sie sicher, dass die entsprechenden Stamm- und Zwischenzertifikate in den Speicher für vertrauenswürdige Zertifikate der Cisco ISE importiert werden (oder vorhanden sind).

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-15.png

Schritt 3: Konfigurieren der TC-NAC-Instanz des Nexpose-Scanners

Hinzufügen einer Rapid7-Instanz unter Administration > Threat Centric NAC > Drittanbieter.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-16.png

Nach dem Hinzufügen wechselt die Instanz in den Status Ready to Configure (Bereit für Konfiguration). Klicken Sie auf diesen Link. Konfigurieren Sie Nexpose-Host (Scanner) und Port, der Standardwert ist 3780. Geben Sie Benutzername und Passwort mit Zugriff auf die richtige Site an.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-17.png

Erweiterte Einstellungen sind im ISE 2.2 Admin Guide gut dokumentiert. Den Link finden Sie im Abschnitt Referenzen dieses Dokuments. Klicken Sie auf Weiter und Beenden. Nexpose-Instanz wechselt in den aktiven Status, und der Download der Wissensdatenbank wird gestartet.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-18.png

Schritt 4: Autorisierungsprofil zum Auslösen des VA-Scans konfigurieren

Navigieren Sie zu Policy > Policy Elements > Results > Authorization > Authorization Profiles (Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile). Neues Profil hinzufügen. Aktivieren Sie unter Allgemeine Aufgaben das Kontrollkästchen Schwachstellenbewertung. Das Scan-Intervall auf Anforderung sollte entsprechend Ihrem Netzwerkdesign ausgewählt werden.

Das Autorisierungsprofil enthält diese AV-Paare:

cisco-av-pair = on-demand-scan-interval=48
cisco-av-pair = periodic-scan-enabled=0
cisco-av-pair = va-adapter-instance=c2175761-0e2b-4753-b2d6-9a9526d85c0c

Sie werden an Netzwerkgeräte innerhalb des Access-Accept-Pakets gesendet, obwohl der eigentliche Zweck darin besteht, dem Monitoring-Knoten (MNT) mitzuteilen, dass der Scan ausgelöst werden sollte. MNT weist den TC-NAC-Knoten an, mit dem Nexpose Scanner zu kommunizieren.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-19.png

Schritt 5: Autorisierungsrichtlinien konfigurieren

  • Konfigurieren Sie die Autorisierungsrichtlinie so, dass das neue, in Schritt 4 konfigurierte Autorisierungsprofil verwendet wird. Navigieren Sie zu Policy > Authorization > Authorization Policy, suchen Sie nach der Basic_Authenticated_Access-Regel, und klicken Sie auf Edit. Ändern Sie die Berechtigungen von PermitAccess in den neu erstellten Standard Rapid7. Dies führt zu einer Schwachstellenüberprüfung für alle Benutzer. Klicken Sie auf Speichern.
  • Autorisierungsrichtlinie für Computer in Quarantäne erstellen. Navigieren Sie zu Richtlinie > Autorisierung > Autorisierungsrichtlinie > Ausnahmen, und erstellen Sie eine Ausnahmeregel. Navigieren Sie nun zu Bedingungen > Neue Bedingung erstellen (Erweiterte Option) > Attribut auswählen, scrollen Sie nach unten, und wählen Sie Bedrohung aus. Erweitern Sie das Attribut Threat, und wählen Sie Nexpose-CVSS_Base_Score aus. Ändern Sie den Operator in Greater Than, und geben Sie einen Wert gemäß Ihrer Sicherheitsrichtlinie ein. Das Quarantäne-Autorisierungsprofil sollte den Zugriff auf den anfälligen Computer einschränken.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-20.png

Überprüfung

Identity Services Engine

Die erste Verbindung löst den VA-Scan aus. Nach Abschluss des Scans wird die CoA-Neuauthentifizierung ausgelöst, um eine neue Richtlinie anzuwenden, wenn sie zugeordnet wird.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-21.png

Um zu überprüfen, welche Schwachstellen erkannt wurden, navigieren Sie zu Context Visibility > Endpoints. Mit den Bewertungen von Nexpose Scanner können Sie Schwachstellen auf Endgeräten überprüfen.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-22.png

Unter Operations > TC-NAC Live Logs (Vorgänge > TC-NAC Live-Protokolle) werden die angewendeten Autorisierungsrichtlinien sowie Details zu CVSS_Base_Score angezeigt.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-23.png

Nexus-Scanner

Wenn der VA-Scan durch den TC-NAC Nexpose-Scan ausgelöst wird, wechselt er in den In-Progress-Status, und der Scanner beginnt, den Endpunkt zu untersuchen. Wenn Sie die Wireshark-Erfassung auf dem Endpunkt ausführen, sehen Sie an dieser Stelle den Paketaustausch zwischen der Endstation und dem Scanner. Nach Abschluss des Scanners stehen die Ergebnisse auf der Startseite zur Verfügung.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-24.png

Auf der Seite Assets (Ressourcen) können Sie sehen, dass ein neuer Endpunkt mit den Suchergebnissen verfügbar ist, das Betriebssystem identifiziert wird und 10 Schwachstellen erkannt werden.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-25.png

Wenn Sie auf die IP-Adresse des Endpunkts klicken, gelangen Sie mit Nexpose Scanner in das neue Menü, wo Sie weitere Informationen wie Hostname, Risc Score und eine detaillierte Liste der Schwachstellen sehen können

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-26.png200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-27.png

Wenn Sie auf die Schwachstelle selbst klicken, wird eine vollständige Beschreibung angezeigt.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-28.png

Fehlerbehebung

Debuggen auf der ISE

Um das Debugging auf ISE zu aktivieren, navigieren Sie zu Administration > System > Logging > Debug Log Configuration, wählen Sie TC-NAC Node aus, und ändern Sie die Log Level va-runtime und va-service Komponente in DEBUG.

200974-Configure-ISE-2-2-Threat-Centric-NAC-TC-29.png

Zu überprüfende Protokolle - varuntime.log. Sie können das Paket direkt über die ISE-CLI weiterleiten:

ISE21-3ek/admin# show logging application varuntime.log tail

Der TC-NAC Docker erhielt die Anweisung, eine Suche nach einem bestimmten Endpunkt durchzuführen.

2016-11-24 13:32:04,436 DEBUG [Thread-94][] va.runtime.admin.mnt.EndpointFileReader -:::::- VA: Read va runtime. [{"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}, {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}]
2016-11-24 13:32:04,437 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}
2016-11-24 13:32:04,439 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}

Sobald das Ergebnis empfangen wurde, werden alle Schwachstellendaten im Kontextverzeichnis gespeichert.

2016-11-24 13:45:28,378 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":2,"isPeriodicScanEnabled":false,"heartBeatTime":1479991526437,"lastScanTime":0}
2016-11-24 13:45:33,642 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- Got message from VaService: [{"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","lastScanTime":1479962572758,"vulnerabilities":["{\"vulnerabilityId\":\"ssl-cve-2016-2183-sweet32\",\"cveIds\":\"CVE-2016-2183\",\"cvssBaseScore\":\"5\",\"vulnerabilityTitle\":\"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-static-key-ciphers\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports The Use of Static Key Ciphers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"rc4-cve-2013-2566\",\"cveIds\":\"CVE-2013-2566\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-prime-under-2048-bits\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"Diffie-Hellman group smaller than 2048 bits\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-primes\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Is Using Commonly Used Prime Numbers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-cve-2011-3389-beast\",\"cveIds\":\"CVE-2011-3389\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server is enabling the BEAST attack\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tlsv1_0-enabled\",\"cveIds\":\"\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS Server Supports TLS version 1.0\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}"]}]
2016-11-24 13:45:33,643 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- VA: Save to context db, lastscantime: 1479962572758, mac: 3C:97:0E:52:3F:D9
2016-11-24 13:45:33,675 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaPanRemotingHandler -:::::- VA: Saved to elastic search: {3C:97:0E:52:3F:D9=[{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"}]}

Zu überprüfende Protokolle - vaservice.log. Sie können das Paket direkt über die ISE-CLI weiterleiten:

ISE21-3ek/admin# show logging application vaservice.log tail

Anfrage zur Schwachstellenbewertung an Adapter gesendet.

2016-11-24 12:32:05,783 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA request submitted to adapter","TC-NAC.Details","VA request submitted to adapter for processing","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:32:05,810 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}

AdapterMessageListener überprüft alle 5 Minuten den Status des Scans, bis dieser abgeschlossen ist.

2016-11-24 12:36:28,143 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"AdapterInstanceName":"Rapid7","AdapterInstanceUid":"7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","VendorName":"Rapid7 Nexpose","OperationMessageText":"Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1"}
2016-11-24 12:36:28,880 DEBUG [endpointPollerScheduler-5][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","Adapter Statistics","TC-NAC.Details","Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1","TC-NAC.AdapterInstanceUuid","7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]

Der Adapter erhält die CVEs zusammen mit den CVSS-Bewertungen.

2016-11-24 12:45:33,132 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"returnedMacAddress":"","requestedMacAddress":"3C:97:0E:52:3F:D9","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1479962572758,"ipAddress":"10.229.20.32","vulnerabilities":[{"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,137 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Endpoint Details sent to IRF is {"3C:97:0E:52:3F:D9":[{"vulnerability":{"CVSS_Base_Score":5.0,"CVSS_Temporal_Score":0.0},"time-stamp":1479962572758,"title":"Vulnerability","vendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,221 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA successfully completed","TC-NAC.Details","VA completed; number of vulnerabilities found: 7","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:45:33,299 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
14-Feb-2017
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Eugene Korneychuk
    Cisco TAC-Techniker

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.