El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar y resolver problemas el NAC Amenaza-céntrico con Rapid7 en el motor del servicio de la identidad (ISE) 2.2. La característica céntrica del Control de acceso a la red de la amenaza (TC-NAC) le permite para crear las directivas de la autorización basadas en los atributos de la amenaza y de la vulnerabilidad recibidos de los adaptadores de la amenaza y de la vulnerabilidad.
Cisco recomienda que usted tiene conocimiento básico de estos temas:
Motor del servicio de la identidad de Cisco
Escáner de vulnerabilidad de Nexpose
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Éste es el flujo:
Precaución: La configuración de Nexpose en este documento se hace para los propósitos del laboratorio, consulta por favor con los ingenieros Rapid7 para los aspectos del diseño
El escáner de Nexpose se puede desplegar de los HUEVOS clasifía, instalado encima de Linux y del OS (Sistema operativo) Windows. En este documento, la instalación se hace en el r2 del Servidor Windows 2012. Descargue la imagen del sitio web Rapid7 y comience la instalación. Cuando usted configura el tipo y el destino seleccionan la consola de la Seguridad de Nexpose con local analizan el motor
Una vez que la instalación es completa, el servidor reinicia. Después de iniciar, el escáner de Nexpose debe ser accesible vía el puerto 3780, tal y como se muestra en de la imagen:
Tal y como se muestra en de la imagen, el escáner pasa con el proceso de inicialización de la consola de la Seguridad:
Luego conseguir a acceso al GUI la llave de la licencia debe ser proporcionado. Observe por favor Enterprise Edition del escáner de Nexpose se requiere, las exploraciones no se accionan si la edición de la comunidad está instalada.
El primer paso está al certificado del instalar en el escáner de Nexpose. El certificado en este documento es publicado por mismo CA que certificado admin para ISE (LABORATORIO CA). Navegue a la administración > las configuraciones globales y de la consola. Selecto administre bajo la consola, tal y como se muestra en de la imagen.
El tecleo maneja el certificado, tal y como se muestra en de la imagen:
Tal y como se muestra en de la imagen, el tecleo adentro crea el nuevo certificado. Ingrese el Common Name y cualquier otro dato que usted quisiera tener en el certificado de identidad de escáner de Nexpose. Asegúrese de que el ISE pueda resolver el escáner FQDN de Nexpose con el DNS.
Exporte el pedido de firma de certificado (CSR) a la terminal.
En este momento, usted necesita firmar el CSR con el Certificate Authority (CA).
Importe el certificado publicado por el CA haciendo clic en Import Certificate (Importar certificado).
Configure un sitio. El sitio contiene los activos que usted debe poder analizar y la cuenta que se utiliza para integrar el ISE con el escáner de Nexpose debe tener privilegios de manejar los sitios y de crear los informes. Navegue para crear > sitio, tal y como se muestra en de la imagen.
Tal y como se muestra en de la imagen, ingrese el nombre del sitio en la información y la lengueta de los activos de cuadro de la Seguridad debe contener los IP Addresses de los activos válidos, los puntos finales que son elegibles para la exploración de la vulnerabilidad.
Importe el certificado de CA que firmaron el certificado ISE en el almacén de confianza. Navegue a la administración > a los certificados raíz > manejan > los Certificados de importación.
Servicios del permiso TC-NAC en el nodo ISE. Observe éstos:
Importe el certificado de CA del escáner de Nexpose en el almacén de los certificados confiables en Cisco ISE (la administración > Certificate Management (Administración de certificados) > los certificados confiables > importación de los Certificados). Asegúrese de que los Certificados apropiados de la raíz y del intermedio estén importados (o presente) en el almacén de los certificados confiables de Cisco ISE
Agregue el caso Rapid7 en la administración > el NAC > los terceros proveedores céntricos de la amenaza.
Una vez que está agregado, cite como ejemplo las transiciones para alistar para configurar el estado. Haga clic en este link. Configure el host de Nexpose (escáner) y puerto, por abandono es 3780. Especifique el nombre de usuario y contraseña con el acceso para enderezar el sitio.
Las configuraciones avanzadas están bien documentadas en la guía ISE 2.2 Admin, el link se pueden encontrar en la sección de referencias de este documento. Tecleo adentro después y final. Transiciones del caso de Nexpose al comienzo de la descarga del estado activo y del Knowledge Base.
Navegue a la directiva > a los elementos de la directiva > a los resultados > a la autorización > a los perfiles de la autorización. Agregue el nuevo perfil. Bajo tareas comunes seleccione el checkbox de la evaluación de vulnerabilidades. El intervalo a pedido de la exploración se debe seleccionar según su diseño de red.
El perfil de la autorización contiene esos AV-pares:
cisco-av-pair = on-demand-scan-interval=48 cisco-av-pair = periodic-scan-enabled=0 cisco-av-pair = va-adapter-instance=c2175761-0e2b-4753-b2d6-9a9526d85c0c
Se envían a los dispositivos de red dentro del paquete access-accept, aunque el propósito real de ellos sea decir el nodo de la supervisión (MNT) que la exploración debe ser accionada. El MNT da instrucciones el nodo TC-NAC para comunicar con el escáner de Nexpose.
La primera exploración VA de los activadores de la conexión. Cuando se acaba la exploración, el Reauthentication CoA se acciona para aplicar la nueva directiva si se corresponde con.
Para verificar qué vulnerabilidades fueron detectadas, navegue a la visibilidad del contexto > a los puntos finales. Marque por las vulnerabilidades de los puntos finales con las calificaciones dadas a él por el escáner de Nexpose.
En las operaciones > TC-NAC viven los registros, usted puede ver las directivas de la autorización aplicadas y los detalles en CVSS_Base_Score.
Cuando la exploración VA es accionada por las transiciones de la exploración TC-NAC Nexpose al estado en curso, y el comienzo del escáner que sonda el punto final, si usted ejecuta la captura del wireshark en el punto final, usted verá el intercambio de paquetes entre el endstation y el escáner en este momento. Una vez que se acaba el escáner, los resultados están disponibles bajo Home Page.
Bajo los activos página, usted puede ver que hay nuevo punto final disponible con los resultados de la exploración, sistema operativo se identifica y se detectan 10 vulnerabilidades.
Cuando usted hace clic en el escáner de Nexpose de la dirección IP del punto final le lleva al nuevo menú, donde usted puede ver más información incluyendo el nombre de host, la calificación Risc y la lista detallada de vulnerabilidades
Cuando usted hace clic en la vulnerabilidad sí mismo, la descripción completa se muestra en la imagen.
Para habilitar los debugs en el ISE, navegar a la administración > al sistema > a la configuración del registro del registro > del debug, al nodo selecto TC-NAC y cambiar el va-Runtime del nivel del registro y el componente del va-servicio PARA HACER EL DEBUG DE.
Registros que se marcarán - varuntime.log. Usted puede atarlo directamente de ISE CLI:
Cola de varuntime.log de la aplicación del registro de la demostración ISE21-3ek/admin#
Instrucción recibida estibador TC-NAC de realizar la exploración para un punto final específico.
2016-11-24 13:32:04,436 DEBUG [Thread-94][] va.runtime.admin.mnt.EndpointFileReader -:::::- VA: Read va runtime. [{"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}, {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}]
2016-11-24 13:32:04,437 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}
2016-11-24 13:32:04,439 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}
Una vez que se recibe el resultado salva todos los datos de la vulnerabilidad en el directorio del contexto.
2016-11-24 13:45:28,378 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":2,"isPeriodicScanEnabled":false,"heartBeatTime":1479991526437,"lastScanTime":0}
2016-11-24 13:45:33,642 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- Got message from VaService: [{"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","lastScanTime":1479962572758,"vulnerabilities":["{\"vulnerabilityId\":\"ssl-cve-2016-2183-sweet32\",\"cveIds\":\"CVE-2016-2183\",\"cvssBaseScore\":\"5\",\"vulnerabilityTitle\":\"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-static-key-ciphers\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports The Use of Static Key Ciphers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"rc4-cve-2013-2566\",\"cveIds\":\"CVE-2013-2566\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-prime-under-2048-bits\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"Diffie-Hellman group smaller than 2048 bits\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-primes\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Is Using Commonly Used Prime Numbers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-cve-2011-3389-beast\",\"cveIds\":\"CVE-2011-3389\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server is enabling the BEAST attack\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tlsv1_0-enabled\",\"cveIds\":\"\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS Server Supports TLS version 1.0\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}"]}]
2016-11-24 13:45:33,643 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- VA: Save to context db, lastscantime: 1479962572758, mac: 3C:97:0E:52:3F:D9
2016-11-24 13:45:33,675 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaPanRemotingHandler -:::::- VA: Saved to elastic search: {3C:97:0E:52:3F:D9=[{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"}]}
Registros que se marcarán - vaservice.log. Usted puede atarlo directamente de ISE CLI:
Cola de vaservice.log de la aplicación del registro de la demostración ISE21-3ek/admin#
Petición de la evaluación de vulnerabilidades sometida al adaptador.
2016-11-24 12:32:05,783 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA request submitted to adapter","TC-NAC.Details","VA request submitted to adapter for processing","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:32:05,810 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}
AdapterMessageListener marca cada 5 anota el estatus de la exploración hasta que se acabe.
2016-11-24 12:36:28,143 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"AdapterInstanceName":"Rapid7","AdapterInstanceUid":"7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","VendorName":"Rapid7 Nexpose","OperationMessageText":"Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1"}
2016-11-24 12:36:28,880 DEBUG [endpointPollerScheduler-5][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","Adapter Statistics","TC-NAC.Details","Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1","TC-NAC.AdapterInstanceUuid","7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
El adaptador consigue los CVE junto con las calificaciones CVSS.
2016-11-24 12:45:33,132 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"returnedMacAddress":"","requestedMacAddress":"3C:97:0E:52:3F:D9","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1479962572758,"ipAddress":"10.229.20.32","vulnerabilities":[{"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,137 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Endpoint Details sent to IRF is {"3C:97:0E:52:3F:D9":[{"vulnerability":{"CVSS_Base_Score":5.0,"CVSS_Temporal_Score":0.0},"time-stamp":1479962572758,"title":"Vulnerability","vendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,221 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA successfully completed","TC-NAC.Details","VA completed; number of vulnerabilities found: 7","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:45:33,299 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}