El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar la corrección del pxGrid de FirePOWER 6.1 con el Identity Services Engine (ISE). El módulo de la corrección de FirePOWER 6.1+ ISE se puede utilizar con el servicio de protección del punto final ISE (EP) para automatizar el qurantine/poner de los atacantes en la capa de acceso a la red.
Cisco recomienda que usted tiene conocimiento básico de estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Este artículo no cubre la configuración inicial de la integración ISE con FirePOWER, integración ISE con el Active Directory (AD), integración de FirePOWER con el AD. Para esta información navegue a la sección de referencias. El módulo de la corrección de FirePOWER 6.1 permite que el sistema de FirePOWER utilice las capacidades ISE EP (cuarentena, unquarantine, cierre de puerto) como corrección cuando se corresponde con la regla de la correlación.
Note: El cierre de puerto no está disponible para las implementaciones sin hilos.
La descripción del flujo:
Note: El dispositivo de acceso a la red (NAD) se debe configurar para enviar el RADIUS que considera al ISE para proveer de él la información del IP Address que se utiliza para asociar el IP Address a un punto final.
Paso 1. Configure un caso de la mitigación del pxGrid.
Navegue a las directivas > a las acciones > a los casos y agregue el caso de la mitigación del pxGrid tal y como se muestra en de la imagen.
Paso 2. Configure una corrección.
Hay dos tipos disponibles: Atenúe el destino y atenúe la fuente. En esta fuente del ejemplo se utiliza la mitigación. Elija el tipo de la corrección y el tecleo agrega tal y como se muestra en de la imagen:
Asigne la acción de la mitigación a la corrección tal y como se muestra en de la imagen:
Paso 3. Configure una regla de la correlación.
Navegue a las directivas > a la Administración de la correlación > de la regla y el tecleo crea la regla de la correlación de la regla es el activador para que la corrección suceda. La regla de la correlación puede contener varias condiciones. En esta regla de la correlación del ejemplo se golpea PingDC si ocurre el evento de la intrusión y el IP Address de destino es 192.168.0.121. La regla de encargo de la intrusión que corresponde con la Respuesta de eco ICMP se configura con el fin de la prueba tal y como se muestra en de la imagen:
Paso 4. Configure una directiva de la correlación.
Navegue a las directivas > a la correlación > a la Administración de políticas y el tecleo crea la directiva, agrega la regla a la directiva y asigna la respuesta a él tal y como se muestra en de la imagen:
Habilite la directiva de la correlación tal y como se muestra en de la imagen:
Paso 1. Directiva de la autorización de la configuración.
Navegue a la directiva > a la autorización y agregue una nueva directiva de la autorización que sea golpeada después de que ocurra la corrección. Sesión del uso: EPSStatus IGUALA la cuarentena como la condición. Hay varias opciones que se pueden utilizar como consecuencia:
Configuración porta de encargo
En este ejemplo, el portal del hotspot se configura como lista negra. Hay solamente una página del Acceptable Use Policy (AUP) con el texto de encargo y no hay posibilidad para validar el AUP (esto se hace con el Javascript). Para alcanzar esto, usted primero necesita habilitar el Javascript y después pegar un código que oculte el botón y los controles AUP en la configuración porta del arreglo para requisitos particulares.
Paso 1. Javascript del permiso.
Navegue a la administración > al sistema > a las configuraciones Admin Access> > arreglo para requisitos particulares porta. Elija el arreglo para requisitos particulares porta del permiso con el HTML y el Javascript y haga clic la salvaguardia.
Paso 2. Cree un portal del hotspot.
Navegue al acceso de invitado > a la configuración > a los portales del invitado y el tecleo crea, después elige el tipo del hotspot.
Paso 3. Arreglo para requisitos particulares del portal de la configuración.
Navegue al arreglo para requisitos particulares porta de la página y cambie los títulos y el contenido para proporcionar una advertencia apropiada al usuario.
Navegue al contenido 2 de la opción, haga clic la fuente de palanca HTML, y pegue el interior del script:
<script> (function(){ jQuery('.cisco-ise-aup-text').hide(); jQuery('.cisco-ise-aup-controls').hide(); setTimeout(function(){ jQuery('#portal-session-timeout-popup-screen, #portal-session-timeout-popup-popup, #portal-session-timeout-popup').remove(); }, 100); })(); </script>
Haga clic la fuente de Untoggle HTML.
Utilice la información que se proporciona en esta sección para verificar que su configuración trabaja correctamente.
FirePOWER
El activador para que la corrección suceda es un golpe de la directiva/de la regla de la correlación. Navegue al análisis > a la correlación > a los eventos de la correlación y verifique que sucedió el evento de la correlación.
ISE
El ISE debe entonces accionar el radio: El CoA y reautentifica al usuario, estos eventos puede ser en funcionamiento verificado > RADIO Livelog.
En este ejemplo, el ISE asignó diverso SGT MaliciousUser al punto final. En el caso de niegue el perfil de la autorización de acceso que el usuario pierde la conexión de red inalámbrica y que no puede conectar otra vez.
La corrección con el portal de la lista negra. Si la regla de la autorización de la corrección se configura para reorientar al portal, debe parecer esto de la perspectiva del atacante:
Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.
Navegue al análisis > a la correlación > al estatus tal y como se muestra en de esta imagen.
El mensaje del resultado debe volver la terminación satisfactoria del mensaje de la corrección o de error particular. Verifique el Syslog: El sistema > la supervisión > el Syslog y el filtro hicieron salir con el pxgrid. Los mismos registros se pueden verificar en /var/log/messages.