Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer et dépanner le NAC axé sur les menaces avec Rapid7 sur Identity Service Engine (ISE) 2.2. La fonction de contrôle d'accès au réseau axé sur les menaces (TC-NAC) vous permet de créer des politiques d'autorisation basées sur les attributs de menace et de vulnérabilité reçus des adaptateurs de menaces et de vulnérabilités.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Cisco Identity Service Engine
Analyseur de vulnérabilités Nexpose
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Voici le flux :
Attention : la configuration Nexpose dans ce document est effectuée à des fins de travaux pratiques. Veuillez consulter les ingénieurs Rapid7 pour des considérations de conception
Nexpose scanner peut être déployé à partir d'un fichier OVA, installé sur le dessus de Linux et Windows OS. Dans ce document, l'installation est effectuée sur Windows Server 2012 R2. Téléchargez l'image à partir du site Web Rapid7 et lancez l'installation. Lorsque vous configurez le type et la destination, sélectionnez Nexpose Security Console with local Scan Engine
Une fois l'installation terminée, le serveur redémarre. Après le lancement, le scanner Nexpose doit être accessible via le port 3780, comme indiqué dans l'image :
Comme l'illustre l'image, le scanner exécute le processus de démarrage de la console de sécurité :
Ensuite, la clé de licence doit être fournie pour accéder à l'interface utilisateur graphique. Veuillez noter que l'édition Enterprise de Nexpose Scanner est requise, les analyses ne sont pas déclenchées si l'édition Community est installée.
La première étape consiste à installer le certificat sur Nexpose Scanner. Le certificat de ce document est émis par la même autorité de certification que le certificat d'administration pour ISE (LAB CA). Accédez à Administration > Global and Console Settings. Sélectionnez Administrer sous Console, comme illustré dans l'image.
Cliquez sur Manage Certificate, comme illustré dans l'image :
Comme l'illustre l'image, cliquez sur Create New Certificate. Saisissez le nom commun et toutes les autres données que vous souhaitez avoir dans le certificat d'identité de Nexpose Scanner. Assurez-vous qu'ISE est capable de résoudre le nom de domaine complet du scanneur Nexpose avec DNS.
Exporter la demande de signature de certificat (CSR) vers le terminal.
À ce stade, vous devez signer le CSR avec l'autorité de certification (CA).
Importez le certificat émis par l'autorité de certification en cliquant sur Importer le certificat.
Configurer un site. Le site contient des ressources que vous devez pouvoir analyser et le compte utilisé pour intégrer ISE à Nexpose Scanner doit disposer des privilèges de gestion des sites et de création de rapports. Naviguez jusqu'à Create > Site, comme indiqué dans l'image.
Comme l'illustre l'image, entrez le nom du site dans l'onglet Info & Security. L'onglet Actifs doit contenir les adresses IP des actifs valides, des points de terminaison éligibles pour l'analyse des vulnérabilités.
Importez le certificat CA qui a signé le certificat ISE dans le magasin de confiance. Accédez à Administration > Root Certificates > Manage > Import Certificates.
Activez les services TC-NAC sur le noeud ISE. Notez ces éléments :
Importez le certificat CA du scanneur Nexpose dans le magasin Certificats approuvés de Cisco ISE (Administration > Certificats > Gestion des certificats > Certificats approuvés > Importer). Assurez-vous que les certificats racine et intermédiaires appropriés sont importés (ou présents) dans le magasin de certificats de confiance Cisco ISE
Ajoutez une instance Rapid7 dans Administration > NAC axé sur les menaces > Fournisseurs tiers.
Une fois ajoutée, l'instance passe à l'état Prêt à configurer. Cliquez sur ce lien. Configurez l'hôte Nexpose (scanneur) et le port, par défaut il est 3780. Spécifiez le nom d'utilisateur et le mot de passe avec accès au site approprié.
Les paramètres avancés sont bien documentés dans le guide d'administration d'ISE 2.2. Le lien se trouve dans la section Références de ce document. Cliquez sur Suivant et sur Terminer. Nexpose Instance passe à l'état Actif et le téléchargement de la base de connaissances commence.
Allez à Policy > Policy Elements > Results > Authorization > Authorization Profiles (politique > éléments de politique > résultats > autorisation > profils d’autorisation). Ajouter un nouveau profil. Sous Tâches courantes, cochez la case Évaluation des failles. L'intervalle d'analyse à la demande doit être sélectionné en fonction de la conception de votre réseau.
Le profil d'autorisation contient les paires av suivantes :
cisco-av-pair = on-demand-scan-interval=48 cisco-av-pair = periodic-scan-enabled=0 cisco-av-pair = va-adapter-instance=c2175761-0e2b-4753-b2d6-9a9526d85c0c
Ils sont envoyés aux périphériques réseau dans le paquet d'acceptation d'accès, bien que leur véritable objectif soit d'indiquer au noeud de surveillance (MNT) que l'analyse doit être déclenchée. MNT demande au noeud TC-NAC de communiquer avec le scanner Nexpose.
La première connexion déclenche l'analyse VA. Lorsque l'analyse est terminée, la réauthentification CoA est déclenchée pour appliquer la nouvelle stratégie si elle correspond.
Afin de vérifier quelles vulnérabilités ont été détectées, naviguez vers Context Visibility > Endpoints. Vérifier les vulnérabilités par terminal avec les scores qui lui ont été attribués par Nexpose Scanner.
Dans Operations > TC-NAC Live Logs, vous pouvez voir les stratégies d'autorisation appliquées et les détails sur CVSS_Base_Score.
Lorsque l'analyse VA est déclenchée par l'analyse Nexpose de TC-NAC passe à l'état In-Progress, et que l'analyseur commence à sonder le point d'extrémité, si vous exécutez la capture Wireshark sur le point d'extrémité, vous verrez l'échange de paquets entre la station d'extrémité et l'analyseur à ce point. Une fois le scanner terminé, les résultats sont disponibles sous Page d'accueil.
Sous Assets, vous pouvez voir qu'il y a un nouveau terminal disponible avec les résultats de l'analyse, le système d'exploitation est identifié et 10 vulnérabilités sont détectées.
Lorsque vous cliquez sur l'adresse IP du terminal, Nexpose Scanner vous dirige vers le nouveau menu, où vous pouvez voir plus d'informations, y compris le nom d'hôte, le score de risque et la liste détaillée des vulnérabilités
Lorsque vous cliquez sur la vulnérabilité elle-même, une description complète est affichée dans l'image.
Afin d'activer les débogages sur ISE, accédez à Administration > System > Logging > Debug Log Configuration, sélectionnez TC-NAC Node et changez le Log Level va-runtime et le composant va-service en DEBUG.
Journaux à vérifier - varuntime.log. Vous pouvez le suivre directement depuis l'interface de ligne de commande ISE :
ISE21-3ek/admin# show logging application varuntime.log tail
TC-NAC Docker a reçu l'instruction d'effectuer une analyse pour un terminal particulier.
2016-11-24 13:32:04,436 DEBUG [Thread-94][] va.runtime.admin.mnt.EndpointFileReader -:::::- VA: Read va runtime. [{"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}, {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}]
2016-11-24 13:32:04,437 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}
2016-11-24 13:32:04,439 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}
Une fois le résultat reçu, il stocke toutes les données de vulnérabilité dans le répertoire de contexte.
2016-11-24 13:45:28,378 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":2,"isPeriodicScanEnabled":false,"heartBeatTime":1479991526437,"lastScanTime":0}
2016-11-24 13:45:33,642 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- Got message from VaService: [{"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","lastScanTime":1479962572758,"vulnerabilities":["{\"vulnerabilityId\":\"ssl-cve-2016-2183-sweet32\",\"cveIds\":\"CVE-2016-2183\",\"cvssBaseScore\":\"5\",\"vulnerabilityTitle\":\"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-static-key-ciphers\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports The Use of Static Key Ciphers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"rc4-cve-2013-2566\",\"cveIds\":\"CVE-2013-2566\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-prime-under-2048-bits\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"Diffie-Hellman group smaller than 2048 bits\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-primes\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Is Using Commonly Used Prime Numbers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-cve-2011-3389-beast\",\"cveIds\":\"CVE-2011-3389\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server is enabling the BEAST attack\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tlsv1_0-enabled\",\"cveIds\":\"\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS Server Supports TLS version 1.0\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}"]}]
2016-11-24 13:45:33,643 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- VA: Save to context db, lastscantime: 1479962572758, mac: 3C:97:0E:52:3F:D9
2016-11-24 13:45:33,675 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaPanRemotingHandler -:::::- VA: Saved to elastic search: {3C:97:0E:52:3F:D9=[{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"}]}
Journaux à vérifier - vaservice.log. Vous pouvez le suivre directement depuis l'interface de ligne de commande ISE :
ISE21-3ek/admin# show logging application vaservice.log tail
Demande d'évaluation des failles envoyée à l'adaptateur.
2016-11-24 12:32:05,783 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA request submitted to adapter","TC-NAC.Details","VA request submitted to adapter for processing","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:32:05,810 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}
AdapterMessageListener vérifie toutes les 5 minutes l'état de l'analyse jusqu'à ce qu'elle soit terminée.
2016-11-24 12:36:28,143 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"AdapterInstanceName":"Rapid7","AdapterInstanceUid":"7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","VendorName":"Rapid7 Nexpose","OperationMessageText":"Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1"}
2016-11-24 12:36:28,880 DEBUG [endpointPollerScheduler-5][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","Adapter Statistics","TC-NAC.Details","Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1","TC-NAC.AdapterInstanceUuid","7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
L'adaptateur obtient les CVE avec les scores CVSS.
2016-11-24 12:45:33,132 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"returnedMacAddress":"","requestedMacAddress":"3C:97:0E:52:3F:D9","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1479962572758,"ipAddress":"10.229.20.32","vulnerabilities":[{"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,137 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Endpoint Details sent to IRF is {"3C:97:0E:52:3F:D9":[{"vulnerability":{"CVSS_Base_Score":5.0,"CVSS_Temporal_Score":0.0},"time-stamp":1479962572758,"title":"Vulnerability","vendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,221 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA successfully completed","TC-NAC.Details","VA completed; number of vulnerabilities found: 7","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:45:33,299 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
14-Feb-2017 |
Première publication |