シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
この資料に識別 サービス エンジン(ISE)の Rapid7 で脅威中枢的な NAC を 2.2 設定し解決する方法を記述されています。 脅威中枢的なネットワーク アクセス制御(TC-NAC)機能は脅威および脆弱性アダプタから届く脅威および脆弱性属性に基づいて承認ポリシーを作成することを可能にします。
Cisco では、次の項目について基本的な知識があることを推奨しています。
Cisco Identity Service Engine
Nexpose 脆弱性 Scanner
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。
これはフローです:
注意: この資料の Nexpose 設定は設計上の考慮事項のための Rapid7 エンジニアとラボ目的で、相談しますされます
Nexpose スキャナーは Linux および Windows OS の上にインストールされる OVUM ファイルから配置することができます。 この資料では、インストールは Windows サーバ 2012 R2 で行われます。 イメージを Rapid7 Webサイトからダウンロードし、インストールを開始して下さい。 設定するとき型および宛先はローカルの Nexpose セキュリティ コンソールをスキャンしますエンジンを選択します
インストールが完了した、サーバ リブート。 起動の後で、Nexpose スキャナーはイメージに示すように 3780 ポートによってアクセス可能、であるはずです:
イメージに示すように、スキャナーはセキュリティ コンソール 始動プロセスを通過します:
その後 GUI へアクセスにライセンスキーを得ることは提供する必要があります。 コミュニティ 版がインストールされている場合以下の事項に注意して下さい: Nexpose Scanner の Enterprise Edition が、スキャン引き起こされません必要となります。
第一歩は Nexpose Scanner のインストール認証にあります。 この資料の認証は ISE (LAB CA)のための admin 認証と同じ CA によって発行されます。 Administration へのナビゲート > グローバル なおよびコンソール設定。 イメージに示すようにコンソールの下で、『Administer』 を選択 して下さい。
イメージに示すように認証を、『Manage』 をクリック して下さい:
イメージに示すように、作成します新しい認証をクリックして下さい。 Nexpose Scanner の ID証明で望む他のどのデータおよび Common Name も入力して下さい。 ISE が DNS の Nexpose Scanner FQDN を解決できることを確認して下さい。
ターミナルへの Export certificate 署名要求(CSR)。
この時点で、認証局 (CA)の CSR に署名する必要があります。
認証を『Import』 をクリック することによる CA によって発行される認証をインポートして下さい。
サイトを設定して下さい。 サイトは資産が含まれ、Nexpose Scanner によって ISE を統合のに使用されているスキャンできるはずであるアカウントはサイトおよび Create レポートを管理する特権があるはずです。 イメージに示すように > サイトは、作成するためにナビゲート します。
イメージに示すように、情報及び Security タブのサイトの名前を入力して下さい。 アセットは有効なアセットの IP アドレスが含まれているはずです脆弱性スキャンのために適格であるエンドポイント記録します。
信頼されたストアに ISE 認証に署名した CA 認証をインポートして下さい。 Administration > ルート証明へのナビゲートは > > 輸入 証明書管理します。
ISE ノードのイネーブル TC-NAC サービス。 これらに注意して下さい:
Cisco ISE (Administration > 認証 > Certificate Management > 信頼できる証明書 > インポート)の信頼できる証明書 ストアに Nexpose Scanner CA 認証をインポートして下さい。 適切なルートおよび中間物認証が Cisco ISE 信頼できる証明書 ストアで(または提供)インポートされるようにして下さい
中枢的な Administration > 脅威で Rapid7 例を NAC > サードパーティベンダー追加して下さい。
追加されて状態を設定するために、例は用意するために移行しました。 このリンクをクリックして下さい。 Nexpose ホスト(Scanner)を設定すればポート、デフォルトで 3780 です。 右のサイトにアクセスのユーザ名 および パスワードを規定 して下さい。
詳細設定はこの資料の References セクションで ISE 2.2 管理ガイドでよくとり上げられます、リンク見つけることができます。 次にクリックし、終えて下さい。 ACTIVE 状態および知識ベース ダウンロードへの Nexpose 例遷移は開始します。
[Policy] > [Policy Elements] > [Results] > [Authorization] > [Authorization Profiles] に移動します。 新しいプロファイルを追加して下さい。 一般的なタスクの下で脆弱性アセスメント チェックボックスを選択して下さい。 オンデマンド スキャン 間隔はネットワーク設計に従って選択する必要があります。
許可 プロファイルはそれらの av-pair が含まれています:
cisco-av-pair = on-demand-scan-interval=48 cisco-av-pair = periodic-scan-enabled=0 cisco-av-pair = va-adapter-instance=c2175761-0e2b-4753-b2d6-9a9526d85c0c
それらはアクセス受諾パケット内のネットワークデバイスにそれらの本当の目的がスキャンが引き起こす必要があるモニタリング(MNT)ノードを言うことであるが、送信 されます。 MNT は Nexpose Scanner と通信するように TC-NAC ノードに指示します。
最初の接続は VA スキャンを引き起こします。 スキャンが終了するとき新しいポリシーを適用するために、一致する場合 CoA 再認証は引き起こされます。
、ナビゲートどの脆弱性が検出するかコンテキスト表示 > エンドポイントに確認するため。 Nexpose Scanner によってそれに与えられるスコアとエンドポイント脆弱性ごとにチェックして下さい。
オペレーション > TC-NAC ログはでは住んでいます、適用される承認ポリシーおよび CVSS_Base_Score の詳細を表示できます。
VA スキャンが TC-NAC Nexpose スキャンによって引き起こされるとき進行中の状態に移行し、スキャナーはエンドポイントの wireshark キャプチャを実行すれば、この時点で見ます端末と Scanner 間のパケット交換をエンドポイントを厳密に調べ始めます。 Scanner が終了すれば、結果はホームページの下で利用できます。
アセット ページの下で、オペレーティング システム識別されますスキャンの結果と利用可能 な新しいエンドポイントがあることがわかり、10 脆弱性は検出する。
エンドポイントの IP アドレス Nexpose Scanner でクリックするとき脆弱性の-、RISC スコアおよび詳細リスト ホスト名を含む詳細を表示できる New メニューに連れて行きます、
脆弱性自体でクリックするとき、全文はイメージで示されています。
ISE のデバッグを、ナビゲート Administration > システム > ロギング > デバッグ ログ 設定、選定された TC-NAC ノードに有効に し、デバッグするためにログ水平な VA ランタイムおよび VA サービス コンポーネントを変更するため。
チェックされるべきログ- varuntime.log。 ISE CLI からそれの直接後につくことができます:
ISE21-3ek/admin# show logging アプリケーション varuntime.log 末尾
特定のエンドポイントのためのスキャンを行う TC-NAC Docker によって受け取った手順。
2016-11-24 13:32:04,436 DEBUG [Thread-94][] va.runtime.admin.mnt.EndpointFileReader -:::::- VA: Read va runtime. [{"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}, {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}]
2016-11-24 13:32:04,437 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}
2016-11-24 13:32:04,439 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}
結果が受け取られればコンテキスト ディレクトリですべての脆弱性データを保存します。
2016-11-24 13:45:28,378 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":2,"isPeriodicScanEnabled":false,"heartBeatTime":1479991526437,"lastScanTime":0}
2016-11-24 13:45:33,642 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- Got message from VaService: [{"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","lastScanTime":1479962572758,"vulnerabilities":["{\"vulnerabilityId\":\"ssl-cve-2016-2183-sweet32\",\"cveIds\":\"CVE-2016-2183\",\"cvssBaseScore\":\"5\",\"vulnerabilityTitle\":\"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-static-key-ciphers\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports The Use of Static Key Ciphers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"rc4-cve-2013-2566\",\"cveIds\":\"CVE-2013-2566\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-prime-under-2048-bits\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"Diffie-Hellman group smaller than 2048 bits\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-primes\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Is Using Commonly Used Prime Numbers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-cve-2011-3389-beast\",\"cveIds\":\"CVE-2011-3389\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server is enabling the BEAST attack\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tlsv1_0-enabled\",\"cveIds\":\"\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS Server Supports TLS version 1.0\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}"]}]
2016-11-24 13:45:33,643 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- VA: Save to context db, lastscantime: 1479962572758, mac: 3C:97:0E:52:3F:D9
2016-11-24 13:45:33,675 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaPanRemotingHandler -:::::- VA: Saved to elastic search: {3C:97:0E:52:3F:D9=[{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"}]}
チェックされるべきログ- vaservice.log。 ISE CLI からそれの直接後につくことができます:
ISE21-3ek/admin# show logging アプリケーション vaservice.log 末尾
アダプタに入る脆弱性アセスメント 要求。
2016-11-24 12:32:05,783 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA request submitted to adapter","TC-NAC.Details","VA request submitted to adapter for processing","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:32:05,810 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}
AdapterMessageListener は終了するまで毎 5 分をスキャンのステータス チェックします。
2016-11-24 12:36:28,143 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"AdapterInstanceName":"Rapid7","AdapterInstanceUid":"7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","VendorName":"Rapid7 Nexpose","OperationMessageText":"Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1"}
2016-11-24 12:36:28,880 DEBUG [endpointPollerScheduler-5][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","Adapter Statistics","TC-NAC.Details","Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1","TC-NAC.AdapterInstanceUuid","7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
アダプタは CVSSスコアと共に CVE'S を得ます。
2016-11-24 12:45:33,132 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"returnedMacAddress":"","requestedMacAddress":"3C:97:0E:52:3F:D9","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1479962572758,"ipAddress":"10.229.20.32","vulnerabilities":[{"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,137 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Endpoint Details sent to IRF is {"3C:97:0E:52:3F:D9":[{"vulnerability":{"CVSS_Base_Score":5.0,"CVSS_Temporal_Score":0.0},"time-stamp":1479962572758,"title":"Vulnerability","vendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,221 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA successfully completed","TC-NAC.Details","VA completed; number of vulnerabilities found: 7","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:45:33,299 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}