Rapid7 の設定 ISE 2.2 脅威中枢的な NAC （TC-NAC）

概要

この資料に識別 サービス エンジン（ISE）の Rapid7 で脅威中枢的な NAC を 2.2 設定し解決する方法を記述されています。 脅威中枢的なネットワーク アクセス制御（TC-NAC）機能は脅威および脆弱性アダプタから届く脅威および脆弱性属性に基づいて承認ポリシーを作成することを可能にします。 

前提条件

要件

Cisco では、次の項目について基本的な知識があることを推奨しています。

• Cisco Identity Service Engine

• Nexpose 脆弱性 Scanner

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

• Cisco 識別 サービス エンジン バージョン 2.2
• Cisco Catalyst 2960S スイッチ 15.2(2a)E1
• Rapid7 Nexpose 脆弱性 Scanner Enterprise Edition
• Windows 7 サービスパック 1
• Windows サーバ 2012 R2

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

高レベル 流れ図

これはフローです:

1. クライアントはネットワークに接続します、制限されたアクセスは与えられ、プロファイルはとの有効に なるチェックボックスが割り当てられる脆弱性を査定します。
   
   
2. MNT ノード確認認証への PSN ノード送信 Syslog メッセージは起こり、VA スキャンは承認ポリシーの結果でした。
   
   
3. MNT ノードは TC-NAC ノードにこのデータを使用してスキャンを（Admin WebApp を使用して）入れます:
   - MAC アドレス
   - IP アドレス
   -スキャン 間隔
   -有効に なる定期的なスキャン
   - PSN を起こすこと
   
   
4. Nexpose TC-NAC は（Docker コンテナーでカプセル化される） Nexpose Scanner ともし必要ならスキャンを引き起こすために通信します。
   
   
5. Nexpose Scanner は ISE によって要求されるエンドポイントをスキャンします。
   
   
6. Nexpose Scanner は ISE にスキャンの結果を送ります。
   
   
7. スキャンの結果は TC-NAC に送られます:
   - MAC アドレス
   -すべての CVSSスコア
   -すべての脆弱性（タイトル、CVEIDs）
   
   
8. TC-NAC はステップ 7.からのすべてのデータの PAN をアップデートします。
   
   
9. CoA は設定される承認ポリシーに従ってもし必要なら引き起こされます。

導入および設定 Nexpose Scanner

注意： この資料の Nexpose 設定は設計上の考慮事項のための Rapid7 エンジニアとラボ目的で、相談しますされます

ステップ 1.導入 Nexpose Scanner。

Nexpose スキャナーは Linux および Windows OS の上にインストールされる OVUM ファイルから配置することができます。 この資料では、インストールは Windows サーバ 2012 R2 で行われます。 イメージを Rapid7 Webサイトからダウンロードし、インストールを開始して下さい。 設定するとき型および宛先はローカルの Nexpose セキュリティ コンソールをスキャンしますエンジンを選択します

インストールが完了した、サーバ リブート。 起動の後で、Nexpose スキャナーはイメージに示すように 3780 ポートによってアクセス可能、であるはずです:

イメージに示すように、スキャナーはセキュリティ コンソール 始動プロセスを通過します:

その後 GUI へアクセスにライセンスキーを得ることは提供する必要があります。 コミュニティ 版がインストールされている場合以下の事項に注意して下さい: Nexpose Scanner の Enterprise Edition が、スキャン引き起こされません必要となります。

ステップ 2.設定 Nexpose Scanner。

第一歩は Nexpose Scanner のインストール認証にあります。 この資料の認証は ISE （LAB CA）のための admin 認証と同じ CA によって発行されます。 Administration へのナビゲート > グローバル なおよびコンソール設定。 イメージに示すようにコンソールの下で、『Administer』 を選択 して下さい。

イメージに示すように認証を、『Manage』 をクリック して下さい:

イメージに示すように、作成します新しい認証をクリックして下さい。 Nexpose Scanner の ID証明で望む他のどのデータおよび Common Name も入力して下さい。 ISE が DNS の Nexpose Scanner FQDN を解決できることを確認して下さい。

ターミナルへの Export certificate 署名要求（CSR）。

この時点で、認証局 （CA）の CSR に署名する必要があります。

認証を『Import』 をクリック することによる CA によって発行される認証をインポートして下さい。

サイトを設定して下さい。 サイトは資産が含まれ、Nexpose Scanner によって ISE を統合のに使用されているスキャンできるはずであるアカウントはサイトおよび Create レポートを管理する特権があるはずです。 イメージに示すように > サイトは、作成するためにナビゲート します。

イメージに示すように、情報及び Security タブのサイトの名前を入力して下さい。 アセットは有効なアセットの IP アドレスが含まれているはずです脆弱性スキャンのために適格であるエンドポイント記録します。

信頼されたストアに ISE 認証に署名した CA 認証をインポートして下さい。 Administration > ルート証明へのナビゲートは > > 輸入 証明書管理します。

ISE の設定

ステップ 1.イネーブル TC-NAC サービス。

ISE ノードのイネーブル TC-NAC サービス。 これらに注意して下さい:

• 脅威中枢的な NAC は必要とします頂点ライセンスを保守します。
• 脅威中枢的な NAC サービスのための別のポリシー サービス ノード（PSN）を必要とします。
• 中枢的な NAC が保守する脅威は配備の 1 つのノードだけで有効に することができます。
• 脆弱性査定 サービスのためのベンダー毎にアダプタの 1 つの例だけ追加できます。

ステップ 2.インポート Nexpose Scanner 認証。

Cisco ISE （Administration > 認証 > Certificate Management > 信頼できる証明書 > インポート）の信頼できる証明書 ストアに Nexpose Scanner CA 認証をインポートして下さい。 適切なルートおよび中間物認証が Cisco ISE 信頼できる証明書 ストアで（または提供）インポートされるようにして下さい

ステップ 3.設定 Nexpose Scanner TC-NAC 例。

中枢的な Administration > 脅威で Rapid7 例を NAC > サードパーティベンダー追加して下さい。

追加されて状態を設定するために、例は用意するために移行しました。 このリンクをクリックして下さい。 Nexpose ホスト（Scanner）を設定すればポート、デフォルトで 3780 です。 右のサイトにアクセスのユーザ名 および パスワードを規定 して下さい。

詳細設定はこの資料の References セクションで ISE 2.2 管理ガイドでよくとり上げられます、リンク見つけることができます。 次にクリックし、終えて下さい。 ACTIVE 状態および知識ベース ダウンロードへの Nexpose 例遷移は開始します。

ステップ 4.設定 許可 プロファイルは VA スキャンを引き起こします。

[Policy] > [Policy Elements] > [Results] > [Authorization] > [Authorization Profiles] に移動します。 新しいプロファイルを追加して下さい。 一般的なタスクの下で脆弱性アセスメント チェックボックスを選択して下さい。 オンデマンド スキャン 間隔はネットワーク設計に従って選択する必要があります。

許可 プロファイルはそれらの av-pair が含まれています:

cisco-av-pair = on-demand-scan-interval=48
cisco-av-pair = periodic-scan-enabled=0
cisco-av-pair = va-adapter-instance=c2175761-0e2b-4753-b2d6-9a9526d85c0c

それらはアクセス受諾パケット内のネットワークデバイスにそれらの本当の目的がスキャンが引き起こす必要があるモニタリング（MNT）ノードを言うことであるが、送信 されます。 MNT は Nexpose Scanner と通信するように TC-NAC ノードに指示します。

ステップ 5.設定承認ポリシー。

• ポリシー > 許可 > 許可 ポリシーに使用するために許可 ポリシーを設定されるステップ 4.ナビゲートで新しい許可 プロファイルを設定し、Basic_Authenticated_Access ルールを見つけ、『Edit』 をクリック して下さい。 PermitAccess から新しく作成された規格 Rapid7 に権限を変更して下さい。 これによりすべてのユーザ向けの脆弱性スキャンを引き起こします。 保存でクリックして下さい。

• quarantined マシンのための承認ポリシーを作成して下さい。 ポリシー > 許可 > 承認ポリシー > 例外にナビゲート し、例外ルールを作成して下さい。 条件へのこの場合ナビゲートは > 新しい状態（Advanced オプション）を > 選択し、アトリビュートを、スクロールし、選択します脅威を作成します。 脅威 アトリビュートを拡張し、Nexpose-CVSS_Base_Score を選択して下さい。 オペレータを大きいにより変更し、セキュリティポリシーに従って値を入力して下さい。 検疫許可 プロファイルは脆弱 な マシンに制限されたアクセスを与える必要があります。

確認

Identity Services Engine

最初の接続は VA スキャンを引き起こします。 スキャンが終了するとき新しいポリシーを適用するために、一致する場合 CoA 再認証は引き起こされます。

、ナビゲートどの脆弱性が検出するかコンテキスト表示 > エンドポイントに確認するため。 Nexpose Scanner によってそれに与えられるスコアとエンドポイント脆弱性ごとにチェックして下さい。

オペレーション > TC-NAC ログはでは住んでいます、適用される承認ポリシーおよび CVSS_Base_Score の詳細を表示できます。

Nexpose Scanner

VA スキャンが TC-NAC Nexpose スキャンによって引き起こされるとき進行中の状態に移行し、スキャナーはエンドポイントの wireshark キャプチャを実行すれば、この時点で見ます端末と Scanner 間のパケット交換をエンドポイントを厳密に調べ始めます。 Scanner が終了すれば、結果はホームページの下で利用できます。

アセット ページの下で、オペレーティング システム識別されますスキャンの結果と利用可能 な新しいエンドポイントがあることがわかり、10 脆弱性は検出する。

エンドポイントの IP アドレス Nexpose Scanner でクリックするとき脆弱性の-、RISC スコアおよび詳細リスト ホスト名を含む詳細を表示できる New メニューに連れて行きます、

脆弱性自体でクリックするとき、全文はイメージで示されています。

トラブルシューティング

ISE のデバッグ

ISE のデバッグを、ナビゲート Administration > システム > ロギング > デバッグ ログ 設定、選定された TC-NAC ノードに有効に し、デバッグするためにログ水平な VA ランタイムおよび VA サービス コンポーネントを変更するため。

チェックされるべきログ- varuntime.log。 ISE CLI からそれの直接後につくことができます:

ISE21-3ek/admin# show logging アプリケーション varuntime.log 末尾

特定のエンドポイントのためのスキャンを行う TC-NAC Docker によって受け取った手順。

2016-11-24 13:32:04,436 DEBUG [Thread-94][] va.runtime.admin.mnt.EndpointFileReader -:::::- VA: Read va runtime. [{"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}, {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}]
2016-11-24 13:32:04,437 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}
2016-11-24 13:32:04,439 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}

結果が受け取られればコンテキスト ディレクトリですべての脆弱性データを保存します。

2016-11-24 13:45:28,378 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":2,"isPeriodicScanEnabled":false,"heartBeatTime":1479991526437,"lastScanTime":0}
2016-11-24 13:45:33,642 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- Got message from VaService: [{"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","lastScanTime":1479962572758,"vulnerabilities":["{\"vulnerabilityId\":\"ssl-cve-2016-2183-sweet32\",\"cveIds\":\"CVE-2016-2183\",\"cvssBaseScore\":\"5\",\"vulnerabilityTitle\":\"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-static-key-ciphers\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports The Use of Static Key Ciphers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"rc4-cve-2013-2566\",\"cveIds\":\"CVE-2013-2566\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-prime-under-2048-bits\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"Diffie-Hellman group smaller than 2048 bits\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-primes\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Is Using Commonly Used Prime Numbers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-cve-2011-3389-beast\",\"cveIds\":\"CVE-2011-3389\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server is enabling the BEAST attack\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tlsv1_0-enabled\",\"cveIds\":\"\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS Server Supports TLS version 1.0\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}"]}]
2016-11-24 13:45:33,643 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- VA: Save to context db, lastscantime: 1479962572758, mac: 3C:97:0E:52:3F:D9
2016-11-24 13:45:33,675 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaPanRemotingHandler -:::::- VA: Saved to elastic search: {3C:97:0E:52:3F:D9=[{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"}]}

チェックされるべきログ- vaservice.log。 ISE CLI からそれの直接後につくことができます:

ISE21-3ek/admin# show logging アプリケーション vaservice.log 末尾

アダプタに入る脆弱性アセスメント 要求。

2016-11-24 12:32:05,783 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA request submitted to adapter","TC-NAC.Details","VA request submitted to adapter for processing","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:32:05,810 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}

AdapterMessageListener は終了するまで毎 5 分をスキャンのステータス チェックします。

2016-11-24 12:36:28,143 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"AdapterInstanceName":"Rapid7","AdapterInstanceUid":"7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","VendorName":"Rapid7 Nexpose","OperationMessageText":"Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1"}
2016-11-24 12:36:28,880 DEBUG [endpointPollerScheduler-5][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","Adapter Statistics","TC-NAC.Details","Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1","TC-NAC.AdapterInstanceUuid","7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]

アダプタは CVSSスコアと共に CVE'S を得ます。

2016-11-24 12:45:33,132 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"returnedMacAddress":"","requestedMacAddress":"3C:97:0E:52:3F:D9","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1479962572758,"ipAddress":"10.229.20.32","vulnerabilities":[{"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,137 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Endpoint Details sent to IRF is {"3C:97:0E:52:3F:D9":[{"vulnerability":{"CVSS_Base_Score":5.0,"CVSS_Temporal_Score":0.0},"time-stamp":1479962572758,"title":"Vulnerability","vendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,221 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA successfully completed","TC-NAC.Details","VA completed; number of vulnerabilities found: 7","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:45:33,299 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}

関連情報

• テクニカルサポートとドキュメント - Cisco Systems
• ISE 2.2 リリース ノート
• ISE 2.2 ハードウェアインストールガイド
• ISE 2.2 アップグレード ガイド
• ISE 2.2 エンジン 管理者ガイド