본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 ISE(Identity Service Engine) 2.2에서 Rapid7로 Threat-Centric NAC를 구성하고 문제를 해결하는 방법에 대해 설명합니다. TC-NAC(Threat Centric Network Access Control) 기능을 사용하면 위협 및 취약성 어댑터에서 수신한 위협 및 취약성 특성을 기반으로 권한 부여 정책을 생성할 수 있습니다.
Cisco에서는 이러한 주제에 대한 기본적인 지식을 얻을 것을 권장합니다.
Cisco Identity Service Engine
취약성 스캐너 노출
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
다음은 플로우입니다.
주의:이 문서의 컨피그레이션은 랩 용도로 작성되었습니다. 설계 고려 사항은 Rapid7 엔지니어에게 문의하십시오.
Nexist 스캐너는 Linux 및 Windows OS에 설치된 OVA 파일에서 구축할 수 있습니다.이 문서에서는 Windows Server 2012 R2에서 설치가 수행됩니다. Rapid7 웹 사이트에서 이미지를 다운로드하고 설치를 시작합니다.Type(유형) 및 destination(대상)을 구성할 때 로컬 스캔 엔진을 사용하여 보안 콘솔 노출을 선택합니다.
설치가 완료되면 서버가 재부팅됩니다.시작 후 이미지에 표시된 대로 3780 포트를 통해 Nexist 스캐너에 액세스할 수 있어야 합니다.
이미지에 표시된 대로 스캐너는 보안 콘솔 시작 프로세스를 거칩니다.
이후에 GUI에 액세스하려면 라이센스 키를 제공해야 합니다.참고: Nexist Scanner의 Enterprise Edition은 필수 항목이며 Community Edition이 설치된 경우 검사가 트리거되지 않습니다.
첫 번째 단계는 Nexact Scanner에 인증서를 설치하는 것입니다.이 문서의 인증서는 ISE(LAB CA)용 관리 인증서와 동일한 CA에서 발급됩니다. Administration(관리) > Global and Console Settings(전역 및 콘솔 설정)로 이동합니다.이미지에 표시된 대로 Console 아래에서 Administer(관리)를 선택합니다.
이미지에 표시된 대로 Manage Certificate(인증서 관리)를 클릭합니다.
이미지에 표시된 대로 Create New Certificate(새 인증서 생성)를 클릭합니다.Nexist Scanner의 ID 인증서에 포함할 Common Name 및 기타 데이터를 입력합니다.ISE가 DNS를 사용하여 Nexlay Scanner FQDN을 확인할 수 있는지 확인합니다.
CSR(Certificate Signing Request)을 터미널로 내보냅니다.
이때 CA(Certificate Authority)로 CSR에 서명해야 합니다.
Import Certificate(인증서 가져오기)를 클릭하여 CA에서 발급한 인증서를 가져옵니다.
사이트를 구성합니다.이 사이트에는 스캔할 수 있어야 하는 자산이 포함되어 있으며, ISE를 Nexible Scanner와 통합하는 데 사용되는 계정에는 사이트 관리 및 보고서 생성 권한이 있어야 합니다.이미지에 표시된 대로 Create > Site로 이동합니다.
이미지에 표시된 대로 정보 및 보안 탭에 사이트 이름을 입력합니다.자산 탭에는 유효한 자산의 ip 주소, 취약성 스캐닝에 적합한 엔드포인트가 포함되어야 합니다.
ISE 인증서를 서명된 CA 인증서를 신뢰할 수 있는 저장소로 가져옵니다.Administration(관리) > Root Certificates(루트 인증서) > Manage(관리) > Import Certificates(인증서 가져오기)로 이동합니다.
ISE 노드에서 TC-NAC 서비스를 활성화합니다.참고:
Nexist Scanner CA 인증서를 Cisco ISE의 신뢰할 수 있는 인증서 저장소로 가져옵니다(Administration > Certificates > Certificate Management > Trusted Certificates > Import). Cisco ISE Trusted Certificates 저장소에서 적절한 루트 및 중간 인증서를 가져왔는지 확인 합니다
Administrative(관리) > Threat Centric NAC > Third Party Vendors(서드파티 벤더)에서 Rapid7 인스턴스를 추가합니다.
추가된 인스턴스는 구성 준비 상태로 전환됩니다.이 링크를 클릭합니다.Nexist Host(Scanner) 및 Port를 구성합니다. 기본적으로 3780입니다.사용자 이름 및 비밀번호를 올바른 사이트에 대한 액세스 권한으로 지정합니다.
고급 설정은 ISE 2.2 관리 가이드에 잘 설명되어 있습니다. 링크는 이 문서의 참조 섹션에서 찾을 수 있습니다.Next(다음)와 Finish(마침)를 클릭합니다.인스턴스 전환을 활성 상태 및 지식 기반 다운로드로 노출
Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Authorization(권한 부여) > Authorization Profiles(권한 부여 프로파일)로 이동합니다.새 프로필을 추가합니다.Common Tasks(공통 작업) 아래에서 Vulnerability Assessment(취약성 평가) 확인란을 선택합니다.네트워크 설계에 따라 온디맨드 스캔 간격을 선택해야 합니다.
권한 부여 프로파일에는 다음과 같은 av 쌍이 포함되어 있습니다.
cisco-av-pair = on-demand-scan-interval=48 cisco-av-pair = periodic-scan-enabled=0 cisco-av-pair = va-adapter-instance=c2175761-0e2b-4753-b2d6-9a9526d85c0c
Access-Accept 패킷 내의 네트워크 디바이스로 전송되지만, 실제 목적은 MNT(Monitoring) 노드에 스캔을 트리거해야 한다고 알리는 것입니다.MNT는 TC-NAC 노드가 Nexist Scanner와 통신하도록 지시합니다.
첫 번째 연결은 VA Scan을 트리거합니다.검사가 완료되면 CoA 재인증이 트리거되어 일치하는 새 정책을 적용합니다.
탐지된 취약성을 확인하려면 Context Visibility(상황 가시성) > Endpoints(엔드포인트)로 이동합니다.Nexist Scanner에서 제공한 점수를 사용하여 엔드포인트별 취약성을 확인합니다.
Operations(운영) > TC-NAC Live Logs(TC-NAC 라이브 로그)에서 적용된 권한 부여 정책 및 CVSS_Base_Score에 대한 세부 정보를 볼 수 있습니다.
VA Scan(VA 스캔)이 TC-NAC Nexact Scan(스캔 노출)에 의해 In-Progress(진행 중) 상태로 전환되고 스캐너가 엔드포인트에서 Wireshark 캡처를 실행하면 엔드포인트와 Scanner(스캐너) 간에 패킷 교환을 볼 수 있습니다.스캐너가 완료되면 홈 페이지에서 결과를 사용할 수 있습니다.
Assets 페이지에서 Scan(스캔), Operating System(운영 체제)이 식별되고 10개의 Vulnerabilities(취약성)가 탐지된 후 사용할 수 있는 새 엔드포인트가 있음을 확인할 수 있습니다.
엔드포인트의 IP 주소 Nexist Scanner를 클릭하면 새 메뉴로 이동하며, 여기서 호스트 이름, Risc Score 및 자세한 취약성 목록을 비롯한 추가 정보를 볼 수 있습니다.
취약성 자체를 클릭하면 이미지에 전체 설명이 표시됩니다.
ISE에서 디버그를 활성화하려면 Administration(관리) > System(시스템) > Logging(로깅) > Debug Log Configuration(디버그 로그 컨피그레이션)으로 이동하여 TC-NAC Node(TC-NAC 노드)를 선택하고 Log Level(로그 레벨)va-runtime 및 va-service 구성 요소를 DEBUG로 변경합니다.
확인할 로그 - varuntime.log.ISE CLI에서 직접 확인할 수 있습니다.
ISE21-3ek/admin# show logging application varuntime.log tail
TC-NAC Docker가 특정 엔드포인트에 대해 검사를 수행하는 명령을 받았습니다.
2016-11-24 13:32:04,436 DEBUG [Thread-94][] va.runtime.admin.mnt.EndpointFileReader -:::::- VA: Read va runtime. [{"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}, {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}]
2016-11-24 13:32:04,437 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}
2016-11-24 13:32:04,439 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}
결과가 수신되면 모든 취약성 데이터가 컨텍스트 디렉토리에 저장됩니다.
2016-11-24 13:45:28,378 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":2,"isPeriodicScanEnabled":false,"heartBeatTime":1479991526437,"lastScanTime":0}
2016-11-24 13:45:33,642 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- Got message from VaService: [{"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","lastScanTime":1479962572758,"vulnerabilities":["{\"vulnerabilityId\":\"ssl-cve-2016-2183-sweet32\",\"cveIds\":\"CVE-2016-2183\",\"cvssBaseScore\":\"5\",\"vulnerabilityTitle\":\"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-static-key-ciphers\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports The Use of Static Key Ciphers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"rc4-cve-2013-2566\",\"cveIds\":\"CVE-2013-2566\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-prime-under-2048-bits\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"Diffie-Hellman group smaller than 2048 bits\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-primes\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Is Using Commonly Used Prime Numbers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-cve-2011-3389-beast\",\"cveIds\":\"CVE-2011-3389\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server is enabling the BEAST attack\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tlsv1_0-enabled\",\"cveIds\":\"\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS Server Supports TLS version 1.0\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}"]}]
2016-11-24 13:45:33,643 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- VA: Save to context db, lastscantime: 1479962572758, mac: 3C:97:0E:52:3F:D9
2016-11-24 13:45:33,675 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaPanRemotingHandler -:::::- VA: Saved to elastic search: {3C:97:0E:52:3F:D9=[{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"}]}
확인할 로그 - vaservice.log.ISE CLI에서 직접 확인할 수 있습니다.
ISE21-3ek/admin# show logging application vaservice.log tail
취약성 평가 요청이 어댑터에 제출되었습니다.
2016-11-24 12:32:05,783 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA request submitted to adapter","TC-NAC.Details","VA request submitted to adapter for processing","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:32:05,810 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}
AdapterMessageListener는 스캔이 완료될 때까지 매 5분 동안의 상태를 확인합니다.
2016-11-24 12:36:28,143 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"AdapterInstanceName":"Rapid7","AdapterInstanceUid":"7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","VendorName":"Rapid7 Nexpose","OperationMessageText":"Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1"}
2016-11-24 12:36:28,880 DEBUG [endpointPollerScheduler-5][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","Adapter Statistics","TC-NAC.Details","Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1","TC-NAC.AdapterInstanceUuid","7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
어댑터는 CVSS 점수와 함께 CVE를 가져옵니다.
2016-11-24 12:45:33,132 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"returnedMacAddress":"","requestedMacAddress":"3C:97:0E:52:3F:D9","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1479962572758,"ipAddress":"10.229.20.32","vulnerabilities":[{"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,137 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Endpoint Details sent to IRF is {"3C:97:0E:52:3F:D9":[{"vulnerability":{"CVSS_Base_Score":5.0,"CVSS_Temporal_Score":0.0},"time-stamp":1479962572758,"title":"Vulnerability","vendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,221 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA successfully completed","TC-NAC.Details","VA completed; number of vulnerabilities found: 7","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:45:33,299 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}