본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 ISE(Identity Service Engine) 2.2에서 Rapid7을 사용하여 Threat-Centric NAC를 구성하고 문제를 해결하는 방법을 설명합니다. TC-NAC(Threat Centric Network Access Control) 기능을 사용하면 위협 및 취약성 어댑터에서 받은 위협 및 취약성 특성을 기반으로 권한 부여 정책을 생성할 수 있습니다.
Cisco에서는 다음 항목에 대한 기본 지식을 갖춘 것을 권장합니다.
Cisco Identity Service Engine
Nexpose 취약성 스캐너
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
이 흐름은 다음과 같습니다.
주의: 이 문서의 다음 컨피그레이션은 실습을 위해 수행되므로 설계 고려 사항은 Rapid7 엔지니어에게 문의하십시오
Nexpose 스캐너는 Linux 및 Windows OS에 설치된 OVA 파일에서 구축할 수 있습니다. 이 문서에서는 Windows Server 2012 R2에 설치합니다. Rapid7 웹 사이트에서 이미지를 다운로드하고 설치를 시작합니다. Type(유형) 및 destination(대상)을 구성할 때 Nexpose Security Console with local Scan Engine(로컬 스캔 엔진을 사용하여 Nexpose 보안 콘솔)을 선택합니다
설치가 완료되면 서버가 재부팅됩니다. 실행 후 이미지에 표시된 대로 3780 포트를 통해 Nexpose 스캐너에 액세스할 수 있어야 합니다.
그림과 같이 스캐너는 보안 콘솔 시작 프로세스를 거칩니다.
이후에 GUI에 액세스하려면 라이센스 키를 제공해야 합니다. Enterprise Edition of Nexpose Scanner가 필요합니다. Community Edition이 설치되어 있으면 스캔이 트리거되지 않습니다.
첫 번째 단계는 Nexpose 스캐너에 인증서를 설치하는 것입니다. 이 문서의 인증서는 ISE(LAB CA)용 관리자 인증서와 동일한 CA에서 발급됩니다. Administration(관리) > Global and Console Settings(전역 및 콘솔 설정)로 이동합니다. 그림과 같이 Console(콘솔) 아래에서 Administer(관리)를 선택합니다.
이미지에 표시된 대로 Manage Certificate(인증서 관리)를 클릭합니다.
이미지에 표시된 대로 Create New Certificate(새 인증서 생성)를 클릭합니다. Nexpose Scanner의 ID 인증서에 Common Name(공통 이름)과 원하는 기타 데이터를 입력합니다. ISE에서 DNS를 사용하여 Nexpose Scanner FQDN을 확인할 수 있는지 확인합니다.
터미널에 CSR(Certificate Signing Request)을 내보냅니다.
이때 CSR에 CA(Certificate Authority)를 서명해야 합니다.
Import Certificate(인증서 가져오기)를 클릭하여 CA에서 발급한 인증서를 가져옵니다.
사이트를 구성합니다. 사이트에는 스캔할 수 있는 자산이 포함되어 있으며 ISE와 Nexpose 스캐너를 통합하는 데 사용되는 어카운트는 사이트를 관리하고 보고서를 생성할 수 있는 권한이 있어야 합니다. 이미지에 표시된 대로 Create(생성) > Site(사이트)로 이동합니다.
이미지에 표시된 대로 Info & Security(정보 및 보안) 탭에 사이트의 Name(이름)을 입력합니다. Assets(자산) 탭에는 취약성 검사에 적합한 엔드포인트인 유효한 자산의 ip 주소가 포함되어야 합니다.
ISE 인증서를 서명한 CA 인증서를 신뢰할 수 있는 저장소로 가져옵니다. Administration(관리) > Root Certificates(루트 인증서) > Manage(관리) > Import Certificates(인증서 가져오기)로 이동합니다.
ISE 노드에서 TC-NAC 서비스를 활성화합니다. 다음에 유의하십시오.
Cisco ISE의 신뢰할 수 있는 인증서 저장소로 Nexpose Scanner CA 인증서를 가져옵니다(Administration > Certificates > Certificate Management > Trusted Certificates > Import). 적절한 루트 및 중간 인증서가 Cisco ISE Trusted Certificates(신뢰할 수 있는 인증서) 저장소에서 가져왔는지 확인합니다
Administration(관리) > Threat Centric NAC > Third Party Vendors(서드파티 벤더)에서 Rapid7 인스턴스를 추가합니다.
추가된 인스턴스는 Ready to Configure 상태로 전환됩니다. 이 링크를 클릭합니다. Nexpose 호스트(Scanner) 및 포트를 구성합니다. 기본적으로 3780입니다. 오른쪽 사이트에 액세스할 수 있는 사용자 이름 및 암호를 지정하십시오.
고급 설정은 ISE 2.2 관리 설명서에 잘 설명되어 있으며, 이 링크는 이 문서의 참조 섹션에 있습니다. Next(다음) 및 Finish(마침)를 클릭합니다. Nexpose Instance(다음 인스턴스)가 Active(활성) 상태로 전환되고 기술 자료 다운로드가 시작됩니다.
Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Authorization(권한 부여) > Authorization Profiles(권한 부여 프로파일)로 이동합니다. 새 프로필을 추가합니다. Common Tasks(공통 작업) 아래에서 Vulnerability Assessment(취약성 평가) 확인란을 선택합니다. 네트워크 설계에 따라 온디맨드 스캔 간격을 선택해야 합니다.
권한 부여 프로파일은 다음 av 쌍을 포함 합니다.
cisco-av-pair = on-demand-scan-interval=48 cisco-av-pair = periodic-scan-enabled=0 cisco-av-pair = va-adapter-instance=c2175761-0e2b-4753-b2d6-9a9526d85c0c
이러한 디바이스는 Access-Accept 패킷 내의 네트워크 디바이스로 전송되지만, 실제 목적은 MNT(모니터링) 노드에 스캔을 트리거해야 한다고 알리는 것입니다. MNT는 TC-NAC 노드가 Nexpose 스캐너와 통신하도록 지시합니다.
첫 번째 연결은 VA 검사를 트리거합니다. 스캔이 완료되면 일치하는 경우 새 정책을 적용하도록 CoA 재인증이 트리거됩니다.
어떤 취약성이 탐지되었는지 확인하려면 Context Visibility(상황 가시성) > Endpoints(엔드포인트)로 이동합니다. Nexpose Scanner가 제공한 점수로 엔드포인트별 취약성을 확인합니다.
Operations(운영) > TC-NAC Live Logs(TC-NAC 라이브 로그)에서 CVSS_Base_Score에 적용된 권한 부여 정책 및 세부 정보를 확인할 수 있습니다.
TC-NAC Nexpose Scan(VA 스캔)이 TC-NAC Nexpose Scan(VA 스캔)에 의해 트리거되고 In-Progress(진행 중) 상태로 전환되고 스캐너가 엔드포인트 프로브를 시작할 때 엔드포인트에서 wireshark 캡처를 실행하면 엔드포인트와 스캐너 간의 패킷 교환이 표시됩니다. 스캐너가 완료되면 홈 페이지에서 결과를 사용할 수 있습니다.
Assets(자산) 페이지에서 Scan(스캔) 결과와 함께 사용할 수 있는 새 엔드포인트가 있음을 확인할 수 있습니다. 운영 체제가 식별되고 10개의 취약성이 탐지됩니다.
엔드포인트의 IP 주소 Nexpose Scanner를 클릭하면 새 메뉴로 이동하며, 여기서 호스트 이름, Risc 점수 및 자세한 취약성 목록을 비롯한 추가 정보를 볼 수 있습니다
Vulnerability(취약성) 자체를 클릭하면 이미지에 전체 설명이 표시됩니다.
ISE에서 디버그를 활성화하려면 Administration(관리) > System(시스템) > Logging(로깅) > Debug Log Configuration(디버그 로그 컨피그레이션)으로 이동하고, TC-NAC Node(TC-NAC 노드)를 선택하고 Log Level va-runtime 및 va-service component(로그 레벨 va-runtime 및 va-service 구성 요소)를 DEBUG(디버그)로 변경합니다.
검사할 로그 - varuntime.log. ISE CLI에서 직접 테일링할 수 있습니다.
ISE21-3ek/admin# show logging application varuntime.log tail
TC-NAC Docker가 특정 엔드포인트에 대한 검사를 수행하는 명령을 받았습니다.
2016-11-24 13:32:04,436 DEBUG [Thread-94][] va.runtime.admin.mnt.EndpointFileReader -:::::- VA: Read va runtime. [{"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}, {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}]
2016-11-24 13:32:04,437 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}
2016-11-24 13:32:04,439 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}
결과가 수신되면 모든 취약성 데이터가 Context Directory에 저장됩니다.
2016-11-24 13:45:28,378 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":2,"isPeriodicScanEnabled":false,"heartBeatTime":1479991526437,"lastScanTime":0}
2016-11-24 13:45:33,642 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- Got message from VaService: [{"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","lastScanTime":1479962572758,"vulnerabilities":["{\"vulnerabilityId\":\"ssl-cve-2016-2183-sweet32\",\"cveIds\":\"CVE-2016-2183\",\"cvssBaseScore\":\"5\",\"vulnerabilityTitle\":\"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-static-key-ciphers\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports The Use of Static Key Ciphers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"rc4-cve-2013-2566\",\"cveIds\":\"CVE-2013-2566\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-prime-under-2048-bits\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"Diffie-Hellman group smaller than 2048 bits\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-primes\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Is Using Commonly Used Prime Numbers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-cve-2011-3389-beast\",\"cveIds\":\"CVE-2011-3389\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server is enabling the BEAST attack\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tlsv1_0-enabled\",\"cveIds\":\"\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS Server Supports TLS version 1.0\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}"]}]
2016-11-24 13:45:33,643 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- VA: Save to context db, lastscantime: 1479962572758, mac: 3C:97:0E:52:3F:D9
2016-11-24 13:45:33,675 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaPanRemotingHandler -:::::- VA: Saved to elastic search: {3C:97:0E:52:3F:D9=[{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"}]}
검사할 로그 - vaservice.log. ISE CLI에서 직접 테일링할 수 있습니다.
ISE21-3ek/admin# show logging application vasservice.log tail
취약성 평가 요청이 어댑터에 제출되었습니다.
2016-11-24 12:32:05,783 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA request submitted to adapter","TC-NAC.Details","VA request submitted to adapter for processing","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:32:05,810 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}
AdapterMessageListener는 완료될 때까지 5분마다 스캔의 상태를 확인합니다.
2016-11-24 12:36:28,143 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"AdapterInstanceName":"Rapid7","AdapterInstanceUid":"7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","VendorName":"Rapid7 Nexpose","OperationMessageText":"Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1"}
2016-11-24 12:36:28,880 DEBUG [endpointPollerScheduler-5][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","Adapter Statistics","TC-NAC.Details","Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1","TC-NAC.AdapterInstanceUuid","7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
어댑터는 CVSS 점수와 함께 CVE를 가져옵니다.
2016-11-24 12:45:33,132 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"returnedMacAddress":"","requestedMacAddress":"3C:97:0E:52:3F:D9","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1479962572758,"ipAddress":"10.229.20.32","vulnerabilities":[{"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,137 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Endpoint Details sent to IRF is {"3C:97:0E:52:3F:D9":[{"vulnerability":{"CVSS_Base_Score":5.0,"CVSS_Temporal_Score":0.0},"time-stamp":1479962572758,"title":"Vulnerability","vendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,221 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA successfully completed","TC-NAC.Details","VA completed; number of vulnerabilities found: 7","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:45:33,299 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
14-Feb-2017 |
최초 릴리스 |