De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u bedreigingsgerichte NAC met Rapid7 on Identity Service Engine (ISE) 2.2 kunt configureren en problemen kunt oplossen. Met de functie Threat Centric Network Access Control (TC-NAC) kunt u autorisatiebeleid maken op basis van de eigenschappen van bedreigingen en kwetsbaarheden die u van de adapters voor bedreigingen en kwetsbaarheden ontvangt.
Cisco raadt u aan een basiskennis te hebben van deze onderwerpen:
Cisco Identity Service Engine
Nexpose Vulnerability Scan
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Dit is de flow:
Waarschuwing: de configuratie van Nexpose in dit document wordt uitgevoerd voor de laboratoriumdoeleinden; raadpleeg de Rapid7-engineers voor ontwerpoverwegingen
Nexpose scanner kan worden ingezet vanaf OVA-bestand, geïnstalleerd bovenop Linux en Windows OS. In dit document wordt de installatie uitgevoerd op Windows Server 2012 R2. Download de afbeelding van de Rapid7 website en start de installatie. Wanneer u Type en bestemming configureert, selecteert u Nexpose Security Console met lokale Scan Engine
Wanneer de installatie is voltooid, wordt de server opnieuw opgestart. Na het opstarten moet de Nexpose-scanner toegankelijk zijn via de 3780-poort, zoals in de afbeelding wordt weergegeven:
Zoals in het beeld wordt getoond, doorloopt de scanner het opstartproces voor de Security Console:
Daarna moet de licentiesleutel worden verstrekt om toegang tot de GUI te krijgen. Let op: Enterprise Edition van Nexpose Scanner is vereist, scans worden niet geactiveerd als Community Edition is geïnstalleerd.
De eerste stap is om het installatiecertificaat op Nexpose Scanner te installeren. Certificaat in dit document wordt afgegeven door dezelfde certificeringsinstantie als een beheercertificaat voor ISE (LAB CA). Navigeren naar Beheer > Globale instellingen en consoles. Selecteer Beheer onder Console, zoals in de afbeelding.
Klik op Certificaat beheren, zoals in de afbeelding:
Zoals in de afbeelding, klikt u in Nieuw certificaat maken. Voer een algemene naam en andere gegevens in die u wilt hebben in het identiteitsbewijs van Nexpose Scanner. Zorg ervoor dat ISE in staat is om Nexpose Scanner FQDN met DNS op te lossen.
Uitvoer Certificaat Ondertekeningsaanvraag (CSR) naar de terminal.
Op dit moment moet u de CSR ondertekenen met Certificate Authority (CA).
Importeer het certificaat dat door CA is afgegeven door op Invoercertificaat te klikken.
Configureer een site. De site bevat Assets die u zou moeten kunnen scannen en de account die wordt gebruikt om ISE te integreren met Nexpose Scanner zou rechten moeten hebben om Sites te beheren en rapporten te maken. Navigeer naar Maken > Site, zoals in de afbeelding.
Zoals getoond in de afbeelding, voer de naam van de site in op het tabblad Info & Security. Het tabblad Activa moet IP-adressen bevatten van de geldige bedrijfsmiddelen, endpoints die in aanmerking komen voor het scannen van kwetsbaarheden.
Voer CA-certificaat in dat een ISE-certificaat heeft ondertekend in de vertrouwde winkel. Navigeer naar Beheer > Basiscertificaten > Beheer > Importeercertificaten.
TC-NAC services inschakelen op ISE-knooppunt. Let op deze:
Importeer het CA-certificaat van de Nexpose Scanner in het archief van Trusted Certificates in Cisco ISE (Beheer > Certificaten > Certificaatbeheer > Trusted Certificates > Importeren). Zorg ervoor dat de juiste basis- en tussentijdse certificaten worden geïmporteerd (of aanwezig) in het Cisco ISE-servicecertificaat
Voeg Rapid7 Instance toe bij Beheer > Threat Centric NAC > Verkopers van derden.
Zodra toegevoegd, instantie overgangen naar Klaar om staat te vormen. Klik op deze link. Configureer Nexpose Host (Scanner) en Port, standaard is het 3780. Gebruikersnaam en wachtwoord opgeven met toegang tot de juiste site.
Geavanceerde instellingen zijn goed gedocumenteerd in de ISE 2.2 Admin Guide. De koppeling vindt u in het gedeelte Referenties van dit document. Klik op Volgende en Voltooien. Nexpose Instance overgangen naar Active state en de kennisbank download start.
Navigeer naar Beleid > Beleidselementen > Resultaten > Vergunning > Vergunningsprofielen. Voeg nieuw profiel toe. Selecteer onder Common Tasks het aanvinkvakje Vulnerability Assessment. Het scaninterval op aanvraag moet worden geselecteerd op basis van uw netwerkontwerp.
Autorisatieprofiel bevat die av-paren:
cisco-av-pair = on-demand-scan-interval=48 cisco-av-pair = periodic-scan-enabled=0 cisco-av-pair = va-adapter-instance=c2175761-0e2b-4753-b2d6-9a9526d85c0c
Ze worden verzonden naar netwerkapparaten binnen het Access-Accept-pakket, hoewel het echte doel van deze is om MNT-knooppunt (Monitoring Node) te vertellen dat Scannen moet worden geactiveerd. MNT instrueert de TC-NAC knooppunt om te communiceren met Nexpose Scanner.
De eerste verbinding activeert VA Scan. Wanneer de scan is voltooid, wordt CoA Reauthenticatie geactiveerd om nieuw beleid toe te passen als het wordt aangepast.
Ga naar Context Visibility > Endpoints om te controleren welke kwetsbaarheden zijn gedetecteerd. Controleer per endpoints Kwetsbaarheid met de scores die door Nexpose Scanner aan haar zijn gegeven.
In Operations > TC-NAC Live Logs, kunt u zien welk autorisatiebeleid is toegepast en details op CVSS_Base_Score.
Wanneer de VA Scan wordt geactiveerd door TC-NAC Nexpose Scan overgangen naar In-Progress-status, en de scanner begint het eindpunt te testen, als u de wireshark Capture op het eindpunt uitvoert, ziet u op dit punt pakketuitwisseling tussen het eindstation en de scanner. Nadat het scannen is voltooid, zijn de resultaten beschikbaar onder Homepagina.
Onder de pagina Assets kunt u zien dat er een nieuw eindpunt beschikbaar is met de resultaten van het Scannen, het Besturingssysteem wordt geïdentificeerd en 10 Vulnerabilities worden gedetecteerd.
Wanneer u in het IP-adres van het eindpunt klikt neemt Nexpose Scanner u naar het nieuwe menu, waar u meer informatie kunt zien, waaronder hostname, Risc Score en gedetailleerde lijst van kwetsbaarheden
Wanneer u in de Vulnerability zelf klikt, wordt de volledige beschrijving getoond in het beeld.
Om debugs op ISE in te schakelen, navigeer naar Beheer > Systeem > Vastlegging > Debug Log Configuration, selecteer TC-NAC Node en verander de Log Level va-runtime en va-service component naar DEBUG.
Te controleren logbestanden - varuntime.log. U kunt deze rechtstreeks via ISE CLI volgen:
ISE21-3ek/admin# toont vastlegging toepassing varuntime.log staart
TC-NAC Docker kreeg instructies om Scannen uit te voeren voor een bepaald eindpunt.
2016-11-24 13:32:04,436 DEBUG [Thread-94][] va.runtime.admin.mnt.EndpointFileReader -:::::- VA: Read va runtime. [{"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}, {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}]
2016-11-24 13:32:04,437 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}
2016-11-24 13:32:04,439 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}
Zodra het resultaat is ontvangen, worden alle kwetsbaarheidsgegevens opgeslagen in de Context Directory.
2016-11-24 13:45:28,378 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":2,"isPeriodicScanEnabled":false,"heartBeatTime":1479991526437,"lastScanTime":0}
2016-11-24 13:45:33,642 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- Got message from VaService: [{"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","lastScanTime":1479962572758,"vulnerabilities":["{\"vulnerabilityId\":\"ssl-cve-2016-2183-sweet32\",\"cveIds\":\"CVE-2016-2183\",\"cvssBaseScore\":\"5\",\"vulnerabilityTitle\":\"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-static-key-ciphers\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports The Use of Static Key Ciphers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"rc4-cve-2013-2566\",\"cveIds\":\"CVE-2013-2566\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-prime-under-2048-bits\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"Diffie-Hellman group smaller than 2048 bits\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-primes\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Is Using Commonly Used Prime Numbers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-cve-2011-3389-beast\",\"cveIds\":\"CVE-2011-3389\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server is enabling the BEAST attack\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tlsv1_0-enabled\",\"cveIds\":\"\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS Server Supports TLS version 1.0\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}"]}]
2016-11-24 13:45:33,643 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- VA: Save to context db, lastscantime: 1479962572758, mac: 3C:97:0E:52:3F:D9
2016-11-24 13:45:33,675 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaPanRemotingHandler -:::::- VA: Saved to elastic search: {3C:97:0E:52:3F:D9=[{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"}]}
Logbestanden te controleren - vaservice.log. U kunt deze rechtstreeks via ISE CLI volgen:
ISE21-3ek/admin# toont vastlegging toepassing vaservice.log staart
Aanvraag voor kwetsbaarheidsbeoordeling ingediend bij adapter.
2016-11-24 12:32:05,783 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA request submitted to adapter","TC-NAC.Details","VA request submitted to adapter for processing","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:32:05,810 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}
AdapterMessageListener controleert elke 5 minuten de status van de scan tot het is voltooid.
2016-11-24 12:36:28,143 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"AdapterInstanceName":"Rapid7","AdapterInstanceUid":"7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","VendorName":"Rapid7 Nexpose","OperationMessageText":"Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1"}
2016-11-24 12:36:28,880 DEBUG [endpointPollerScheduler-5][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","Adapter Statistics","TC-NAC.Details","Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1","TC-NAC.AdapterInstanceUuid","7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
Adapter krijgt CVE's samen met de CVSS Scores.
2016-11-24 12:45:33,132 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"returnedMacAddress":"","requestedMacAddress":"3C:97:0E:52:3F:D9","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1479962572758,"ipAddress":"10.229.20.32","vulnerabilities":[{"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,137 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Endpoint Details sent to IRF is {"3C:97:0E:52:3F:D9":[{"vulnerability":{"CVSS_Base_Score":5.0,"CVSS_Temporal_Score":0.0},"time-stamp":1479962572758,"title":"Vulnerability","vendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,221 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA successfully completed","TC-NAC.Details","VA completed; number of vulnerabilities found: 7","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:45:33,299 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
14-Feb-2017 |
Eerste vrijgave |