Inleiding
In dit document wordt de RADIUS-verificatiefunctie (Remote Authentication Dial In User Service) beschreven die is geïntroduceerd in versie 2.10 van het Secure Malware Analytics Appliance (voorheen Threat Grid). Hiermee kunnen gebruikers zich aanmelden bij het beheerdersportaal en het consoleportaal met referenties die zijn opgeslagen op de AAA-server (Authentication, Authorization and Accounting) die RADIUS over DTLS-verificatie ondersteunt (draft-ietf-radext-dtls-04). In dit geval werd de Cisco Identity Services Engine gebruikt.
In dit document vindt u de noodzakelijke stappen om de functie te configureren.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Veilig apparaat voor malware-analyse (voorheen Threat Grid)
- Identity Services Engine (ISE)
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Secure Malware Analytics Appliance 2.10
- Engine voor identiteitsdiensten 2.7
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Configureren
In deze sectie vindt u gedetailleerde instructies voor het configureren van de functie Secure Malware Analytics Appliance en ISE for RADIUS-verificatie.
Opmerking: om de verificatie te configureren, moet u ervoor zorgen dat communicatie op poort UDP 2083 is toegestaan tussen de interface Secure Malware Analytics Appliance Clean en de ISE Policy Service Node (PSN).
Configuratie
Stap 1. Maak een certificaat van het Secure Malware Analytics Appliance klaar voor verificatie.
RADIUS over DTLS maakt gebruik van wederzijdse certificaatauthenticatie, wat betekent dat het certificaat van de certificeringsinstantie (CA) van ISE nodig is. Controleer eerst welk CA-ondertekend RADIUS DTLS-certificaat:

Stap 2. Exporteer het CA-certificaat van ISE.
Navigeer naar Beheer > Systeem > Certificaten > Certificaatbeheer > Vertrouwde certificaten, zoek de certificeringsinstantie, selecteer Exporteren zoals weergegeven in het image en sla het certificaat op de schijf op voor later:

Stap 3. Veilig apparaat voor malware-analyse toevoegen als apparaat voor netwerktoegang.
Navigeer naar Beheer > Netwerkbronnen > Netwerkapparaten > Toevoegen om een nieuwe vermelding voor TG te maken en voer de naam, het IP-adres van de schone interface in en selecteer DTLS vereist zoals weergegeven in de afbeelding. Klik onderaan op Opslaan:

Stap 4. Maak een autorisatieprofiel voor het autorisatiebeleid.
Navigeer naar Beleid > Beleidselementen > Resultaten > Autorisatie > Autorisatieprofielen en klik op Toevoegen. Voer Naam in en selecteer Geavanceerde instellingen voor kenmerken zoals weergegeven in de afbeelding en klik op Opslaan:

Stap 5. Maak een verificatiebeleid.
Navigeer naar Beleid > Beleidsreeksen en klik op +. Voer de naam van de beleidsset in en stel de voorwaarde in op NAD IP-adres, toegewezen aan de schone interface van het Secure Malware Analytics Appliance, klik op Opslaan zoals weergegeven in de afbeelding:

Stap 6. Maak een autorisatiebeleid.
Klik op de > om naar het autorisatiebeleid te gaan, vouw het autorisatiebeleid uit, klik op + en configureer zoals weergegeven in de afbeelding, nadat u klaar bent met opslaan:

Tip: U kunt één autorisatieregel maken voor al uw gebruikers die aan beide voorwaarden voldoen, Admin en UI.
Stap 7. Maak een identiteitscertificaat voor Secure Malware Analytics Appliance.
Het clientcertificaat van Secure Malware Analytics Appliance moet zijn gebaseerd op de Elliptic Curve-sleutel:
openssl ecparam -name prime256v1 -genkey -out private-ec-key.pem
U moet MVO maken op basis van die sleutel en dan moet het worden ondertekend door de CA die ISE vertrouwt. Controleer of u de basiscertificaten wilt importeren op de pagina Trusted Certificate Store voor meer informatie over het toevoegen van CA-certificaten aan de ISE Trusted Certificate Store.
Stap 8. Configureer Secure Malware Analytics Appliance om RADIUS te gebruiken.
Meld u aan bij het beheerdersportaal en navigeer naar Configuratie > RADIUS. Plak in RADIUS CA Certificate de inhoud van het PEM-bestand dat is verzameld van ISE, plak in Client Certificate het PEM-geformatteerde certificaat dat is ontvangen van CA en plak in Client Key de inhoud van het bestand private-ec-key.pem uit de vorige stap zoals weergegeven in de afbeelding. Klik op Opslaan:

Opmerking: u moet Secure Malware Analytics Appliance opnieuw configureren nadat u de RADIUS-instellingen hebt opgeslagen.
Stap 9. RADIUS-gebruikersnaam toevoegen aan consolegebruikers.
Als u zich wilt aanmelden bij het consoleportaal, moet u het RADIUS-kenmerk gebruikersnaam toevoegen aan de betreffende gebruiker, zoals weergegeven in de afbeelding:

Stap 10. Alleen RADIUS-verificatie inschakelen.
Nadat u zich met succes hebt aangemeld bij de beheerdersportal, wordt een nieuwe optie weergegeven, waarmee de lokale systeemverificatie volledig wordt uitgeschakeld en de enige op RADIUS gebaseerde optie overblijft.

Verifiëren
Nadat Secure Malware Analytics Appliance opnieuw is geconfigureerd, meldt u zich af en zien de aanmeldingspagina's er nu uit als in respectievelijk de images-, admin- en consoleportal:


Problemen oplossen
Er zijn drie componenten die problemen kunnen veroorzaken: ISE, netwerkconnectiviteit en Secure Malware Analytics Appliance.
- Zorg er in ISE voor dat de verificatieverzoeken van ServiceType=Administrative to Secure Malware Analytics Appliance worden geretourneerd. Navigeer naar Bewerkingen > RADIUS > Live Logs op ISE en controleer details:


- Als u deze verzoeken niet ziet, voert u een pakketopname uit op ISE. Navigeer naar Operations > Troubleshoot > Diagnostic Tools > TCP Dump, geef het IP-adres op in het veld Filter van de schone interface van de TG, klik op Start en probeer in te loggen op Secure Malware Analytics Appliance:

Je moet zien dat het aantal bytes is toegenomen. Open pcap file in Wireshark voor meer informatie.
- Als u de fout "Het spijt ons, maar er is iets misgegaan" ziet nadat u op Opslaan in Secure Malware Analytics Appliance hebt geklikt, ziet de pagina er als volgt uit:

Dat betekent dat u waarschijnlijk de RSA-sleutel hebt gebruikt voor het clientcertificaat. U moet de ECC-sleutel gebruiken met de parameters die in stap 7 zijn opgegeven.