Veilige malware-analyseapparatuur RADIUS configureren via DTLS-verificatie voor console- en beheerportal

Downloadopties

  • PDF     (886.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (737.7 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (594.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:22 april 2020
Document-id:215420

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt de RADIUS-verificatiefunctie (Remote Authentication Dial In User Service) beschreven die is geïntroduceerd in versie 2.10 van het Secure Malware Analytics Appliance (voorheen Threat Grid). Hiermee kunnen gebruikers zich aanmelden bij het beheerdersportaal en het consoleportaal met referenties die zijn opgeslagen op de AAA-server (Authentication, Authorization and Accounting) die RADIUS over DTLS-verificatie ondersteunt (draft-ietf-radext-dtls-04). In dit geval werd de Cisco Identity Services Engine gebruikt.

    In dit document vindt u de noodzakelijke stappen om de functie te configureren.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Veilig apparaat voor malware-analyse (voorheen Threat Grid)
    • Identity Services Engine (ISE)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Secure Malware Analytics Appliance 2.10
    • Engine voor identiteitsdiensten 2.7

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Configureren

    In deze sectie vindt u gedetailleerde instructies voor het configureren van de functie Secure Malware Analytics Appliance en ISE for RADIUS-verificatie.

    Opmerking: om de verificatie te configureren, moet u ervoor zorgen dat communicatie op poort UDP 2083 is toegestaan tussen de interface Secure Malware Analytics Appliance Clean en de ISE Policy Service Node (PSN).

    Configuratie

    Stap 1. Maak een certificaat van het Secure Malware Analytics Appliance klaar voor verificatie.

    RADIUS over DTLS maakt gebruik van wederzijdse certificaatauthenticatie, wat betekent dat het certificaat van de certificeringsinstantie (CA) van ISE nodig is. Controleer eerst welk CA-ondertekend RADIUS DTLS-certificaat:

    Screenshot 2020-02-10 at 09.41.45

    Stap 2. Exporteer het CA-certificaat van ISE.

    Navigeer naar Beheer > Systeem > Certificaten > Certificaatbeheer > Vertrouwde certificaten, zoek de certificeringsinstantie, selecteer Exporteren zoals weergegeven in het image en sla het certificaat op de schijf op voor later:

    Screenshot 2020-02-10 at 09.46.55

    Stap 3. Veilig apparaat voor malware-analyse toevoegen als apparaat voor netwerktoegang.

    Navigeer naar Beheer > Netwerkbronnen > Netwerkapparaten > Toevoegen om een nieuwe vermelding voor TG te maken en voer de naam, het IP-adres van de schone interface in en selecteer DTLS vereist zoals weergegeven in de afbeelding. Klik onderaan op Opslaan:

    ISE

    Stap 4. Maak een autorisatieprofiel voor het autorisatiebeleid.

    Navigeer naar Beleid > Beleidselementen > Resultaten > Autorisatie > Autorisatieprofielen en klik op Toevoegen. Voer Naam in en selecteer Geavanceerde instellingen voor kenmerken zoals weergegeven in de afbeelding en klik op Opslaan:

    Screenshot 2020-02-20 at 09.04.38

    Stap 5. Maak een verificatiebeleid.

    Navigeer naar Beleid > Beleidsreeksen en klik op +. Voer de naam van de beleidsset in en stel de voorwaarde in op NAD IP-adres, toegewezen aan de schone interface van het Secure Malware Analytics Appliance, klik op Opslaan zoals weergegeven in de afbeelding:

    Screenshot 2020-02-10 at 11.23.13

    Stap 6. Maak een autorisatiebeleid.

    Klik op de > om naar het autorisatiebeleid te gaan, vouw het autorisatiebeleid uit, klik op + en configureer zoals weergegeven in de afbeelding, nadat u klaar bent met opslaan:

    Screenshot 2020-02-20 at 09.41.28

    Tip: U kunt één autorisatieregel maken voor al uw gebruikers die aan beide voorwaarden voldoen, Admin en UI.

    Stap 7. Maak een identiteitscertificaat voor Secure Malware Analytics Appliance.

    Het clientcertificaat van Secure Malware Analytics Appliance moet zijn gebaseerd op de Elliptic Curve-sleutel:

    openssl ecparam -name prime256v1 -genkey -out private-ec-key.pem

    U moet MVO maken op basis van die sleutel en dan moet het worden ondertekend door de CA die ISE vertrouwt. Controleer of u de basiscertificaten wilt importeren op de pagina Trusted Certificate Store voor meer informatie over het toevoegen van CA-certificaten aan de ISE Trusted Certificate Store.

    Stap 8. Configureer Secure Malware Analytics Appliance om RADIUS te gebruiken.

    Meld u aan bij het beheerdersportaal en navigeer naar Configuratie > RADIUS. Plak in RADIUS CA Certificate de inhoud van het PEM-bestand dat is verzameld van ISE, plak in Client Certificate het PEM-geformatteerde certificaat dat is ontvangen van CA en plak in Client Key de inhoud van het bestand private-ec-key.pem uit de vorige stap zoals weergegeven in de afbeelding. Klik op Opslaan:

    Screenshot 2020-03-02 at 13.39.11

    Opmerking: u moet Secure Malware Analytics Appliance opnieuw configureren nadat u de RADIUS-instellingen hebt opgeslagen.

    Stap 9. RADIUS-gebruikersnaam toevoegen aan consolegebruikers.

    Als u zich wilt aanmelden bij het consoleportaal, moet u het RADIUS-kenmerk gebruikersnaam toevoegen aan de betreffende gebruiker, zoals weergegeven in de afbeelding:

    Screenshot 2020-02-20 at 10.27.50

    Stap 10. Alleen RADIUS-verificatie inschakelen.

    Nadat u zich met succes hebt aangemeld bij de beheerdersportal, wordt een nieuwe optie weergegeven, waarmee de lokale systeemverificatie volledig wordt uitgeschakeld en de enige op RADIUS gebaseerde optie overblijft.

    Screenshot 2020-02-20 at 10.34.15

    Verifiëren

    Nadat Secure Malware Analytics Appliance opnieuw is geconfigureerd, meldt u zich af en zien de aanmeldingspagina's er nu uit als in respectievelijk de images-, admin- en consoleportal:

    Screenshot 2020-02-20 at 09.56.15

    Screenshot 2020-02-20 at 09.56.53

    Problemen oplossen

    Er zijn drie componenten die problemen kunnen veroorzaken: ISE, netwerkconnectiviteit en Secure Malware Analytics Appliance.

    • Zorg er in ISE voor dat de verificatieverzoeken van ServiceType=Administrative to Secure Malware Analytics Appliance worden geretourneerd. Navigeer naar Bewerkingen > RADIUS > Live Logs op ISE en controleer details:

    Screenshot 2020-02-20 at 08.51.49
    Screenshot 2020-02-20 at 09.58.49

    • Als u deze verzoeken niet ziet, voert u een pakketopname uit op ISE. Navigeer naar Operations > Troubleshoot > Diagnostic Tools > TCP Dump, geef het IP-adres op in het veld Filter van de schone interface van de TG, klik op Start en probeer in te loggen op Secure Malware Analytics Appliance:

    Screenshot 2020-02-20 at 10.07.42

    Je moet zien dat het aantal bytes is toegenomen. Open pcap file in Wireshark voor meer informatie.

    • Als u de fout "Het spijt ons, maar er is iets misgegaan" ziet nadat u op Opslaan in Secure Malware Analytics Appliance hebt geklikt, ziet de pagina er als volgt uit:

    Screenshot 2020-02-20 at 10.17.39

    Dat betekent dat u waarschijnlijk de RSA-sleutel hebt gebruikt voor het clientcertificaat. U moet de ECC-sleutel gebruiken met de parameters die in stap 7 zijn opgegeven.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    22-Apr-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Radek Olszowy
      ATS TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco