O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar e solucionar problemas do NAC centrado em ameaças com o Rapid7 no Identity Service Engine (ISE) 2.2. O recurso Threat Centric Network Access Control (TC-NAC) permite criar políticas de autorização com base nos atributos de ameaça e vulnerabilidade recebidos dos adaptadores de ameaça e vulnerabilidade.
A Cisco recomenda que você tenha conhecimento básico destes tópicos:
Cisco Identity Service Engine
Verificador de vulnerabilidade Nexpose
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Este é o fluxo:
Cuidado: a configuração do Nexpose neste documento é feita para fins de laboratório. Consulte os engenheiros do Rapid7 para obter as considerações do projeto
O mecanismo de varredura Nexpose pode ser implantado a partir de um arquivo OVA, instalado no sistema operacional Linux e Windows. Neste documento, a instalação é feita no Windows Server 2012 R2. Baixe a imagem do site Rapid7 e inicie a instalação. Ao configurar Tipo e destino, selecione Nexpose Security Console with local Scan Engine
Quando a instalação for concluída, o servidor será reinicializado. Após a inicialização, o scanner Nexpose deve estar acessível pela porta 3780, como mostrado na imagem:
Como mostrado na imagem, o mecanismo de varredura passa pelo processo de inicialização do Console de segurança:
Depois disso, para obter acesso à GUI, a chave de licença deve ser fornecida. Observe que a Enterprise Edition do Nexpose Scanner é necessária, as verificações não serão acionadas se a Community Edition estiver instalada.
A primeira etapa é instalar o certificado no Nexpose Scanner. O certificado neste documento é emitido pela mesma CA que o certificado do administrador para o ISE (CA do LAB). Navegue até Administração > Configurações globais e do console. Selecione Administer em Console, como mostrado na imagem.
Clique em Gerenciar certificado, como mostrado na imagem:
Como mostrado na imagem, clique em Criar novo certificado. Insira Common Name e quaisquer outros dados que você gostaria de ter no certificado de identidade do Nexpose Scanner. Certifique-se de que o ISE possa resolver o FQDN do Verificador Nexpose com DNS.
Exportar CSR (Certificate Signing Request, Solicitação de assinatura de certificado) para o terminal.
Neste ponto, você precisa assinar o CSR com a Autoridade de Certificação (CA).
Importe o certificado emitido pela CA clicando em Importar certificado.
Configure um site. O site contém ativos que devem ser verificados e a conta usada para integrar o ISE ao Nexpose Scanner deve ter privilégios para gerenciar sites e criar relatórios. Navegue até Criar > Site, conforme mostrado na imagem.
Como mostrado na imagem, insira o Nome do site na guia Informações e segurança. A guia Ativos deve conter endereços ip dos ativos válidos, endpoints qualificados para a verificação de vulnerabilidades.
Importe o certificado de autoridade de certificação que assinou o certificado ISE para o repositório confiável. Navegue até Administração > Certificados raiz > Gerenciar > Importar certificados.
Ative os serviços TC-NAC no nó ISE. Observe o seguinte:
Importe o certificado da CA do Verificador Nexpose para o armazenamento de Certificados de Confiabilidade no Cisco ISE (Administração > Certificados > Gerenciamento de Certificado > Certificados de Confiabilidade > Importar). Verifique se os certificados raiz e intermediários apropriados foram importados (ou estão presentes) no armazenamento de certificados confiáveis do Cisco ISE
Adicione a instância do Rapid7 em Administration > Threat Centric NAC > Third Party Vendors.
Depois de adicionada, a instância passa para o estado Pronto para Configurar. Clique neste link. Configure Nexpose Host (Scanner) e Port, por padrão é 3780. Especifique Nome de usuário e Senha com acesso ao Site correto.
As configurações avançadas estão bem documentadas no Guia de Administração do ISE 2.2. O link pode ser encontrado na seção Referências deste documento. Clique em Avançar e em Concluir. O Nexpose Instance faz a transição para o estado Ative e o download da base de dados de conhecimento é iniciado.
Navegue até Política > Elementos de política > Resultados > Autorização > Perfis de autorização. Adicionar novo perfil. Em Tarefas comuns, marque a caixa de seleção Avaliação de vulnerabilidade. O intervalo de varredura por solicitação deve ser selecionado de acordo com o projeto da rede.
O perfil de autorização contém os pares av:
cisco-av-pair = on-demand-scan-interval=48 cisco-av-pair = periodic-scan-enabled=0 cisco-av-pair = va-adapter-instance=c2175761-0e2b-4753-b2d6-9a9526d85c0c
Eles são enviados para dispositivos de rede dentro do pacote Access-Accept, embora a finalidade real deles seja dizer ao nó de monitoração (MNT) que a varredura deve ser acionada. O MNT instrui o nó TC-NAC a se comunicar com o Nexpose Scanner.
A primeira conexão aciona a Varredura VA. Quando a verificação é concluída, a reautenticação do CoA é acionada para aplicar a nova política se ela for correspondida.
Para verificar quais vulnerabilidades foram detectadas, navegue para Visibilidade de contexto > Endpoints. Verifique as vulnerabilidades por endpoints com as pontuações atribuídas pelo Nexpose Scanner.
Em Operations > TC-NAC Live Logs, você pode ver as políticas de autorização aplicadas e detalhes em CVSS_Base_Score.
Quando a Varredura VA é acionada pelo TC-NAC Nexpose Scan faz a transição para o estado In-Progress e o scanner começa a sondar o ponto final, se você executar a captura do Wireshark no ponto final, verá a troca de pacotes entre a estação final e o scanner nesse ponto. Quando o Scanner for concluído, os resultados estarão disponíveis na página inicial.
Na página Ativos, você pode ver que há um novo endpoint disponível com os resultados da verificação, o sistema operacional é identificado e 10 vulnerabilidades são detectadas.
Quando você clica no endereço IP do endpoint, o Nexpose Scanner o leva ao novo menu, onde você pode ver mais informações, incluindo o nome do host, a Pontuação de risco e a lista detalhada de vulnerabilidades
Quando você clica em Vulnerabilidade, uma descrição completa é mostrada na imagem.
Para habilitar depurações no ISE, navegue para Administração > Sistema > Log > Configuração do Log de Depuração, selecione o nó TC-NAC e altere o componente Nível de Log va-runtime e va-service para DEBUG.
Logs a serem verificados - varuntime.log. Você pode acompanhá-lo diretamente do ISE CLI:
ISE21-3ek/admin# show logging application varuntime.log tail
O TC-NAC Docker recebeu uma instrução para executar a verificação de um endpoint específico.
2016-11-24 13:32:04,436 DEBUG [Thread-94][] va.runtime.admin.mnt.EndpointFileReader -:::::- VA: Read va runtime. [{"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}, {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}]
2016-11-24 13:32:04,437 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","ondemandScanInterval":"48","isPeriodicScanEnabled":false,"periodicScanEnabledString":"0","vendorInstance":"c2175761-0e2b-4753-b2d6-9a9526d85c0c","psnHostName":"ISE22-1ek","heartBeatTime":0,"lastScanTime":0}
2016-11-24 13:32:04,439 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":1,"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","isPeriodicScanEnabled":false,"heartBeatTime":0,"lastScanTime":0}
Quando o resultado é recebido, ele armazena todos os dados de vulnerabilidade no Diretório de contexto.
2016-11-24 13:45:28,378 DEBUG [Thread-94][] va.runtime.admin.vaservice.VaServiceRemotingHandler -:::::- VA: received data from Mnt: {"operationType":2,"isPeriodicScanEnabled":false,"heartBeatTime":1479991526437,"lastScanTime":0}
2016-11-24 13:45:33,642 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- Got message from VaService: [{"macAddress":"3C:97:0E:52:3F:D9","ipAddress":"10.229.20.32","lastScanTime":1479962572758,"vulnerabilities":["{\"vulnerabilityId\":\"ssl-cve-2016-2183-sweet32\",\"cveIds\":\"CVE-2016-2183\",\"cvssBaseScore\":\"5\",\"vulnerabilityTitle\":\"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-static-key-ciphers\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports The Use of Static Key Ciphers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"rc4-cve-2013-2566\",\"cveIds\":\"CVE-2013-2566\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-prime-under-2048-bits\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"Diffie-Hellman group smaller than 2048 bits\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tls-dh-primes\",\"cveIds\":\"\",\"cvssBaseScore\":\"2.5999999\",\"vulnerabilityTitle\":\"TLS/SSL Server Is Using Commonly Used Prime Numbers\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"ssl-cve-2011-3389-beast\",\"cveIds\":\"CVE-2011-3389\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS/SSL Server is enabling the BEAST attack\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}","{\"vulnerabilityId\":\"tlsv1_0-enabled\",\"cveIds\":\"\",\"cvssBaseScore\":\"4.30000019\",\"vulnerabilityTitle\":\"TLS Server Supports TLS version 1.0\",\"vulnerabilityVendor\":\"Rapid7 Nexpose\"}"]}]
2016-11-24 13:45:33,643 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaServiceMessageListener -:::::- VA: Save to context db, lastscantime: 1479962572758, mac: 3C:97:0E:52:3F:D9
2016-11-24 13:45:33,675 DEBUG [pool-115-thread-19][] va.runtime.admin.vaservice.VaPanRemotingHandler -:::::- VA: Saved to elastic search: {3C:97:0E:52:3F:D9=[{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}, {"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"}]}
Registros a verificar - vaservice.log. Você pode acompanhá-lo diretamente do ISE CLI:
ISE21-3ek/admin# show logging application vaservice.log tail
Solicitação de avaliação de vulnerabilidade enviada ao adaptador.
2016-11-24 12:32:05,783 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA request submitted to adapter","TC-NAC.Details","VA request submitted to adapter for processing","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:32:05,810 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}
AdapterMessageListener verifica a cada 5 minutos o status da verificação até que ela seja concluída.
2016-11-24 12:36:28,143 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"AdapterInstanceName":"Rapid7","AdapterInstanceUid":"7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","VendorName":"Rapid7 Nexpose","OperationMessageText":"Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1"}
2016-11-24 12:36:28,880 DEBUG [endpointPollerScheduler-5][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","Adapter Statistics","TC-NAC.Details","Number of endpoints queued for checking scan results: 0, Number of endpoints queued for scan: 0, Number of endpoints for which the scan is in progress: 1","TC-NAC.AdapterInstanceUuid","7a2415e7-980d-4c0c-b5ed-fe4e9fadadbd","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
O adaptador obtém CVEs junto com as pontuações CVSS.
2016-11-24 12:45:33,132 DEBUG [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Message from adapter : {"returnedMacAddress":"","requestedMacAddress":"3C:97:0E:52:3F:D9","scanStatus":"ASSESSMENT_SUCCESS","lastScanTimeLong":1479962572758,"ipAddress":"10.229.20.32","vulnerabilities":[{"vulnerabilityId":"tlsv1_0-enabled","cveIds":"","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS Server Supports TLS version 1.0","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"rc4-cve-2013-2566","cveIds":"CVE-2013-2566","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server Supports RC4 Cipher Algorithms (CVE-2013-2566)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2016-2183-sweet32","cveIds":"CVE-2016-2183","cvssBaseScore":"5","vulnerabilityTitle":"TLS/SSL Birthday attacks on 64-bit block ciphers (SWEET32)","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-static-key-ciphers","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Supports The Use of Static Key Ciphers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-primes","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"TLS/SSL Server Is Using Commonly Used Prime Numbers","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"tls-dh-prime-under-2048-bits","cveIds":"","cvssBaseScore":"2.5999999","vulnerabilityTitle":"Diffie-Hellman group smaller than 2048 bits","vulnerabilityVendor":"Rapid7 Nexpose"},{"vulnerabilityId":"ssl-cve-2011-3389-beast","cveIds":"CVE-2011-3389","cvssBaseScore":"4.30000019","vulnerabilityTitle":"TLS/SSL Server is enabling the BEAST attack","vulnerabilityVendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,137 INFO [SimpleAsyncTaskExecutor-2][] cpm.va.service.processor.AdapterMessageListener -:::::- Endpoint Details sent to IRF is {"3C:97:0E:52:3F:D9":[{"vulnerability":{"CVSS_Base_Score":5.0,"CVSS_Temporal_Score":0.0},"time-stamp":1479962572758,"title":"Vulnerability","vendor":"Rapid7 Nexpose"}]}
2016-11-24 12:45:33,221 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg : [{"systemMsg":"91019","isAutoInsertSelfAcsInstance":true,"attributes":["TC-NAC.ServiceName","Vulnerability Assessment Service","TC-NAC.Status","VA successfully completed","TC-NAC.Details","VA completed; number of vulnerabilities found: 7","TC-NAC.MACAddress","3C:97:0E:52:3F:D9","TC-NAC.IpAddress","10.229.20.32","TC-NAC.AdapterInstanceUuid","c2175761-0e2b-4753-b2d6-9a9526d85c0c","TC-NAC.VendorName","Rapid7 Nexpose","TC-NAC.AdapterInstanceName","Rapid7"]}]
2016-11-24 12:45:33,299 DEBUG [endpointPollerScheduler-7][] cpm.va.service.util.VaServiceUtil -:::::- VA SendSyslog systemMsg res: {"status":"SUCCESS","statusMessages":["SUCCESS"]}
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
14-Feb-2017 |
Versão inicial |